30.03.2012

О поручениях Президента/Правительства

Прошерстил я тут свой блог за 4 года и составил список поручений, которые были сделаны Президентом Правительству и Правительством федеральным органам исполнительной власти по нашей теме. Интересная картина получается.
  • 27 августа 2008 года. Правительство поручает Мин­промэнерго, Минобрнауки, ФСБ и ФСО рассмотреть вопрос о развитии производства отечественного криптографического оборудования. О ре­зультатах рассмотрения эти ведомства должны до 1 декабря 2008 года доложить в правительство РФ.
  •  19 июня 2010 года. Президент Медведев поручил Правительству Российской Федерации в целях содействия иностранным инвестициям в производство медикаментов, медицинской и компьютерной техники, телекоммуникационного, энергетического и энергосберегающего оборудования, другой высокотехнологичной продукции на территории Российской Федерации оптимизировать процедуры таможенного оформления, валютного и экспортного контроля при экспорте готовой продукции, а также при импорте комплектующих и оборудования.
  • 28 феврадя 2011 года Президент Медведев поручил Правительству к лету 2011 года завершить разработку нормативно-правовой базы по части электронной подписи. 
  • 13 июля 2011 года Совет Федерации поручил Правительству посчитать, во что выльется реализация положений 19-й статьи новой редакции ФЗ "О персональных данных". 
  • 9 декабря 2011 года. Президент Медведев поручил Правительству до 1 марта 2012 года рассмотреть вопрос о целесообразности смягчения требований к вывозу отечественных шифровальных (криптографических) средств за рубеж и о признании международных стандартов в области защиты информации и представить соответствующие предложения. 

Интересно, какова судьба всех этих поручений? Все они признаны нецелесообразными? Или озвученный механизм контроля поручений Президента так и не заработал на практике? Или на ответах по поручениям гриф висит? Тогда какой смысл делать поручения публичными, если потом нельзя публично проконтролировать их исполнение?

Хоть немного, но сдвинулась позиция по ЭП. Там и закон приняли и подзаконные акты активно выпускают. А вот по остальным пунктам полный ноль. Ну или точнее полное отсутствие позитивного сдвига.

29.03.2012

Первое из трех новых постановлений Правительства по ПДн

21 марта Правительство утвердило, а вчера опубликовало новое Постановление №211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным Законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" (на сайта Правительства и Консультант+). Это первое из 3-х постановлений, которые должны появится в рамках реализации новой (или уже не новой) редакции ФЗ-152.

Указанное постановление определяет перечень мер, предусмотренный ст.18.1 ФЗ-152, но только для госорганов и муниципалов. Пересказывать постановление не буду, просто тезисно опишу важные моменты:
  • Определена необходимость (она и в ФЗ-152 было) назначения главного за обработку ПДн.
  • Определен перечень документов, который должен быть разработан госорганом или муниципальным органом.Вопрос у меня вызвало требование наличия документа, описывающего правила работы с обезличенными данными. Зачем? Обезличенные данные не подпадают под требования ФЗ-152 в принципе, т.к. не являются персональными.
  • Декларируется, что обработка ПДн без средств автоматизации регламентируется ПП-687.
  • Описано требование обезличивания ПДн в ИСПДн согласно требованиям и методам, установленным уполномоченным органом по защите прав субъектов персональных данных. Пока этих требований и методов нет.
В целом ничено нового (кроме раздела про обезличивание) в Постановлении нет. Повторены многие пункты из ФЗ-152. Видимо без повторений новое Постановление было бы уж совсем коротким.

Кстати, вчера я был на одной конференции по ПДн, где представитель РКН сказал, что к лету готовится целый пакет разъяснений со стороны РКН по теме персданных. Видимо в этом пакете будут и требования по обезличиванию, а также список стран с адекватной защитой прав субъектов, разъяснение про биометрию, работу с коллекторами и многое другое.

Ждем еще двух постановлений - по уровням защищенности и по требованиям по защите. Они готовы и проходят последние согласования.

ЗЫ. Интересно, что экспертизу в Минюсте данное постановление не проходило. По крайней мере меня оно минуло, а я мониторю все проекты нормативных актов, которые проходят через Минюст. Хотя ничего крамольного в нем нет и экспертиза была бы излишней, на мой взгляд,

27.03.2012

Требования ФСТЭК к IPS опубликованы

Я уже писал про новый РД ФСТЭК по системам обнаружения вторжений. И вот вчера на сайте ФСТЭК было выложено информационное письмо об утверждении требований к системам обнаружения вторжений. Собственно, это письмо говорит тоже, что и моя заметка, являясь кратким введение в новый РД. Помимо письма ФСТЭК выложила и 6 профилей защиты, на базе которых должны создаваться IPS уровня сети и уровня узла. Т.к. IPS 1-3-го классов предназначены для защиты гостайны, то на сайте ФСТЭК выложены профили только для 4-6 классов для каждого из двух типов IPS (6-й класс NIPS, 5-й класс NIPS, 4-й класс NIPS, 6-й класс HIPS, 5-й класс HIPS и 4-й класс HIPS).

Индекс кибербезопасности год спустя

В мае прошлого года я писал про индекс кибербезопасности - проект, запущенный в марте 2011-го года. Прошел год. И можно подвест промежуточные итоги. Они говорят о том, что индекс растет, а значит растут и риски. За год рост составил 240 пунктов.


Как делать предупреждения ИБ понятными?!

И вновь вернемся к теме юзабилити и информационной безопасности, к которой я обращался не раз. На прошедшей недавно в Сан-Франциско конференции B-Sides Адаму Шостаку из Microsoft задали кажущийся простым вопрос: "Как сделать предупреждения в области ИБ, появляющиеся на экране пользователя, эффективными?" Шостак, а он руководитель программы Usable Security of Microsoft’s Trustworthy Computing, ответил, что они придумали простой инструмент NEAT, который помогает при проверке любых разрабатываемых предупреждений.

NEAT означает:
  • Neccessary? - Необходимо? Это сообщение действительно необходимо или без него можно обойтись? Существует некий порог сообщений (у каждого он, наверное, свой) по достижению которого, пользователь начинает кликать "Да" или нажимать Enter не глядя на сообщение и не вникая в его суть.
  • Explained? - Разъяснено? Причина показа сообщения разъяснена на языке, понятном пользователю? А ожидаемая от пользователя реакция ему понятна?
  • Actionable? - Выполнимо? Пользователь в состоянии выполнить то, что вы от него хотите?
  • Tested? - Проверено? А вы сами проверили, как работает это сообщение?
Работает инструмент просто. Если разработчик хочет показать пользователю предупреждение, то он должен утвердительно ответить на все 4 вопроса. Причем на все четыре. Например, у нас есть сообщение "Вы собираетесь загрузить неподписанное приложение на свой компьютер. Да? Нет?" Оно необходимо, но... оно непонятно (много ли людей знает, что такое неподписанное приложение). Ожидаемая реакция тоже непонятна. Что "Да", а что "Нет"? Ну и т.д. Очень простой инструмент, и очень полезный. Разработчикам на заметку.

26.03.2012

Что будет после 7-го мая?

Хочется порассуждать о будущем. Точнее о ближайшем будущем - после 7-го мая, когда должна быть сформирована новая структура Правительства. Слухов ходит много и разных. Один из них заключается в том, что Минкомсвязь сольется с Минтрансом, как это уже было несколько лет назад. Но тогда Рейману удалось отстоять свое ведомство и слияние было отменено. В этом раз ситуация повторяется и, учитывая, "внимание" будущего Президента к теме ИТ, идея сделать единое инфраструктурное министерство не такая уж и нереальная. Все-таки с транспортными артериями у нас проблемы и они на поверхности. А вот артерии коммуникационные - с ними как бы все и так хорошо. Веб-выборы прошли, телевидение работает, СМИ можно Минкульту отдать. Зачем отдельное ведомство?

Но мне гораздо более близка тема о будущем ФСТЭК. Опять появились слухи о том, что это ведомство может после 7-го мая прекратить свое существование. Логика в этих слухах тоже есть. Начнем с того, что в прошлый раз ФСТЭК в структуре Правительства появилась не сразу, а только после вмешательства Григорова (бывший директор ФСТЭК). Но уже тогда было много вопросов к этой структуре. И название непонятное. Ну что такое технический контроль? Им не Ростехнадзор должен заниматься разве? Экспортный контроль? А причем тут отдельное ведомство? Почему нельзя навесить эту функцию на Минэкономразвития или Минпромторг? Гостайна? Ну с ней тоже непонятно, почему два ведомства (ФСБ и ФСТЭК) ею занимаются. ТЗКИ? Опять же на ФСБ можно повесить - чего плодить кучу органов, занимающихся одним и тем же. Место ФСТЭК в иерархии тоже всегда вызывало вопросы - она же в структуре МинОбороны находится. А с чего структура Минобороны будет отвечать за защиту коммерческих структур, сертификацию средств защиты, проверки и т.д.? Иными словами вопросов было много, а реальной работы не видно - на всех совещаниях по теме национальной безопасности и ИТ обычно присутствовала ФСБ, но не ФСТЭК. Если посмотреть на отчеты о деятельности ФСТЭК за 2010-й и 2011-й годы, то никаких особых заслуг и результатов там не замечено.

Что в итоге? А ничего, если честно. Как это часто бывает, слухов циркулирует много, но пока не будет опубликована финальная структура правительства, говорить о чем-то утвердительно нельзя. А слухи о расформировании ФСТЭК и Минкомсвязи появляются уже не раз и каждый раз эти слухи так ничем и не завершаются.

23.03.2012

Новый проект Постановления Правительства по теме лицензирования

Правительство подготовило проект Постановления "Об утверждении Порядка предоставления документов по вопросам лицензирования в форме электронных документов, подписанных электронной подписью, с использованием информационно-телекоммуникационных сетей общего пользования, в том числе единого портала государственных и муниципальных услуг".

Проект нормативно-правового акта определяет общие положения организации информационного обмена при предоставлении документов по вопросам лицензирования в форме электронных документов, подписанных электронной подписью, с использованием информационно-телекоммуникационных сетей общего пользования, в том числе единого портала государственных и муниципальных услуг, то есть регулирует отношения в области установления, применения и исполнения обязательных требований к оказанию услуг.

Замечаний к этому проекту в Минэкономразвития не имеют.

Оценка постановления правительства о защите НПС

Про проект Постановления Правительства "Об утверждении Положения о защите информации в национальной платежной системе" я уже писал. И вот вчера Минэкономразвития опубликовал результаты оценки этого проекта. Как это часто бывает специалистов по ИБ среди экспертов, оценивающих проекты нормативных актов, нет или их очень мало. Поэтому сами требования по защите информации не сильно оценивались, а все основные претензии сосредоточились вокруг 14-го пункта по контролю (оценке) соответствия требованиям по защите. Проект Постановления повторяет в данном вопросе СТО, говорящий, что организация вправе оценить свое соответствие самостоятельно или привлечь внешнюю организацию. Правда в проекте эта внешняя организация, предсказуемо, должна иметь лицензию ФСТЭК на ТЗКИ.

Вторым большим вопросом, вызвавшем вопросы, стала оценка соответствия в ходе аудита субъекта платежной системы, проводимого в соответствии с законодательством Российской Федерации об аудиторской деятельности. Как сюда попали аудиторы? Как и на каком основании они будут проверять соответствия требованиям по защите информации участников НПС?

Больше никаких серьезных замечаний на этот проект в Минэкономразвития не поступало.

22.03.2012

Еще одна ипостась Роскомнадзора


Есть такой известный ФЗ-210 "Об организации предоставления государственных и муниципальных услуг". Благодаря ему наша страна поднялась на 20 с лишним мест в рейтинге стран с развитым электронным правительством. Благодаря ему появились приказы ФСБ по ЭП, УЦ и сертификатам. Но вот вопрос о том, кто будет регулировать всю эту схему и, как минимум, осуществлять надзор за удостоверяющими центрами, оставался открытым. И вот в законопроекте, который готовит Минкомсвязь, эта сфера отдается Роскомнадзору. В частности, РКН будет

  1. проводить проверки соблюдения аккредитованными удостоверяющими центрами требований, которые установлены
    настоящим Федеральным законом и на соответствие которым эти удостоверяющие центры были аккредитованы, и в случае
    выявления их несоблюдения выдает предписания об устранении выявленных нарушений

  2. запрашивать и получать в электронной форме в порядке межведомственного информационного взаимодействия сведения и
    документы, необходимые для осуществления им полномочий, установленных настоящим Федеральным законом, в том числе
    посредством единой системы межведомственного электронного взаимодействия и подключаемыхк ней региональных систем межведомственного электронного взаимодействия.



А вообще в этом законопроекте много всяких изменений планируется. Там и в закон об электронной подписи вносятся ряд поправок. В-общем на месте ситуация не стоит.

21.03.2012

Новое творение в мою библиотеку

Будучи в Нижнем Новгороде разжился новым раритом (издан тиражом в 500 экземпляров).




Читая вот такие книжки, допущенные УМО в качестве учебника для студентов ВУЗов, понимаешь, почему все, кому задаешь вопрос о качестве и уровне знаний выпускников, плюются и говорят, что их еще шлифовать и шлифовать. Ну нельзя, прочтя эту книжку, приблизится даже немного к понятию специалиста по ИБ ;-(

Казалось бы, все там есть. И ПЭМИН, и обзор законодательства, и защита сети, и персданные, и аутентификация, и уничтожение информации, и криптография, и вирусы и даже аутентификация по GPS. Но вчитываешься и что-то не то. Например, персданных всего три типа - общедоступные, специальные и биометрические (других просто нет). Раздел по брандмауэрам даже читать не захотел, когда увидел этот термин. Ну не говорят специалисты брандмауэр. Еще можно не использовать термины "зашифрование"/"расшифрование", но уж "брандмауэр"... Но в разделе брандмауэров бросились в глаза "мостиковый межсетевой экран" (видимо речь идет о bridge firewall или МСЭ канального уровня) и "межсетевой экран экспертного уровня" (это stateful inspection firewall). Шамир (один из трех авторов RSA) по-английски звучит как Sharnir (Шарнир). Опечатка наверное. Но вот термин "имущественная аутентификация", который часто используют в жизни (так в книге написано), я так и не узнал.

Жаль, что у нас публикуют такие книжки...

20.03.2012

Угроза идет с Востока


Много много лет назад, когда я начинал заниматься ушу, помимо собственно самих занятий по практике, я увлекся теорией и прочел почти все, имеющиеся тогда в России книги, имеющие отношение к искусству войны. Это не только и не столько Сунь-Цзы, но и У-Цзы, "Речные заводи", Чжугэ Лян, Тай Гун, Вэй Ляо-цзы и т.д. Уже тогда было понятно, что Западу далеко до Востоке по части разработки стратегий, особенно долгосрочных, в области ведения боевых действий. Позже, в 2007 году я вновб обратился к этой теме, но статья "Что общего между ИБ и Сунь-Цзы" так и осталась недописанным черновиком. Зато на свет родилась статья "Звериный оскал информационной безопасности" о связи ИБ и бионики. И вот очередной виток вернул меня к теме Востока и ИБ.

В последнее время очень много говорят об угрозе со стороны Китая и Северной Кореи. Касается это, в первую очередь, США, но и другие страны тоже косятся в стороны Востока, опасаясь кибератак от них. А опасаться есть чего. Если верить последнему отчету Northrop Grumman Corp "Occupying the Information High Ground: Chinese Capabilities for Computer Network Operations and Cyber Espionage", то в Китае существует не только полноценная стратегия ведения кибератак, но и стратегия эта реализуется сразу по множеству направлений - от разработки кибероружия до подготовки соответствующих подразделений, от спонсирования различных исследований до активного сотрудничества с китайскими ИТ-компаниями (среди которых постоянно фигурирует Huawei). В отчете приводятся различные факты, подтверждающие опасения США в данном вопросе. Кстати, Huawei в последние год-два постоянно фигурирует в различных "шпионских" скандалах в разных странах мира - Индии, Австралии, США...

Однако Китай, как оказывается, не самые "крутые" в этом направлении. Читал с месяца полтора назад большое исследование по стратегиям кибервойн в разных странах мира. Так вот там эксперты признают, что фору всем дает Северная Корея, которая вырвалась на голову впереди всех, включая и Китай. Правда, информации по северокорейским инициативам в данном вопросе немного - уж очень закрытое государство.


19.03.2012

И вновь о контроле Интернет - 3

К теме контроля Интернет я обращался не раз. Один из последних был в июне прошлого года. Помните, я писал про "Теневой Интернет", планами создания которого озаботились в США и что наши органы высказали озабоченность в таких действиях нашего заклятого друга. Какие механизмы могли быть предложены для блокирования такого рода технологий? Предложенный тогда сходу вариант - глушилки. Но глушилка - вещь тупая. Она блокирует всех - и правых и неправых. Вот бы иметь возможность разделять всех на "своих" и "чужих", как это сделано, например, в технологии Cisco TrustSec. Но разнородных устройств от разных вендоров слишком много и профилирование может быть затруднительно. Какой вариант остается? Идентифицировать каждое устройство и при необходимости блокировать нужные из них.

Что за бред? Россия от такого отказалась в 90-х годах. Ан нет. В начале февраля на сайте Минкомсвязи были опубликованы результаты оценке регулирующего воздействия на проект приказа Минкомсвязи России "О внесении изменений в отдельные акты по вопросам применения средств связи". Согласно этому проекту правила применения отдельных категорий абонентских устройств, используемых в сети связи общего пользования (а также в технологических сетях связи и сетях связи специального назначения в случае их присоединения к сети связи общего пользования), нормой, устанавливающей обязательное требование к абонентским устройствам, согласно которому каждое абонентское устройство должно иметь уникальный идентификационный номер. Указанные абонентские устройства подлежат обязательному подтверждению соответствия установленным требованиям в целях обеспечения целостности, устойчивости функционирования и безопасности единой сети электросвязи Российской Федерации.

Согласно пояснительной записке к проекту акта предлагаемое регулирование направлено на реализацию практических мер по предупреждению киберпреступности, связанной с использованием абонентских терминалов. При этом по замыслу разработчика наличие уникальных идентификационных номеров абонентских терминалов позволит операторам связи регистрировать абонентские терминалы при заключении договоров с абонентами, а также вычленять и блокировать абонентские терминалы по просьбе абонентов и органов, осуществляющих оперативно-разыскную деятельность или обеспечение безопасности государства.

Таким образом будет обеспечена невозможность использования абонентских терминалов, приобретенных незаконным путем, что приведет к устранению экономической основы насильственных преступлений, связанных с хищением (кражей, грабежом, разбоем) абонентских терминалов. То есть по замыслу разработчика, проект акта является лишь одним из серии нормативных правовых актов, принятие которых позволило бы достигнуть поставленной цели.

Правда в результатах оценки данная инициатива критикуется. Не только по причине появления дополнительных затрат по отрасли в сумме от 500 до 3400 млн. рублей в год. Но и по причине применения данных требований только к новым устройствам и только официально ввозимым. Для киберпреступников, которые ввезут такие устройства из-за границы, новые правила будут неписаны. Если, конечно, не блокировать все нелегально ввезенные устройства (но для этого надо запретить физическим лицам ввозить в Россию айфоны и т.п. новомодные устройства, которые в России начинают продаваться не сразу со всем миром и стоят дороже чем, например, в США).

Так что очередная попытка ограничить свободы граждан под соусом национальной безопасности встретила обоснованное противодействие. Посмотрим, что теперь скажет Минкомсвязь на замечания экспертов.

16.03.2012

Новое постановление по лицензированию деятельности в области разработки средств защиты

3 марта Правительство приняло новое 171-е Постановление "О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации". Оно пришло на смену ПП-532, которое раньше отвечало за данный вопрос. В целом ничего нового по сравнению с проектом нет, поэтому просто резюмирую ключевые тезисы:
  1. Непонятное понятие "конфиденциальная информация" осталось.
  2. ФСБ лицензирует деятельность по разработке СЗИ для высших органов государственной власти, а ФСТЭК - для всех остальных.
  3. Для лицензии ФСТЭК необходимо иметь 2-х специалистов. А вот аттестация и сертифицированные СЗИ в явном виде не требуются.
  4. Для лицензии ФСБ необходимо иметь одного руководителя и 2-х специалистов. Сертифицированные СЗИ не нужны, а вот аттестованные ПК для разработки и производства необходимы.
  5. Указаны грубые нарушения лицензионных требований по линии ФСТЭК невыполнение почти любого требования к лицензиату является грубым) и ФСБ (тут попроще с соотношением грубых и не очень).
В целом ничего сверхъествественного или специфического для темы ИБ в этом постановлении я не обнаружил. "Спокойный" документ.

15.03.2012

Отчет о деятельности ФСТЭК в 2011-м году

Опубликовала вчера ФСТЭК отчет о своей деятельности за прошедший год. В целом ничего сверхестественного. Цепанула только фраза о том, что все нормативные докумены ФСТЭК научно обоснованы и "обязательные требования в сфере деятельности ФСТЭК России определяются на основе проводимого в рамках научно-исследовательских работ анализа развития возможностей иностранных технических разведок, информационных технологий, методов и способов технической защиты информации".

Краткие тезисы по прочтению отчета:
  • В предыдущие годы и в 2011 году обращений юридических лиц и индивидуальных предпринимателей по проблемам, связанным с реализацией исполнения и контроля нормативных правовых актов, устанавливающих обязательные требования по вопросам, входящим в компетенцию ФСТЭК России, не поступало. Также не поступало заявлений юридических лиц о признании результатов проверок, проведенных ФСТЭК России в 2011 году, недействительными в связи с грубыми нарушениями требований Федерального закона № 294-ФЗ. На мой взгляд это связано с небольшим числом проверок.
  • В отношении юридических лиц было проведено 213 проверок (2010 г. – 230). В соответствии с решением руководства ФСТЭК России за счет повышения эффективности и напряженности деятельности работников ФСТЭК при проведении проверок, повышения качества подготовки к проверкам сокращено среднее время проведения одной проверки.
  • ФСТЭК признает, что "уполномочена осуществлять контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных при их обработке только в государственных информационных системах персональных данных".
  • ФСТЭК России разработаны все административные регламенты, предусмотренные решениями Правительственной комиссии по проведению административной реформы.
  • Стоимость проведения одной проверки с учетом ее обеспечения составила в 2011 году около 57 тысяч рублей (2010 г. – 85 тысяч рублей).
  • Данные о штатной численности работников ФСТЭК России, выполняющих функции по контролю, и об укомплектованности штатной численности являются информацией ограниченного доступа. Количество сотрудников надзора/контроля, судя по числу прошедших повышение квалификации, не превышает 3-4 десятков на всю Россию.
  • Проверки (плановые и внеплановые) проводятся комиссиями ФСТЭК России, в состав которых входят от 2 до 6 работников Службы в зависимости от объема контрольных мероприятий.
  • Среднее время проведения одной проверки составило 7 рабочих дней (2010 г. - 8 рабочих дней).
  • В 2011 году, как и в 2010 году, более 98% от общего количества проверок составили выездные проверки, остальные проверки – документарные. В структуре проведенных проверок, как и прежде, большая часть проверок – 98,6% - приходится на плановые проверки.
  • В среднем по Российской Федерации на одну проверку, проведенную ФСТЭК России, выявлено 2 нарушения обязательных требований
  • Нарушение обязательных требований законодательства – 414 правонарушений (99,8% от общего числа выявленных правонарушений).
  • В 2011 г. количество проверок, административных расследований, по итогам проведения которых по фактам выявленных правонарушений возбуждены дела об административных правонарушениях, снизилось на 86% (2011 г. – 1, 2010 г. -7). Общая сумма наложенных административных штрафов по сравнению с 2010 годом уменьшилась на 95%.
  • Удельный вес проверок в общем количестве плановых и внеплановых проверок, при которых не выявлены нарушения составил 57,7%.

14.03.2012

Моя презентация с PCI DSS Russia


Остальные презентации будут выложены на сайте конференции.

Роскомнадзор будет проверять требования по ИБ

1 марта Минэкономразвития опубликовало Проект постановления Правительства "Об утверждении перечня нарушений целостности, устойчивости функционирования и безопасности единой сети электросвязи Российской Федерации", которое регулирует отношения в области организации и осуществления государственного контроля (надзора), установления, применения и исполнения обязательных требований к продукции или связанным с ними процессам эксплуатации, оценки соответствия.

Сообщение об одном из таких нарушений является основанием для внеплановой проверки оператора связи. К одному из таких нарушение относится нарушение операторами связи требований по защите сетей (сооружений) связи от несанкционированного доступа к ним и передаваемой по нима информации. Указанные требования по защите, а также требования по обеспечению целостности и устойчивости для операторов связи установлены 113-м приказом Минсвязи от 27.09.2007 "Об утверждении Требований к организационно-техническому обеспечению устойчивого функционирования сети связи общего пользования", ГОСТ Р 53110-2008 "Система обеспечения информационной безопасности сети связи общего пользования. Общие положения", а также 1-м приказом Минкомсвязи от 9.01.2008 "Об утверждении требований по защите сетей связи от несанкционированного доступа к ним и передаваемой посредством их информации".

Регулятором, проверяющим операторов связи, в т.ч. и по указанным выше требованиям, назван, в соответствие с 110-м Постановлением Правительства от 2.03.2005 "Об утверждении Порядка осуществления государственного надзора за деятельностью в области связи", Роскомнадзор.

Иными словами, у нас появляется 8-й официальный регулятор в области информационной безопасности.

13.03.2012

Dell покупает SonicWALL

Сегодня Dell анонсировал подписание соглашения о покупке разработчика межсетевых экранов и UTM-решений. Детали сделки не разглашаются. Известно, что Dell планирует за счет решений SonicWALL расширить свое портфолио решений по ИБ, появившееся после приобретения SecureWorks, а также решение по управлению уязвимостями и патчами Dell KACE. Для России эта новость никакого эффекта не несет. Ни решения Dell в области ИБ, ни решения SonicWALL не имели у нас сколь-нибудь значимого распространения.

PS. Забавно что почти во всех пресс-релизах о поглощениях говорится о том, что кто-то купил лидера. Все покупают лидеров... Кто-то тогда остается? На всех лидирующих позиций не хватит ;-)

Trustwave покупает M86 Security

6 марта Trustwave объявила о своем намерении купить частную калифорнийскую компанию M86 Security. Обе компании в России не очень известны, а вот на Западе Trustwave вполне себе именитый вендор в области compliance, а М86 известна своими решениями в области Web-безопасности. Детали сделки не разглашаются.

Как посчитать потери от атак на медицинские системы?

Считается, что здоровье не имеет цены и, следовательно, оценить ущерб от взлома медицинских систем очень сложно. Как оказалось это неверно. В презентациях по оценке ИБ я не раз приводил тезис о том, что самое важное в любом измерении - это определить объект измерения. Это половина успеха. В случае с ущербом медицинским системам ситуация аналогичная и Internet Security Alliance совместно с американским национальным институтом стандартов (ANSI) на днях выпустили замечательный отчет "The Financial Impact of Breached Protected Health Information: A Business Case for Enhanced PHI Security".

В работе над отчетом принимали участие около 100 экспертов из различных медицинских учреждений. Совместно с экспертами по ИБ они вместе разработали метод PHIve (Protected Health Information Value Estimator) для оценки риска медицинских систем, одним из этапов которого и является оцифровывание потенциальных потерь от атак на системы здравоохранения.

При этом документ интересен именно своей отраслевой спецификой. Например, там описаны все заинтересованные стороны (стейкхолдеры) в работе медицинских систем:


Спектр рассматриваемых угроз тоже обширен и включает, в т.ч. и облачных провайдеров, обрабатывающих медицинские данные:


Потери делятся в свою очередь на 5 категорий:
  • репутационные
  • финансовые
  • юридические
  • операционные
  • клинические.


Последняя категория интересна. Например, среди потерь числится задержка или ошибка в установлении диагноза. За этим пунктом может скрываться очень много специфических для здравоохранения проблем, которые могут транслироваться в деньги. Например, задержка в постановке диагноза - меньше пациентов можно принять - меньше денег можно заработать. Ну а к чему может привести ошибка в постановке диагноза и говорить не приходится. Преимущество указанного исследования в том, что оно не ограничивается просто констатацией статьи потерь, а предлагает формулы для их рассчета. Такие формулы есть для расчета таких показателей как "loss of patients", "loss of curent customers", "loss of staff" и т.д.

В общем документ достойный и рекомендуемый к прочтению.

12.03.2012

Весь мир обновляет законодательство о персданных

Не успела Мексика выпустить всеобъемлющий закон о защите прав субъектов персональных данных... Не успела Украина ратифицировать Евроконвенцию и принять собственный закон о персональных данных... Не успела Европа заявить о реформе законодательства в области персональных данных... как в Америке тоже задумались о том, что пора сойти с обочины и начать приводить свое законодательство в соответствие с мировыми тенденциями. 23 февраля на сайте ихнего Белого Дома появился текст законопроекта "Биль о правах потребителей в области приватности" (CONSUMER DATA PRIVACY IN A NETWORKED WORLD: A FRAMEWORK FOR PROTECTING PRIVACY AND PROMOTING INNOVATION IN THE GLOBAL DIGITAL ECONOMY).

Ну Россия тоже на месте не стоит. Не успели мы принять в прошлом июле новую редакцию закона "О персональных данных"... не успели мы увидеть новые Постановления Правительства по защите ПДн, как РКН уже задумался о том, как применить к действующему законодательству Российской Федерации в области персональных данных планируемые изменения законодательства ЕС. Так что ждемс новых баталий ;-)

О квалификации специалистов по защите информации

Интересный вопрос у меня возник на днях. Существует Постановление Правительства №610 от 26 июня 1995 года «Об утверждении Типового положения об образовательном учреждении дополнительного профессионального образования (повышения квалификации) специалистов», в котором говорится о том, что минимальный срок повышения квалификации специалистов составляет 72 часа. Согласно этому Постановлению специалисты должны проходить повышение квалификации каждые 5 лет. Тут вроде все ясно.

Теперь смотрим на второй (или даже первый) основополагающий документ - Приказ Минздравсоцразвития от 22 апреля 2009 г. № 205 "Об утверждении единого квалификационного справочника должностей руководителей, специалистов и служащих, раздел "квалификационные характеристики должностей руководителей и специалистов по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, противодействию техническим разведкам и технической защите информации". В этом документе указываются требования к квалификации руководителей, специалистов и других должностей, отвечающих за информационную безопасность.

Я выписыл все эти квалификационные требования:
  • Главный специалист по ТЗИ – высшее образование по ИБ + стаж – 5 лет и руководящий стаж – 3 года
  • Начальник отдела по ТЗИ – высшее образование по ИБ + стаж – 5 лет и руководящий стаж – 2 года
  • Специалист по ТЗИ I категории – высшее образование по ИБ + стаж работы по II категории – 3 года
  • Специалист по ТЗИ II категории – высшее образование по ИБ + стаж работы по ТЗИ – 3 года
  • Специалист по ТЗИ – высшее образование по ИБ
  • Администратор по ОБИ - высшее образование по ИБ + стаж работы специалистом – 3 года
  • Инженер по ТЗИ – высшее образование по ИБ или среднее образование по ИБ + стаж работы техником по ЗИ I категории 3 года или стаж по другим должностям 5 лет
  • Инженер-программист по ТЗИ I категории – высшее образование по ИБ (или техническое) + стаж инженером-программистом II категории 3 года
  • Инженер-программист по ТЗИ II категории – высшее образование по ИБ (или техническое) + стаж инженером-программистом 3 года
  • Инженер-программист по ТЗИ – высшее образование по ИБ или среднее образование по ИБ + стаж техником по ЗИ I категории 3 года
  • Техник по ЗИ I категории – среднее образование по ИБ + стаж работы техником по ЗИ II категории 2 года
  • Техник по ЗИ II категории – среднее образование по ИБ + стаж работы техником по ЗИ 2 года
  • Техник по ЗИ – среднее образование по ИБ
Что получается... Чтобы работать специалистом по защите информации, не говоря уже о позиции руководителя, необходимо иметь высшее профессиональное (в ряде случаев среднее) образование по направлению "Информационная безопасность". Вот тут и кроется мой вопрос. А что если в отделе работает специалист или руководитель, поступивший в ВУЗ до 92-го года (именно тогда специальность по ИБ стала открытой и стала преподаваться в обычных ВУЗах)? Я, например, не имею высшего профильного образования (хотя специализация по диплому у меня именно "Защита информации"). Может ли такой специалист или руководитель занимать свой пост? Ведь он не выполняет квалификационных требований.

Ну и фиг с ним, скажете вы. Кому нужны эти квалификационные требования? Был бы человек хороший и специалист неплохой. Так-то оно так, но... не будет ли это препятствием при прохождении проверок со стороны регуляторов? Ведь по данным ФСТЭК одним из ключевых нарушений является отсутствие достаточного количества квалифицированных специалистов по защите информации. И если с количеством все ясно (минимум 2, а в ряде случаев 3), то с квалификацией вопрос остается открытым. Не будет ли при проверке проверяться выполнение квалификационных требований согласно единому квалификационному справочнику?

Частично задача может быть решена Постановление Минтруда РФ от 9 февраля 2004 №9 "Об утверждении порядка применения единого квалификационного справочника должностей руководителей, специалистов и других служащих". В нем говорится, что "лица, не имеющие специальной подготовки или стажа работы, установленных требованиями к квалификации, но обладающие достаточным практическим опытом и выполняющие качественно и в полном объеме возложенные на них должностные обязанности, по рекомендации аттестационной комиссии назначаются на соответствующие должности так же, как и лица, имеющие специальную подготовку и стаж работы". Но тут возникает другой вопрос - а у вас в организации есть такая рекомендация аттестационной комиссии?

Но вообще вопрос, наверное, риторический...

11.03.2012

NIST выпускает финальную версию Smart Grid Framework 2.0

Национальную сеть электроснабжения реформируют не только в России, но и в США. Неделю назад американский институт стандартов выпустил вторую версию своего плана по реформированию устаревших энергосетей в новую инфраструктуру, которая позволит объединить коммуникационные и информационные технологии с системой поставки электроэнергии, что должно вывести всю инфраструктуру на качественно новый уровень.

Smart Grid Framework 2.0 является собой замечательный пример совместной работы бизнеса и государства. 1900 волонтеров из 740 организаций работали над новой версией документа. В этой версии добавлено еще 22 стандарта к тем 75-ти, которые упоминались в 1-й редакции документа.

Одно из ключевых изменений коснулось раздела по информационной безопасности, в т.ч. и раздела по управлению рисками, встречающимися в энергоснабжении. Этот раздел базируется на NIST Interagency Report 7628 "Guidelines for Smart Grid Cyber Security" (NISTIR 7628), опубликованном в прошлом году. Этот раздел был расширен за счет увеличения материала по физической безопасности смартгрида, снижении воздействия от скоординированных физических и кибер-атак, защиты персональных данных потребителей и т.д.

Как привлечь продавцов ПО к ответственности

Наткнулся тут на интересную диссертацию "Гражданско-правовая ответственность за вред, причиненный в связи с использованием сложных программ для ЭВМ", которая впервые пытается поставить вопрос о том, какой должна быть ответственность производителей ПО за свои изделия, продаваемые "как есть". Очень интересный взгляд на проблему. Краткие выдержки из диссера ниже.

"Все существующие программные продукты по их социальной значимости можно условно разделить на три категории: 1) программы, создаваемые для использования в потребительских целях; 2) программы, создаваемые для использования в более сложных управленческих и производственных процессах, сбой в работе которых не создает угрозы для третьих лиц; 3) программы, создаваемые для обслуживания процессов, нарушение которых с большой вероятностью может повлечь за собой последствия повышенно-опасного характера для третьих лиц.

Главная причина колоссального ущерба, наносимого мировой экономике сбоями в работе программ и компьютерными злоумышленниками, – несовершенство целого поколения программ для ЭВМ, которые предлагается именовать сложными программами (они относятся к программам третьей группы). Сложные программы в силу своих объективных характеристик (сложной логики построения) при существующем уровне развития технологий их создания содержат уязвимости, не поддающиеся обнаружению.

Современное законодательство, так или иначе касающееся программ для ЭВМ, строится, во-первых, в расчете на простые программы, а во-вторых, таким образом, чтобы обеспечить максимальную защиту авторских прав создателей и распространителей программ. В результате, лицензионное соглашение, в соответствии с которым реализуются все программы для ЭВМ, в том числе и сложные, как правило, имеет условие следующего содержания: «Ни при каких условиях авторы программы не несут явной, подразумеваемой, финансовой, уголовной или какой-либо другой ответственности за возможные ошибки в работе программы». И это действительно так, потому что вред, причиняемый сложными современными программами и связанный, главным образом, с их использованием в производственных, коммерческих, а не потребительских целях, в рамках действующего законодательства практически не урегулирован. Особенно это касается вреда, причиняемого третьим лицам. Иными словами, специальное законодательство, регулирующее ответственность за вред, причиненный в связи с использованием сложных программ, в настоящее время отсутствует.

Автор диссертации исследует возможность применения деликтной ответственности, установленной статьей 1079 Гражданского кодекса РФ «Ответственность за вред, причиненный деятельностью, создающей повышенную опасность для окружающих». При этом, ответственность за вред, причиненный деятельностью, связанной с использованием сложных программ, подчиняется общему правилу, установленному статьей 1079 ГК РФ: ответственность наступает при наличии вреда и причинно-следственной связи между указанной деятельностью и возникшим вредом.

При распространении общего правила статьи 1079 ГК РФ о субъектах ответственности на рассматриваемые отношения, связанные с причинением вреда деятельностью по использованию сложных программ для ЭВМ, владельцами источника повышенной опасности следует считать разработчиков и пользователей программ.

Вместе с тем привлечение к ответственности указанных выше лиц не может обеспечить реальную защиту имущественных прав потерпевшего, так как имущественный и моральный вред, причиняемый деятельностью, связанной с использованием сложных программ для ЭВМ, в большинстве случаев имеет очень крупное денежное выражение. Его полное возмещение в этой сфере либо невозможно ввиду финансового положения субъектов ответственности (разработчиками сложных программ являются физические лица), либо приведет к тому, что деятельность по распространению сложных программ станет экономически невыгодной.
Учитывая масштабы вреда, причиняемого деятельностью по использованию сложных программ, его значительное денежное выражение, представляется целесообразным рассмотрение вопроса о введении в правоотношения по использованию сложных программ специального субъекта ответственности – Специализированного Оператора сложных программ для ЭВМ как законного владельца источника повышенной опасности, в роли которого могут выступать юридические лица, управляющие имущественными правами разработчиков сложных программ для ЭВМ.

Деятельность Специализированного Оператора сложных программ для ЭВМ должна подлежать обязательному лицензированию. Для получения лицензии организация – Специализированный Оператор сложных программ – должна располагать соответствующим финансовым потенциалом, техникой, а также аттестованным персоналом, который позволит осуществлять деятельность, связанную с повышенной опасностью для окружающих, на достаточно безопасном уровне".

Вот такая вот диссертация.

07.03.2012

Новый РД ФСТЭК по IPS

Об этом документе достаточно давно ходят слухи.Пора развеять некоторые из них ;-)

6 декабря 2011 года директор ФСТЭК подписал приказ №638 «Об утверждении требований к системам обнаружения вторжений» (зарегистрирован в Минюсте 1.02.2012), который вступает в силу с 15 марта этого года для вновь разработанных систем. Требования предназначены для разработчиков средств защиты, заявителей на сертификацию, а также испытательных лабораторий и органов по сертификации. Требования включают общие требования к СОВ и требования к функциям безопасности СОВ. Кстати я так и не нашел в документе эти самый общие требования к СОВ ;-(

Выполнение данных требований является обязательным при проведении работ по оценке соответствия СЗИ для государственных информационных ресурсов. Формулировка похожа на текст 330-го постановления Правительства за исключением упоминания персданных. Из этой формулировки можно сделать вывод, что для всех остальных ресурсов эти требования являются необязательными. Хотя по тексту ниже этот вывод уже ставится под сомнение.

Документ учитывает, что СОВ бывают активными (IPS) и пассивным (IDS). Вообще в документе дана неплохая классификация СОВ – по уровню обнаружения (HIPS/NIPS), используемым методам обнаружения (сигнатуры, поведение, профили и т.д.), месту расположения и т.д.

Для дифференциации требований к СОВ к функциям безопасности СОВ выделяют 6 классов защиты (шестой- самый низкий):
  • 6 класс – применение в ИСПДн 3-го и 4-го классов
  • 5 класс – применение в ИСПДн 2-го класса
  • 4 класс – применение в ИСПДн 1-го класса, а также в ИС общего пользования II класса (согласно совместного приказа ФСБ и ФСТЭК 416/489) и в государственным ИС, обрабатывающих конфиденциалку (не ГТ)
  • 3 и последующие классы – применение в ИС, обрабатывающих гостайну.

Тут возникает ряд вопросов. Собственно ключевой – какие классы применять в случаях, когда у меня ИСПДн классифицирована просто как «специальная»? А если у меня критически важный объект, который не обрабатывает ПДн (например, АСУ ТП)? Согласно документам ФСТЭК по КСИИ в таких системах обрабатывается открытая информация. И какой класс СОВ должен быть в этом случае? Кстати, эта классификация подтверждает тезис о том, что на коммерческие предприятия (исключая ИСПДн коммерческих предприятий) эти требования не распространяются. На закономерный вопрос, а какие СОВ надо применять для ИС общего пользования I класса, ответ прост - требования устанавливает ФСБ.

Обновление СОВ (исключая базу правил, по которой осуществляется обнаружение) подлежит контролю со стороны испытательной лаборатории. База правил проверяется испытательной лабораторией ежегодно. Налицо понимание авторами документа давно известного факта, что база сигнатур атак может обновляться ежечасно (и даже чаще) и нельзя требовать пересертификации продукта при каждом изменении такой базы. Но… Проблема в том, что далеко не всегда база правил реализуется в виде отдельного компонента СОВ, который можно отделить от программной части СОВ, обновление которой и подлежит контролю со стороны испытательной лаборатории. Например, обнаружение атак для IPv6 требуется не только наличия соответствующих сигнатур, но и специального движка, который умеет распознавать протокол IPv6. Аналогичная ситуация с атаками на IP-телефонию, видеоконференцсвязь, АСУ ТП, СУБД и т.д. По сути, авторы нового РД упустили из виду, что современные СОВ строятся не по двухуровневой схеме «ядро СОВ + система управления – сигнатуры», а по трехуровневой «ядро СОВ + система управления – движки для обработки различных протоколов – сигнатуры». Второй компонент такой схемы обновляется тоже достаточно регулярно.

Тип СОВ (HIPS/NIPS) и класс защиты определяет совокупность требований к функциям безопасности СОВ. Эти требования, установленные в соответствие с ГОСТ Р ИСО/МЭК 15408, делятся на 4 набора:
  • Требования к составу функций безопасности СОВ и сред, в которых эти СОВ функционируют
  • Требования к составу функциональных возможностей СОВ, обеспечивающих реализацию функций СОВ
  • Требования к реализации функциональных возможностей СОВ
  • Требования доверия к безопасности СОВ.

Функций безопасности, которые должны быть реализованы в СОВ, выделяется 10:
  1. Разграничение доступа к управлению СОВ
  2. Управление работой СОВ
  3. Управление параметрами СОВ
  4. Управление установкой обновлений базы правил СОВ
  5. Анализ данных СОВ
  6. Аудит безопасности СОВ
  7. Контроль целостности СОВ
  8. Сбор данных о событиях и активности в контролируемой ИС
  9. Реагирование СОВ
  10. Маскирование СОВ.

В качестве функций безопасности среды функционирования выделяются:
  1. Обеспечение доверенного маршрута с администраторами СОВ (аутентификация и защищенный канал управления)
  2. Обеспечение доверенного канала обновлений базы правил
  3. Обеспечение условий безопасного функционирования (в т.ч. регистрацию событий внутри СОВ)
  4. Управление атрибутами безопасности.

РД определяет состав стандартных и специальных функциональных компонентов СОВ, устанавливаемых в соответствие с ГОСТ Р ИСО/МЭК 15408-2, зависящих от типа СОВ и класса защиты. Из интересного в данной части:
  • Функция автоматического блокирования атак устанавливается только для СОВ 2-го класса защиты и выше. На этом же уровне устанавливается требование удаленного управления. Графический интерфейс управления требуется, начиная с 3-го класса защиты.
  • Для 1-го класса СОВ появляется требования звуковой сигнализации об обнаруженных вторжениях. Этот пункт вызовет улыбку у специалистов, которые имеют практический опыт эксплуатации СОВ. Представьте, что СОВ обнаруживает 10000 событий в сутки (это по одному событию за 8.6 секунд). Какофония звуков будет просто потрясающей ;-) Не ошибусь, если предположу, что звуковая сигнализация будет отключена через полчаса работы СОВ ;-) К слову, в достаточно крупной распределенной сети на консоль СОВ может поступать до нескольких миллионов сигналов тревоги. Единственная надежда, что в ИС, обрабатывающих сведения «особой важности» (а именно в таких ИС должны устанавливаться СОВ 1-го класса), нарушителей мало и СОВ будет срабатывать нечасто.
  • Анализ требований к хостовым СОВ показывает, что авторы не до конца понимают, как эти системы функционируют (в отличие от сетевых СОВ). Все-таки основная задача хостовых СОВ анализировать логи или поведение приложений и пользователей на конкретном узле. Функция анализа сетевого трафика для них вторична, в то время как авторы РД делают акцент именно на этой функциональности хостовых СОВ. Возможность анализа логов появляется только для СОВ 2-го класса. А вот возможность анализа поведения пользователей вообще не заявлена ни для одного из классов.
  • Требование невозможности обнаружения сенсора СОВ на сетевом уровне стандартными средствами ОС как для NIPS, так и для HIPS, вызвало у меня долгие раздумья. Я так и не понял, как выполнить это требование? Видимо авторы все-таки имели ввиду, чтобы сенсоры сетевых СОВ не могли быть обнаружены путем сканирования сети или анализа сетевого трафика, а сенсоры хостовых СОВ не могли быть обнаружены путем анализа процессов ОС. Хотя второе малореализуемо – обычно хостовые СОВ висят как сервис, и увидеть их может любой желающий. А вот снести этот сервис стандартными средствами ОС должно быть проблематично.

РД также устанавливает требования доверия, определяемых на основании ГОСТ Р ИСО/МЭК 15408-3:
  • Для СОВ 6-го класса - ОУД1 усиленный. Требования контроля НДВ не предъявляются.
  • Для СОВ 5-го класса – ОУД2 усиленный. Требования контроля НДВ не предъявляются.
  • Для СОВ 4-го класса – ОУД3 усиленный. Требования контроля НДВ – 4 класс.
  • Для СОВ 3-го класса – ОУД4 усиленный. Требования контроля НДВ – 3 класс.
  • Для СОВ 2-го класса – ОУД5 усиленный. Требования контроля НДВ – 2 класс.
  • Для СОВ 1-го класса – ОУД5 усиленный. Требования контроля НДВ – 1 класс.

Что меня смутило в РД, так это то, что для сертификации необходимо представить базу данных по обнаруживаемым вторжениям. Как авторы себе это представляют? Современная СОВ – это вам не Snort десятилетней давности, в котором все сигнатуры были в отдельном файле. Это если не вдаваться в то, что требуется именно база атак, а не база сигнатур атак. Аналогичное требование, кстати, есть и в РД ФСБ по системам обнаружения атак.

Детализация указанных выше требований указывается в 12 профилях (по 6 на каждый класс и тип СОВ). Кстати, профилей, похоже, еще нет в финальном варианте. На основании этих профилей разработчик или заявитель разрабатывает задание по безопасности и подает его на сертификацию.

Кстати, РД ФСТЭК очень сильно напоминает ФСБшные документы по СОВ по своим требованиям. Вдумчивое изучение обоих документов привело меня к мысли «а не планируют ли ФСТЭК и ФСБ объединить свои требования к СОВ в одном документе?» А вообще давно ходят слухи о создании единой системы сертификации средств защиты (ФСТЭК, ФСБ и МО). Может этот РД – это первый шаг?

А пока я предвижу следующее. Число IDS/IPS, прошедших сертификацию, будет невелико. Не исключаю, что этот процесс вообще пройдет всего две из них - "Ручей" и "Аргус". Обе отечественных системы имеют сертификат ФСБ как системы обнаружения атак. Отзывы об этих системах впечатляют ;-(  Кстати, в документах на "Аргус" есть замечательный фрагмент в скобках ;-)


ЗЫ. А еще мне непонятно, почему у этого РД гриф ДСП. Ничего даже близко похожего на закрытую информацию я не нашел. Не считать же таковой требования к СОВ 1-3-го классов? Там ничего "служебного" нет - описание указанного там функционала можно найти в документации на любую систему обнаружения вторжений. Да и в моей книжке 2000 года все это есть. Описание требований к доверию есть в международных профилях на IDS многолетней давности. Может именно поэтому данный документ уже можно найти в Интернете (если правильно сформулировать запрос в Google), как и многие другие документы ФСТЭК - СТР-К, КСИИ и т.п.

06.03.2012

О реальной и рекламной производительности средств защиты

Продолжу поднятую вчера тему о реальной производительности средств защиты. Вернемся к вчерашнему примеру. МСЭ работает на скоростях 8 Гбит/сек. Очень недурной показатель, но... прежде чем купиться на рекламу в листовке уточните при каких условиях замерялось данное значение. Может оказаться, что как и в примере с вышеприведенными 8 Гбит/сек речь идет только о UDP-трафике с двумя включенными на межсетевом экране правилами. А вы видели в реальности такую картину, чтобы только два правила и только UDP-трафик? Я нет.

Дальше больше. 800 Мбит/сек в режиме IPS. Не много и не мало. Для периметра-то должно хватить. Правда, эти 800 Мбит/сек получены в идеальном лабораторном окружении. На небольших UDP-пакетах (например, в DNS, RTP, DHCP и т.д.) производительность IPS падает до 160 Мбит/сек. В целом же производительность рассматриваемой IPS для реального трафика падает до 140, а при включенном режиме обнаружения аномалий до 130 Мбит/сек.

На эту заметку меня сподвиг анонс Cisco, который мы сделали на RSA Conference. Там мы не только анонсировали 11 новых продуктов по ИБ, но и объявили о смене методики тестирования наших продуктов с точки зрения производительности. Еще раньше мы использовали такие понятия как EMIX и IMIX, которые оперировали усредненным Интернет (Internet Mix) и корпоративным (Enterprise Mix) трафиком, проанализированным в условиях применения различных протоколов и размеров пакетов. Вот примерно так выглядели тесты 4-х межсетевых экранов (два от Cisco и два от другого вендора) в наших внутренних тестах.

Сейчас мы пошли дальше и теперь оценкой производительности наших решений будет заниматься внешняя фирма по методологии, позволяющей определить максимальную пропускную способность в условиях применения различных протоколов и размеров пакетов. Трафик смешивается в зависимости от типа сети и месторасположения тестируемого решения. Стандартная методика включает следующие типы трафика:
  • Корпоративные приложения (смесь различных видов трафика).
  • Приложения в ЦОД (преимущественно файловый, SQL и HTTP-трафик).
  • Малый/средний бизнес (преимущественно HTTP-, голосовым, SQL и файловым трафиком).
  • Операторы связи (преимущественно HTTP-, P2P-трафик, а также видео и музыка).
  • Высшее образование (преимущественно HTTP- и P2P-трафик).
В итоге результаты тестирования в реальных условиях могут выглядеть так:


Собственно к чему я это все пишу? Чтобы в очередной раз сказать очевидную вещь. При выборе средств защиты не верьте рекламе, особенно тех местах, где приводятся числовые показатели, которые могут скрывать за собой большое количество вопросов. Даже такой простой показатель, как число сигнатур атак в IPS, может сильно варьироваться от того, кто и как считает. Одни будут считать за каждую сигнатуру изменение всего одного символа в шаблоне атаки, а другие за сигнатуру засчитают сразу все возможные варианты изменения символов в шаблоне. В случае измерения производительности ситуация еще хуже. Производитель заинтересован показать пиковую производительность в лабораторных условиях. Потребителя же интересует производительность в реальном окружении. Безоговорочное доверие тут может сыграть плохую шутку с покупателем средств защиты.

05.03.2012

О реальной пользе UTM

Завязалась тут на днях у меня дискуссия с коллегами по поводу пользы UTM-решений. Казалось бы идея не имеет изъянов, т.к. действительно позволяет объединить в одной коробке сразу все востребованные функции защиты - межсетевой экран, IPS, VPN, антивирус, антиспам, URL-фильтрацию и т.д. Но как часто бывает, идея и практика - это две большие разницы. На практике очень мало кто реально включает все защитные функции сразу, ограничиваясь обычно классической триадой - МСЭ, VPN и IPS. И то, IPS часто все-таки выносят на другое устройство, которое стоит не в разрыв. Почему так? Почему потребители, платя деньги за дополнительные функции, все-таки не применяют их в реальной жизни?

Достаточно посмотреть всего лишь на один пример. Возьмем производителя Х, который предлагает UTM-решение. В рекламных материалах указана пропускная способность UTM-устройства "до 8 Гбит/сек в режиме межсетевого экрана". В принципе, ничего сверхестественного - все в пределах допустимого. Правда, и тут скрывается подвох, о котором мы поговорим завтра. Но вернемся к производительности UTM. Имея 8 Гбит/сек для МСЭ, можем ли мы рассчитывать, что такая же производительность будет и для всех остальных защитных функций? Увы. Производительность IPS составляет для этого устройства всего 800 Мбит/сек. Десятикратное падение. Если мы включим одновременно IPS и МСЭ, то производительность защитного устройства будет равняться минимальному из двух значений. Но и это еще не все.

Включаем антивирус и производительность падает еще вдвое - до 360 Мбит/сек. И то, в режиме потокового сканирования и для обычного ASCII-файла и не для всей базы сигнатур. Включаем антивирус в режим работы прокси и производительность падает до 150 Мбит/сек (а большие файлы в таком режиме и вовсе не обрабатываются).

К чему мы приходим в итоге? При включенном МСЭ, IPS и антивирусе в режиме прокси, производительность 8-мигигабитного UTM падает до 67 Мбит/сек. Так в чем тогда польза такого UTM? Не проще ли приобрести все эти решения по отдельности?

01.03.2012

Как я боролся с СМС-мошенничеством ;-)

Краткая предыстория. Искал ребенку математические ребусы для выполнения домашнего задания. Ввел запрос в Яндекс, который одной из первых ссылок выдал ресурс google-file.com (причем именно как домен второго уровня, а не третьего, как часто упоминают в Интернете про этот сервис). Зашел - выглядит как новый сервис от Google. Логотип, дизайн... Подозрений не вызвало, хотя удивление было - вообще я активный пользователь сервисов Google, но про этот не слышал (сейчас, кстати, доступ к этому сервису блокируется). Ну да ладно. Кликнул по ссылке на этом сервисе - предлагает скачать книжку с ребусами за деньги, отправленные через СМС на короткий номер. Подозрений это тоже не вызвало - я достаточно часто пользуюсь такими сервисами, когда оплата проводится через отправку СМС - суммы небольшие, а удобно жуть как.

Собственно отсюда начинается сам рассказ на тему, вынесенную в заглавие. Смска ушла, вернулся код... файла я так и не получил. Ну не получил и фиг с ним. Но на следующий день стали приходить вот такие смски.


Ну что, попался, подумал я. И на старуху бывает проруха. Пошел на сайт МТС в раздел борьбы с мошенничеством, увидел рекомендацию о том, что писать надо на e-mail: 911@mts.ru. Как и было указано на сайте, указал номера, с которых приходили подозрительные СМСки, и стал ждать ответа. Тем более, что МТС обещал все отработать оперативно - "Мы оперативно рассмотрим Ваш вопрос и, если информация подтвердится, примем меры против мошенников".

Тут обнаружилась первая засада - через 3 дня получаю ответ: "Уважаемый Клиент! Для обработки Вашего запроса не достаточно данных. Пожалуйста, уточните Ваш номер. Так же просьба сохраняйте переписку. С уважением ОАО "МТС"." Мда... моя ошибка - забыл указать свой номер мобильного. Указал, отправил обратно. Жду... Прошло 3 недели безмолвия. Справедливости ради отмечу, что и подозрительных смсок больше не было. Ну, думаю, заблокировали. Ан нет. Вчера опять приходит СМСка о том, что услуга продлена. Ну я звоню друзьям в службу ИБ МТС - объясняю ситуацию. Вопрос решается мгновенно ;-)

Всего-навсего надо было через Интернет-помощник отключить данную подписку. Поскольку в разделе борьбы с мошенничеством об этом ни слова, то решил дать тут описание процедуры отключения:
1. Зайдите в Интернет-помощник на сайте МТС:

2. В личном кабинете кликните на ссылку "Еще" справа и в выпавшем меню кликните на "Мои подписки":


3. В списке активных подписок выбираете нужную и отписываетесь:



Все, задача решена!

Для пользователей Билайна и Мегафона схема отключения аналогичная, как я понимаю. Существует еще вариант отправки специальных СМС с ключевым словом СТОП. Но это не так просто - надо четко знать, куда слать и что добавлять после СТОП (и надо ли добавлять). Для разных операторов это совершенно различные сведения. На сайте СМС-Лохотрон описаны самые распространенные платные услуги и способы отписки от них через посылку СТОП. Описанный мной способ более универсальный, но требует подключения к Интернет.

PS. В воскресенье по 1-му каналу был репортаж про СМС-мошенничество. Думаю он будет интересен многим. Судя по комментариям участников репортажа, без законодательного регулирования и национального повышения осведомленности этот вид мошенничества будет процветать и дальше. Слишком много замотивированных в таких сервисах лиц.