31.10.2011

Моя презентация с DLP Russia 2011

Выкладываю свою презентацию с пятничной DLP Russia 2011. Напоминаю, что это введение в исследование по классификации, которое грядет после ноябрьских праздников.

28.10.2011

Облакам грядет зачистка?!

Минкомсвязь объявил заказ на сайте госзакупок, в котором есть три интересных лота:
  • Разработка предложений по созданию системы персональной идентификации граждан в целях безопасного доступа к государственным и муниципальным сервисам в электронном виде
  • Разработка системы правил обеспечения защиты прав субъектов персональных данных при использовании облачных вычислений, в том числе, трансграничных
  • Исследование вопроса построения облачных трансграничных систем хранения данных для предоставления услуг хостинга интернет-сайтов и их влияния на национальную безопасность страны.
А учитывая вчерашнее заявление Массуха: "Помимо этого сервер, предоставляющий услугу облачных вычислений, должен находиться в России. В какой-то степени такие условия осложняют жизнь хостерам, потому что придется взаимодействовать с такими службами, как ФТЭК и ФСБ, но надо с чего-то начинать. Это необходимо сделать, чтобы облачные платформы в будущем имели возможность нормальной работы не только с госорганами, но и с другими структурами", можно себе представить, какие требования будут применяться к облачным провайдерам.

Причем требования по защите ПДн в облаках должен разработать Роскомнадзор, который вообще-то к защите ПДн вообще никакого отношения не имеет; в отличие от защиты прав субъектов ПДн. Но зная как РКН прогибается под ФСБ, ждать адекватных требований не придется ;-( А жаль...

    Защита данных защита от утечек данных?

    Последнее время меня часто приглашают на различные мероприятия и просят рассказать про DLP. И каждый раз я пытаюсь объяснить, что DLP - это всего лишь инструмент. Причем совсем не главный. Но им, почему-то, часто подменяют основную задачу - защиту данных. На прошедшей InfoSecurity в Москве мой коллега, Миша Кадер читал презентацию про стратегию Cisco в области защиты данных. После этого я слышал несколько отзывов о том, что "пришел человек - рассказал непонятно что". Это понятно. Поток был про DLP и многие желали услышать что-то про DLP. Только вот все, что мы хотели сказать, мы уже давно сказали. И про недостатки DLP (на прошлой DLP Russia) и про то, как строит Cisco свою стратегию в области контроля утечек. Но все почему-то упорно не хотят говорить о целостной стратегии защиты данных и хотят заменить ее обычным внедрением конкретного DLP-продукта. ЭТО НЕ РАБОТАЕТ!!! Достаточно посмотреть прошлогоднюю презентацию, чтобы понять, что в современных DLP не реализована куча нужных и важных функций. Хотя бы та же классификации информации, о которой я сегодня буду рассказывать на DLP Russia 2011.


    Мы, например, в Cisco, в первую очередь концентриуемся на вопросах повышения осведомленности сотрудников - что можно, что нельзя. А также на вопросах грамотной работы с персоналом, чтобы они дорожили своим местом и у них просто не возникало задачи украсть информацию.


    С технической точки зрения есть свои сложности. Отчасти описанные выше; отчасти еще нерассмотренные. Поэтому DLP для нас - это один из элементов стратегии защиты, отталкивающейся от данных, а не от продуктов. Ниже новая презентация, описывающая, что мы делаем для защиты данных. И опять из нее вы увидите, что для эффективной защиты важны совсем иные вопросы - классификация, обучение пользователей, оценка с точки зрения бизнеса и т.д.

    Data Centric Security Strategy

    И не случайно я неделю назад на Zecurion DLP Conference читал тему о том, что такое DLP с точки зрения топ-менеджера. Последнего не волнуют технические детали - его волнует именно бизнес-составляющая, которой так не хватает современным DLP-продуктам и вендорам.

    27.10.2011

    Дилеммы и парадоксы ПДн

    Наткнулся на очередное исследование по части психологии пользователей при работе с персданными (в сентябре описывал еще одно). В этот раз исследование было проведено по заданию Евросоюза и применительно к Евроконвенции по защите прав субъектов ПДн. Авторы выделили несколько интересных парадоксов:
    1. Парадокс приватности. Несмотря на высокие риски нарушения конфиденциальности пользователи все равно готовы раскрывать свои персональные данные.
    2. Парадок контроля. Субъекты ПДн хотят полного контроля над своими ПДн, но стараются избегать хлопот, связанных с актуализацией и регулярной оценкой уровня контроля ПДн. Субъекты знают о средствах защиты, но не используют их.
    3. Парадок ответственности. Субъекты ПДн не возлагают ответственность за защиту их прав и их ПДн только на государство, суды или полицию. Они считают, что за защиту также должны отвечать они сами и операторы ПДн, которым эти данные доверены. Субъекты требуют инструментов для более глубокого и всестороннего контроля своих ПДн. Но при этом, субъекты не уверены в своей способности защищить свои же ПДн.
    4. Парадокс осведомленности. Законодательство о ПДн европейцам малоизвестно и нелибимо ими. Но при этом никакой разницы в поведении между теми, кто знаком с темой ПДн (включая законодательство), и теми, кто не знаком, практически не наблюдается. Иными словами, осведомленность никак не влияет на поведение субъектов ПДн. Гораздо больше субъекты доверяют своему личному опыту, а не законодательству и иным нормам.
     Помимо парадоксов исследователи выделили еще и ряд дилемм, которые требуют решения и для которых неприменимы единые подходы в управлении ПДн:
    1. Дилемма разницы культур. Разные страны Евросюза обладают разным уровнем цифровой культуры. Разные уровни проникновения Интернет, разница в способах и местах подключениях к Интернет, разница в предпочитаемых инструментах Интернет (где-то превалируют блоги, где-то социальные сети, где-то IM). В России аналогичная картина для разных регионов.
    2. Дилемма фрагментации рынка. Разные поколения также по разному используют Интернет. Новички - в-основном для чтения почты и поиска в Интернет. "Старички" активно используют социальные сети. И небольшая часть пользователей использует все возможности Интернет, включая чаты, форумы, ведение блогов и т.п. При этом активные пользователи Интернет меньше воспринимают риски и готовы совершать необдуманные поступки; в отличие от новичков, которые боятся сделать "что-то не так" и, как следствие, больше сохраняют свои ПДн в тайне.
    3. Дилемма открытости/закрытости. Государство активно пытается регулировать тему ПДн (как это знакомо и в России), но сталкивается с тройной дилеммой. Во-первых, Интернет-пользователи (преимущественно молодежь) не доверяют государству, но ждут от него каких-то действий по защите частной жизни в Интернет. Во-вторых, государство остается основным инвестором и заказчиком ИКТ и активно внедряет различные госуслуги, базирующиеся на раскрытии ПДн. Но все эти услуги непривлекательны для молодежи, которая гораздо более продвинута, чем государство, заказывающее те или иные платформы, порталы и т.п. для госуслуг. Иными словами, государство что-то предлагает и делает, но пользоваться этим просто невозможно. В-третьих, в отличие от бизнеса государство сковано в маневрах и возможностях взаимодействия. Оно либо отторгает от себя субъектов ПДн, навязывая им свои услуги, либо не может ничем привлечь пользователей, опять приводя к отказу от пользования госуслугами на базе ПДн.
    Дальше в исследовании даются некоторые рекомендации, но в России они малоприменимы. Например, активно анализировать поведение пользователей в Интернет и использовать социальные сети. Но не для троллинга и рекламы Единой России (ссылка не на сайт партии ;-), а для продвижения и внедрения в среду правил работы с ПДн. Другая рекомендация касается ухода от технических мер в сторону большего повышения осведомленности, а также смене классической парадигмы защиты информации для учета современных реалий. Как показывает современный российский опыт, все эти советы у нас неприменимы ;-(

    26.10.2011

    Что такое HFACS?

    Последние авиакатастрофы в России напомнили мне давнее исследование министерства транспорта США (может и у нас такое есть, но с публичностью таких документов в США на несколько порядков получше будет) "Система классификации и анализа человеческого фактора" (The Human Factors Analysis and Classification System - HFACS).

    Разработанное еще в 2000-м году это исследование начинается с того, что постулирует следайющий факт - по статистике от 70 до 80% всех авиационных инцидентов в гражданской и военной авиации происходит по вине человека. При этом причины этих инцидентов никак не классифицированы. В результате при возникновении инцидента сложно идентифицировать проблему, понять ее причины и предотвратить повтор неприятных событий. Собственно для решения этой задачи и была разработана система классификации HFACS.

    Данная система использует лучшее, что было на тот момент в области исследования человеческого фактора. Это и известная с начала 90-х годов модель совершения человеческих ошибок "Швейцарский сыр".


    Это и "Таксономия небезопасных операций" Шеппеля и Вигманна и ряд других. В результате появляется HFACS. По данной модели существует 4 уровня отказов/сбоев/ошибок/проблем, приводящих к инцидентам - небезопасное действие, предпосылки к небезопасным действиям, плохой надзор и влияния организации. При этом каждый уровень разбивается на подуровни и составляется полная таксономия всех "человеческих факторов".





    Но и не этим хороша HFACS. Для каждого уровня существуют и более детальные списки причин, приведших к инцидентам. Вот как выглядит неполный список причин для влияния организации:

    Можно заметить, что даже в этот неполный список попали все ключевые источники проблем - алкоголь, наркотики, плохой рекрутинг персонала, давление времени, урезание расходов и т.д.

    Собственно к чему я начал рассказ про авиационные инциденты? Да к тому, что в ИБ HFACS можно применять практически без изменений. Эта классификация прекрасно объясняет почему происходят инциденты информационной безопасности. Она может быть использована при моделировании угроз. Спектр ее применений огромен. Главное, чтобы ее применяли...

    25.10.2011

    Биль о правах CISO

    Наткнулся на просторах Интернета и перевел...

    Биль о правах CISO (адресован поставщикам средств и услуг ИБ)

    10. Пожалуйста, не считайте, что нас связывают деловые отношения только на том основании, что я имел глупость зарегистрироваться на вашем сайте, поведясь на рекламу одной из ваших бесстыдных !аналитических" whitepaper.
    9. Пожалуйста, не считайте, что нас связывают деловые отношения только на том основании, что вы нашли мой профиль в LinkedIn.
    8. Если вы хотите мне что-то продать, пожалуйста, не пытайтесь "задружиться" (link up) со мной на LinkedIn.
    7. Если вы все-таки будете пытаться "задружиться" со мной на LinkedIn, то я буду игнорировать вас или, что еще лучше, укажу, что не знаю вас, что будет иметь для вас негативные последствия.
    6. Если вы будете слать мне спам, не ждите, что я буду связываться с вами.
    5. Если вы в спаме попросите перезвонить вам, не ждите, что я сделаю это.
    4. Я надеюсь вы умный человек. После 3, 4, 5 неотвеченных звонков, вероятно, вы догадаетесь, что я не хочу с вами общаться. ПРЕКРАТИТЕ МНЕ ЗВОНИТЬ, ЧЕРТ ПОБЕРИ.
    3. Пожалуйста, не считайте, что нас связывают деловые отношения только на том основании, что на последней конференции по безопасности вы всучили мне ручку с логотипом вышей компании, которая светится в темноте и проигрывает дурацкую музыкальную тему Дарта Вейдера.
    2. Пожалуйста, не звоните мне и не говорите, что вы знакомы с генеральным директором моей компании, CIO и т.д. Эта уловка "продавцов поддержанных автомобилей" не работает.
    1. Я работаю не первый год и прекрасно знаю, что ваша новая, блестящая, сверкающая, уникальная, инновационная "а-а-а-ахренеть какая штука", вероятно, не позволит решить все мои проблемы ИБ. Если у меня есть проблема, требующая решения, и у вас есть продукт, устраняющий эту проблему, я вам сам позвоню...

    Узнай все о ввозе шифровальных средств

    Мы рады пригласить вас на онлайн-семинар «Регулирование импорта оборудования Cisco», который состоится через систему Webex 26 октября.

    Уже прошло более полутора лет как Россия вошла в состав Единого Таможенного Союза и перешла на новые таможенные правила ввоза шифровального оборудования. Несмотря на подготовленные документы и частые доклады на различных мероприятиях, посвященные данному вопросу, наши партнеры и заказчики регулярно задают нам одни и те же вопросы, касающиеся импорта оборудования Cisco – VPN-решений, продукции с кодом K9 и т.д.

    Что такое шифровальные средства? Почему беспроводная точка доступа относится к шифровальным средствам? Что такое коды K9, K8 и К7? Чем они отличаются друг от друга? Какие нормативные акты регулируют ввоз шифровальных средств? Что такое коды C1-C4 и чем они отличаются? Что такое нотификация и какое оборудование можно ввести по нотификации? Можно ли ввозить VPN-решения Cisco? Что для этого требуется? Как получить разрешение ФСБ на ввоз шифровальных средств? Это только часть вопросов, на которые будут даны ответы в рамках нашего онлайн-семинара.

    Если вы хотите быть в курсе законодательства по импорту шифровальных средств, а также в курсе последних новостей о полученных нами разрешениях на ввоз различного оборудования Cisco, то этот семинар для вас!

    Будем искренне рады видеть Вас среди участников нашего семинара! Если вы не сможете принять участие в указанное время, то все равно зарегистрируйтесь, чтобы получить по итогам ссылку на запись семинара.

    Семинар проудет онлайн, 26-го октября, в 11 утра по московскому времени. Регистрация тут.

    24.10.2011

    Стандарт по ИБ виртуализации

    Сегодня проблемы защиты виртуализированных инфраструктур встают перед многими российскими компаниями, использующими технологии виртуализации. И одним из препятствий является отсутствие адекватных рекомендаций по защите виртуализированных инфраструктур, в том числе и в контексте требований российских регуляторов в области информационной безопасности.

    С целью решения этой проблемы мы, представители экспертного сообщества, создаем инициативную группу по разработке проекта стандарта по безопасности виртуализированных инфраструктур, который может стать отправной точкой для создания собственных, а также отраслевых или национальных рекомендаций к выбору средств виртуализации и требований к обеспечению безопасности инфраструктур, построенных с использованием этих технологий.

    Приглашаем профессиональные ассоциации и экспертов поддержать эту инициативу!

    Предварительная структура данного стандарта:
    1. Введение
    2. Термины и определения
    3. Виртуализация.
      • Типы виртуализации
        • Серверная виртуализация
          • гипервизорная
          • контейнерная
        •  Виртуализация рабочих станций
          • гипервизорная
          • контейнерная
        • Виртуализация приложений
        • Виртуализация сервисов
        • Виртуализация сети
        • Виртуализация СХД
        • Виртуализация аппаратного обеспечения
      •  Жизненный цикл системы защиты виртуализированных инфраструктур
      • Общие рекомендации по защите виртуализированных инфраструктур
    4. Серверная виртуализация
      • Модель угроз
      • Рекомендации по защите
    5. Виртуализация рабочих станций
      • Модель угроз
      • Рекомендации по защите
    6. Виртуализация приложений
      • Модель угроз
      • Рекомендации по защите
    7. Виртуализация сервисов
      • Модель угроз
      • Рекомендации по защите
    8. Виртуализация сети
      • Модель угроз
      • Рекомендации по защите
    9. Виртуализация СХД
      • Модель угроз
      • Рекомендации по защите
    10. Виртуализация аппаратного обеспечения
      • Модель угроз
      • Рекомендации по защите
    11. Внедрение и эксплуатация системы защиты виртуализированных инфраструктур
    12. Оценка соответствия
    13. Заключение

    Результатом данной работы должен явиться документ, который планируется направить российским регуляторам для анализа и разработки на его основе соответствующего руководящего документа или стандарта. В случае невозможности присвоения результатам данной работы официального статуса мы планируем придать ей статус "лучшей практики", которой смогут воспользоваться все российские предприятия, активно внедряющие технологии виртуализации.

    Разработка проекта стандарта по безопасности виртуализированных инфраструктур будет проводиться под эгидой Ассоциации профессионалов в области информационной безопасности RISSPA.

    Авторами документа будут указаны все эксперты, принявшие участие в его разработке.

    Присоединиться к инициативной группе можно написав по адресу - virtual[at]risspa[dot]ru

    Алексей Лукацкий
    Мария Сидорова

    21.10.2011

    DLP с точки зрения топ-менеджера

    Вчера выступал на Zecurion DLP Conference. Обещал выложить свою презу. Сдерживаю обещание.

    20.10.2011

    Классификация информации - новое исследование

    Наверное, многие помнят, что несколько лет назад я опубликовал большую статью про классификацию информационных активов. В августе я написал, что готовится новая версия этого материала. И вот она на подходе. Я буду представлять эту, даже не статью, а полноценное исследование, на DLP Russia 2011. Спустя некоторое время выложу исследование и в свободный доступ.

    Европейские стандарты по ПДн

    Мне казалось, что я знаю почти все нормативные документы и особенно стандарты в области персональных данных. Но оказалось это не так. Как говорится, слона-то я и не заметил. Я писал про законы и стандарты в области ПДн США. Я писал про аналогичные документы АТЭС и ОЭСР. Я разбирал, что сделано в России. Я смотрел, что делает сейчас ISO. Я анализировал документы различных европейских стран, но... Я совершенно упустил из виду, что Европа - это не только самостоятельные страны, но и Евросоюз, как единое целое. И в Евросюзе есть такая организация, как CEN - Европейский комитет по стандартизации (аналог нашего Ростехрегулирования, BSI, NIST и других аналогичных организаций по стандартизации). И эта организация одной из первых разработала стандарты по персональным данным и их защите.

    Собственно начал CEN свою работу в части ПДн не совсем стандартно. Он пошел не от требований по обработке и защите ПДн, а от аудита этих операций. Идея CEN, зафиксированная в первых документах, звучит следующим образом: утечки персданных и иные нарушения прав субъектов могут разрешить доверие между заказчиками и их поставщиками, работниками и их работодателями, гражданами и государством. При этом обработка ПДн становится все сложнее, а обеспечение доверия становится важнейшей задачей при взаимодействии указанных выше сторон. Доверие может быть достигнуто путем демонстрации соответствия. А уверенность, что ПДн обрабатываются в соответствие с принципами, указанными в Евроконвенции, может быть обеспечена аудитом. Ну а дальше эта логика отражается в разработанных документах:

    • CWA 15262-2005. Inventory of Data Protection Auditing Practices. Документ описывает, что необходимо предоставить для эффективного и адекватного аудита ПДн в организации. Из особо интересного в этом документе я обнаружил список ссылок на готовые опросники, чеклисты и т.п. материалы всех стран Евросоюза и ряда других государств.
    • CWA 15263-2005. Analysis of Privacy Protection Technologies, Privacy- Enhancing Technologies (PET), Privacy Management Systems (PMS) and Identity Management systems (IMS), the Drivers thereof and the need for standardization. Здесь все понятно из названия.
    • CWA 15292-2005. Standard form contract to assist compliance with obligations imposed by article 17 of the Data Protection Directive 95/46/EC (and implementation guide). Это пример договора между оператором и обработчиком ПДн.
    • CWA 15499-1-2006. Personal Data Protection Audit Framework (EU Directive EC 95/46) - Part I: Baseline Framework. Это базовый документ, в основу которого легли материалы PwC, описывает цикл PDCA применительно к теме персональных данных.
    • CWA 15499-2-2006. Personal Data Protection Audit Framework (EU Directive EC 95/46) - Part II: Checklists, questionnaires and templates for users of the framework. Вторая часть стандарта имеет более практическое значение. Это различные чеклисты и опросники, которые облегчают прохождение аудита. Если бы наши регуляторы подготовили бы что-нибудь аналогичные, уже не зря прожирали бы деньги налогоплательщиков.
    • CWA 16111-2010. Voluntary Technology Dialogue Framework (VTDF). Представить, что такой документ родится в России сложно. В его преамбуле написано примерно следующее. Требования по ПДн есть и они важны. Бизнесу может не хватать осведомленности в вопросах защиты прав субъектов ПДн и самих ПДн. Регуляторам может не хватать знаний о новых технологиях и потребностях бизнеса. Им нужен диалог и некоторые правила для того, чтобы диалог был продуктивным. VTDF и обеспечивает такие правила.
    • CWA 16112-2010. Self-assessment framework for managers. Этот документ разбит на две части. В первой описывает процесс самооценки процессов обработки ПДн со стороны руководителей подразделений и компаний. Вторая описывает ответственность менеджеров за процессы обработки ПДн, их роли и форматы участия в данных процессах и т.д.
    • CWA 16113-2010. Personal Data Protection Good Practices. Содержание этого документа тоже понятно из названия - это лучшие практики по обработке и защите ПДн. Интересно, что это, пожалуй, один из немногих стандартов по защите, где упоминаются DLP-решения.
    Также к этим документам добавляется несколько Excel'овских форм, облегчающих решение описанных выше вопросов. Например, опросник для самооценки состояния защиты ПДн в организации. Сильно облегчает жизнь и не дает делать шагов в сторону на пути оптимального приведения себя в соответствие с требованиям Евроконвенции по защите прав субъектов ПДн.

    19.10.2011

    1000 постов в блоге!

    Сегодня я достиг планки в 1000 постов в блоге!

    Облака с точки зрения законодательства

    22-24 ноября в Москве пройдет очередная конференция CiscoExpo 2011. В рамках этой конференции я буду выступать не только с традиционной для меня темой про законодательство ИБ, но и буду готовить специальное выступление на тему "Законодательство и облачные вычисления" в потоке по облакам. Предварительные исследования на эту тему я уже начал и не могу сказать, что тема оказалась для меня простой. Если с техническими требованиями к безопасности облаков все более-менее понятно, то вот с нормативкой уровня законов дела обстоят не так просто. Посмотрим, что из этого выйдет...

    Что Госдума нам готовит?

    До 4 декабря остается все меньше и меньше времени. Да и режим работы депутатов поменялся - им надо больше времени тратить на работу с избирателями. В итоге на осеннюю сессию по теме ИБ (а также персданных, разных видов тайн, информатизации, электронной подписи и т.п.) никаких законопроектов не предусмотрено. Ни в приоритетной части (33 страницы), ни в программе работы комитетов ГосДумы (174 страницы). Если президентам не придет в голову что-нибудь этакое замутить впредверие выборов, то никаких законодательных новостей у нас не предвидится. Разумеется, исключая различные подзаконные акты уровня Правительства, министерств, федеральных служб и агентств и т.д.

    Оно и понятно. По мнению В.В.Путина у нас с информатизацией все в порядке - "…мы должны сделать всё для того, чтобы использовать все позитивные стороны современных средств коммуникации. Мы применяем это и в дистанционном обучении, в медицине. В конце концов, государство начинает это применять, создавая так называемое электронное правительство, для того чтобы уменьшить бюрократические барьеры, снизить коррупцию, избавить наших людей, как я уже говорил, от унизительного стояния в очередях, просто интенсифицировать нашу экономику на новых принципах".

    18.10.2011

    Что считать официальным опубликованием?

    Сейчас официальным опубликованием закона считается его публикация в «Парламентской газете» и «Российской газете». Без официального опубликования законы не могут вступить в силу. Согласно принятому во вторник сразу в двух чтениях закону, перечень источников, где могут быть официально опубликованы правовые акты расширен. Их официальным опубликованием предлагается считать также первое размещение полного текста на официальном интернет-портале правовой информации (www.pravo.gov.ru).

    Проект нового Постановления Правительства (по части ФСТЭК)

    На сайте ФСТЭК размещен проект постановления Правительства Российской Федерации "О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации".

    Стандарт НАУФОР одобрен ФСБ

    11 октября ФСБ одобрила стандарт НАУФОР по защите персональных данных "Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных операторами-профессиональными участниками рынка ценных бумаг". Далее стандарт будет направлен на согласование в ФСФР России. Предполагается, что нареканий и отказов со стороны ФСФР не будет.

    Интересно, что двумя днями позднее, американская "сестра" ФСФР - Комиссия по ценным бумагам США опубликовала интересный документ (неимеющий статуса обязательного или даже рекомендательного - просто мнение регулятора) в отношении обязательств по раскрытию информации о кибербезопасности и киберинцидентах. Интересно, ФСФР когда-нибудь дорастет до таких же по сути документов?..

    NIST публикует план развития облачных технологий

    NIST опубликовал новый документ - SP 500-291 "NIST Cloud Computing Standards Roadmap", который аккумулирует имеющуюся информацию об облачных вычислениях с точки зрения безопасности, портируемости, интероперабельности и т.д., и прогнозирует их развитие на ближайшие годы. Собственно, он же дает введение в облачные технологии, терминологию, бизнес-модели и т.д. Рекомендую прочитать всем, кто интересуется данной тематикой.

    ЗЫ. DMTF также опубликовала проект нового документа по облакам - "Cloud Infrastructure Management Interface (CIMI) Model and REST Interface over HTTP".

    17.10.2011

    Письмо ЦБ про использование ЭП

    Банк России рассмотрел запрос Ассоциации российских банков об использовании электронной подписи при составлении и представлении отчетности кредитными организациями в Банк России и сообщает следующее.

    В соответствии с Указанием Банка России от 16 января 2004 года № 1375-У «О правилах составления и представления отчетности кредитными организациями в Центральный банк Российской» (далее - Указание № 1375-У) при составлении и представлении отчетности кредитных организаций в Банк России в электронном виде для подтверждения подлинности и контроля целостности электронного сообщения используется код аутентификации.

    Код аутентификации является аналогом электронной подписи, отвечающим требованиям, предусмотренным пунктами 2 и 3 статьи 5 Федерального закона от 06.04.2011 года 63-Ф3 «Об электронной подписи».

    Учитывая изложенное, кредитным организациям при составлении и представлении отчетности в Банк России в электронном виде следует руководствоваться порядком, установленным Указанием Банка России от 24 января 2005 года № 1546-У «О порядке представления кредитными организациями в Центральный банк Российской Федерации отчетности в виде электронных сообщений, снабженных кодом аутентификации».

    Что касается возможности хранения отчетности в электронном виде, то в настоящее время Банк России рассматривает такую возможность для отчетности, представляемой кредитными организациями в виде электронных сообщений, снабженных кодом аутентификации. Вместе с тем, в настоящее время нормативными актами Банка России хранение отчетности в электронным виде не предусмотрено. Учитывая изложенное, до внесения соответствующих изменений в нормативные акты Банка России кредитным организациям следует руководствоваться пунктом 7 Указания № 1375-У.

    Источник: Гарант

    Метрики для проекта по IdM

    К теме измерения IdM-проектов я уже обращался не раз. Тогда (слайды 30-37 второй презентации) я рассматривал эту тему с точки зрения финансовой оценки эффективности проекта по внедрению системы идентификации, аутентификации и авторизации. Недавно я наткнулся на статью, в которой приводятся метрики, по которым можно оценить эффективность работающей системы IdM:
    1. Число сброшенных паролей в месяц. Сброшенных после блокирования учетной записи, например. Или после забытого пароля и использования системы генерации паролей самими пользователями.
    2. Среднее число учетных записей на пользователя. Средним показателем считается 10-12. В любом случае это число демонстрирует необходимость внедрения SSO.
    3. Число учетных записей "без пользователей". Пользователей переводя на новую работу, повышают, увольняют... А что с их учетными записями?..
    4. Число новых учетных записей. Насколько оно отличается от числа новых сотрудников за тот же период времени?
    5. Среднее время на предоставление доступа новой учетной записи к ресурсам, необходимым для работы.
    6. Среднее время на утверждение изменений в учетной записи и ее правах доступа.
    7. Число систем или привилегированных учетных записей без владельца (похоже на п.3, но применительно к привилегированному доступу).
    8. Число исключений при установлении правил доступа. Обычно при создании новых ролей или внедрении новых приложений число таких исключений велико, но постепенно оно должно стремиться к нулю. Если нет, то есть серьезная проблема с качеством идентификационных параметров учетной записи.
    9. Число нарушений разделения полномочий. Например, есть ли у вас в системе пользователи одновременно с правами разработчика и внедренца системы? Или с правами операциониста и контроллера?

    14.10.2011

    Блог - новое оружие безопасника

    Года 3-4 назад в одном из интервью я сказал, что главное оружие CISO - это PowerPoint. Моя идея была проста - руководитель ИБ в меньшей степени занимается техническими вопросами, больше времени посвящая решению организационных вопросов, координации, общению с руководством и т.п. И PowerPoint тут как нельзя кстати - именно он помогает визуализировать ключевые показатели деятельности службы ИБ, продемонстрировать улучшения и попросить бюджеты.

    Но вот на днях я наткнулся на заметку одного известного на Западе эксперта по ИБ, который сейчас выполняет роль евангелиста по ИБ в компании Акамаи. Он написал, что основной инструмент руководителя ИБ - это коммуникации. И он прав. PowerPoint - это всего лишь инструмент, который сам по себе не работает. Он всего лишь иллюстрирует то, что доносит до аудитории автор презентации. Иными словами, важно то, что и как говорит руководитель ИБ. И вот тут мы подходим к идее, вынесенной в заголовок.

    Если посмотреть на мероприятия по ИБ последних лет, то можно увидеть интересную закономерность - ключевые спикеры почти не меняются. На всех мероприятиях выступают одни и те же люди. Не потому, что другим нечего сказать. И не потому, что они не хотят делиться секретной информацией. Все просто. Не все умеют говорить. Говорить правильно и красиво. Кто-то боится выступать на публике. Кто-то не может сформулировать свои мысли. Кто-то боится, что ему будут задавать неудобные вопросы. Итог один...

    Чем может помочь блог? Он учит формулировать и систематизировать свои мысли в коротких сообщениях. Это первый шаг к эффективной коммуникации. Затем будет гораздо проще. Высший пилотаж - это Twitter. Всего 140 символов, в которые надо вместить очень многое - целую жизнь. Известна история про лифт, в котором вы встретили главу компании, и 30 секунд, которые у вас есть, чтобы донести до него свою мысль, просьбу или предложение. Twitter - это и есть этот лифт.

    Не бойтесь, что вам нечего сказать. Меня часто спрашивают, как я могу находить столько тем для статей и заметок. В этом нет ничего странного. Вы живете не в вакууме - у вас богатый практический опыт, который интересен людям. Не держите его в себе. Сделайте первый шаг прямо сейчас - заведите себе блог!

    ЗЫ. Главное, не копируйте тупо чужие новости!

    13.10.2011

    Как ООН, ОЭСР и ВТО устанавливали общие правила игры по ИБ

    Вчера выступал на конференции "ИТ-Стандарт 2011" в МИРЭА, моей альма-матер. Т.к. тема секции бфла посвящена стандартизации вопросов ИБ, а по теме СТО, ISO и других стандартов было кому выступать и без меня, то я взял на себя смелось рассказать о том, как международные организации регулируют вопросы обеспечения ИБ.

    Но так как времени на подгтовку у меня было всего часа 2-3 - от времени прилета из Казахстана до момента выступления, то презентация получилась обзорная - без глубокой детализации. Но общее впечатление о ситуации и тенденциях по ней можно сделать.


    ЗЫ. В МИРЭА не был лет 15, с момента защиты диплома и госэкзаменов. Накатила ностальгия, т.к. в институте почти ничего внешне не поменялось. Та же архитектура, те же батареи, те же обшарпанные двери аудиторий, та же неочевидная навигация по корпусам и аудиториям ;-) Буфетов только стало больше, да машину припарковать было негде. В остальном все как прежде...

    12.10.2011

    Avaya покупает Sipera

    4 октября Avaya анонсировала покупку частной компании Sipera, специализирующейся на безопасности IP-телефонии. Детали сделки не разглашаются. Вообще это надо было сделать давно. Предлагать решения, в которых безопасность реализована абы как - это неуважение к заказчикам. А учитывая что VoIP-угрозы становятся одним из трендов ближайшего будущего, не замечать эту проблему уже нельзя.

    К слову сказать, у нас в Cisco защита унифицированных коммуникаций реализована с самого начала появления этих продуктов в нашем портфолио. И мы постоянно выпускаем руководства как по настройке встроенной функциональности в решений по унифицированным коммуникациям и Telepresence, так и просто по пониманию аспектов защиты протоколов IP-телефонии и т.д.

    Кому подчиняется CISO?


    На Конгрессе ИТ-директоров "Болдинская осень" в эти выходные меня спросили сакраментальный вопрос: "Кому должен подчиняться CISO в компании?". Я показал слайд №2 из своей летней презентации. А сегодня в последнем отчете PWC "2011 Global State of Information Security Survey"наткнулся на еще более интересную статистику с анализом тенденций в подчиненности CISO.


    Как мы видим, тенденция ухода контролеров из под контролируемых налицо. А второе, что мне понравилось, уход CISO под CPO - главного за обработку персональных данных (если на русский переводить эту должность). У нас на эту должность назначают козла отпущения, а там - это вполне респектабельная и немалая позиция в иерархии компании.

    10.10.2011

    Апокалипсис безопасности

    На выходных выступал в Нижнем Новгороде по приглашению нижегородского глуба ИТ-директоров на конгрессе "Болдинская осень". Выступление выстраивал следующим образом:
    • Апокалипсис российской ИБ - почему все так плохо и почему будет еще хуже. Ну тут ничего нового ;-) Но многие ИТ-директора не знакомы с другой стороной их деятельности в области ИБ - с регуляторикой (особенно в части регулирования криптографии). В целом у меня стояла задача показать худший сценарий развития событий ;-)

    • После первой части я перешел к реальной безопасности, которая понятная любому ИТшнику, - безопасности мобильного доступа и облаков. Рассматривал с точки зрения checklist'а, который надо пройти, чтобы принять решение о переходе к защищенному мобильному офису или облакам.
    Mobility and cloud security
    View more presentations from Alexey Lukatsky.

    •  Третья тема должна была касаться будущего ИБ - оценке экономической эффективности. Но до нее руки так и не дошли. Точнее времени не хватило.

    07.10.2011

    Как наш будущий Президент свое слово держал

    Все прекрасно понимают, что киберпреступность не имеет границ и попытки применить к ней стандартные методы расследований трансграничных преступлений малоприменимы. Достаточно посмотреть на слайды 70-73 моей презентации в рамках курса по управлению инцидентами (кстати, я его 21 ноября буду читать в Москве), чтобы понять, что международное следственное поручение и оперативность реагирования - понятия малосовместимые.

    Почему нельзя самостоятельно собирать доказательства на заграничных ресурсах? Ведь другие страны это практикуют. Оказывается все просто - Россия не ратифицировала т.н. Будапештскую Конвенцию о компьютерных преступлениях (Convention on Cybercrime), подписанную почти всеми странами Евросоюза, а также Канадой, США, Японией и Южной Африкой (всего 32 страны). Из наших соседей по СНГ ее ратифицировали Украина, Армения, Армения, Азербайджан, Молдова, (Грузия только подписала, но не ратифицировала).

    Эта Конвенция (неофициальный перевод) явилась практически первым международным документом, который определял классификацию киберпреступлений, описывал механизмы взаимодействия разных государств при расследовании, вопросы сохранности доказательств (включая и персональные данные), вопросы сбора, обысков, выемки, перехвата данных и т.д. Т.е. документ очень полезный в борьбе с трансграничной киберпреступностью.

    Почему же Россия ее не ратифицировала? России не понравился вот такой пункт Конвенции: "Сторона может без согласия другой Стороны получать через компьютерную систему на своей территории доступ к хранящимся на территории другой Стороны компьютерным данным или получать их, если эта Сторона имеет законное и добровольное согласие лица, которое имеет законные полномочия раскрывать эти данные этой Стороне через такую компьютерную систему". Один единственный пункт, ставший камнем преткновения. Российская власть посчитала, что это вмешательство в суверенитет государства. Хотя я ничего криминального в этом пункте не вижу - никакой самостоятельности. Есть согласие - получай доступ, нет - не получай. Хотя проконтролировать этот пункт малореально; и в 2001-м году, когда Конвенция принималась, и сейчас, спустя 10 лет.

    Вообще с принятием этой Конвенции ситуация очень интересная. Будучи Президентом России г-н Путин 15 ноября 2005 года подписал распоряжение №557-рп "О подписании Конвенции о киберпреступности". Но спустя всего 3 года, 22 марта 2008 года (через 20 дней после того, как новым Президентом был избран Медведев, вступивший в должность 7 мая), г-н Путин отозвал свою подпись и отменил свое же распоряжение. А относительно недавно, чуть меньше года назад, вопрос ратификации этой Конвенции вновь встал. Но и тогда наши власти подтвердили свое нежелание присоединяться к международному договору.

    И вот спустя 3 года (этакие трехлетние циклы смены настроений) Россия сама выступает с инициативами по международному регулированию вопросов ИБ. То заместитель секретаря Совета Безопасности (бывший руководитель НТС ФСБ) Николай Климашин едет в США обсуждать вопросы международной кибербезопасности и реагирования на инциденты. То Россия разрабатывает Конвенцию по обеспечению ИБ в сфере информации. Кстати, Россия не забывает и тут упомянуть про невмешательство в кибер-суверенитет государств.

    Думаю, что с нашим вкладом в дело мировой кибербезопасности поступят также как и мы с инициативой Евросоюза ;-(  А жаль. Оба документа могли стать неплохой основой для международного сотрудничества в области информационной безопасности.

    06.10.2011

    О коллекторах и персональных данных

    Я думаю на этой неделе не я один пройдусь по теме коллекторов (Алексей Волков уже прошелся, называя меня в своем посте не по имени, а "некоторые эксперты" ;-) Итак, вкратце суть - по мнению РКН коллекторы не имеют права передавать персданные должников коллекторам.

    В пользу этой версии говорят и требования ФЗ-152 о согласии на передачу третьим лицам и некоторые решения судов и даже последнее нашумевшее письмо Роспотребнадзора от 23 августа 2011 № 01/10790-1-32 о том, что банкам запрещено передавать данные по должникам без согласия последних. Вообще Роспотребнадзор коллекторов не любит - он выделил им целый раздел, где разбирает письма коллекторов в адрес г-на Онищенко. Роспотребнадзор ссылается на постановления ВАС РФ, в которых практически запрещается взаимодействие банков с коллекторами.

    Спустя пару недель АРБ в лице г-на Тосуняна ответило на письмо Роспотребнадзора своим письмом А-05/5-681. Его идея проста - передача данных по должнику коллекторам - это нормальная бизнес-практика, которая защищает банк от мошенников и неплательщиков, соответствует международной практике и даже Президиум ВАС не имеет ничего против передачи данных должников коллекторам. И если в письме Роспотребнадзора нет ни слова про персданные, хотя они там и подразумеваются, то в письме АРБ на последней странице выделен отдельный большой абзац про ПДн. В нем говорится, что передача ПДн коллекторам вполне возможна при соблюдении требований ФЗ-152.

    Вчера Президиум ВАС опубликовал свою трактовку законодательства, в которой четко указал, что взаимодействие коллекторов и банков законно и не нарушает прав должников. На мой взгляд Президиум ВАС поставил точку в этом споре и четко указал судьям, как надо решать такие вопросы в будущем. Правда, не исключаю, что РКН и РПН будут по-прежнему против такой позиции.

    Как считаю я сам? В курсе по персданным я это рассматриваю следующим образом:
    1. Коллекторское агентство выполняет свою работу
      • по договору цессии (ст.382-390 ГК РФ)
        • согласно ст.385 переуступается не только право требования, но и сведения, имеющие значение для осуществления требования, т.е. ПДн. Поэтому наличие договора цессии не требует согласия у коллектора на обработку ПДн. Но в договоре с банком согласие на передачу третьим лицам должно быть. Это же рекомендует делать и АРБ. Хотя я сталкивался с позицией юристов, которые считают, что и банку не надо получать согласие, т.к. никакой передачи не происходит - переуступаются все права, включая и право на обработку ПДн, которое должник уже один раз давал. Но тут, конечно, есть нюансы...
      • по агентскому договору (ст.1005 ГК РФ). Согласно ГК агент может действовать
        • от имени и за счет принципал
          • в этом случае вступает в действие договор поручения (ст.971 ГК РФ). Принципал (банк) выдает поверенному (коллектору) доверенность, а все права и обязанности остаются у банка. Коллектор выполянет функции обработчика и не должен получать никакого согласия.
        • от своего имени, но за счет принципала
          • в этом случае вступает в действие договор комиссии (ст.990 ГК РФ). Права и обязанности возникают у коллектора. Это новые правоотношения и коллектор обязан самостоятельно получать согласие на обработку ПДн.

    В любом случае банк должен включить в договор с клиентом согласие на  передачу персданных коллекторским агентствам.


    В ближайшее время ситуация изменится в лучшую сторону (для банков). В Госдуму депутатом Аксаковым внесен законопроект № 601106-5 "О защите прав и законных интересов физических лиц при взыскании задолженности", в котором права и обязанности коллекторов, банков, должников четко зафиксированы и определены. Для нас важно, что это будет законом, а следовательно основанием для неполучения согласия на обработку ПДн. Зная статистику успешно проведенных законопроектов г-на Аксакова и учитывая готовящиеся выборы, могу предположить, что Аксаков будет стараться провести этот законопроект до 4-го декабря, когда Единая Россия стройными рядами в очередной раз войдет в двери ГосДумы, опираясь на мнение большинства россиян!

    05.10.2011

    О народном логотипе

    Не хотел влезать в эту тему и вообще хоть как-то комментировать эту тему, но т.н. народное голосование за т.н. народный логотип по защите персональных данных завершилось и не высказаться не могу. Большинство коллег, с которыми я общался на эту тему, высказывались про эту инициативу в том духе, что "никому не нужно, но пусть кто хочет, попиарится". Ну попиарили и попиарили себя, но...

    Во-первых, покажите рядовых пользователей ("народ"), голосовавших за логотип. Они вообще есть? Или это просто голосование среди своих, таких же специалистов по безопасности? Хотя это так, выкрик в толпу ;-) PR есть PR. Народный автомобиль и народный гараж у нас тоже есть.

    Самое главное, что мне не понравилось в логотипе, так это то, что и те, кто его делал, и те, кто за него голосовал опять подменили понятия. И это не только они. У нас вся отрасль, включая законодателей и регуляторов, давно подменила понятия "защита прав субъектов ПДн" и "защита ПДн". Это ведь совсем не одно и тоже. Поэтому когда на логотипе написано "Соответствует", "ФЗ-152" и "персональные данные защищены", то у меня возникает закономерный вопрос; точнее два. Если соответствует ФЗ-152, то причем тут "ПДн защищены"? Закон защищает права субъектов, а про ПДн у нас говорят подзаконники. Если речь идет о технической защите, то причем тут соответствие ФЗ-152?

    В целом, на мой взгляд, при изначально интересной идее, исходная задача была поставлена неправильно. Например, авторы идеи пишут так: "на Слете системные администраторы, которые, как показала практика, не только серьезные, креативные и хорошо понимающие, зачем и кому нужен закон «О персональных данных» люди, предложили более 20 идей логотипа, который мог бы сигнализировать о том, что компания  соблюдает требования №152-ФЗ и защищает персональные данные своих сотрудников и клиентов". Но я выше написал - закон направлен на защиту прав. Защита самих ПДн - это всего одна статья из 25-ти. Хотя именно она касается сисадминов, на слете которых эта идея якобы появилась.

    ЗЫ. Надеюсь результаты по каждому логотипу будут выложены для обозрения. Да и победителя неплохо бы назвать. А то в моем мозгу, который в последнее время видит везде заговор ;-) зарождаются сомнения в том, кто истинный автор логотипа-победителя, так непохожего на "эскиз, созданный не художником, а простым сотрудником ИТ-подразделения". Хотя мне, в общем-то, все равно ;-)

    Безопасный мобильный офис

    Сегодня проводил на Инфобезе круглый стол по безопасности мобильного офиса. На мой взгляд прошло все замечательно. Была моя вводная презентация. Были выступления со стороны корпоративных пользователей мобильного офиса/удаленного доступа - банка ВТБ 24 (Игорь Писаренко) и Лукойл-Информа (Григорий Бобров). Было выступления журналиста ДИС - Олега Седова, который смотрел на эту проблему с позиции рядового пользователя. И было выступления Дмитрия Евтеева из Positive Technologies, который рассказывал, как ломают решения по удаленному доступу.

    Закончилось все моим рассказом о том, что должна включать в себя стратегия защищенного мобильного офиса, которую я уже приводил в блоге.

    Как Cisco проводит аудит безопасности собственной сети

    Вчера на Инфобезе читал презу о том, как Cisco сама проводит аудит безопасности собственной сети. Выложил презентацию у нас в корпоративном блоге.

    NIST о безопасности WLAN и Bluetooth

    Что-то NIST на этой неделе разродился кучей интересных документов. Позавчера было руководство по анализу рисков с помощью графов атак. Сегодня представляю еще несколько новых документов:
    • проект новой специальной публикации SP 800-153 "Guidelines for Securing Wireless Local Area Networks". Как и всегда вы можете высказать свои замечания (до 28 октября 2011 года), которые могут быть учтены при финализации руководства.
    • проект обновленной редакции специальной публикации SP 800-121 "Guide to Bluetooth Security".Комментарии также принимаются до 28 октября.
    • специальная публикация SP 800-137 "Information Security Continuous Monitoring for Federal Information Systems and Organizations", посвященная непрерывному мониторингу ИБ в контексте процесса обеспечения ИБ на предприятии.
    Было еще несколько новых документов, но они в России малоинтересны в виду неприменимости ;-(

      04.10.2011

      Новые слияния на рынке SIEM

      В среде западных экспертов активно идет дискуссия на тему "SIEM мертв". Но это не мешает продолжаться активному процессу слияний и поглощений на этом рынке. Сегодня сразу два монстра рынка ИБ - IBM и McAfee объявили о приобретении двух игроков рынка SIEM - Q1 Labs и NitroSecurity соответственно.

      Детали первой сделки не разглашаются, но IBM вместе с покупкой Q1 Labs анонсировал и создание нового подразделение по ИБ - Security Systems Division, которое будет включать в себя все продукты (программные и аппаратные) и сервисы по ИБ, включая решения Tivoli, Rational, ISS ит.д. Посмотрим, что выйдет из этой сделки. Пока у IBM ничего путного с приобретениями по ИБ не выходило.Вторая сделка также покрыта завесой тайны в части финансовых условий.

      В целом стоит заметить, что из "независимых" игроков на рынке SIEM осталось не так уж и много игроков - Splunk, netForensics, LogLogic и SenSage. netForensics почти "умер" и их уже серьезно не воспринимают - сдали они свои лидерские позиции. А вот остальные игроки очень интересны (в России почти не представлены, кроме Splunk).

      Безопасность детей в Интернет

      В пятницу я модерировал круглый стол в "Аргументах и фактах", посвященный безопасности детей в Интернет. В целом результат дискуссии была предсказуем, но вот по ходу я узнал достаточно много интересного. Так сложилось, что я всегда сознательно дистанцировался от третьего проявления ИБ - защиты от негативного контента. Но тут тема оказалась не просто важной, но и близкой - все-таки у меня сын уже того возраста, когда он сам начинает лазить в Интернет. Поэтому помимо общестатистической информации, представленной Фондом Развития Интернет, РОЦИТ, Лигой безопасного Интернета и Центром безопасносного Интернета (последние две организации - разные), было дано и немало практически полезной информации.

      Например, знаете ли вы, куда обращаться, если ваши дети столкнулись в Интернет с порно-контентом, киберунижениями или киберприставаниями педофилов? Вот и я не знал, если честно. Теперь знаю:
      • горячая линия Лиги безопасного Интернета - http://ligainternet.ru/hotline (Лига также поддерживает движение кибердружинников недавно раскритикованное Советом Федерации). Правда, Лига борется только с контетными угрозами; киберунижения находятся вне зоны их контроля (хоят допускаю, что они просто перенаправят родителей или детей на правильную ссылку/телефон).
      • горячая линия Центра безопасного Интернета по противоправному контенту и по преступлениям против детей. А вообще сайт Центра - это кладещь информации о том, как себя вести детям в Интернет, какие угрозы бывают, как с ними бороться на уровне психологии, культуры, технологий и т.д.
      • горячая линия по противоправному контенту фонда "Дружественный Рунет".
      • линия помощи Фонда Развития Интернет "Дети онлайн", которая занимается преимущественно вопросами киберунижений, киберприставаний и т.д.
      У большинства из представленных линий поддержки есть и телефоны, в т.ч. и бесплатные федеральные номера.

      Можно заметить, что это все проекты, созданные и поддерживаемые общественными организациями или бизнесом. Государство, к сожалению, не уделяет должного внимания этим вопросам. Правоохранительные органы стараются всеми силами отбрыкаться от такого рода дел (на круглом столе адвокат коллегии "Астахов и партнеры" рассказывала о негативном опыте общения родителей с обновленной полицией), а государство выпускает законы о защите детей, которые в Интернет не работают (ну как можно удаленно проверить возраст ребенка и отличить 11-тилетнего от 13-тилетнего). Представительница Минкомсвязи, выступавшая на круглом столе, заявила, что их Министерство тут не причем и за защиту детей в Интернет у нас больше отвечает Минздравсоцразвития и Минкультуры. Первое - потому что речь идет о вреде для детей, а его могут определить только врачи. Вторые - потому что речь идет об экспертизе порнографии и только чиновники от культуры могут уверенно сказать, что совокупляющаяся пара - это порнография, а не высокое искусство какого-нибудь художника эпохи Возрождения. Меня, честно говоря, удивило полное отсутствие Минобраования (хотя их звали) на данном круглом столе. Хотя кому, как не им, доносить важность этой темы до учителей и воспитателей в садах, школах и ВУЗах. Видимо поэтому на государство уже давно никто не рассчитывает, пытаясь сделать все своими силами.

      Также на круглом столе много говорилось о различных примерах позитивного контента - портале "Смешарики", проекте Российской государственной детской библиотеки, проектах Национального детского фонда, проекте МТС (который, кстати, и был инициатором этого круглого стола) и т.д.

      Что можете сделать лично вы для решения данной проблемы? Как минимум, помнить о ссылках, приведенных выше и научить своих детей основам безопасного пользования Интернет. Неплохо, если вы разместите эти ссылки там, где вы можете это сделать - на сайтах своих школ, институтов и университетов, форумах и блогах. Пусть эта информация будет достоянием гласности, а не пары десятков специалистов и пары сотен кибержружинников.

      03.10.2011

      Анализ рисков по графу атак

      NIST вновь порадовал интересным документом "Security Risk Analysis of Enterprise Networks Using Probabilistic Attack Graphs", посвященном использованию вероятностных графов атак в анализе рисков (я этот метод рассматриваю в курсе по моделированию угроз). Интересно, что этот метод даже автоматизирован в ряде программных продуктов SIEM-класса (в России, правда, неизвестных).

      Круглый стол на Инфобезе

      5-го октября в рамках "Инфобезопасность-Экспо" с 10.30 до 12.00 в 5-м зале 7-го павильона Экспоцентра на Красной Пресне я веду круглый стол, посвященный вопросам защищенного мобильного доступа. В программе были заявлены следующие темы:
      • Что такое мобильный офис? Возможен ли он в России? Что сдерживает его использование – менталитет или вопросы безопасности?
      • О чем должен думать руководитель службы ИБ при внедрении мобильного офиса? 3 ключевых направления управления безопасностью мобильного офиса. Нужна ли   стратегия внедрения защищенного мобильного офиса?
      • Анализ рынка средств защиты мобильного офиса. Анализ решений, представленных на российском рынке. Блиц-опрос: "Готовы ли вы к мобильному офису?"
      Думаю, что примерно этой программы и будем придерживаться. В качестве докладчиков приглашены и подтвердили участие:
      • Юрий Рыжов, начальник отдела ИБ ГУИТ ФТС России
      • Владимир Курбатов, Начальник управления информационной безопасности, ЛУКОЙЛ-ИНФОРМ
      • Игорь Писаренко, заместитель начальника Отдела информационной безопасности Управления обеспечения безопасности Банка ВТБ 24
      • Олег Седов, обозреватель "Директор информационных систем"
      • Дмитрий Евтеев, ведущий эксперт по ИБ отдела консалтинга и аудита Positive Technologies.
      Собственно, 4 первых в списке эксперта поделятся своим опытом применения решений по защищенному мобильному доступу. Дмитрий же расскажет о реальных рисках и уязвимостях такого доступа.

      Приходите все желающие! Место встречи - 5-й зал 7-го павильона "Экспоцентра на Красной Пресне".

      ЗЫ. Днем ранее, на круглом столе Владимира Курбатова "Практика проведения аудитов ИБ на крупных предприятиях" я буду рассказывать о том, как проводится анализ защищенности в компании Cisco.