30.06.2010

Лицензия на ТО СКЗИ "для себя" нужна!

На днях ознакомился с документом ФСБ, в которым четко отвечено на вопрос - надо или нет получать лицензию на техобслуживание шифровальных средств для собственных нужд. И хотя г-н Баранов и другие сотрудники 8-ки регулярно на мероприятих (даже не парламентских слушаниях) утверждают, что лицензия на техобслуживания "для себя" не нужна, у Центра по лицензированию мнению совсем иное ;-(


ЗЫ. И правая рука не значет, что делает левая ;-(

29.06.2010

Вчерашние парламентские слушания

Вчера, под руководством Комитета Госдумы по безопасности прошли парламентские слушания на тему "О совершенствовании федерального законодательства по обеспечению информационной безопасности при использовании информационно-коммуникационных технологий для оказания государственных услуг и осуществления межведомственного электронного документооборота". Общее впечатление - пока во властных структурах нет единого мнения не только о том, как должна строиться безопасность госуслуг, но и вообще мнения, что такое госуслуги и электронный документооборот. А раз нет объекта защиты, то и о защите говорить рано. Но все говорили...

Мне понравилось выступление ВРИО директора департамента государственной политики в области информатизации и информационных технологий Минкомсвязи. Кратко и по делу. Активная критика ФСБ в связи со слишком избыточными требованиями по криптографии. Предложение отказаться от сертифицированной криптографии в областях, не связанных с гостайной и иных аналогичных областях. Критика непрозрачности рынка регулирования ИБ. С аналогичной критикой выступал и Сенаторов М.Ю. из Банка России.

За ним выступал представитель Росинформтехнологий (начальник управления госуслуг). Эмоционально, но слишком много демагогии. Много критики в адрес госсорганов, уровень информатизации которых очень низок (хотя мне всегда казалось, что именно Росинформтехнологии отвечают за этот самый уровень). В качестве предложений было внесено два. Трансграничной считать передачу информации/данных между правовыми границами. Например, между двумя ведомствами или губернаторами. Вторая революционная идея - регистрировать любые попытки доступа к персданным любого субъекта. И при этом дать возможность субъекту в любое время получить доступ к собранной регистрационной информации. Видимо чиновники никогда не имели дела с логами аудита и не знают какого они объема бывают. К слову сказать, у нас в Cisco ежедневно фиксируется около 2 миллионов событий IDS и четыре с половиной миллиарда записей NetFlow!!! А делать тоже самое на порталах госуслуг, в АБС и даже в личном почтовом ящике... это утопия. Правда, чиновники Росинформтехнологий известны своими знаниями информационных технологий.

ФСБ не сказала ни о чем - обычные рассуждения о важности правового обеспечения систем электронного документооборота. Также ни о чем и многие другие докладчики, которым видимо дали указание выступить или им надо было просто засветиться. Как всегда по делу Емелин из АРБ (о непроработанности применения социальной карты применительно к госуслугам). Для многих вообще безопасность госуслуг приравнивается к использованию ЭЦП (ее активно критиковали) и УЦ (кои фундаментально ненадежны по причине недоказанности стойкости асимметричной криптографии).

Как всегда кратко и по делу Курило Андрей Петрович. Он завершил парламентские слушания и собственно его выступление и подвело черту под трехчасовым заседанием. Госуслуги - это явление социальное. И нельзя социальную проблему решать техническими мерами. Главное в госуслугах - это удобство для гражданина. Нет удобства, и до безопасности никому дела не будет, т.к. госуслугами никто не воспользуется.

Скоро на сайт Госдумы должны выложить материалы слушаний.

ЗЫ. А еще мне понравилось в фойе перед Малым залом Госдумы экспозиция на тему наркомании. После наших слушаний были вторые, молодежные. И к ним приурочили эту выставку, которая наглядно показывала этапы развития наркомана - от приобщения к первой дозе и заканчивая смертью. Также на выставке показывали традиционные места сокрытия наркотиков и были предметы из "кунсткамеры" - внутренние органы наркоманов и зародыши-уроды у матерей-наркоманш. Зрелище не для слабонервных...

28.06.2010

Ищете работу в области ИБ?

Вам сюда... Вам туда же, если вы хотите кому-то предложить работу.

25.06.2010

Число сделок M&A на рынке ИБ растет

Согласно исследованию аналитического агентства The 451 Group рынок ИБ является одним из самых растущих по части сделок слияния/поглощения (M&A). После спада в 2008-2009 годах, когда низким было и число сделок и их совокупный объем, в первой половине 2010 года мы вышли на докризисный уровень и даже обошли его. В частности за первую половину 2010-го года в области ИБ было осуществлено 45 сделок на сумму 5,4 миллиарда долларов. За аналогичный период прошлого года было закрыто всего лишь 33 сделки на сумму 381 миллион долларов. В 2008 году сделок было 35 (на сумму 681 миллион), а в 2007-м 44 - на сумму 3,7 миллиарда. Именно 2007-й год считается рекордным в нашей области.

Trend Micro покупает humyo, а Trustwave покупает Breach Security

11 июня TrendMicro объявила о покупке небольшой и никому неизвестной английской компании humyo, которая занимается онлайн-хранением и синхронизацией данных. Детали сделки не разглашаются. Смысл сделки не очевиден и пользы для корпоративных пользователей никакой. Исключая, пожалуй, малый бизнес и домашних пользователей, которые получат новый "облачный" сервис, имеющий мало отношения к ИБ.

22 июня компания Trustwave объявила о покупке Breach Security - компании, известной на Западе своим Web Application Firewall. Детали сделки не разглашаются.

Президент Медведев в Cisco

Наверное только ленивый не слышал про 1 миллиард долларов, который Cisco планирует инвестировать в Россию и про посещение Президентом Медведевым нашего офиса в Калифорнии. Вот несколько фото с этого визита.

У Президента теперь есть не только iPhone 4, но и Cisco Flip Camera

Рукопожатие двух Президентов ;-)

 Cisco, Россия, Терминатор ;-)

Куда перечислять деньги?

ЗЫ. Детали визита здесь (на обоих языках).

24.06.2010

Новый документ ФСБ

ФСБ выпустила приказ от 22 марта 2010 г. N 132 "О порядке опубликования и вступления в силу приказов Федеральной Службы Безопасности Российской Федерации, признанных Министерством Юстиции Российской Федерации, не нуждающимися в государственной регистрации" (Консультант+ и Гарант), суть которого ясна из его названия ;-)

О частоте пересмотре стандартов

Просто мысли вслух: я уже как-то писал о прохождении курса оказания первой помощи и вот позавчера я проходил очередной update курса. Занятная история. Оказывается стандарты оказания первой медицинской помощи обновляются каждые 5 лет и 12-го ноября планируется новое обновление. Т.е. даже в такой, казалось бы, стабильной области, как оказание первой помощи, постоянно происходит что-то новое, требующее обновления. Что уж говорить о теме ИБ, которая меняется гораздо динамичнее, чем правила проведения сердечно-легочной реанимации. Но вот в России "стандарты" по ИБ не обновляются десятилетиями... А уж повышение квалификации сотрудники наших регуляторов видимо не проходят никогда ;-(

ЗЫ. К слову сказать, в России до сих пор нет своих стандартов оказания первой медицинской помощи.

23.06.2010

У Леты новое исследование российского рынка ИБ

Так сложилось, что я исторически анализирую исследования отечественного рынка ИБ, которое готовит Leta-IT. И вот 17-го июня было опубликовано новое исследование - за 2009-й год. Названо оно громко - "Начало эпохи compliance". Тут же можно начать критиковать, т.к. эпоха compliance, а не реальной ИБ, в России началась в 1992 году, с выходом РД ФСТЭК. Но это я придираюсь ;-) Хотя термин compliance авторами отчета понимается чуть шире, чем общепринято. Это и выход ИБ на уровень топ-менеджмента, и массовое внедрение международных стандартов по ИБ, и оценка соответствия ИБ требованиям контрагентов, и защита бизнес-процессов. Хочу заметить, что я еще год назад подвергал сомнению все эти тенденции и продолжаю оставаться на этой позиции. 2-3 десятка внедрений по PCI DSS или ISO 27001 - это еще не движущая сила рынка ИБ. Но это так, к слову; повторять свои прошлогодние тезисы я не буду. Посмотрим на новое.

Тема ПДн правильно названа важнейшим явлением на нашем рынке, но признать работу ФСТЭК положительным опытом я не могу даже с натяжкой. Также как и считать рекомендации Рособразования или Минздравсоцразвития адекватной отраслевой нормативной базой. Даже операторские документы в рамках НИР "Тритон" таковыми, увы, не являются, т.к. не получили поддержки на уровне отраслевого регулятора. Единственным хорошим примером отраслевой работы является результат действий Банка России (в котором и мне довелось поучаствовать). Да и то, относить его стоит не на 2009-й, а 2010-й год. Вообще вывод о том, что в 2009-м году родился новый рынок ИБ России я поддержать не могу. Не изменилось ровным счетом ничего. Ни регуляторы, ни потребители, ни законодатели... 

Про цифры говорить не буду - я так и не понимаю, откуда они берутся. Но некоторые прогнозы вызывают сомнение. Например, рынок DLP. Расти он не будет. Все! Баста! Этот мыльный пузырь сдулся. Только Check Point привык выпускать продукты (исключая направление МСЭ), через 3-4 года, как это сделали все остальные вендоры. Большинство игроков этого рынка сделали DLP commodity-направлением и эта функция является одной из многих в предлагаемых продуктах (но никак не самостоятельным решением). Некоторые производители вообще ее бесплатно отдают. Повторяется ситуация как с antispyware-сегментом, который сначала был самостоятельным и быстрорастущим, а потом плавно вошел в состав антивирусного рынка.

Также не могу согласиться с тем, что расследование инцидентов ИБ - это новый сегмент нашего рынка. Это не сегмент, это попытка одной компании (читай Group IB) делать хорошее дело при отсутствии понимания важности этой задачи. Точнее понимание есть, а вот возможности ею адекватно заниматься нет. И дело даже не в противоречивости нормативной базы; она как раз непротиворечива. Просто идеология у нас пока другая. Важно не найти преступника, а вернуть систему в предъатакованное состояние; даже если при этом будут стерты следы инцидента. Кто захочет держать сервер упавшим только ради сбора доказательств, если над душой стоит начальник, грозящий увольнением?.. Доверия к правоохранительным органам нет. Да и ресурсов держать отдельный персонал на данную задачу мало кто может себе позволить держать.

Вывод о скорейшей смерти отечественных разработчиков нишевых средств защиты полностью поддерживаю. Я об этом говорю уже достаточно давно, но без успеха. За исключением парочки компаний, "горы продолжают рожать мышей" ;-(  А вот с выводом, что "целью атак практически всегда является исполнение вредоносного кода" согласиться не могу в корне. Для антивирусного отчета - может быть. Но для общерыночного... Увы. Как этот вывод соотносится с утечками или DDoS-атаками, коих в России немало и которые нельзя сбрасывать со счетов.

Можно было и дальше продолжать анализровать отчет Леты, но зачем... Меня приглашали поучаствовать в его создании, но я отказался по ряду причин. Основной из них было то, что меня не устраивала основная цель выпуска этого отчета. Она, к сожалению, явно нигде не заявлена... хотя я ее уже упоминал в прошлых "анализах". В целом же, отчет позволяет судить о направлениях, которые для Леты являются ключевыми и которые она будет развивать в ближайшее будущее. Да и пресс-релизы компании-автора показывают, что в основе всего лежит именно бизнес этого российского интегратора, а не все существующие ниши отечественного рынка ИБ.

22.06.2010

Урюпинские впечатления

Решил поделиться впечатлениями от поездки в Урюпинск, на мероприятие Касперского, о котором я уже писал. Идея мероприятия (для меня) была проста - вывезти пишущую братию и рассказать им, какая классная компания - Лаборатория Касперского. Учитывая, что сегодня к СМИ принято относить не только традиционные издания, но и блоги и иные Интернет-ресурсы, то не менее половины участников представляли собой популярных блоггеров (с числом посетителей от тысячи).


А чтобы придать солидности (хотелось бы так думать) этому мероприятию были приглашены ведущие эксперты, в числе них и я. Так как журналисты просто так на мероприятия не едут, то им была обещана морковка - министр связи и массовых коммуникаций Игорь Щеголев. Забегая вперед, скажу, что он все-таки приехал, несмотря на проходящий днем позднее в Питере экономический форум с участием Медведева, Путина и других больших людей. С целью омоложения описанного контингента (хотя блоггеры и так не старики/старушки) были приглашены фанаты из фан-клуба Касперского.



Ну а теперь сами впечатления. Если коротко, то мне понравилось ;-) И сама идея поездки в Урюпинск, и организация мероприятия, и место проведения, и, главное, коллектив. Началось с чартерного поезда, выделенного специально под данное мероприятие.


17 часов поезда задали тон всей поездке. Начиная от посуды с царскими гербами и заканчивая классикой советского поездостроения - "на унитаз ногами не вставать" и "запрещается пользоваться унитазом при красном свете". В перерыве между приемами пищи происходило общение с прессой, игра в мафию, возлияния и просто тесное общение с коллегами.

Приезд в Урюпинск, в который в обычной жизни поезда вообще не ходят, прошла также в лучших советских традициях - школьники с шариками, духовой оркестр, огороженный милицией вокзал, высокие городские чины (мэр и иже с ним) и восторженные горожане, которые, видимо, давно такого не видели ;-) 


Мне кажется, что Касперский одарил весь город шариками и майками со своим изображением.


Потом нас всех погрузили в автобусы и, в сопровождении мигалок, отвезли в пионерлагерь на берегу Хопра. Красивое место - сосны, песчаные пляжи, солнце, чистая река... Размещались кто где - кто-то в обычных лагерных корпусах с детскими кроватями, кто-то в палатках.


У меня была своя палатка, выгодно отличающаяся от централизованно предоставленных размером и надежностью ;-) Хорошо, что погодные условия позволяли не сильно напрягаться проживающим в Тунгусках и Памирках. Но абсолютно прозрачные стены, идеальная слышимость и близкое расположение матерчатых мест проживания друг к другу приводили к иным конфузам. Разнополая молодежь, проживающая вместе, времени ночью не теряла, чем вводила в замешательство и зависть окружающих ;-) Ну вы поняли о чем я говорю ;-) (пройдясь по блогам я заметил, что все снимали на фото как правило одну и ту же девушку-блоггершу - см.ниже).




До начала официальной части мероприятия, народ развлекался как мог - купание, волейбол, футбол, стрельба из лука, арбалета, пистолета и винтовки (это если не считать неимоверного количества пива, вина и иных крепких напитков, выставленного без ограничения для всеобщего доступа).


Охраняющие нас милицонеры, видимо давно не державшие в руках нормального оружия, настрелялись вволю и смогут при переаттестации выполнить нормативы по стрельбе из табельного оружия.


В официальной части было выступление министра о текущей ситуации с безопасностью в Интернет и о защите детей.Выступления были общеплановыми, без каких-либо серьезных заявлений. Хотя некоторые журналисты восприняли слова министра по своему - якобы в России планируется запретить доступ в Интернет детям до 10-ти лет. Могу смело сказать, что Щеголев такого не говорил.


Помимо Щеголева выступали и эксперты на различные животрепещущие темы - смс-мошенничество, ФЗ-152, киберпреступность, отечественная ОС, Интернет-паспортизация и т.п. По делу было мало чего сказано, но пофлеймили неплохо; да и журналистам с блоггерами будет о чем написать ;-) Было развенчано и несколько мифов. Первый о том, что Урюпинск существует. Этот мифический город действительно есть.


И коза - действительно символ города.


Второй миф о том, что Касперский - это не антивирус. Женя был активен, многословен, дружелюбен. Фаны в восторге ;-) Ночное наблюдение: идущие мимо моей палатки фаны переговариваются между собой и один говорит остальным: "Я осуществил свою детскую мечту - набухался с Каспером!" ;-)



Вечерняя программа была обычно разбита на три части. Первая - официальная. Концерт бардов - профессионалов и любителей. Было весело. Особенно урюпинский хит - "Я убил свою любовь" (если найду запись - выложу). Неофициальная вечерняя чась мне понравилась больше. Костер, гитара, чай на костре... Мне, как походнику с большим опытом, это было ближе, чем столы, заставленные алкоголем и жареный на вертеле барашек. Правда, малость мешала молодежь, которой бардовские песни незнакомы ;-( Третья часть - для желающих - централизованный просмотр матчей ЧМ-2010.



Последний день был не менее фееричен, чем первые. Утром пораньше коллектив раздвоился - основной контингент уехал в Урюпинск играть в городской квест, футбол с урюпинской администрацией и слушать лекцию Касперского для молодых урюпчан, а группа экспертов осталась в лагере - искупаться напоследок, пообщаться о наболевшем и закусить оставшимися консервами из тунца и паштетом. После краткой трапезы мы также уехали в Урюпинск, где в маленьком гетто (хотя я бы назвал его мини-зоо, где за решеткой находились москвичи, на которых любовались урюпинки и урюпинцы) был обед и Интернет.


Интернет, кстати, был слабоват. Либо не был учтен фактор блоггеров, которые строчили свои заметки днем и ночью, не взирая на свое состояние и окружение, тем самым съедая всю полосу.

Мы, т.е. эксперты, которые не интересовались ни чемпионатом по Counter Strike, ни иными игрищами. Нас занесло в обычный городской парк, где 7 взрослых мужиков как дети катались на детских аттракционах, вызывая удивленные взгляды проходящей молодежи и зависть у гуляющих детей.


В 8 вечера началась финальная вакханалия на главной площади города.


Посвящение Касперского в донские казаки, концерт с участием группы "Самоцветы", бразильский карнавал...


Все это перемежалось красивыми выпускниками/выпускницами-девятиклассниками.


Завершился день фейерверком, после которого мы все погрузились в поезд и  отправились в обратный путь. Все повторилось ;-) Завтрак, обед, полдник, перемежающиеся общением с коллегами и интервью с журналистами.

Что в сухом остатке? Мне понравилось. Во всех смыслах. В первую очередь в части общения. Не так часто удается нормально, без оглядок на звания и должности, без постоянных взглядов на часы, поговорить о работе и жизни. Именно на таких мероприятиях понимаешь, кто чего стоит. Сейчас в Интернете началось обсуждение на тему "Кто гуру ИБ в России?". Выдвигаются различные кандидатуры... Я же могу сказать, что почти все эксперты (не все из них были названы на "банкире" и "профессионалах"), кто ездил на конференцию Касперского, являются таковыми "гуру". Общением с ними мероприятие и было ценно. Не говоря уже об антураже, который описан выше.

ЗЫ. Использованы фото ternovskiy, im-foto, lovigin, hiphipchinchin, vovstudio, с сайта фан-клуба Касперского и мои собственные.

ЗЗЫ. Еще один взгляд на мероприятие от редактора Webplanet.ru Лехи Андреева.

ЗЗЗЫ. Завершающий кадр по дороге в Урюпинск ;-)

21.06.2010

ФАИТ доигрался - его закрыли

То, о чем так давно говорили в кулуарах произошло - Федеральное агентство по информационным технологиям (ФАИТ, оно же Росинформтехнологии) прекратит свое существование. В пятницу премьер-министр Владимир Путин вынес положительное заключение на данное предложение, и теперь проект указа о расформировании Росинформтехнологий должен поступить на подпись президенту Дмитрию Медведеву.

ЗЫ. Только недавно создал тег для новостей о ФАИТ и такая засада ;-)

18.06.2010

Изменение ПП-1009

Многие помнят, что первая версия (а также две последующих) четверокнижия было нелигитимным по той причине, что было выпущено в нарушение ПП-1009 об утверждении правил подготовки нормативных правовых актов федеральных органов исполнительной власти и их государственной регистрации (от 13 августа 1997 г.). Приказ ФСТЭК №58 был уже выпущен в соответствие с этим Постановлением - он был опубликован в "Российской газете", он был подписан директором ФСТЭК и он был зарегистрирован в МинЮсте.

И вот 15-го мая Правительство РФ выпустило 336-е Постановление "О внесении изменений в некоторые акты Правительства Российской Федерации", которое вносит изменения в ПП-1009. Среди них есть и такое положение: "Проекты нормативных правовых актов и нормативных документов федеральных органов исполнительной власти, которыми регулируются отношения в области организации и осуществления государственного контроля (надзора), в области установления, применения и исполнения обязательных требований к продукции или связанным с ними процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, в области оценки соответствия и в области безопасности процессов производства, подлежат направлению в Министерство экономического развития Российской Федерации на заключение об оценке регулирующего воздействия. В этом заключении дается оценка регулирующего воздействия соответствующих решений с целью выявления положений, вводящих избыточные административные и иные ограничения и обязанности для субъектов предпринимательской и иной деятельности или способствующих их введению, а также положений, способствующих возникновению необоснованных расходов субъектов предпринимательской и иной деятельности и бюджетов всех уровней бюджетной системы Российской Федерации".

Теперь все новые документы наших регуляторов, обязывающие предприятия приобретать только сертифицированные средства защиты, должны проходить экспертизу еще и в Минэкономразвития.

17.06.2010

Check Point покупает Liquid Machines

9 июня израильская компания Check Point анонсировала покупку американской, неизвестной в России, компании Liquid Machines, которая работает в сегменте ERM (Enterprise Rights Management). В отличие от провала с приобретением SourceFire разрешение на покупку Liquid Machines от госорганов Check Point'ом получено. Детали сделки не разглашаются.

16.06.2010

Мнение ФАИТ о сертификации ФСБ и ФСТЭК, о NetBIOS и Linux

Я уже писал про выступление сотрудника ФАИТ, которое вызвало некоторое оживление у комментаторов ;-) Теперь я решил выложить некоторые фрагменты его выступления. В частности вот фрагмент про ранее упомянутый NetBIOS (протокол удаленного доступа к BIOS ;-) Он хотел этим знанием поделиться с представителями "Атласа", которые до него рассказывали про документированные функции удаленного управления компьютером (AMT, vPRO, WfM и т.д.), рассматриваемые как закладки.



Затем сотрудник ФАИТ (бывший сотрудник ФАПСИ, кстати) высказался о качестве сертификации в ФСБ криптосредств по классам КС1 и КС2. Он сравнивал ее с сертификацией зажигалки.



И, наконец, очередной шедевр. Опус про Linux, который загружается в BIOS и который разработали американские военные для ловли русских хакеров, про сертификацию Linux RH в ЦБИ и про квалификацию ФСТЭК в части сертификации по требованиям безопасности.



ЗЫ. Качество не самое высокое - писал на смартфон. Лучше слушать через наушники.

ЗЗЫ. Это мой первый опыт подкастинга. Так что сильно прошу не пинать - обработкой аудио я пока не занимался.

15.06.2010

Вперед, в Урюпинск - к козам и дятлам!

Лаборатория Касперского организует чартерный поезд в Урюпинск, легендарный и мифический город России. На берегу другой легенды - реки Хопер, пройдет конференция «Урюпинск — территория безопасности» с участием министров, больших чиновников, популярных блоггеров, известных экспертов в области информационной безопасности.

Одной из достопримечательностей Урюпинска является коза породы «лонская серебристая», которой на одной из площадей поставлен единственный в России памятник. Кроме того, Урюпинск — родина больших пестрых дятлов (Dendrocopos major из семейства Picidae), которые целый день оглашают окрестные леса энергичным, жизнеутверждающим перестуком. Эти невзрачные птицы очень близки «Лаборатории Касперского» — как трудолюбивые урюпинские дятлы долбят деревья в поисках личинок и червей, так и вирусные аналитики «Лаборатории» непрерывно долбят код вредоносных программ, чтобы выделить сигнатуры и внести их в базу.

Помимо наблюдения за козами и дятлами планируется общение министра связи Щеголева с блоггерами, лекции Евгения Касперского студентам, бардовский фестиваль, альтернативный чемпионат мира по футболу, бразильский карнавал, концерт группы "Самоцветы", турнир по Counter Strike и многое другое...

Я буду участвовать в круглых столах "Кибербезопасность государства: со щитом или на щите" и "Связанные одной сетью: могут ли сосуществовать свобода и безопасность в глобальной сети?"

Подробности тут...

ЗЫ. Проживание в палатках ;-)

11.06.2010

О паранойе, вселенском заговоре и многом другом

Работа конференции ВУЗов, имеющих специальности по ИБ, завершилась. Могу подвести первые итоги. По новым госстандартам 3-го поколения отпишусь подробнее попозже, а сейчас расскажу о конференционной части. Доклады были интересные и не очень (первых больше). Видно, что ВУЗы несмотря на полное неприятие их работ регуляторами в лице ФСТЭК, ФСБ, МВД и т.п. занимаются по различным грантам, НИРам, заказам такими вещами, которые не соответствуют действующей политике государства в области ИБ. Работа по линии ПЭМИН, криптографии, криптоанализу, распознаванию речи ведутся очень активно. Некоторые ВУЗы автоматизируеют результаты своей деятельности. Например, в ТУСУРе разработали программу по автоматизации процессе классификации и моделирования угроз в рамках ФЗ-152, создав некий аналог Wingdoc ПДн.

Было пару о-о-очень дискуссионных докладов. Один выступал от МЭСИ (Баяндин Н.И.), второй якобы от ФАИТ (хотя его доклад не имел никакого отношения к месту его работы в отделе удостоверяющих центров). Баяндин рассказывал про читаемый ими в МЭСИ курс по деловой разведке и попытке сделать из этого официальную специализацию в рамках госстандарта. Нареканий на эту программу обучения было много. Одно из них заключалось в том, что готовящиеся специалисты могут работать как на благо государства, так и во вред. Т.к. умение аккумулировать из разрозненных открытых источников информацию приводит к созданию аналитических отчетов, которые по совокупности могут содержать гостайну. Второй вопрос связан с нарушением ФЗ-152. Все-таки сбор сведений о гражданах без их согласия нарушает закон о персданных. На что выступающий, не раз отмечая, что закон они не нарушают, в данном случае заявил, что ФЗ-152 неработает, прецедентов пока нет и что они все равно будут собирать ПДн без согласия ;-)

Второй выступающий (от ФАИТ) говорил о проблемах ИБ. Интересный доклад, суть которого может быть выражена примерно следующим: американцы - сволочи, придумали Интернет, распространили его по всему миру и теперь все находятся под колпаком у спецслужб США. Дальше больше. Все протоколы Интернет - американские, оборудование - тоже американское, операционные системы американские, закладки на закладках, демократия под угрозой. Операторы связи тоже сволочи, т.к. не заботятся о безопасности клиентов, а только стригут "бачки" (как выразился выступающий). Интеграторы - некомпетентны и их надо привлекать к ответственности за продажу некачественного товара (некачественный - это тот, в котором, по мнению выступающего, могут быть в теории закладки), выпускаемые в России книги иностранных авторов - это псевдонаучная шелуха, засорящая и обманывающая молодые умы...

Все бы ничего, если бы не два аспекта. Признание неспособности России выпускать адекватное ПО и железо всем известно. Но когда его делает представитель ФАИТ (а именно от этого ведомства выступал оратор), то возникает вопрос? А что же делает ФАИТ, как головное ведомство по развитию ИТ в России? На эту тему профессор Преображенский хорошо высказался в "Собачьем сердце" (монолог про разруху и большевиков).

Второй момент связан с самой постановкой проблемы. Любой специалист признает, что на недоверенных элементах сложно строить защищенную систему с гарантированным уровнем ИБ. Но советовать всем выбросить Microsoft, Linux (как низкозащищенную приманку со стороны американских спецслужб; видимо про то, что на базе этой ОС разработаны МСВС и другие "наши" ОС автор не знает), Cisco и продукцию других западных вендоров - это верх умстевнной работы. Заменить-то на что? Оратор предложил вернуться к MS DOS, как к проверенной спецслужбами системе. И видимо оратор не знает, что выбор платформы должен зависеть не от желания спецслужб (это логично только для госорганов и критически важных объектов), а от стратегии управления рисками заказчика. Готов он принять риск использования недоверенной платформы - пожалуйста. Не готов - предложите ему альтернативу. А ее-то и нет. Правда, даже если принять "умную" идею о возврате к MS DOS, то у любого грамотного специалиста возникает другой закономерный вопрос. Раз спецслужбы пекутся о защищенности ОС, то наверное стоит и системотехнику предлагать тоже отечественную и тоже проверенную. Но ее вообще у нас нет. Штучная сборка, пожалуйста. А вот серийного производства, увы... В общем представитель ФАИТ, как бывший сотрудник ФАПСИ, показал свою компетенцию в области
 ИБ для граждан и общества. А то, что он представитель головного ведомства по ИТ в России говорит и о будущем информационных технологий в России.

ЗЫ. А еще по мнению представителя ФАИТ, а по совместительству преподавателя трех московских ВУЗов, NetBIOS - это протокол доступа к BIOS по сети ;-)

ЗЗЫ.  И в заключение, оратор из ФАИТ очень много ругал Cisco. Из наиболее одиозных высказываний можно отметить одно. Cisco непрофессиональная в сетевых технологиях компания потому что выпускники ее сетевых академий считают, что стек протоколов TCP/IP состоит из 4-х уровней, а оратор написал книгу, в которой описано 5 уровней. А второе доказательство незнания сетей в том, что Cisco переводит термин "Voice over IP" как "голос поверх IP", в то время как надо переводить как "речь поверх IP". Ну про понимание оратором NetBIOS я написал выше.

10.06.2010

Документы ЦБ/АРБ утверждены

Свершилось - документы нашей рабочей группы АРБ/ЦБ утверждены. Их согласовали ФСТЭК, ФСБ и РКН. Также присоединилась ассоциация региональных банков "Россия".

Детали - http://www.arb.ru/site/action/list_news.php?id=3719

09.06.2010

О ситуации с образованием в ИБ

Сижу я а конференции, посвященной новым государственным образовательным стандартам в области ИБ, которые должны появиться в сентябре. Как все запущено... Оказывается программа специальностей по ИБ относится к технологиям двойного назначения и контролируется ФСТЭКом на предмет экспортного контроля и утечки за границу! Даже то, чему учат сейчас в ВУЗах и то, что спокойно находится в Интернете в виде конспектов лекций и диктофонных записей, контролируется, чтобы преподаватель, не дай Бог, не сказал чего-то лишнего и секретного. ВУЗы сейчас активно переходят на хозрасчет и принимают за деньги зарубежных студентов на обучение (в т.ч. и из стран СНГ). Но оказывается принимать студентов из Украины, Белоруссия, Казахстана и т.п. на специальности ИБ запрещено. А то, не дай Бог, они узнают, как пользоваться VipNet'ом или прочитают свободно находимый в Интернет СТР-К или даже требования по безопасности критически важных объектов... Детский сад, чессно слово ;-(

08.06.2010

Новый курс - управление инцидентами

Сваял новый курс - по управлению инцидентами. Именно управлению, где расследование, реагирование и обработка инцидентов, лишь часть более всеобъемлющего процесса. Цель курса: систематизация сведений и понимание конкретных шагов по управлению инцидентами.

Краткая программа такова:
  • что такое инцидент и в чем разница понимания термина между ИТ и ИБ, коммерсантами и госорганами?
  •  жизненный цикл управления инцидентами и место в нем обработки инцидентов
  • проблемы и ошибки при управлении и расследовании инцидентов
  • как правильно выстроить процесс управления инцидентами и из каких составных частей он состоит
  • визуализация процессов управления инцидентами с помощью карт и диаграмм процессов
  • с чего начать построение программы управления инцидентами
  • органы расследования инцидентов в мире и в России и стоит ли обращаться в правоохранительные органы?
  • особенности расследования инцидентов в России правоохранительными органами
  • как расследуются органами внутренних дел атаки из-за границы и как наши органы взаимодействуют с иностранными спецслужбами?
  • что такое CSIRT или что делать, если вы решили бороться с инцидентами своими силами?
  • сценарии существование CSIRT и ее место в организации
  • план создания CSIRT (далее идет рассмотрение этого плана)
  • план проекта создания CSIRT
  • квалификация членов CSIRT
  • сервисы CSIRT (уведомления, обработка инцидентов, обработка уязвимостей, обработка артефактов, реагирование на инциденты и т.п.)
  • документирование CSIRT - как описывать предлагаемые сервисы
  • описание информационых потоков
  • политики управления инцидентами и что они должны содержать?
  • как аннонсировать и рекламировать CSIRT?
  • контроль качества и измерение эффективности CSIRT
  • юридические вопросы в работе CSIRT
  • сервис обработки инцидентов как основной элемент CSIRT (подробное описание)
  • систематизация входящей информации
  • обработка информации - анализ, принятие решений, отслеживание нарушителя, реагирование, документирование
  • уведомление об инциденте
  • обратная связь
  • как общаться с внешним миром, если вас взломали
  • обработка информации внутри CSIRT
  • сбор доказательств - методология, специализированный инструментарий, процедуры...
  • эскалация инцидентов
  • закрытие инцидента
  • стандарты управления инцидентами
  • российская практика управления инцидентами.

04.06.2010

SonicWALL продался Thoma Bravo

2 июня компания SonicWALL заключила соглашение о своей продаже инвестиционной группе Thoma Bravo. Сумму сделки - 717 миллионов долларов. Thoma Bravo и входящие в нее компании раньше не были замечены на рынке ИБ.

03.06.2010

В России есть требования уведомления клиентов об утечке их ПДн

Вот иногда читаешь-читаешь документы и думаешь, что знаешь их наизусть, ан нет... при очередном прочтении выясняются новые и новые нюансы и факты. Вот, например, закон о персданных. Раньше считалось (я, по крайней мере), что он не предусматривает обязанности оператора ПДн уведомлять клиентов об утечке их ПДн. Ан нет... Предусматривает.

Читаем: "В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган".

Правда ответственности за неисполнение этого пункта почти никакой - та же статья 13.11, т.е. пшик.

Общественные слушания по ФЗ-152

Оргкомитет Общественных слушаний по совершенствованию законодательства в области персональных данных приглашает всех, кто заинтересован в решении этой проблемы, принять участие в Слушаниях на сайте http://www.fz-152.org/.

02.06.2010

Новая версия курса по измерению ИБ

До кучи обновил еще и программу курса по измерениям ИБ (назвал ее версией 1.5). Собственно основная задача была - систематизировать имеющуюся информацию и дать ее применительно к потребностям слушателей:
  1. Введение
    • Безопасность на уровне бизнеса
    • Security Governance
    • Проблема измерений или почему службы ИБ не считают результаты своей деятельности
  2. Определения
    • Что такое измерение?
    • Что такое ИБ?
    • Что такое эффективность?
    • Цели ИБ и цели бизнеса. Как привязать ИБ к бизнесу?
  3. Что мы хотим измерять в ИБ чаще всего?
    • Какой уровень опасности нам грозит?
      • Что мы потеряем?
        • Оценка нематериальных активов
        • Оценка информации
        • Оценка материальных активов
        • Метод ALE
      • Какова вероятность ущерба ?
      • Что нам грозит?
      • Насколько мы уязвимы?
    • Сколько денег на безопасность надо?
      • Сколько мы потратим? Почему именно столько?
      • Какова отдача? И есть ли она?
      • Выгоден ли этот проект по ИБ?
      • Рискованны ли инвестиции в ИБ?
    • Мы соответствуем требованиям?
      • регуляторов
      • SLA
      • стандартов
    • Какая СЗИ лучше?
      • Дешевле, функциональнее, быстрее работает, быстрее окупается...
    • Как мы соотносимся с другими?
    • Насколько мы защищены?
      • На каком уровне находимся?
      • Стало ли лучше по сравнению с прошлым?
    • Сколько времени потребуется?
      • На проникновение / распространение вредоносного ПО?
      • На внедрение СЗИ?
      • На возврат в исходное состояние после атаки?
    • Оптимально ли
      • мы движемся к цели?
      • тратим деньги?
      • настроена система защиты?
  4. Что является результатом измерения или метрики ИБ?
    • Монетарные и нефинансовые метрики
    • Классификация метрик
    • Как выбирать метрики?
    • Сколько метрик достаточно?
    • Как объединить сотню метрик в одну?
    • Бизнес-ориентированные метрики ИБ
    • Тестирование метрик
    • Пересмотр метрик
    • База метрик
  5. Программа управления измерениями ИБ
    • Модель зрелости
    • "Женская" модель зрелости
    • Модель NIST
    • Типичные ошибки
    • Кто выбирает метрики?
    • Фактор времени?
  6. Методы измерений
    • описываются методы для п.3
  7. Автоматизация измерений
  8. Визуализация и презентация метрик
  9. Стандарты измерений ИБ
  10. Универсальный метод измерения
  11. Прямая и косвенная отдача

01.06.2010

Новая версия курса по ПДн

Настал черед серьезного обновления курса по персданным - вчера я отчитал версию 2.0. Удалил все старое и ненужное, актуализировал последние сведения, внес множество изменений. Основное изменение касается банковской тематики, но есть и другие интересные новшества:
  • Как оформить обработку получения ПДн от третьих лиц?
  • Как передавать ПДн третьим лицам?
  • Как получить согласие получателя платежа?
  • Доверенности (для банков)
  • Модно ли передавать ПДн в органы власти без согласия субъектов?
  • Как передавать ПДн аутсорсинговым партнерам?
  • Зарубежные SaaS-сервисы и ПДн
  • Алгоритм опротестования результатов проверок надзорных органов
  • Инвалидность и другие примеры «состояния» здоровья, а также что такое вообще "состояние здоровья"?
  • Почему можно не использовать сертифицированные СКЗИ при передаче ПДн за пределы России?
  • Можно ли обрабатывать ПДн при открытии вклада в пользу третьего лица?
  • Завещательное распоряжение денежными средствами
  • Можно ли распоряжаться денежными средствами по требованию третьих лиц?
  • Как обрабатывать ПДн при оплате от имени или в пользу третьего лица?
  • Расчет платежными поручениями и ПДн
  • Надо ли уничтожать ПДн после проведения платежа?
  • Обработка ПДн и действия в чужом интересе без поручения
  • Почему субъект ПДн не может отказаться от данного согласия?
  • Анализ законопроекта Резника - что получило/не получило поддержку Правительства РФ?
  • Уведомление субъектов ПДн о фактах утечек их ПДн – теперь и у нас!
  • Анализ отраслевых требований по защите ПДн Рособразования, Минздравсоцразвития, операторов связи и Банка России
  • Последние изменения в ФЗ-294
  • Приказ ФСТЭК №58 и решение ФСТЭК об отмене части четверокнижия
  • Как выбрать консультанта по ПДн?

Следующее изменение также не за горами - принятие законопроекта Резника, появление новых отраслевых требований, новый приказ ФСБ (после его принятия), "письмо пяти"...