28.02.2011

Законопроект об электронной подписи принят во втором чтении

Я в эту тему не лезу обычно, поэтому просто сообщу, что законопроект "Об электронной подписи" был принят 25 февраля во втором чтении. Законопроект тут, а законопроект "О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона "Об электронной подписи" тут.

Сертифицированная в ФСБ криптография в решениях Cisco

Часто спрашивают в последнее время про то, что мой работодатель делает в области соответствия требованиям российского законодательства, а в частности, требованиям ФСБ по ввозу и использованию криптографии.

Сваяли два документа. Первый, про сертификацию наших решений в ФСБ, сегодня. Второй, про импорт продукции с функциями шифрования, завтра.

Сертифицированная в ФСБ криптография в решениях Cisco

25.02.2011

ISO 27037 - как собирать доказательства

Готовится сейчас в ISO новый стандарт - ISO 27037 "Information technology -- Security techniques – Guidelines for identification, collection, acquisition and preservation of digital evidence", посвященный описанию и систематизации процесса сбора доказательств во время расследования компьютерных инцидентов. Стандарт конечно высокоуровневый (как и все стандарты ISO) и уступает сугубо практическим рекомендациям МинЮста США и CERT/CC, но все-таки это международный стандарт, устанавливающий общий язык для всех специалистов.

Преимуществом является использование блок-схем, упрощающих последовательность действий в тех или иных ситуациях, которые могут возникнуть при сборе доказательств. Хотя надо понимать, что эти рекомендации применимы только в том случае, если вы не планируете доводить дело до суда. В этом случае самостоятельно собранные доказательства не будут восприняты судом, как законно полученные ;-(

24.02.2011

Презентации с Магнитогорска

Чтобы место не пустовало ;-) Выложили презентации с Магнитогорска - http://www.ib-bank.ru/ibb/imt

- Posted using my iPhone

23.02.2011

С праздником!

С праздником!


- Posted using my iPhone

22.02.2011

Законопроект о лицензировании перенесли

Законопроект о внесении изменений в ФЗ-128 "О лицензировании отдельных видов деятельности" вчера снова перенесли. Уже во второй раз ;-(  На сайте Госдумы выложен список отклоненных и принятых ко второму чтению поправок. По "нашей" теме из принятых поправок интересно изменение формулировки пункта про криптографию. Вместо "разработка, производство, реализация и техническое обслуживание шифровальных (криптографических) средств, информационных и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, а также выполнение работ (оказание услуг) в области шифрования информации" планируется "разработка, производство, распространение, шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)". С одной стороны расширился перечень ситуаций, подлежащих лицензированию (не только СКЗИ, но и любые ИС, использующие СКЗИ), а с другой четко прописали, что лицензия "для собственных нужд" больше не понадобится.

Ну и в качестве новых веяний теперь можно получить лицензию на осуществление какого-либо вида деятельности в электронном виде с ЭЦП.

ЗЫ. Лицензиатам могут быть интересны поправки в части их проверок со стороны органа по лицензированию.

21.02.2011

Размышления о корректности встраивания криптосредств

Вообще, я не в восторге от того, что, а точнее КАК, ведет себя ФСБ на рынке защиты информации КОММЕРЧЕСКИХ структур. Уж очень непросто выполнять все их требования. А уж про доступ к этим требованиям я вообще молчу - все документы закрытые и даже лицензиаты получают не сами документы и даже не выписки из них, а выписки из выписок. Но пост о другом. Все-таки некоторые требования ФСБ по зрелому размышлению выглядят достаточно здраво (вопрос реализации оставим в стороне).

В первую очередь речь идет о встраивании СКЗИ в какие-либо приложения, системы или устройства. Натолкнуло меня на это размышление презентация Юрия Маслова из КриптоПро на конференции в Магнитогорске. Я раньше как-то не задумывался об этом (да и не сталкивался с этим почти), но... почти все (а может и без почти) прикладные программы (в презентации речь шла о ДБО), которые сегодня заявляют об использовании сертифицированных криптопровайдеров, заставляют рисковать их пользователей. Ведь что заявляют их разработчики?.. Мол мы встроили КриптоПро CSP или Инфотекс VipNet CSP или других 6 или 7 сертифицированных криптобиблиотек, а значит вы можете спать спокойно, т.к. надежность этих СКЗИ подтверждено сертификатом ФСБ.

Да, это так. Сертификаты есть... но на криптопровайдеры, а не на решения, их использующие. Где гарантия, что они корректно используются? Где гарантия, что они вообще используются? Что мешает разработчику просто встроить их в свой софт, но не вызывать ни одной из их функций? А если вызывать, то неправильно? А если правильно, то не обеспечивать защиту от подмены вызова? На каждый из таких вопросов, ответа нет. Более того, его никто и не даст, т.к. такая гарантия должна быть подтверждена независимой стороной. Можно много спорить о сложности процесса сертификации в ФСБ (и невозможности попасть в него без связей), но он дает именно такую гарантию (пусть и не финансовую и не репутационную). Независимых аудиторов кода СКЗИ в России попросту нет. А если нет, то они малоизвестны рынку и цена их слову - грош (т.к. и они ни за что не несут ответственности).

Собственно аналогичная ситуация не только с ДБО, но и с любой СКЗИ. С теми же VPN-решениями. Даже ответ ФСБ на эту тему есть. Вот только мало кто задумывается об этой проблеме. Действительно, риски взлома систем из-за некорректного встраивания СКЗИ пока невелики (именно что пока). А раз так, то зачем тратить месяцы и тысячи долларов на такую проверку? Потребитель (банк) все равно не понимает разницы между сертифицированной системой ДБО и системой ДБО, использующей сертификацированную СКЗИ. Разработчик пользуется незнанием потребителя и уверен, что его продукцию купят и так. Клиент банка вообще почти всегда виноват. А учитывая его низкую квалификацию и доказать-то ничего не сможет. Регулятор тоже мало озабочен данной проблемой. Что в итоге? Все довольны! До начала массовых атак именно на этот механизм защиты систем ДБО и других аналогичных решений, использующих встроенную сертифицированную криптографию.

15.02.2011

Банковская безопасность в Магнитогорске

И вот я в Магнитогорске, на конференции по банковской безопасности. Программа выступлений начнется только утром (хотя тут уже 4 утра), а пока первые впечатления.

О безопасности я подумал еще в такси из Магнитогорска. Представьте себе картину. Ночь, заснеженная трасса, поземка, переходящая в метель, видимость метров 50, редкие машины, слепящие дальним светом... и мое такси, стремительно несущееся по трассе Магнитогорск-Абзаково со скоростью 100-120 км. В повороты этот ждигит входит на 80-ти. Ремня безопасности на заднем сиденье нет ;-( Поневоле задумаешься о безопасности... своей жизни и информации в моей голове ;-)

Дальше больше. Приехали в 4 утра к месту конференции. А дальше как в "Неуловимых мстителях": "...а вдоль дороги мертвые с косами стоять и тишина!" Мертвецов не видел, но тишина гнетущая, вокруг ни души и не видно ни зги. Ни фонаря, ни указателя (может он и был, но во тьме его было не видать). На улице минус 20, а я в ботиночках на тонкой подошве ;-) Хорошо, что 25-тилетний туристический опыт помог быстро сориентироваться на местности. Благо 3G был и сайт отеля с картой территории я смог загрузить. Дальше все было проще - по вьющейся сквозь деревья тропинке добрался до корпуса, разбудил дежурную, получил вожделенный ключ от номера и заселился. Вот так и закончился первый день конференции.

ЗЫ. Заметки с выступлений в реальном времени буду в твиттер постить, а с утра видимо размещу краткие итоги первого дня.

14.02.2011

Открыто российское отделение Cloud Security Alliance

Ассоциация профессионалов в области информационной безопасности RISSPA объявляет об открытии российского отделения Cloud Security Alliance, созданного для популяризации и содействия применению лучших практик и мирового опыта защиты “облачных вычислений” в российских условиях.

Cloud Security Alliance является некоммерческой организацией, созданной для содействия использованию передового опыта при обеспечении безопасности "облачных вычислений", а также повышения уровня осведомленности по данной тематике всех заинтересованных сторон.

CSA выделяет для себя целый ряд задач, среди которых:

  • Содействие нахождению взаимопонимания между потребителями и поставщиками услуг в части требований безопасности и контроля качества.
  • Проведение независимых исследований в части защиты "облачных вычислений".
  • Разработка и проведение программ повышения осведомленности в области облачных вычислений и обеспечению безопасности.
  • Разработка руководств и методических рекомендаций по обеспечению безопасности "облачных вычислений".

Российское отделение CSA ставит перед собой следующие цели:

  • Способствование повышению уровня доверия «облачным» вычислениям в части обеспечения безопасности.
  • Проведение анализа российских и зарубежных поставщиков услуг на предмет соответствия лучшим практикам при обеспечении безопасности "облачных вычислений".
  • Локализация и адаптация руководств и методических рекомендаций Cloud Security Alliance и др. организаций в области безопасности "облачных вычислений".
  • Повышение осведомленности в вопросах безопасности "облачных вычислений": предоставление возможностей участия в профессиональных дискуссиях, проведение тематических семинаров, участие в профильных выставках и конференциях, разработка и проведение учебных программ.
  • Участие в инициативе Cloud Security Alliance - The Trusted Cloud.

Открытие российского представительства Cloud Security Alliance стало возможным благодаря инициативе и слаженной работе группы экспертов RISSPA, которые приглашает всех кому интересна тема безопасности “облачных вычислений” присоединяться к дискуссионным группам Cloud Security и Безопасность в виртуальной среде на сайте RISSPA, а также к группе Cloud Security Alliance, Russian Chapter в сети LinkedIn.

11.02.2011

Прямой эфир со мной на РБК-ТВ

Выступал вчера на РБК-ТВ в программе "Сфера интересов". Тема была посвящена вредоносным программам и средствам борьбы с ними. Выступали вместе с Рустэмом Хайретдиновым из Infowatch. Получилось вот что.



Также будут повторы и по самому телеканалу:
  • суббота - 17.35
  • воскресенье - 10.35
  • воскресенье - 23.05

Cisco вступила в ТК 362 и ТК 22

Компания Cisco в моем лице стала полноправным членом ТК 362 "Защита информации" (в частности ПК3 по безопасности банков) и ПК 27 ТК 22 "Информационная безопасность". Будем теперь активнее участвовать в анализе разрабатываемых стандартов и их корректировке в соответствие с лучшими практиками и мировыми тенденциями.

10.02.2011

Виртуализация в прицеле ФСБ

В понедельник выступал на Инфофоруме на заседании по новым технологиям в контексте ИБ. Перед моим докладом было несколько интересных докладов. Если не брать в расчет постоянно всплывающий "Феникс" (это защищенная ОС, которая теперь именуется "Фебос"), в котором появился свой "гипервизор" для виртуализации, то основной акцент в докладах было сделано на три технологии - облака, виртуализация и мобильная безопасность. В "облаках" сцепились Oracle и Microsoft, но последняя вела себя гораздо корректнее и Владимир Мамыкин не наезжал на Oracle, который вел себя вызывающе, заявляя, что кроме них достойных ИТ-производителей облаков, СУБД, ОС, middleware и т.д. просто нет.

А вот в области безопасности удаленного доступа с мобильных устройств была конкуренция между Атласом и НИИ СОКБ, каждый из которых представил свое решение по защите. НТЦ Атлас показывал мобильный телефон с российской сертифицированной криптографией, а НИИ СОКБ представил новую разработку для защиты смартфонов - ЦУКСС (Центр управления корпоративной сотовой связью), который не только должен организовывать сертифицированный SSL VPN на базе iPhone, iPad, Symbian и Windows Mobile, но и управлять защитой мобильных устройств. Если они действительно доведут проект до конца, то это будет очень интересное решение.

И наконец, в части виртуализации выступал представитель ФСБ (!). В докладе рассматривались различные вопросы безопасности виртуальных сред, что демонстрирует внимание этого регулятора к этому вопросу. А учитывая, что один из ИБ-интеграторов в инициативном порядке разработал для ФСТЭК проект РД по безопасности виртуализации, то можно предположить, что скоро наши регуляторы смогут вполне адекватно оценивать с точки зрения ИБ инфраструктуру виртуализации.

Вот такие новости...

09.02.2011

Cisco разродилась кучей полезных документов

Разродились мы (т.е. Cisco) за последнее время интересными документами. Например, американское исследование отношения к PCI DSS. Отношение к этому стандарту поменялось в лучшую сторону. Второй отчет посвящен ежегодному анализу состояния ИБ в мире в 2010-м году. Аналитика, тенденции, рекомендации...

Также в дополнение к порталу Cisco SIO мы запустили новый ресурс для обмена опытом защиты личных данных и соблюдения нормативных требований к информационной безопасности. На нем много интересной и полезной на мой взгляд информации. Например, правила выбора ASP-провайдера, пример SLA, опросник и правила выбора провайдеров облаков и аутсорсинга и т.д.

08.02.2011

Моя презентация с Инфофорума

Выступал вчера на Инфофоруме с выложенной презентацией:

07.02.2011

Начальник Управления К отправлен в отставку

Как-то эта новость прошла мимо профильных сайтов и изданий, поэтому перескажу - Борис Мирошников, глава Управления К (БСТМ) МВД отправлен в отставку Президентом Медведевым.

Собственно ничего сверхестественного в этом событии нет. Врядли из-за обвинений Мирошникова Чичваркиным. Официальная причина отставки - достижение предельного срока службы генерал-полковника, в бытность свою побывавшим заместителем начальника Управления контрразведывательных операций ФСБ, а затем начальником Управления компьютерной и информационной безопасности ФСБ.

04.02.2011

Что лучше: тратить или не тратить на ИБ?

Интересная статистика. Не то, чтобы она открыла Америку, но до этого мало было исследований, сравнивающих компании, тратящих и нетратящих деньги на ИБ.

03.02.2011

Другие стандарты ISO по ИБ - 2

И последняя порция стандартов по ИБ, которые разрабатывали другие технические комитеты ISO.

02.02.2011

Стандарты ISO по ИБ (ПК 68)

Помимо 27-го подкомитета в ISO немалое внимание безопасности уделяет 68-й технический комитет, стандартизующий финансовый сектор. По "нашей" теме ТК 68 принял около 20 стандартов.

01.02.2011

Проекты стандартов ISO по ИБ (ПК 27)

Вчера я выложил карту действующих стандартов ПК 27 ISO в области ИБ. А сейчас выкладываю карту проектов новых стандартов этого же комитета. Ситуация меняется - и хотя технологическим стандартам внимание по прежнему уделяется, но все меньше и меньше. Основной акцент делается на управлении ИБ, управлении инцидентами, прикладной безопасности, защите персональных данных, управлении уязвимостями, безопасности аутсорсинга и т.д.