29.06.2011

Как регуляторы наплевали на распоряжение Гаранта Конституции

Выложили на сайте Госдумы НОВЫЙ текст законопроекта по персданным, который 1-го июля будут рассматривать во втором (и не дай, Президент, в третьем) чтении. Помимо коренной переработке 19-й статьи (даже не в том варианте, который я видел вчера), из текущего варианта пропали некоторые ранее уже согласованные моменты. Например, раньше обработка данных, подпадающих под 115-ФЗ, попадала в исключения, на которые не распространяется ФЗ-152. а сейчас это исключение исчезло ;-(

Но вернемся к ст.19. Давно я не видел столь грамотно проработанных текстов от наших регуляторов. Кто там их консультировал, интересно. Итак ключевые моменты статьи, растянувшейся на 8 (!) страниц:
  1. Оператор обязан защищать ПДн.
  2. Моделирование угроз теперь обязательно на уровне закона.
  3. Средства защиты должны пройти оценку соответствия в установленном порядке.
  4. Уровни защищенности и требования по защите устанавливает Правительство, а уже в следующем пункте Правительство делегирует это право ФСТЭК и ФСБ.
  5. Госорганы, органы власти, ЦБ, внебюджетные фонды имеют право создавать модели угроз. Они должны быть согласованы с ФСТЭК и ФСБ.
  6. Ассоциации, союзы и иные объединения операторов могут определить дополнительные угрозы. Но уменьшить ни-ни. Это угрозы тоже должны быть согласованы с ФСТЭК и ФСБ, но... в порядке, установленном Правительством. Заметили нюанс? Для госорганов такого порядка не надо. А раз у нас порядка, согласованного Правительством, нет, то... правильно, ассоциации и союзы имеют право, но не могут им воспользоваться. Регуляторы умывают руки - демократия налицо.
  7. Меры по защите не могут определять никто кроме ФСТЭК и ФСБ.
  8. В прежнем варианте контроль и надзор со стороны ФСТЭК и ФСБ был разрешен только в отношении госорганов. Но могли ли регуляторы упустить такую кормушку? Конечно же нет. И в текущем варианте ФСТЭК и ФСБ с учетом значимости и содержания ПДн решением Правительства могут быть наделены полномочиями по контролю и надзору негосударственных информационных систем.
Казалось бы новая статья ст.18.1 полностью соответствует Евроконвенции и дает право оператору самостоятельно определять состав и перечень мер, необходимых и достаточных для защиты персданных. Но регуляторы добавили маленький такой штришок и картина поменялась. Теперь оператор может все определять самостоятельно "если иное не предусмотрено настоящим федеральным законом".

Редко регуляторы от меня дожидаются похвалы, но сейчас я снимаю перед ними шляпу. Они предусмотрели почти все, чтобы занимательная арифметика трехлетней давности воплотилась в жизнь.

Честно говоря, данные поправки перечеркнули все те благие начинания, к которым были причастны многие читатели этого блога (включая и меня), входящие в разные рабочие группы и комитеты. Да, с точки зрения защиты прав оператора ПДн ситуация стала полегче, но с точки зрения защиты самих ПДн ситуация ухудшилась по сравнению с 58-м приказом. Теперь никаких виляний в сторону и попыток творческого подхода к чтению законов. Ситуация изменилась; и в худшую сторону.

ЗЫ. Сейчас именно тот случай, когда я уже не ратую за скорейшее принятие этого законопроекта. Лучше бы в пятницу его завернули и отложили до осени. Иначе принятый в спешке закон такого шороха всем даст, что мало не покажется.

О выборе актуальных угроз

Время от времени я обращаюсь к теме психологии в ИБ и вот снова. В курсе про моделирование угроз я делаю экскурс в психологию восприятия риска, которая объясняет, почему мы принимаем те или иные решения, почему в одинаковой ситуации разные люди составляют разные списки разных угроз. И вот новое доказательство - статья (http://www.kommersant.ru/doc/1638757), показывающая особенности выбора и принятия решения в зависимости от культурологических особенностей разных наций.

Может именно поэтому мы видим такое количество документов по ИБ американского происхождения - лни просто не боятся их писать и принимать решения об их публикации. Востлчнлевропейских документов по ИБ нет вовсе. А наши регуляторы все не могут отойти от советского прошлого...


- Posted using my iPhone

28.06.2011

Есть ли безопасность в Козьмодемьянске?

В прошлом году Лаборатория Касперского организовала отличное выездное мероприятие по информационной безопасности в легендарном Урюпинске. Собралась отличная компания; не только в профессиональном, но и в личностном плане. Стоит заметить, что именно благодаря знакомству на этой конференции, я с семьей попал на фестиваль воздушных шаров и полетал на них с сыном над красивейшими местами.

И вот новый этап в проекте "Касперский открывает города" - горномарийский город Козьмодемьянск, недалече от Йошкар-Олы. Несмотря на промышленную и фольклорную значимость этого города на берегу Волги — на территории Козьмодемьянска производится каждая третья розетка в России, а ежегодный фестиваль «Бендериада» (согласно некоторым данным, именно Козьмодемьянск стал прототипом New Васюков в известном романе Ильфа и Петрова) обеспечивает сезонный приток туристов — город является одним из самых неизвестных и редко посещаемых древних российских городов.

В этом году, в рамках экспедиции состоится конференция «Безопасное завтра Рунета», центральной темой которой станет интернетизация малых городов как один из важных факторов развития российских регионов. В конференции примут участие ведущие эксперты «Лаборатории Касперского», специалисты по информационной безопасности, представители государства и индустрии, журналисты отраслевых, деловых и общественно-политических изданий, известные блогеры. Среди других тем для обсуждения — современные Интернет-угрозы и защита от них, онлайн-преступления, кибербезопасность на государственном уровне, детская незащищенность в Сети и многое другое.

ЗЫ. Меня пригласили туда поучаствовать в дискуссии по кибервойнам. 

27.06.2011

Законопроект Резника: последние новости

Собственно на пятницу назначен последний (последний ли?) бой...Но теперь уверенности в результате (в смысле принятия закона до конца весенней сессии) у меня уже нет ;-( А если законопроект и примут, то примут в спешке. А в таком случае возможны всякие несуразицы.

SolarWinds покупакет TriGeo

SolarWind подписал соглашение о покупке одного из игроков рынка SIEM - компании TriGeo. Сумма сделки - 35 миллионов долларов наличными. В России TriGeo неизвестна; в мире она преимущественно работала на рынке среднего бизнеса. SolarWinds известна своими решениями по управлению ИТ - приложениями, серверами, сетями, виртуализацией и облаками. На рынке ИБ SolarWinds замечена не была. Судя по анонсу покупатель хочеть предложить ИТ-службам инструмент сбора событий и логов. Так что безопасникам можно про решения TriGeo теперь забыть - их переориентируют на новую целевую аудиторию.

Как измерить систему контроля конфигураций?

В ноябре я выступал на InfoSecurity Russia с докладом об экономической эффективности ИБ. Во время сессии вопросов и ответов Женя Климов спросил меня, как оценивать сканеры безопасности? Тогда я четко ответить не смог, а сейчас смог подготовить некоторый ответ. Возьмем, к примеру, систему MaxPatrol от Positive Technologies. Это уже не простой сканер уязвимостей - это полноценная система мониторинга уровня ИБ, включающая в себя помимо инструмента поиска дыр еще и функции compliance, change management и аудит и т.п. Поэтому оценивать такие продукты надо комплексно, учитывая вклад системы в общее дело. Одна из решаемых такой системой мониторинга задач - контроль изменений. Как оценить этот процесс? Недавно я участвовал в проекте с нашей системой CiscoWorks Network Compliance Manager и там использовались следующие метрики:
  • число авторизованных изменений в неделю
  • число актуальных изменений, сделанных за неделю
  • число несанкционированных изменений, сделанных в обход утвержденного процесса внесений изменений (в среднем - 30-50%; у лидеров - менее 1% от общего числа изменений).
  • показатель (коэффициент) неудачных изменений, вычисляемый как отношение несанкционированных изменений к актуальным.
  • число срочных изменений
  • процент времени, затрачиваемого на незапланированную работу (тут важно учитывать также время на изменение)
  • число необъяснимых изменений (вообще, это основной индикатор уровня проблем в данной сфере).
Процент времени, затрачиваемого на незапланированную работу, очень показателен. Среднестатистическая компания тратит на такую работу около 35-45% всего времени. А это приводит к срыву сроков по запуску проектов, переработкам, проблемам с невыполнением требований нормативных актов, неконтролируемым сбоям и т.д. Лидеры в данном направлении тратят не более 5% времени на незапланированные изменения. Вычисляется этот показатель по простой формуле - произведение числа изменений на число неавторизованных изменений на среднее время изменения.


24.06.2011

WhiteHat Security покупает Infrared Security

22 июня WhiteHat Security, известная на рынке Web-безопасности, анонсировала покупку технологии статического анализа кода у Infrared Security.

Можно ли посчитать ROI по безопасности?

И вновь вернусь к этой животрепещущей теме ;-) Так и не выложил я реальные цифры по расчету ROI по методу Монте-Карло - руки все не доходят оформить это надлежащим образом. Но зато наткнулся неделю назад еще на одну статью, посвященную этому вопросу. А в статье дана ссылка на калькулятор ROSI (Return on Security Investment).

Забавный инструмент. Формула там "простая" - из монетарной стоимости снижаемых рисков надо вычесть стоимость защитных мер, направленных на это самое снижение. Калькулятор работает в два шага. На первом надо посчитать цену всех инцидентов (что может быть проще ;-), а на втором - стоимость защитных мер (security controls). Дальше калькулятор все сделает за вас и выдаст вам в результате расчет ROSI.

ЗЫ. Калькулятор бесплатный, но зарегистрироваться на сайте придется.

ЗЗЫ. От себя добавлю, что вывод, который я озвучил на форуме директоров по ИБ в презентации по финансовой оценке проектов по ИБ, верен и в данном калькуляторе. Чтобы посчитать стоимость инцидентов вам необходимы данные, которых обычно у служб ИБ нет - они в ведении ИТ-департаментов, финансовых департаментов и других бизнес-подразделений. Это вам не объем спама или число дыр считать ;-)

23.06.2011

Новое руководство PCI Council по виртуализации

14 июня PCI Council выпустил руководство по безопасности технологий виртуализации, используемых в индустрии платежных карт. Сам документ находится тут и включает, среди прочего, раздел и по облакам. 28 июня PCI Council проводит вебинар на эту тему.

ЗЫ. Если кому-то интересен взгляд Cisco на эту тему, то я недавно читал в Киеве такую презентацию. Она вообще по PCI DSS 2.0, но есть там раздел и по виртуализации.

NIST разродился двумя документами по облакам

Национальный институт стандартов США выпустил за последний месяц пару документов по облакам. Первый - проект SP 800-146 "Cloud Computing Synopsis and Recommendations", очень похожий на то, что недавно выпустило австралийское агентство. Второй документ описывает препятствия для внедрения облачных вычислений с точки зрения безопасности.

До кучи: 9 июня NIST выпустил финальную версию SP 800-82 по безопасности АСУ ТП - "Guide to Industrial Control System (ICS) Security".

22.06.2011

"Теневой Интернет" - детали технологии

Вчера, с опозданием, в полторы недели российские СМИ процитировали МИД России, обеспокоенный планами создания США технологий "теневого Интернет". Опасения понятны - Россия не хочет повторения ситуации в Тунисе, Египте, Сирии, Ливии и т.д. Не буду погружаться в политические дебри, коснусь технологических аспектов. Собственно меня эта тема заинтересовала именно в контексте ее блокирования ;-) Не в смысле, что я за ее запрет, а просто интересно - можно ли предовтратить разворачивание такой технологии в России?

Итак, откуда растут ноги у "теневого Интернет"? Все просто. Это обычный wireless mesh (например, у нас есть аналогичные технологии). Правда в данном случае в качестве устройств, передающих информацию, применяются не контролеры или точки доступа, а лэптопы, смартфоны и другие устройства, имеющие Wi-Fi. Некий Wi-Fi-пиринг без участия центрального узла управления, который может быть под контролем спецслужб, имеющих возможность отключить его в час "Х".

Впервые аналогичная технология обмена информацией в обход стандартных средств коммуникаций, получившая была опробована в Афганистане. Она получила название FabFi.


Никаких навороченных устройств для FabFi применять не надо - можно использовать даже канистру от бензина в качестве антенны ;-)


Но это не единственный пример. Есть в США такая организация, как New Foundation America, образованная в 1999 году. Кстати, председателем совета директоров NFA является Эрик Шмидт из Гугла. Так вот именно для борьбы с ненавистными режимами, которые душат демократию, NFA запустил проект Commotion, который и предназначен для решения поставленной задачи – организации взаимодействия диссидентами между собой в условиях контроля государством всех коммуникаций. Недавно проект выделился в отдельный сайт, на котором выложено свободно распространяемое ПО, документация и даны все необходимые пояснения.

А чемодан, о котором часто говорится в отечественной и ностранной прессе, выглядит так:



Теперь поразмышляем, как противостоять этой технологии технологически (оперативные методы не рассматриваем). Сходу вижу пока один вариант. В крупных городах (в которых и возможны волнения) массово внедрить "глушилки". Опыт подавления иностранных радиостанций в Советском Союзе есть. Хотя стоимость такого проекта может влететь в копеечку. Второй вариант "подавления" более интересен. Например, у нас есть Wireless IPS, которая не только обнаруживает беспроводные атаки, но и умеет подавлять "чужие" точки доступа и беспроводные клиенты. Отличие от предыдущего варианта в том, что такая WIPS может быть составной частью беспроводного контроллера, на который можно возложить функцию организацию беспроводного доступа. Т.е. организовать беспроводной доступ в рамках города и взимать за это плату, а параллельно иметь возможность блокировать беспроводные устройства в нужный момент.

Правда, на сайте Commotion говорится о возможности объединять и обмениваться анонимными звонками и SMS на базе обычных, немодифицированных мобильников. Вот тут остается только обычная глушилка. Хотя... вспоминая про подверженность отдельных моделей мобильных телефонов выходить из строя, получив специально подготовленную SMS/MMS...

В целом, интересная тема для размышлений ;-)

21.06.2011

Книга по персданным

Будучи проездом в Самаре, приобрел по случаю книжку по персданным (уже вторую в коллекции). Автор, судя по всему, преподает в самарском госуниверситете. Книжка рекомендована РКН, а в рецензентах у нее и представители РКН, и совтник юстиции и доктор технических наук. Толстый фолиант - 450 страниц.





250 страниц занимает перепечатка нормативной базы - ФЗ, ПП, приказы ФСБ, РКН, ФСТЭК (даже не 58-й приказ) и нормативка некоторых органов власти (далеко не вся).

3/4 оставшихся двухсот страниц пересказывают существующую нормативку. Никакого анализа, правда, нет. Тупой пересказ (а в приложении тоже самое, но без пересказа).

Хоть какой-то интерес представляют собой примеры документов, разработанных в СГУ (видимо для себя) и, предполагаю, прошедших проверку в РКН. Другого смысла в покупке книги не вижу ;-( 250 рублей потрачены впустую ;-( Хоть РКН и рекомендовал эту книжку, я этим похвастаться не могу.

ЗЫ. Но для коллекции пойдет ;-) Придет время подарю какому-нибудь ВУЗу свою библиотеку книг по ИБ. Наименований 200-300 наберется ;-)

- Posted using my iPhone

Домашний firewall

Все чаще задумываюсь, что я был прав, когда во время ремонта квартиры изначально сдизайнил домашнюю сеть и не пожалел денег ни на СКС (хотя и пользуюсь WiFi), ни на МСЭ на входе.

Очень уж быстро растет количество IP-устройств дома. Сначала это был рабочий ноут и рутер с МСЭ. Потом ноут жены, iPhone, iPad, IPTV, телевизор с выходом в Инет, видеонаблюдение... Подрастающий сын выпрашивает iPhone ;-) У знакомых синтезатор с подключением к Интернет. У других знакомых вообще весь "умный дом" на IP построен. А скоро дело дойдет до кофеварок, стиралок и унитазов, подключенных к Инету.

Старые подходы к защите, базирующиеся на обычном антивирусе и ADSL с пакетной фильтрацией уже не помогают. Особенно против APT, о которых вчера замечательно говорили на семинаре RISSPA (Марии и Жене спасибо за организацию).

Так что приходит новое время. Готовы ли мы (и Вы) к нему?


- Posted using my iPhone

20.06.2011

Вновь об управлении инцидентами

Управление инцидентами – это многогранная задача, которая включает в себя различные подзадачи и процессы. Это и расследование инцидентов, и сбор доказательств, и общение с правоохранительными органами (если это нам необходимо), и управление уязвимостями, и патчами, и множество других вещей. И каждая из них важна и нужна. Просто расследование инцидентов без формирования соответствующей группы CSIRT бесполезная трата времени и ресурсов (даже обратиться к специалистам и то надо знать как). А формирование группы CSIRT бесмысленно без наличия прописанных и формализованных процессов управления инцидентами, которые четко определяют шаги участвующих в управлении инцидентами специалистов и не дают им делать хаотические шаги в стороны.

На мой взгляд, основная задача в области управления инцидентами – это как можно большая формализация задач и процессов, чтобы нельзя было делать шаг влево и шаг вправо; чтобы те люди, которые в итоге войдут в группу CSIRT (либо созданную формально, либо неформально), не думали во время инцидента, что им делать, куда им звонить и так далее. Чтобы они четко выполняли шаги, требуемые от них для борьбы с нейтрализацией инцидентов и их последствий (не вдаваясь в терминологические дебри и дискуссии на тему "что такое инцидент").

Без такой формализации начинается хаос, начинаются метания из стороны в сторону во время инцидента. Кто-то попытался заблокировать злоумышленника или попытался с ним связаться. Кто-то попытался перезапустить систему, которую атаковали. В результате все следы уничтожены, злоумышленник понял, что его обнаружили и прекратил свою несанкционированную деятельность. В итоге, с одной стороны, инцидент прекращен и поверхностная задача решена. А с другой стороны мы столкнулись с ситуацией, в которой возможно повторение этого инцидента, но уже на более глубоком уровне (ведь злоумышленник понял, что его действия обнаружены). Мы не смогли реально идентифицировать злоумышленника, потому что он работал через какой-нибудь прокси. И так далее.

Что в итоге? И действия какие-то произведены. И ущерб предотвращен. Но присутствовало ли тут управление инцидентами? Нет. Потому что мы ничего об этом инциденте не знаем. Ничего не знаем о злоумышленники. Ничего не собрали в качестве доказательств. А вот нарушителю дали понять, что его "пасут", заставив его тем самым предпринять более серьезные действия по скрытию своей активности (правда, может он и отстанет от вас).

На форуме директоров по ИБ, в своей презентации по финансовому измерению ИБ, я показал (слайд 28), что в России проекты по управлению инцидентами экономически неоправданны. И если уж заниматься этой задачей, то делать это надо изначально понимая все особенности; все подводные камни; все достоинства и недоставки каждого из существующих подходов к управлению инцидентами.

К чему я все это пишу, сказав уже что-то в пятницу? Просто навеяло постами Ригеля и Алексея Волкова. Видимо придется уделять этому вопросу больше внимания, коль скоро эта тема стала в России столь популярной ;-)

ЗЫ. Коллегам из Leta-IT/Group-IB предлагаю завести отдельный блог/ресурс на эту тему, чтобы сделать эту тему открыто обсуждаемой. Ведь именно в открытой дискуссии и рождается истина. Единого рецепта или сценария может и не найдется, но можно будет увидеть разные подходы к решению данной задачи.

17.06.2011

Как банк защитил себя от мошенников

И последняя (на сегодняшний день) видеоистория про Айка - ИТ-специалиста банка. В ней он спасает банк от мошенников, используя современные технологии.

Расследование инцидентов по версии Leta IT

Leta IT выпустила рекомендации по реагированию на инциденты ИБ. Точнее Leta IT - один из авторов документа "Инциденты информационной безопасности. Рекомендации по реагированию"; среди других заявлены СоДИТ, АРСИБ и Group-IB. Как написано в преамбуле "Данный документ представляет собой перечень практических рекомендаций по реагированию на возникшие инциденты, выработанных на семинаре, организованном Союзом ИТ-директоров России, Комитетом по безопасности предпринимательской деятельности ТПП РФ, Межрегиональной общественной организацией «Ассоциация защиты информации» (МОО «АЗИ»), Межрегиональной общественной организации «Ассоциация руководителей служб информационной безопасности» (АРСИБ), компанией LETA и Group-IB при содействии Школы ИТ-менеджмента АНХ при Правительстве РФ". Вообще я не сторонник писать ТАКИЕ документы по результатам семинаров, ну да ладно. Важен сам факт появления таких рекомендаций. Если не считать моего выложенного в Интернет курса по управлению инцидентами ИБ, то больше ничего на русском языке в этой области у нас и не было. Разумеется было немало статей; особенно в последнее время. Но вот систематизированного материала маловато. Так что данный материал Leta IT и Group IB можно только приветствовать.

Leta IT призывала комментировать свои публикации, чтобы они стали лучше. Не упущу и сейчас такой возможности ;-)  Начну с того, что название документа не полностью соответствует его содержанию. Оно сосредоточено на инцидентах с ДБО, т.е. у документа узкая направленность на банки (это стоило бы отметить на титульной странице). Во-вторых, в документе, называемом "рекомендации", воды многовато - к самим рекомендациям пришли только на 9-й (из 20-ти страниц). Чуть меньше половины брошюрки - общие слова о важности и нужности. А вот определения инцидента ИБ так и не дано. Учитывая, что в авторах значатся СоДИТ и АРСИБ, а у безопасников и ИТшников немного разные толкования термина "инцидент", можно было бы и определиться с терминологической основой.

Полностью упущен момент о том, КТО должен реагировать на инциденты, КАК выстраивать службу реагирования и т.д. Возможно это была и не задача данного материала, но тогда стоило четко это зафиксировать и назвать документ более адекватно. Кстати, отсутствие ответа на поставленные вопросы заставило авторов включить 6-й пункт в алгоритм действия при наступлении инцидента. Только вот создавать группу реагирования надо ДО начала инцидента, а не как не в момент его развития в организации. Будут упущены драгоценные минуты, если не часы. Также как и гендиректора (п.4) беспокоить по каждому инциденту не надо и заваливать его служебными записками тоже. А для этого между 1-м и 2-м пунктами плана должен был быть как минимум еще один - классификация и приоритезация инцидента (ведь действия по реагированию очень сильно зависят от этого).

Вообще каждый из 13-ти пунктов плана требует детального рассмотрения. Ведь если специалист службы ИБ никогда не ставил перед собой задачи системного подхода к управлению инцидентами и он вдруг начнет следовать представленным рекомендациям, то вопросов возникнет еще больше. Как снять энергозависимую информацию с работающей системы? Как (а еще важнее где) собрать информацию об инциденте? Как снять образ с сетевого оборудования? Как опечатать iPad или BlackBerry? Как снять образ с виртуальной машины? Как оформить протоколом все операции с носителями? Как снять копию с сетевого оборудования или мобильного телефона? И таких вопросов по каждому пункту много.

Поэтому я бы рассматривал этот документ не как рекомендации, а как вводный материал к набору документов, описывающих все 14 шагов плана реагирования (я сюда добавил нулевой этап - создание группы реагирования). Тогда будет не только лишний повод для PR своих организаций, но и реальная польза для специалистов по безопасности. Причем опасаться, что после детальных рекомендаций никто не будет обращаться к специализированным компаниям (например, к Group IB) не стоит - будут. Хотя бы для того, чтобы снизить собственные издержки и доверить такой важный процесс квалифицированным специалистам.

16.06.2011

Регулирование криптографии (вторая версия)

В мае я обещал выложить новую версию презентацию по регулированию криптографии в России. Я ее читал в Казани на IT & Security Forum. Презентацию выкладываю.


Особо внимательным, на вопрос "почему medium version?", отвечу - в ней все-таки описаны не все нормативные документы по криптографии, а только самые распространенные. А вот в полной версии, которая грядет ;-), будут уже все нормативные документы.

15.06.2011

Новая порция изменений законодательства

1. Второе чтение законопроекта Резника запланировано на 17-е июня
2. Закон об НПС принят в третьем чтении. ЦБ назван новым регулятором по ИБ (стаьи 27 и 28) - http://t.co/5En5TLr-
3. Новое постановление Правительства по инфраструктуре госуслуг - ни слова о сертификации средств защиты - http://t.co/Y22PLFt


- Posted using my iPhone

Cisco получила лицензии ФСБ

Еще один крупный шаг сделала Cisco, чтобы лучше соответствовать требованиям регуляторов - мы получили лицензии ФСБ России на распространение и техническое обслуживание шифровальных (криптографических) средств. Лицензия выдана сроком на 5 лет. Теперь мы можем оказывать полный спектр услуг по продаже, аренде или предоставлению в лизинг собственного шифровального оборудования и по его последующему техническому обслуживанию на территории России в соответствии со всеми регуляторными правилами. Прежде эту деятельность мы осуществляли только через своих партнеров.

Процесс лицензирования проходил в соответствии с нормативными документами ФСБ РФ и подтвердил, что ООО "Сиско Системс" отвечает всем требованиям по наличию квалифицированного персонала, сертификатов на продукцию, системы учета и специального помещения для хранения информации.

Вот такие интересные новости ;-) Могу ошибаться, но мне кажется мы единственный западный производитель средств защиты в России, имеющий лицензии ФСБ.

14.06.2011

Будущее медицины

Продолжение истории про ИТ-специалиста Айка. Теперь он на отдыхе ;-)

Zeus покупает Art of Defence

Малоизвестная компания Zeus Technology покупает другую малоизвестную компанию Art of Defence, являющуюся разработчиком прикладного МСЭ. Детали сделки не разглашаются.

Новая порция изменений законодательства

За последние 10 дней произошли следующие изменения законодательства:
  • Г-н Климашин, в конце прошлого года покинувший ФСБ, назначен Президентом Медведевым заместителем Секретаря СовБеза.
  • 4 июня Президент подписал ФЗ-123 "О внесении изменений в Жилищный кодекс Российской Федерации и отдельные законодательные акты Российской Федерации". В нем есть отдельная статья, касающая персональных данных. Согласно поправкам жилищные кооперативы получили право обрабатывать сведения о судимости, а также было внесено новое исключение в ч.2 ст.6 ФЗ-152, разрешающее обрабатывать ПДн без согласия УК, ТСЖ, жилищным кооперативам, ЖСК или иным кооперативом, управляющим многоквартирным домом.
  • 3 июня Президент подписал ФЗ-122 "О внесении изменений в Федеральный закон «О рынке ценных бумаг» и статьи 214 и 310 части второй Налогового кодекса Российской Федерации". Он не имеет прямого отношения к ИБ, но зато определяет обязанности депозитариев ценных бумаг, что имеет непосредственное отношение к теме персданных (в части неполучения согласия).

11.06.2011

Выиграй поездку в Акапулько, Лиму или Лондон

На правах рекламы ;-)

Cisco проводит конкурс по сетям без границ, а точнее по двум направлениям нашей стратегии "Сеть без границ" - безопасности и видео. Если есть желающие, то милости прошу.

10.06.2011

Впечатления от форума директоров по ИБ

Есть такая практика - составлять руководства/каталоги/рейтинги ресторанов или отелей. Учитывая число посещаемых мной мероприятий мне впору начать вести свой рейтинг мероприятий с рассказом о том, что там хорошо или плохо. А теперь к обзору межотраслевого форума директоров по ИБ.Общее впечатление вполне себе положительное. В этом году стало еще меньше рекламы и больше интерактивного общения спикеров и зала.

Если вспоминать, что запомнилось больше всего, то интересным было выступление Елены Волчинской из Госдумы. Она рассказала о текущих тенденциях в области регулирования. Законопроект Резника идет своим чередом. Что-то (очень хорошее) прошло все согласования. Что-то (роль регуляторов и требования по защите) пока находится в процессе дискуссий. По срокам - примет до первой декады июля; потом ГД уходит в отпуск, а решения Президента надо исполнять. ФЗ о служебной тайне ожидать не приходится из-за позиции Правительства РФ.

Я выступал с рассказом о тенденциях мира и России в области ИБ.


На секции по облакам все в них витали и вся дискуссия опять скатилась к тому, что же такое облако. Мне это чем-то напоминает парламентские слушания по госуслугам. Объект защиты не определен, а о защите начинают говорить...

Секция по утечкам, в отличие от прошлого года, обошлась без рекламы и вообще упоминаний DLP-продуктов. Говорили о практике, оргвопросах и т.д. Своим опытом делились банки, ритейл, транспортники.

Последняя секция первого дня посвящена была инцидентам. Очень достойно выступили представители Леты (рассказ об общих подходах в реагировании) и Брокеркредитсервис (рассказ об отдельных аспектах управления инцидентами, причин их возникновения и т.д.). Далее выступал руководитель направления исследований цифровой информации, старший эксперт главного управления криминалистики Следственного Комитета РФ. Достойно. По делу и умело. Нечасто увидишь чиновника, который умеет говорить публично.

Второй день начался с Алексея Волкова, который делился своим опытом по защищенному удаленному доступа. Практично и познавательно. Барклайс Банк говорил про страхование информационных рисков (давно эта тема не всплывала на мероприятиях). Атомредметзолото (второй в мире добытчик урана) рассказывал про опыт внедрения ISO 27001 (она в самом начале пути). Завершал секцию я рассказом про измерение ИБ звонкой монетой, т.е. говорил о финансовой оценке ИБ.


Завершала конференцию (если не брать, на мой взгляд, бесполезный для аудитории доклад о кибервойнах) практическая сессия "Как подготовиться к проверкам регуляторов?", моделирующая реальную ситуацию: в компанию приходят с проверкой представители регуляторов. Необычно и очень интересно.

В целом мероприятие прошло на уровне - организаторам, модераторам и ведущим спасибо.

09.06.2011

Symantec покупает Clearwell Systems

Symantec объявил о покупке Clearwell Systems, которая занимается технологиями eDiscovery, т.е. поиском, сбором и структурированным хранением информации в электронном виде с целью последующего предоставления ее по запросам судебных и регулятивных органов.

Сумма сделки - 390 миллионов (годовой оборот  Clearwell в семь раз меньше). Gartner предсказывает, что в 2014-м году объем рынка eDiscovery составит 1.7 миллиарда. Иными словами Symantec делает серьезную ставку на данное направление, если готов платить чуть ли не четверть будущей емкости рынка.

А вообще Symantec все больше отдаляется от направления безопасности, смещаясь в смежные области. В ту же защита данных (data protection, как назывет этот сегмент IDC), которая опирается на системы резервирования, обеспечения непрерывности бизнеса и т.д. В объеме бизнеса Symantec решения по данному направлению занимают, насколько я понимаю, гораздо больше 2/3 (а в России и того больше). Это и понятно. Лучше продать один "Veritas", чем 10 тысяч лицензий на антивирус.

Будни ИТ-специалиста

Я уже не раз обращался к теме нестандартного продвижения технологий ИБ (тут, тут, тут, тут и тут). И вот новый видеоопус от Cisco. Правда, безопасность там только одна из составляющих, но все равно выглядит прикольно ;-)




ЗЫ. Это первая серия из трех. Остальные будут на следующей неделе.

08.06.2011

Rambus покупает Cryptography Research

Компания Rambus, производитель компьютерных чипов памяти анонсировала приобретение исследовательной компании Cryptography Research (CRI) за 342 миллиона долларов. Само по себе название CRI (хотя домен у них знатный) мало кому известно. А вот ее президент известен как автор SSL 3.0. Решения CRI лицензированы многими компаниями - Samsung, Toshiba, Microsoft, Infineon и т.д. А всего свыше 5 миллиардов (!) чипов защищены решениями CRI. Также CRI предлагает такое решение, как CryptoFirewall для защиты криптографических ключей в чипах.

Мотивация Rambus понятна; особенно после новости о покупке компании McAfee компанией Intel. Все делается для расширения функциональности чипов за счет технологий безопасности. А учитывая объем бизнеса CRI все становится на свои места. Хотя тут может быть и иная мотивация. Та же Википедия называет Rambus патентным троллем, который занимается не разработкой, а судебными процессами по поводу нарушения ее прав на интеллектуальную собственность.

Лицензия ФСБ больше не будет препятствием для иностранных инвестиций

По-моему про это не писал, но тему поднимал. И вот в конце марта этого года ГосДума приняла в первом чтении законопроект № 503176-5 "О внесении изменений в Федеральный закон "О порядке осуществления иностранных инвестиций в хозяйственные общества, имеющие стратегическое значение для обеспечения обороны страны и безопасности государства". Одно из изменений - деятельность банков в области криптографии исключается из видов деятельности, имеющих стратегическое значение и установленных статьей 6 закона 57-ФЗ.

Руководство по оценке рисков облачных вычислений

В Австралии опубликовано руководство "Cloud Computing Security Considerations", помогающее австралийским госорганам (но будет полезно не только им) оценивать риски и целесообразность перехода к облачным вычислениям. В документе приведен обзор облачных вычислений и связанных с ними выгод. Но самое главное, что этот документ содержит, так это список вопросов для размышлений, помогающих учреждениям понять те риски, которые необходимо учитывать при использовании облачных вычислений. Это руководство позволяет представителям бизнеса принимать обоснованное решение относительно использования облачных вычислений с приемлемым уровнем риска. В этом документе охвачены следующие темы:
  • доступность и функциональность
  • защита данных от несанкционированного доступа
  • управление инцидентами.

Рекомендую - достойные документ. Я бы на месте нашей ФСТЭК тупо перевел бы его и разослал по нашим госорганам.

ЗЫ. Сергей Орлик запустил минисайт с русским переводом некоторых документов NIST по облакам.

07.06.2011

О добровольной оценке соответствия

Тема оценки соответствия в блоге поднималась уже не раз. Но обсуждалась, в-основном, оценка соответствия в виде обязательной сертификации. Добровольная сертификация практически выпала из поля зрения. Хотя такая попытка уже неоднократно делалась в нашей отрасли. Но дальше слов как-то дело не шло.

И вот новая попытка, запущенная Евгением Родыгиным совсем недавно - система добровольной сертификации "КАСКАД". Пока это наметки и мысли. Но в этом и ценность этой системы. Она рождается не в закрытом междусобойчике, а открыто. Каждый может высказать свое мнение и предложение. А это позволяет учесть все известные грабли существующих систем.

Я думаю что у новой системы, когда она будет запущена, есть все шансы получить свое развитие. У нее все признаки успеха. Энтузиазм и опыт создателя, готовность рынка, тренд в области технического регулирования. Посмотрим...

06.06.2011

Впечатления от IT & Security Forum

Всего 2 недели назад я уже писал о своих впечатлениях от Positive Hack Days. B вот новый позитив. Уже от ICL КПО ВС, которая организовала 2-3 июня мероприятие в Казани - IT & Security Forum. Несмотря на схожесть тематики, мероприятия все-таки непохожи друг на друга. PHDays был "клубным" мероприятием, в центре которого были конкурс(ы) по взломам, в то время как IT & Security Forum носил более официальный характер - это и большое количество представителей госорганов, и официальное открытие (все-таки мероприятие проводится 5-й раз)? и награждение Айдара Гузаирова медалью ФСТЭК, и закрытое заседание представителей служб ИБ Газпрома.

Однако оба мероприятия объединяла (как минимум, для меня) возможность неформального общения с коллегами. Если PHDays был лимитирован одним днем, то казанское мероприятие началось вечером 1-го июня и закончилось 3-его; целых 2 ночи на общение (а кто-то оставался и на субботу ;-) Погода благоприятствовала ;-) Где еще удалось бы в час ночи вступить в полемику с представителем ФСТЭК и в течение почти двух часов обсуждать различные аспекты деятельности Службы и отрасли защиты информации в России. Где еще ты можешь поиграть в биллиард с представителями крупнейших потребителей защитных технологий?

В целом мероприятие оставило только положительные эмоции. И в части организации всего процесса (от трансфера, до работы выставки и перерывов между докладами). И в части круглых столов, на которых были не просто выступления спикеров, но реальная дискуссия с залом (спасибо Алексею Сабанову за ведение тех столов, в которых мне довелось участвовать). И в части построения культурной программы, которая позволила почти 400-ам участникам найти себе занятие по интересам.

Честно говоря, планка мероприятий по ИБ в последнее время поднимается все выше. В среду начнется межотраслевой форум директоров по ИБ. Посмотрим, что выйдет из него. Предварительно могу сказать, что там будет сильна, в первую очередь, конференционная программа - почти полное отсутствие рекламы, одни практические доклады. Однако не забыта и культурная программа на теплоходе, курсирующем по вечерной Москва-реке.

ЗЫ. Я на IT & Security Forum представлял расширенную версию презентации по регулированию криптографии. Выложу ее, наверное, завтра, после внесения последних правок.

02.06.2011

Тенденции в мире угроз

Делал тут краткую презентацию по тенденциям в мире угроз. решил выложить ее и сюда заодно.

01.06.2011

СТО Банка России: история, анализ, перспективы

Вчера выступал в Киеве на мероприятии Cisco по сетям без границ. Мои украинские коллеги попросили рассказать меня о ситуации с регулированием ИБ в банковской сфере в России. После меня выступал коллега из киевского Ernst & Young с рассказом о стандарте, который выпустил НацБанк Украины и наши два выступления должны были дополнить друг друга.

Результат вы видите ниже. Это по сути не столько результат моего кропотливого труда, сколько компиляция из разных источников; преимущественно из презентаций коллег из Центрального Банка РФ. Но в одной презентации я пока такого совокупного анализа не видел.


ЗЫ.Краткие заметки по стандарту НацБанка я вписывал в свой Twitter по ходу выступления коллеги из E&Y.