30.01.2010

Анекдот (баян, но про ИБ)

1. Одна человеческая клетка содержит 75Мб генетической информации.
2. Один сперматозоид содержит 37.5Мб.
3. В одном миллилитре содержится около 100 млн сперматозоидов.
4. В среднем, эякуляция длится 5 секунд и составляет 2.25 мл спермы.
5. Таким образом, пропускная способность мужского члена будет равна
(37.5Мб x 100M x 2.25)/5 = (37 500 000 байт/сперматозоид x
100 000 000 сперматозоид/мл x 2.25 мл) / 5 секунд = 1 687 500 000 000
000 байт/секунду = 1,6875 Терабайт/с

Получается, что женская яйцеклетка выдерживает эту DDoS-атаку на
полтора терабайта в секунду, пропуская только один выбранный пакет
данных и является самым офигенным в мире хардварным фаерволом... Но
тот один пакет, который она пропускает, кладет систему на 9 месяцев...

29.01.2010

О рекомендациях ЦБ/АРБ по персданным

Меня часто спрашивают, а где те рекомендации ЦБ/АРБ, о которых я часто упоминал и которые должны были быть готовы в декабре 2009-го года? Думаю, пора ответить всем ;-)

Из преамбулы: с целью выработки конкретных рекомендаций по выполнению требований ФЗ "О персональных данных" и требований ФСБ России, ФСТЭК России и Роскомнадзора, а также с целью устранения типовых ошибок организаций банковской системы РФ, допускаемых при реализации законодательства в области персональных данных, Банком России и Ассоциацией российских банков разработан и согласован с регуляторами комплект документов для организаций БС РФ по приведению их в соответствие с требованиями Федерального закона «О персональных данных». Эти документы включают:
  1. Отраслевую частную модель угроз безопасности персональных данных в организациях БС РФ.
  2. Доработанные для использования в целях защиты персональных данных в соответствии с Отраслевой моделью угроз стандарты Банка России отраслевого применения СТО БР ИББС-1.0-20хх «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (далее стандарт Банка России СТО БР ИББС-1.0-20хх) и СТО БР ИББС-1.2-20хх «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0».
  3. Рекомендации по выполнению законодательных требований при обработке персональных данных в организациях БС РФ.
Собственно к первому документу я и приложил, в основном, свою руку. Основные отличия данных рекомендаций от ранее описанных заключаются в следующих моментах:
  • согласование с регуляторами. По крайней мере ЦБ прикладывает к этому огромные усилия. Если все пойдет как задумано, то у банков появится единый набор документов по безопасности (в т.ч. и по линии персданных), согласованный со всеми регуляторами - ЦБ, ФСТЭК, ФСБ и РКН.
  • наличие отраслевой модели угроз. Чтобы не заниматься разработкой модели угроз с нуля и не платить огромные деньги тем, кто просто копирует ранее созданные или выложенные в Интернет модели, в набор документов ЦБ/АРБ и входит уже готовая модель угроз, также согласованная с регуляторами.
  • наличие шаблонов документов. Я раньше уже какие-то из шаблонов публиковал, но мы довели этот список и содержание до ума и представим на общий суд.

Почему их до сих пор не опубликовали? Вот в этой части я не согласен с другими членами рабочей группы, считая, что документы надо выкладывать как можно раньше, чтобы собрать по максимуму все комментарии, замечания и предложения. Но видимо ЦБ хочет все-таки получить "добро" регуляторов, а потом уже выкладывать документы в открытый доступ.

Сейчас перечисленные выше документы находятся у регуляторов на рассмотрении. Перечень документов планируется направить в РКН для обсуждения на консультативном совете для принятия его в качестве базового, а не отраслевого.

Сами документы будут опубликованы для обсуждения на сайте АРБ, ABISS и магнитогорской конференции по банковской ИБ.

28.01.2010

Рекомендации по ПДн для операторов связи (НИР "Тритон")

Вчера мы рассмотрели "рекомендации" Leta-IT по линии персданных. Сегодня пришел черед для рекомендаций Инфокоммуникационного союза, который некоторое время назад инициировал проект "Тритон", целью которого было разработать Концепцию защиты персональных данных в информационных системах персональных данных операторов связи. Я год назад писал про этот проект и вот сейчас появилась определенная ясность в результатах его работы.

Пока эта работа не финализирована и идет согласование с регуляторами (ими были высказаны некоторые замечания к подготовленным документам), могу расписать только набор документов, которые разрабатываются в рамках проекта:
  • Терминологический аппарат систем защиты персональных данных
  • Анализ международного и российского законодательства в области защиты ПДн в коммерческих системах и сетях связи
  • Обобщенная информационная модель операторов связи
  • Отраслевой классификатор. Информационные системы персональных данных операторов связи
  • Высокоуровневый анализ рисков нарушения безопасности персональных данных в информационных системах персональных данных операторов связи с оценкой потенциального ущерба для субъектов персональных данных и операторов связи
  • Низкоуровневый анализ рисков нарушения безопасности персональных данных в информационных системах персональных данных операторов связи с определением каналов реализации угроз безопасности персональных данных
  • Анализ возможностей по минимизации требований к обеспечению безопасности персональных данных обрабатываемых в информационных системах персональных данных операторов связи
  • Анализ необходимости обеспечения безопасности персональных данных в информационных системах персональных данных операторов связи с использованием криптосредств
  • Отраслевая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных операторов связи
  • Отраслевая модель угроз и нарушителя безопасности персональных данных при их обработке в информационных системах персональных данных операторов связи и использовании криптосредств
  • Технико-экономическое обоснование системы защиты персональных данных операторов связи
  • Информационная система персональных данных "АРМ пользователя». Профиль защиты"
  • Специальная информационная система персональных данных оператора связи второго класса. Профиль защиты
  • Специальная информационная система персональных данных оператора связи третьего класса. Профиль защиты
  • Концепция защиты персональных данных в информационных системах персональных данных операторов связи
  • Сравнительный анализ международных и российских нормативных документов, содержащих требования по защите персональных данных

Очень правильный и достойный подход; систематизированный (хотя есть и нарекания к этим документам). Идея проста - есть различные ИСПДн, есть различные угрозы, есть различные профили защиты для этих ИСПДн.

С  концепцией "Тритона" можно ознакомиться в видео-выступлении Дмитрия Устюжанина, руководителя департамента информационной безопасности Вымпелкома, на конференции "152 ФЗ – основные ловушки и способы разминирования":



Сама его презентация доступна тут.

27.01.2010

Рекомендации по ПДн имени Леты

Наверное уже все видели/слышали про 80-тистраничные рекомендации компании Leta-IT по выполнению требований ФЗ-152. Если не брать в расчет несоблюдение федерального закона об использовании государственной символики, то данные рекомендации направлены на описание 11-ти шагов, которые должен пройти оператор ПДн для выполнения требований ФЗ-152:
  • Шаг 1. Определить структурное подразделение или должностное лицо, ответственное за обеспечение безопасности ПДн 
  • Шаг 2. Определить состав обрабатываемых ПДн, цели и условия обработки. Определить срок хранения ПДн 
  • Шаг 3. Получить согласие субъекта на обработку его ПДн, в том числе в письменной форме 
  • Шаг 4. Определить порядок реагирования на запросы со стороны субъектов персональных данных 
  • Шаг 5. Определить необходимость уведомления уполномоченного органа по защите ПДн о начале обработки ПДн. Если необходимость есть, то составить и отправить уведомление 
  • Шаг 6. Выделить и классифицировать ИСПДн
  • Шаг 7. Разработать модель угроз для ИСПДн
  • Шаг 8. Спроектировать и реализовать систему защиты персональных данных
  • Шаг 9. Провести аттестацию ИСПДн по требованиям безопасности или продекларировать соответствие 
  • Шаг 10. Определить перечень мер по защите ПДн, обрабатываемых без использования средств автоматизации 
  • Шаг 11. Обеспечить постоянный контроль защищѐнности ПДн.
Не совсеми рекомендациями можно согласиться - очень уж они ФСТЭК-ориентированные. Если вы не знаете, что такое ГОСТ П 51583-2000, решение Гостехкомиссии №42, Постановление СовМина РСФСР №912-51, то без лицензиата вам не обойтись. А кто первый кандидат на эту роль? Правильно ;-) Вы уже догадались.

Честно говоря, я ничего нового в этом документе для себя не нашел. Полезного, в общем-то тоже. Попытка систематизации материала неплохая, но учитывая практичексую невозможность выполнения ряда шагов и полное отсутствие примеров, ставит крест на практическом применении этих рекомендаций. Хотя для новичков они могут быть полезными в части запугивания.

Мы, в рабочей группе при ЦБ и АРБ, постарались все эти стандартные минусы исключить и сосредоточиться на реальных и практически применимых рекомендациях, к которым будет приложена не только отраслевая модель угроз, но и набор из 40 с лишним документов, которые можно будет сразу брать и применять в своей работе. Но эти отличия были понятны с самого начала - ЦБ и АРБ не зарабатывают денег на теме персданных, а хочет наоборот помочь операторам ПДн (в первую очередь из финансовой сферы, конечно).

ЗЫ. Что мне не нравится в таких документах, так это то, что в них никогда не упоминаются имена авторов. Особенно, если они не работают в компании, чье имя стоит на титуле.

26.01.2010

Очередной "клуб" специалистов по ИБ

Создалось некое некоммерческое партнерство специалистов ИБ.  Как написано на сайте "на сегодняшний день - это сообщество профессионалов, формирующих видение и профессиональное мнение по различным проблемным вопросам в сфере информационной безопасности, а также клуб для общения и обмена опытом между специалистами в области ИБ". Как-то ни о чем ;-( Даже не отстаивание своего мнения, а просто формирование... Пока на сайте партнерства есть только очередной клуб специалистов ИБ в форме форума.

Для чего, зачем все это затеяно непонятно. У нас же есть RISSPA. А вообще идея формирования некоего сообщества витает в воздухе постоянно. CISO Club пытались создать уже неоднократно разные известные российские компании. Вон даже Травкин предложил создать ассоциацию фанатов персданных.

Посмотрим, что из этого получится. Пока все попытки были обречены на неудачу (кроме может быть RISSPA, но и с ней пока не все ясно). Многие пытаются/пытались рекламировать себя, заработать на клубе, и только в последнюю очередь формировать видение и мнение ;-(

ЗЫ. Ноги похоже растут от Эшелона, судя по косвенным признакам, но утверждать не могу.

25.01.2010

Минкомсвязи обеспокоено...

Минкомсвязи России обеспокоено ростом числа случаев незаконного использования сетей операторов подвижной радиотелефонной связи для рассылки недобросовестной рекламы и сообщений мошеннического характера.


 

Так что жалуйтесь оператору...

За разглашение гостайны - предупреждение, а сертификационные лаборатории - это фикция

20-го числа министр связи и массовых коммуникаций отчитывался перед депутатами об отрасли связи. Из интересных цитат: "В 2009 году за распространение запретной информации, представляющей государственную тайну было вынесено 23 предупредения".

А раньше за это сажали или расстреливали...

А наш Президент высказался о большинстве сертификационных центрах в России (по разным направлениям сертификации) следующим образом: "Большинство сертификационных центров - фиктивные конторы. Они имеют договоры с лабораториями, а эти лаборатории часто просто не существуют или их оборудование давно не обновлялось". Не в бровь, а в глаз ;-)

ЗЫ. И он по-прежнему за признание у нас международных стандартов. Ну когда же...

23.01.2010

Взлом систем управления мостом, управления трафика, Порша и т.п.

Правда это или вымысел?







22.01.2010

Вы попали... в сводный план проверок на 2010 год?

Я уже писал про приказ Генпрокуратуры и сводном плане проверок. И вот теперь стали известны результаты сведения всех заявок от всех регуляторов в единый план.

С момента, как заработал Федеральный закон "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля", прокуроры рассмотрели больше 37 тысяч обращений всевозможных контролирующих органов федерального, регионального и муниципального уровней. Все обращения касались прописанного в законе согласования на проведение внеплановых выездных проверок.

Прокурорами было отклонено больше 18,7 тысячи таких заявлений, что составляет 50 процентов. Но это средняя цифра. В некоторых, точнее, в 54 прокуратурах субъектов Федерации было принято решение об отказе от 50 до 86 процентов всех заявок.

Хотите узнать, попали ли вы в сводный список проверок? Вам сюда...

21.01.2010

Заметки о стартапах по безопасности: почему их мало и почему они не всегда выживают

Я уже не раз писал, что в России за последнее время поднялось немало стартапов по информационной безопасности, которые создаются бывшими сотрудниками интеграторов (чаще всего) и производителей (реже) ИБ. Но далеко не все из этих стартапов выживают или выходят на нормальные бизнес-показатели. Почему? Ответ на это дан в блоге "Записки стартаперов". Рекомендую всем, кто задумался или уже влез в авантюру под названием "свой бизнес" ;-)

Недавно мне задали вопрос: а почему ты не создашь свой бизнес. Наверняка, народ пойдет. Наверное. Тем более, что и идеи, как это все делать, тоже есть. Но что-то меня останавливало. И тут в упомянутом выше блоге я нашел ответ на этот вопрос.

20.01.2010

Symantec покупает Gideon, а TrustWave покупает BitArmor

Я уже писал о технологических стандартах ИБ, продвигаемых NIST и MITRE, и ориентированных на различные аспекты управления уязвимостями. За это время появились различные программные средства, автоматизирующие этот процесс. Одно из них предлагала компания Gideon Technologies (в России неизвестна). И вот 12-го января компания Symantec объявила о покупке Gideon. Условия сделки не разглашаются.

Также 12-го января известная западная консалтинговая компания TrustWave, объявила о покупке BitArmor, известной на Западе своими решениями в области шифрования (в России по понятным причинам эта компания неизвестна).

Информация о покупке компанией Cisco разработчика межсетевых экранов прикладного уровня - компании Rohati Systems, пока не имеет официального подтверждения. Хотя забавно видеть такую информацию в официальных документах различных аналитических агентств. Вот что значит публиковать непроверенную информацию ;-)

19.01.2010

Всех с Крещением

Праздник Крещения ряд сотрудников Cisco (особенно причастных к безопасности во всех ее проявлениях в нашей компании), и я в том числе, решили отметить православное Крещение традиционно - купанием в проруби!



Всех с праздником!!!

Информационная безопасность: надо ли защищать не информацию?

Информационная безопасность, защита информации... казалось бы очевидно, что эти дисциплины ориентированы на обеспечение сохранности информации. Но надо ли нам защищать не информацию? Вопрос не праздный. На него натолкнула меня вчерашняя тема и начавшаяся дискуссия на bankir.ru.

Возьмем к примеру установку на компьютере пользователя компании ботнет-клиента, который ничего не крадет, а используется для рассылки спама или генерации DDoS-атак. Он не имеет доступа ни к какой информации, но это не значит, что мы не должны защищаться от этой проблемы. Или тот же спам - он ничего не крадет, ничего не выводит из строя. Или та же DDoS-атака... Налицо широкий круг задач, которые необходимо решать службам ИБ, но которые никак не связаны с информацией, которая циркулирует на предприятии.

Собственно о чем это я?.. Да ни о чем, в общем-то ;-) Просто в голову пришло. Слишком привыкли мы к толкованию термина "информационная безопасность", который уже давно не соответствует реалиям наших дней. А мы все держимся за него... иногда в ущерб тому, что надо делать на самом деле.

PS. На тему очень быстрых изменений мира вокруг нас, за которым не успевает наше сознание или не может подстроиться, есть классный ролик ;-)

18.01.2010

В ГосДуму внесен новый законопроект "Об электронной подписи"

20-го января в ГосДуме будет рассматриваться новый законопроект "Об электронной подписи", внесенный в ГД 25-го декабря 2009 года. Комитет по финансовым рынкам рекомендовал ФЗ принять к рассмотрению.

Параллельно с этим законопроектом в ГД также внесен законопроект № 305604-5 "О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона "Об электронной подписи".

Что защищает ИБ или сколько стоит информация?

На банкире началось (тут и тут) дискуссия о том, что же такое информационная безопасность. Не знаю, куда она заведет, но я решил пойти еще дальше и подумать, а что же мы защищаем и почему?

Что? Понятно - информацию. Зачем? Тоже понятно - потому, что она стоит денег и с ее помощью мы получаем какие-то преимущества, блага и т.п. Но почему мы должны защищать именно эту информацию, а не другую? И сколько тратить на ее защиту? Ведь классический принцип "защита не должны стоить дороже защищаемой информации" не подвергается сомнению никем, но и никем почти не доказывается. Потому что мы обычно не считаем, сколько стоит информация. Иными словами, информация ценна, но какова ее цена?

 Для ответа на этот вопрос, надо понимать, что представляет собой информация, ценная для бизнеса. Можно выделить 3 три вида ценности информации:
  1. Информация обладает рыночной стоимостью сама по себе. Например, ноу-хау, изобретение, база клиентов и т.п. Цена (она же в данном случае и ценность) информации в данном случае вычисляется относительно просто и нам тут помогуть методы оценки нематериальных активов.
  2. Информация влияет на поведение людей, систем, процессов и ее стоимость вычисляется как разница в стоимости поведения до и после. Допустим, я посетил курс по тайм-менеджменту, после которого моя производительность возросла на 12%. Ценность  этого курса (информации, данной на этом курсе) может быть вычислена двояко. Простой вариант - ценность курса равна его цене. Сложный вариант - ценность равна стоимости повышения производительности. Ведь именно благодаря этому курсу я стал работать на 12% лучше, что выражается в денежном исчислении.
  3. Информация снижает неопределенность, которая присуща любым бизнес-решениям, имеющим экономические последствия. Иными словами, мы должны измерить стоимость снижения неопределенности. Допустим, я пошел на ипподором и делаю ставку на лошадь. Изначально я не знаю, на кого ставить, - полная неопределенность. Но я заплатил "честным" мошенникам и узнал, что одна из лошадей выиграет точно. Теперь я могу принять более обоснованное решение; тем самым я снизил неопределенность. Очевидно, что информация о лошаде-победителе - имеет не только цену (равную заплаченной мной сумме), но и ценность, максимум которой равен моему выигрышу от ставок на скачках. Последний вариант тоже измерим, но более сложными методами. Один из них - прикладная информационная экономика (Applied Information Economics).

16.01.2010

О порно, люминесценции и безопасности

Все уже наверное слышали про порно, демонстрируемое на рекламном экране, установленном на Садовом кольце. Запись сего действия сразу же появилась в Интернете. Версий произошедшего две. Первая - банальные хакерские проделки. Вторая - дележ рекламного рынка. Такого рода акции могут негативно сказаться на репутации рекламного агентства, что может повлиять на расценки на рекламу. Такие прецеденты уже были в прошлом году.

Параллельно с этим стало известно о том, что 14 января 2010 года терминал автобуса, следующего по маршруту № 36 в Липецке, выдавал всем пассажирам билеты с нецензурными словами. Оказалось, однако, что это не взлом, а вредительство 22-летнего электромонтёра, работавшего на городском автопредприятии и имевшего поэтому доступ к терминалам. Монтёра уволили.

Все это как-то выглядит... Нет в таких действиях красоты. Вот когда Chaos Computer Club в Берлине "развлекался", это было красиво. Как с точки зрения реализации, так и с точки зрения демонстрации.

15.01.2010

Мифы 61-63

Новые мифы:
ЗЫ. На bankir'е произошли некоторые изменения и ввиду роста авторов, желающих там публиковаться, bankir.ru было принято решение о снижении частоты публикации "мифов". Сейчас там вывешен 63-й миф, а отдано уже далеко за 80. По этой же причине нами совместно было принято решение о снижении числа мифов до 100.

    14.01.2010

    ITSM по-крупному (русскоязычная версия)

    Публикую русскоязычную версию опубликованного вчера документа. За помощь в переводе благодарю Василия Томилина.

    ITSM Best Practices (Rus)                                                                                                                                                

    13.01.2010

    ITSM по-крупному

    Нашел интересный документ - обзор практически всех составных частей ITSM. Безопасность там занимает тоже немалое место.

    ITSM Best Practices

    12.01.2010

    Новый отечественный сайт по безопасности VMware

    По адресу: http://www.vmwaresecuritygroup.ru/ запущен новый отечественный сайт по безопасности VMware.

    UPDATE: Сайт поменял свой адрес на VirtualizationSecurityGroup.Ru

    EMC покупает Archer

    4-го января компания EMC анонсировала покупку канзасскую компанию Archer Technologies, известную на Западе своим IT GRC-решением. Это решение дополнит SIEM-решение RSA, подразделения EMC.

    11.01.2010

    Неприятная тенденция - от безопасников избавляются

    Два неприятных инцидента, которые показывают, что безопасность - это сложное и опасное занятие. В одном случае за правду уволили сотрудника ИБ КАМАЗа, в другом - руководителя ОТЗИ ГУ БР по Ленинградской области.