29.07.2011

Новости контроля и надзора

Кто внимательно следит за моим блогом и вообще за темой персональных данных помнят, что в законопроекте №454517-5 "О внесении изменений в отдельные законодательные акты Российской Федерации по вопросам осуществления государственного контроля (надзора) и муниципального контроля" предлагались следующие поправки:
  • предметом проверки является соблюдение только обязательных требований
  • плановая проверка может осуществляться только по одному основанию - истечение 3-х лет с государственной регистрации оператора или последней проверки
  • внеплановые проверки осуществляются только по истечению выданного предписания, а также поступления в РКН обращения субъектов о нарушении их прав в области обработки ПДн  или в результате наличия поручения Президента или Правительства
  • внеплановая проверка должна быть согласована с прокуратурой
  • срок проверки - не более 10-ти дней (вместо 20-ти).
 И вот 18-го июля Президент подписал этот закон. И что же?.. Этих поправок в ФЗ-152 в законе нет. Провел я маленькое расследование на сайте Госдумы. Оказалось, что 24 июня г-н Плигин исключил эти поправки из законопроекта, подготовленного ко второму чтению. Этот же депутат был инициатором замены согласованного сторонами текста законопроекта по внесению поправок в ФЗ-152 на тот, что мы имеем сейчас.

28.07.2011

Демотиватор


ОтPESTицидим все!

На Форуме директоров по ИБ, где пользуясь статусом представителя спонсора, мне довелось выступать в пленарке, я высказал несколько тезисов, на одном из которых сейчас мне хотелось бы остановиться особо. Руководитель ИБ должен быть политиком, чтобы учитывать политические течения и влияние политической коньюнктуры на отрасль, в которой приходится трудиться (слайд 3, 56-57).

За кадром тогда осталось еще три аспекта, влияющих на развитие отрасли, - экономический, социальный и технологический. Технологическому у нас уделяется обычно избыточно много внимания, а вот про социальный и экономический аспекты обычно забывают. Вместе эти 4 аспекта составляют такое понятие, как PEST-анализ, предназначенный, как говорит Википедия, для выявления политических (Political), экономических (Economic), социальных (Social) и технологических (Technological) аспектов внешней среды, которые влияют на развитие отрасли (этакий макроанализ). Иногда к PEST-анализу добавляют еще один элемент макросреды - правовй (Legal).

Около года назад я как раз проводил такой анализ российского рынка ИБ и получилась такая вот картина.

Russia Security PEST-analysis

Надо заметить, что нынешняя ситуация практически без изменений соответствует прошлогоднему анализу. И данная картина, скорее всего, останется таковой до 4 марта 2012 года, когда в России пройдут выборы. После этого, в зависимости от реализованного сценария (слайд 59), ситуация изменится. Ждать осталось недолго...

27.07.2011

258 проверок ФСБ до конца года

На сайте ФСБ размещен план проверок различных организаций до конца года. 9 проверок запланировано на первую половину 2011-го года, еще 258 - на вторую. Подавляющее большинство проверок касается госорганов, муниципалов, ФГУП, ФГОУ и т.п. Коммерческих структур ровно четыре - Костромаоблгаз, Дальсвязь, КрасИнформ и Технософт (последние две красноярские фирмы проверяют дважды - в III-м и IV-м квартале).

Демотиватор


Поправки в ФЗ-152: раунд второй

После нашего второго письма в сторону Президента с просьбой не пересылать его по подведомственности в Минкомсвязь в адрес «пяти экспертов» посыпались звонки из Минкомсвязи с просьбой разъяснить, что происходит и почему в Минкомсвязь идет такой поток запросов из Администрации Президента. Мы пояснили, что и как, и нас пригласили на встречу с целью обсуждения, как из обычных критиков законопроекта мы можем превратиться в экспертов, реально помогающих выполнить распоряжение Президента по ускорению решения вопроса с законодательством по персданным.

Представители "братства пяти" ;-) были на встрече, на которой не только прозвучало, что закон уже подписан (а было это в прошлый четверг), но и было предложено поработать над рекомендациями по реализации положений нового закона о персданных. Дабы отдельные ретивые апологеты гостайны не обвиняли нас в дешевом популизме и пиаре, мы решили поучаствовать в процессе (хотя не все из нас разделяют мой оптимизм, что через Минкомсвязь мы сможем поменять ситуацию с уже подписанным ФЗ).

Исходя из предпосылки, что закон уже не поменяют и надо жить с тем, что есть, мы решили подготовить некоторые предложения, которые хоть как-то могут исправить сложившую ситуацию. Наши предложения были следующие:
  1. Внести в КоАП и УК РФ ответственность операторов за УЩЕРБ субъектам, нанесенный утечками. Такое предложение уже поступало от Роскомнадзора около полутора-двух лет назад. При этом ответственность за неисполнение формальных требований необходимо убрать, т.к. это нарушает дух закона и букву Евроконвенции.
  2. Разработать методики оценки воздействия нарушений, связанных с обработкой ПДн, на частную жизнь субъектов, и возможного ущерба от этого, на основе лучших европейских практик, используемых европейскими уполномоченными органами. Это позволит более адекватно оценивать понятие «ущерб субъекту ПДн».
  3. Разработать с участием независимых экспертов и общественных организаций и обязательно путем публичного обсуждения подзаконные акты, определяющие уровни защищенности и требования по защите ПДн. При этом публичность и привлечение независимых экспертов является обязательным условием адекватности разработанных требований. В тех случаях, если в отдельных отраслях экономики есть отраслевые ассоциации, то обязательно привлекать их (как это было до нового законопроекта). Сейчас они могут вырабатывать только предложения по расширению модели угроз. В текущей ситуации ставится крест на работе Инфокоммуникационного союза, АРБ, НАПФ, НАУФОР, РСС и т.д., уже разработавших свои отраслевые стандарты и даже утвержденных регуляторами.
  4. Необходимо разработать и публично обсудить формализованные критерии для определении видов деятельности, подпадающих под контроль со стороны регуляторов.
  5. Внести нормы в КоАП и УК (в зависимости от ущерба) ответственность за скрытие фактов утечек ПДн субъектов.

Из Минкомсвязи достаточно оперативно последовал ответ, что это все лозунги и им нужно описание не того, ЧТО нужно сделать, а конкретное описание того, КАК это сделать (конкретные методики, формулировки статей). В течение дня мы подготовили и это. В частности, по формулировкам статей наш предварительный вариант такой - статью 13.11 изложить в следующей редакции:
«Статья 13.11. «Нарушение установленного законом порядка обработки персональных данных»
1. Нанесение ущерба субъекту персональных данных вследствие нарушения установленного законом порядка обработки информации о гражданах (персональных данных) влечет наложение административного штрафа
на граждан в размере от трех тысяч до десяти тысяч рублей;
на должностных лиц – от пятидесяти до ста тысяч рублей;
на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица – от ста до двухсот тысяч рублей или административное приостановление деятельности на срок до 90 суток;
на юридических лиц – от трехсот тысяч до пятисот тысяч рублей или административное приостановление деятельности на срок до 90 суток.

2. Неуведомление субъектов персональных данных по факту устранения нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных, влечет наложение административного штрафа
на граждан в размере от двух тысяч до пяти тысяч рублей;
на должностных лиц – от десяти до двадцати тысяч рублей;
на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица – от пятидесяти до ста тысяч рублей или административное приостановление деятельности на срок до 90 суток;
на юридических лиц – от ста тысяч до трехсот тысяч рублей или административное приостановление деятельности на срок до 90 суток».

Собственно мы посоветовали убрать порочную практику наказания за невыполнение буквы закона и перейти к практике наказание за реальное нанесение ущерба субъектам ПДн.

По 3-му пункту нашего предложения конкретика может быть получена только после формирования рабочей группы (рабочих групп) по разработке уровней защищенности и перечня требований по защите ПДн для различных отраслей экономики. В качестве первого шага, мы написали, что считаем необходимым признать уже разработанные отраслевые стандарты Банка России, НАПФ, НАУФОР, ИКС (НИР Тритон) в качестве перечня требований по защите ПДн в финансовой отрасли, для негосударственных пенсионных фондов, для участников фондового рынка и для операторов связи.

Наконец, по второму пункту, двое из подписантов открытого письма - Алексей Волков и Александр Бондаренко, поделились описанием методики оценки воздействия нарушений, связанных с обработкой ПДн, на примере уже существующего и апробированного в Великобритании документа.

Теперь мы ждем реакции на наши вполне конкретные предложения.


26.07.2011

Есть ответ АРСИБ

Итак, сегодня АРСИБ отреагировала на внесение столь "радостных" любому директору по ИБ поправок в закон о персданных. Реакция, правда, не та, что ожидалась. Просто констатация факта подписания нового закона. Правда, авторы пресс-релиза, видимо, далеки от темы, если смогли написать (а точнее переписать фрагмент официального пресс-релиза Кремля) такое: "Ассоциации, союзы и иные объединения операторов с учётом осуществляемой ими деятельности вправе определять дополнительные меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".

Очевидно, что Ассоциация директоров по ИБ была бы заинтересована в определении таких дополнительных мер по защите персданных. Только вот незадача - в законе о таком праве ни слова. В законе иная формулировка: "ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных". Незначительная разница формулировок, а как меняется смысл... Одно дело определять меры по защите и совсем другое - определять только дополнить разработанную регуляторами модель угроз.

Правда, в одной из редакций законопроекта была похожая формулировка - "операторы, саморегулируемые организации, ассоциации, союзы и иные объединения операторов вправе устанавливать стандарты обеспечения безопасности персональных данных", но было это еще до второго чтения.

Мне кажется, сейчас самое время включаться в публичную работу по влиянию на планируемую к разработке нормативную базу. Минкомсвязь к такому сотрудничеству готов, но об этом завтра...

Поправки в ФЗ-152 подписаны Гарантом

Президент Медведев подписал поправки в ФЗ-152 ;-(

http://kremlin.ru/acts/12097


- Posted using my iPhone

Информационная война продолжается...

Какие ассоциации у вас вызывает фамилия "Медведев"?.. Если попытаться ответить не задумываясь, то многие приводят следующий ассоциативный ряд - "Интернет", "твиттер", "блог". Можно долго обсуждать, что сделал и чего не сделал Президент, но его активной позицией в отношении Интернет-технологий не отнять. И если наш премьер на всех своих выступлениях пользуются блокнотиком или просто несколькими листочками бумаги, то Президент более продвинут и использует iPad. И источником информации для него является зачастую Интернет, а не только информация подготовленная соответствующими аналитиками, ситуационным центром и т.д. Одно дело информация для стратегических и тактических решений и совсем другое - оперативная оценка обстановки. Тут Интернет, как нельзя кстати, и Президент им активно пользуется.

И вот именно этой его особенностью воспользовались люди, занимающиеся пропагандой, борьбой с инакомыслием и просто информационным противоборством последние десятилетия. Продвигая "важность" темы персданных они воспользовались всеми каналами, доступными и активно воспринимаемыми целевой аудиторией, т.е. Президентом. Они заставили депутатов и сенаторов в едином порыве принять законопроект о внесении изменений в ФЗ-152. Они нашли основания нагнуть Минкомсвязь и не делать резких движений в предверии подписания поправок в 19-ю статью. Они не дали затухнуть (а может и стали инициаторами) скандальным утечкам в Яндексе, Мегафоне, страховых компаниях и секс-шопах. Теперь вся общественность закономерно громогласно вопиет о нарушении конституационных прав на тайну переписки и личной жизни. Теперь Президент сам увидит в Интернете, что действующий закон о персданных не работает и надо закручивать гайки. И тут даже не надо готовить никаких докладных записок, объясняющих, почему появилась 19-я статья (хотя я уверен, что такое пояснение готово). Все и так налицо. Персданные утекают, вот закон, чтоб не утекали. Если Гарант не подпишет такой "важный" закон, то о каком конституционной праве на тайну можно говорить?

А что с письмом Шохина, Тосуняна, АРБ, РСПП, АРОС, РАЭК о том, что нагрузка на бизнес возрастет и эти затраты будут переложены на потребителя?... Ну так на это можно здраво возразить словами незабвенного Александра Павловича Баранова на банковской конференции по персданным: "Вы же богатые. Делитесь!" А чтобы не возникало сомнений, что банки - враги народа, в прессе и на телевидении в последнее время было запущено немало заметок и сюжетов о том, что банки у нас плохие. Образ врага формировать специалисты с Лубянки умеют здорово.

И ведь проблема еще и в том, что эксперты по ИБ (АРСИБ не имею ввиду), публично ратующие за то, что новые поправки плохи и их надо менять, сами подливают масла в огонь и льют воду на мельницу регуляторов. Кто как не эксперты по ИБ перепечатывают новости о том, что там-то и там-то произошла утечка персданных? Такая информация попадает в блоги и записи Facebook и Twitter. Ее перепечатывают и ретвитят многие. В итоге ситуация накаляется еще больше и тема продолжает развиваться сама, без подталкивания ее со стороны инициаторов. Да и сами инициаторы этого информационного противоборства практически не видны. По крайней мере, если не сопоставлять информационный фон ДО открытого письма Президенту и ПОСЛЕ, если не знать, что творится закулисами, то сразу и не скажешь, что этой драмой грамотно руководит вполне конкретный режиссер...

ЗЫ. А до подписания поправок осталось всего 3 дня.

ЗЗЫ. Выводы из такого информационного противоборства тоже сделаны правильные ;-)  Хотя тягаться с Конторой в этом плане тяжело ;-(

25.07.2011

Операторов связи покроют как коров

Как-то не везет в России организациям, относящихся к категории операторов. Операторов персданных расплющили поправками в ФЗ-152. Операторов электроэнергии проплющили вчерашним законом о безопасности ТЭК. Операторов связи до недавнего времени не очень трогали с точки зрения безопасности. Кроме 7-й статьи ФЗ "О связи" детализации требований по защите почти не было. Был приказ Минкомсвязи  №1 от 2008-го года. Ничего обременяющего там не было. Можно сказать, что он был демократичен. Например, для защиты абонентских линий связи можно было применять кодирование, а не шифрование. Главное, что никакой сертификации средств защиты по линии ФСТЭК или ФСБ.

Но вот в 2010 году на поляну операторов было первое наступление - в 12-ю статью закона "О связи" был внесен новый подпункт о том, что требования по защите сетей связи и передаваемой по ним информации должны согласовываться с ФСБ. А какие ФСБ у нас выпускает требования все знают ;-(

И вот недавно на сайте Минкомсвязи был обнаружен проект приказа "Об утверждении Требований к управлению сетями электросвязи", который должен подписать главный защитник всех операторов - министр Щеголев. Помимо общих и местами правильных фраз есть и парочка таких:
  • "Система управления создаётся с применением сертифицированных уполномоченными органами исполнительной власти в области обеспечения безопасности и в области противодействия иностранным техническим разведкам и технической защиты информации программных и аппаратных средств управления и средств защиты информации по требованиям безопасности информации, а также с использованием каналов управления систем обеспечения информационной безопасности, отвечающих требованиям информационной безопасности"
  • "Построение системы управления осуществляется с использованием отечественных технических и программных средств, выполняющих функции систем управления и мониторинга, а в случае отсутствия их аналогов – иностранных программно-аппаратных средств, соответствующих требованиям информационной безопасности, которые устанавливаются уполномоченными органами исполнительной власти в области обеспечения безопасности и в области противодействия иностранным техническим разведкам и технической защиты информации.
  • "Обеспечение конфиденциальности и целостности информации управления осуществляется с использованием сертифицированных уполномоченным органом исполнительной власти в области обеспечения безопасности средств криптографической защиты информации
  • "В случае использования ресурсов сети связи оператора связи для нужд государственного управления, обороны страны, безопасности государства и обеспечения правопорядка, персонал, обеспечивающий управление сетью связи оператора связи, должен иметь допуск к сведениям, составляющим государственную тайну
Вообще, я могу понять желание уполномоченного органа исполнительной власти в области обеспечения безопасности вернуть себе утраченные со временем Перестройки позиции. Но не такими же методами...

ЗЫ. А операторов связи мне жаль ;-(

    24.07.2011

    Поездка в Козьмодемьянск была такой!




    ЗЫ. Через 1 минуту 21 секунду после начала ролика я задаю вопрос Щеголеву по поводу незаконного внесения поправок в ФЗ-152. Следующим кадром был его ответ, что Минкомсвязи против.


    23.07.2011

    Демотивация





    22.07.2011

    NIST публикует каталог мер защиты ПДн

    Вот за что мне нравится NIST, так это за их динамичность в области разработки нормативных документов по ИБ. Есть у них SP 800-53 по безопасности федеральных информационных систем, первая версия которого была выпущена в начале 2000-х годов, примерно в одно и тоже время с СТР-К. Правда, документы, разработанные по разные стороны океана, также отличаются как небо и земля. Но дело не в этом. За эти 9 лет, NIST выпустил уже 3 редакции SP 800-53, пополняя его новыми рекомендациями по защите облаков, виртуализации, АСУ ТП и т.д. (к концу 2011 года планируется анонсировать 4-ю версию). И вот вчера NIST выпустил проект (и ведь не скрывают они проекты своих документов, приглашая всех к обсуждению) нового приложения к SP 800-53 - Appendix J - Privacy Control Catalog.

    Данный каталог защитных мер для ПДн аккумулирует последние наработки в этой области как в самих США, так по всему миру. Причем каталог составлен грамотно - перечислены решаемые задачи и меры и описаны рекомендации по их реализации; причем совсем необязательно техническими мерами.

    А у нас что? НИЧЕГО! Необновляемый уже 10 лет СТР-К (хотя в этом году обещали)... Базовая модель угроз, списанная с чьей-то диссертации 90-х годов... Приказ 58, скопированный с требований по гостайне... Колоссальный прогресс.

    Операторов связи накажут за неиспользование контентной фильтрации

    Глава государства, любящий детей, вчера подписал еще один Федеральный закон - «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «О защите детей от информации, причиняющей вред их здоровью и развитию». О законе по защите детей я уже писал несколько раз (тут и тут). Вновь принятым нормативным актом в ряд законов РФ вносятся изменения, необходимость которых обусловливается принятием в декабре прошлого года Федерального закона «О защите детей от информации, причиняющей вред их здоровью и развитию».

    Нас может заинтересовать только одна статья закона - 3-я. Она вносит в КоАП новый состав правонарушения (если уж у нас так борются за детей, почему нельзя было сделать это уголовным преступлением?) - "Неприменение операторами связи, оказывающими телематические услуги связи в пунктах коллективного доступа к информации, распространяемой посредством информационно-телекоммуникационных сетей (в том числе сети "Интернет"), технических, программно-аппаратных средств защиты детей от информации, причиняющей вред их здоровью и (или) развитию". Под такими средствами подразумеваются обычные средства контентной фильтрации (например, IronPort Web Security Appliance или Cisco Service Control Engine). Невыполнение этого требования влечет наложение административного штрафа на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, в размере от пяти тысяч до десяти тысяч рублей; на юридических лиц - от двадцати тысяч до пятидесяти тысяч рублей. Несерьезная сумма по сравнению с затратами на технические и программно-аппаратные средства ;-(

    Серьезнее будет караться невыполнение в установленный срок предписания федерального органа исполнительной власти, осуществляющего государственный надзор и контроль за соблюдением законодательства Российской Федерации о защите детей от информации, причиняющей вред их здоровью и (или) развитию до пятисот тысяч рублей и (или) административное приостановление деятельности на срок до девяноста суток.

    21.07.2011

    А почему молчит ФСТЭК?

    Ну вот и мне пришел ответ из Минкомсвязи. А ответа от Президента или Администрации на мой второй запрос так пока и нет. Забавно, что этому письму предшествовал звонок из Министерства. Мол, чего это вдруг нам шквал запросов повалился? Работать приходится... И вот ответ.

    А г-н Щеголев так всех прилюдно уверял, что они стоят на страже операторов персданных и тоже против принимаемых поправок. И будут делать все, чтобы поправки не прошли. Слова одни, дела другие...

    Ответ Минсвязи

    Следующие действия предугадать несложно - в течение 3-х месяцев после подписания обновленного ФЗ-152 родится что-нибудь навроде 104-го приказа Минкомсвязи. В этом чем-то будут прописаны требования по безопасности персданных.

    Приказ Минкомсвязи 104

    Итак, ФСБ и Минкомсвязь заодно. Пока молчит ФСТЭК. Причем с их стороны полное, абсолютное молчание. Почему, интересно. Готовят что-то? Согласились быть на вторых ролях? Не знают, что сказать? Тихо и спокойно работают во исполнение своего 58-го приказа? Версий много. Ответа пока нет.

    Новый вид тайн и новый закон по теме ИБ

    Подписал вчера Гарант Конституции новый закон "О безопасности объектов топливно-энергетического комплекса". Направлен он на оптимизацию законодательного регулирования вопросов обеспечения безопасности в топливно-энергетическом комплексе Российской Федерации и создание основ устойчивого и безопасного функционирования объектов топливно-энергетического комплекса.

    По нашей теме там два интересных момента:
    1. ст.11 "Обеспечение безопасности информационных систем объектов топливно-энергетического комплекса" описывает, что системы защиты являются обязательными элементом объектов ТЭК. Создание таких систем предусматривает планирование и реализацию комплекса технических и организационных мер, обеспечивающих в том числе антитеррористическую защищенность объектов топливно-энергетического комплекса. Правда, сами требования и состав комплекса мер пока не определены. Возможно это будут документы ФСТЭК по КСИИ, а может и новое что-то от ФСБ появится.
    2. Информация о системе защиты в явной форме относится  к информации ограниченного доступа. Вот только непонятно, к какому виду тайн и в каком режиме ее зашищать... Это некий новый вид тайны, 51-й.
    Параллельно, Президент подписал еще один ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения безопасности объектов топливно-энергетического комплекса". Согласно этому закону, невыполнение требований по безопасности объектов ТЭК, повлекшее нанесение ущерба свыше 1 миллиона рублей, влечет за собой штраф до 80 тысяч рублей, а также ограничение или лишение свободы до трех лет. Это уже не 10 тысяч рублей за невыполнение правил защиты информации по КоАП. А если, не дай Бог, еще и смерть человека будет в результате атаки на какую-нибудь АСУ ТП, то никакиз штрафов - срок до 5-ти лет. А если смерть двух и более людей, то срок до 7 лет. Если ущерб незначительный, то вступает в силу ст.20.30 КоАП - штраa до 50-тысяч рублей или дисквалификация до трех лет.

    Вот так. А вы говорите либерализация... (точнее это я говорю, но все равно ;-)

      Что общего между женскими духами и информационной безопасностью?

      Возвращался вчера из командировки и во время посадки листал журнальчик "Аэрофлот Style" за июль этого года. В статье, посвященной ценообразованию женских духов, наткнулся на замечательную фразу, которая отлично отражает ситуацию и при оценке экономической эффективности информационной безопасности: "Правда заключается в том, что никакой объективной стоимости нет в природе. Цена любого предмета, произведенного человеком, складывается из массы других, столь же относительных цен – цены труда в столице, деревне, Франции или Занзибаре, цены сырья, цены транспортировки. Все они – условны: то, что человечество на данном этапе своего существования сочло ценным, совсем не обязательно было таковым раньше".

      Этот пассаж, хоть и применен к цене духов, хорошо отражает ситуацию и при оценке финансовой стороны вопроса любого проекта по ИБ. Не возможно заранее посчитать отдачу от той или иной системы защиты или проекта по ИБ. Например, в США у нас получаются замечательные цифры отдачи от внедрения проектов с нашими продуктами. Даже онлайн-калькуляторы для автоматизации этой задачи есть. В России, как было видно в презентации на форуме директоров по ИБ, уже не все так очевидно - зарплаты у нас меньше, чем в США. Это сильно влияет на показатели отдачи. А вот в Украине, куда я ездил недавно, с их зарплатами ИТ/ИБ-специалистов обосновывать экономику проектов еще сложнее.

      Все относительно, говорил Эйнштейн, и был прав!

      Еще одна книжка по персданным

      Я уже писал про книжку по персданным и вот новое творение. Точнее она постарше, чем предыдущая - я ее купил год или два назад. Достойна, как минимум, тем, что описывает проблемы защиты ПДн с точки зрения субъекта и приводит рекомендации, что делать в тех или иных случаях. Приведено немало шаблонов всяких согласий, отказов и т.п.

      Информация для операторов тоже есть. Но если в части согласий и т.п. она достаточно продумана и корректна (книжку писал юрист), то по "нашей" теме все с ног на голову. И лицензия обязательна, и сертифицированные решения, и т.д.



       


      В целом, книга достойна прочтения, в отличие от предыдущего творения.

      Практика аутентификации на принтерах и iPad/iPhone

      Эта история произошла давно и также давно была разрешена, но решил поделиться ею только сегодня - все как-то недосуг было (а может я про нее и писал уже, но не помню). Итак представим распостраненную ситуацию - у вас в организации есть принтер ;-) И если вы не напрасно едите свой хлеб, то этот принтер включен в общую модель угроз - не только как источник угроз, но и как их цель, а также как одно из самых слабых звеньев в системе защиты предприятия. Ведь именно там остаются невостребованные распечатки, в кеше хранятся уже распечатанные или отсканированные документы и т.д.

      Если не рассматривать межсетевые экраны для принтеров (есть и такие), то существуют простые и понятные рекомендации многих производителей принтеров, как защитить процесс печати (например, у HP). На хорошем английском, а иногда и русском, языке описываются механизмы защиты принтера - аутентификация, стирание информации, защищенное управление, отключение ненужных портов, блокировка панели управления и т.д. В общем все просто и понятно. Но...

      При разработке такой продукции, как принтера, в полный рост проявляется американский шовинизм, а местами даже расизм. Американцы почему-то считают, что весь мир говорит на английском языке. И поэтому на принтерах существующая клавиатура дана только в одной раскладке - англоязычной.

      (не нашел хорошей фотографии клавиатуры принтера , но суть понятна)

      И вот тут появляется классическая проблема неанглоговорящего безопасника. Если он установит обязательную аутентификацию пользователей для доступа к заданиям на печать, то что делать с пользователями, которые выбирают пароли, состоящие из русских слов и букв, но в английской раскладке? Заставлять пользователей менять пароли, чтобы они были на английском языке? Не вариант. Вариант есть - он прост и давно применяется теми, кто покупает ноутбуки не в России, а, например, в Европе или США, - лазерная гравировка клавиатуры (если изначально производитель не нанес русские символы).



      Но... все это работает до тех пор, пока вы имеете дело с физической клавиатурой. Но возьмем современные модели принтеров того же HP:


      В них отсутствует физическая клавиатура - ей на смену пришла виртуальная клавиатура, отображаемая на дисплее в нужный момент (примерно, как на iPhone или iPad). Фото на сайте HP я не нашел, но нашел скриншот процедуры ввода пароля на iPad, у которого та же проблема:


      Как ввести "русский" пароль на такой раскладке? Раньше пользователям приходилось переключаться между раскладками, чтобы вспомнить, какой символ английской раскладки соответствует русскому символу пароля. Потом мы в офисе поступили просто - приклеили рядом с дисплеем принтера табличку с двумя раскладками (как на фото принтера Brother выше). Это автоматически решило проблему. Но только для принтера... Для iPad/iPhone проблема пока нерешаема (я пока варианта не нашел). В нем, при вводе пароля, в принципе нельзя переключиться на другую раскладку - iOS блокирует эту функциональность, справедливо считая, что пароли, чтобы нормально функционировать в разных сценариях, сайтах и приложениях, должны быть только англоязычными.

      Поэтому iPad снижает уровень защиты предприятия ;-( Причин тому несколько. Чтобы удобно пользоваться парольной защитой пользователь должен ограничивать себя выбором либо короткого "русского" пароля, запоминаемого в английской раскладке, либо использовать ограниченное пространство англоязычных легко подбираемых паролей. И тут как никогда важна простая и понятная политика выбора надежных паролей.

      20.07.2011

      Передел рынка ИБ

      Что-то на предыдущую заметку никакой реакции. То ли народ в отпуске, то ли по английски читается тяжело, то ли это мало кого интересует (во что верится с трудом), то ли все в шоке ;-)  В любом случае нашелся русскоязычный вариант проекта Указа, английский текст которого мне вчера прислали американские коллеги.

      Проект Указа Президента о совершенствовании мер по обеспечению ИБ

      Новая утечка из WikiLeaks - грядет новый 334-й Указ?

      Прислали мне вчера коллеги из Штатов любопытный документ и задали ряд вопросов по нему. Вопросы я опущу, а вот документ приведу полностью.

      THE DECREE
      OF THE PRESIDENT OF THE RUSSIAN FEDERATION

      About perfection of measures on providing of information security of the Russian Federation decide:

      1. To establish:

      a. For all encryption (cryptographic) means on the Russian Federation territory presence of the certificate of conformity to information security requirements of Federal security bureau (FSB) of the Russian Federation or documentary acknowledgement by their manufacturer technical and cryptographic characteristics in the form established by Federal security bureau of the Russian Federation;

      b. For security of the state information resources, confidential information (information of the limited access), protected according to the legislation of the Russian Federation, information, telecommunication and security systems must comply with security requirements confirmed by certificates of Federal security bureau of the Russian Federation or by the Federal service for technical and export control (FSTEC) in the their area of responsibility;

      c. For specified under the subitem “b” item 1 of the present decree systems, networks and means application of the encryption (cryptographic) means having the certificate of compliance to information security requirements, established by Federal security bureau of the Russian Federation is mandatory;

      d. The responsibility for compliance with requirements under subitems “b” and “c” item 1 of the present decree is born by heads of the organizations in whom is stored, processed and transferred the information protected according to the legislation of the Russian Federation.


      2. Enable import to the Russian Federation and usage on the Russian Federation territory of encryption (cryptographic) means, which is not a subject to licensing, on the basis of documentary acknowledgement according to the subitem “a” item 1 of the present decree.

      3. The government of the Russian Federation should develop and approve in three-monthly term the following:

      - the order of import encryption (cryptographic) means on customs territory of the Russian Federation;
      - the order of acknowledgement of technical and cryptographic characteristics of encryption (cryptographic) means;

      4. The Federal security bureau of the Russian Federation, the Ministry of Internal Affairs of the Russian Federation, Federal tax service of the Russian Federation, and Federal customs service of the Russian Federation will carry out revealing infringements of requirements of the present decree.

      5. To recognize become invalid:
      - the decree of the President of the Russian Federation 3 of April 1995 #334 “About measures on observance of legality in the field of development, manufacture, realization and operation coded means, and also granting of services in the field of enciphering the information” (Assembly of the legislation of the Russian Federation, 1995, #15, item 1285; Assembly of the legislation of the Russian Federation, 2000, #31, item 3252);

      - Item 7 of the appendix to the decree of the president of the Russian Federation 25th July 2000 #1358 “About modification in acts of the President of the Russian Federation” (Assembly of the legislation of the Russian Federation, 2000, #31, item 3252).

      6. The present decree inures from the date of its official publication.

      Фигасе, подумал я. Это же новый вариант пресловутого 334-го Указа, который закручивает гайки на рынке ИБ посильнее 19-й статьи законопроекта о внесении изменений в ФЗ-152.

      На закономерный вопрос коллегам, откуда у них столь интересный документ, они ответили, что это из очередной порции откровений WikiLeaks. Скажу честно, я ни разу не смог найти в WikiLeaks что-то касающееся России (хотя и писал о таких примерах). Все потому, что сайт WikiLeaks постоянно загружен и получить к нему доступ проблематично. Поэтому проверить истинность данного документа я не могу. Но учитывая мой уровень доверия приславшим это письмо, и сложившуюся сейчас на российском рынке ИБ ситуацию, могу предположить, что документ очень сильно похож на реальный Указ Президента, переведенный на английский язык.

      Наиболее интересны фразы "должны применяться", "является обязательным", "ответственность несут руководители организаций", "осуществлять выявление нарушений", "по установленной ФСБ форме"... А уж ФСБ в данном документе упоминается 4 раза в 6-ти пунктах.

      Что-то в последнее время имя ФСБ у всех на устах и не сходит со страниц прессы. Ретроспектива событий достаточно интересна (только по событиям за последний год):
      • ФСБ не смогла запретить деятельность Visa и MasterCard в России.
      • ФСБ вынуждена разрешить ввоз продукции Intel в обход своих же требований (проигрыш).
      • ФСБ хочет запретить Skype (проигрыш).
      • ФСБ пытается навязатьтут) в УЭК свою криптографию (проигрыш).
      • ФСБ запрещает применение облачных сервисов в госорганах в некоторых регионах (засчитаю как проигрыш, т.к. многие по-прежнему используют).
      • ФСБ активно критикуют за нормативную базу по теме персональных данных.
       Что будет делать нормальный человек, когда его критикуют? Если критика обоснована (хотя тут важно толкование термина "обоснованность"), то критику примут к сведению и постараются исправиться. Что будет делать "силовик"? Уйдет в глухую оборону и попробует отомстить ;-) Что мы видим?
      • Бывший руководитель НТС ФСБ Николай Климашин (переведенный на службу в Совет Безопасности)  договаривается с американским правительством о сотрудничестве в области кибербезопасности.
      • ФСБ продавливает свой вариант законопроекта по персданным.
      • ФСБ накладывает лапу на разработку информационных и телекоммуникационных систем. 
      • А есть еще ряд не столь очевидных и не столь публичных вещей. Один из примеров вскользь упомянут тут.

      ЗЫ. А ведь про все это я уже писал год назад.

      19.07.2011

      И вновь о выборе паролей

      О паролях я писал немало и вновь возвращаюсь к этой, казалось бы простой теме. А все после последних взломов со стороны различных хакерских групп. В одном из проведенных исследований замечательно продемонстрировано, что несмотря на наличие классических рекомендаций избегать последовательностей клавиатурных (например, qwerty) или цифровых (например, 123456) комбинаций, пользователям все равно удается изобрести нечто уникальное.

      Например, в одной из взломанных военных систем самыми распространенными были следующие пароли:
      • !QAZ2WSX
      • 1QAZ!QAZ
      • 1QAZ@WSX
      • ZAQ!2WSX
      • 1QAZ!QAZ2WSX@WSX
      • 1QAZZAQ!
      Казалось бы, что в них уязвимого или странного? Присутствуют почти все признаки хорошего пароля - буквы, цифры и спецсимволы (регистр только один - верхний). Но если присмотреться к стандартной раскладке клавиатуры, то картина не такая радужная - та же последовательность близлежащих клавиш:

      Хакеры тоже не дремлют и на их форумах эта особенность выбора пользователями паролей тоже подмечена:


      Какой урок может быть извлечен из этого? Он прост - включить в парольную политику требования избегать ЛЮБЫХ клавиатурных последовательностей близлежащих клавиш - не только по горизонтали, но и по вертикали и по диагонали.

      15.07.2011

      Сколько стоит новый закон о персданных?!

      На заседании Совета Федерации одной из ключевых тем в рамках обсуждения законопроекта по персданным была цена выполнения положений 19-й статьи. Одни говорили, что это очень дорого. Другие заявляли, что ни копейки из бюджета не потребуется брать. Третьи требовали сначала представить расчеты стоимости реализации закона, а потом уже принимать решение о его принятии. В итоге законопроект приняли, а Правительству поручили посчитать, во что выльется реализация положений 19-й статьи. Т..к. надежды на Правительство никакой, депутаты и сенаторы не в теме, а Минкомсвязь устранился от решения вопроса, то возьму на себя смелость подготовить такую калькуляцию. Что характерно, она не сильно изменилась по сравнению с арифметикой трехлетней давности.

      Итак, берем ст.19 нового законопроекта. В п.2 у нас предусмотрено 9 мероприятий по защите. В целом они понятны и дальше я буду их оценивать, но хочу прокомментировать только один пункт - "Оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию". Что это как не аттестация ИСПДн?

      Список организационных и технических мер из 19-й статьи у нас детализирован в ПП-781 (да и 58-й приказ ФСТЭК и методички ФСБ его повторяют). Это всяческие проверки готовности, ввод в эксплуатацию, обучение персонала, учет носителей, учет лиц, контроль за соблюдением и т.д. Т.к. Правительство делегировало состав и содержание 9-ти пунктов ст.2 ФСТЭК и ФСБ, то мы имеем полное право предположить, что указанные в нормативных документых регуляторов меры останутся теми же. Рекомендуемые типы защитных средств тоже - СЗИ от НСД, МСЭ, сканеры безопасности, системы обнаружения атак, системы управления СЗИ, токены, антивирусы, СКЗИ. Из оргмер - охрана, защита помещений, оценка соответствия, ограничение доступа в помещения и т.д.

      Теперь попробуем посчитать во что это все обойдется?
      1. Стоимость СЗИ для одно ПК - от 3463 рублей (на сертификат для ОС Windows 7; считаем что сама лицензионная ОС уже приобретена) до 8750 рублей (на "Блокхост-Сеть"). Цены на Secret Disk, DALLAS LOCK, Панцирь и Secret Net варьируются в тех же диапазонах - 5-7 тысяч рублей. Нужно также добавить от 15% до 25% на годовую техподдержку. Разумеется при больших внедрениях цена может быть снижена, но я сейчас рассчитываю сценарий для микропредприятий (до 15-ти человек) и индивидуальных предпринимателей, коих по данным Росстата у нас около 4-х миллионов (на конец 2009 года - данных актуальнее я не нашел. Они ни о каких скидках и мечтать не смогут.
      2. Стоимость СЗИ для одного файлового сервера - от 8900 рублей (на сертификат для ОС Windows Server 2008 R2 Standard Edition) до 35200 рублей (на сервер класса С для Secret Net). Цены на Аккорд, Secret Disk NG и др. вариьируются от 14 до 32 тысяч рублей.
      3. Стоимость самого дешевого сертифицированного сканера безопасности ("Ревизор Сети") - 9275 рублей на 10 IP-адресов.
      4. Антивирус (что Касперского, что Dr.Web) обходится примерно в 900-1000 рублей на один ПК. Если брать не Kaspersky Workspace Security, а Total Space Security, то цена вырастет до 4100 рублей на один компьютер.
      5. Стоимость самого дешевого сертифицированного МСЭ - около 10 тысяч рублей. Это что на UserGate Proxy & Firewall, что на MS ISA Server Standard 2006. При росте числа пользователей цена МСЭ может возрасти и до 1-10 миллионов рублей.
      6. Стоимость системы обнаружения вторжений я оцениваю примерно тысяч в 15, хотя тут могут быть и гораздо более высокие цифры.
      Итого на компанию из 10-ти компьютеров и одного сервера придется потратить только на приобретение сертифицированных средств защиты (а сейчас их в малом и микробизнесе нет ни у кого) не менее 120 тысяч рублей и заложить 20 тысяч на ежегодную поддержку. Для компании из 100 ПК и трех серверов потребуется уже 1 миллион 175 тысяч рублей и около 200 тысяч на поддержку.

      Если компании не повезло и у нее два и более офисов, то она будет вынуждена применять VPN-решения. Стоимость такого решения на два офиса (точка-точка) составит не менее 125 тысяч рублей (для Континента-Мини). На базе ViPNet или ФПСУ-IP цена будет составлять 130-140 тысяч рублей. При защите 10 офисов цена сертифицированного VPN-решения (про функциональность даже пока не заикаюсь) составит минимум 900-1200 тысяч рублей.

      Все эти цифры одинаковы, что для ИСПДн 3-го, что для ИСПДн 1-го класса. Единственная разница - для ИСПДн 1-го класса СЗИ должны пройти сертификацию на отсутствие НДВ, а она стоит 750-1200 тысяч рублей (но есть примеры и в 7-8 миллионов рублей). Напомню, что учитывая отсутствие у абсолютного большинства операторов ПДн сертифицированных средств защиты, им придется делать все эти траты с нуля. К слову сказать, на днях был на одном КВО, который еще и гостайну в полный рост обрабатывает. Так вот у них тоже нет сертифицированных СЗИ ;-) Что уж говорить о микро-, малом и среднем бизнесе.

      Вы думаете это все? Нет. Дальше у вас пойдут затраты на оргмеры.
      1. Составление модели угроз. Т.к. ни один здравомыслящий человек не будет использовать "Базовую модель угроз" от ФСТЭК, а ассоциаций и союзов, готовых разработать модель для малого бизнеса нет, то разрабатывать малым предприятиям такие модели придется самим. Сами они не в состоянии; следовательно обязаны будут обратиться к интеграторам. Ценник на такие работы - от 15 до 690 тысяч рублей (из реальных коммерческих предложений).
      2. Составлению модели угроз всегда предшествует этап обследования информационных систем, включающий сбор информации об используемых ПДн (от 45 до 330 тысяч рублей), категорирование ПДн (от 15 до 150 тысяч рублей), сбор информации об используемой системе защиты (от 60 до 180 тысяч рублей), классификация информационных систем (от 15 до 270 тысяч рублей).
      3. Обучение трех специалистов - 25-35 тысяч рублей на одного человека. Откуда 3, а не 2? По словам представителей ФСТЭК должно быть три. Два нужно для лицензии. А для составления модели угроз по методике ФСТЭК - три. Экспертов с подтвержденной квалификацией в группе должно быть нечетное количество (т.е. минимум три).
      4. Аттестация - от 10 до 80 тысяч рублей на один ПК (в зависимости от модели угроз).
      5. Построению системы защиты должны предшествовать этапы разработки ТЗ и технического проекта по ГОСТ 34 698-90, а также набора инструкций, приказов, положений и т.д. – от 300 до 1200 тысяч рублей.
      6. Стоимость лицензирования не привожу, т.к. можно обойти либо путем заключения договора с лицензиатом, либо юридической проработкой этого вопроса. Но если вдруг кто-то захочет, то готовьте минимум 2 миллиона рублей.
      Итого стоимость организационных мер по приведению организации в соответствие с требованиями принятых поправок составляет 540 тысяч рублей (без аттестации), невзирая на количество компьютеров, обрабатывающих ПДн. Аттестация 10 компьютеров обойдется в дополнительных примерно 200 тысяч рублей.

      Резюмируя:
      • Стоимость приведения компании с 10-тью компьютерами, одним серверов и подключением к Интернет в соответствие с требованиями принятых поправок составит не менее 900 тысяч рублей в год (без стоимости лицензирования).
      • Стоимость приведения компании с 100 компьютерами, тремя серверами и подключением к Интернет в соответствие с требованиями принятых поправок составит не менее 3 миллионов 915 тысяч рублей в год (без стоимости лицензирования).
      • Стоимость приведения компании с 100 компьютерами, тремя серверами и десятью офисами, подключенными через Интернет, в соответствие с требованиями принятых поправок составит не менее 5 миллионов рублей в год (без стоимости лицензирования).

      Можно ли сократить эти цифры? Законными методами практически нет. Компании малого и микробизнеса не интересны интеграторам и поставщикам. Интересен сам сегмент этого рынка, но не отдельные его представители. Можно дать скидку Газпрому или Центральному банку. Но давать скидку на защиту для 3-4 компьютеров?..

        14.07.2011

        Действия ФСБ имеют далеко идущие последствия

        И вот наконец законопроект о приведении терминологии в области ИТ подписан Гарантом Конституции. Изменения поверхностные. Например, вместо "сеть Интернет" теперь "информационно-телекоммуникационная сеть Интернет". Вместо "страница Банка России" теперь "официальный сайт Банка России". Вместо "сети общего пользования" теперь "сети, доступ к которым не ограничен определенным кругом лиц".

        Вместо "конфиденциальная информация" теперь "информация, в отношение которой установлено требование об обеспечении ее конфиденциальности". Хотя в некоторых законах термин "конфиденциальная информация" зачем-то поменяли на "информацию ограниченного доступа". Зачем для одного старого термина вводить два новых? Но могу догадаться. Например, последний вариант появляется в законе "О связи". Что это значит? Что к операторам связи теперь нельзя применить требование о наличии лицензии на осуществление деятельности по защите конфиденциальной информации (ФЗ-128 и ПП-504). ФЗ-128 поменяли, а ПП-504 если и будут менять, то только в соответствие с ФЗ-128. Т.е. ухудшить ситуацию для операторов связи уже нельзя. Не зря Минкомсвязь приложила руку к этому законопроекту. Когда хотят, свою выгоду видят и блюдют. Аналогичная "информация ограниченного доступа" появляется и в законе "Об обязательном страховании гражданской ответственности владельцев транспортных средств". Видимо и страховщики тоже подсуетились. Также от конфиденциальности ушли организаторы сельскохозяйственной переписи, ФМС и борцы с коррупцией.

        Но есть и достаточно интересные фрагменты. Сами по себе они очень правильны и корректны, но... в совокупности с другими законами выглядят специфически. Например, в законе "О ценных бумагах", п.12 ст.44 теперь должен читаться следующим образом: "обмениваться информацией, в отношении которой установлено требование об обеспечении ее конфиденциальности, в том числе персональными данными, с соответствующим органом (организацией) иностранного государства на основании соглашения с таким органом (организацией), предусматривающего взаимный обмен этой информацией, при условии, что законодательством государства соответствующего органа (организации) предусмотрен не меньший уровень защиты предоставляемой информации, в отношении которой установлено требование об обеспечении ее конфиденциальности, чем предусмотренный законодательством Российской Федерации уровень защиты предоставляемой информации, в отношении которой установлено требование об обеспечении ее конфиденциальности, а в случае, если отношения по обмену информацией регулируются международными договорами Российской Федерации, - в соответствии с условиями данных договоров. Информация, полученная в соответствии с указанными соглашениями, может предоставляться в государственные органы, в том числе правоохранительные, только с согласия соответствующего органа (организации) иностранного государства, предоставившего эту информацию, или на основании судебного акта". Что значит эта длинная фраза? Толкуется она просто - передавать персональные данные зарубежным организациям теперь нельзя. А все потому, что обсуждаемый последние дни законопроект по персданным установил нереальный уровень защиты персданных в российских организациях. Ни в одной стране мира нет требования использования сертифицированных средств защиты для ПДн. Т.е. во всех странах уровень защиты ниже, чем у нас.

        Закон вступает в силу через 10 дней после официального опубликования.

        UPDATE 2: Письмо президенту

        Коллеги!

        Те, кто получил похожий ответ на свой запрос в адрес Президента могут воспользоваться рекомендацией Алексея Волкова и направить обратно рекламацию о некорректном переводе по подведомственности.

        ЗЫ. Я направил два таких запрос - один в адрес Президента, второй в адрес Администрации.

        Что произошло с ФЗ-152 на самом деле

        После вчерашнего фарса в Совете Федерации решил я обсудить возникшую ситуацию с товарищем, человеком, которого российская пресса назвала бы "неназванный, но информированный источник". Встретились мы на Дмитровке, в одном из уютных кафе, напротив здания верхней палаты нашего парламента. Пока ждал, пил кофе и смотрел на покидающих здание СФ сенаторов. Холеные, с лоснящимися лицами, они торопились покинуть душную Москву на своих дорогих автомобилях.

        Первая фраза, которой меня приветствовал товарищ, подошедший к столику: "Ну что, просрали демократию, мать вашу?!" И широко улыбнулся. Вообще, я заметил, что сотрудники Конторы умеют улыбаться по разному (учат их там этому, чтоли). Всего лишь незначительные изменения мимических мышц лица и потаенный смысл, заложенный в улыбке меняется - от доброжелательного отношения до скрытой угрозы. В данном случае улыбка носила добродушный характер и знаменовала собой желание поделиться новостями изнутри.

        - Ну что, получили ответ на открытое письмо? - риторически спросил он.
        - Получили, - нерадостно ответил я.
        - А ты думал, что вам удастся своим открытым письмо изменить ситуацию?
        - Мы питали такие надежды.
        - Ну-у-у... могу сказать, что вам почти удалось. Ты видел, сколько длилось обсуждение вашего вопроса? Около 30 минут. Это неслыханный результат для сенаторов. Обычно 2-3 минуты и единогласный одобрямс, а тут...
        - Мы старались, - довольно улыбнулся я.
        - Поэтому Контора и хочет наложить руку на эту тему. Слишком уж много возможностей дает Интернет. Излишняя свобода. Демократия, блин. Вот закроем вам Интернет...
        - А персданные-то тут причем?
        - А как по другому? Мы давно эту тему пытаемся продвинуть, да эти ваши либералы, да демократы мешают. В 2005-м они помешали нам расширить полномочия по контролю за коммуникационными системами и трафиком в Интернет. Идея с СОРМ тоже не лучшим образом была реализована. Только мы смогли подготовить нормативку, как нашего президента поменяли на вашего. А тот же известный "фидошник" и блоггер. Прикрыл наши инициативы. Но мы отыгрались.
        - Так Андреечкин совсем недавно пытался же прикрыть Скайп?
        - Вот именно, что пытался. Лучше бы и не пытался. Мы в прошлом году в Госдуме провели закрытое совещание, подготовили почву, с Минсвязью договорились. Почти получилось. А тут шеф выступил со своим заявлением. Всю малину обломал. Чуть все дело не погубил. Кресла под многими после того демарша закачались. Любитель iPad хотел "навести порядок" у нас. Ему какая-то <цензура> подготовила даже предложения по нашему реформированию и исключению нас из процесса регулирования гражданской криптографии.
        - Да, я слышал об этом.
        - Ты? Интересные у тебя источники. Поделишься?
        - Но они же не прошли...
        - Пришлось подключать "Ришелье". Без него вы бы свои сиски стали ввозить направо и налево.
        - А что плохого то? Контролировали бы по старому гостайну и КВО, а коммерсантам дали бы возможность выбирать.
        - Да ну в <цензура> этот выбор. А террористы? А экстремисты? А иностранные разведки?
        - А то они законно будут ввозить криптуху?
        - А чтоб и не пытались. Лучше контролировать все каналы. Да и вообще...
        - Не хотите повтора Ближнего Востока?
        - Ну-у-у...
        - Понятно. Можешь не развивать.
        - Умный, сцуко!
        - А то ж. Так и что ваш Ришелье?
        - Что-что. Придержал вашего президента. Хотя достойных людей мы лишились немало за последнее время.
        - Ты Палыча имеешь ввиду?
        - Ну не только его. Но потом нашлись умные головы. Предложили пойти в обход - через тему персданных. Подкинули идею вашему Гаранту, что застопорившийся закон о персданных надо стимулировать и лучше это поручить нам.
        - И МВД.
        - Ну эти были до кучи.
        - А чего ФСТЭК не позвали?
        - А зачем? Скоро их совсем не будет.
        - Ну эти слухи не первый год ходят.
        - То слухи, а то факты. Вопрос решенный. Зачем они нужны? Гостайной занимаемся мы. КВО мы. Всеми госорганами теперь тоже мы. Криптой, файрволами и айпиэсами тоже мы. Сетевое оборудование тоже забрали под себя. Нафига они нужны в области защиты? Экспортный контроль отдадим Минпромторгу. ПДИТР заберем к себе; и так частично этим занимаемся. А военные вопросы отдадим обратно в МинОбороны - пусть тухнет там.
        - Так они персданными еще занимаются.
        - Скорее пытаются. Про...али они эту тему. Президент же не зря снял Григорова. Нашептали ему люди о реальной деятельности Гостехкомиссии. Под выборы и сам орган отсечем - никто возмущаться и не будет. Про ФСТЭК и так никто ничего не знает. Вон, Ведомости по вашему письму статью сваяли и то ошиблись в написании ФСТЭК. Так что никто против не будет. А если подать это как сокращение чиновничьего аппарата в рамках очередного витка административной реформы, то нас еще и похвалят.
        - Вас?
        - Ну не нас конкретно, а председателя, предложившего эту идею.
        - А если ФСТЭК заартачится?
        - И что? Кишка у них тонка идти супротив нас. Если бы они еще делом реальным занимались. А так... В принципе у них могло бы выгореть, начни они реально заниматься безопасностью. Привлекли бы экспертов. Выпустили бы грамотные документы. Завязались бы с Минсвязью, ЦБ... Глядишь и выстояли бы сообща. А так...
        - Т.е. будете под себя всю ИБ забирать?
        - Ну а смысл плодить кучу кормушек - одной вполне достаточно. Вон ты в своих презах об этом постоянно говоришь. Сердюков реформу армии провалил. Неслыханное дело - генералы армии сами пишут заявление об увольнении. Фрадков наш первый главк тоже загубил.
        - СВР?
        - Ну да.
        - Кто у нас остается? А собственно и все. ФСО нам давно все отдала. Возьмем всю безопасность под свое крыло.
        - Понятно. А что с распоряжением Медведева?
        - Об устранении обременений? Ну там все просто. Вы со своим законопроектом шли одним путем. Мы пошли другим. Изъяли ваш текст. Поставили свой. Кричать об этом некому. До Президента не достучишься. Правительство... ну ты сам понимаешь, кто у нас руководит министрами.
        - А как депутатов убедили голосовать единогласно?
        - Так они ж как проститутки. Одни за деньги готовы работать. Других принудить можно. Третьи сами готовы стелиться.
        - За деньги? Вы им платите?
        - Зачем. Они сами выгоду видят. У многих же свой бизнес есть. Включая и в твоей областьи.
        - А принуждение?
        - Ну материал у нас на всех есть. Даже на тебя! А уж на депутатов... выше крыши. Если бы они видели, что у нас на них есть, то по приказу готовы были бы в порнухе сниматься, только бы их подвиги не стали достоянием гласности.
        - Понятно.
        - Ну вот, понятно тебе. Так и приняли.
        - А Щеголев чего молчал?
        - Ну так папки же на всех. Да и зачем ему влезать в эту тему. Не его она. Он не полез в бутылку с персданными. А мы не станем мешать ему в некоторых его проектах.
        - А с сенаторами как получилось?
        - Ну с ними та же ситуация. Только ваши банкиры подключились. У них лобби нехилое. Пришлось нам усилить давление. Кому-то позвонили. К кому-то просто пришли и поговорили. Кого надо снабдили текстом, что говорить. Если бы не ваше письмо, было бы проще. А так вы подхлестнули интерес к теме. Слишком многие стали задавать вопросы.
        - Но все-таки не всех удалось уговорить. Вон Новиков и Нарусова против были.
        - Капля в море. Ты думаешь Новикову правда нужна? Он нас не любит. Мы его лет 10 назад в Красноярске прижучили. Уголовное дело завели за махинации в сфере высоких технологий. Потом его замяли. Вот он и пытается гадить нам по поводу и без. Ты смотрел заседание?
        - Да.
        - Ну ты же видел, что и как все говорили. Закон непроработанный, но принять надо. Теперь все в шоколаде. Сенаторы "покритиковали" недоработанный закон и выдали поручение Правительству. Только всем же наплевать на него. Галочку поставили и забыли. Поручение Президента выполнено.
        - Но обременения не убрали.
        - А кто это докажет? В законе формулировки обтекаемые. То, что оценка соответствия у нас делается не так, как написано в законе о техрегулировании, об этом знают не все. То, что сертификация у нас не наименования, а конкретного экземпляра, даже айтишники не знают, не говоря уже о депутатах. Про аттестацию в явной форме опять не написано, хотя подразумевается. Ну и т.д. И потом. Кто будет вчитываться в 19-ю статью, если по большинству остальных сделаны улучшения? Соотношение получается правильным. Вас по той же причине и критикуют. Написать все как есть - одной страницы не хватит. А читать 20-30 страниц объяснений всех проблем никто не будет. По крайней мере на уровне Президента.
        - А что если он не подпишет?
        - Ну он тоже проинструктирован должным образом. Если не будет тратить время на детальное изучение вопроса, то подпишет, как миленький.
        - И...
        - И будет все зашибись. ФСТЭК подгребем под себя и требования по персданным будут только наши. Сертификация станет обязательной. Ввоз мы уже и так контролируем. Т.е. пустим на эту поляну только тех, кто готов будет играть по нашим правилам.
        - Западным компаниям сложно играть по вашим правилам.
        - Ну вы же начали? Завод запустили. RVPN свой сертифицировали. Да и другие шаги делаете правильные. Microsoft тоже правильно все делает. А мелочь пузатую мы отсеим. И вам проще будет. Ведь так?
        - Ну отчасти да, но затраты будут недетскими.
        - А вспомни, что Палыч говорил. Вы же не бедные. Делиться надо.
        - А ВТО? Мы же вступаем. Там требование открыть рынок.
        - Да говно это, в которое мы наступили. Про ВТО и ваш и наш президент говорят давно, а воз и ныне там. Медведев распорядился еще прошлой осенью вступить, а толку. Путин сказал, что нам это не надо, значит не надо. Не вступим мы туда.
        - Ну все зависит от выборов...
        - От выборов? Смеешься что-ли. Все уже давно решено. И новый старый президент уже известен. И будет он сидеть еще 12 лет... как минимум. Так что либералы пусть валят в Лондон. Старые времена возвращаются. Мы долго ждали, когда Контора поднимется и скоро это произойдет. Окончательно и бесповоротно.
        - А нам-то что делать в такой ситуации?..
        - Вам?
        - Ну, с персданными.
        - А-а-а. Не знаю.
        - А ты бы что сделал?
        - Я?.. Дай подумать... Я бы сделал так...

        И тут я проснулся и понял, что все это был сон. А может нет?..

        13.07.2011

        Хроники Совета Федерации

        Минуту назад в Совете Федерации закончилось выступление председателя Комитета Совета Федерации по конституционному законодательству г-на Александрова А.И. Он представлял пресловутый законопроект о внесении изменений в ФЗ-152. Судя по тому, ЧТО он говорил, справку ему готовили наши регуляторы. Назвать целью закона "защиту персональных данных и обеспечение информационной безопасности персональных данных" могли только регуляторы. Выступающий постоянно говорил об информационной безопасности персональных данных и человека, но не о правах субъекта ПДн. По его словам закон соответствует Конвенции, Конституции и на него получены все положительные отзывы, включая Правительство России. И почти ни слова о 19-й статье. На заседании СФ присутствовали представители Минкомсвязи (Маслов) и ФСБ (Горбунов), которые "ЗА" этот законопроект (а Щеголев говорил, что Минкомсвязь против).

        Сенатор Смирнов от Мордовии задал пару скользских вопросов по поводу "локальных нормативных актов", упомянутых в ФЗ, а также по поводу того, что законопроект не работающий. Сенатор Нарусова задала вопрос о финансировании и сказала, что не разделяет оптимизм выступающего. Сослалась на СМИ, которые активно эту тему осещали в последнее время. Выступающий понес бред о уже существующем финансировании в министерствах и ведомствах и о том, что будут новые нормативные акты, расширяющие возможности финансирования (Починок заявил позже, что только бюджет это может сделать, а не нормативный акт ведомства). Сенатор Жамбалнимбуев от комитета по бюджету тоже задал вопрос по финансированию. Я вопроса не понял ;-( Починок заявил, что законопроект важный, но нужно нормальное финансовое обоснование, которого нет. Починок заявил, что нужно было предусмотреть деньги на реализацию, которых нет. Он потребовал предоставить локальные нормативные акты ФСБ и других регуляторов, из которых будут вытекать затраты на реализацию законопроекта, приобретение сертифицированных решений и т.д. А в конце выступления Починка итог - "Закон принять!". Сенатор Новиков заявил, что причины, по которым ФЗ-152 не работал, до сих пор не устранены. Опять упирали на полное отсутствие финансового обоснование. Новиков предложил не принимать законопроект с созданием согласительной комиссии и поручением Правительству подготовить финансовое обоснование нового законопроекта. Молодец мужик! Назвал своих коллег-сенаторов петухами, которые кукарекают и не отвечают за свои слова. Сенатор Савенков говорил о том, что он не понимает, почему так возмущается комитет по бюджету, который вообще не участвовал в процессе разработки законопроекта и что законопроект надо принимать. Савенкова явно кто-то готовил - он сыпал правильными аббревиатурами и фактами. Забавное заявление Савенкова - Минздравсоцразвития заявил, что новая редакция законопроекта не потребует ни одного рубля на его реализацию. Нарусова вновь взяла слово и заявила, что закон не действует и пусть сенаторы не льют воду на мельницу ФСБ, заявляя что законопроект правильный. Намекнула, что законы надо принимать по делу, а не потому что заканчивается сессия и надо на гора выдать нужное количество принятых законопроектов. Сенатор Пономарева (социальная политика) тоже против законопроекта, заявив, что в здравоохранении закон не работает и нуждается в переработке. Предложила отложить. Сенатор Бушмин тоже говорил о непроработанности законопроекта и отсутствия необходимых для реализации нормативных актов. При этом он предложил принять законопроект с поручением Правительству (как заявил Новиков по таким поручениям ответы есть в лучшем случае по 5%). Сенатор Киричук предложил принять. Сенатор Сурков тоже предложил принять законопроект с протокольным поручением Правительству (его тоже подготовили ФСБшники, судя по используемой им терминологии). Сурков заявил, что коррупционной составляющей в законопроекте нет! Сенатор Капура заявил, что отсутствие финансирования не может служить отказом от принятия законопроекта! Сенатор Орлова за принятие законопроекта с протокольным поручением. Мотивация - иначе у нас не будет инноваций и мы не сможем работать в Интернете. Завершил получасовую дискуссию представитель Правительства Яцкин. Его вердикт - законопроект проработан, все "за", надо принимать.


        ЗАКОНОПРОЕКТ ПРИНЯТ!

        "ЗА" - 122. "ПРОТИВ" - 3. "ВОЗДЕРЖАЛОСЬ" - 11.

        Вообще, смотря и слушая заседание в реальном времени, задаешься вопросом - нафига Совет Федерации нужен? Длительность заседания - 4 часа, с 10.00 до 14.00. Вынесено на рассмотрение 58 законопроектов. Простой подсчет показывает, что на рассмотрение одного законопроекта выделяется 4 минуты. Реально меньше - перерыв, смена докладчиков, голосование... Пока я слушал выступления, я почти не услышал ни одного несогласного с выносимыми законопроектами. Только Лисовский выступил против какого-то законопроекта, но это не помешало его все равно принять. Отклоненных законопроектов не было - почти везде единогласное принятие. Даже законопроект о возможности передачи контроля и надзора на водном транспорте в частные руки приняли почти единогласно. И это на следующий день после национального траура по факту трагедии на Волге! При этом выступило несколько депутатов и указало на цинизм, связанный с рассмотрением такого законопроекта, но всем было наплевать.

        Против законопроекта за последние дни высказались многие - РСПП, профессиональные ассоциации, СМИ. Но депутатам и сенаторам было наплевать. Последняя надежда на Президента, но с ним все непонятно. Открытое письмо похоже до него не дошло - на отправленные в его адрес запросы отвечали какие-то клерки. Может он самостоятельно мониторит Интернет и прессу? Хотя доброжелатели найдутся, что ответить на его вопросы и сомнения при подписании законопроекта. Так что ждем. Мне кажется ждать осталось совсем немного...

        ЗЫ. Ох прав был профессор Преображенский... не надо не только читать советских газет, но и слушать заседания Госдумы и Совета Федерации...

        Оценка инвестиций в ИБ

        При оценке эффективности ИБ (в т.ч. и с точки зрения экономики) обычно используют подход из теории принятия решения, аналогичный анализу рисков (в России используют только его). Идея проста - оцениваем риск в терминах вероятности его реализации и ущерба от него. Затем выбираем методы снижения риска (или принятия, или перекладывания), стоимость которых должна быть ниже потенциального ущерба. Эту классическую идею применительно к экономике ИБ впервые развили Гордон и Леб. Потом ее многие крутили так и эдак (например, иерархическая голографическая модель Лонгстаффа или работы Ху), не сильно отклоняясь от первоначальной идеи.


        В 2003-м году появились первые серьезные наработки, использующие совершенно иной подход в оценке эффективности вложений в ИБ, основанный на теории игр. Их автором является Кавузоглы. Как нам говорит Википедия, "теория игр — математический метод изучения оптимальных стратегий в играх. Под игрой понимается процесс, в котором участвуют две и более сторон, ведущих борьбу за реализацию своих интересов. Каждая из сторон имеет свою цель и использует некоторую стратегию, которая может вести к выигрышу или проигрышу — в зависимости от поведения других игроков. Теория игр помогает выбрать лучшие стратегии с учётом представлений о других участниках, их ресурсах и их возможных поступках". Кто помнит фильм "Игры разума", тот поймет о чем идет речь.
        Очевидно, что противоборство безопасника и нарушителя может быть отлично описано теорией игр. Но применяется она в первую очередь в экономике. К рынку ИБ ее можно применять по-разному.

        Кавузоглы применил ее к оценке оптимального объема инвестиций в ИБ. Из интересных особенностей этой модели можно назвать возможность оценки вклада отдельных технологий (IPS, МСЭ и т.д.) в инвестиционную привлекательность проектов по ИБ, а также влияние одной технологии ИБ на другую. Например, полное отсутствие защиты периметра делает применение МСЭ Cisco ASA с модулем IPS вполне оправданным, а при наличии уже имеющейся IPS выбор в пользу ASA может быть не такой очевидный - возможно проще будет возложить решение задачи межсетевого экранирования на встроенный в каждый маршрутизатор Cisco IOS Firewall. Модель Кавузоглы позволяет делать обоснованные решения в пользу того или иного решения.

        В своих работах Кавузоглы с коллегами показал, что теория игр применительно к ИБ более предпочтительна, чем классическая теория принятия  решений, т.к. позволяет делать более оптимальные инвестиции.

        12.07.2011

        Президент ответил уклончиво

        Итак, получил я сегодня ответ из Администрации Президента. Как в известном анекдоте - ответили уклончиво.

        Ответ Президента на открытое письмо

        Ну а про реакцию Щеголева я уже писал. Круг замкнулся. Ждем реакции Совета Федерации.

        Почему молчит АРСИБ?

        Мои коллеги по "письму пяти экспертов" (Александр Бондаренко, Алексей Волков, Александр Токаренко и Евгений Царев) уже высказали свои мнения по поводу ситуации, сложившейся вокруг нашего открытого письма. Я в свою очередь хочу сказать спасибо всем, кто поддержал нашу инициативу. СПАСИБО!

        Не буду сейчас говорить о негативных отзывах. Они тоже были. Капля в море по сравнению с числом позитивных отзывов. Еще на курсах по ораторскому искусству нам говорили, что в ЛЮБОЙ аудитории всегда найдется от 3-х до 5-ти процентов слушателей, воспринимающих ваше выступление негативно. Причем независимо от вашего посыла, мотивации и стиля выступления. Протестный электорат был, есть и будет всегда. И пусть никто не воспринимает мое сравнение буквально, но даже у Иисуса Христа, Магомета или Гаутамы были противники. И если бы в те времена было изобретено огнестрельное оружие, обязательно нашлись бы желащие их расстрелять, обвинить в самопиаре, непрофессионализме и т.д.

        Вернусь к другой теме, которая меня занимает больше и которой вскользь коснулся Олег Кузьмин. Речь идет о молчании, которым обошли тему открытого письма ассоциации и союзы, которые призваны бороться за права участников ИТ/ИБ-индустрии, но не с точки зрения производителей, а с точки зрения потребителей. Таких сообществ я могу насчитать с полтора десятка в области ИТ и штук 5 в области ИБ. И НИКТО из них не высказался по поводу сложившейся ситуации.

        Начну с ИТ-индустрии. Ни СоДИТ, ни 16 клубов региональных ИТ-директоров, указанных на сайте СоДИТ, ни словом не обмолвились о новом законопроекте и вытекающих из него проблем для потребителей с точки зрения ИТ. Только Татьяна Плотникова в личном блоге на сайте московского клуба ИТ-директоров коснулась этой темы и предрекла проблемы для ИТ-директоров, связанные с новыми поправками. GlobalCIO эту тему пообсуждал в феврале-апреле и тоже благополучно забыл. Ну да ладно. ИТ-директора всегда витали в облаках ;-) и проблемы ИБ они воспринимали как-то однобоко. Но что с ИБ-сообществами?

        Я их сходу насчитал 5 - АЗИ, RISSPA, ABISS, НПСИБ и АРСИБ. Почему молчит АЗИ, понятно. Новые поправки в интересах поставщиков продуктов и услуг и осуждать их за это сложно. Бизнес есть бизнес; ничего личного. А то, что большинство интеграторов или вендоров в области ИБ сами не выполняют закон о персданных - это такие мелочи...  НПСИБ изначально был этаким междусобойчиком без четкой и понятной позиции. RISSPA занимается вполне конкретной задачей - повышением осведомленности специалистов по ИБ и в политику не лезет. Да и четкого коллегиального органа управления там нет ;-(

        ABISS всегда отражал позицию ЦБ. А так как последний молчит, то молчит и ABISS. ABISS вообще сейчас трудно - отраслевые стандарты теперь вообще вне закона и что делать с СТО в контексте ПДн не совсем понятно. Одна надежда на закон об НПС, в рамках которого, если ситуация не поменяется, и будет продвигаться СТО. Не хочется верить, но могу допустить, что между финансовым регулятором и ключевым регулятором в области ИБ (и это не ФСТЭК) идет закулисная и позиционная борьба - "мы не поднимаем вопрос о проблемах с законом о ПДн, а вы не мешаете нам с законом об НПС". Понять ЦБ можно - НПС ему ближе ПДн. Но это всего лишь мои предположения - буду рад, если они таковыми и останутся. Та же АРБ активно отстаивает интересы банков, но не кричит об этом. Также может действовать и ЦБ, не афицируя свою активность в данном вопросе. Но собственно дело не в ЦБ, а в ИБ-ассоциациях.

        Кто у нас остался? АРСИБ! Здесь ситуация тоже непростая. С одной стороны, среди задач созданной более полугода назад ассоциации говорится о "выражении консолидированного мнения и позиций профессионалов в области ИБ" и "взаимодействии с регуляторами по вопросам ИБ и воздействие на вопросы законодательного обеспечения ИБ". И тема с новым законопроектом как никакая другая хорошо ложится в сферу решения названных двух задач. Более того, в Правление АРСИБ входит, как минимум, 4 человека, с которыми мы участвовали в активном обсуждении законопроекта и формировании поправок в него, которые были затем снесены цунами законопроекта, внесенного ФСБ и принятого всего за 3 минуты во втором и третьем чтении. Они против данных поправок? Безусловно. Александр Токаренко и вовсе один из подписантов "письма пяти экспертов". Да и многие члены АРСИБ, которых я знаю, высказывались против принятых поправок. Но при этом сама АРСИБ, как консолидированный и публичный рупор, молчит ;-(

        Можно было бы предположить, что всем плевать. Но исходя из вышесказанного, это маловероятно. Никто не верит в возможности в АРСИБ? Но тогда зачем туда вступать, платить членские взносы, участвовать в Конференции АРСИБ (это высший руководящий орган АРСИБ) в рамках межотраслевого форума директоров по ИБ? Не вступали же все ради членства и статуса? И врядли члены АРСИБ думали, что кто-то будет решать все вопросы за них. Т.е. это тоже не причина. Никто не хочет ссориться с регуляторами? В России вполне возможная причина, но зачем создавать тогда рупор, который не будет дисскутировать с регуляторами? Не для достижения же личных целей и потакания собственным амбициям. Т.е. и это тоже отпадает. Что остается?

        Как мне кажется проблема кроется немного в другом. Если посмотреть на Устав АРСИБ, то он просто не подразумевает оперативного решения таких серьезных вопросов, как официальная поддержка опубликованного нами открытого письма. Согласно Уставу управление осуществляется либо Конференцией, либо Правлением. Последнее осуществляет текущее управление АРСИБ и обладает сугубо административными полномочиями. Конференция занимается более глобальными вещами. И хотя явно в Уставе это не прописано, но могу предположить, что такое важное дело, как выражение консолидированного мнения в отношении открытого письма Гаранту Конституции - это прерогатива именно Конференции... Но проводится она не реже одного раза в год. Т.е. ни о каком оперативном решении насущных проблем отрасли (появление нового регулятора, выход нового нормативного документа и т.д.) и речи быть не может.

        Да и дело это непростое и затратное - первая, и пока последняя Конференция АРСИБ, проводилась не как самостоятельное мероприятие, а отъела полдня у межотраслевого форума директоров ИБ. Это и понятно. Членских взносов на тот момент не хватило бы даже на аренду 10 квадратных метров зала, не говоря уже о проведении полноценного мероприятия.

        Мне кажется, что именно возникшая ситуация показала, что в современных условиях, когда требуется пересмотр традиционных подходов управления общественными организациями. Необходимо предусматривать возможность проведения электронного голосования, которое можно организовать достаточно быстро. При этом решение вопроса с легитимностью голосования решается применением ЭЦП (кому как не специалистам по ИБ реализовать этот проект в своих целях). Токен с ключевой информацией может быть идентификатором для доступа к закрытой части портала Интернет-ресурса, а также идентификатором членства в сообществе.

        Вот такая идея! Мне кажется она стоит того, чтобы ее обдумывать. Да и вообще. Выстраивая такой Интернет-ресурс "для себя" можно порешать множество актуальных задач современного директора по ИБ - защита от DDoS, настройка Web-сервера, выстраивание процесса управления патчами для Интернет-ресурсам, ЭЦП/PKI, прикладной МСЭ, электронный документооборот, антивирусная защита, защита клиентских мест и т.д. Тут есть где поделиться собственным опытом, а также апробировать те или иные подходы на практике.

        Но что же с поддержкой нашего открытого письма? Из всех сообществ откликнулось только некоммерческое партнерство "ДАТУМ", борющееся за интересы операторов и субъектов ПДн. Видимо у него не было проблем с оперативным принятием решения о поддержке. За что больше спасибо его членам и Правлению.

        ЗЫ. Сразу хочу отметить, что данная заметка не ставит перед собой задачи очернить кого-либо из упомянутых в ней сообществ. Скорее она поднимает некоторую проблему, решение которой давно назрело. Законопроект о внесении изменений в ФЗ-152 только первая ласточка в череде планируемых изменений, по которым потребуется поддержка отраслевых ассоциаций и сообществ. И чем раньше ее решить, тем лучше.

        11.07.2011

        Как идентифицировать активы?

        Классификация информация, как элемент инвентаризации и классификации активов, подлежащих защите, очень важный процесс. От него зависит, насколько адекватно мы сможем построить систему защиты и не упустить ничего лишнего. Неправильная классификация приведут к тому, что мы можем забыть какие-то типы данных, которые останутся беззащитными, или, наоборот, затраты на защиту станут непомерными из необоснованного повышения категории (класса) защищаемой информации. Например, в Министерстве Обороны США стоимость только одной классификации информации обходится бюджету в миллиарды долларов и эта цифра растет год за годом. Не думаю, что в России кто-нибудь осмечивал данный этап, но могу предположить, что речь идет (если классификация реализуется на практике) о миллионах или десятках миллионов рублей. А уж затраты на избыточную безопасность по причине ненужного повышения класса и вовсе не поддаются подсчету.

        Есть и другой аспект, заставляющий нас задумываться о классификации. Речь идет о нормативных и регулятивных требованиях, которые описывают процесс классификации информации и которые являются обязательными де-юре или де-факто - СТО БР ИББС, 98-ФЗ, 149-ФЗ, Р Газпром 4.2-3-001-20хх, СТО Газпром 4.2-3-004-2009, ISO/IEC 27002:2005, ISO/IEC 20000-2, ISO/IEC TR 13569:2005 и т.д.

        Но классификация информация - это только один из важных и первоочередных этапов при обеспечении ИБ. Ведь защищать мы должны не только информацию, но и другие активы - СУБД, ПО, сервера, сервисы и т.д. Их тоже надо классифицировать, а перед этим идентифицировать. Именно эта тема часто всплывает на bankir.ru и четкого ответа на вопрос "как идентифицировать активы" до сих пор нет. Или точнее не было.

        В конце июня NIST вновь порадовал очередным документом - "Specification for Asset Identification 1.1" (NISTIR 7693). В этом документе описывается модель, позволяющая идентифицировать следующие активы:
        • персона
        • организация
        • система
        • программное обеспечение
        • база данных
        • сеть
        • сервис
        • данные
        • вычислительное устройство
        • Web-сайт
        • линия связи.

        Очень интересный, а главное практичный документ, с примерами описания различных активов. Предложенная модель легко автоматизируется (даже с помощью Excel, не говоря уже о более мощных СУБД).

        08.07.2011

        Проверь себя!

        Многие заметили, что под блоком DISCLAIMER у меня появился еще один блок - "Проверь себя!". Это баннер системы SurfPatrol от Positive Technologies, о которой я уже писал.

        После полученных замечаний и предложений разработчики существенно улучшили юзабилити системы и число поддерживаемых платформ, приложений и браузеров. Да и запускать его стало гораздо удобнее. Не надо никуда ходить и что-то там нажимать - просто вставляете код JavaScript на свой сайт или блог (как у меня) и при каждом заходе на главную страницу вы будете видеть текущий и актуальный статус защищенности вашего компьютера или мобильного устройства. Все просто и понятно; синий - все хорошо, красный - есть проблемы. Нажали на баннер и получили отчет со списком уязвимых приложений. Нажали на "обновить" (update) и перешли на страницу с обновлением. Проще некуда.

        Новости ПК27 ISO

        ISO готовит еще один интересный стандарт "Information technology -- Security techniques -- Information security for supplier relationships", посвященный вопросам взаимоотношений с поставщиками продуктов и услуг. Он будет иметь номер 27036. Интересно, что еще несколько месяцев назад данный стандарт назывался "Guidelines for security of outsourcing". Возможно авторы расширили сферу применения, а может быть сделают несколько частей одного стандарта, описывающие различные аспекты взаимоотношений с внешними поставщиками продуктов и услуг (собственно их уже две - вводная и с набором требований).

        В феврале я показывал список проектов стандартов, которые готовятся в ПК27 Международной организации по стандартизации. И вот обновление этого списка - новый проект стандарта ISO 27040 "Information technology – Security techniques -- Storage security" по безопасности систем хранения, а также ISO 27039 "Selection, deployment and operations of intrusion detection systems" и "IEC 62443-2-1:2010 Establishing an industrial automation and control system program" (должен был быть опубликован в прошлом октябре).

        В ISO также  разрабатывают стандарт ISO 27015, который является переложением 27001/27002 на финансовую отрасль. Однако Visa и MasterCard против этого стандарта. Первая компания считает, что проект стандарта не содержит много нужной информации (например, по платежным системам), а если ее туда добавить, то стандарт надо переносить в другой комитет ISO. И вообще Visa считает, что эту работу надо прекращать ;-) У MasterCard предложение такое же, но мотивация другая - мол, в финансовой отрасли и так полно регулирующих тему ИБ документов.

        Посмотрим на результаты этих предложений. Обычно, начатая в ISO работа, просто так не завершается. Возможно все выльется в создание того, что также рекомендовала ISO - сделать из документа технический отчет (TR), который не является стандартом, но просто аккумулирует лучшие практики или описывает состояние дел в конкретной области.

        Вкратце так. Дойдут руки, опишу новые изменения и планы изменений в уже принятых и хорошо известных стандартах 27-й серии.

        07.07.2011

        Руководство ENISA по облакам

        Интересна тенденция выпуска различных документов, как правило, в виде рекомендаций и руководств к принятию решений, по облачным вычислениям. Сначала это были австралийские рекомендации, потом документы NIST, потом руководство PCI Council по виртуализации с разделом по облакам. И вот на днях попался мне документ европейского агенства по информационной безопасности по облакам - "Security & Resilience in Governmental Clouds. Making an informed decision". Выпущен в январе 2011 года.

        Документ выстроен по тому же принципу, что и названные выше документы. Сначала дано описание облачных вычислений, их SWOT-анализ, а уж затем описана модель по принятию решения о переходе/непереходе к облакам. Но в отличие от уже выпущенных документов ENISA привела примеры процессы принятия решения для различных облачных сервисов - репозитории медицинской информации, госуслуги, электронная почта и работа с персоналом.

        Другим ценнейшим разделом документа является раздел по формированию RFP - 3 страницы вопросов, которые стоит задать облачному провайдеру перед принятием решения.

        Стандарт ISO по безопасности облаков

        В ISO (совместно с ITU-T, ISACA, NIST и ENISA) сейчас начата работа по созданию стандарта по безопасности облаков. Рабочее название - "Information technology – Security techniques – Guidelines on Information security controls for the use of cloud computing services based on ISO/IEC 27002". Несмотря на большой объем предварительной версии документа - это даже не проект, а альфа-версия проекта документа, выпуск которого планируется на 2013-й год.

        Недурный документ получается - описано очень много важных тем:
        • Облачные модели и место в них облачных пользователей и провайдеров
        • Место облаков в политике безопасности
        • Организация ИБ - с внутренней и внешней точки зрения. Интересный раздел - описывает особенности разделения ответственности между участниками процесса, содержание соглашения о конфиденциальности и соглашений с третьими лицами, координация усилий и взаимодействие с внешними группами и организациями ИБ.
        • Управление активами. Еще один важный вопрос, который возникает в ситуациях, когда активами владеют разные компании и лица.
        • Управление персоналом. Раздел описывающий действия до и в процессе найма на работу, а также после завершение трудового договора.
        • Физическая безопасность.
        • Операционное управление и управление коммуникациями. Сюда попали вещи, связанные с борьбой с вредоносным кодом, мониторингом и аудитом, управлением сетевой безопасностью, резервированием, управлением пропускной способностью и изменениями, управлением носителями информации и вопросы обмена информацией с третьими лицами.
        • Контроль доступа, включая раздел, посвященный доступу с мобильных устройств и надомных работников.
        • Управление покупкой, разработкой и поддержкой систем.
        • Управление инцидентами.
        • Управление непрерывностью бизнеса.
        • Управление соответствие регулятивным требованиям.

        Ждем этот замечательный документ.