31.10.08

Информационные ресурсы по персданным

Тема персданных настолько прочно вошла в умы всех желающих на этом поживиться, что за последнее время было запущено сразу несколько информационных проектов по данной тематике:
  • Информационный сайт о защите персональных данных от Информзащиты. Сайт пока полупустой - кроме некоторых законов и подзаконных актов (и то не всех) там ничего нет.
  • Информационный проект "Персональные данные" от ИнфоТехноПроекта. Вот тут действительно есть, что посмотреть. Тут тебе и новости по утечкам ПДн (данные Периметрикса), все законы и подзаконные акты, включая ссылки на уголовное и административное законодательство, а также международные нормативные акты, множество статей по теме и т.п. Очень полезный сайт.
  • Информационно-аналитический журнал "Персональные данные", выпускаемый тем же ИнфоТехноПроектом.
  • блог Травкина Ю.В., одного из авторов закона "О персональных данных". Давно не обновлялся, но есть что посмотреть.
  • проект Курского ГТУ.

30.10.08

Очередная порция слухов по персданным

По имеющимся слухам сейчас готовится ряд изменений в нормативные акты, суть которых заключается в том, что получение лицензии на отдельные виды деятельности (как минимум, в области связи) будет обязательно связано с получением лицензии на техническую защиту конфиденциальной информации. Иными словами вы не получите лицензию на основной вид своей деятельности пока не получите лицензию на ТЗКИ. А после этого, как лицензиат, вы уже будете обязаны соблюдать все требования ФСТЭК и по персданным, и СТР-К и все остальное...

27.10.08

Межотраслевой форум директоров по ИБ. 17-18 ноября

17-18 ноября, в Москве пройдет первый межотраслевой форум директоров по ИБ. Программа достаточно насыщенная; выступать будут тоже интересные люди. Я, например ;-) Буду развенчивать очередной миф - про аутсорсинг безопасности ;-) А вообще планируются представители ФСТЭК (про персданные будут вещать), ФСБ (расследование инцидентов), Курило Андрей Петрович (Банк России). Рекламодателей почти не будет (кроме спонсоров) - выступать будут преимущественно потребители, чем и ценно мероприятие.

ЗЫ. Из области юмора. Интересная картинка напротив Елены Константиновны Волчинской висит ;-)

Березовый шит

Некоторое время назад в Китае внедрили "золотой щит" - систему контроля доступа китайцев к Интернет. Состоит это всемирный китайский firewall из 600 с лишним тысяч (!) серверов и его создание обошлось китайскому правительству в 800 миллионов долларов. Кстати, дешево получилось - около тысячи долларов на сервер (включая стоимость софта).

К чему это я вернулся к этой бредовой идее? А к тому, что у нас решили сделать тоже самое ;-) Ассоциация разработчиков ПО "Руссофт" решила, что нам надо создать такое же чудо. Инвестиции в него должны, по расчетам "Руссофт", составить несколько сотен миллионов долларов, а срок создания - около 10 лет. Идея с созданием российской операционной системой живет и здравствует ;-)

ЗЫ. Название для данной системы я уже придумал. Если у китайцев это был "золотой щит", то учитывая наши культурные особенности, я предлагаю "березовый шит" ;-)

22.10.08

Обзор по информационной безопасности - 2008

Cnews все-таки выпустил свой ежегодный обзор по информационной безопасности за 2007-ой год. Как говорят, welcome ;-)

19.10.08

О сапожниках без сапог

Все, наверное, помнят шум о конференции по персданным, которая проходила 24 сентября. Там выступало много компаний и организаций, которые предлагали свои продукты и услуги в части выполнения ФЗ-152. И я подумал, если все так упоительно поют дифирамбы требованиям ФЗ и считают их давно назревшими, то сколько компаний, из выступавших на конференции, сами являются зарегистрированными операторами персданных? Насколько эти компании понимают, ЧТО они советуют своим потенциальным заказчикам.

Список выступавших немаленький - среди них российские и западные компании, коммерческие и государственные структуры. В этот список можно добавить и множество других компаний, которые активно продвигают себя на данном рынке.

Затем я зашел на сайт Россвязькомнадзора и по реестру операторов персданных осуществил поиск. Вы, наверное, уже догадались о результате... Из большого перечня организаций только ИнфоТехноПроект имеет статус оператора персданных. Ни одна другая компания, которая так много говорит о необходимости выполнения Федерального закона №152 сама не выполняет требований, о которых ратует ;-)

Что не может не вызывать вопросов, так это тот факт, что и ни один из регуляторов персданных не зарегистрировался как оператор ПДн - ни ФСТЭК, ни ФСБ, ни Минкомсвязь. В реестре есть Россвязьохранкультуры (но не Россвязькомнадзор).

"И эти люди запрещают мне ковыряться в носу" (с) не помню чей

А вы знаете сколько получает сотрудник Россвязькомнадзора?

На сайте Россвязькомнадзора размещен список вакансий в Управлении по защите прав субъектов персональных данных. Заместитель начальника управления получает... 5930 рублей в месяц! Другие должности получают и того меньше - около 4000 рублей. А ведь там еще и конкурс объявлен на замещение вакантных должностей. Т.е. кто-то готов идти на такие деньги...

О терминологии в области ИБ

Давно известно, что мы не можем эффективно управлять тем, что мы не можем измерить. Это то, почему так важно оценивать эффективность ИБ. Но мы не можем измерить то, что мы не определили. Именно поэтому так важна терминология в области ИБ. Надо признать, что общего языка у специалистов так и нет. Что такое ИБ? Чем ИБ отличается от защиты информации? Чем информационная безопасность отличается от безопасности информации? Вопросов больше чем ответов. Ситуацию мог бы изменить терминологичекий национальный стандарт.

Такие стандарты есть. Это рекомендации по стандартизации Р 50.1.056-2005 "Основные термины и определения" и ГОСТ Р 50922-2006 "Основные термины и определения". Еще есть РД ФСТЭК по терминам и определениям. Казалось бы чего еще надо? Да, они не совсем полны и к ним есть определенные нарекания, но... Почему каждый руководящий документ или стандарт в области ИБ, который появляется в России, содержит свой собственный раздел, описывающий термины и определения. Я как-то могу оправдать ЦБ, который в свой отраслевой стандарт включил термины, толкования которых уже есть в национальном ГОСТе. Но я не понимаю, почему ФСТЭК, имеющая в своем распоряжении РД с терминами, выпускает документы, не ссылающиеся на этот РД? Почему ФСТЭК имеет СТР-К, четырехкнижие по персданным, четырехкнижие по КСИИ и рекомендации по коммерческой тайне, и в каждом документе СВОИ собственные определения?

Грустно это...

16.10.08

Моя новая книга ;-)

С публикации моей прошлой книжки прошло 5 лет (в 2003 году я выпустил второе издание "Обнаружения атак"). Потом я сменил место работы и времени просто не стало. Хотя материал определенный уже был набран. И вот наконец-то я решился довести начатое до конца и подписал договор с Интернет-порталом bankir.ru об электронной публикации своей книги "Мифы и заблуждения информационной безопасности" ;-)

Публиковать буду по частям - со скоростью 3 мифа один раз в неделю. В итоге через год (а именно на столько заключен договор) будет опубликовано распространенных 156 мифов и заблуждений.

Такой формат выбран не случайно и причин на то несколько:
1. Это позволит распределить нагрузку и не пытаться съесть слона целиком.
2. Это будет поддерживать интерес к книге в течение всего года, а не разово.
3. Это позволит получать обратную связь от читателей и учитывать их комментарии и замечания.
4. Мне интересно попробовать именно такой формат ;-)

Новый формат конференций и выставок по ИБ

Мы, т.е. Cisco, запустили интересный формат проведения конференций и выставок по ИБ. Идея проста. Командировки на какие-то мероприятия - дело дорогое и не всегда возможное по причине занятости и загруженности на работе. Да и не всегда можно сорваться в какой-нибудь отделенный город для посещения интересного семинара или конференции. С другой стороны компания Cisco давно продвигает решения по интерактивному взаимодействию (collaboration и unified communications). Объединив эти два момента мы и получили Cisco IT Security Forum.


Он будет проводиться 12-го ноября через Интернет. Никуда ехать не надо - достаточно Интернета и все. Правда канал должен быть хорошим - все-таки тут вам и звук, и видео, и демонстрации, и обмен мнениями - трафик будет нехилым. Но идея интересная - посещать мероприятия, не выходя из дома. Слушать, что говорят эксперты, с чашечкой кофе или кружечкой пива... Предел мечтаний ;-) А главное - все бесплатно ;-)


Программа тоже будет насыщенной. Будут выступления руководства Cisco, наших экспертов по ИБ, заказчиков, аналитиков, лидеров индустрии и т.п. Рассказы будут касаться наиболее животрепещущих тем безопасности - утечки, compliance и т.п. Интересным разделом конференции будет онлайн-демонстрация тех или иных решений.

Надеюсь, что это мероприятие пройдет "на ура" и откроет собой новую эру в организации выставок.

ЗЫ. Надо признать, что лет 8-10 назад я уже вынашивал аналогичную идею - Интернет-выставки по ИБ (без конференции). Но тогда эта идея была даже не инновационной, а революционной и не нашла ни поддержки, ни финансирования.

12.10.08

PCI DSS обновился

Итак прошло почти два года с выпуска PCI DSS 1.1 и вот настал очередной момент обновления. 1-го октября PCI Council выпустил версию PCI DSS 1.2. К сожалению каких-то серьезных отличий от предыдущей версии я не нашел - скорее косметические изменения, чем серьезные новшества. Об этом же говорит и версия стандарта. Описание всех изменений можно найти тут.

CA покупает IDFocus

7-го октября CA купила компанию IDFocus, которая выпускала решение ACE в сегменте IdM. Детали сделки не разглашаются.

9.10.08

InfoSecurity Moscow 2008: день третий, последний

Ну вот и закончилась InfoSecurity Moscow 2008. Что знаменательного произошло в этот день? Я выступил дважды ;-) Первое выступление было на круглом столе про защищенный мобильный офис. Шел обмен мнениями, как строить защищенный виртуальный офис. Подходов было представлено 4:
- наш (т.е. Cisco)
- банка "Возрождение"
- компани Алмитек, VMWare и Aladdin
- компании Элвис+.



Мне понравилось решение Алмитека. Достаточно нестандартно. На токене, совмещенном с флешкой, крутится Винда на VMWare, а также Secret Disk. Все это вставляется в USB и запускается защищенная среда из сертифицированных элементов ;-) Этакий сейфик в недоверенной среде.

Второе мое выступление было посвящено стандартам управления ИБ. Я вообще заметил, что эта InfoSecurity у меня прошло под знаком стандартов - три доклада из 6-ти было посвящено этой теме. Надеюсь, что этот обзор будет полезен в реальной работе.

8.10.08

Symantec покупает MessageLabs

Symantec покупает MessageLabs. С одной стороны действия Symantec совершенно выбиваются из их стратегии в области ИБ - ведь закрыли же они свое направление "железных" решений по ИБ. да и Gartner не рекомендовал заказчикам рассматривать Symantec, как поставщика средств защиты информации. С другой стороны покупка MessageLabs укладывается в обшую тенденцию рынка, когда компании начинают активно вкладываться в сервисное направление. В частности в пресс-релизе о покупке говорится, что Symantec хочет развивать направление SaaS (software-as-a-service). Так что посмотрим, чем это все закончится ;-)

InfoSecurity Moscow 2008: день второй

Закончился день второй InfoSecurity Moscow 2008. Сегодня я рассказывал про малоизвестные стандарты в области ИБ. Когда готовил презентацию сам узнал много нового ;-) Как минимум про 27-ую серию ISO. Вместо 7 стандартов (от 27000 до 27006) 27-я серия будет включать 37 стандартов, в т.ч. и уже ранее выпущенных ISO, которые будут гармонизированы с новыми документами.

7.10.08

InfoSecurity Moscow 2008: впечатления первого дня

Итак, закончился первый день InfoSecurity Russia 2008. Выкладываю свои презентации. Первая посвящена теме Security Governance. Не могу сказать, что она удалась. И зал был не тот (технический для такой темы явно не подходил), и аудитория еще не проснулась, да и я погорячился, когда эту тему выставил на InfoSecurity. Все-таки пока эту тему рано поднимать. Ее аудитория - это CIO Summit'ы в разных вариантах.

Security Governance
View SlideShare presentation or Upload your own.


Вторая тема была посвящена вопросам стандартизации. Или точнее ее несовершества в России. Я думал, что я пессимист, но оказалось, что есть и более пессимистичные люди ;-) В итоге сошлись на том, что в ближайшее время единства при разработке стандартов ИБ в России не будет. Это признал бизнес и даже регуляторы ;-( Ситуация будет только хуже, т.к. на рынок активно выходит Минкомсвязь, у которого свое видение развития стандартизации ИБ (то же новое Постановление по персданным). Достаточно интересным было выступление представители Ростехрегулирования, который поделился тем, что Воронежский институт ФСТЭК в этом году выпустил 13 стандартов по ИБ (адаптация ISO/IEC) - в следующем еще будет 9. Т.е. на месте ситуация не стоит, но и за бизнес никто ничего решать не будет. Спасение утопающих...



И третьей своей презентацией я завершал сессию по рискам. Изначально планировалось, что я начну сессию, но получилось так, что я завершал. В итоге получилось неплохо - после рассказа интеграторов о том, что анализ и управление рисками - это хорошо, я выступил с рассмотрением текущих методов измерения вероятности рисков и тяжести последствий от них.



Первый день на этом закончился...

4.10.08

Системы управления уязвимостями: обзор

5 июня на конференции Positive Technologies делал обзор технологии управления уязвимостями. Вот решил выложить и саму презентацию.

Vulnerability Management
View SlideShare presentation or Upload your own.

Тенденции рынка ИБ в мире и России

2-го числа на конференции по ИБ рассказывал про тенденции в области ИБ. Презентация прилагается:

Information Security Trends
View SlideShare presentation or Upload your own.

1.10.08

Занимательная арифметика персданных

Сейчас это может быть уже не столь актуально, но когда только вышли первые документы по персданным, я заинтересовался, а сколько же реально можно срубить бабла на этой теме. И вот некоторые выкладки, которые у меня получились:
  1. Число юрлиц и индивидуальных предпринимателей, которые подпадают под требования данного законодательства (до выхода 687-го Постановления), составляет 7 миллионов.
  2. Объем рынка услуг по персданным на 2009-й календарный год составляет 300 миллиардов рублей (по оценкам одного из ФСТЭКовских НИИ, озвученных на конференции в Сочи). Это, кстати, очень заниженная оценка ;-) Если разделить 300 миллиардов на 7 миллионов, то мы получим всего 43 тысячи рублей. За такие деньги врядли можно "родить" модель угроз или какие-либо иные документы (если только эти документы не поставят на поток). Для крупных компаний эта цифра явно будет выше и измеряться не десятками тысяч рублей, а долларов. Ну да ладно... Возможно представитель ФСТЭК посчитал, что не все сразу ринутся выполнять требования ФЗ-152 и процесс этот будет только нарастать. Тогда оценка в 300 миллиардов вполне адекватна.
  3. Стоимость аттестации одного рабочего места - 10-15 тысяч рублей. А число аттестумых компьютеров у нас как минимум 7 миллионов (если предположить, что у каждого оператора персданных только один компьютер). Т.е. еще 105 миллиардов рублей. А ведь это аттестация автономных АРМ ;-) Если сюда приплюсовать сетевую составляющую и разработку документов, то цена возрастет раза в два (плюс/минус). Например, в предложении одной известной российской компании аттестация одной защищенной комнаты с двумя персоналками (включая установку двух СЗИ, продажу и монтаж генераторов шума и разработку комплекта документов) стояла цифра в 60000 рублей. За 2(!) компьютера.
  4. Могу предположить, что не менее трети всего железа и софта так или иначе будет завязано на обработку персданных (а треть - это еще пессимистическая оценка). По требования ФСТЭК все эти решения должны быть сертифицированы. Пессимистичный анализ четверокнижия говорит, что сертификат НДВ нужен на все элементы ИСПДн, а также нужен сертификат по ТУ/РД/15408. Усредненная стоимость сертификата (без НДВ) составляет около 10-15% от стоимости изделия. Если вспомнить, что у нас из западных производителей сертифицированное производство имеют только Microsoft и Cisco, то всем остальным придется сертифицировать либо единичные экземпляры, либо партии продукции (или затевать сертификацию производства, что не так уж и просто). Т.е. при рынке ПО/железа в 12 миллиардов долларов стоимость этой сертификации (пока без НДВ) составит около $1,5 миллиардов или в рублях около 37 миллиардов рублей. У российских разработчиков цена сертификата уже включена в стоимость, но и доля российских сертифицированных разработок в рынке ИТ у нас не так велика (я бы ею вообще пренебрег).
  5. Теперь, что касается НДВ. Стоимость сертификации (если представить, что западная компания все-таки выдаст исходники своих решений) какого-нибудь MS Word (учитываем зарплату, налоги и себестоимость) составит для усредненной испытательной лаборатории около 130000 долларов (18 человекомесяцев). Это без изысков - гонять АИСТа и писать бумажки. Если покопать глубже, то цена конечно же возрастет. Если решение openource, то цена может быть чуть ниже (но несущественно). Например, сертификация одной из opensource операционных систем в Росси обошлась (по слухам) около 250 тысяч долларов (4-й уровень НДВ). А таких программных решений участвую в обработке, хранении, передаче персданных десятки тысяч наименований! Ткну пальцем в небо, но предположу, что сертификация по НДВ (по минимуму и если будет налажено производство самим производителем) всего многообразия ПО и железа даст нам (точнее им) еще около одного миллиарда долларов.
  6. Для получения лицензии на ТЗКИ надо обучить минимум двух человек. Стоимость такого обучения (для получения документа государственного образца) составляет около 50000 рублей (по ценам УЦ Информзащиты). Разумеется ждать, что каждый оператор обучит по двух человек не приходится и рынок аутсорсинга здесь сыграет в полную силу (не имея ресурсов и лицензий можно уйти под крышу лицензиата ФСТЭК). Но даже, если каждый сотый оператор обучит своих людей, то мы имеем 140 миллионов долларов (вот где учебным центрам можно порезвиться).
  7. Какие еще у нас есть затраты? Лицензирование ТЗКИ. По сравнению со всем остальным затраты копеечные - всего несколько тысяч рублей за саму лицензию (мероприятия для получения лицензии я не рассматриваю).
  8. Стоимость работ по противодействию ПЭМИН и закупке сертифицированных защитных решений оценить сложно, но попробую. Считается, что адекватная цена защиты одного компьютера (если сложить все требования ФСТЭК и взять сертифицированный Windows или Linux) составит около 200 долларов (включает антивирус, токены и т.п.). Защита контура ИСПДн в среднем на компанию может обойтись тысяч в 5-10 долларов (если сильно экономить). Защита серверов врядли обойдется дешевле тысячи на один узел. Итого получаем, что для оператора среднего масштаба очень усредненная оценка стоимости защитных решений (без ПЭМИН и организационных мероприятия) составит около 22-25 тысяч долларов. Умножаем это цифру на 4 миллиона (именно столько у нас операторов-юрлиц; индивидуалов не считаю) и выходим на 80-100 миллиардов (долларов!). А ведь это только стоимость лицензий. Про совокупную стоимость владения, которая превышает цену лицензии в 5-7 раз я даже не говорю. Как и про ПЭМИН (этой темой не владею).
  9. Все ли мы посчитали? Нет. Всякие оргмеры, обучение персонала, набор специалистов в отделы ЗИ, бюрократические процедуры я не оценивал ввиду сложности этой задачи. Есть и еще одна статья расходов, которую стоило бы учесть, но сейчас не представляется возможным из-за отсутствия сколь-нибудь значимой статистики. Речь идет о наказании за невыполнении требований регуляторов. А там оно и не такое уж и малое, если вчитаться в законы. Например, ст.13.11 - до десяти рублей за КАЖДОЕ нарушение. А вот за невыполнение предписания ФСТЭК у нас штраф по КоАП уже составляет 500 тысяч рублей! А таких статей, по которым можно "попасть" у нас пару десятков ;-)
Итак, что мы получили? Весь рынок информационной безопасности в России в прошлом году оценивался в 360 миллионов долларов!!! Сейчас мы насчитали "обязательных" требований по безопасности персданных на 3 триллиона рублей или 120 миллиардов долларов! Чтобы представить себе эту цифру могу сказать, что ВВП России в прошлом году (по данным МВФ) составил 2 087 815 миллионов долларов (оценки Всемирного банка и ЦРУ не сильно отличаются от этой цифры); доходная часть бюджета РФ на 2007 год составляет 6965,3 млрд руб. (расходная - 5463,5 млрд руб.), а емкость рынка ПО в 2007 году в России составила 1,87 млрд.долларов (около 50 миллиардов рублей). А весь рынок ИТ в России (включая услуги, поставки оборудования и т.п.) составил всего 17,6 миллиардов (440 миллиардов рублей). А ведь эти оценки были сделаны ДО выхода требований ФСТЭК.

Иными словами, рынок персданных у нас должен составить почти половину доходной части бюджета или около 6% от ВВП!