30.11.2011

Новое постановление по лицензированию деятельности в области шифрования

На сайте Минэкономразвития размещен текст Проекта постановления Правительства Российской Федерации "Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя". Разработчик проекта акта - ФСБ.

Первое, что бросается в глаза - список исключений, на которые не распространяется новое Постановление. Эти изменения касаются и формулировок (которые не всегда стыкуются с аналогичными формулировками в законодательстве о ввозе) и самого списка исключений - появились новые пункты. Достаточна интересно исключение, которое касается шифровальных средств, деятельность с использованием которых, касается только их эксплуатации. Если я правильно понимаю, то этот пункт говорит, что эксплуатация СКЗИ для себя не требует никакой лицензии.

Введено понятие "деятельности", под которое попадает 30 различных  операций - начиная от разработки, производства и модернизации СКЗИ, и заканчивая изготовлением, монтажем, инсталляцией, ремонтом, утилизацией, уничтожением и т.д.Более четко прописаны требования к квалификации специалистов.

На первый взгляд это все изменения, если не считать, что лицензия теперь одна, но при ее получении будут указаны конкретные виды деятельности (из 30-ти).

Роскомнадзор опубликовал план проверок на 2012 год

Роскомнадзор опубликовал проведения плановых проверок юридических лиц (их филиалов, представительств, обособленных подразделений) и индивидуальных предпринимателей Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций на 2012 год. 607 страниц текста. 4500 проверок в области связи, радиочастотного спектра и ПДн. Около 120 банков. Около 150 медицинских учреждений и т.д.

29.11.2011

Награда нашла своего героя?!

Кто подписан на мой Twitter, тот видел, что в четверг утром я написал, что этот блог номинировали на Антипремию Рунета в категории "Безопасный Рулет" (через "л", а не "н"). Тогда я еще написал, что "спасибо, что заметили, но лучше бы и не замечали". Моя позиция была понятна - любая премия с приставкой "анти" сразу напоминает "Серебряную калошу", "Шнобелевскую премию" и кучу других, которые даются за сомнительные достижения в той или иной области. Мне кажется также думали и все, кто услушал название "Антипремия Рунета".

Однако у авторов премии была совершенно иная идея при выборе названия для своей награды. Основная задача Антипремии – обозначить важнейшие события и проекты Рунета, по тем или иным причинам обойденные официальными премиями и конкурсами. Антипремия Рунета – это неофициальный взгляд на русский Иинтернет. Антипремия ни в коем случае не ставит себя в противовес существующим премиям и конкурсам, а наоборот, дополняет их, выявляя важные проекты и ресурсы, к которым по тем или иным причинам не привлекается внимание широкой общественности.

И вот в четверг я узнал, что мой блог номинирован на эту Антипремию в номинации "Безопасный Рулет". В отличие от других номинаций, Премия за заслуги в области интернет-безопасности. Из 10-ти номинаций, 3 даются за сомнительные достижения, 5 - за положительные и 2 (среди них и "Рулет") - как за положительные, так и за сомнительные достижения. Именно этим и объяснялось мое недоумение - как я мог попасть в список номинантом, да еще и за сомнительные достижения?.. Если честно, то я до сих пор не понимаю, кто и зачем меня номинировал. Организаторы на этот вопрос не ответили, сказав только, что в случае с моим блогом премия носит позитивный характер и дана она за "повышение уровня безопасности Рунета".

Не знаю, как оценивать это событие. До сих пор не могу привыкнуть, что блог, которому недавно стукнуло 4 года, что-то заслужил. Все-таки не ради этого он создавался. Но все равно приятна такая оценка (если действительно речь идет об оценке со знаком "плюс"). В общем,награда получена - на месте стоять не будем - пойдем дальше.

28.11.2011

Бизнес-модель киберпреступности

В пятницу выступал на ZeroNights с презентацией "Бизнес-модель современной киберпреступности". Один из немногих примеров, когда на подготовку презентации ушло около суток  - обычно времени уходит меньше. В данном случае пришлось поизучать тему более детально. Картина складывается нерадостная ;-( Особенно на фоне полной неспособности властей даже подступиться к этой теме. Поимок преступников нет. Наказания если и есть, то условные. Деньги выводятся, а у банков нет полномочий блокировать мошеннический вывод денег мулами. Сотрудники УВД всеми силами отталкивают такие дела или отправляют по подследственности, обрекая их на "глухаря". А БСТМ борется с контрафактом и детской порнографией.

25.11.2011

ZeroNights vs PHD

Покинул ZeroNights. По дороге в аэропорт оцениваю конференцию и поневоле сравниваю ее с PHD. Но неблагодарное это занятие. Одна конфа в Москве, другая в Питере; одна весной, другая осенью. Аудитории тоже не пересекаются. Одна бесплатная, другая за деньги. На по приглашению только, на другую открытая регистрация. Стоит ли сравнивать?

ZeroNights показалась мне более сфокусированной на технике. Я себя там даже лишним почувствовал ;-) Напоминает американские Defcon или Blackhat по контенту. Обфускации, реверс-инжиниринг, эксплоиты, APT и т.д. На PHD баланс тем технической и обзорно-концептуальной направленности.

У PHD была лучшая организация. И в части питания и в части культурной программы. Место у PHD тоже было лучше выбрано. Зато на ZeroNights было больше молодежи, которая придет на смену (безопасникам или хакерам ;-)

Резюмируя: конфы разные и между собой никак не конкурируют. Так что посещать надо обе ;-)

- Posted using my iPhone

24.11.2011

Облака и российское законодательство

Хотел я сегодня написать update по нашему письму Президенту в части изменения ФЗ-152, но что-то на CiscoExpo вымотался, да еще и к ZeroNights надо новую презу сваять. Поэтому ограничусь выкладыванием своей обзорной презентации по регулированию облачных вычислений в России, которую я вчера прочитал на CiscoExpo. Не могу сказать, что она ответит на все вопросы, но по крайней мере, она даст направление для размышлений в части составления правильного договора между клиентов и провайдером облачных услуг.

23.11.2011

Особенности национальной стандартизации

Интересная судьба ждет ГОСТ Р "Система обеспечения информационной безопасности сети
связи общего пользования. Модель угроз и нарушителя информационной безопасности сетей и систем связи" и планируемый ГОСТ Р "Система обеспечения информационной безопасности сети связи общего пользования. Методика оценки вероятности риска
причинения ущерба сетям и системам связи"

Первый стандарт разрабатывается уже давно - чуть ли не семь лет. Его инициаторами стали Транстелеком и ЦНИИС, а потом к ним присоединился и МТС. Стандарт достаточно интересен, т.к. впервые подводит некоторую базу под создание модели угроз, от которой затем будут "танцевать" требования по защите. На заседании ТК362, которое прошло в пятницу в Воронеже, стандарт представлял один из его разработчиков - Дмитрий Соболев. Он вышел с инициативой о переносе даты окончания разработки с 2011-го на 2012-й год и все бы ничего, если бы с комментариями не вышел представитель 8-го управления ФСБ.

Представитель ФСБ резко раскритиковал стандарт. Среди замечаний я отметил бы несколько. Во-первых, по мнению ФСБ в стандарте не учтены многие объекты/субъекты - облака, террористы, хулиганы и т.д. Во-вторых, модель воздействия, являющаяся частью модели угроз, по мнению ФСБ, позволяет сделать потенциальному нарушителю далеко идущие выводы, а следовательно она должна быть грифованной. В выступлении Мурашова Н.Н. из ФСБ вообще прозвучала идея, что эта информация относится к гостайне. Затем была высказана идея, что операторы связи у нас обрабатывают данные спецпотребителей, а следовательно предлагаемый ГОСТ вообще не должен быть публичным ГОСТом. А также что его надо сделать межведомственным документом и согласовать между ФСБ, Минкомсвязи, ФСО, Минобороны и рядом других ведомств. На веское замечание из зала и от авторов, что стандарт рассчитан не на спецпотребителей, а на операторов связи, работающих с обычными гражданами, Мурашов заявил, что среди основных задач ФСБ числится защита граждан от различных угроз и поэтому наших соотечественников надо защитить от тлетворного влияния Запада, которое проявляется в том, что 98% всего Интернет-трафика проходит через несколько ключевых серверов в Рунете, производителями которых являются иностранные компании (знакомо, не так ли). А раз так, то надо обязать операторов связи жить по такой модели угроз, чтобы иностранным спецслужбам и террористам было неповадно изучать сколько времени сидит в "ВКонтакте" школьница Маша, и на каких игровых сайтах просиживает студент Илья. Вообще, мне операторов связи жаль. Невесло им становится жить в последнее время.

ЗЫ. Вообще ФСБ явно перегибает палку со своим подходом к модели нарушителя/угроз. Недавно узнал от коллеги из госоргана, что на их публичный сайт ФСБ пытается натянуть модель нарушителя Н5. На публичный сайт!!! Для тех, кто не в теме, Н5 - это когда в качестве нарушителя рассматривается лицо, которое имеет возможность привлекать различные научно-исследовательские институты для изучения возможности проведения атак (чуть больше про модели нарушителя ФСБ тут). Т.е. это уровень государства или очень крупного монополиста в какой-либо области (уровня Газпрома). Зачем такая модель нарушителя для публичного сайта, не понимаю.

ЗЗЫ. Кто внимательно читал мой вчерашний пост, тот обратил внимание на то, что на 2012 год у Росстандарта запланирована гармонизация ГОСТ Р ИСО/МЭК 15408-1 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий» Часть. 1. Введение и общая модель". Однако напомню, что СоДИТ в прошлом году уже сделал перевод этого стандарта на русский язык. Нестыковка какая-то...

22.11.2011

Лицензия ФСБ больше не будет препятствием для иностранных инвестиций - 2

В июне я уже писал, что в Госдуму был внесен законопроект, который выводит банки из под действия ФЗ "О порядке осуществления иностранных инвестиций в хозяйственные общества, имеющие стратегическое значение для обеспечения обороны страны и безопасности государства". Ключевое изменение - деятельность банков в области криптографии исключается из видов деятельности, имеющих стратегическое значение и установленных статьей 6 закона 57-ФЗ. И вот? 17 ноября  Президент подписал этот законопроект. Но с оговорками...

Из под действия закона выведены только банки, в уставном капитале которых отсутствует доля (вклад) Российской Федерации. Т.е. на российские банки поправки в закон не распространяются. Но... и тут есть нюанс. Статья 2 пополнилась частью 9: "Настоящий Федеральный закон не распространяется на отношения, связанные с совершением сделок в отношении хозяйственных обществ, имеющих стратегическое значение для обеспечения обороны страны и безопасности государства, между организациями, находящимися под контролем Российской Федерации или под контролем граждан Российской Федерации, являющихся в соответствии с законодательством Российской Федерации о налогах и сборах налоговыми резидентами Российской Федерации (за исключением граждан Российской Федерации, имеющих двойное гражданство). Для определения факта наличия контроля Российской Федерации или контроля граждан Российской Федерации, являющихся в соответствии с законодательством Российской Федерации о налогах и сборах налоговыми резидентами Российской Федерации, над указанными организациями применяются по аналогии положения частей 1 и 2 статьи 5 настоящего Федерального закона".

Т.е., как это вижу я, на сделки между любыми российскими компаниями с лицензиями ФСБ закон не распространяется. На сделки между head office и дочками иностранных банков этот закон не распространяется. А вот на сделки других иностранных компаний этот закон распространяется. Кажется так...

Планы ТК362 на следующий год

В рамках программы национальной стандартизации на 2012 год ТК362 планирует разработку окончательных редакций проектов:
  • ГОСТ Р ИСО/МЭК 15408-1 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий» Часть. 1. Введение и общая модель"
  • ГОСТ Р ИСО/МЭК 27000 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология"
  • ГОСТ Р ИСО/МЭК 27003 "Информационная технология. Методы и средства обеспечения безопасности. Руководство по реализации системы менеджмента информационной безопасности"

Планируется разработка:
  • ГОСТ Р ИСО/МЭК 15408- 2, 3 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий"
    • Часть. 2. Функциональные компоненты безопасности"
    • Часть. 3. Компоненты доверия к безопасности"
  • ГОСТ Р ИСО/МЭК 18045-20ХХ "Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий"

Планируется представление в Росстандарт ГОСТ Р 52633.6 "Защита информации. Техника защиты информации. Требования к индикации близости предъявленной биометрии к
образу "Свой". Планируется завершение разработки ГОСТ Р 52633.7 "Защита информации. Техника Защиты информации. Высоконадежная мультибиометрическая аутентификация" и ГОСТ Р 52069.0-ХХХХ "Защита информации. Система стандартов. Основные положения".

21.11.2011

Итоги работы ТК362 за 2011 год

В 2011-м году в рамках Технического комитета 362 "Защита информации" проведено издательское редактирование и подготовлены проекты приказов о принятии следующих ГОСТов:
  • ГОСТ Р ИСО/МЭК 27004 "Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения"
  • ГОСТ Р ИСО/МЭК 27033-1 "Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность. Часть 1. Обзор и концепции"
  • ГОСТ Р ИСО/МЭК ТО 15443-1 "Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 1. Обзор и основы"
  • ГОСТ Р ИСО/МЭК ТО 15443-2 "Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 2. Методы доверия"
  • ГОСТ Р ИСО/МЭК ТО 15443-3 "Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 3. Анализ методов доверия"
  • ГОСТ Р 52633.3 "Защита информация. Техника защита информации. Тестирование стойкости средств высоконадежной биометрической защиты к атакам подбора"
  • ГОСТ Р 52633.4 "Защита информации. Техника защиты информации. Интерфейсы взаимодействия с нейросетевыми преобразователями биометрия-код доступа"
  • ГОСТ Р 52633.5 "Защита информации. Техника защиты информации. Автоматическое обучение нейросетевых преобразователей биометрия-код доступа".

Также проводилась доработка следующих ГОСТов:
  • ГОСТ Р "Защита информации. Автоматизированные системы в защищенном исполнении. Организация и содержание работ по защите от преднамеренных силовых электромагнитных воздействий. Общие положения"
  • ГОСТ Р "Защита информации. Автоматизированные системы в защищенном исполнении. Средства защиты от преднамеренных силовых электромагнитных воздействий. Общие требования"
  • ГОСТ Р "Защита информации. Автоматизированные системы в защищенном исполнении. Средства обнаружения преднамеренных силовых электромагнитных воздействий. Общие требования".
В рамках программы национальной стандартизации на 2011 год были начаты работы по разработке следующих стандартов:
  • ГОСТ Р 52633.6 "Защита информации. Техника защиты информации. Требования к индикации близости предъявленной биометрии образу "Свой"
  • ГОСТ Р "Система обеспечения информационной безопасности сети связи общего пользования. Модель угроз и нарушителя информационной безопасности сетей и систем связи"
  • ГОСТ Р 52069.0-ХХХХ "Защита информации. Система стандартов. Основные положения" (декабрь 2011 года).
Также были разработаны первые редакции гармонизированных национальных стандартов:
  • ГОСТ Р ИСО/МЭК 15408-1 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий». Часть. 1. Введение и общая модель"
  • ГОСТ Р ИСО/МЭК 27000 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология"
  • ГОСТ Р ИСО/МЭК 27003 "Информационная технология. Методы и средства обеспечения безопасности. Руководство по реализации системы менеджмента информационной безопасности".
О планах на 2012-й год завтра...

17.11.2011

Типы "принимателей" решений

Продолжая тему принятия решений по тому или иному проекту ИБ необходимо обязательно сказать, что принятие решения находится не всегда в руках одного человека. Хотя надо признать, что это один из самых распространенных вариантов, а точнее множеств вариантов:
  • Бизнес-монархия. Право принятия решения лежит только на топ- или senior-менеджере.
  • ИТ-монархия. Право принятия решения лежит на CIO или ИТ-директоре, которому подчиняется служба ИБ.
  • СБ-монархия. Право принятия решения лежит на CSO. Я на заре своей карьеры работал именно в такой компании. Будучи сотрудником отдела АСУ отвечавшем за информационную безопасность, я бешал к руководителю СБ за деньгами на те или иные задачи. А все потому, что у него был вес в компании (по сути он был чуть ли не вторым человеком).
  • Феодализм. Право принятия решения лежит на руководителе бизнес-подразделения, в интересах которого осуществляется проект по ИБ. Достаточно редкая ситуация в российских компаниях, в которых бюджеты на уровень подразделение может и спускаются, но свободы в расходовании денег у руководителей среднего звена нет.
  • Анархия. Право принятия решения имеет инициатор проекта по ИБ. Еще более редкая ситуация, чем предыдущая.

Преимущество "монархического" подходо в том, что груз ответственность за слова "да" или "нет" лежат на одном человеке, а значит понять его интересы и потребности, составить карту эмпатии гораздо проще, чем для группового принятия решений.

С точки зрения группового принятия решения, то их можно выделить два:
  • Дуополия. Право принятия решения делится между двумя группами; одной из них обычно является ИТ или ИБ.
  • Федерация. Право принятия решения разделяется между топ- или senior-менеджментом и руководителями бизнес-подразделений, к числу которых могут быть отнесены и ИБшники/ИТшники.

Последний вариант, пожалуй, самый правильный, но и достаточно редкий. Он требует от безопасности умения донести до бизнеса суть выносимых на обсуждение проектов по безопасности. Причем на языке бизнеса, а не безопасности. От бизнеса же требуется желание вникать в вопросы ИБ и оценивать предлагаемые проекты не с точки зрения "лишь бы поскорей закончилось", а с точки зрения рисков и перспектив для оценщика.

15.11.2011

FAQ по импорту шифровальных средств в Россию

25 октября я писал про проводимый Cisco онлайн-семинар по импорту шифровальных средств на территорию России. Семинар "посетило" свыше 400 человек, что показывает большой интерес к данному вопросу. По итогам семинара мы рады поделиться:
  • ответами на часто задаваемые вопросы.

О киберпреступности доступно... для судей и следователей

Проблема подготовки и повышения квалификации в области ИТ и ИБ отечественных судей и следователей стоит достаточно остро. В условиях растущей угрозы киберпреступности эта задача должна быть одной из первоочередных для ВУЗов, готовящих будущих сотрудников правоохранительных и судебных органов. Без этого мы так и будем сталкиваться с их нежеланием эффективно бороться с киберпреступниками.

Вот сталкивается к примеру банк с атакой на ДБО. Клиент страдает, деньги уводят. Приходите вы в местное управление внутренних дел, а вас там всеми силами мурыжат и не желают принимать заявление и открывать дело. Но вы все-таки настаиваете на своем и заявление регистрируют. Можно ли плясать джигу? Нет. Дело направляют по подследственности, т.е. в место завершения преступления. Допустим деньги увели в отделении банка в Махачкале, а обналичили в Твери. Или вас изначально отправляют в Тверь, т.к. по УПК считается, что именно там совершено преступление. И вы едете, и вас опять пинают из отдела в отдел, из управления в управление. А время уходит. Среднее время на снятие денег со счета и их обналичивание составляет 3-4 часа. Ни заблокировать счет, ни отследить преступника...

А все почему? Судьи и следователи не знакомы со спецификой компьютерной преступности в массе своей. В ВУЗе их этому не учили. Учебников адекватных нет. Программ повышения квалификации тоже нет. Будапештскую конвенцию по киберпреступности мы не ратифицировали... Только высокопоставленные сотрудники МВД ездят обмениваться опытом, да министр рапортует об успехах.

А ведь надо не так уж и много. Воспользоваться УЖЕ имеющимся международным опытом и международными же документами. Вот, например, концепция подготовки судей и прокуроров по вопросам киберпреступности Евросоюза (на русском языке).

Программа подготовки судей и прокуроров по вопросам киберпреступности

Все четко и понятно. Описаны программы базового и расширенного модуля обучения. Бери да применяй. А где брать контент для каждого модуля? Европейский? Американский? А переводить кто будет? Денег не выделяют. И на это тоже есть ответ. Двухсотстраничный документ ITU "Понимание киберпреступности. Руководство для развивающихся стран". Все четко и понятно, все систематизировано:
  • Преступления против КДЦ
  • Преступления, связанные с контентом
  • Преступления, связанные с правами собственности и товарными знаками
  • Преступления, связанные с компьютерами
  • Комбинированные преступления

Понимание киберпреступности: руководство для развивающихся стран

Описаны проблемы, включая международное взаимодействие и скорость обмена информацией. Приведены стратегии борьбы с киберпреступниками. Проанализировано международное законодательство, вопросы процессуального характера и т.д. И все это на русском языке и все разжевано для неспециалистов.

PS. Если убрать очередную порцию критику, то хочу просто посоветовать использовать эти материалы ;-)

14.11.2011

Кто может сказать "Да" проекту по ИБ?

Что такое хорошее решение в области ИБ? Это значит сделать организацию обеспечения ИБ в компании эффективной и продуктивной не только в краткосрочной (перед проверкой или аттестацией), но и в долгосрочной перспективных. Хорошо подготовленный проект по ИБ, реализующий решение отдельных задач по ИБ, отвечает на 5 обязательных вопросов: ПОЧЕМУ, ЧТО, КАК, КОГДА, КТО! Не ответит на каждый из них, мы отдаем инициативу тем, кто будет принимать решение. А они могут принять решение и не в вашу пользу, опираясь на свое понимание ответов на оставшийся неотвеченным вопрос.

Но допустим, даже ответив на эти вопросы, нашему проекту по ИБ сказали "нет".С чем это может быть связано? С тем, что у человека, которому мы принесли наш проект, просто нет полномочий. Полномочия - это право говорить "да" и "нет". Не "или", а именно "и". Одного "нет" недостаточно. Это не полномочия, это бюрократия.

При этом надо учитывать, что одних полномочий недостаточно. Представьте, что согласно новой редакции ФЗ-152 вы назначили нового ответственного за обработку ПДн и дали ему необходимые полномочия. Но его все игнорируют и он не может принять никаких решений. Для принятия решения нужны не только полномочия, еще нужна власть. Но и ее еще недостаточно, чтобы решение было эффективным. Ведь его надо не только принять, но и воплотить в жизнь. А для этого нужны "помощники" - те же пользователи, которые должны будут выполнять те или иные требования по ИБ. Они могут не иметь власти, они могут не иметь полномочий. Но они могут сказать "нет" и без их согласия проект обречен на неудачу; даже при поддержку руковоства. Что толку от власти и полномочий, если сотрудники его саботируют или игнорируют. Можно пытаться заставить пользователей не совать флешки в ПК. Можно пытаться заставить пользователей не отсылать конфиденциальные документы коллегам за пределы компании. Но издержки на данное "заставлять" скорее всего превысит результаты усилий. Проще мотивировать пользователей к защищенной работе. Для этого нужно влияние!


Идеальная ситуация, это когда окружности совпадают. Как минимум, нужно стремиться попасть в центр этой диаграммы Венна. Полномочия без власти и влияния бесполезны. Собственно как и по отдельности эти окружности тоже ничего не решают. У вас есть влияние, но нет полномочий и власти. Вы можете просто послать всех к черту, сказав "а зачем мне все это?" В итоге ни о какой эффективной ИБ и речи не идет. В этом случае надо уметь говорить с людьми на том языке, который им понятен. Иными словами, вы должны стать психологом. А если у вас есть только полномочия, то вы должны быть политиком, который создает взаимовыгодные для всех условий, в которых каждый чувствует свой вклад в общее дело.

Но тут надо вспомнить предыдущие посты. Полномочия обычо отражают интересы менеджмента. Власть отражает интересы работников. Они могут и, как правило, не пересекаются между собой. Поэтому важно понимать, что интересует руководство, а что сотрудников? И каковы их потребности?  Все это надо учитывать. К сожалению, очень часто безопасники не любят все эту "тягомотину" и "теорию". Они не любят политику, они не любят людей, они любят говорить с ними. Но они хотят делать все правильно. Они хотят быть "техническими" руководителями, а не "продавцами" своих проектов/решений (я сам такой ;-). Они не хотят учитывать интересы других людей и используемый ими язык. Но безопасников, которые бы обладали одновременно властью, полномочиями и влиянием очень и очень мало, если они вообще есть. А это значит, что надо менять стиль своей работы, чтобы достичь лучшего результата. Если, конечно, мы стремимся к этому результату.

12.11.2011

Съмки на СТС

Снимался в передаче "Инфомания" на СТС (с 16:40 мин)

11.11.2011

Правильная безопасность

Чтобы правильно заниматься безопасностью нужно совсем немного. Правильные действия должны выполняться в правильное время в правильном порядке с правильной интенсивностью в правильной последовательности и правильными людьми!

ИБ как раковая опухоль

Продолжим про ИБ и бизнес ;-) Буду возвращаться к своему курсу "Как связать безопасность и бизнес", который я читал еще 4 года назад. Начну с короткой притчи. Прохожий подходит к трем каменщикам и спрашивает их, что они делают. "Я кладу кирпичи", - ответил первый. "Я возвожу стену", - ответил второй. "Мы возмодим храм, где мы вместе будем молиться Богу!" - ответил третий. ИБ сегодня похожа на первого и, в лучшем случае, второго каменщика, которые не понимают ни потребностей заказчика строительства, ни своего вклада в общее дело. Эту притчу я прочитал в книжке "Управляя изменениями" Ицхака Адизеса, гуру бизнес-управления. Вообще в этой книге много говорится о бизнесе, потребностях и т.п. Рекомендую... Очень интересно и полезно; особенно если читать и преломлять ее на тему ИБ.




Но вернемся к ИБ и вопросам, на которые вы должны ответить:
  1. Вы определили, для кого существует ваш бизнес, госорган, некоммерческая организация? Кто ваши клиенты? Каковы их потребности?
  2. Вы определили, с кем надо сотрудничать для удовлетворения клиентов? (Про серых кардиналов и центры Силы мы еще поговорим)
  3. Что надо сделать для удовлетворения и как?
  4. Как должен это сделать?
  5. Чего хотят те, кто должен это сделать? Вот на этом этапе нам может помочь карта эмпатии.

Собственно этот пункт не менее важен, чем все остальные. Можно узнать, что нужно клиентам (в т.ч. и внутренним). Можно определить способы удовлетворения этих потребностей. Можно даже найти тех, кто может удовлетворить эти потребности. Но... если у них нет мотивации (а точнее, вы ее не определили), то все попытки добиться хоть чего-то полезного будут обречены на неудачу.

И вот тогда ИБ превратится в раковую опухоль, составляющую которую клетки обслуживают только себя. Компания существует для удовлетворения потребностей... клиентов/граждан/общества. И ИБ должна тоже. Правда, тут надо учитывать, что удовлетворять потребности можно не только внешние, но и внутренние. Например, банк создается для легализации денег, полученных преступных путем. Руководство такого банка мало интересуют потребности клиентов. Точнее интересуют. Но потребности специфические и достаточно узкой прослойки клиентов; на остальных наплевать. Готовы ли вы заниматься безопасностью в такой компании и для удовлетворения ТАКИХ потребностей?

В одном госоргане сталкивался с тем, что была закуплена DLP-система, которую внедрили и настроили... А потом отключили. А все потому, что она стала отслеживать увод денег, кражи товаров и другие подобные вещи, которым занималось руководство госоргана. В другом госоргане DLP-система работает, только "некоторые" информационные потоки идут в обход DLP, которая ловит только дураков из низшего звена. А все потому, что потребности руководства и госоргана не совпадают и безопасники не учли того, о чем я пишу последние три дня.

10.11.2011

Карта эмпатии на благо безопасника

Ну продолжим тогда тему ;-)  Итак все сходятся во мнении, что красиво выйти на уровень топ-менеджеров и "продать" им идею ИБ, как бизнес-процесса, не получится. Иными словами, как говорят специалисты по развитию бизнеса, бизнес-модель с ориентацией на организацию дала сбой. То ли бизнес не дорос, то ли CISO. Допустим первое (хотя я бы предположил второе). Какие у нас еще есть варианты, коль скоро мы получили доступ к телу босса? Ориентироваться на потребителя, в качестве которого выступает начальник. Ведь он обычный человек, у которого есть "болевые" точки, на которые можно (а иногда и нужно) нажать, чтобы достичь поставленных целей.


В бизнес-моделировании есть такая штука под названием карта эмпатии. Ее разработали в XPLANE. С помощью этого инструмента можно понять вашего визави. В обычном бизнесе карту эмпатии используют для составления портрета потребителя, а в области ИБ ее можно применить для того, чтобы понять, как достучаться на топ-менеджера.

Итак, карта эмпатии включает 6 вопросов, на которые надо ответить:
  • Что он (она) видит?
    • На что похоже его (ее) среда?
    • Кто его (ее) окружает?
    • С кем он (она) дружит?
    • С чем сталкивается в повседневной жизни?
    • С какими проблемами встречается?
  • Что он (она) слышит?
    • Что говорят его (ее) друзья/подруги?
    • Кто и как реально воздействует на него (нее)?
    • Какие медиаканалы имеют на него (нее) влияние?
  • Что он (она) на самом деле думает и чувствует?
    • Что для него (нее) действительно важно?
    • Что его (ее) трогает? 
    • Его (ее) мечты и стремления?
  • Что он (она) говорит и делает?
    • Как он (она) себя держит?
    • О чем он (она) может рассказать окружающим?
  • Что его (ее) тревожит?
    • Каковы его (ее) самые большие разочарования?
    • Какие препятствия стоят между ним (ею) и его (ее) желаниями и стремлениями?
    • Что его (она) может бояться в жизни?
  • К чему он (она) стремится?
    • Чего он (она) действительно хочет достичь?
    • Что является для него (нее) мерилом успеха?
    • Какие стратегии он (она) мог бы использовать для достижения своих целей?

Вопросы на эти ответы позволяют понять тот язык, на котором говорить с начальством. И давить уже можно будет не на потребности организации, а на потребности конкретного человека, который может захотеть засветиться перед начальством, получить бонус, показать свою крутость, прослыть инноватором и т.д.

ЗЫ. Правда, это тоже непросто. Это уже вопросы психологии и социологии, которым, во-первых, безопасников нигде не учат. А во-вторых, на это нужно время, которым обычно безопасники не обладают, латая дыры в системе ИБ.

09.11.2011

Как донести до руководства важность ИБ?

Вопрос, вынесенный в заглавие поста, возникает на протяжении многих лет. В последнее время его пытаются освещать на различных мероприятиях по ИБ. В частности на DLP Conference эту тему поднимал я, а неделей позже на DLP Russia - Евгений Климов. Все сходятся на том, что нет общего языка между безопасниками и бизнесом (я про это еще несколько лет назад писал; и тут). И вот решил вновь вернуться к этой теме.

Просматривая на днях центр знаний сайта ISACA, наткнулся в очередной раз на документы из серии Val IT. Эта концепция направлена на то, чтобы показать значение/ценность ИТ для бизнеса. Ее можно применить и к ИБ. И вот в документе "Unlocking Value. An Executive Primer on the Critical Role of IT Governance" нашел 4 вопроса, которые по мнению авторов, интересуют топ-менеджеров и членов совета директоров:
  • Мы делаем правильные вещи?
  • Эти вещи мы делаем правильно?
  • Мы преуспели в достижении этих вещей?
  • Мы получили преимущества от того, что сделали эти правильные вещи?


В принципе, я эти вопросы уже описывал в своих презентациях по GRC несколько лет назад. Но хотелось бы вновь вернуться к этим вопросам и рассмотреть, что конкретно имеют ввиду топ-менеджеры задавая эти вопросы по тем или иным проектам, задачам, инициативам? Поняв это, мы сможем для себя определить, готовы ли мы выносить тему ИБ на уровень бизнеса. А если нет, то что нам нужно сделать, чтобы закрыть непростые вопросы.

Итак, первый, стратегический вопрос касается преимущественно инвестиций и разбивается на несколько более детальных:
  • Мы инвестируем в соответствие с нашим видением?
  • Наши инвестиции соответствуют нашим бизнес-принципам?
  • Наши инвестиции содействуюи нашим стратегическим целям?
  • Наши инвестиции оптимальны? Они находят баланс между размером инвестиций и уровнем принимаемых рисков?
  • Наши информационные активы, сервисы и другие ресурсы ИТ/ИБ фокусируются на реальных потребностях бизнеса и учитывают его приоритеты?
  • Мы знаем/понимаем, сколько мы всего тратим на ИБ?

Второй вопрос касается архитектуры и также может быть детализирован:
  • Мы инвестируем в соответствие с архитектурой предприятия?
  • Наши инвестиции соответствуют нашим архитектурным принципам и стандартам?
  • Мы достигаем синергии между нашими инвестициаями в различные инициативы и программы?
  • Наши сервисы ИБ/ИЬ бизируются на оптимальной инфраструктуре и ресурсах?

Третий вопрос касается реализации:
  • У нас эффективные процессы управления, доставки сервисов и контроля изменений?
  • У нас достаточно технических и бизнес ресурсов для реализации требуемых возможностей? Какие организационные изменения необходимо произвести для эффективного достижения поставленных целей?
  • Предлагаемые сервисы доступны в любое время и из любого места? Они надежны и защищены?

И, наконец, декомпозиция последнего вопроса о ценности приводит нас к следующему:
  • Мы понимаем ценность для нашего предприятия?
  • Мы понимаем реальные преимущества для нашего предприятия от сделанных инвестиций в сервисы, активы и другие ресурсы ИБ?
  • Мы понимаем, какими методами мы можем измерить достижение данных преимуществ?
  • У нас выстроен эффективный процесс реализации преимуществ на всем этапе экономического цикла наших инвестиций с целью получения оптимальных бизнес-результатов?

Разумеется, каждый из этих вопросов может быть детализирован и в итоге мы получаем список вопросов/задач, не такой "абстрактный" и вполне решаемый на практике. Но, разумеется, не так просто и не так быстро реализуемый, как это выглядит после прочтения данной заметки.

    08.11.2011

    Руководство ISACA по облакам

    ISACA разродилась книжкой по облакам "IT Control Objectives for Cloud Computing: Controls and Assurance in the Cloud". Достойный труд на 193 страницы, описывающий смысл облачных вычислений с точки зрения бизнеса, а также идентифицирующий риски и меры по управлению ими, которые позволяют минимизировать угрозы и максимизировать ценность от облаков. Собственно, документ очень похож на другие, уже упоминаемые мной документы по облакам (NIST, ENISA, BSI, CSA и т.д.), но... базируется труд ISACA на многим знакомым концепциях - COBIT, Risk IT, Val IT и BMIS, развивая и перенося их в область облаков.




    К данной книге ISACA прикладывает "Cloud Computing Management Audit/Assurance Program", которая позволяет каждому оценить собственный уровень соответствия управления облаками требованиям COBIT.


    ЗЫ. Книга бесплатная для членов ISACA.

    07.11.2011

    Холодная война возвращается

    На прошлой неделе в прессе активно обсуждалась новость, в которой США обвиняют Россию и Китай в участившихся кибератаках и кибершпионаже против США. Источником этой новости послужил отчет Совета руководителей разведорганов США (Office of the National Counterintelligence Executive, ONCIX) под названием "Foreign Spies Stealing US Economic Secrets in Cyberspace". В этом отчете по заданию Конгресса США анализируется ситуация с экономическим и индустриальным шпионажем за 2009-2011 годы.

    Кибершпионаж впервые попал в фокус авторов данного отчета, что говорит о росте влияния информационных технологий в области разведки, шпионажа, сбора экономических показателей и секретов. В качестве основных источников угроз США называют Китай и Россию. Правда, если в отношении Китая в отчете приводятся некоторые факты, то по отношению к нам американцы отделываются общими фразами и глубокомысленно анализируют публичные высказывания Путина и Фрадкова (директор СВР) о том, что роль разведки меняется и что Россию будет предпринимать усилия, чтобы соответствовать новых вызовам. Но в целом авторы отчета называют Россию и Китай основным конкурентами США в желании занять место мирового лидера в экономике (а в России-то и не знают) и других областях.

    Раздел о России начинается с того, что наша страна очень зависима от природных ресурсов и чтобы эту зависимость снять и диверсифицировать экономику нам нужна современная экономическая и технологическая информация, которую как раз наши разведку и собирают. "Дело Анны Чапмен" как раз и иллюстрирует это. Затем приводятся всякие высказывания Путина и Фрадкова. При этом авторы прогнозируют рост числа попыток кибершпионажа со стороны России. А в качестве основных трендов отмечается два:
    • российские иммигранты, обладающие высокими техническими навыками и работающие в высокотехнологичных компаниях США, станут основной мишенью для вербовщиков российских спецслужб
    • рост интеграции российской экономики с Западом приведет к росту числа компаний, аффилированных со спецслужбами.
    Вообще попадание России в данный отчет вызывает много вопросов. Толи авторы знают многое, но говорить не хотят. Толи они включили Россию до кучи; чтобы все опасались иметь дело с нами. Кроме Анны Чапмен, подкупа руководства южнокорейской GM-Daewoo со стороны отечественной автомобильной компании с целью получения доступа к сведения о двигателях и дизайне, передачи СВР за 10000 долларов вертолетных секретов из Германии, в отчете больше никаких фактов. В отличие от Китая, про который приводится несколько десятков разных фактов.

    А еще в отчете приведены советы по тому, как защитить данные своей компанию от иностранных разведок. СТР отдыхают со своей глубокой технической детализацией. В отчете все гораздо понятнее и шире - начиная от проверки персонала при приеме на работу и установлении процедур увольнения и заканчивая рекомендацией применения DLP, средств сбора цифровых доказательств и разработки стратегии работы с социальными сетями.

    06.11.2011

    Check Point покупает Dynasec

    31 октября Check Point объявила о покупке израильской Dynasec, одного из игроков рынка GRC (Governance, Risk and Compliance). Детали сделки не разглашаются.

    03.11.2011

    Безопасность Web-приложений по версии ISACA

    ISACA выпустила новый документ по безопасности Web-приложений "Web Application Security: Business and Risk Considerations". Как и многие другие документы ISACA этот на достаточно высоком уровне описывает риски и уязвимости Web-приложений, а также включает рекомендации по выстраиванию процесса защиты (включая этап создания кода) Web-приложений:
    • поддержка руководства
    • тренинги
    • политики и стандарты
    • технические меры
    • непрерывная программа сканирования кода
    • особенности работы с унаследованным кодом
    • управление проектом
    • управление инцидентами.
    В целом документ достоен изучения; особенно тем, кто занимается разработкой собственных или заказных Web-приложений.

    ЗЫ. К слову сказать, многие из этих рекомендаций (может быть не так систематизированных и привязанных к COBIT) я встречал у нас в Cisco, в политике разработки Web-приложений.

    Что требуют спецслужбы от Google?

    Россия (преимущественно наши чиновники и силовики) очень много говорит о том, что надо контролировать Интернет и не давать пользователям быть анонимными в сети. Однако слова - это одно, а дело - другое. Очень интересный сервис есть у Google - Transparency Report, который содержит сведения о количестве обращений государственных органов разных стран в компанию Google с требованием предоставить информацию об отдельных пользователях или удалить определенные материалы.

    В этом году Россия первый раз в истории Google превысила пороговое значение, необходимое для включение в отчет, но все равно число запросов не очень велико (но оно будет расти). Основной причиной запросов является раскрытие данных о пользователях сервисов Google.

    02.11.2011

    Аттестация облачных провайдеров

    В пятницу я прошелся по перспективам облаков в России и о том, что готовится у нас (базируясь на подходах ФСТЭК и ФСБ) нормативная база по требованиям к облачным провайдерам. В целом, идея выработки требований к облачным провайдерам достаточно здравая и у наших предприятий (особенно из госсектора) должны быть четкие критерии выбора свои облачных партнеров. Вопрос только в реализации...

    К счастью, уже опубликовано немало рекомендаций о том, какие требования предъявляются к облачным провайдерам. Например, опросник ENISA Cloud Computing Information Assurance Framework или Security Recommendations for Cloud Computing Providers от BSI или конечно же The Cloud Security Alliance Consensus Assessments Initiative. Кстати, Cisco один из разработчиков документа CSA и наш вклад базируется на собственном опыте работе с облаками, который в свое время был сформулирован в наших рекомендациях всем предприятиям.

    И вот недавно я наткнулся на аналогичный документ от NIST - Security Assessment Provider Requirements and Customer Responsibilities (NISTIR 7328). Несмотря на то, что этот документ выпущен в 2007-м году, он до сих пор имеет статус проекта. А связано это со сложностью данной темы. У нас же на разработку такой нормативки по объявленному конкурсу выделено всего 5 (пять) дней! Хотелось бы, чтобы авторы проектируемого документа все-таки обратились к международному опыту в этой сфере и не изобретали колесо; сертифицированное и аттестованное...

    01.11.2011

    Утечка данных влечет снижение стоимости бренда на 12%

    Согласно Experian Data Breach Resolution (исследование по США) утечка данных приводит, в среднем, к 12-типроцентному снижению стоимости бренда компании. В России, правда, посчитать стоимость бренда сложновато.

    Список тайн в российском праве

    Когда-то, прошерстив российское законодательство, я сваял перечень из 50-ти видов тайн. И вот сегодня, наткнувшись на заметку Руслана, я решил обновить свой перечень. На свое удивление обнаружил еще 15 видов тайн. Но т.к. каких-то особых названий я не нашел, а придумать их самостоятельно я смог не ко всем, то решил переименовать список в перечень информации ограниченного доступа. Хотя надо признать, что в разных нормативных актах такие сведения именуются по разному. Где-то информация ограниченного доступа, где-то сведения ограниченного доступа, где-то информация, в отношении которой установлено требование конфиденциальности. Где-то просто "должна обеспечиваться конфиденциальность указанных сведений". Но суть при этом не меняется - все эти виды информации, не относятся к публичным сведениям и требуется обеспечить их защиту.

    Виды информации ограниченного доступа в российском законодательстве



    ЗЫ. Был удивлен тем, что эксперты Консультанта нашли далеко не все виды тайн. А ведь у них больше возможностей шерстить свою базу, чем у меня.

    Мероприятия по ИБ на 2012 год

    Сваял списочек мероприятий по ИБ на следующий год. Пока по многим мероприятиям ясности по датам нет, но все равно полезно помнить хотя бы о сезоне проведения того или иного мероприятия.
    Крупные мероприятия по информационной безопасности на 2012 год