30.9.09

Стандарты безопасности АСУ ТП

Вчера на InfoSecurity выступил и со второй темой - "Стандарты безопасности АСУ ТП". К сожалению, несмотря на трехкратное напоминание, организаторы так и не поставили эту тему в программу, поэтому аудитория была не готова к моему выступлению - вопросов почти не было ;-(

Но зато мне удалось систематизировать собственные знания в области международных и российских (есть и такие) стандартов безопасности АСУ ТП. Получилось, на мой взгляд неплохо. Есть о чем подумать и тем, кто работает с АСУ ТП, и тем кто защищает, и тем кто разрабатывает свои локальные стандарты.



ЗЫ. Опять же я продолжил тему, начатую (тут и тут) в прошлом году, и посвященную стандартам. Да и курс по 500 стандартам наполняется ;-)

29.9.09

Как в пылу борьбы за R и C не забыть про G?

Сегодня у меня два выступления на InfoSecurity Russia 2009. Первое из них посвящено тематике Security Governance. Очень сложно за 10-15 минут осветить эту непростую тему. Поэтому я сконцентрировался на ключевых концепциях.



PS. На прошлогодней InfoSecurity Russia 2008 я уже выступал с похожей темой, но решил вновь к ней обратиться, т.к. сдвигов пока не видно.

28.9.09

Об активности и пассивности операторов ПДн

Участвуя в последнее время в различных публичных и не очень мероприятиях по тематике персданных обратил внимание на интересный момент - абсолютная пассивность операторов персданных ;-(

Задавая вопрос регуляторам мало кто называет свою организацию, опасаясь, что придут и проверят (хотя это малореализуемо на практике). Спорные вопросы федерального закона и постановлений правительства тоже никто не спрашивает официальным путем. А ведь, отвечая на вопросы на публичных мероприятиях, представитель регулятора в общем-то не озвучивает никакой официальной позиции, на которую можно сослаться в будущем. Такая позиция может быть получена только при официальном запросе в федеральной орган исполнительной власти. А этого опять никто не делает, опасаясь, что "придут и накажут за инициативу". При выступлениях представителей АРБ и ЦБ все пытаются узнать их мнение, а на прямой вопрос со стороны этих организаций "А вы присылали нам официальный запрос на получение рекомендаций?" все отвечают "А вы разве ответите?" ;-) Т.е. все ждут рекомендаций, как вести себя и что делать, но никто не хочет проявить инициативу и спросить самому у регулятора, МинЮста и т.п. разъяснение. А ведь мы живем не в той стране, чтобы регуляторы самостоятельно разъясняли какой-то нормативный акт и давали какие-то рекомендации.

Вот и получается полный вакуум. Операторы хотят разъяснений, но не готовы их запрашивать от своего имени, а регуляторы и иные "весомые" организации готовы (или обязаны) их давать, но не хотят делать это по собственной инициативе. А в итоге пострадают сами операторы, которые чего-то побоялись спросить.

А 1-е января близится...

26.9.09

Дворники занялись персданными

Интересная ссылка найдена на блоге по ПДн. Суть проста - инженер завода решил стать предпринимателем и в качестве бизнеса задумался податься в тему персданных. По его мнению тема денежная, спрос большой, порог вхождения нулевой, предложение отсутствует. И он почти прав ;-) Если уж обычный заводской инженер "не в теме" увидел это, то что ж говорить о регуляторах и интеграторах безопасности ;-)

Хороша концовка - "Да, в теме персональных данных и пр. - я не профи, разбираюсь пока поверхностно (буквально, как только заинтересовался - начал изучать ФЗ, сопутствующие материалы)". Как отмечено в блоге на ЖЖ, скоро уже и дворники пойдут переквалифицироваться в специалистов по персданным ;-)

25.9.09

Типовой акт классификации ИСПДн

Для курса по персданным сваял типовой акт классификации ИСПДн. Это некоторая компиляция из разбросанных по Интернет примеров акта классификации.

Типовой акт классификации специальной ИСПДн

24.9.09

Новая версия курса по персданным

Предыдущую версию курса по персданным я обновлял в июне и вот пришло время для новых изменений. Отчитатанную 22-23-го числа версию пополнили следующие моменты:
  • ГОСТ Р ИСО/МЭК 19794 по биометрическим ПДн (10 частей)
  • Ссылки на российские ресурсы по ПДн
  • Действие договоров, заключенных до принятия ФЗ-152
  • Примеры иска в суд и обращений субъектов ПДн к операторам
  • Результаты проверок ФСТЭК
  • Мотивированное непредоставление данных на запрос субъекта ПДн согласно ст.14 ФЗ-152
  • Принцип добросовестности при обработке ПДн через Интернет
  • Выгодоприобретатели с точки зрения ФЗ-152
  • Постановление Правительства №512 по биометрическим ПДн

23.9.09

Я на InfoSecurity Russia

Очень долгая дискуссия по поводу моего участия в InfoSecurity наконец-то разрешилась в пользу участия ;-) Правда из заявленных мной еще в июне докладов место осталось не для всех ;-(

Заявлял я следующие темы:
  • В круглый стол: "GRC: что это такое?" – «Как в пылу борьбы за C и R не забыть, что такое G»
  • В секцию "Вопросы реализации требований законодательства о персональных данных" - "Как читать ФЗ-152 так, чтобы оптимизировать свои затраты на защиту прав субъектов персональных данных и самих этих данных" или "Разработка частной модели угроз своими силами".
  • В круглый стол "Аутсорсинг информационной безопасности" – "Какие требования необходимо предъявить к поставщику услуг безопасности. Практические рекомендации"
  • В секцию "Информационная безопасность и непрерывность бизнеса" – "Как законодательство по информационной безопасности может парализовать бизнес"
  • В круглый стол "Человеческий фактор и информационная безопасность" - "Психология поведения пользователя в условиях рисков безопасности или почему современные средства защиты неспособны бороться с современными угрозами?"
  • В секцию "Проблемы ИБ при построении информационных систем с использованием моделей "облачные вычисления" и "ПО как сервис (SaaS)" – "Перспективы модели Security-as-a-Service в России. Что пользуется популярностью на Западе?"
  • В круглый стол "Информационная безопасность: организация, экономика, управление" – "Как измерить безопасность рублем? Методики оценки инвестиционной привлекательности проектов по ИБ" (но тема в программе осталась).

Но выступать буду только по двум (спасибо Positive Technologies за приглашение):
  • "Как в борьбе за R и C, не забыть про G" в круглом столе "GRC: что это такое?" (ведущий - Юрий Максимов, Positive Technologies)
  • "Стандарты безопасности АСУ ТП" в круглом столе "Как соответствовать десяткам стандартов, и стоит ли вообще задумываться о Compliance management?" (ведущий - Юрий Максимов, Positive Technologies).

Как всегда, презентации будут выложены сюда после выступления.

22.9.09

Как защищают ПДн в Латвии?

Вчера я вкратце описал, как защищают ПДн в Литве. А что в Латвии? Одноименная государственная инспекция по защите персональных данных не только отвечает за защиту прав субъектов - она же вырабатывает и требования по защите ПДн. Да, они являются обязательными, но... ничего сверхествественного в них я не заметил. Все логично, доступно и понятно. Никаких генераторов шума, навесных и обязательно сертифицированных средств защиты, никакой сертификации на НДВ, никаких обманных систем... Все предельно просто:
  • использование паролей (и нет требования по их длинам и по хранению неудачно введенных паролей)
  • использование шифрования (и не важно DES, AES там или ГОСТ)
  • контроль и регистрация доступа к ПДн
  • разработка регламентов и документов
  • ежегодный аудит
  • уведомление лиц, работающих с ПДн, о защитных мерах.

Все! Никакой аттестации, никакого лицензирования, никакого маркирования носителей ПДн, никакой функции отката от удаления вирусов, никакой классификации и модели угроз... И вообще, весь документ, описывающий требования по защите ПДн, помещается на одной странице формата А4. На одной!!! И подписан премьер-министром и министром иностранных дел Латвии, т.к. на самом высоком уровне. У нас тоже такие обязательные требования может вырабатывать только Правительство. Только на практике документы подписаны зампредом ФСТЭК.

ЗЫ. А сайт латвийской инспекции переведен на английский и русский языки (помимо латвийского).

21.9.09

Почему Роскомнадзор ничего не делает для защиты прав субъектов?

Риторический вопрос в заголовке заметки, я задаю себе в последнее время все чаще. занявшись вплотную темой защиты персональных данных в Европе и США, прихожу к выводу, что наши и "их" регуляторы - это "небо и земля". В Европе и США цель координирующего органа по защите прав субъекта одна - соблюсти баланс интересов субъектов и операторов ПДн. При этом, они делают все, чтобы операторы понимали все требования законодательства, не собирали лишних персональных данных и т.п. В США даже советуют как обезличивать ПДн, чтобы по минимуму подпадать под требования нормативных актов. А у нас?

Ну про ФСТЭК и говорить особо не имеет смысла. Все прекрасно знают, как они предлагают защищать ПДн. Но Роскомнадзор? Он то может облегчить жизнь операторам? Он может выработать рекомендации по защите прав субъектов, по обезличиванию, по снижению объемов обрабатываемых ПДн... Но нет, то ли не досуг ему это делать. То ли он не знает, что рекомендовать. То ли ситуация еще хуже - у него основная цель кошмарить бизнес, приходя с проверками и трактуя законодательство так, как выгодно ему.

А что в других странах? Возьмем, к примеру, близкую к нам Литву. Функции уполномоченного органа в ней выполняет Государственная инспекция по защите персональных данных. В 2004-м году австрийский институт по правам человека имени Людвига Больцмана был запущен проект PHARE, который был направлен на, внимание, повышение осведомленности операторов ПДн в деле защиты этих самых ПДн для многих стран Евросоюза. На сайте инспекции можно найти множество рекомендаций по защите и ПДн и их субъектов, разработанных в рамках этого проекта. Причем эти рекомендации построены таким образом, что понятны неспециалистам в области безопасности и ИТ. Например, рекомендации по защите ПДн в Интернет состоят из следующих разделов:
  • участники Интернет-обмена
  • Интернет-сервисы
  • риски нарушения прав субъектов ПДн
  • применение европейского законодательства по защите ПДн к Интернет
  • инструменты защиты ПДн в Интернет (интересно что помимо анонимизации разрешается и псевдо-анонимизация).

В разделе про Интернет-сервисы рассматриваются почта, Web-серфинг, новостные группы и чаты. По каждому сервису рассматриваются риски, особенности работы с ПДн, рекомендации по защите и т.п. Например, по почте рассматривается не только классическая e-mail по POP3 или SMTP, но и Webmail, а также проблема спама, справочников почтовых адресов и т.п.

И такие рекомендации даны не только для Интернет, но и для судов, правоохранительных органов, общедоступных справочников ПДн, образования, телекоммуникационного сектора и т.п.

Может у них работают сотни сотрудников, которые это все делают? Нет, всего 33 человека! Почему наш уполномоченный и далеко не независимый орган так не может? Вопрос в пустоту...

18.9.09

Что такое адекватная защита ПДн?

Как гласит 12-я статья 152-ФЗ, для передачи ПДн в иностранные государства необходимо убедиться, что они обеспечивают адекватную защиту прав субъектов ПДн. Что это такое и как убедиться, что страна, с которой вы собираетесь общаться, входит в список "разрешенных" стран? ФЗ на этот вопрос не отвечает, как и любой другой российский нормативный акт.

Единственное, где можно встретить разъяснение этого момента, - отчет о деятельности Роскомнадзор по защите прав субъектов ПДн в 2008 году. На 21-й странице этого отчета сказано, что "адекватную защиту персональных данных обеспечивают страны, подписавшие и ратифицировавшие Конвенцию о защите прав физических лиц при автоматизированной обработке персональных данных. В первую очередь, это страны – члены Европейского Союза: Австрия, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Ирландия, Испания, Италия, Латвия, Литва, Люксембург, Мальта, Нидерланды, Польша, Португалия, Румыния, Словакия, Словения, Финляндия, Франция, Чехия, Швеция, Эстония.

Вторая группа - это страны, не входящие в зону Европейского Союза, но имеющие нормативные правовые акты в области защиты персональных данных и уполномоченный надзорный орган по защите прав субъектов персональных данных. Это - Андорра, Аргентина, Израиль, Исландия, Канада, Лихтенштейн, Норвегия, Сербия, Хорватия, Черногория, Чили, Швейцария, Южная Корея, Япония".

Евросоюз добавляет к этим странам еще США, о-в Мэн, о-ва Гернси и Джерси (три последних - территория Великобритании).

А вот что делать, если страна не вошла в этот список? В него, например, не входят Украина, Белоруссия, Казахстан и другие наши ближайшие соседи, с которыми российские организации часто ведут совместный бизнес. Российские регуляторы не дают адекватного ответа на этот вопрос. Все, на что они ссылаются, - это п.3 ст.12 ФЗ-152, где перечислены условия передачи ПДн в страны, не обеспечивающие адекватной защиты прав субъектов ПДн.

Мне представляется гораздо более интересным документ Евросоюза "FREQUENTLY ASKED QUESTIONS RELATING TO TRANSFERS OF PERSONAL DATA FROM THE EU/EEA TO THIRD COUNTRIES". Он приводит не только алгоритм решения данной задачи, но и в виде FAQ (ЧАВО) отвечает на многие животрепещущие вопросы.

17.9.09

ФСТЭК проверил 80 тысяч ИСПДн

Вот читаю на портале ИСПДН.ру обзор сочинской конференции по ИБ в разрезе темы персданных. Ну про отказ от переноса сроков, обязательность требования закона особенно для банков, добрую волю регуляторов "на совершенствование методической базы и всяческой поддержки операторов персональных данных" мы слышали неоднократно. А вот резюме доклада представителя ФСТЭК вызывает определенный интерес.

Как и, главное, когда ФСТЭК успела проверить 80 тысяч ИСПДн в части соответствия четверокнижию, я не понимаю ;-( Но интересен перечень обнаруженных недостатков. Могу предположить, что именно их и будут "искать" представители ФСТЭК при осуществлении функции госконтроля и надзора (если найдут правовые основания для проверок и обойдут требования ФЗ-294). Итак перечень таков:
  • Отсутствие требований по технической защите персональных данных в ТЗ и проектной документации. Почти 100% обнаруженное нарушение - мало кто вообще в ТЗ и проекте на свою созданную когда-то систему защиты включал этот раздел, т.к. и требований-то таких раньше не было.
  • Незавершенность классификации ИСПДн или ее ошибочность. Интересно на основании какого документа ФСТЭК определяет ошибочность, учитывая что за классификацию отвечает оператор ПДн, а не регулятор.
  • Невыполнение работ по анализу угроз информационной безопасности. Интересно, сколько из 80 тысяч ИСПДн относилось к разряду специальных? Если это типовой сценарий, то получается, что многие классифицирует свои системы как специальные. А если большинство систем типовых, то значит и для них потребуется разработка модели угроз, несмотря на наличие базовой модели.
  • Незавершенность разработки необходимого комплекта организационно-распорядительной документации. За 20 дней прочитать все документы (помимо остальных проверок) и определить незавершенность? Монстры!
  • Отсутствие документов, регламентирующих порядок передачи персональных данных третьим лицам.А ФСТЭК-то тут причем? Это прерогатива РКН проверять такой вопрос. К защите ПДн он точно не относится; скорее к защите прав субъектов.
  • Отсутствие необходимых мер и сервисов защиты информации. Сервисов ИБ? Прогресс однако в используемой терминологии. Скоро начнут использовать термин "аутсорсинг" ;-)
  • Использование несертифицированных СЗИ. Т.е. либо проверяли по классическому четверокнижию типовые ИСПДн, либо требование по сертификации стали распространять и на спецсистемы, либо проверяемые не знали, что и когда могут проверять надзорные органы. Либо проверяли лицензиатов ФСТЭК. Но где ж их нашли столько, что у них набралось 80 тысяч ИСПДн?
  • Невыполнение работ по аттестации ИСПДн. Ну это понятно ;-)
  • Непринятие мер по учету машинных носителей. Ну это совсем клиника. Считать каждую флешку (а я видел варианты с наклейкой голограмм на каждую флешку) - это увеличение числа сотрудников ИБ в разы. Зато занятость населения возрастет. Все-таки большую социальную задачу решает ФСТЭК своими требованиями.
  • Отсутствие в должностных регламентах ответственных лиц за защиту персональных данных и их полномочий по контролю за выполнением требований по защите. А откуда это требование появилось? По ПП-781 у нас должен быть назначен всего один ответственный и, как правило, это руководитель отдела ИБ.
  • Отсутствие достаточного количества квалифицированных специалистов. А сколько достаточно? В документах ФСТЭК про это ни слова. Или считается, что при лицензировании нужно минимум 2 специалиста со свидетельствами государственного образца? Но тогда получается, что либо всем надо пойти получать такое свидетельство, либо ФСТЭК проверял организации, где специалистов по ИБ вообще не было.

ЗЫ. Позиция АРБ в желании "ухода" из под ФСТЭК, РКН и ФСБ в части персданных названа эгоистичной ;-) Еще бы. Самые "денежные" организации уходят из под бдительного ока.

ЗЗЫ. А ФСБ всем рекомендовала переходить в части криптографии на аутсорсинг ;-)

16.9.09

Новая версия документов ФСБ по ПДн

Вчера, 15-го сентября наступил последний объявленный срок подготовки проекта приказа ФСБ России по персональным данным. После этого он должен пройти процедуры согласования в ФСБ России, ФСТЭК России и будет в конце ноября - начале декабря направлен на регистрацию в Минюст России.

Что появилось в новом документе неизвестно ;-( Я свои предложения подавал в ФСБ еще в июне. Надеюсь, что-то из них было учтено в новой версии документов ФСБ. Жаль, что ФСТЭК не просил, пусть и односторонней, но все-таки обратной связи.

Предложения для ФСБ по персданным

ЗЫ. На bankir.ru можно найти и другие предложения в ФСБ по теме персданных.

15.9.09

Trustwave покупает Vericept

Компания Trustwave, известная на рынке Managed Services и проверки соответствия требованиям PCI DSS, покупает компанию Vericept, известную на рынке DLP. Детали сделки не разглашаются.

14.9.09

Детальная программа курса "Построение модели угроз"

Я уже писал, что затеял курс "Построение модели угроз". Учитывая обязательное требование наличия модели в документах по персданным, вопрос ее построения не праздный. А оценив сколько стоит разработка такой модели - вопрос не праздный вдвойне. На выходных читал этот курс и теперь могу описать программу более детально, чем это было сделано в июле.

Основная цель - анализ существующих подходов к разработке модели угроз. Причем акцент делается на том, "как правильно", а не как надо "для галочки" (хотя и его тоже рассматриваю). Большое внимание уделяется различным стандартам, которые упоминают про разработку модели угроз.

  1. Что такое угроза и риск?
  2. Классификация источников угроз
  3. Характеристики угроз и элементы риска
  4. Анализ рисков vs. анализ угроз
  5. Зачем нужно моделирование угроз
  6. Общий подход к моделированию угроз в современном мире
  7. Качественная и количественная оценка: сравнение подходов
  8. Можно ли доверять экспертам? Метод Дельфи
  9. Моделирование угроз на разных этапах жизненного цикла системы
  10. 4 стратегии анализа рисков
  11. Процесс моделирования угроз
  12. Идентификация угроз
  13. Анализ последствий (ущерба)
  14. Классификация последствий
  15. Анализ неопределенностей (чувствительности)
  16. Как проверить адекватность модели угроз?
  17. Классификация нарушителей
  18. Каталоги угроз
  19. 16 методов анализа рисков и определения опасностей. Как выбрать адекватный метод?
  20. Оценка рисков
  21. 5 методов оценки вероятности угроз
  22. Потенциал нападения
  23. Какая градация вероятностей угроз правильная? 9-тиуровневая, 6-тиуровневая, 3-хуровневая...
  24. Как оценить ущерб? Может ли ущерб измеряться не деньгами?
  25. Ценность материальных и нематерильных активов. Имеет ли информация стоимость?
  26. 12 методов оценки стоимости информации
  27. Зарубежные и отечественные методики моделирования угроз - ГОСТ Р ИСО/МЭК 13335-3-2007, ISO\IEC TR 13569, ГОСТ Р 51344-99, "дерево атак", модель угроз Microsoft (методы DREAD и STRIDE), модель угроз OWASP, модель Trike, модель N-Softgoal, модель Digital Security, методики ФСТЭК для персональных данных, коммерческой тайны и ключевых систем информационной инфраструктуры, методика ФСБ и т.п.
  28. Примеры моделей угроз
  29. Средства автоматизации моделирования угроз
  30. Как оформить модель угроз?

Среди рассматриваемых стандартов по данной теме: ГОСТ Р 52448-2005, ГОСТ Р ИСО/МЭК 13335-3-2007, ГОСТ Р ИСО/МЭК 13335-4-2007, ГОСТ Р 51901.1-2002, MAGERIT, ГОСТ 51275-2006, ГОСТ Р 51344-99, ГОСТ Р ИСО/МЭК18045, ISO\IEC TR 13569, IT-Grundschutz Methodology, AS/NZS 4360:2004, EBIOS, MEHARI, OCTAVE, FRAP, NIST 800-30, MG-2, MG-3, SOMAP, IRAM, РС БР ИББС-2.2-2009 "Методика оценки рисков нарушения информационной безопасности", Cisco SAFE и т.п.

Ближайший курс пройдет в Москве 28-го сентября в Институте банковского дела АРБ (очно и онлайн).

Презентация курса: часть 1, часть 2, часть 3, часть 4 и часть 5.

10.9.09

CiscoExpo в Москве: безопасность с разных сторон

12-14 октября в Москве пройдет десятая, юбилейная конференция CiscoExpo. Среди прочего на конференции, как и все годы до этого, запланирован поток по безопасности. На нем будут рассмотрены различные аспекты построения защищенных сетей:
  • эволюция вредоносного ПО
  • будущее информационной безопасности глазами Cisco
  • архитектура построения защищенной сети Cisco SAFE
  • репутационные технологии защиты
  • безопасность унифицированных коммуникаций
  • управление конфигурациями средств защиты и сетевых устройств и их проверка соответствия нормативным требованиям
  • технология NAC, 802.1x
  • безопасность систем хранения данных (SAN)
  • безопасность беспроводных технологий
  • и т.д.
В программу данного потока также включен круглый стол по персональным данным, который веду я ;-)

В рамках CiscoExpo впервые пройдет отдельная сессия по интегрированным решениям, на которой российские разработчики представят свои совместные с Cisco решения. В частности будут представлены совместные продукты компании Cisco и компаний АйТи (мониторинг и управление ИБ), ИнфоТеКС (защита IP-телефонии), Positive Technologies (интеграция Cisco MARS и MaxPatrol), Infowatch, ЦАИР (предоставление услуги "Родительский контроль"), Лаборатория Касперского (антивирус на маршрутизаторах).

Также в дни проведения CiscoExpo пройдет бесплатное сертификационное тестирование Cisco, в т.ч. и на статус Cisco Certified Security Professional (CCSP).

Помимо бесплатного тестирования вы можете попробовать свои силы в конкурсе Cisco Challenge, в рамках которого участникам необходимо будет проявить смекалку в работе с основными сетевыми технологиями для успешного выполнения заданий. В этом году среди участники будут параллельно соревноваться в решении задач по конфигурации из следующих курсов Cisco:
  • BSCI / Построение масштабируемых сетей на базе оборудования Cisco
  • SNRS / Обеспечение безопасности сетей, построенных на маршрутизаторах и коммутаторах Cisco
  • SNAF / Основы обеспечения безопасности сетей с помощью Cisco ASA.

Приходите на CiscoExpo!

9.9.09

Безопасность в сослагательном наклонении - 2

Я уже писал про Концепцию развития безопасных информационных технологий: обеспечение защиты информации в проектах информатизации России, датированную 92-м годом. И вот, разгребая библиотеку, наткнулся на очередное описание того, как все должно было быть. Статья Игоря Алексеевича Калайды датирована 2005-м годом. На тот момент он был зам.начальника отдела ФСТЭК и поэтому в статье описано видение этого ведомства в области нормотворчества "изнутри".

Статья расположена здесь, а сюда я вставлю только иллюстрацию из нее. Вот так должна была выглядеть система нормативно-методических документов ФСТЭК. Красным выделены уже принятые документы. Интересно, что с тех пор ничего так и не было принято. Видимо ФСТЭК (и выпуск документов по ПДн косвенно это подтверждает) покинули все квалифицированные кадры, способные довести до ума этот план и принять уже разработанные документы.

8.9.09

Спам и персданные

Вы думали я буду писать про то, как спамеры используют наши персданные? Ан нет. Речь идет о привлечении внимания к теме персданных с помощью спама. На днях пришла спамерская рассылка с приглашением поучаствовать в двухдневном семинаре "Персональные данные. Что это такое и как их защищать". Имя организатора, конечно же, не указано, как и его e-mail. Только телефон ;-)

За сентябрь - это уже 4-е или 5-е мероприятие, посвященное персданным. Думаю в октябре будет еще больше (Cisco тоже будет проводить круглый стол в рамках CiscoExpo). Страшно подумать, что будет в ноябре ;-)

Внимание к этой теме впредверие 1-го января накаляется ;-) Интересно будет посмотреть, что изменится после 1-го января? Будут ли также активными организаторы семинаров, интеграторов, производителей средств защиты и т.п.?

Отчет Делойт по персональным данным

Делойт опубликовал отчет "Оценка готовности к выполнению требований федерального закона "О персональных данных" Результаты исследования".

Отчет Делойт

7.9.09

Слухи о новых поглощениях на ниве безопасности

PCWeek/RE опубликовал статью "ИТ-отрасль под прессом", в которой анализируются потенциальные слухи о новых поглощениях и слияних на мировом ИТ-рынке. В области ИБ достаточно интересны два "слуха":
  • Cisco можеть купить EMC, а вместе с ней бизнес RSA Security, enVision (система корреляции ИБ), борьбу с мошенничеством (Fraud Management), DLP и DRM-решения и т.д.
  • HP может купить McAfee, которая очень хочет продаться самой крупной ИТ-компании мира. Также HP может купить SPI Dynamics - поставщика программных средств защиты.

Что из этого станет реальностью, а что останется слухом, покажет время. Но слухи вполне реальные, учитывая, что объем наличных средств (что в условиях кризиса очень важно) у Cisco - 26,7 миллиардов долларов, а у HP - 10.2. Но первая сделка выглядит более реальной, чем вторая. Особенно учитывая, что HP завершает поглощение поставщика ИТ-услуг EDS (стоимость сделки - 13 млрд.долларов) и сил на новую и эффективную интеграцию у нее может не остаться.

5.9.09

SecurityTube

Наткнулся на интересный проект (в стадии беты) - SecurityTube. Как понятно из названия он объединяет всякие ролики на тему безопасности.

4.9.09

Разработка модели угроз только на основании их вероятности

НПП ИТБ опубликовало ряд "аналитических" материалов, в которых есть интересный тезис о том, что для разработки модели угроз достаточно посчитать только их вероятность. А для этого предлагается опираться на статистику уязвимостей и успешных атак. При этом делается классическая ошибка - статистика берется общая (с SecurityLab), а вывод об угрозе на ее основе делается для конкретной компании. Я не говорю, что статистика СекЛаба плохая, но слишком уж она общая - деления по ОС и приложениям в ней нет. А без этого делать хоть мало-мальские серьезные выводы бесполезно.

В качестве доказательства такого заблуждения достаточно привести банальный пример - выбор системы защиты для моего домашнего компьютера. Среди распространенных угроз по мнению НПП ИТБ сегодня можно выделить компрометацию системы и повышение привилегий. Исходя из выводов специалистов НПП ИТБ, чтобы защититься от этих угроз недостаточно использовать IPS или антивирус - они неспособны бороться с проблемой. Рекомендация - поставить КСЗИ "Панцирь" ;-) Но вот беда - я дома использую MacBook и с названными угрозами (как и с большинством других - спамом, вирусами, троянами, червями) пока не сталкивался (за больше чем год активного серфинга в Инете).

Также авторы аналитики забыли, что для того, чтобы считать угрозу актуальной, надо оперировать не только вероятностью ее реализации, но и потенциальным ущербом. Они же поступили просто, - напрочь отметая экспертную оценку как адекватный метод оценки, самые вероятные угрозы назвали и самыми опасными ;-)

Еще один пассаж вызвал мой интерес. В качестве безусловной истины был назван "следующий тезис – защитить можно только тот объект, который локализован (обладает заданным фиксированным набором), как в части подключаемых устройств, так и в части используемых приложений". В качестве доказательства безусловности приведена ссылка на РД ФСТЭК по АС (от 1992-го года). Вот интересно, как тогда мой корпоративный лэптоп защищается уже 4 года? А ведь ни в части подключаемых устройств (как это сделать для Wi-Fi, Bluetooth и даже обычного сетевого подключения с динамической адресацией?), ни в части используемых приложений, я не могу похвастаться формализацией - для защиты используются совершенно иные принципы, которые отметаются авторами отчета как неэффективные.

Еще интересным я посчитал другую "очевидную" истину для специалистов НПП ИТБ - якобы в корпоративных системах должен использоваться только принцип "что не разрешено - запрещено". Я уже вступал в полемику с представителями НПП ИТБ на bankir.ru и опять повторюсь - такой принцип не работает в сколь-нибудь крупной, динамичной и открытой организации. Например, в Cisco. Как будет служба ИБ разрешать 70 тысячам сотрудников доступ на каждый чих СЗИ, изначально непрописанный в политике? И сколько таких сотрудников ИБ должно быть? И как будут "довольны" пользователи в такой ситуации? На бизнес наплевать, зато ИБ будет на высоте. В качестве примера "неудачной" СЗИ названа система защиты в ОС Windows. Правда потребитель почему-то тратит миллиарды долларов на продукцию именно Microsoft, а не апологетов параноидальной безопасности в ущерб бизнесу ;-)

Мелочи, вроде невозможности рекламируемого средства бороться с угрозами на уровне бизнес-приложений (как это преподносится), я даже не буду описывать - про это на bankir.ru уже немало копий было сломано.

ЗЫ. Зато реклама СЗИ от НПП ИТБ удалась ;-)

ЗЗЫ. Материалы конца 2009-го года опираются на статистику середины 2008-го. Толи материал раньше не могли опубликовать, толи новой статистики не нашли.

ЗЗЗЫ. Опять критикую ;-( Но вчерашние и позавчерашние документы (надеюсь были полезны) немного нивелируют эту критику ;-)

3.9.09

Виды тайн в российском законодательстве

Заметка на блоге Infowatch натолкнула меня на мысль, что я давно хотел свести воедино все виды тайн, которые упоминаются в нашем законодательстве. У Николая их получилось 16, но это связано с тем, что он считал только те, за которые существует уголовная ответственность (таких оказалось всего 13). Я проштудировал имеющееся законодательство и составил список из 50 видов тайн, на которые ссылаются те или иные нормативно-правовые акты уровня федерального закона или постановления правительства. В таблицу я вставлял не все ссылки на законы, а только некоторые (по той же гостайне этих документов свяше 20, а по персданным - свыше 40).

Общее впечатление - понятие тайн у нас так и не сформировано до конца. Пресловутый Указ №188 является не единственной попыткой классифицировать разные виды тайн - я насчитал около десятка разных классификаций. И каждая имеет право на жизнь. А уж толкований понятия "тайна" и "конфиденциальная информация" (КИ) и того больше. Чего только стоит уравнивание конфиденциальной информации с гостайной, противопоставление этих понятий, включение тайны связи в КИ или установление ее на одном уровне иерархии с КИ, и даже невключение КИ в разряд охраняемой законом информации.

Виды тайн в российском законодательстве

ЗЫ. Если кто обнаружит неточности или упущения, то буду благодарен за указание на них.

2.9.09

3 интересных документа по ПДн

Компания Яндекс любезно поделилась тремя документами, описывающими различные аспекты ФЗ-152:
  • О трудностях исполнения ФЗ-152
  • Справка по европейскому опыту технической защиты ПДн
  • Справка по ФЗ о лицензировании применительно к ПДн.


О трудностях исполнения 152-ФЗ

Справка по европейскому опыту технической защиты ПД

Справка по ФЗ О лицензировании применительно к ПД

ЗЫ. При использовании прошу ссылаться на Яндекс.

1.9.09

В ожидании кибер-Катрины

Произошедшая 17-го августа трагедия на Саяно-Шушенской ГЭС и требование премьер-министра Путина проверить все критически важные объекты (КВО) страны случайно совпали с выходом 19-го августа проекта нового федерального закона США S.773 ("Cybersecurity Act of 2009"). Преамбула этого документа, планируемого к принятию в сентябре этого года, показывает, что аналогичный нормативный акт может появиться у нас... только не такого качества ;-(

Подробнее на Компьютерре...