20.09.2017

InfoSecurity и "Три мушкетера"

Вы помните отечественный фильм "Три мушкетера" и классическую сцену дуэли, в которой подружились Атос, Портос, Арамис и д'Артаньян? Позволю себе напомнить ее:



Вот InfoSecurity и напомнило мне эту сцену, потому что те, кто придут в первый день, врядли осилят этот подвиг во второй, а уж вероятность их прихода на третий день и вовсе близится к нулю. А значит круглый стол "SOC vs SIEM", который я веду в финальный день InfoSecurity, увидят только самые стойкие посетители или те, кто придет только на него. Но это не повод впадать в уныние и проводить мероприятие спустя рукава. SOC - тема горячая. SIEMы пекутся в России как пирожки. Почему бы и не скрестить это две плохо скрещиваемые темы и не посвятить им целый круглый стол? Примерно с такими мыслями и затевалось этот формат, на который я вас и приглашаю.

Несмотря на тенденциозное, а местами и спорное название, мероприятие я вижу как вполне себе конкретное и, хотелось бы, практичное. Несмотря на наличие аббревиатуры SIEM в названии, говорить про них мы будем мало. Именно поэтому я отсекал всех SIEM-вендоров, которые горели желанием выступить в рамках круглого стола. За все SIEM будет отдуваться Илья Шабанов, на портале которого был опубликован обзор по российскому рынку SIEMов. Из «продуктового направления» мы коснемся темы SOAR и GRC, о которых будет высказываться Александр Бондаренко (R-Vision).

Представителей коммерческих SOCов, особенно хорошо разрекламированных я не стал звать. Вместо них отдуваться будет Александр Бодрик из Ангары. Причина тут простая – у Ангары это совсем новое направление и интересно услышать те проблемы, с которыми сталкивается компания, которая запускает коммерческий SOC (набор людей, ПО для SOC, лицензия ФСТЭК, процессы, KPI, ответственность, что интересует заказчиков и т.п.). К тому у Александра есть опыт работы на стороне заказчика, а также опыт проведения исследований GRC, так что дискуссия должна быть интересной.

Наконец, участие Моны Архиповой (WayRay), Алексея Качалина (Сбербанк) и Александра Бабкина (Газпромбанк) я вижу в виде тех людей, который на практике занимаются SOC, мониторингом, работой с внешними подрядчиками, которые пытаются предложить свои аутсорсинговые SOCи и т.п. Взгляд со стороны заказчика.

Презентаций не предусматриваются – будет живой диалог, с частично заготовленными вопросами:

  • Нередко между SOC и SIEM, как ядром системы мониторинга, ставят знак равенства. Однако сегодня этого недостаточно для эффективного мониторинга и, например, по версии Gartner, ядром системы монитониринга должны стать SIEM, NTA/NBAD, EDR. При этом должны быть также системы Threat Intelligence, управления инцидентами, расследования и др. Какие типы решений использует в своем SOC участники круглого стола? Могут ли они поделиться краткими наблюдениями, подводными камнями?
  • Технологии технологиями, но все-таки в триаде «Люди – Процессы – Технологии» они находятся на последнем месте, отдавая пальму первенства человеку. В Microsoft Cyber Defense Operations Center работает 50 человек, в Cisco CSIRT – 103, в Ростелекоме – 25 и идет еще набор, в Solar JSOC - 60 и также идет набор, Сбербанк озвучивает цифру в 400 человек, у ЛК – 14 человек. Сколько же нужно человек минимум, чтобы запустить свой собственный SOC?
  • Есть такая поговорка: «Если пытаться автоматизировать хаос, то получится автоматизированный хаос». Когда я слышу, что именно SOC остановил WannaCry в тех или иных компаниях, у меня возникает множество вопросов. Что надо предварительно сделать в инфраструктуре, чтобы внедрение своего или использование аутсорсингового SOC стало успешным?
  • Как запустить SOC – 5 основных шагов?
  • SOC запущен; можно ли оценить его эффективность?
  • В России бум SIEM – все крупные игроки ИБ-рынка, имеющие свою разработку, ринулись создавать свои SIEM – Эшелон, Позитив, ЦБИ, Газинформсервис и т.п. Насколько перспективна данная ниша для российских разработчиков? Будут ли заказчики использовать такие продукты, которые пока уступают своим зарубежным аналогам? Можно ли коммерческий SOC построить на базе отечественного SIEM? Чего не хватает зарубежным SIEM?

Вот такая повестка дня намечена на 21 сентября с 14 до 16 часов в Крокус-Экспо, в конференц-зале К1 павильона 1 (рядом метро, с парковкой тоже проблем не бывает).


ЗЫ. Круглый стол рассматриваю как прелюдию перед SOC Forum, который пройдет 22 ноября, и программа которого увеличивается в 1,5 раза.

18.09.2017

И вновь о "Цифровой экономике" :-(

Последние две с лишним недели я занимался тем, что принимал участие в программе "Цифровая экономика", а точнее в одном из ее пяти направлений, посвященных информационной безопасности. Мне можно возразить и спросить, зачем я это делал, если ранее крайне непозитивно высказался о том, что из себя представляет эта программа. Тут надо сделать пару замечаний. Во-первых, сейчас я высказываюсь по поводу самой программы, а не работы над ней, которая ведется в Сбербанке. Про эту работу я напишу отдельно и позже, когда основная работа будет завершена и можно будет подводить некоторые промежуточные итоги. Поэтому нижеприведенный текст к Сбербанку отношения никакого не имеет. Во-вторых, я стараюсь следовать принципу, что если что-то критикуешь, то не только предлагай улучшения/изменения, но и участвуй. Например, выборы. Я знаю много людей, которые считают, что хождение на выборы ничего не изменит и лучше пожарить шашлыки на даче или сходить на день города. Я так тоже раньше считал, пока не спроецировал на выборы опыт работы над проектами документов в ЦБ, ФСТЭК, СовБезе, Госдуме, Совете Федерации. Не нравится что-то - попробуй поменять. Не получилось поменять, ты хотя бы попробовал и можешь смело и открыто высказывать свое мнение по данному вопросу, так как имеешь на это полное право. Понятно, что есть люди, которые считают иначе и думают, что могут критиковать нормативку, не участвуя в ее разработке. Ну чтож, возможно. Хотя, если возможность участвовать была, а ты ей не воспользовался, то с какого перепуга ты считаешь, что можешь потом критиковать?.. Примерно так рассуждая я и ввязался в эту программу, хотя и скептичен в ее отношении, - все-таки это далеко не первая попытка улучшить отрасль ИБ в России.

В прошлой заметке, когда я перечислял попытки реформировать ИБ в нашей стране, я упоминял форум "Интернет Экономика", который посчитал самостоятельной, хотя и некомпетентной попыткой изменения происходящего в РФ. Оказалось нет и подтверждение тому, монолог Игоря Ашманова на последнем собрании в Сбербанке, который потом был практически слово в слово озвучен в Фейсбуке. Иными словами, работа над "Цифровой экономике" ведется больше полутора лет. И, оказывается, в ней якобы принимали участие эксперты и ФСБ, и Минэка, и других игроков рынка.


Когда я услышал про ФСБ я сразу усомнился. Мне приходилось сталкиваться с юристами ФСБ, которые десятки раз вычитывают документы и врядли могли пропустить такой фрагмент как "сертифицированные криптографические алгоритмы". А этот фрагмент внесен в распоряжение Правительства. Как бы я не относился к представителям 8-го Центра, но я не верю, что они могли допустить такой ляп.


Особо интересно выглядит данная задача, установленная Правительством, на фоне того, что изменения в КоАП в части наказания за неиспользование несертифицированных средств шифрования (а не алгоритмов) уже были внесены больше года назад. Эксперты, работавшие почти 2 года (еще готовя идеи к форуму "Интернет Экономика"), видимо, оказались не в курсе внесенных изменений в законодательство.

Кстати, таких вот ляпов с установленными сроками для задач, которые уже реализованы полно. Например, п.5.11.5 требует определить перечень необходимых стандартов безопасной разработки приложений к 3-му кварталу 2018-го года, а ввести их в действие в конце 2019-го. Но дело в том, что данный стандарт был разработан еще в прошлом году, а с 1-го июня 2017-го года стандарт ГОСТ Р 56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования» уже вступил в силу. То есть эксперты при Правительстве ждут разработки уже разработанных и вступивших в действие стандартов. Прекрасная демонстрация уровня компетенций. Или вот еще:


Я всегда считал, что все формы денежных переводов в России покрываются национальной платежной системой, регулируемой 161-м ФЗ и перевести деньги, минуя ее нельзя в принципе. Работа через Visa, НСПК, Золотую корону, платежную систему Банка России... - все это НПС. Это уже все реализовано и не надо ждать 2024-го года, как написано в программе Правительства. Что подразумевали авторы в п.5.10.13? Отказ от наличности?

Я уже в прошлый раз писал про БКИИ, но повторюсь. Согласно экспертам Правительства к концу 2018-го года должны быть разработаны требования по безопасности КИИ. А вот само Правительство в своем плане нормотворческой деятельности определило, что эти требования должны быть разработаны к 1-му января 2018-го года. Левая рука не знает, что делает правая?


Попробуйте прочитать нижеприведенный фрагмент из распоряжения Правительства:


Вас ничего в нем не смущает? Лично я не понимаю, к чему там относится фраза "технологии искусственного интеллекта"? Она совсем не в том падеже. Вот если ее переставить после "квантовых технологий", то фраза будет звучать вполне адекватно. А тут, видимо, эксперты очень спешили или вставляли то, что вдруг вспомнили, но ошиблись с местом вставки. Да и сама фраза выедает мозг своим построением. Как можно оценивать адекватность стандартов рискам и угрозам? Может быть все-таки технологий?.. Если же посмотреть на п.5.4.7, который является развитием п.5.4.5, то в нем почему-то отсутствует виртуальная реальность. Видимо, на этапе 5.4.5 уже решили, что виртуальная реальность неадекватна рискам и угрозам и ее исключили из дальнейшего рассмотрения. Ну или надо признать, что эксперты, 1,5 года корпящие над программой "Цифровой экономики", делали свою работу спустя рукава. Ну или это были не эксперты... Правда, в п.5.4.11 виртуальная реальность вновь вернулась.

С русским языком у авторов вообще сложности. Вот этот фрагмент я не осилил:


А вот еще один фрагмент:


П.5.4.18 требует к 3-му кварталу 2020-го года разработать отечественные ОС, СУБД, офисное и иное прикладное ПО. Очень пафосная задача, которая звучит уже не первый раз в разных документах, стратегиях и доктринах. Но меня цепанула задача из п.5.4.19. Она слишком выбивается на фоне остальных стратегических задач. Почему угрозы именно для web-приложений? Почему не для ОС или СУБД? Потому что у кого-то из участников экспертной группы есть свой WAF? Не знаю. Врядли. Все-таки эксперты у нас все сплошь независимые и беспокоящиеся о национальной безопасности, а не интересах собственных компаний.

А потом читаешь вот такое:


Ну что это за целевые алгоритмы систем обработки массивов больших данных? Кстати, по тексту распоряжения встречаются то "большие данные", то "массивы больших данных", то "большие массивы данных", а то и вовсе "большие пользовательские данные". И как они отличаются (и отличаются ли?) никто не знает. На встрече в Сбербанке г-н Ашманов заявил, что не надо ничего менять в программе, над которой работали солидные люди и надо только разработать план мероприятий (видно за 1,5 года никто его так и не сделал) для всей программы "Цифровой экономики". Но вот объяснить, что имели ввиду авторы программы и распоряжения Правительства, никто так и не удосужился. Это, кстати, одна из серьезнейших проблем с реализацией всей программы - кураторы групп в Центрах компетенций сами не знают, что имеется ввиду под той или иной задачей, по своему толкуя то, что кем-то разрабатывалось 1,5 года.

Кстати, еще один удивительный момент с этой программой, над которой 1,5 года трудились лучшие умы России. Почему-то первое, с чего была начала работы в экспертных группах в Сбере, это составление списка проблем, для уже разработанных задач! Вы можете себе представить? Обычно (ну, по крайней мере, мне кажется что именно это обычно и нормально) сначала формулируются проблемы, затем способы их решения, потом конкретные вехи и планы мероприятий. В программе же цифровой, мать, ее экономики, все было сделано гораздо инновационнее - сначала разработаны задачи, которые надо решить, а потом уже началась работать над проблемами, которые должны свестись в итоге к уже разработанным задачам. Видимо эксперты так стремились утвердить задачи и бюджеты для их реализации, что забыли сформулировать проблемы, которые должны были лежать в основе всего.

А кто может мне объяснить (эксперты Правительства, увы, не смогли, так как в Центре компетенций Сбербанка они не участвуют), как онлайн-реклама и Интернет-кинотеатры относится к кибербезопасности? Я наделен богатой фантазией, но тут спасовал.


Как и спасовал, когда прочитал, что эксперты Правительства решили вновь вернуть вещное право применительно к информации, а точнее к пользовательским данным, у которых теперь появляется собственник (а не обладатель, как написано в законе "Об информации, информационных технологиях и защите информации").


Отдельно стоит отметить раздел 5.13, который целиком посвящен ЕАЭС, то есть евразийскому экономическому союзу, в который входят 5 государств, а еще 12 хотят стать его членами. Тут, видимо, у экспертов Правительства во всей красе проявился имперский синдром, когда за членов ЕАЭС все решения принимает Россия. Я еще могу поверить, что Россия продавит свои интересы в Армении, Беларуси, Казахстане и Киргизии, но вот что делать с КНР, Ираном, Индией, Турцией? Они врядли захотят "ложиться под" Россию и использовать с ней единые стандарты и отечественные антивирусы (уж Китай так точно).

Раздел 5.14 в очередной раз продемонстрировал, что программа готовилась, мягко говоря, спустя рукава. Название раздела посвящено международной ИБ, а его наполнение целиком и полностью - суверенного Рунету и невмешательству в его дела иностранных держав. Ни слова про кибертерроризм, международную киберпреступность, атрибуцию, кибервойны и т.п. При этом почти все пункты из раздела уже выполнены - в ООН внесены документы, подготовлены всяческие проекты Конвенций, Концепций и т.п., которые представлены в международных организациях.

Вновь вернусь к началу, к словам Игоря Ашманова, который написал, что регуляторы участвовали в работе над программой "Цифровой экономики". Свое сомнение про участие ФСБ я уже выше высказал. А в конце 5-го раздела наткнулся на доказательство, что и ФСТЭК врядли участвовала в этой работе. Есть там такой KPI:


Вспоминая, что такое "средство защиты информации" по версии ФСТЭК, понимаешь, что этот KPI уже достигнут, так как средством защиты является любое ИТ-решение, в котором есть механизм защиты, например, подсистема аутентификации (а это любая ОС). Получается, что любой ПК, стационарный или мобильный, подключенный к Интернет является средством защиты в трактовке ФСТЭК. Иными словами, данный KPI всегда будет равен 100%. ФСТЭК врядли допустила бы такое в документах, которые с ними согласовываются.

Что-то длинно сегодня получилось. Но зато выплеснул все, что накопилось за эти две недели погружения в программу "Цифровой экономики". Давно не наблюдал более некомпетентно подготовленного документа :-( Есть малая надежда, что хоть что-то удастся выправить в рамках Центра компетенции Сбербанка, но шансов на это не так уж и много с моей точки зрения. 

15.09.2017

О стандарте ЦБ по ИБ аутсорсинга

Еще несколько лет назад тема ИБ не была в фаворе у журналистов, которые очень редко радовали читателей темой кибербезопасности. Однако время текло и тема стала не просто очень горячей, а регулярно всплывающей на первых страницах ведущих деловых изданий - Коммерсанта, Ведомостей, РБК и т.д. И это привело к тому, что качество многих статей стало очень сильно страдать. Часто материал выпускается без какой-либо проверки фактов, с приглашением непонятных экспертов, а то и вовсе с такими ляпами, что диву даешься. В качестве примера возьмем проект стандарта ЦБ по информационной безопасности аутсорсинга.

Началось все со статьи в "Известиях". Когда я ее прочитал, я выпал в осадок, так как она не просто изобиловала фактическими ошибками, а была построена на изначально неверной базе. Статья почему-то была посвящена стандарту по аутсорсингу кибербезопасности. Но дело в том, что этой теме была посвящена первая версия проекта стандарта, выпущенная в прошлом году. Текущая версия посвящена кибербезопасности аутсорсинга. Слова те же - суть совершенно иная. Я тогда смолчал, просто прокомментировал в соцсетях новости, которые опубликовали специализированные порталы по ИБ с публикацией этой статьи. Я могу понять, когда чушь пишет журналист, мало понимающий в ИБ, но такое нельзя допускать для профессионального СМИ.

Спустя две недели выходит статья в Коммерсанте и она тоже посвящена этому проекту стандарта. К журналисту у меня вопросов нет :-) Есть к эспертам, которые комментируют стандарт в статье. По их мнению есть следующие проблемы у стандарта:
  • он обязательный для банков и что-то требует
  • он развивает бюрократию, требуя разработки множества документов, которых раньше у банков не было
  • он не может быть выполнен мелкими банками, у которых всего 1-2 безопасника
  • он не устраняет риска привлечения некачественных поставщиков услуг и фирм-однодневок.
Как участник рабочей группы, которая писала этот стандарт, хотел бы дать некоторые пояснения, чтобы не возникало иллюзий по поводу этого документа. Во-первых, он не обязателен. Это не ГОСТ, на который даются ссылки из нормативных актов ЦБ. Это СТО, то есть стандарт организации, который принимается по решению самой организации. Хочет - принимает, не хочет - не принимает. Ни заставить, ни наказать за присоединение или неприсоединение к СТО нельзя. Это по сути методические рекомендации, описывающие, на что обратить внимание при обращении к аутсорсингу.

С комментарием про кучу документов я тоже не согласен. Финансовая организация (а не только банк) принимает решение о передаче существенных бизнес-функций (инкассация, ЦОД, облачные вычисления, Call Center, аутстаффинг, разработка ПО и т.п.). Это важное решение, которое может приниматься только при оценке всех существенных рисков, часть из которых касается информационной безопасности. От того, насколько качественно проведена эта оценка, зависит возможность оказания услуг клиентам и партнерам финансовой организации. Поэтому вполне логично, что надо провести достаточно серьезную работу по выбору контрагента и формализации взаимоотношений с ним. Помню, когда мы заключали договор на аутсорсинг ИБ всех промышленных площадок одной из крупнейших мировых нефтяных компаний, мы потратили 9 месяцев на согласование договора. 9 месяцев! Потому что от того, насколько качественно он прописан зависит жизнедеятельность нефтяной компании и наша ответственность.

При этом, когда мы выбираем облачного провайдера для своих нужд, а мы пользуемся услугами около 700 облачных провайдеров по всему миру, то это тоже непростая процедура, которая у нас формализована в так называемой процедуре CASPR (Cloud and Application Service Provider Remediation), состоящей из множества элементов, часть из которых требует определенной формализации и документированию:


И, кстати, такая формализация помогает уменьшить число людей, которые занимаются выбором и оценкой нового провайдера услуг. Не надо ничего придумывать, искать, тратить время - следуй методичке и выбирай между вариантами CASPR Lite, CASPR Standard и CASPR Plus.

Что же касается отсечения фирм-однодневок, то стандарт как раз и призван это сделать. Ну какая однодневка будет иметь квалифицированный персонал, лицензии, подтвержденные проекты по аутсорсингу, соответствие PCI DSS (в отдельных случаях), прохождение регулярного аудита? А все это прописано в стандарте, по которому сейчас запущена процедура голосования.

Возвращаясь к статье Известий, стандарт также упоминает про аутсорсинг ИБ, но в качестве финального раздела, который просто уточняет, на что надо смотреть, если вы решите отдать во внешние руки свои МСЭ, сканирование периметра, мониторинг и т.п. Там же приведен и набор возможных метрик для оценки своего ИБ-аутсорсера. То есть еще раз - стандарт посвящен не аутсорсингу ИБ, а вопросам ИБ при переходе на аутсорсинг. Не пользуетесь аутсорсингом, ну и не применяйте стандарт. Обратились к внешним поставщикам, стандарт дает вам набор рекомендаций и оказывает методическую помощь. Хотите - пользуйтесь, не хотите - не пользуйтесь.

Стандарт состоит из следующих разделов:

  • риск нарушения ИБ при аутсорсинге существенных функций
  • основные требования к управлению риском ИБ при аутсорсинге существенных функций
  • содержание задач и зона ответственности руководства организации БС РФ при аутсорсинге существенных функций
  • требования к проведению оценки поставщика услуг при аутсорсинге существенных функций
  • требования к содержанию соглашений на аутсорсинг существенных функций
  • мониторинг и контроль риска нарушения ИБ при аутсорсинге существенных функций
  • особенности аутсорсинга процессов ИБ
  • приложения, среди которых список практичных вопросов, которые стоит задать аутсорсеру при решении о том, стоит ли с ним работать или нет.

Вот такая картина с этим стандартом, который могут принять в ближайшее время и он вступит в действие с 1-го января 2018-го года.

14.09.2017

Универсальная формуля для тех, кто хочет запретить использование той или иной ИТ/ИБ-компании

"Мы, <вставка 1>, будучу обеспекоены ростом числа <вставка2> на наши государственные информационные системы, сталкиваясь с регулярными проявлениями агрессии в киберпространстве, направленными против нашей страны, в условиях растущей значимости информационных технологий в деятельности нашей цифровой экономики, скрепя сердце и с болью в горле принимаем решение <вставка 3> продукты информационных технологий, разработанные <вставка 4> и несущие угрозу нашей национальной безопасности".

На место <вставки 1> ставится либо название государства, либо государственного органа, <вставка 2> заменяется на "кибератак" или "попыток шпионажа", на месте <вставки 3> используем глаголы "запретить", "не использовать", "временно ограничить", а на место последней вставки помещаем название страны или конкретной компании. Бинго! Теперь у нас есть универсальная формула, по которой можно запретить ИТ-продукцию... Нет, не Лаборатории Касперского в США. Если вглядеться, то это именно универсальная формула, которую могут использовать все против всех. Именно ее использовали (несколько примеров):
  • Австралия против Хуавей и ZTE в 2008-м году
  • Индия против Хуавей в 2010-м году
  • США против китайских Хуавей и ZTE в 2012-м году
  • Россия против всех иностранных ИТ-компаний в 2014-м году
  • DHS против Лаборатория Касперского в 2017-м году
  • США против Китая в 2017-году.
Ничего нового не происходит. Так было всегда и везде. Это не конфликт России и США, и не США и Китая (хотя эта тройка чаще всего фигурирует в СМИ). Такова жизнь. Поэтому Лаборатория Касперского, которой посвящено вчерашнее заявление Министерства национальной безопасности США, не является уникальным каким-то случаем. Более того, она не является первым примером противодействия американцев российским ИТ-компаниям, завоевывающим столь лакомый кусок, как североамериканский континент. Если посмотреть правде в глаза, то тремя годами ранее именно Россия фактически запретила применять все зарубежное ПО в отечественных госорганах, ударив не по США, а по частным международным компаниям, имеющим в США, Европе, Азии штаб-квартиры. Действия DHS - могут считаться всего лишь не очень расторопным ответом США. Было бы в США больше российских ИТ/ИБ-компаний (на это рассчитана Цифровая экономика, если ФСБ не будет вставлять палки в колеса при вывозе ИТ-продукции, содержащей криптографические механизмы) и запрет был бы шире. А так получилось красиво - "США против Лаборатории Касперского", которая выглядит "одним в поле воином" :-)

Хотя мне каежтся, что все-таки запрет продукции ЛК в американских госорганах - это не действия против России. Это проявление политики американской администрации в части усиления кибербезопасности Америки, о чем много говорил Трамп во время и предвыборной кампании и после нее. Например, вчера же стало известно о запрете Трампом сделки по покупке китайцами американского производителя микроэлектроники и именно по причине рисков национальной безопасности.


07.09.2017

Надо ли выполнять требования по ИБ незначимым субъектам КИИ?

Иногда в разговорах с коллегами я слышу мысль, что вот выпустит Правительство постановление по процедуре категорирования объектов КИИ и можно будет осознанно выйти из под действия закона о БКИИ, прокатегорировав себя так, чтобы не иметь значимых объектов КИИ. Логичное предположение и я допускаю, что многие захотят занизить категорию своих объектов, чтобы меньше выполнять требований по защите. Но...

Я бы хотел обратить внимание на маленький нюанс, прописанный в законе, который заключается в том, что помимо требований по безопасности, предъявляемых к объектам КИИ, есть еще требования, предъявляемые к субъектам КИИ. Так вот регулятор по БКИИ устанавливает требования по ИБ только к значимым объектам, а регулятор по ГосСОПКЕ устанавливает требования к субъектам КИИ независимо от категории имеющихся объектов.


Иными словами, независимо от того, есть у вас или нет значимые объекты КИИ (любой из трех категорий), вы должны присоединиться к ГосСОПКЕ и выполнять требования ее регулятора, то есть ФСБ. Конечно, не всех требований, а только тех, что касается ГосСОПКИ, но и это немало. Эти требования касаются трех больших блоков:
  • подключение к ГосСОПКЕ и установка соответствующих технических решений, требования к которым, как и вся нормативная база по БКИИ, должны быть разработаны до 1-го января 2018 года. Это потребует определенных финансовых вложений.
  • уведомление об инцидентах на объектах КИИ, что потребует, если этого еще сделано, перестройки процесса управления инцидентами.
  • выполнение требований по реагированию на инциденты и компьютерные атаки, которые должен разработать регулятор по ГосСОПКЕ, то есть 8-й Центр ФСБ. Тут есть свой нюанс, связанный с тем, что впрямую требование по реагированию на инциденты прописано для значимых объектов, а невпрямую (через требование содействовать должностынм лицам ФСБ предотвращению, обнаружению и ликвидации последствий атак) для всех.

Ну и безусловно, я не исключаю появления иных требований по безопасности, которые могут быть выпущены отраслевыми регуляторами в рамках своей отрасли - МинЭнерго, Минтранс, Банк России и т.п. Тут я вступаю на скользкую дорожку предположений, но они скорее всего будут привязаны к категориям значимости (не случайно же сейчас все переходят на триаду уровней значимости, классов защищенности и т.п.).


Резюмируя сию короткую заметку, хочу еще раз обратить внимание, что:

категорирован ты можешь и не быть
но с СОПКОЙ ты дружить обязан!

ЗЫ. В заметке от 30-го августа я уже давал ссылку на вебинар, который я проводил по законодательству по безопасности КИИ, и в котором рассматривал этот и другие вопросы.

ЗЗЫ. К 1-му января 2018 года должны появиться все (ну или почти все) документы по БКИИ, включая и нормативку ФСБ. Ждемс...

06.09.2017

Ретроспективная безопасность: с чем ее едят?

Не секрет, что от того, насколько оперативно при расследовании инцидентов будут идентифицированы причины происходящего, точка входа инцидента, пострадавшие/задетые узлы и пользователи, зависит размер ущерб и возможности нивелировать негативные последствия от ИБ-инцидента.


Понятно, что решением данной задачи является анализ произошедших ранее событий безопасности, которые могут находиться в разных журналах регистрации или сетевом трафике (PCAP или NetFlow). Это типичная деятельность службы реагирования и (или) расследования инцидентов.

Однако у данного, лежащего на поверхности решения, есть и подводные камни. Логов накапливаются слишком много, а сетевой трафик и вовсе требует отдельного хранилища. В качестве примера приведу инфраструктуру Cisco, о которой я писал на Хабре. Ежедневно инспектируется 47 Тб трафика, а событий безопасности, которые нам приходится анализировать, ежедневно мы собираем 1,2 триллиона (!). Дополнительно в наш SOC попадает 14,7 миллионов событий NGIPS, 350 миллионов Web-транзакций и 28 миллиардов NetFlow. Вы представляете какой это колоссальный объем и как это все анализировать вручную?

Можно попробовать самостоятельно написать систему аналитики имеющихся данных. В книге "Security Intelligence" целый раздел посвящен именно этому вопросу. Но многие ли готовы заниматься этой интересной, но отнимающей много времени и требующей компетенций работой? Те, кто пишут системы защиты самостоятельно (Яндекс, Qiwi и др.), вполне способны это делать. Но что с остальными компаниями?



Можно попробовать задействовать различные инструменты системного и сетевого администрирования. Например, в системах анализа Netflow может быть подсистема визуализации информационных потоков. Так, например, выглядит функция root cause analysis в решении Scrutinizer компании Plixer.

Функция Flow Hopper в Plixer Scrutinizer
Полезный инструмент, но... он не заточен под функции безопасности. Он может показать информационные потоки, "бутылочные" горлошки, но не инциденты ИБ. Приходится снова тратить время, чтобы анализировать тысячи, десятки тысяч соединений и искать среди них аномальные и явно вредоносные. Нужен ИБ-контекст, накладывая на Netflow (или PCAPы) ИБ-алгоритмы, которые позволяют вычленять только важные для ИБ события, точку их отсчета, путь движения и т.п.

Cisco Stealthwatch
Вот так, например, выглядит функция Worm Propagation (распространение червей) в системе анализа сетевого трафика Stealthwatch компании Cisco.

Функция Worm Propagation в Cisco Stealthwatch
Стоит отметить, что такой функционал присутствует далеко не во всех решениях по анализу трафика. Они могут собирать подробную статистику по каждому соединению, узлу, пользователю, и даже выдавать соответствующую статистику и отчеты, но визуализировать взаимосвязи между событиями они могут далеко не всегда. Помимо анализа Netflow можно анализировать трафик и на лету с последующей его визуализацией. Вот так, например, выглядит функция "траектории файлов" в Cisco Firepower.



А можно ли проделать тоже самое не только на сетевом уровне, но и на отдельных узлах, визуализируя поведения вредоносного кода - запуск процессов, их инжектирование, обращение к файлам на диске, внешние коммуникации и т.п.? Да, это возможно и ряд вендоров предлагают такой функционал в своих продуктах, существенно сокращая время на расследование и последующее реагирование. Вот, например, так визуализируется последовательность действий на узле с помощью функции Root Cause Analysis в CylanceOPTICS.

Root Cause Analysis в CylanceOPTICS
А вот так аналогичная задача реализована в Cisco AMP for Endpoints:

Траектория устройства в Cisco AMP for Endpoints
У Sophos также реализована функция отслеживания источника проблемы (Root Cause Analysis):
 

А вот в Cyberbit это сделано, на мой взгляд, не очень наглядно:


Еще одним классом решений, визуализирующим последовательности событий для облегчения их анализа специалистами служб ИБ, являются песочницы. Например, в Cisco AMP Threat Grid вот так выглядит анализ процессов, с которыми работает анализируемый файл:


Вершиной пирамиды, объединяющей различные данные вместе (потоки, сетевой трафик и логи), являются различные SIEMы. Например, вот так выглядит визуализация различных, но связанных одним субъектом, событий из разных источников, отображенных на одном реляционном графе в решении Sift Security (NG SIEM для облачного мониторинга):


А вот это популярный в России ArcSight и его функция EventGraph (для мониторинга МСЭ):


Все это безусловно очень полезные инструменты, основное предназначение которых, ускорить реагирование на инциденты, не давая угрозам распространяться по сети или поворяться им через неидентифицированные точки входа. Но есть и обратная сторона медали, которая становится очевидной при практической работе с подсистемами так называемой ретроспективной безопасности. Речь идет о обогащенных данных. Дело в том, что обычно ретроспективная безопасность позволяет выстраивать цепочку однотипных событий - Netflow, логи МСЭ и сетевого оборудования, системные логи. Если же мы хотим объединить эти события вместе, а также обогатить их информацией Threat Intelligence, тут нас поджидает засада, а точнее несколько:
  • Информационная перегрузка - сложность отображения большого объема разрозненных данных.
  • Ограниченный охват - такого рода системы ретроспективной безопасности ограничены ИТ/ИБ-областью и им сложно выйти за эти рамки. С другой стороны системы ретроспективной безопасности и разработаны только для решения узкой задачи, с которой они справляются неплохо.
  • Отсутствие дружественного человеку интерфейса - пользователю приходится самостоятельно интерпретировать ряд собранных данных, что может привести к ошибкам или требует высокой квалификации персонала.
Средство визуализации разротипных данных в целях ИБ KeyLines
Решением этих проблем является применение выделенных специализированных продуктов класса Big Data Security Analytics или просто  Security Analytics, которые стали появляться на западном рынке в последние пару лет (особенно на RSAC). Но это уже высший пилотаж, доступный далеко не каждой компании, выстраивающей свои системы мониторинга ИБ; особенно в условиях импортозамещения. Поэтому остается использовать существующий функционал ретроспективной безопасности, присутствующий в решениях по ИБ, предлагаемых на российском рынке. Отечественные решения тоже подтягиваются, но пока не так быстро и их возможности пока уступают западным аналогам.

Визуализация событий в SIEM КОМРАД

05.09.2017

Что странного в ИБ-направлении "Цифровой экономики"?

После предыдущей заметки стоит чуть больше коснуться последней из упомянутых в ней попыток реформирования отрасли ИБ, - программы "Цифровой экономики". Когда ее опубликовали я поначала даже не придал ей никакого значения. Ну мало ли Правительство у нас публикует документов, которые потом так и остаются красивой и популистской идеей. Но потом в Facebook был опубликован призыв Сбербанка (сейчас его, правда, удалили) к экспертам по ИБ поучаствовать в работе над программой. А потом такое предложение поступило по другим каналам. И подумалось мне, а почему бы и нет...

Не сильно задумываясь я написал по предложенному адресу запрос о включении меня во все 16 экспертных групп, которые должны за месяц (уже меньше) подготовить план мероприятий по реализации задач "Цифровой экономики", утвержденной распоряжением Правительства. Написал в четверг - на текущий момент ответы пришли только по 4 группам, а по 2-м был звонок от куратора, но без дальшейшего движения. Посмотрим, во что это все выльется, а пока парочка замечаний, которые у меня родились по факту чтения всего многообразия документов по данной теме.

Самый главное из них заключается в банальнейшем вопросе. Почему не при делах ФСТЭК и ФСБ, два основных регулятора по ИБ? Их вообще нет в списках. За центр компетенций по ИБ отвечает Сбербанк, а за рабочую группу по ИБ - Наталья Касперская. Курирует все направление Минкомсвязь (вот уж где сидят знатные специалисты по ИБ, так это там). Мой опыт участия в различных инициативах, связанные с изменением отрасли ИБ (я о них писал в прошлой заметке) говорит, что отсутствие в инициаторах ФСБ ставит крест на инициативе, какой бы классной и нужной она не была (вспомните про разницу интересов). Программа "Цифровая экономика" же упирается в Правительство, в то время как ФСБ и ФСТЭК подчиняются непосредственно Президенту и могут игнорировать все, что придумают в команде Дмитрия Медведева. Представьте, что вы отвечаете за какой-то вопрос, а его пытаются решить без вашего участия. Каковы будут ваши действия? Вы останетесь в сторонке или наложете вето на все инициативы? Я еще помню, как и почему не взлетела Стратегия кибербезопасности РФ...


Второе замечание касается уже самих задач программы и работы экспертов в экспертных группах при Сбербанке. Я только в выходные для себя понял, что задачи уже сформулированы и изменению не подлежат. Вообще! Они сформулированы в самой программе, которая уже кем-то была разработана и утверждена. Например, есть задача 5.1.2 "Разработка проектов централизованной систему мониторинга и управления единой сети электросвязи". Вот вы можете не хотеть такую систему и даже приводить доводы, что такая система не может быть построена, но ваше мнение никого не интересует. Ваша задача как эксперта - поучаствовать в разработке плана мероприятий по реализации этой задачи. Все!

Или есть задача 5.2.3 по обязательному применению на сетях связи средств защиты от DDoS-атак, фильтрации и анализа трафика, а также борьбы с противоправным контентом. И вы не можете повлиять на саму задачу - от вас ждут конкретных идей по плану мероприятий, позволяющих решить задачу (то есть считается, что с задачей вы согласны).

Или вот перл. Задача 5.11.9 "Разработка требований по безопасности КИИ". Отвечает за нее Сбербанк? С какого ...? За разработку этих требований, а также всех мероприятий, связанных с этими требованиями, отвечает регулятор в области БКИИ (скорее всего ФСТЭК). Но ФСТЭК отсутствует в списке тех, кто принимает участие в этой программе (в отличие от плана-графика подготовки нормативных правовых актов Президента Российской Федерации, Правительства Российской Федерации и федеральных органов исполнительной власти, необходимых для реализации норм Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и Федерального закона от 26 июля 2017 г. № 193-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации»). Ну не странно ли это?

А 5.5.8 требует законодательного регулирования трансграничного обмена Большими данными. А вот я против этой очередной РКНовской затеи, но увы. Против быть нельзя - можно разрабатывать план мероприятий.

Наконец 5.8.9 требует законодательно обязать всех предустанавливать отечественные антивирусы на все ввозимые и создаваемые на территории ЕАЭС компьютеры. Вот я буду рад - у меня по корпоративному стандарту совершенно иные решения предусмотрены. Не то, чтобы я совсем уж против, но приобретены уже другие решения; и они же протестированы с нашей инфраструктурой. Интересно, государства ЕАЭС спросили? А если у них нет своего антивирусы? Авторы-то имели ввиду под словом "отечественные" - российские. Но российский Dr.Web или антивирус Касперского не является отечественным, например, в Казастане или Киргизии.

И вот таких вот перлов в программе "Цифровой экономики" дофига. И как с ними соглашаться, если это либо бред, либо задача в интересах вполне определенных лиц, имеющих свои коммерческие интересы? Не хотелось бы, чтобы оказалось, что план мероприятий, на разработку которого привлекают экспертов, оказался уже разработан, а вся эта работа затеяна для того, чтобы просто легитимизировать всю эту программу, которая местами мешает и блокирует развитие отрасли ИБ в России. А слухи о наличии уже разработанного плана мероприятий ходят. И вроде как уже суммы потребных денег определены и даже те, кто их получит. И в чем тогда смысл привлечения экспертов, если уже понятно, сколько, кому и на что будет потрачено?


Хотя есть еще почти непроработанные темы (это видно не только по названию задачи, но и по объему финансирования). Там, безусловно, можно попробовать достичь правильных результатов. Главное понять, что они будут. А то, по крайней мере у меня, сейчас в работе целый ряд разных проектов нормативных документов и приоритеты расставить сложно (особенно учитывая, что Сбербанк выделил на всю работу меньше месяца).

Остается только надеяться, что все будет так, как называется книжка из библиотеки Сбербанка, который и будет основным центром компетенций по вопросам ИБ в программе "Цифровой экономики".

04.09.2017

Juniper покупает Cyphort

31 августа Juniper объявила о приобретении компании Cyphort, занимающейся решениями по аналитике продвинутых угроз для компаний крупного и среднего бизнеса. Сумма сделки не разглашается.

Попытки улучшить ситуацию с ИБ в России: экскурс в историю

Так сложилось, что ИБ я занимаюсь с 91-го года, когда по распределению попал в отдел защиты информации одного из московских "ящиков". И за эти 25 с лишним лет видел множество попыток изменения ситуации на отечественном рынке ИБ, который многим экспертам казался далеким от идеала. Ведь если посмотреть на то, как формировалась наша отрасль, то имела она исконно государственные корни и была направлена на защиту государевых тайн. Таковой она многие годы и оставалась, являясь уделом КГБ и Гостехкомиссии.

Первой известной мне попыткой стала работа комиссии академика Юрия Рыжова, который в 1990-м году попытался поменять последовательность интересов в области безопасности с "государство - общество - личность" в сторону "личность - общество - государство", поставив во главу угла именно интересы гражданина, а уж потом интересы государства. Но г-н Крючков, председатель КГБ на тот момент, посчитал, что эта концепция слишком революционна и не отвечала интересам своего времени. В итоге от нее отказались. Да, Рыжов занимался не ИБ, но его работа могла повлиять на все варианты обеспечения безопасности, включая и информационную.

Спустя всего пару лет ведущими специалистами РАН и научно-исследовательских институтов России была опубликована "Концепция развития безопасных информационных технологий: обеспечение защиты информации в проектах информатизации России", которая описывала, какой должна была стать отрасль информационной безопасности в России. И вновь ничего. Параллельно ученым свое видение подготовила тогда еще Гостехкомиссия (и текст), позже переименованная в ФСТЭК России. Но за пределы проекта этот документ не вышел и его идеи тоже не нашли своего отражения в нормативных документах того времени.

Следующие попытки, из тех, что известны мне, стали появляться уже в 2000-х годах, ближе к концу первого десятилетия 21-го века (если оставить в стороне Доктрину ИБ 2000-го года). Например, Стратегия развития информационного общества 2009-го года. В ряде из них довелось принимать участие и мне (я даже папку у себя на компьютере с такими инициативами создал и назвал ее "Развитие ИБ в России"). Одно из них (2009-го года) начиналось так (ниже шел перечень предложений по изменению ситуации с ИБ к лучшему):


Потом было еще несколько попыток реформировать отрасль, предложив какие-то конкретные шаги по улучшению сложившейся ситуации с глубокой ориентацией на интересы государства и "кгбшную" идеологию. Сейчас нет смысла говорить обо всех из них, но о парочке упомянуть стоит. В 2013-м при Совете Федерации началась работа на Стратегией кибербезопасности РФ, в которую были включены многие ранее звучавшие идеи и предложения. Я про Стратегию и статус работы над ней писал неоднократно, повторяться не буду. Итог неутешителен - работа ушла в топку.

В 2015-м году, когда на сцену вышел Институт развития Интернет, из состава которого я не могу выйти до сих пор несмотря на почти годовую переписку с ее администрацией, рядом экспертов была подготовлена дорожная карта по повышению информационной безопасности государства, бизнеса и общества. Но ей даже хода не дали, раздербанив и включив некоторые идеи в другие дорожные карты, которые с переменным успехом пытался двигать советник Президента по Интернету.


В конце 2015-го года состоялся пресловутый форум "Интернет Экономика", на котором присутствовал Президент и на котором представили очередную версию стратегии развития Интернет и околосвязанных тем, включая и ИБ. Кроме одиозных, а местами и просто глупых и некомпетентных идей, там ничего не прозвучало, но в копилку попыток поменять отрасль ИБ я все равно это событие вношу.

В последнее время число попыток что-то поменять стало просто зашкаливать. На финишной прямой (к текущему моменту) у нас находится целых три попытки реформирования отрасли:
  • Доктрина информационной безопасности
  • Стратегия развития информационного общества
  • Программа "Цифровая экономика".
Все они были приняты за последний год. И хотя каждая из них вроде как вытекает из предыдущей (Программа из Стратегии, а Стратегия из Доктрины), но писали их люди разные и местами там идут нестыковки, а то и вовсе диаметрально противоположные идеи и предложения.

Вот такой экскурс, который показывает, что за 25 лет ситуация в нашей отрасли так и не сдвинулась с мертвой точки. Интересы государства превыше всего, а они, как известно, отличаются от интересов граждан, общества и бизнеса. И даже наше понимание интересов государства отличается от того, что про них думает государство. Вспоминая известную картинку:


Вот и интересы силовиков, стоящих у руля и определяющих, как и куда будет развиваться отрасль ИБ, отличаются от того, что считают многочисленные эксперты. И пока этот руль остается в упомянутых руках не стоит ждать существенных изменений в отрасли ИБ.

Завтра поговорим "Цифровой экономике" - последней попытке улучения мира ИБ в России.

01.09.2017

Персональные данные, RIP!

Мало кто уже помнит (а некоторые и вовсе этого не застали), но тема персданных "взлетела" благодаря ФСТЭК России, которая в 2008-м году выпустила свои документы по защите персональных данных. Это было пресловутое "четверокнижие", которое стало драйвером рынка ИБ на тот момент. Сам закон был принят двумя годами ранее, в 2006-м, но это событие прошло незамеченным для большинства специалистов по ИБ. По крайней мере лично я про этот закон особо ничего и не знал до того момента, пока ФСТЭК не выпустила свои одиозные требования. Именно тогда, 9 лет назад я погрузился в эту тему и она продолжает висеть веригами на мне.

Когда я только услышал про четверокнижие ФСТЭК я возрадовался, посчитав, что оно станет замечательным подспорьем в продаже решений Cisco по информационной безопасности. Но прочтя эти документы, мой оптимизм поугас. Я попробовал натянуть эти документы на нашу собственную информационную систему и понял, что это невозможно. Даже такая повернутая на compliance компания как наша, не смогла бы выполнить все эти безумные требования. Именно тогда я занялся тем, что стал разбираться в законодательстве, активно и публично его критикуя, предлагая различные обходные маневры для потребителей. И именно эта тема увела этот блог в совершенно ином направлении. Ведь изначально я хотел писать в блоге про бизнес, метрики, измерения и т.п. темы. Но увы... законодательство захватило пальму первенства и продолжает ее удерживать, приведя к тому, что за мной прочно укрепилась слава "бумажного безопасника" :-)

Спустя год я был вовлечен в процесс изменения федерального закона "О персональных данных" и тогда я впервые столкнулся с Роскомнадзором, который тогда назывался Россвязьохранкультуры, а позже был переименован в Россвязькомнадзор. За эти 9 лет было сделано немало - участие в разработке поправок к ФЗ-152 и КоАП, участие в разработке различных приказов и разъяснений РКН, Постановлений Правительства, приказов ФСТЭК и ФСБ. Что-то удавалось сделать, что-то нет. Но всегда я понимал логику регуляторов и мог как-то подстроиться под нее, предложив какие-то формулировки, которые устраивали бы большинство участников процесса. Но в 2014-м году все поменялось :-(

Сначала из РКН в Россвязь ушел г-н Шередин. Он был не простым чиновником, но даже несмотря на это, нам удавалось найти точки соприкосновения и контакт с ним у меня был. С уходом Шередина ситуация стала ухудшаться, а действия регулятора перестали подчиняться логике и здравому смыслу. Последние 3 года стало только хуже. Минкомсвязь (а именно они у нас определяют госполитику в области ПДн) самоустранилось от решения вопросов в данной сфере. РКН же окончательно превратился в карательный орган. Чего только стоит исключение из названия своей основной функции - защиты прав субъектов ПДн, слов "прав субъектов". Обратите внимание, РКН во всех документах, выступлениях, отчетах, презентациях стал писать "защита ПДн", что лишний раз подтверждает простую мысль - на права субъектов регулятору давно наплевать. Закон о ПДн превратился в инструмент давления на российские и зарубежные компании. Донести до регулятора свою позицию невозможно. Прислушиваться к экспертам регулятор не хочет. Мнение регулятора меняется постоянно и понять, на чем оно базируется и почему оно опять поменялось, стало невозможно. Эксперты, которые там раньше работали и с которыми у меня было неплохое рабочее взаимодействие, превратились в настоящих чиновников, преданно смотрящих в глаза начальству и игнорирующих простых смертных :-(

Последнее время я стал все меньше и меньше писать про персональные данные. Еще реже стал консультировать по этим вопросам (преклоняюсь перед Михаилом Юрьевичем, который ведет неравный бой с РКН). Но сегодня, в начало нового учебного года, я решил, что надо и вовсе закрывать для себя эту тему. Работа по ней стала абсолютно непредсказуемой и бессмысленной. Поэтому

Персональные данные, прощайте!


ЗЫ. Ушел в "Цифровую экономику".

31.08.2017

Чего ждать от ФСТЭК, как регулятора в области безопасности КИИ?

28 августа Аркадий Дворкович подписал план-график подготовки нормативных правовых актов Президента Российской Федерации, Правительства Российской Федерации и федеральных органов исполнительной власти, необходимых для реализации норм Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и Федерального закона от 26 июля 2017 г. № 193-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации», утвержденным Заместителем Председателя Правительства Российской Федерации (№ 5985п-П10). А спустя всего пару дней был опубликован проект первого из пакета документов, который определяет регулятора в области безопасности КИИ, которым предсказуемо стала ФСТЭК.

Часть коллег в Фейсбуке высказала предположение, что это еще не финальное решение и возможно текст будет изменен. Возможно. Но я все-таки предполагаю, что это уже финальное решение и тому есть несколько причин. Во-первых, если бы регулятором могла стать ФСБ, то это было бы проще сделать еще на этапе подготовки законопроекта - автором же его являлась именно ФСБ. Если они тогда этого не сделали, то, возможно, они просто не хотят быть таким регулятором (им и темы ГосСОПКИ достаточно). Версия, что это может быть Минкомсвязь (все-таки мы говорим не обо всех критических инфраструктурах, а только об информационных) также существует, но в этом ведомстве просто некому заниматься этой темой и опыта у них нет. Остается только ФСТЭК, которая и безопасностью занимается, и к информационным системам имеет прямое отношение, и ключевыми системами информационной инфраструктуры (КСИИ) занималась. То есть сходятся все ключевые факторы, которые могли бы определить регулятора. Да и проект Указа Президента готовила именно ФСТЭК.

До 13-го сентября будет идти процедура общественного обсуждения, за которой последует ряд дополнительных процедур, включая согласование между ФОИВами, а затем принятие нормативно-правового акта. Произойти это должно до конца октября (вдвое оперативнее, чем это предполагалось изначально). С этого момента начнется активная работа по разработке подзаконных актов в области контроля и надзора, обеспечения безопасности значимых объектов КИИ, а также регламентация процесса ведения реестра значимых объектов КИИ. 

Самым интересным в этой тройке является разработка требований по защите. Если исходить из версии, что регулятором будет ФСТЭК, то на мой взгляд развитие событий пойдет следующим путем:
  • Приказ №31 от 2014-го года (и, возможно, от 2017-го года тоже) получит долгожданную легитимизацию и будет официально распространяться на АСУ ТП. При этом, возможно, в него внесут изменения для распространения его положений на все 13 отраслей, упомянутых в ФЗ о БКИИ, а не только на те, которые описаны в 31-м приказе.
  • Появится еще один приказ, ориентированный на отрасли, в которых нет АСУ ТП, - наука, финансовые организации, здравоохранение и т.п. Вновь предположу, что этот приказ не станет чем-то новым для специалистов и будет похож на 21-й приказ ФСТЭК. По крайней мере все последние документы ФСТЭК с перечислением мер защиты похожи друг на друга как браться-близнецы. Поэтому и новый приказ будет наследовать уже ставшие привычными за последние 4 года требования по защите информации.
Учитывая, что список требований по защите уже отработан в 17/21/31-м приказах, то врядли процесс выпуска нового приказа сильно затянется.

Я вообще бы разработал уже унифицированный набор защитных мер и утвердил его приказом, просто ссылаясь на него по мере необходимости (по аналогии с ГОСТом ЦБ и ссылками на него из положений Банка России). Ведт ФСТЭК еще предстоит готовить документ по станкам с ЧПУ, а потом, может быть, еще что-то потребуется. Поэтому проще было иметь один единственный набор, к которму можно было бы обращаться по мере необходимости и не писать новые требования.

Немного особняком стоят:
  • Перечень сведений, отнесенных к государственной тайне, утвержденный Указом Президента Российской Федерации от 30 ноября 1995 г. № 1203
  • постановление Правительства Российской Федерации, содержащее сведения, составляющие государственную тайну,
в которые должны быть внесены изменения, так как согласно принятому законодательству сведения о мерах защиты объектов КИИ относятся к государственной тайне. Но и с ними ФСТЭК не должна затягивать.

Что в итоге? В начале 2018-го года мы должны иметь необходимые нормативно-правовые акты, вызывающие наибольшее количество вопросов (наряду с постановлением Правительства с показателями значений категорирования объектов КИИ). Осталось ждать не так уж и много...

ЗЫ. Да, совсем забыл упомянуть, что с 1-го января 2018-го года вступает в силу уголовная ответственность за несоблюдение защитных мер. И хотя у нас пока нет Постановления Правительства с порядком такого надзора (его тоже должна писать ФСТЭК, как будущий регулятор в этой области), существует прокуратура, которой никакой порядок не нужен - она может прийти в любой момент после 1-го января. Утрирую немного, но формально это так.

30.08.2017

Запилил канал в Telegram

Как оказалось, далеко не все пользователи имеют Twitter, предпочитая ему Telegram. Для меня это оказалось открытием; тем более, что я считал, что это совершенно разные средства коммуникаций. Twitter предназначен для получения различных оперативных новостей и возможности чтения большого количества пользователей, организаций и компаний. А Telegram - это, для меня, все-таки аналог WhatsApp, то есть обычный мессенджер для общения, но не для получения новостей. Но в реальности оказалось все не так :-)

В итоге решил запилить собственный канал в Telegram, который пока решает одну простую задачу - аккумулирует все, что пишется мной в блоге и Твитере, а также ретвитится в последнем. Может и еще что туда буду постить - по ходу посмотрю. Запустил пока в бета-режиме - экспериментирую. Если вдруг кто-то предпочитает именно  Telegram, то милости прошу.


Адрес канала - https://t.me/alukatsky

PS. Интересно, что еще до официального анонса к каналу подключилось три десятка человек. И как узнали?..

Почему коммерческие SOCи не имеют права работать с ГосСОПКОЙ

Наверное все слышали и видели, как на мероприятиях по центрам мониторинга ИБ, различные коммерческие SOCи активно эксплуатируют тему ГосСОПКИ, называя себя корпоративными ее центрами, которые с удовольствием возьмут на себя функцию мониторинга ИБ критических информационных инфраструктур. Такое желание вполне понятно - создан совершенно новый сегмент рынка ИБ, который с 1-го января 2018-го года будет развиваться семимильными шагами. Однако надо заметить, что оптимизм таких коммерческих SOCов, почему-то называющих себя корпоративными центрами ГосСОПКА, не совсем правомерен. И вина тут в том, что авторы закона "О безопасности критической информационной инфраструктуры", в пылу страсти посчитали себя умнее всех и не прислушались к мнению экспертов. И вот что получилось...

В ст.5 закона о БКИИ, посвященной ГосСОПКЕ говорится о том, что сия очень важная (без сарказма) национальная система обнаружения атак, представляет собой силы и средства... Средства мы пока оставим за рамками (хотя там тоже очень много интересного), а вот про силы сейчас и поговорим. Согласно той же статье к силам относятся:
  • подразделения и должностные лица ФСБ
  • созданный национальный координационный центр по компьютерным инцидентам (НКЦКИ), часть людей из которого, недавно перешла в Positive Technologies
  • подразделения и должностные лица субъектов КИИ.
Все! Никаких коммерческих SOCов. Такой вот парадокс. И хотя взаимоотношения между ФСБ (а точнее 8-м Центром + НКЦКИ) и коммерческими SOCами вполне тесные и дружественные, формально последние не являются и не могут являться составной частью ГосСОПКИ. И никаких методические рекомендации и даже приказы ФСБ не могут изменить этой ситуации, так как для этого нужны правовые основания, отсутствующие в ФЗ о безопасности критической инфраструктуры.

Но и это еще не все. В ст.5.5 говорится о том, что ГосСОПКА осуществляет накопление информации, которая поступает от средств ГосСОПКИ, а также от иных органов и организаций, не являющимися субъектами КИИ. Тут, вроде, все нормально. Коммерческие SOCи, а также компании, предоставляющие услуги Threat Intelligence, вполне имеют право делиться своими данными с ГосСОПКОЙ, но... передача эта односторонняя - только в сторону ГоСОПКИ. А все потому, что согласно ст.5.6 закона о БКИИ НКЦКИ осуществляет обмен информации только между субъектами КИИ или между субъектами КИИ и иностранными органами и международными организациями, занимающимися реагированием на иниденты. Российских компаний в этом списке нет! То есть ни получать, ни передавать данные об инцидентах в КИИ коммерческие SOCи не могут :-(


Я вижу только одно исключение, когда описываемые мной предприятия могут стать полноправными членами ГосСОПКИ, - они должны стать субъектами КИИ и взять на себя все те обязанности, которые накладываются на субъектов. Правда и тут нас поджидает очередной терминологический тупик. Вспомните список тех, кто может называться субъектом КИИ. Там 13 отраслей и организации, которые обеспечивают взаимодействие субъектов КИИ между собой. К этой чертовой дюжине отраслей коммерческие SOCи не относятся. Но и к последней, 14-й "отрасли" их отнести сложно, ведь они не обеспечивают взаимодействие субъектов КИИ, а только обслуживание.

Вот такая засада :-( А все от того, что одни субъекты законотворческой деятельности посчитали себя умнее всех, а другие (те, кого затрагивают нормы закона о БКИИ) не посчитали нужным активно проявить свою позицию и объяснив авторам закона всю ошибочность написанного. В итоге получается, что субъекты КИИ, которые хотели бы передать мониторинг ИБ своей инфраструктуры профессиональным игрокам рынка, обеспечивающим свои функцию в режиме 24х7, сделать это не удасться - придется создавать собственные центры мониторинга (чего многие хотели бы избежать, не имея соответствующих ресурсов) или подключаться к ведомственным центрам ГосСОПКИ. Есть и третий сценарий - собраться коммерческим SOCам (через SOC Club, например, или на грядущем SOC Forum) и сообща пробить изменения в законодательстве :-)

Понимаю, что тема дискуссионная и поэтому приглашаю желающих подисскутировать на круглый стол "SOC vs SIEM", который я веду в рамках грядущей InfoSecurity Russia 21-го сентября с 14.00 до 16.00. В круглом столе согласились принять участие:
  • Мона Архипова, директор по безопасности, WayRay
  • Александр Бабкин, начальник Ситуационного центра информационной безопасности Департамента защиты информации, Газпромбанк
  • Александр Бодрик, заместитель генерального директора по развитию бизнеса, ANGARA Professional Assistance
  • Александр Бондаренко, генеральный директор, R-Vision
  • Алексей Качалин, исполнительный директор Центра Киберзащиты, Сбербанк
  • Илья Шабанов, директор, Anti-malware.ru

ЗЫ. Но это не последний тупик, который поджидает нас с законодательством по безопасности КИИ. Их впереди еще много и я к ним еще вернусь.

Атлантические тупики (с ударением на первом слоге)
ЗЗЫ. Кстати, по ссылке вы можете найти презентацию и видеозапись с проведенного 21-го июля вебинара ”Обзор нового законодательства по безопасности критической инфраструктуры”, где я рассматриваю различные нюансы нового регулирования.

29.08.2017

Эволюция отчетности по инцидентам Банка России

ЦБ выложил у себя на сайте проект указания Банка России «О внесении изменений в Указание Банка России от 9 июня 2012 года № 2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств», который меняет порядок отчетности по инцидентам в области ИБ, установленную в 203-й форме (202-я остается без изменений).

Основных изменений в новой форме два:
  • переход от ежемесячной к ежеквартальной и полугодовой отчетности
  • уход от подробной информации об инцидентах и сдвиг акцента в сторону указания финансовых потерь от инцидентов.
Проект Указания исключает из формы отчетности 0403203 вопросы технической реализации инцидентов защиты информации, указывающих на причины их возникновения, а также обязанность операторов по переводу денежных средств и операторов услуг платежной инфраструктуры по предоставлению сведений о технических способах реализации инцидентов защиты информации. Это не значит, что ЦБ не интересует эта информация, просто она уходит в другие формы отчетности.

Первой ласточкой стало положение 552-П, которое требует отправлять данные об инцидентах с АРМ КБР в ФинЦЕРТ в течение 3-х часов после наступления инцидента. Однако этим желание ЦБ получать оперативную информацию об инцидентах не ограничилось. В проекте новой версии 382-П указано, что участники НПС должны сообщать обо всех инцидентах ИБ в ФинЦЕРТ в порядке, установленном Банком России. Логично предположить (хотя 100%-й гарантии не дам), что ЦБ не будет изобретать велосипед и повторит вариант с 552-П, то есть будет требовать сообщать обо всех инцидентах (а не только с АРМ КБР) в течении трех часов.

Таким образом, ЦБ хочет изменить подходы к отчетности об инцидентах, заставив своих подопечных (пока только банки и операторов услуг платежной инфраструктуры и операторов платежных систем, но в перспективе не исключаю и остальные финансовые организации) пересмотреть свои системы управления инцидентами в сторону большей оперативности.

Однако, оставался вопрос с PR-составляющей (куда уж без нее). Ведь надо регулярно отчитываться о суммах похищенных или готовящихся к хищению денежных средств - журналисты любят такие показатели. Да и динамику хищений киберпреступниками знать полезно. Поэтому новая версия 203-й отчетности сфокусировалась именно на этом, а точнее на 3-х основных цифрах:
  • суммы готовящихся к хищению средств
  • суммы незаконно переведенных средств
  • суммы возвращенных средств (это новация - раньше такого не было). 
Вступает новое указание с 1-го января 2018-го года.



Однако и это еще не все. В мае в Госдуму был внесен законопроект о внесении изменений в 161-ФЗ "О национальной платежной системе", в котором среди прочего от банков требуется уведомлять ЦБ обо всех мошеннических операциях (перечень будет установлен Банком России). Тут очень много темных пятен - и в части процедуры уведомления, и в части перспектив самого законопроекта. Поэтому и говорить про него пока рано (отсюда и пунктир на иллюстрации).

ЗЫ. 258-я форма (по инцидентам с платежными картами) изменений не претерпела. Связано это с тем, что она разработана была не ГУБЗИ, которое не отвечает за ее изменение.

ЗЗЫ. По проекту новой отчетности ЦБ принимает предложения до 7-го сентября.