20.02.2018

#ibbank Удаленная биометрическая идентификация и ее обход мошенниками, использующими нейросети

На Уральском форуме очень много говорилось о том, как полезна и удобна удаленная биометрическая идентификация с точки зрения клиента, а у банков появляется новая возможность для зарабатывания денег, потому что увеличивается число клиентов, которые смогут проходить идентификацию без физического присутствия в отделении банка. Особенно много может появиться таких клиентов из удаленных регионов, где физически сложно присутствовать в отделении кредитной организации для проведения тех или иных операций.

Но совершенно неозвученной оказалась тема безопасности хранилища биометрических данных, применяемых для удаленной идентификации. Да и вообще тема безопасности самой биометрической идентификации осталась незаслуженно обойденной вниманием. Но в отличие от хранилища биометрических паспортов, доступ к которому имеет ограниченное количество лиц, к базе биометрических данных всех граждан Российской Федерации в ЕСИА получают доступ все банки, Почта России и другие организации. А значит риски возрастают многократно. И если в случае кражи или подмены обычного логина и пароля их легко заменить, то заменить биометрические данные становится проблематично.

В этом контексте мне понравился мастер-класс, который на пару вели представители Информзащиты и Oz Forensics. Это, кстати, был единственный пример, когда выступление было разделено между двумя спикерами, играющими свои роли, которые передавали друг другу слово по мере рассказа.

Начав с исторического экскурса в историю фальсификации фотографий:


докладчики перешли к примерам угроз для систем биометрической идентификации:


а потом немного коснулись темы применения искусственного интеллекта... нет, не в средствах защиты, а наоборот, мошенниками и киберпреступниками:


А перед описанием защиты от такого рода угроз был дан неплохой обзор (хотя и короткий) особенностей средств биометрической идентификации и того, как они принимают решения о достоверности представленных биометрических данных и их совпадении с имещимся в хранилище эталонным образцом. Там тоже есть множество нюансов, которые могут превратить национальную систему идентификации в тыкву, если не подумать о нивелировании этих рисков.

Но к сожалению, о безопасности удаленной биометрической идентификации на форуме не говорилось. То ли потому, что сказать пока нечего, то ли потому, что никто не хотел привлекать внимание к тому, как можно обойти систему, которая может стать одним из центральных звеньев будущей стратегии развития ЦБ. Хорошим финалом для этой темы (или промежуточной точкой) стал доклад Алексея Сабанова из Аладдина, который привел ссылки на большое количество международных стандартов по идентификации и аутентификации, в которых прямо написано, что биометрия не является надежным методом идентификации и не должен использоваться как единственный механизм проверки подлинности гражданина, получающего доступ к финансовым услугам. "Безопасность биометрии сродни домофону", так закончил свой доклад Алексей Сабанов и также хочу завершить заметку и я.

Конференция ФСТЭК: критическая инфраструктура

На прошлой неделе в Москве прошла конференция ФСТЭК "Актуальные вопросы защиты информации", которая была посвящена 4-м основным направлениям, которые будут главенствовать у нашего регулятора в ближайшей перспективе:


Эта заметка будет посвящена первому направлению - безопасности критической информационной инфраструктуры, регулятором по которой в конце прошлого года была назначена ФСТЭК России. По данному направлению от ФСТЭК выступало 4 сотрудника, которые рассказали о своем видении того, что будет драйвить рынок ИБ в России в ближайшее время. Позволю себе тезисно повторить то, что говорилось на конференции (в дополнение к ответам на те вопросы, что давала ФСТЭК в рамках конференции):
  • По словам Дмитрия Шевцова ФСТЭК утвердила 5 приказов, 2 из которых уже утверждены Минюстом, а 3 проходят эту процедуру сейчас.
  • Проект Постановления Правительства по надзору скоро должен быть принят несмотря на отрицательную оценку на портале regulation.gov.ru. Но как показывает практика это врядли повлият на принятие - документ примут. Он устанавливает общие правила надзора со стороны ФСТЭК по данной теме. Я более чем уверен, что ФСТЭК не будет повторять путь РКН и не начнет расширять перечень оснований для проведения плановых и внеплановых проверок.
  • Несмотря на то, что первые плановые проверки ФСТЭК начнет проводить только через 3 года после внесения значимого объекта в реестр объектов КИИ (то есть спустя минимум 4 года с текущего момента), не стоит думать, что субъекты КИИ могут расслабиться. Существуют еще прокурорские проверки, которые по данной теме проводились, проводятся и будут проводиться достаточно активно.
  • Утвержденные приказы ФСТЭК большой акцент делают на оценке соответствия средств защиты информации объектов КИИ и самих значимых объектов КИИ. Обратите внимание, что обязательная сертификация для средств защиты не требуется - по решению субъекта КИИ или в случаях, установленных законодательством (например, если объект КИИ = ГИС). В остальных случаях оценка соответствия средств защиты осуществляется в форме испытаний или приемки.
  • Никаких документов, регламентирующих испытания и приемку средств защиты, разрабатывать не предполагается. ФСТЭК всех отправляет к ФЗ-184 о техническом регулировании и к соответствующим ГОСТам по формам оценки соответствия автоматизированных систем, подробно рассматривающим данный вопрос, но в более широком контексте.
  • Оценка соответствия самого объекта осуществляется в форме приемочных испытаний (никак не регулируется) или в форме аттестации, если объект КИИ является ГИС или если субъект КИИ принял такое решение.
  • Если объект КИИ является ГИС, ИСПДн или АСУ ТП, то наряду с документами ФСТЭК по КИИ должны применяться уже имеющиеся документы по ГИС, ИСПДн и АСУ ТП соответственно. С 31-м приказом ситуация следующая. Если объект значимый, то применяется приказ ФСТЭК по КИИ, а если незначимый, то 31-й приказ. При этом никто не запрещает для незначимых объектов АСУ ТП также применять приказ ФСТЭК по КИИ, а для значимых - дополнять требования приказа ФСТЭК по КИИ требованиями 31-го приказа, который гораздо лучше учитывает специфику АСУ ТП, чем общий приказ по КИИ.
  • Во второй половине 2018-го года планируется выпустить единую методичку ФСТЭК по мерам защиты, которая придет на смену существующей методичке по мерам защиты в ГИС. Будет единое описание мер защиты для всех открытых приказов ФСТЭК.
  • На животрепещущий вопрос о том, кто является субъектом КИИ, ФСТЭК в лице Елены Торбенко привела рекомендацию на иллюстрации ниже. Она работает в тех случаях, когда организация четко не ложится в 12/13 отраслей, упомянутых в ФЗ-187. Но надо четко для себя уяснить, что финального списка субъектов КИИ нет и быть не может. 
  • Категорирование объектов КИИ осуществляется по процедуре и в порядке, описанных в ПП-127, утвержденном 8-го февраля и опубликованном 13-го февраля.
  • Я вновь, уже в третий раз вернусь к непростой теме, связанной с составлением перечня объектов КИИ, который должен согласовываться с отраслевым регулятором. Как и советовал Дмитрий Шевцов, во всех спорных случаях надо проконсультироваться с ФСТЭК по адресу: otd22@fstec.ru, что я и сделал. В результате общения с регулятором вырисовывается следующая блок-схема для 15-го пункта ПП-127. В финальной версии ПП-127 ряд важных фрагментов убрали, но если обратить внимание на проект Постановления Правительства, то начинается все с составления перечня объектов КИИ. Потом процедура раздваивается в зависимости от того, кем является субъект КИИ, - подведомственным предприятием для ФОИВ или госкорпораций и иных юрлиц или обычной коммерческой структурой. Если первое, то перечень должен быть сначала согласован с отраслевым регулятором, например, с Минпромторгом или Росатомом или Роскосмосом. А, например, банки не должны ничего согласовывать с ЦБ (даже несмотря на заявления представителя Аппарата Правительства на Уральском форуме). И энергетики не должны. И операторы связи не должны. Затем наступает процедура утверждения перечня в разумные сроки после его составления. Согласно правилам подготовки и прочтения НПА если в отношении какой-либо нормы нет особого указания о сроках ее действия, то она вступает в силу с момента вступления в силу самого НПА. В проекте ПП-127 говорилось о шести месяцах; в финале этот срок убрали. Значит перечень должен быть утвержден к моменту вступления в силу ПП-127. то есть к 20-му (а не 23-му) февраля. Да, это нелогично и невыполнимо, но так есть. После утверждения перечня, в течение пяти дней он направляется в ФСТЭК.
  • Версия с согласованием перечня только подведомственными предприятиями подтверждается и текстом самого ПП-127, и презентацией Елены Торбенко, где перечисляются некоторые лица, с которыми согласовывался проект ПП-127.
  • В соцсетях сейчас активно идет обсуждения срока подготовки перечня объектов КИИ и разговоры о том, что раз сроков нет, то и выполнение этой задачи можно растянуть на неограниченное количество времени. Я бы хотел напомнить всем про ФЗ-152, в котором тоже нигде ни для какой процедуры не установлены сроки их реализации. Но ни у кого не возникало вопросов по поводу моделирования угроз, утверждения перечня ПДн, назначения ответственных и т.п. Закон вступил в силу и все пошли его выполнять. И, кстати, закон тоже был отсроченного действия (вступал в силу через 180 дней поле принятия) и до момента вступления в силу никто даже не парился на тему его выполнения. Правда и потом никто не парился - все напряглись только после принятия четверокнижия ФСТЭК. В случае с ФЗ-187 ровно такая же ситуация со сроками. И не забывайте, что помимо ФСТЭК надзором занимается еще и прокуратура и будет сложно объяснять прокурору, пришедшему с проверкой, что перечня объектов нет, потому что непонятны сроки выполнения задачи. Также прокуроров мало волновал статус 31-го приказа ФСТЭК по АСУ ТП - они просто наказывали энергетиков за его неисполнение. Поэтому выводы делайте сами. Я лично не вижу большой проблемы в составлении перечня объектов КИИ. Тут могут сильно помочь уже проведенные классификации ГИС, ИСПДн, АСУ ТП, КСИИ, ИСИОД, ИСОП и т.п.
  • После категорирования материалы направляются в ФСТЭК и информация вносится в реестр или просто принимается к сведению, если объект незначимый и у ФСТЭК нет претензий к выставленным категориям.

Вот,  примерно так выглядела часть конференции ФСТЭК, посвященная безопасности КИИ в моей интерпретации. 

19.02.2018

#ibbank Финансовая организация как КИИ

В последний день Уральского форума прошла сессия, посвященная критической информационной инфраструктуре в разрезе финансового рынка. Я не буду пересказывать все доклады этой сессии, коснусь только выступления Андрея Выборнова из ГУБиЗИ Банка России, который осветил взгляд регулятора на применение ФЗ-187 к финансовым организациям. Тезисно, я бы отметил следующее:
  • Все финансовые организации без исключения являются субъектами КИИ и обязаны будут подключаться к ГосСОПКЕ


  • Информационные системы банков, страховых, микрофинансовых организаций, бирж и т.п., включая АБС, ДБО, Интернет-банк, CRM, HRM и т.д. являются объектами КИИ. Часть из них является значимыми объектами, а часть нет. Для отнесения объектов к значимым или нет используется ПП-127, принятое 8 февраля, а вступающее в силу 20 февраля (через 7 дней после опубликования).
  • Категорировать объекты надо не всем субъектам КИИ, а тем, кто перечислен в моей заметке. У остальных будут незначимые объекты, о чем можно сразу и уведомить регулятора. 
  • Все значимые объекты должны защищаться по требованиям ФСТЭК (приказы №235 и №239). По мнению ЦБ принятый СТО и планируемый к обязательному применению ГОСТ 57580.1 закрывают все требования приказов ФСТЭК. На мой взгляд это не совсем так - есть требования, которые документами ЦБ не закрываются (хотя в массе своей это так). Например, в части выбора средств защиты информации и компаний, оказывающих для этих средств техническую поддержку.
  • Все финансовые организации как субъекты КИИ должны присоединиться к ГосСОПКЕ для отправки в нее информации об инцидентах.
  • Есть тонкий момент, на который я бы хотел обратить внимание еще раз. В настоящий момент ФинЦЕРТ не является ни корпоративным, ни ведомственным центром ГосСОПКИ. С юридической точки зрения. На форуме прозвучало, что сейчас ведется работа по получению ФинЦЕРТом более официального статуса в ГосСОПКЕ. Пока же тема передачи информации об инцидентах остается незакрытой. Надо ли дублировать данные в ФинЦЕРТ и ГосСОПКУ или достаточно только передавать данные в ФинЦЕРТ, а он сам будет передавать данные в ФСБ? Будет ли ФСБ требовать жесткого соблюдения закона или даст возможность на переходный период работать финансовым организациям через ФинЦЕРТ? Нет ответа на эти вопросы. Представителей ГосСОПКИ на мероприятии вообще не было, а ЦБ пока не имеет готового ответа.
  • Последний момент касается сюрприза, прозвучавшего на конференции ФСТЭК, о том, что субъекты КИИ должны отправить отраслевому регулятору перечень объектов КИИ до 23-го февраля 2018-го года. По версии регулятора этот перечень должен готовиться только подведомственными организациями, которые есть далеко не у всех (преимущественно ФОИВы и госкорпорации). Это, конечно, тоже не сахар, но хотя бы коммерческие субъекты КИИ останутся вне этого требования. Однако на Уральском форуме поправки в эту точку зрения внес Аппарат Правительства, представитель которого заявил, что все субъекты КИИ без исключения должны составлять перечень и отправлять его своему отраслевому регулятору. Правда, на вопрос, сколько времени нужно на составление перечня, "аппаратчик" заявил, что по его мнению, не менее шести месяцев (как и было в проекте ПП-127). На вопрос о 23-м февраля он не смог ничего ответить. В итоге мы имеем очередную темную зону законодательства о безопасности КИИ, которая возникла из-за низкого качества ФЗ и подзаконных актов, возникших в свою очередь из-за сверхмалых сроков подготовки всех НПА и нежелания инициаторов закона прислушиваться к мнению экспертов, которые указывали на многие косяки, которые мы сейчас разгребаем.
В качестве резюме просто порекомендую финансовым организациям внимательнее присмотреться к ФЗ-187 и подзаконным актам. Эта тема в ближайший год станет достаточно актуальной для многих финансовых структур.

#ibbank Направления развития финтеха ЦБ в проекции на деятельность безопасников

Одной из задач любого руководителя ИБ является учет не только сиюминутных потребностей своей организации, но и анализ тенденций, которые будут влиять на предприятие и на обеспечение его безопасности. В своей презентации о тенденциях ИБ в мире и России я уже приводил 5 ключевых направлений, которые влияют на кибербезопасность финансовых организаций:
  • угрозы
  • нормативка
  • бизнес
  • финтех
  • ИТ.
Вот собственно о последних двух и будет эта заметка. На самом деле это будет не полноценный текст, а скорее иллюстрация из презентации первого заместителя Председателя Банка России Скоробогатовой Ольги Николаевны, которая курирует в ЦБ направления ИТ и финтеха, а также НПС и ряда других.


Посмотрите на эту высокоуровневую схему того, чем планирует заниматься ЦБ в ближайшее время. Два блока - развитие текущих и разраобтка новых направлений. Их текущих:

  • перспективная платежная система
  • НСПК (альтернатива международных платежных систем)
  • СПФС (альтернатива международного SWIFT)
  • ЕСИА (в части биометрической удаленной идентификации)
  • распределенные реестры (то есть блокчейн).
Из новых, и это самое интересное, надо выделить:
  • Финансовый маркетплейс. Это некий аналог eBay или Интернет-магазина, но для финансового рынка, где будут сосредоточены все финансовые продукты потребителя и он сможет увидеть свои вклады, ценные бумаги, заказать полис ОСАГО в понравившейся страховой компании. Задача ЦБ - следить за всеми финансовыми транзакциями граждан.
  • Платформа для регистрации финансовых сделок. Эта система позволит гражданину отслеживать все свои операции по всем финансовым продуктам и в спорных ситуациях использовать эту информацию в суде. По сути речь идет о смарт-контрактах.
  • Платформа быстрых (мгновенных) платежей. Система на базе мастерчейна (блокчейна) предназначена для проведения мгновенных розничных платежей.
  • Сквозной идентификатор клиента. Этот ID, в том числе и на базе биометрии, нужен для того, чтобы заработал финансовый маркетплейс и потребитель имел единый и сквозной идентификатор для всех своих продуктов.
  • Платформа для облачных сервисов. Ну тут все ясно. Чтобы заработало все вышеописанное нужна облачная платформа.
Учитывая, что часть упомянутых систем уже пилотируется, то у безопасников финансовых организаций в самом ближайшем времени начнутся интересные времена, которые потребуют новых знаний и компетенций. Недавно в Фейсбуке Дима Мананников задался риторическим вопросом: "Почему безопасники так прохладно относятся к таким темам как блокчейн, смарт-контракты и т.п.?" Да, уязвимости активно изучаются хакерами всех оттенков серого, но вот сами безопасники пока не очень погружаются в то, что уже активно внедряется финтехом по всему миру. Это может в очередной раз привести к риторическому вопросу, зачем нужен безопасник, который не понимает потребностей бизнеса?

Кстати, на иллюстрации Ольги Скоробогатовой есть еще один интересный фрагмент, который потребует внимания безопасников - API ко всем упомянутым системам. Дело в том, что многие из предлагаемых ЦБ платформ будут разработаны либо им самим, либо отдельными игроками рынка, коих будет всего несколько. А значит решать вопросы безопасности в них придется их авторам и эксплуатантам (операторам). А вот интеграция с ними через API - это то, что должно будет волновать безопасника любой финансовой организации, так как именно через API смогут реализовываться многие атаки на централизованные платформы из доклада первого зампреда ЦБ.

ЗЫ. Интересно, что в программе Уральского форума, все эти темы, исключая удаленную идентификацию и НСПК, не нашли никакого отражения. И это тоже показательно :-(

Уральский форум за 15 минут (презентация и видео) #ibbank

По сложившейся традиции в конце каждого Уральского форума по информационной безопасности финансовых организаций я делаю обзор всего того, что говорилось в течение 4-х дней конференции. Начинал я с 15-тиминутного обзора, но учитывая, что в этом году программа была двухпоточной, то уложиться в 15 минут стало почти невозможно. Поэтому говорил я в этот раз дольше обычного, но традиция традицией - название осталось прежним. Следующие заметки я посвящу чуть большим деталям, а сейчас я просто выкладываю саму презентацию. Тем более, что многим участникам надо готовить отчеты по командировке :-)



Помимо презентации есть еще и видео, которое писалось Андреем Прозоровым:



и Национальным Банковским Журналом:

16.02.2018

Oracle покупает Zenedge

15 февраля Oracle анонсировала подписание соглашение о покупке Zenedge, поставщика облачных решений по сетевой и инфраструктурной безопасности (WAF и DDoS). Размер сделки не сообщается.

Подарок ФСТЭК к 23-му февраля, перечень объектов КИИ и выборы Президента

Вообще мне впору сейчас писать заметки про Уральский форум, замечательную программу, интересные доклады и мастер-классы, а также новые веяния в регулировании финансовой отрасли, но я решил отложить это на следующую неделю. А эту заметку посвящу новости, которая вызвала большое обсуждение в Фейсбуке, в Телеграме, да и на форуме в Магнитогорске тоже. Причем реакция некоторых банкиров меня удивила - для них тема КИИ оказалась чем-то новым и ранее неизведанным. Они спрашивали, а что, мы тоже относимся к КИИ и должны выполнять требования ФЗ-187? Так что отчасти моя заметка будет касаться и того, что сегодня как раз должно обсуждаться на одной из сессий форума.

Речь идет о громком заявлении ФСТЭК, прозвучавшем в среду на конференции "Актуальные вопросы защиты информации" в контексте выполнения требований нового ПП-127 о категорировании объектов КИИ. В заметке, которую я опубликовал как раз в среду, я упомянул, что из финального варианта ПП-127 исчез пункт о том, что на составление перечня объектов КИИ выделяется 6 месяцев, после чего этот перечень согласовывается с отраслевым регулятором и в течение года проводится категорирование объектов КИИ. Так вот ФСТЭК заявила, что перечень объектов надо составить до... 23 февраля 2018-го года. То есть на все осталось 7 дней, включая выходные. 7 дней на составление перечня объектов КИИ!

Почему 23-е февраля и где это написано? Нигде! Этот срок нигде не указан. Он, насколько я понял, вытекает из мнения, что Постановления Правительства вступают в силу через 10 дней после официального опубликования, которое для ПП-127 было 13-го февраля. На самом деле через 10 дней вступают в силу федеральные законы (если срок не оговорен особо), а Постановления Правительства вступают в силу через 7 дней после официального опубликования. Хорошо, что не все знают про 7 дней, а то бы перечень надо было составить не к 23-му, а к 20-му февраля :-)  Раз больше в ПП-127 не говорится о сроке подготовки перечня, то... и вот тут моя логика дает сбой. Я не могу найти ни одного обоснования, почему 23 февраля?

ПП-127 вступает в силу только 20-го февраля (ну, допустим, 23-го, если иметь ввиду срок в 10 дней). До этого момента никаких юридических оснований заниматься категорированием и составлением перечня у субъекта КИИ нет. Он не должен ничего делать раньше установленного срока. К тому же хочу отметить, что составление перечня объектов - это 4-й пункт в процедуре категорирования. До этого надо определить все процессы, выделить из них критические, определить объекты и только потом составить их перечень и утвердить его (а еще и соответствующую комиссию надо создать). Направить утвержденный перечень надо в ФСТЭК в течение 5 рабочих дней после утверждения. То есть если ПП-127 вступает в силу 20 февраля, то "в течение пяти рабочих дней" - это 28 февраля, а не 23-е. Понятно, что в условиях цейтнота можно первыми тремя этапами пожертвовать и сразу составить полный перечень всех ИС и АСУ и отправить его отраслевому регулятору, но все равно срок на составление такого перечня оооочень маленький.

Но есть еще один момент, на который я бы обратил внимание. Согласно п.15 ПП-127 после составления перечня он утверждается субъектом КИИ и только потом согласовывается с отраслевым регулятором. Но... госорганы у нас обычно отвечают на запросы (и это если повезет) в течение 30 дней, а через пять дней после утверждения перечень уже должен быть направлен в ФСТЭК, что невозможно выполнить чисто физически. Даже если бы не было даты 23-го февраля. Тут или не согласовывать с отраслевым регулятором, нарушая одно требование ПП-127, или не успеть за 5 дней направить перечень в ФСТЭК, нарушая другое требование.

Что же, блин, делать? Нарушать! Вы ничего не можете поделать. Вы все равно, но какой-нибудь пункт ПП-127, но нарушите (ответственности за это никакой). Поэтому я бы (мне легко советовать, да, я не субъект КИИ) следовал процедуре, описанной в ПП-127. Составил бы перечень объектов КИИ, отправил бы его отраслевому регулятору на согласование и потом направил бы перечень в ФСТЭК. Но если честно, то этот перечень в текущей формулировке ПП-127 нафиг никому не нужен. Обратите внимание. Вы направляете перечень в ФСТЭК и... все! На этом данная ветвь ПП-127 завершается. ФСТЭК ничего не делает с этим перечнем. ФСТЭК ждет от вас сведений о категорировании, которые вы должны направить регулятору в течение года с момента вступления в силу ПП-127, то есть до 20 февраля (ну или 23-го, если мы уж так привязались к этой дате) 2019 года, которые затем заносятся в соответствующий реестр. Именно категорирование является целью ПП-127, а не составление какого-то перечня, который никому не нужен - ни вам, ни ФСТЭК, ни отраслевому регулятору.

Однако, закон есть закон. И коль скоро с отраслевым регулятором надо что-то согласовать, то лучше это сделать, так как это будет доказательством того, что вы не бьете баклуши, а реально выполняете требования законодательства. И отправку перечня отраслевому регулятору лучше не затягивать. Причина тому выбору Президента, которые состоятся 18 марта. Потом будет инагурация, потом Правительство по закону должно уйти в отставку, потом будет формирование Правительства, потом его согласование. Если какие-то ФОИВ исчезнут или сменят своего руководителя (а это вполне реально), то начнется неразбериха с подчиненностью исчезнувших ФОИВ, сменой команд в министерствах, выработкой новых/старых правил игры и т.д. Процедура эта небыстрая. Лучше согласование перечня завершить до выборов. Хотя до них уже и осталось меньше 30 дней, выделенных на ответ ФОИВ на запросы.

ЗЫ. Кстати, косяков с законодательством по безопасности КИИ будет еще много. Очень уж оно сырое, что и понятно - в такие сроки нельзя написать что-то достойное и без ошибок. Но тут уж ничего не поделаешь...

ЗЗЫ. Есть мнение, что согласование перечня нужно только подведомственным каким-то ФОИВ предприятиям и коммерческие предприятия сюда не попадают. Это должно вытекать из того же п.15. Но меня в той формулировке смущает фраза не только про госорган, выполняющий функции по разработке, проведению и реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере, но и про такое же российское юрлицо. Если бы приписки про юрлицо (может это Центробанк?) не было, можно было бы согласиться с этой удобной для коммерческих субъектов версией. В итоге надо внимательно читать полномочия отраслевых регуляторов - на кого распространяется их право по выработке госполитики. Например, тот же Минкомсвязь у нас вырабатывает госполитику в области ПДн, то есть является "главным" для всех операторов ПДн...

15.02.2018

Ответы ФСТЭК на вопросы по КИИ

За некоторое время до вчерашней конференции ФСТЭК "Актуальные вопросы защиты информации" от регулятора поступило предложение о сборе вопросов, которые волнуют отрасль в контексте принятого ФЗ-187 по безопасности критической информационной инфраструктуры. Я кинул клич в группу по безопасности АСУ ТП в Facebook и в соответствующий канал Телеграма. Не очень активно (и это удивительно для такой новой темы), но удалось собрать 31 вопрос, на которые в рамках конференции ответил Дмитрий Николаевич Шевцов. Так как не все были на мероприятии, то я позволил себе выложить записанные мной ответы в блог:
  1. Когда примут нормативные акты к ФЗ 187?
    • Из 4-х приказов ФСТЭК приняты регулятором все; 3 из них находится на регистрации в Минюсте. По остальным НПА вопрос соответственно надо задавать ФСБ и Минкомсвязи.
  2. Считает ли ФСТЭК деятельность ведомственных/корпоративных центров ГосСОПКИ лицензируемой по ТЗКИ? Речь про конкретный вид деятельности - мониторинг событий ИБ.
    • Если речь идет об оказании услуг третьим лицам, то да, деятельность лицензируется.
  3. Если речь идет о группе промышленных предприятий, для которых функции SOC выполняет управляющая компания, то нужна ли этой УК лицензия ФСТЭК на мониторинг ИБ?
    • Обязательно нужна.
  4. На сайте ФСТЭК прямо указано, что направление документов с ИОД осуществляется, только при наличии лицензии на ГТ. При этом переписка по проверке значимых объектов с субъектом КИИ минимум ДСП. Как ФСТЭК собирается организовать проверку субъектов, не имеющих данную лицензию? Это требование о наличии лицензии ГТ обещали убрать с сайта ещё в 17 году, я задавал вопрос в рамках оформления лицензий.
    • Ограничение на ГТ касается только документов; на распространение другой информации таких ограничений нет.
  5. На сайте ФСТЭК опубликована выписка из плана по разработке документов на 2018 год. В нем только положение о сертификации СЗИ. Никаких изменений в 17/21/31 приказ не планируется, никаких дополнительных документов по КИИ. ФСТЭК не видит актуальности в изменении?
    • Изменения в 17/21/31 приказы будут во втором полугодии 2018-го года. В выписке из плана далеко не все запланированные документы.
  6. Почему не хотят привести меры защиты к 17/21/31/ КИИ к сквозной нумерации и единым наименованиям.
    • Все будет сделано во втором квартале 2018-го года.
  7. Почему не учтен опыт совместного использования 17 и 21 приказа при разработке приказа по КИИ? Речь про п. 27 приказа 17. Зачем дополнительные сложности для оператора ГИС, которая стала значимым объектом КИИ? Будет ли проводиться корреляция требований между КИИ и 17 приказом. Вопрос особенно интересно стоит для тех владельцев неГИС, кто недавно попал под 17 приказ, но также и попадает под КИИ
    • ФСТЭК не видит проблем с одновременным выполнением приказов по КИИ и по ГИС - выбирать по максимальному из требований. 
  8. Как выделять объекты КИИ, например, у банков?
    • Субъект КИИ сам определяет свои объекты и проводит границы.
  9. В проекте постановления Правительства по категорированию объектов КИИ указано, что перед категорированием нужно согласовывать со ФСТЭК и отраслевым регулятором перечень объектов КИИ, подлежащих категорированию. Как должен выглядеть этот процесс? Что делать, если у ФСТЭК и отраслевого регулятора разные точки зрения на перечень объектов, подлежащих категорированию?
    • В финальном тексте ПП-127 согласование осталось только с отраслевым регулятором.
  10. Согласно проекту постановления Правительства по категорированию объектов КИИ категория определяется при создании или модернизации объекта КИИ. Что делать с действующими объектами КИИ, модернизация которых в ближайшее время не предусмотрена?
    • Согласно ПП-127 категорирование осуществляется и для действующих объектов КИИ, перечень которых надо составить после вступления в силу ПП-127.
  11. Объекты водоснабжения и водоотведения по закону не являются объектами КИИ, все верно?
    • Четкого ответа нет - надо смотреть на виды деятельности конкретного субъекта. Про пищевую промышленность вообще забыли спросить - там картина вообще непонятная - в списке критических отраслей их в принципе нет.
  12. Получение телеметрии с подстанций (без телеуправления) попадает под действие КИИ?
    • Да, так как на основе телеметрии могут приниматься управляющие воздействия и решения.
  13. Когда актуален 31-й приказ, а когда подзаконники по 187-ФЗ
    • Если объект значимый, то используется приказ ФСТЭК по КИИ. Если объект незначимый, то можно применять как 31-й приказ ФСТЭК, так и приказ по КИИ.
  14. В соответствии с какими методическими документами предполагается проведение моделирование угроз на КИИ?
    • Работа над документами ведется. Пока руководствоваться Банком данных угроз и здравым смыслом.
  15. Требуется ли сертификация на соответствие АСУТП требованиям ФСТЭК? Если да, то кто её проводит? М.б. достаточно декларации?
    • Сертификация не предусмотрена - только аттестация по требованиям безопасности или приемочные испытания АСУ ТП, включая и защитные меры.
  16. Если сертификация требуется, то что должно сертифицироваться: программно технический комплекс для создания АСУТП или АСУТП конкретного объекта? Или и то и то?
    • Не требуется.
  17. На какие АСУТП распространяются требования приказа ФСТЭК? Обязательны ли они к исполнению? Каким образом осуществляется контроль исполнения требований?
    • 31-й приказ не является обязательным и контроль исполнения его требований не предусмотрен в отличие от приказа по КИИ.
  18. Обязан ли проектировщик предусматривать в проектах АСУТП мероприятия по приведению системы в соответствие с требованиями ФСТЭК или это решение принимает заказчик?
    • Это ответственность заказчика, но проектировщику неплохо бы напоминить заказчику о требованиях по ИБ, если последний о них забыл.
  19. Есть производственный цех, например, прокатный стан. Согласно документации стан состоит из 3-х АСУ ТП. При составлении перечня объектов КИИ возможно 3 АСУ ТП объединить в один объект КИИ? Что может выступать основой определения границ информационных систем?
    • Субъект КИИ сам определяет границы объекта. В данном случае это может быть и один объект КИИ и три.
  20. Есть группа промышленных предприятий, которые будут отнесены к КИИ. Есть управляющая компания. Будет ли ее головной офис являться субъектом КИИ? Нужно ли этому головному офису вообще проходить категорирование?
    • Нужно смотреть конкретную ситуацию, но вероятнее всего головной офис будет тоже отнесен к КИИ.
  21. У предприятия есть корпоративная ИС, в которую стекается вся информация о деятельности предприятия, начисляется зарплата, делается отчетность для налоговой и т.д. Эту систему надо включать в перечень объектов КИИ?
    • Ответить не видя конкретной ситуации затруднительно.
  22. Что будет считаться гостайной, упомянутой в ФЗ-187?
    • Ждем поправок в Указ Президента №1203, которые подготовлены и в скором времени будут утверждены.
  23. Когда будет разработан методический документ по мерам защиты на объектах КИИ?
    • 2-й квартал 2018 года. Будет единая методичка по всем приказам ФСТЭК (17/21/31/КИИ).
  24. Как поступать с объектами, чьи категории не выше третьей, но если атака будет одновременной сразу на несколько из них, то ущерб может наступить как у 2-й или даже 1-й категории?
    • Как предписывает категория; в данном случае 3-я.
  25. Какова юридическая судьба документов по КСИИ? И что делать, если на промышленном предприятии в нормативных актах упоминается этот термин? Менять?
    • Забудьте про них. Меняйте КСИИ на КИИ.
  26. ИС бухгалтерии субъекта КИИ тоже будет относиться к объектам КИИ?
    • Надо смотреть конкретную ситуацию, но она точно должна рассматриваться в рамках категорирования, но возможно она будет незначимым объектом КИИ.
  27. Кто сертифицирует SIEM, используемые в SOCах, подключенных к ГосСОПКЕ, - ФСТЭК или ФСБ?
    • Если речь идет об оказании услуг третьим лицам, то нужна лицензия ФСТЭК на мониторинг ИБ. Требования к лицензиатам доступны - требуется сертификация SIEM по требованиям ФСТЭК.
  28. Будет ли как-то описана/формализована процедура оценки соответствия средств защиты КИИ, отличная от сертификации (испытания и приемка), чтобы не иметь возможных претензий со стороны проверяющих?
    • Все описано в ФЗ-184 о техническом регулировании и в соответствующих ГОСТах. Не надо бояться проверяющих - если они требуют не того, пишите/звоните в ФСТЭК.
  29. В последних сертификатах ФСТЭК отсутствует указание на соответствие требованиям по НДВ. Тем не менее приказ 17 требует применения средств прошедших сертификацию на отсутствие НДВ для 1 и 2 классов. Каким образом владелец ИС в настоящее время может определить, проходило ли СЗИ такие испытания или нет?
    • В новых РД ФСТЭК к средствам защиты уже прописано соответствие соответствующих классов защиты средств защиты и требований по НДВ. Если что-то непонятно, пишите вопросы в ФСТЭК - вам разъяснят про соответствие и выполнение требований по НДВ в конкретном продукте.
  30. В п.16.3 31-го приказа говорится о периодическом информировании и обучении персонала. Как подтвердить выполнение указанного пункта? Наличием плана обучения?
    • Главное, чтобы люди были обучены, а как подтвердить это - вопрос десятый. Можно и планом обучения.
  31. Модель угроз должна разрабатываться для значимых объектов КИИ согласно приказам ФСТЭК. Значимый объект определяется по результатам категорирования, которое в свою очередь требует наличия модели угроз. Что первично?
    • Как и в случае с ПДн (ФЗ-152 и 21-й приказ) не надо путать перечень актуальных угроз и модель угроз. На этапе категорирования нужен только перечень актуальных угроз, а вот модель угроз как отдельный документ нужна уже на этапе реализации требований приказа ФСТЭК по КИИ.

Вот, пожалуй, и все ответы. Благодаря Валерию Комарову, есть видео этих ответов для тех, кто хочет услышать прямую речь регулятора, а не мой пересказ. Видео выложено на Google.Drive (https://drive.google.com/file/d/1vJpVjxQXG_emYaVtq9PksdlKs4Jlg03w/view?usp=sharing), размер файла для скачивания - 3,5 Гб.

Если у вас остались вопросы по КИИ (в рамках компетенций ФСТЭК), то вы можете писать свои вопросы на адрес email: otd22@fstec.ru с указанием в поле Subject "Вопрос по КИИ".

Обзор особенностей обеспечения безопасности КИИ за пределами РФ (презентация)

Вчера в Москве прошла конференция ФСТЭК "Актуальные вопросы защиты информации", посвященная нескольким ключевым темам, в частности:

  • критическая информационная инфраструктура и ФЗ-187 с подзаконными актами
  • изменение правил сертификации по требованиям безопасности.
Мне довелось выступать с обзором некоторых особенностей обеспечения безопасности КИИ за пределами РФ и провести параллели с тем, как этот процесс реализуется у нас. На все было выделено 20 минут, так что удалось пройтись только по верхам.






14.02.2018

Какая финансовая организация является субъектом КИИ? #ibbank

8-го февраля Правительство утвердило Постановление №127 об утверждении показателей категорирования объектов критической информационной инфраструктуры. Учитывая, что в эти дни под Магнитогорском проходит 10-й юбилейный форум по информационной безопасности организаций финансовой сферы, и в пятницу будет заседание, посвященное как раз обсуждению финансовой организации как субъекта КИИ, я решил пробежаться глазами по установленным критериям и понять, кто из финансовых структур попадет под раздачу. Тут надо сразу оговориться, что субъектами КИИ являются все финансовые организации, а вот значимыми объектами КИИ обладать будут далеко не все из них. Принятое ПП-127 касается как раз вопроса о том, какие объекты КИИ будут признаны значимыми.

Итак, из 5 критериев значимости к финансовым организациям относится только 3-й, "Экономическая значимость". Ни социальной, ни политической, ни экологической значимости, ни тем более значимости для обороноспособности страны, финансовые организации не имеют. Остается только экономическая значимость, в рамках которой выделяется всего 3 показателя:
  1. Возникновение ущерба субъекту критической информационной инфраструктуры, который является государственной корпорацией, государственным унитарным предприятием, муниципальным унитарным предприятием, государственной компанией, организацией с участием государства и (или) стратегическим акционерным обществом, стратегическим предприятием, оцениваемого в снижении уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей) по всем видам деятельности (процентов прогнозируемого объема годового дохода по всем видам деятельности)
  2. Возникновение ущерба бюджетам Российской Федерации, оцениваемого:
    • в снижении доходов федерального бюджета (процентов прогнозируемого годового дохода бюджета);
    • в снижении доходов бюджета субъекта Российской Федерации (процентов прогнозируемого годового дохода бюджета);
    • в снижении доходов бюджетов государственных внебюджетных фондов (процентов прогнозируемого годового дохода бюджета)
  3. Прекращение или нарушение проведения клиентами операций по банковским счетам и (или) без открытия банковского счета или операций, осуществляемых субъектом критической информационной инфраструктуры, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка, оцениваемое среднедневным (по отношению к числу календарных дней в году) количеством осуществляемых операций, (млн. единиц) (расчет осуществляется по итогам года, а для создаваемых объектов - на основе прогнозных значений).
Кто попадает под первый критерий? Финансовых организаций, которые являются ГУПом, МУПом, госкорпорацией или госкомпанией у нас нет. А вот финансовыми структурами с участием государства у нас являются:
  • Банк России
  • Сбербанк
  • Внешэкономбанк
  • Национальный Клиринговый Центр 
  • ВТБ
  • Россельхозбанк
  • Газпромбанк
  • Глобэкс (как дочка ВЭБ)
  • Связь-Банк (как дочка ВЭБ)
  • МСП Банк (как дочка Федеральной корпорация по развитию малого и среднего предпринимательства)
  • Российский капитал (как дочка АИЖК)
  • ВБРР
  • Почта Банк (как дочка ВТБ и Почты России)
  • РНКБ (как дочка Росимущества)
  • Еврофинанс Моснарбанк (как дочка ГПБ и ВТБ)
  • Крайинвестбанк
  • Дальневосточный Банк
  • Акибанк
  • Алмазэргиэнбанк
  • Московское Ипотечное Агентство
  • Росэксимбанк
  • БМ-Банк
  • Русь
  • Хакасский Муниципальный Банк
  • Банк Казани
  • Почтобанк (не путать с Почта Банк)
  • Новикомбанк
  • НСПК.
Предположу, что Бинбанк, Открытие, Рост Банк, Уралприватбанк и Промсвязьбанк тоже можно отнести в этот список, так как ЦБ в рамках санации стал их основным инвестором.

Список стратегических предприятий и стратегических акционерных обществ утвержден Указом Президента от 4 августа 2004-го года №1009 - в нем более 1000 пунктов, большая часть из которых уже удалена. Из финансовых структур там только ВТБ. Но бояться упомянутым организациям не стоит, так как порог входа в список значимых начинается с 5% ущерба от уровня дохода, а это огромная цифра.

 Со вторым показателем, с ущербом субъектам РФ, тоже, на мой взгляд, все просто. Даже те доли процента, что указаны в Постановления Правительства, как мне кажется, достаточно велики, чтобы кто-то из банков мог претендовать на попадание в список владельцев значимых объектов.

Остается последний критерий, Системно значимыми кредитными организациями у нас являются, согласно Указанию Банка России от 22.07.2015 3737-У, следующие 11 организаций:
  • АО ЮниКредит Банк
  • Банк ГПБ
  • Банк ВТБ
  • АО «АЛЬФА-БАНК»
  • ПАО Сбербанк
  • ПАО «Московский Кредитный Банк»
  • ПАО Банк «ФК Открытие»
  • ПАО РОСБАНК
  • ПАО «Промсвязьбанк»
  • АО «Райффайзенбанк»
  • АО «Россельхозбанк».

Системно значимых инфраструктурных организаций финансового рынка у нас всего 4:
  • Центральный депозитарий
  • Расчетный депозитарий
  • Репозитарий
  • Центральный контрагент.
Наконец, к операторам услуг платежной инфраструктуры системно и (или) социально значимых (но не национально значимых) платежных систем у нас относятся (по состояния на 9-е февраля) следующие организации:
  • Русславбанк и ВТБ (для CONTACT)
  • НСПК, Банк России (для Visa)
  • Платежный центр, Золотая корона (для Золотой короны)
  • Национальный расчетный депозитарий (для НРД)
  • Лидер (для ПС Лидер)
  • НСПК, Банк России (для MasterCard)
  • ВТБ (для ПС ВТБ)
  • Сбербанк (для ПС Сбербанка)
  • Рапида, ВТБ (для Рапиды).
Вот тут заранее сложно сказать, кто из данного перечня попадет под критерий в виде 3 миллионов операций в день, которые могут быть прекращены или нарушено их проведение.

Вот такой список финансовых организаций, как потенциальных владельцев значимых объектов КИИ, получается. Всем успехов в успешном категорировании. Кстати, из финального текста, уж не знаю по каким причинам, но исчезла очень важная деталь. В проекте подразумевалось, что субъект КИИ должен составить перечень объектов КИИ и направить его отраслевому регулятору в течении 6 месяцев с момента принятия соответствуюшего Постановления Правительства о категорировании. Потом на само категрирование выделялся год. То есть получалось, что итоговое категорирование у вас должно было завершиться максимум через 1,5 года с момента выхода ПП по категорированию. Все было логично. Так вот в принятом документе исчезла приписка про 6 месяцев. Теперь субъект КИИ должен согласовать с отраслевым регулятором перечень объектов КИИ, но не говорится, в течении какого срока? А срок категорирования (максимум один год) отсчитывается от согласования перечня. Но если нет финального срока на согласование, то и срок категорирования у нас может быть растянут до бесконечности с постоянной отмазкой "мы все еще составляем перечень объектов КИИ". Вот такой парадокс и кто это придумал - непонятно :-(

09.02.2018

Proofpoint покупает Wombat, а Solar Security возможно будет поглощен Ростелекомом

6 февраля американская Proofpoint объявила о подписании соглашения о намерении купить Wombat Security, лидер гартнеровского квадрата по компьютерным технологиям повышения осведомленности. Фишинговые симуляторы Wombat теперь будут использоваться клиентами Proofpoint для тестирования своих возможностей по отражению самых распространенных атак. Размер сделки составляет 225 миллионов долларов США.

Днем позже РБК опубликовала заметку о намерении Ростелекома приобрести Solar Security, российского разработчика средств защиты и поставщика услуг мониторинга ИБ. Но каких-либо деталей этой сделки неизвестно, да и сам факт официально обе стороны не подтверждают. В этом отличие российского рынка инвестиций от американского (помимо числа сделок и кучи других отличий) - на Западе достоянием гласности становятся обычно три факта - подписание соглашения о намерении поглотить кого-нибудь, соглашение о поглощении кого-нибудь и факт финального закрытия сделки. То есть речь идет о юридически значимых фактах, подтвержденных документами. А в случае с Ростелекомом и Solar Security, похоже, никаких документов официально не подписано. Подождем развязки истории и тогда уже можно будет ее прокомментировать. А то получится как в случае "слияния" Информзащиты и ОКБ САПР в 2009-м году...

07.02.2018

Дашборды по ИБ для руководства: КАК отобразить

Как и отчеты дашборды бывают трех типов - стратегические (для топ-менеджеров), аналитические (для руководителей среднего звена) и оперативные  (для исполнителей). Учитывая, что большинство отчетов (да и дашбордов) готовится именно исполнителями и ни они не задаются нужными вопросами (КТО моя целевая аудитория, ЧТО они должны решить и КАКАЯ информация им для этого нужна), ни им не дают ответы на эти вопросы, то большинство отчетов/дашбордов превращаются в простыни цифр, которые никто не читает (распечатки логов IDS, МСЭ, список непропатченных ПК, список критичных уязвимостей и т.п.). Чтобы сделать ваш продукт (а дашборд или отчет - это продукт, который вы продаете руководству) надо усвоить несколько важных моментов:

  • виды анализа
  • используемые виды диаграмм
  • макет дашборда
  • прототип дашборда.

Давайте в качестве примера возьмем задачу отображения деятельности SOC для CISO, которому нужно понять, насколько эффективно задействованы сотрудники SOC, все ли инциденты отрабатываются в срок, какие инциденты больше всего отнимают ресурсов и т.п. Вот у нас уже есть перечень вопросов, для которых нам нужны следующие количественные измерения - количество инцидентов разных типов и трудозатраты сотрудников SOC на разбирательство с ними. По каждому инциденту достаточно собрать следующие данные - сотрудник SOC, источник инцидента, статус инцидента (разрешен/просрочен), дата. На основе полученных данных мы можем получить 4 блока аналитики:

  • количество запросов и трудозатрат по сотрудникам SOC
  • трудозатраты по типам инцидентам
  • динамика инцидентов в течение года (кстати, на этом показателе становится понятной разница между средним арифметическим и медианой)
  • количество инцидентов по источникам.
Попытка вынести эти 4 блока на один дашборд обычно с первого раза не получается. Точнее получается фигня - все блоки равнозначны и непонятно, куда смотреть и какой вывод может быть сделан на основе полученной информации. Пробуем перегруппировать, опираясь на три типа отчетов/дашбордов, упомянутые в самом начале. Стратегические показатели (число инцидентов, число просроченных инцидентов в %, трудозатраты в часах, число аналитиков SOC) выносим наверх, а аналитические (оперативные в дашборде будут лишними) разместим ниже. Именно там покажем динамику инцидентов, количество инцидентов по типам и источникам, трудозатраты по аналитикам SOC.

Определившись с тем, ЧТО показываем в дашборде, надо решить, КАК мы это показываем. Несмотря на то, что современные BI-решения и даже Excel содержат десятки разных типов диаграмм, в реальности вам понадобится всего 5 - линейчатая диаграмма, график, гистограмма, точечная/пузырьковая диаграмма и круговая/кольцевая диаграмма.


Иногда еще могут понадобиться всякие радарные диаграммы или светофоры, но это гораздо реже предыдущих пяти. Эти диаграммы помогут вам отобразить 4 базовых вида аналитики:
  • Рейтинг. Это самый распространенный вариант анализа, который позоляет сравнивать данные по принципу больше/меньше. Число незакрытых или просроченных инцидентов, число непропатченных ПК, размер ущерба, число IoC, обработанные заявки на доступ и т.п. Демонстрировать данный анализ позволяют линейчатые диаграммы и гистограммы.
  • Динамика. Это вид анализа, который обычно демонстрируется графиком или гистограммой, показывает тренд, сезонность, изменение во времени суток и т.п. 
  • Структура. Этот вид анализа показывает часть, долю целого. Например, распределение затрат на ИБ, распределение инцидентов по типам или источникам, соотношение закрытых и просроченных инцидентов и т.п. Единственным способом отобразить данный вид анализа позволяет круговая диаграмма.
  • Взаимосвязи. Это гораздо более редкий, но все-таки важный вид анализа, который помогает показать наличие или отсутствие (а иногда и характер) взаимосвязей между несколькими показателями. 
При выборе диаграмм главное не переборщить. По себе знаю - часто хочется не показать важную информацию, а показать ее красиво и продемонстрировать не только умение пользоваться разными тулами, но и потраченную на разные плагины и коллекции иконок кучу денег :-) В итоге вместо концентрации на том, ЧТО показывать силы уходят на то, КАК это показывать, что неправильно. Я на первых порах всегда начинал с вопроса "какой тип диаграммы использовать" или "где разместить эти данные - на оси абсцисс или ординат" вместо "число инцидентов типов А, Б и В за отчетный период составило ххх, yyy и zzz и для этого мне нужно использовать гистограмму".
Отсюда же, кстати, вытекает и рекомендация не увлекаться инфографикой. Я сталкивался с парочкой фирм, в которых цифры и аналитика уходят на второй план, а их подменяют красивые иконки, на рисование которых тратятся усилия целых отделов. Помочь принять решение это не помогает, а ресурсов требует немалых. Если, конечно, у вас денег куры не клюют, то можно и поиграться в эти игры, но в обычной жизни для 99% компаний все это баловство.


Завтра поговорим про макет и прототип дашборда. И попробую отобразить уже реальные картинки, которые все так хотят увидеть :-)

06.02.2018

Дашборды по ИБ для руководства: КТО, ЧТО и КАКОЕ

Достаточно часто сталкиваюсь с вопросом, который звучит "Как должен выглядеть отчет/дашбоард по ИБ для руководства?" Это немного другая сторона медали, связанной с выходом ИБ на уровень бизнеса, о которой я достаточно часто говорю в последние годы (хотя и не так часто как хотелось бы). Многие вопрошающие считают, что существует некий магический пример отчета или дашборда (разница между этими понятиями не столь большая), который можно скопировать и наступит счастье в общении с руководством, которое сразу должно понять, что безопасность не зря ест свой хлеб и не зря на нее тратят десятки и сотни миллионов рублей. Нередко заданный в начале вопрос сопровождается дополнением - "У нас уже есть SIEM/SOC и нам осталось только правильно расположить виджеты, чтобы получить нужный результат. У вас же в Cisco это сделано. Покажите как?"

Вот об этой проблеме мы сегодня поговорим, но как это часто бывает - никакой серебряной пули не существует и никакого магического отчета нет. Все ситуации уникальны, а потому уникальны будут и дашборды/отчеты, которые могут показать эффективность (или неэффективность) работы службы ИБ или отдельных ее подразделений. Но это не значит, что нет общих рецептов, которым надо следовать, чтобы добиться нужного результата. Для начала стоит понять, в чем корень проблем с визуализацией бизнес-представления ИБ? В разном восприятии. Человек, готовящий отчет (предположим, что он понимает, чем он занимается), слишком погружен в детали. Он считает все данные в отчете или на дашборде важными. Еще бы - он ведь их сам собирал по крупицам и поэтому не может отказаться от чего-то, на что он, возможно, потратил не одну неделю. Руководителю (и не важно какого уровня), в отличие от аналитика, нужны не детали, а общая картина, наглядность. Аналитика волнуют ответы на вопросы классической игры "Что? Где? Когда?", а руководителю нужны ответы на вопросы "Что будет? Что делать?" Отсюда и все проблемы, для устранения которых надо ответить на ряд простых на первый взгляд вопросов, а точнее просто произвести декомпозицию исходной задачи.


Первое с чего стоит начать, с ответа на вопрос "КТО?", который разбивается на две составные части - кто вы и кто ваша целевая аудитория? Первая часть не столь актуальна в небольших организациях, в которых вся ИБ - это 2-5 человек без жесткой иерархии подчинения. В такой ситуации совсем не важно, кто вы; главное, что вы занимаетесь ИБ и вам поручили подготовить отчет или сделать дашборд для руководства. В крупных организациях, в которых служба ИБ насчитывает сотни или даже тысячи человек эта часть вопросам становится уже гораздо важнее. Врядли руководитель отдела СКЗИ или антифрода сможет адекватно подготовить дашборд по деятельности всей службы ИБ - у него своей фронт работ, по которому он и может говорить предметно. Поэтому если вам поручили задачу сделать отчет/дашборд "обо всем" лучше сразу расставить все точки над i. В противном случае вы точно окажетесь виноватым.


Вот вторая часть вопроса "КТО" гораздо важнее. Кто ваш заказчик? Кто будет смотреть на ваш отчет или дашборд? CISO? CSO? CEO? COO? CFO? Иной CxO? С CISO ситуация не так просто как кажется на первый взгляд. Это в небольших организациях руководитель ИБ обычно в курсе всего, что творится у его подчиненных. В крупных, уровня Газпрома или РЖД или Сбербанка, сложно ожидать, что CISO знает все, что находится на 2-3-4 уровня иерархии ниже. Это физически невозможно. Поэтому, получая задачу подготовки дашборда или отчета от своего руководителя ИБ все-таки уточните задачу и получите как можно больше деталей. Мне доводилось слышать такую постановку задачу "Сделайте мне красиво, понятно и чтобы я мог перед предправления отчитаться". Или вот такую: "Вы сами должны знать, что мне надо, я же не зря вам плачу зарплату". Увы, в последних двух случаях вероятность сделать что-то устраивающее вашего "рукамиводителя" невысока. При столь нечеткой постановке задачи это равносильно "пойди туда, не знаю куда, принеси то, не знаю что".

Второй важнейший вопрос - ЧТО. Что нужно вашей целевой аудитории? Какие ключевые показатели ей необходимо показать? Ответ на этот вопрос зависит от ответов на предыдущий вопрос. Понятно, что финансовому директору не интересно число уязвимостей в Web-сайте компании (да и никому не интересно). И среднее время реагирования на инциденты (кстати, среднее арифметическое или медианное?) тоже неинтересно. И эффективность источников Threat Intelligence тоже. Все это внутренняя кухня ИБ, которая в лучшем случае интересна CISO.

Для ответа на вопрос ЧТО, вы должны ответить на третий вопрос - КАКОЕ решение должна принять ваша целевая аудитория? Запустить проект по повышению осведомленности сотрудников? Увеличить инвестиции в проект по приведению себя в соответствие с PCI DSS или 382-П? Инвестировать в защиту Web-сайта от прикладных атак? Обратиться к аутсорсингу ИБ вместо содержания собственной службы ИБ? Увы. Все эти решения не имеют никакого отношения к бизнесу. Это в лучшем случае уровень CISO. Бизнес волнуют совершенно иные вещи и вопросы. Какой канал лучше позволяет привлекать клиентов? Какие регионы/города России наиболее перспективны для географической экспансии? Как снизить издержки и повысить доходность? Как поднять лояльность сотрудников/клиентов/партнеров? Как снизить регулятивные риски? Могут ли ваши дашборды/отчеты помочь ответить на эти вопросы? Скорее всего нет. Но это не значит, что вам не надо общаться с бизнесом и пытаться понять его чаяния. Именно о том, что нужно бизнесу в контексте ИБ и как ИБ влиться в общие бизнес-процессы, будет посвящено два мастер-класса на Магнитогорском форуме по банковской ИБ, которые буду вести я и Дмитрий Мананников уже в следующий вторник. Это важнейшая часть работы ИБ (общение с бизнесом), но выходящая за рамки сегодняшней заметки. В любом случае, независимо от уровня вашей целевой аудитории (CEO или CISO) вы должны понимать, какое решение она должна принять. Отсюда вы поймете, что ей нужно для принятия решения и какие данные вам помогут облегчить принятие решения.

Например, перед вашим CISO стоит задача - искать ли новые источники Threat Intelligence или оставить используемые сейчас? Чтобы принять решение ему нужно ответить на ряд вопросов:
  • Какое соотношение получаемых извне IoC с теми, которые применялись в компании за отчетный период? Ответ на этот вопрос помогает понять, насколько вообще внешние источники помогают вашей организации в обнаружении атак и инцидентов?
  • Какие источники TI наиболее релевантны для организации? Это предыдущий показатель применительно к каждому внешнему источнику.
  • Число индикаторов, полученных от внешнего источника TI с учетом их полезности для организации (полезно при принятии финансовых решений о продлении контракта на TI). 
  • Соотношение количества угроз, пришедших по каналам TI, и не обнаруженных за счет внутренних возможностей (фишинговые сайты, украденные логины/пароли, сайты-клоны и т.п.).
  • Какое количество получаемых извне IoC применялось в компании? Может оказаться вообще, что индикаторы компрометации вы получаете, но не используете, потому что руки не доходят или не знаете, как автоматизировать процесс интеграции внешних источников с вашими средствами защиты/анализа.
Кстати, при оценке деятельности подразделения Threat Intelligence с точки зрения руководителя ИБ, было бы неплохо задать следующие вопросы:
  • Сколько IoC, сформированных службой TI, помогло отразить инциденты в организации (например, на МСЭ, IPS, рутерах и т.п.)?
  • Сколько playbook было создано/обновлено и использовано группой по реагированию на инциденты на основе IoC, сформированных службой TI? 
  • Распределение полученных IoC по типам и соотношение их с типами угроз внутри организации.
  • Динамика снижения числа ложных срабатываний средств защиты после обогащения сигналов тревоги данными от службы TI.
  • Снижение времени (ускорение) на расследование инцидента и реагирование на него за счет обогащения данных об инцидентах данными от службы TI.
  • Соотношение количества обнаруженных угроз средствами защиты организации с данными от службы TI и без них (например, голый IDS в сравнении с IDS + TI или IDS + TI + SIEM).
  • Количество самостоятельно обнаруженных и отреверсенных вредоносов по сравнению с традиционными антивирусными программами (если это функция TI).
  • Количество подготовленных бюллетеней по акторам/угрозам/кампаниям, которые имели отношение к предприятию; особенно тех бюллетеней, которые описывают угрозы, направленные именно на само предприятие, а не веерные угрозы.
  • Количество подготовленных бюллетеней, направленных в ФинЦЕРТ/ГосСОПКУ/иным внешним лицам (если стоит задача awareness и обучения отрасли/индустрии).
  • Участие в стандартизации вопросов обмена информацией об угрозах (если такая тема актуальна для организации).
Ответив на эти три вопроса - КТО ваша целевая аудитория, ЧТО им нужно и КАКОЕ решение они должны принять - вы решите, нет, не 50%, а 80% задачи по созданию правильного дашборда/отчета по ИБ. Про остальные 20% мы поговорим уже завтра.

Кстати, по поводу отличий между дашбордами и отчетами. Дашборд - это регулярно обновляемое визуальное представление наиболее важной информации, сгруппированной на одном экране по смыслу так, чтобы ее можно было легко понимать и принимать на ее основе правильные решения. Я выделил ключевые элементы, присущие именно дашборду:
  • регулярное обновление (поэтому так важна автоматизация)
  • группировка ключевых показателей, позволяющая фокусироваться на нужных данных
  • не единократное действие (принять), а встраивание в процесс (принимать)
  • не визуализация сама по себе, а помощь в принятии решения.
Отсюда, собственно, и видна разница. Дашборд - это почти всегда отчет, но не каждый отчет - это дашборд. Для превращения отчета в дашборд необходимо приложить немало усилий, отвечая на три вопроса, которые описаны в данной заметке. 

ЗЫ. Когда писал заметку, думал нашпиговать ее красивыми примерами дашбордов, но уже в процесс написания отказался от этой идеи. Правильные примеры явяются таковыми только в конкретной ситуации, в конкретной организации, после ответа на поставленные вопросы. Они могут не копироваться в других компаниях при других условиях ункционирования службы ИБ. Да и, положа руку на сердце, таких примеров-то и немного. А вот дурацких примеров в Интернете полно - достаточно ввести в Гугле поиск картинка по ключевым словам report|dashboard security|cybersecurity и вы получили красивые, но абсолютно бесполезные в реальной жизни диаграммы, графики, светофоры, индикаторы и т.п. 

05.02.2018

Интересные наблюдения за статистикой моего канала в Телеграме

В конце лета прошлого года создал свой канал в Телеграме "Пост Лукацкого", задача которого была транслировать все, что публикуется у меня в Твиттере и блоге для тех читателей, который Твиттера не имеют и его не читают. Блог за сутки набрал первых 700 читателей и с тех пор потихоньку увеличивает читательскую базу, прибавляя примерно по одному пользователю в день. Так как я не использую Телеграм для чтения новостных каналов, то мне на днях стало интересно, а какова вообще статистика посещения канала, пользуется ли он популярностью? Так как цифры сами по себе мало интересны, для сравнения я взял два профильных канала - от порталов SecurityLab (центральный верхний график на трех иллюстрациях ниже) и Anti-malware (левый верхний график), канал Алексея Комарова (правый нижний график), ведущего сайт zlonov.ru, а также канал по нецифровой экономике (правый верхний график), в котором публикуется всякий инсайд о том, как и куда у нас развивается правительственная программа по вытягиванию нашей экономики из эпохи аналоговой обработки сигнала. Соответственно мой график на иллюстрациях - левый нижний.

Первое, что меня интересовало, - численность целевой аудитории. Как мне кажется для профильных по ИБ каналов врядли стоит ждать больше тысячи человек, если его ведет обычный человек, и нескольких тысяч человек, если канал ведется порталом. Разница заключается в том, что последние у нас зарабатывают деньги на показе рекламы или ином привлечении спонсоров и поэтому им необходимо показывать большую аудиторию по разным каналам донесения информации до читателей. Рост аудитории достаточно пологий, что в целом отражает некое сарафанное радио, приводящее к неспешному увеличению новых адептов. Волнообразный скачок у нецифровой экономики не является аномалией и скорее является следствием упоминания его в других каналах, что и привлекло всего несколько сотен новых читаталей за несколько дней. А вот аномалия на графике anti-malware гораздо более интересна - два всплеска в конце ноября и конце января привели к росту в каждом случае примерно на 800 новых читателей в день. Учитывая, что ничего такого сверхестественного в это время не происходило и такой всплеск не может быть объяснен естественными причинами, я бы предположил, что это просто боты, которые либо внезапно заинтересовались каналом по ИБ, либо их туда просто нагнали для массовости.


Последний тезис (про нагнанных ботов) подтверждается вторым графиком - так называемым индексом вовлеченности (ERR, не путать с EDR). Он является соотношением просмотров ваших записей к числу подписчиков, умноженное на 100. Иными словами, это процент подписчиков, которые просматривают ваши публикации в течение суток после публикации. Логично предположить, что если ваш канал интересен тем, то ваши заметки будут читать и уровень вовлеченности должен быть близким к 100% (у меня он чуть выше 90%). А у того же anti-malware значение уровня вовлеченности составляет около 30%, то есть две трети пользователей этот канал не читает, продолжая оставаться в числе подписчиков. Это присуще именно ботам. Правда, снижение уровня вовлеченности может быть и еще в одном случае - когда очень много заметок. Тогда читатели просто устают от них и перестают проглядывать все. Но даже в этом случае такого падения ERR нет. А вот значение этого показатея выше 100% (как у Алексея или нецифровой экономики) говорит, что сообщения канала видит больше людей, чем подписчиков, например, в результате пересылки друзьям или в другие каналы (того же Алексея часто в канал RuScadaSec репостят).


Третий график не то, чтобы оказался для меня сюрпризом, он был ожидаем. Он показывает число репостов и упоминаний каналов в других каналах Телеграма. Ну для частных лиц показанные значения вполне обычны, как мне кажется. Не ведя целенаправленной работы по продвижению канала достичь большой известности невозможно. У SecurityLab цифры более интересные - их и репостят и упоминают в течение дня нередко.


Незапланированная заметка получилась. Просто некоторые графики оказались интересными, что я решил ими поделиться. Выводов как таковых не будет. Телеграм - еще один канал для продвижения информации до аудитории, который является у части аудитории гораздо более востребованным, чем тот же Твиттер.

ЗЫ. Я постепенно буду менять политику работу с Телеграмом, размещая там то, что не буду размещать в том же Твиттере. В частности, подписавшись на ряд каналов, где публикуют ссылки на разные книги, в том числе по ИБ, я копирую их и к себе в канал. В выходные с десяток таких книг закинул про Dark Web, хакеров, Митника, ИБ и т.п.

26.01.2018

Facebook покупает Confirm, а Google выделяет ИБ в отдельный бизнес

На фоне позавчерашней покупки Amazon'ом компании Sqrrl, занимающейся расследованием инцидентов ИБ, достаточно интересно выглядят действия других двух Интернет-гигантов, которые вчера также объявили о ряде шагов в области кибербезопасности:

  • Facebook прикупил бостонский стартап Confirm.io, занимающийся проверкой личности путем интеграции приложений с внешними сервисами, проверяющими водительское удостоверение и иные выданные государством ID (у нас это был бы паспорт). Условия сделки не разглашаются. Можно предположить, что Facebook хочет автоматизировать процесс подтверждения учетных записей своей соцсети и, в том числе, бороться с ботами, наводнившими Facebook.
  • Компания Alphabet (материнская компания Google) создала компанию Chronicle, которая будет заниматься проектами по кибербезопасности. Заниматься Chronicle в данный момент будет двумя направлениями - развитием купленного Google в 2012-м году сервисом VirusTotal и платформой для аналитики в области безопасности, построенной на различных инновационных технологиях - Big Data, ML, AI, DL и вот это вот всё.
В очередной раз подтверждается ряд тезисов, которые я высказывал ранее в блоге:
  • в игру вступают крупные мальчики и нишевым игрокам будет все сложнее удержаться на плаву (либо их выжмут с рынка, либо скупят)
  • будущее за интегрированной безопасностью, а не навесными решениями
  • без аналитики сегодня в кибербезопасности никуда.
В России, к сожалению, эти тренды не актуальны - у нас никого не покупают, у нас все разработчики занимаются навесной безопасностью, и аналитикой практически никто не занимается (SIEM со статическими правилами корреляции назвать средствами аналитики сложновато).

О законопроекте по "русскому биткойну" в контексте ИБ

Раз уж я вчера упомянул в Твиттере про новый законопроект Минфина "О цифровых финансовых активах", который посвящен регулирования криптовалют в России, то не могу не посвятить ему отдельную заметку. Я не буду погружаться в суть самого законопроекта (только упомяну, что никакой анонимности и возможности майнить обычным гражданам закон не предусматривает); хочу только коснуться одного момента, связанного с этим новым проектом НПА. Речь идет об основе основ - об определении цифрового финансового актива. Звучит оно так: "Цифровой финансовый актив - имущество в электронной форме, созданное с использованием шифровальных (криптографических) средств. Права собственности на данное имущество удостоверяются путем внесения цифровых записей в реестр цифровых транзакций. К цифровым финансовым активам относятся криптовалюта, токен. Цифровые финансовые активы не являются законным средством платежа на территории Российской Федерации" (выделение мое).

Что в толпе делает баран/овца?

Я уж не знаю, целенаправленно или случайно была использована такая формулировка, но именно она ставит крест на всей идее замены биткойнов, которые с легкой руки Н.И.Касперской теперь считаются происками американских спецслужб. Ведь любая деятельность с шифровальными средствами у нас подпадает под жесткое регулирование со стороны ФСБ, а точнее 8-го Центра и ЦЛСЗ.

Согласно действующему законодательству (небезспорному):
  • создание шифровальных средств для создания русской криптовалюты возможно только при наличии лицензии ФСБ на разработку СКЗИ
  • раздача средств создания русской криптовалюты возможно только при наличии лицензии ФСБ на распространение СКЗИ
  • работа майнинговых ферм (и сдача их в аренду), а также криптобирж возможна только при наличии лицензии ФСБ на оказание услуг в области СКЗИ
  • шифровальное средство для создания русской криптовалюты должно иметь сертификат ФСБ на СКЗИ
  • по планам Цифровой экономики вся криптография в Национальной платежной системе и в Рунете должна быть отечественной. Кроме того, получение сертификата ФСБ на СКЗИ означает обязанность реализации отчественных криптографических алгоритмов, описанных в соответствующих ГОСТах.
  • наличие сертификата ФСБ на средство создания русской криптовалюты означает сложности с его вывозом за пределы РФ, так как на вывоз СКЗИ надо получить не только экспертное решение ФСБ, но и экспортное разрешение ФСТЭК. 
Прекрасно же, не так ли?.. То ли авторы законопроекта не знали о таких особенностях регулирования шифрования в России, то ли знали, но осознанно пошли на это с целью формально разрешить, а фактически убит криптовалютный рынок в стране, а может просто криптографический Кракен хочет раскинуть новое щупальце еще и на тему русского биткойна, а также на CasperCoin, CasperCrypt, CryptoCasper, CryptoGod, BitGenius, BitGod и RussianBit (все это названия торговых марок русских криптовалют, которые хочет зарегистрировать одна из компаний, принадлежащих Н.И.Касперской).


Поживем увидим. Может быть в законопроект будут внесены поправки и правильные формулировки?..

25.01.2018

Гора родила мышь - 3 документа ФСБ по ГосСОПКЕ

В конце прошлого года ФСБ выпустила 3 проекта приказов в рамках своей деятельности по направлению КИИ и ГосСОПКИ:

  • Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации
  • Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения
  • О Национальном координационном центре по компьютерным инцидентам (НКЦКИ).


И вот давеча я погрузился в эти документы, надеясь увидеть ответы на давно мучащие меня вопросы по стандартизации обмена информацией по инцидентам, по техническим решениям присоединения к ГосСОПКЕ, по тому, что делать маленьким конторам, у которых нет денег на присоединение к корпоративным центрам ГосСОПКИ и т.п. Увы :-( Ответа я них не увидел и, видимо, в их финальных вариантах ничего нового уже не появится. По сути это документы ни о чем :-(





Единственное подтверждение, которое я получил (хотя я про него уже писал, но в соцсетях некоторые коллеги писали, что я не прав), что присоединяться к ГосСОПКЕ должны все субъекты КИИ, независимо от владения ими значимых объектов КИИ. Районная поликлиника, автопарк, домашний оператор связи, микрофинансовая организация, ломбард, кредитный брокер... Все они должны будут присоединиться к ГосСОПКЕ.

Да, это еще не все документы, которые будут выпущены (и которые ФСБ обещала выпустить к 1-му января хотя бы в проекте), но уровень того, что вышло не самый высокий. Может сроки были очень сжатые (вспоминая 3 года подготовки 378-го приказа по защите персданных), а может еще какие причины. Но результат печальный :-(


Ну может НКЦКИ, который должен разработать еще больше детальных документов, разродится чем-то более качественным... Ждем-с...