27.12.2013

Чем мне запомнился год 2013-й?

Последняя пятница года... Для кого-то последний рабочий день года. Пора и некоторые итоги подводить. Кто-то уже сказал, что этот год прошел в очередной раз под знаком персональных данных и действительно - не проходило месяца, чтобы не появлялось что-то по этой части. Все-таки у нас ИБ - это в первую очередь "бумага" и compliance, а уж потом реальные действия. Но все-таки были и другие события, которые запомнились в уходящем году. Часть из них самодостаточны, часть из них были не так публичны, а часть является частью чего-то большего, с чем нам еще предстоит иметь дело. К их числу я (это именно мой взгляд) бы отнес следующие:

  • Документы ФСТЭК. Я неоднократно уже писал и продолжаю так считать, что ФСТЭК сделала колоссальный шаг вперед в деле усиления государственной системы защиты информации, раскрыв свои объятия для внешних экспертов. Вторым важным моментом можно назвать возврат себе статуса методологической базы по вопросам ИБ и начало разработки очень большого количества документов по различным вопросам защиты информации - я могу назвать как минимум с два десятка документов, которые должны увидеть свет уже в 2014-м и 2015-м году. Это очень важно. Кто-то говорит, что уже опубликованные документы или их проекты сложны для понимания и реализации. Не соглашусь. Все привыкли, что в документах ФСТЭК все как у военных - делай так, делай эдак, шаг влево, шаг вправо запрещены. В гостайне это было закономерно, в динамичной среде, в которой мы живем сейчас так делать уже нельзя - задать строгие рамки невозможно. Поэтому та определенная свобода выбора, которая заложена в 17-м и 21-м приказе еще покажет свою позитивную сторону.
  • Нормотворчество 8-го Центра ФСБ. А вот с коллегами ФСТЭК по цеху ситуация прямо противоположная. Они считают себя умнее всех и, на мой взгляд, свысока смотрят на всех остальных. Я прекрасно понимаю, что они считают, что все, что они делают, они делают во благо и на благо государства, но то, как они это делают я не могу приветствовать. Почему из-за их запретительных активностей должны страдать бизнес, общество и рядовые граждане? Именно запретительных - пока ничего развивающего рынок с их стороны я так и не видел. Да и не только развивающего, а хоть как-то способствующего защите информации в их сфере деятельности (персданные, КВО, криптография и т.п.). 
  • Изменения в ЦБ. В третьем регуляторе в области ИБ запомнившиеся мне изменения происходили на нескольких фронтах. Создание мегарегулятора, смена председателя правления, смена структуры департаментов и их руководителей, новые РС и новые версии СТО 1.0 и 1.2, планы по существенному изменению 382-П. Последствия от некоторых изменений вполне себе позитивны, от некоторых пока не очевидны. А на фоне санации банковской системы многим из этих событий еще только предстоить высветиться во всей красе. Как мне кажется, предстоящая конференция в Магнитогорске должна снять некоторые вопросы и дать общее представление о том, как будет развиваться ИБ в финансовой отрасли. 
  • PCI DSS 3.0. Вышла новая версия стандарта и этим все сказано.
  • Стратегия кибербезопасности РФ. Деятельность Руслана Гаттарова воспринимается по-разному. В одном сходятся все - к теме ИБ внимание он поднял. Одной из поднятых им тем стала стратегия кибербезопасности России, которая должна была актуализировать раздел Доктрины ИБ, посвященный технологическим вопросам и использованию информационных технологий. Представители 8-ки в очередной раз продемонстрировали всю свою сущность, высказав претензии не к сути документа или его содержанию, а к одному термину ("кибербезопасность") и непониманию места стратегии в структуре высокоуровневых документов, регулирующих вопросы ИБ в России. Сейчас сложно предположить, чем закончится данная эпопея, но как минимум она заставила многих пересмотреть свои взгляды на отсутствие в стране высокоуровневых и актуальных документов по ИБ; да и в СовБезе началась движуха по этому вопросу (может и активность в Совете Федерации повлияла). 
  • Международная ИБ. Эта тема для многих является террой инкогнита. Я же в нее погрузился благодаря ПИР-Центру и считаю, что в ближайшее время эта тема еще выйдет на первый план. И причиной тому не только откровения Сноудена, но постоянно поднимаемая тема кибервойн, сотрудничество в области борьбы с киберпреступностью и т.п.
  • Откровения Сноудена. Для меня откровения Сноудена не являются ни шокирующими, но откровениями, ни чем-то требующим детального рассуждения. По крайней мере пока он не предъявил доказательств ничего такого, о чем не знал бы или не догадывался специалист. Есть заявления, которые приписывают Сноудену, но доказательств по которым никто не предъявлял. Например, якобы существующий секретный контракт, по которому АНБ выплатила RSA 10 миллионов долларов за закладку в реализации криптоалгоритма. Тут даже обычная логика подсказывает, что что-то тут не то. Во-первых, сама RSA стоила на момент покупки 2 миллиарда долларов и 10 миллионов для нее как слону дробина. Во-вторых, АНБ могла и не платить, надавив на RSA по другому. Ну и, наконец, где текст самого контракта? В общем, "Сноуден" и журналисты от его имени пошумели, но пока никаких откровений с точки зрения ИБ не было.
  • Формирование киберкомандования МО РФ. Ну тут пока мало публичной конкретики. Есть определенные шаги, есть планы. С их результатами мы, скорее всего, столкнемся в 2014-м году. 
  • Подписание Указа 31с. Аналогичная ситуация и с полусекретным Указом Президента 31с о создании государственной системы обнаружения и предотвращения атак, который подводит законодательную базу под ФСБшную СОПКУ. Деятельность по ней идет активная, но не публичная.
  • ИБ Сочи. На ИнфоБЕРЕГе мы впервые подняли тему ИБ крупных спортивных мероприятий, в первую очередь зимней Олимпиалы в Сочи (и казанской Универсиады до нее). Осталось совсем немного времени, чтобы оценить насколько Россия в состоянии обеспечивать безопасность массовых мероприятий. Именно информационную безопасность, что для нас ново. При этом, эта тема вызвала нешуточное противодействие со стороны разных официальных лиц, которые вставляли палки в колеса и не давали ее активно пропагандировать, педалируя всеми возможными способами.
  • ИБ индустриальных систем. Тема защиты индустриальных систем (АСУ ТП) тоже в этом году активизировалась как никогда раньше. Мероприятия, проекты, нормативка... В следующем году эта тема должна выйти на новый уровень, как мне кажется. 
  • Интернет вещей. Интернет вещей продолжает тему индустриальных решений, но расширяет ее до консьюмерского рынка - "умный" дом, сантехника, часы, очки, кофеварки, телевизоры, секс-игрушки... Все это потребует защиты, хотя сейчас эта тема воспринимается скорее как шутка или с юмором.
  • Облака. На Западе тема облаков ушла в тень - ее сменили "Большие данные". А вот у нас облака набирают популярность, а с ними и тема защиты самой облачной инфраструктуры, помещаемых в нее данных и приложений, соответствия законодательным ребованиям. В этом году начала писаться и нормативка по этому вопросу - причем как технологическая (со стороны ФСТЭК), так и высокоуровневая (РАЭК, Минкомсвязи и др.).
  • SDLC. Российский рынок дозрел и еще до одной темы - Secure Development Lifecycle, о которой у нас стали активно говорить Appercut Security и Positive Technologies. И хотя ни ПО не поменялось, ни угрозы, ни задачи, эта тема стала актуальной только в 2013-м году. Вероятнее всего на это повлияло появление требований ФСТЭК и проект рекомендаций ЦБ, которые предусматривают анализ ПО на предмет его качества с точки зрения ИБ. Под это дело стали появились и продукты.
  • Атаки 3-го поколения. Взлом Твиттера Associated Press, рассылка сообщений об отставке Якунина от якобы Правительства, фишинговые сайты... Примеров достаточно, а бороться сложно, т.к. атака напрямую не затрагивает жертву. Пока эти атаки носят эпизодический характер, но с течением времени их будет становится все больше.
  • Экономика и эффективность ИБ. А вот эта тема пока не стреляет как остальные, хотя я могу отметить, что в этом году ей уделяют внимания все больше и больше. Но готовых рецептов пока нет. Могу предположить, что про эти аспекты ИБ будут говорить и будут копать и исследовать. В условиях кризиса без них никуда.
  • Social Media. Мне могло показаться, но у меня сложилось впечатление, что в этом году специалистов по ИБ, которые завели себе блоги и Твиттер стало гораздо больше, чем раньше. И писать стали больше. И нести свет в массы. И грязное белье на свет тоже стали выносить чаще. Такая активность блоггеров уже дает свои плоды - и регуляторы стали реагировать на заявления в Интернет, и глупостей они меньше делают.
  • Говнопиар. Правда, и говнопиара тоже стало больше. На этом поприще отметились как отдельные эксперты, так и целые компании. В общем рынок становится зрелым и цивилизованным, перенимая не только все хорошее, но и плохое. Правда, предыдущая тенденция помогает своевременно выявлять такие факты и не давать им распространяться :-)
Вот, пожалуй, и все, чем мне запомнился год уходящий. В новом году лошади мы будем не только ржать и пахать, но и столкнемся с развитием описанных выше тенденций, а также с новыми, не менее интересными фактами на поприще информационной безопасности.

26.12.2013

Персональные данные: что было, что есть, что будет

Календарный год почти на исходе, можно подвести и некоторые итоги нормотворческой деятельности, посвященной теме персональных данных. Так уж получилось, что эта тема невольно стала в этом блоге одной из основных, заняв второе место после темы законодательства. Ну а так как я непосредственно был вовлечен в ряд нормотворческих инициатив, то эта заметка станет некоторым подведением годовых итогов.

Начнем с известных фактов, о которых я писал по мере возможности:
  1. Проект Постановления Правительства по наделению РКН новыми полномочиями в части надзора (контроля) в области ПДн подвис и о его судьбе больше ничего не известно.
  2. Законопроект Аксакова 108693-6 "О внесении изменений в статью 857 части второй Гражданского кодекса Российской Федерации, статью 26 Федерального закона "О банках и банковской деятельности" и Федеральный закон "О персональных данных" (в части смягчения режима банковской тайны) до первого чтения в Госдуме пока так и не добрался и, несмотря на прошедший ноябрь, дальнейшие шаги по нему так и не определены.
  3. Утверждение 21-го приказа ФСТЭК с мерами по защите персональных данных.
  4. Проект Указания Банка России "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных" также находится в подешенном состоянии, что связано на мой взгляд с серьезной пертурбацией в руководстве ЦБ и ключевых департаментов.
  5. Утверждение приказа Роскомнадзора "Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных".
  6. Принятие закона "О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" и Федерального закона "О персональных данных".
  7. Принятие закона "О внесении изменений в подраздел 3 раздела I части первой Гражданского кодекса Российской Федерации".
  8. Публикация разъяснения ФСТЭК по применению 17-го и 21-го приказов.
  9. Внесение бывшим кандидатом в мэры Москвы Дегтярева в Госдуму с последующим отзывом законопроекта о контроле ПДн в соцсетях.
  10. Публикация разъяснения Роскомнадзора по биометрическим ПДн.
  11. Утверждение приказа Роскомнадзора от 5 сентября 2013 г. № 996 "Об утверждении требований и методов по обезличиванию персональных данных".
  12. Публикация проекта приказа ФСБ "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".
  13. Законопроект "О внесении изменения в статью 10 Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля".
  14. Публикация проекта методического документа ФСТЭК, разъясняющего меры в 17-м и 21-м приказах.
  15. Публикация методических рекомендаций по исполнению приказа Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
И вот последний штрих - во вторник в Госдуму был внесен еще один законопроект - №416052-6 "О внесении изменений в Федеральный закон "О персональных данных" и статью 28.3 Кодекса Российской Федерации об административных правонарушениях". Это результат работы рабочей группы при Совете Федерации, в которую входил и я. Я не буду подробно рассматривать этот законопроект - мой взгляд будет слишком субъективным :-) Но Сергей Борисов уже вкратце пробежался по ключевым изменениям; думаю скоро и коллеги подтянутся. Если этот законопроект примут, то он снимет многие разногласия, возникающие при толковании отдельных норм ФЗ-152.

Из того, что планируется и что я не упомянул выше:
  1. Законопроект по внесению изменений в КоАП в части увеличения штрафов за нарушение отдельных требований ФЗ-152. Существует два законопроекта с разными составами правонарушений и разными суммами максимальных штрафов - от 300 до 700 тысяч рублей.
  2. Законопроект по внесению изменений в ФЗ "О лицензировании отдельных видов деятельности" в части четкого определения, в каких случаях нужна лицензия ФСТЭК на ТЗКИ
  3. Законопроект об административной ответственности за несообщение об инциденте с ПДн.
  4. Законопроект об административной ответственности за отказ продавца в предоставлении товара или услуги при отсутствии согласия субъекта ПДн.
  5. Законопроект о внесении в ФЗ-152 понятия "минимальный набор персональных данных".
  6. Законопроект о внесении в ФЗ-152 понятия конклюдентного согласия.
  7. Принятие новой Евроконвенции и Евродирективы по защите прав субъектов ПДн. За ней должна в теории последовать и гармонизация ФЗ-152, но так далеко у нас пока на забегали.
В мае я писал, что 2013-й год будет очень насыщенным по части персональных данных. Так и получилось. И хотя я прекрасно понимаю, что это законодательство всех уже достало и большого успеха на поприще защиты прав субъектов оно не имело, все-таки сбрасывать со счетов его нельзя.

Я бы взглянул на него немного с другой позиции. Представьте, что доводы, приведенные в статье KermlinRussia, верны и в России скоро будет ощущаться острая нехватка денег. Откуда их можно взять? Вариантов не так уж и много. Взять можно в долг у МВФ (но фиг дадут). Можно потребовать возврата долгов, но если кризис везде, то денег никто не вернет. Можно поднять цены на газ, но покупать его тогда не станут в тех объемах, которые покроют дыру в бюджете. Можно попросить у граждан, что мы и видим на примере пенсионной реформы, установке лимитов на Интернет-торговлю и т.п. Но и тут есть пределы. Наконец, можно взять у бизнеса. И мы опять видим, что последние законодательные инициативы направлены на это. И законодательство по персональным данным очень хорошо ложится именно в последнюю схему. Закон касается ВСЕХ, штрафы поднимут, регулятор начнет активнее их взимать в пользу государства. Ни о какой защите прав субъекта никто и не думает, в отличие от наполнения бюджета. А в такой ситуации о ФЗ-152 может быть и стоит задуматься...

25.12.2013

Как создать свою систему Threat Intelligence? Часть 3

Закончить трилогию, посвященную вопросу создания собственной системы Threat Intelligence, мне хотелось бы перечислением потенциальных проблем, которые могут подстерегать создателей:
  1. Отсутствие нормальной автоматизации. Обычно, при проявлении угрозы или возникновении инцидента, обмен сведениями идет по обычному телефону или e-mail, что плохо масштабируется и совсем неоперативно.
  2. Конкуренция. Это госорганам нет смысла конкурировать между собой и поэтому для них нет проблемы обмениваться угрозами и делать их достоянием узкого круга лиц, допущенных к системе ИБ-аналитики. По крайней мере в Сиэтле, где была создана такая система (Public Regional Information Security Event Management, PRISEM), конкуренции между федеральными и муниципальными органами не было. Поэтому система сбора и обмена информацией об угрозах, предусмотренная 31-м Указом Президента, имеет право на жизнь. А вот с коммерческими организациями, которые в теории могут использовать знание об инцидентах друг у друга во вред "коллегам", все может быть сложнее. Правда, у российских госорганов может быть опасение, что их накажут за низкий уровень защищенности и они будут препятствовать передаче событий в централизованное хранилище.
  3. Отсутствие доверенных источников информации об угрозах. Это проблема и проблема серьезная. Есть такие ресурсы как, например, www.malwaredomains.com. Есть и платные сервисы, распространяющие такие сведения, например, ETPro и IQRisk. Но насколько они полны и релевантны? Какое влияние на них имеют спецслужбы? Насколько они учитывают региональную специфику? Насколько оперативно они обновляются?
  4. Юридическая неопределенность. А что думают ваши юристы по поводу передачи достаточно чувствительной информации третьим лицам? А PR и внутренний контроль? Не видят ли они препятствия к передаче такой информации?
  5. Доверие. Очевидно, что оператор системы ИБ-аналитики должен быть лицом, которому доверяют все участники. Никто не хочет, чтобы информация об угрозах, с которыми приходится сталкиваться, стала достоянием гласности по халатности или банального желания заработать на "горяченьком".
  6. Объем. "Сколько вешать в граммах?" Каков объем информации достаточен для передачи в систему ИБ-аналитики? Как не передать слишком много или слишком мало? Как не утонуть в потоке событий?
  7. Отсутствие мотивации. "Почему я должен передавать информацию о моих проблемах кому-то?" Как замотивировать участников системы обмена информацией об угрозах? Одно дело, когда это стандартная функция средства защиты (как, например, подсистема глобальной корреляции в Cisco IPS), о которой могут и не догадываться пользователи, и совсем другое дело, когда речь идет о сознательной передаче чувствительной информации. Что я получу взамен, если буду передавать сведения об инцидентах? Что я могу потерять, если не буду этого делать?

Проблем немало, но это не значит, что не надо даже начинать процесс создания такой системы. В современных условиях, когда ландшафт угроз меняется постоянно, а о новых угрозах становится известно ежечасно, по старинке бороться с ними становится невозможно. Нужна автоматизация и централизация процесса сбора и обмена информацией об угрозах ИБ. И система ИБ-аналитики, вендорская или государственная, отраслевая или собственная, должна решать эту задачу.

24.12.2013

Как создать свою систему Threat Intelligence? Часть 2

Ну продолжим :-) Сразу скажу, что создание собственной системы ИБ-аналитики (хотя бы с точки зрения каркаса для последующего его наполнения данными) - задача нетривиальная. В качестве примера сошлюсь на наш собственный опыт, которым мы поделились в нашем корпоративном блоге:
  • Часть 5. Антифишинг из облака
  • Часть 4. Автоматическая категоризация и обработка спама с помощью Hadoop
  • Часть 3. Визуализация ИБ-аналитики
  • Часть 2. Использование Berkeley AMPLab Stack для эффективного применения Hadoop
  • Часть 1. Инструменты Big Data, используемые командой Cisco TRAC для ИБ-аналитики
Но это уже из области практики, до которой нам пока далеко - ведь наша первая задача - выстроить инфраструктуру, которая должна опираться на открытые стандарты. Какие это стандарты могут быть? Их на самом деле уже немало разработано:

  • TLP (Traffic Light Protocol) - простой протокол, предложенный US CERT, и позволяющий "раскрасить" информацию в 4 "цвета", от которых зависит кому можно передавать информацию об угрозах - всем, внутри отрасли или сообщества, внутри организации, нельзя передавать никому. Протокол очень просто в реализации и его можно применить даже к обычной электронной почте.
  • Протоколы и стандарты рабочей группы MILE (Managed Incident Lightweight Exchange), включающие:
    • Стандарт Incident Object Description and Exchange Format (IODEF), описанный в RFC 5070, и содержащий в формате XML свыше 30 классов и подклассов инцидентов, включая такую информацию как контакт, финансовый ущерб, время, пострадавшие операционные системы и приложения и т.д. IODEF - стандарт достаточно проработанный и уже немало где используется. Из организаций его использует Anti-Phishing Working Group, а также многие CERT/CSIRTы. Да и с вендорской поддержкой не так все плохо - SIEM постепенно интегрируют его внутрь себя.
    • Стандарт IODEF for Structured Cyber Security Information (IODEF- SCI) является расширением для IODEF, позволяющем добавлять к IODEF дополнительные данные - шаблоны атак, информация о платформах, уязвимостях, инструкциях по нейтрализации, уровень опасности и т.п. Также предлагается включить в состав IODEF-SCI часть стандартов MITRE - CAPEC, CEE, CPE, CVE,  CVRF, CVSS, CWE, CWSS, OCIL, OVAL, XCCDF, XDAS (я про них уже писал). 
    • Протокол Real-time Inter-network Defense (RID) позволяет взаимодействовать различным системам ИБ-аналитики. Построенный на базе HTTP/HTTPS он описан в RFC 6545.
  • OpenIOC - это открытый стандарт описания индикаторов компрометации (Indicator of Compromise, IOC), который первоначально был закрытой разработкой компании Mandiant (известна тем, что сделала в январе доклад о массовых атаках объектов в США со стороны Китая), но потом стал открытым. Также построен на базе XML и содержит свыше 500 различных индикаторов, преимущественно узловых (хостовых) - файл, драйвер, диск, процесс, реестр, система, хэш и т.п. Пока OpenIOC - это преимущественно епархия продуктов Mandiant, но постепенно он начинает проникать и в другие компании-разработчики.
  • VERIS (Vocabulary for Event Recording and Incident Sharing) - стандарт американской Verizon, ориентированой в отличие от тактического OpenIOC на стратегический взгляд на информацию об угрозах и инцидентах. По сути это некий единый язык для описания и обмена информацией об инцидентах. Схема VERIS состоит из 5 частей - отслеживание инцидента, описание инцидента, демография жертвы, оценка ущерба и реагирование, каждая из которых в свою очередь делится на различные типы данных и переменные.
  • Протоколы и стандарты MITRE, включающие:
    • Стандарт CybOX (Cyber Observable Expression) предназначен для описания индикаторов наблюдаемых событий безопасности. Сегодня уже представлено свыше 70 различных описываемых объектов - файл, сетевая соединение, HTTP-сессия, сетевой поток (Netflow), сертификат X.509 и т.п. 
    • Стандарт STIX (Structured Threat Information Expression) позволяет унифицировать описание различных угроз. Про STIX я уже писал.
    • Стандарт TAXII (Trusted Automated eXchange of Indicator Information) позволяет унифицировать обмен данными об угрозах. Про TAXII я уже писал. Он уже используется в центре обмена информацией об угроза в финансовой отрасли США (FS-ISAC), некотором аналоге банковского CERT, о котором у нас недавно заговорили.
  • Европейские стандарты, включающие:
    • Стандарт VEDEF (Vulnerability and Exploit Description and Exchange Format) для обмена информацией об уязвимостях и эксплойтах, разработанный рабочей группой при TERENA.
    • Стандарт SecDEF (Security Description and Exchange Format) по обмену различной информацией в области безопасности. Инициирован ENISA, но пока широко не применяется и не опубликован.
    • Стандарт CAIF (Common Announcement Interchange Format), предложенный немецким RUS-CERTом для обмена формализованными бюллетенями по безопасности.
    • Стандарт DAF (Deutsches Advisory Format / German Advisory Scheme), также предложенный другим немецким CERTом.
На базе данных стандартов и создаются системы ИБ-аналитики. Это можно делать самостоятельно, а можно взять также готовые framework, уже интегрирующие между собой различные компоненты и стандарты, решающие описанные вчера задачи. К таким framework'ам можно отнести:
  • CIF (Collective Intelligence Framework), разработанная REN-ISAC (центр обмена информацией об угрозах для американских ВУЗов и исследовательских организаций), поддерживаемая рядом организаций, позволяет собирать и объединять информацию об угрозах из различных источников и использовать ее для идентификации индидентов, обнаружения и нейтрализации угроз. Нейтрализация заключается в генерации правил для Snort, iptables и других средств защиты. CIF преимущественно работает с IP-адресами, доменными именами и URL, связанными с вредоносной активностью. В качестве формата хранения информации использует IODEF. 
  • The MANTIS (Model-based Analysis of Threat Intelligence Sources) Framework - это новая инициатива, которая объединяет вместе вышеперечисленные стандарты OpenIOC, IODEF,  CybOX, STIX, TAXII (последний в процессе разработки). Пока сказать что-то конкретное про эту систему рано - она только-только появилась.
Есть и еще один проект, который позволяет собирать и обмениваться информацией об угрозах - это Open Threat Exchange. И хотя он построен на OSSIM (open source SIEM), все-таки он зарубежный и учитывая исходные предпосылки врядли подойдет для "нашей" задачи. По состоянию на начало прошлого года через него обменивались информацией свыше 18000 внедрений OSSIM по всему миру. Также он может обмениваться информацией с CIF.

Резюмируя обзор стандартов и framework'ов для создания собственной системы ИБ-аналитики в целях отраслевой CSIRT или национального центра обмена информацией об угрозах (как написано в 31-м указе), могу предположить, что если не создавать систему с нуля, то наиболее предпочтительной выглядит CIF. Во-первых, ее можно докрутить под свои нужды. Во-вторых, она уже прошла апробацию временем и существует опыт ее использования. И, наконец, генерация правил для Snort, на базе которого построено несколько сертифицированных в России отечественных систем обнаружения атак. Учитывая рост их числа, могу предположить, что ФСБ решило реализовывать 31-й указ не на том, что реально работает, а на том, что хоть как-то контролируется (открытый Snort тут как нельзя лучше подходит). Соответственно CIF тут подходит лучше MANTIS. Для отраслевой же CSIRT третий критерий не столь критичен.

23.12.2013

Как создать свою систему Threat Intelligence?

На прошлой неделе я несколько раз коснулся темы исследований угроз (threat intelligence). Сначала в корпоративном блоге Cisco, потом в этом блоге, потом в виде краткого анализа последних сделок на рынке ИБ, которые фокусировались тоже вокруг Threat Intelligence. А тут и Gartner в своем отчетном документе по ИБ за 2013-й год заявил, что аналитика в области ИБ становится краеугольным камнем любой эффективной системы защиты и эта тенденция будет только нарастать. Но при этом большинство экспертов со стороны производителей средств защиты признает, что такая система аналитики может быть построена только в облаке, т.к. сам по себе потребитель не в состоянии выстроить все процессы с нуля и, самое главное, поддерживать их на должном уровне. А если учитывать, что абсолютное большинство всех аналитических облаков у нас находится за границей (подозреваю, что KSN по большей части тоже), то у российских потребителей возникает закономерное опасение - а не отключат ли супостаты в час Х российские информационные системы от получения обновлений и не сделают ли их беззащитными во время потенциальной кибервойны (да и случайный выход из строя вполне возможен)? По мне так это паранойя, сродни ядерной угрозе. В здравом уме никто не будет развязывать войну, даже в условиях превосходства. Но опасения есть - что-то же надо с ними делать?

Альтернативу чужеродной западной ИБ-аналитике из облака я вижу только одну - создать такую систему самостоятельно, в рамках собственного предприятия, группы компаний или отрасли. Например, на конференции по банковской ИБ в Магнитогорске по инициативе Банка России будет обсуждаться тема создания банковского CERTа, одной из задач которого может стать именно Threat Intelligence. Да и вообще тема CERTов сейчас начинает потихоньку развиваться как на частном, так и на государственном уровне.

Поэтому ближайшие пару дней я посвящу именно этой теме. Но начну с краткого обзора задач, которые должна решать такая система:

  • Автоматизированные экспорт и импорт индикаторов угроз из / в различных источников в стандартизованном формате.
  • Автоматизированные экспорт и импорт информации об инцидентах из / в различных систем в стандартизованном формате.
  • Выборка данных по определенным атрибутам и их наборам.
  • Запросы, импорт, экспорт и управление данными через пользовательский интерфейс.
  • Обмен данными с другими системами по определенным атрибутам.
  • Экспорт данных для систем защиты (МСЭ, систем предотвращения вторжений и т.п.) по различным критериям.
  • Обеспечение конфиденциальности, целостности данных и сервисов ААА.

В качестве возможных источников индикаторов угроз, составляющих основу Threat Intelligence, могут выступать

  • Списки скомпрометированных и зараженных сайтов
  • Списки фишинговых ресурсов
  • Управляющие узлы ботнетов
  • Фальшивые DNS-сервера.
Не так много, но и не так мало (это без информации об уязвимостях, самих атаках и итных событиях безопасности). Откуда вы будете брать эти данные? Опираться на какие-то внешние источники или проводить собственные исследования? Если источники внешние, то откуда они? Не окажется ли так, что вы все равно столкнетесь с облачной ИБ-аналитикой, приходящей от потенциального врага? В России я сходу не вспомню открытых источников таких данных. Что-то есть у Positive Technologies, что-то у Лаборатории Касперского, что-то у Dr.Web, что-то у Group-IB, но не все публично и не все формализовано.


Но допустим мы решили вопрос с источниками данных, что дальше? А вот про "дальше" мы поговорим завтра...

19.12.2013

Blue Coat покупает Norman Shark, а внимание к компаниям, занимающимся новыми угрозами, растет

Известная компания Blue Coat (входит в портфолио инвестиционной компании Thoma Bravo) объявила о приобретении Norman Shark, которая называется, как обычно, глобальным лидером, только в области анализа вредоносного кода. Детали сделки не разглашаются.

В мае 2013-го года BlueCoat сделал еще пару приобретений. Они купили Solera Networks, занимающуюся аналитикой целенаправленных вредоносных угроз, и линейку SSL-продуктов у компании Netronome. А год назад, 17 декабря, BlueCoat купила Crossbeam, о судьбе и каких-то ярких новинок после этого перестало быть слышно, как я и писал.

Вообще, акцент на аналитике современных угроз и вредоносного кода, - это не сиюминутная игра, а скорее тенденция. Как я писал двумя днями ранее, облачная аналитика ИБ - это на сегодняшний день единственная альтернатива росту сложности и числу угроз. Поэтому закономерно внимание крупных игроков рынка ИБ к компаниям, которые разрабатывают технологии по анализу вредоносной активности. В октябре F5 купила Versafe, в июле Cisco купила Sourcefire с ее группой Vulnerability Research Team, в июне Malwarebytes купила ZeroVulnerabilityLabs, в январе Cisco купила Cognitive Security. Еще одним примером, доказывающим важность аналитики и новых технологий в области борьбы с вредоносным кодом, является вхождение питерской компании Cezurity в группу компании Infowatch.

Роскомнадзор выпускает неплохую методичку по обезличиванию персональных данных

Роскомнадзор выпустил разъяснение по исполнению приказа РКН от 5 сентября 2013 г. № 996 "Об утверждении требований и методов по обезличиванию персональных данных". На мой взгляд - это тот нечастый случай, когда регулятор сработал скорее во благо операторов ПДн и предложил методику снижения обременений, которая позволяет не применять в отношении обезличенных данных организационные и технические меры защиты, разработанные в свою очередь ФСТЭК и ФСБ. Это не значит, что обезличенные данные не надо защищать; просто уровень и способы этой защиты выбираются уже самим оператором ПДн, а не регулятором. Правда, на мой взгляд, нынешние документы ФСТЭК и так позволяют достаточно гибко выбирать защитные мероприятия (не все коллеги со мной согласны в этом) и, по сути, методичка РКН направлена против жестких и параноидальных требований 8-го Центра ФСБ, которые я уже описывал.

Вторым несомненным достоинством документа является его методологическая составляющая. Он не просто говорит, делайте так и так. Он предлагает для разных сценариев обработки ПДн альтернативы, описывает их преимущества и недостатки, дает примеры применения. Это то, чего так не хватает российской регуляторике, ориентированной только на требования без описания особенностей их применения и реализация. Когда ФСТЭК выпустит свои методические рекомендации по реализации 17-го приказа, у нас останется только один регулятор (понятно какой), который игнорирует здравый смысл и, на мой взгляд, вполне осознанно и целенаправленно выпускает требования либо невыполнимые, либо допускающие двойственные и тройственные толкования.

В методических рекомендациях Роскомнадзора приведена таблица соответствия методов обезличивания свойствам обезличенных данных, рассмотрены вопросы организации обработки обезличенных данных, правила и рекомендации по работе с обезличенными данными.

В пресс-релизе Роскомнадзора указано, что предложенная методология обезличивания прошла процедуру согласования в Минкомсвязи России, а также обсуждение с экспертным сообществом в рамках консультативного совета при Роскомнадзоре, но я лично этого не помню и документ нам не рассылался. Но к счастью это не так уже и важно - документ получился достаточно неплохой, хотя с первого раза его будет непросто понять тем, кто ни разу не сталкивался с обезличиванием.

Документ является приложением к обязательному приказу №996 для государственных и муниципальных предприятий. Контроль исполнения рекомендаций планируется осуществлять со второго квартала 2014 года. Для коммерческих операторов ПДн документ носит рекомендательный характер, но я не думаю, что регуляторы будут иметь претензии, если коммерческий оператор ПДн реализует его и будет ссылаться на него в своих внутренних документах.

17.12.2013

А вы готовы к облачной аналитике в области ИБ?

Про эволюцию угроз сказано уже немало и разными компаниями. Почти каждый конец года знаменуется различными апокалиптическими прогнозами о будущем киберпространства и киберугроз. Чуть меньшее количество компаний связывает различные угрозы с разными классами защитных средств, доказывая и показывая, что серебряной пули не бывает и каждое защитное средство предназначено для решения своей собственной задачи. Это, в общем-то, очевидно, но до сих нередко приходится слышать про спасительные пилюли "все в одном", которые якобы достаточно поставить на периметре и она решат все проблемы. Однако мало кто обычно говорит об инструменте, который и делает средства защиты эффективными, - о системе принятия решения.

Сегодня я написал заметку в нашем корпоративном блоге на тему облачной ИБ-аналитики, как одном из основополагающих трендов на ближайшие годы у абсолютного большинства производителей средств защиты, исключая, вероятно, СКЗИ. И хотя в заметке я описывал эту технологию на примере Cisco и приобретенной нами Sourcefire, мы далеко неединственный производитель, который обратился к вынесению системы принятия решения за пределы потребителя. По этому принципу сегодня работают многие компании:
  • Cisco - Cisco Security Intelligence Operations
  • Sourcefire - Sourcefire Cloud-based Sandbox
  • Лаборатория Касперского - Kaspersky Security Network (KSN)
  • ESET - ESET Live Grid
  • TrendMicro - TrendMicro Smart Protection Network
  • HP - HP Reputation Digital Vaccine и ThreatLinQ
  • Symantec - Symantec Global Intelligence Network
  • Cezurity (часть ГК Infowatch) - Cezurity Cloud
  • и т.д.
Основными решаемыми такими "облаками" задачами можно назвать:

  • Снижение размера системы защиты и объема обновлений, что особенно актуально для мобильных устройств. 
  • Автоматизация процесса защиты от непрерывно растущего числа угроз, которые при этом еще и постоянно усложняются.
  • Снижение времени реакции на новые угрозы.

В целом преимуществ у такой технологии немало; их неплохо описали в статье Лаборатории Касперского. Я бы хотел коснуться двух особенностей облаков ИБ-аналитики, о которых мало кто пишет. Но не потому, что это секретная информация и ее тщательно скрывают. Просто во многих странах, особенно в тех, в которых сидят штаб-квартиры компаний-р
азработчиков, уровень проникновения Интернет достигает 98%, что делает там первую российскую особенность неактуальной. Речь идет о каналах связи - об их надежности, качестве, пропускной способности. Когда у вас скорость Интернет-подключения составляет десятки мегабит или даже гигабит в секунду, а канал в Интернет резервируется не только на уровне внутренних линков или оборудования, но и на уровне провайдеров, то вы даже не задумываетесь, как работает система защиты и на основании чего она принимает решение о блокировании угрозы. А теперь обратим свой взор на Россию. Какие риски существуют у нас?Их три:

  • Низкое качество связи даже в крупных региональных центрах. Во время написания этой заметки у меня Интернет то пропадал, то появлялся, и заявленная в 50 МБит/сек скорость регулярно снижалась до нескольких сотен килобит.
  • Отсутствие Интернет на удаленных площадках или дороговизна Интернет-канала по причине отсутствия конкуренции или используемых технологий (например, спутниковый Интернет за Полярным кругом).
  • Менталитет, приводящий к невозможности или нежеланию передачи пусть и обезличенной, но все же чувствительной информации производителю средства защиты. Даже если представить, что никакой конфиденциальной информации в передаваемых данных нет, в условиях вселенской паранойи некоторых отечественных регуляторов, потенциального повтора Сноуденовского сценария, запрета передачи информации госорганами за пределы государственной границы РФ, работа облачной ИБ-аналитики становится под вопросов.
  • Случайное блокирование IP-адресов облачного сервиса по решению Роскомнадзора, суда, прокурора, его брата, зятя, тестя и других уполномоченных лиц. Такие случайные блокировки нередки в последнее время и сбрасывать со счетов этот риск нельзя. 

При таких условиях ни о каком анализе угроз в реальном времени говорить в России не приходится. Но и отказываться от технологии облачной ИБ-аналитики тоже нельзя - она сейчас является единственным решением проблемы с постоянным ростом числа и сложности киберугроз.

Что делать? Для потребителя рекомендация будет одной - учитывать вышеприведенные риски и готовиться к их снижению различными методами (расширение канала, SLA, резервный провайдер, развертывание частного облака ИБ-аналитики и т.д.). Нельзя забыть и про регуляторов (ЦБ, ФСТЭК, ФСБ...), которые сейчас активно пишут нормативную базу, регламентирующую различные вопросы в области информационной безопасности. Им стоит учитывать, что даже сейчас сделать абсолютно замкнутую контролируемую зону невозможно, т.к. средству защиты необходимо обновляться. Через год-другой средств защиты, базирующихся на знании угроз (не используют эту информацию, пожалуй, что только СКЗИ) и не обновляемых через облако ИБ-аналитики не останется. Блокирование возможности обновления, или требование обновления по гостированному каналу, или требование обновления с сервера, находящегося в России, будет невыполнимо, что поставит крест на применении многих современных защитных технологий.

16.12.2013

8-й Центр могут разогнать из-за челябинского математика?!

Пришла тут новость из Челябинска - уральский ученый Анатолий Панюков доказал равенство классов P и NP (одна из семи математических проблем тысячелетия по версии Институт Клея). И новость эта имеет прямое отношение к современной криптографии, которая исходит из применения асимметричной криптографии для передачи криптографического ключа. Большинство ученых считает, что эти классы неравны и именно на этом "неравенстве" и построены многие современные асимметричные криптографические алгоритмы, относимые к классу NP.

В 2012-м году луганский кандидат технических наук Анатолий Плотников опубликовал свой вариант доказательства, правда, с точностью до наоборот. Он доказал, что эти классы неравны. Свое доказательство он вроде как отправил в Институт Клея на проверку, но на сайте Института до сих пор висит надпись, что проблема равенства/неравенства классов P и NP не решена (в 2010-м году такую попытку предпринял сотрудник HP Виней Деолаликар, но потом оказалось, что в его доказательстве есть ошибки). Доказательству челябинского математика еще только предстоит проверка и вполне может оказаться так, что 30 лет его исследований тоже ошибочны. Я сейчас не готов обсуждать правоту нашего соотечественника; можно сказать точно, что он пополнит список из 100 с лишним "доказательств" равенства/неравенства классов P и NP. Меня в этой истории заинтересовало совсем другое.

А что если на секунду представить, что Анатолий Панюков прав?.. Ведь тогда современной криптографии придет конец. По крайней мере ее коммерческой составляющей. И останется нам перейти на шифр Вернама, обладающий абсолютной криптографической стойкостью. Ну и что, что нужно истинно случайный ключ. Ну и что, что есть сложность с гарантированным уничтожением одноразового ключа. Ну и что, что длина ключа должна быть равна длине защищаемого сообщения и в современных условиях длины ключей будут колоссальными. Ну и что, что система плохо масштабируема. Других-то вариантов что-то в памяти не всплывает.

Но даже в случае с шифром Вернама встанет вопрос - как мы будем обмениваться криптографическими ключами? Асимметрия нам не сильно поможет, так как ее надежность будет поставлена под сомнение доказательством классов P и NP. И сейчас-то регулярно всплывает вопрос о необходимости пересмотра безопасной длины ключей (за последние 30 лет "безопасная" длина ключа для симметричной криптографии увеличилась все вдвое, а для асимметричной уже в 10 раз). Схемы с разделением секрета могли бы помочь, но тоже не все, а только те, которые не рассчитаны на неравенство классов P и NP.

Проблему с распределением ключей могла бы решить квантовая криптография (хотя правильнее было бы ее называть "квантовые коммуникации"), перенеся решение из области математики в область физики. Правда, пока массового применения квантовой криптографии нет и врядли в ближайшие пару лет оно произойдет.

Собственно к чему эта заметка, если даже еще не понятно, а действительно ли челябинский математик нашел доказательство проблемы тысячелетия? А к тому она, чтобы задаться вопросом: "А что если?" Есть ли у нас (у криптографов, у регулятора, у производителей, у потребителей) резервный план на случай доказательства P=NP? Что мы будет делать, если это действительно так и такое доказательство найдет практическое применение в криптографии? У меня ответа пока нет...

PS. Симметричная криптография не умрет. И некоторая эллиптика тоже. Вот только с "традиционной" асимметричной криптографией (RSA и иже с ним) будут сложности. Разумеется, от доказательства P = NP до реального взлома алгоритма пройдет время. Но задуматься стоит в любом случае...

12.12.2013

Безопасность в плену архаичных технологий

Технология №1. E-mail

Обращали ли вы внимание, что наша персональная безопасность очень сильно привязана к нашей электронной почте, а точнее к ящику электронной почты? И дело даже не в том, что потеряв/забыв пароль к своему ящику, вы лишаетесь всей почты, возможно, за долгие годы. Дело в другом - именно к вашему e-mail привязаны многие сервисы в Интернет и электронная почта - единственный ваш идентификатор и аутентификатор. Могу ошибаться, но по моим ощущениям около 90% всех Интернет-сервисов опираются только на e-mail в вопросе установления подлинности пользователя. Достаточно украсть учетную запись и вы получаете доступ ко многим ресурсам, к которым раньше жертва имела доступ.

Рекомендация будет простой - беречь свой почтовый account с молоду :-) Задействуйте те защитные меры, которые предлагают почтовые сервисы - ограничения точек входа, контроль точки последнего входа и т.п.

Технология №2. Секретный вопрос

Вторая архаичная технология - "секретный вопрос", которая позволяет вам восстановить доступ к тем или иным ресурсам, включая и электронную почту, от которой забыт или украден пароль. И тут владельцы многих сервисов не слишком активно проявляют фантазию - список "секретных вопросов" о-о-о-о-чень ограничен. Либо это банальный "девичья фамилия матери", либо "имя домашнего животного". Очень мало кто выходит за рамки этих двух вопросов, которые при современном развитии технологий OSINT не дают шансов на скрытие этой информации от интересующегося ока. Достаточно зайти на страницу пользователя в Facebook, ВКонтакте, Одноклассниках, как первая же фотка будет с домашним котэ или псом, а в списке друзей обнаружится и мама, у которой в скобочках обычно стоит девичья фамилия. Номер школы, город поступления в первый класс, любимая музыкальная группа, любимый фильм, имя супруги... Ответы на все эти "секретные" вопросы узнаются за несколько минут не шибко кропотливого поиска.

Рекомендация будет простой - прежде чем выбирать секретный вопрос подумайте, а такой ли он секретный и не ответили ли вы на него в социальных сетях или на иных Интернет-ресурсах? Если вам предлагается возможность самостоятельно выбрать вопрос, то будьте нетривиальны и задайте то, что можете знать только вы и может быть еще 1-2 человека - "месяц, когда у вам был первый секс", "имя вашей первой любви" (тоже часто публикуется, но все лучше "девичьей фамилии матери"), "название пионерского лагеря" (для нынешней молодежи лучше не применять), "первая компьютерная игрушка", "модель второго компьютера"... Если уж вас ограничили в списке вопросов, то хотя бы модифицируйте ответ. Например, к девичьей фамилии добавьте какую-то комбинацию символов.

Технология №3. Текстовый пароль

Текстовый пароль - это, наверное, самая первая защитная технология, которая приходит на ум рядовому пользователю. И пароль этот обычно текстовый и долгоиграющий, потому что мы пока не привыкли к одноразовым паролям, аппаратным токенам, графическим или звуковым паролям, парольным фразам и другим способам повысить низкую защищенность применения классических паролей. Мы привыкли, что пароль должен быть сложным и пытаемся выбрать нечто совершенно неудобное, сложнозапоминаемое и легкозабываемое. Ну зачем в пароле использовать символы в разных регистрах и спецсимволы? Почему недостаточно только букв в одном регистре и цифр (а можно и без цифр)? Потому что кто-то когда-то вбил себе в голову, что мощность алфавита пароля как-то влияет на сложность его подбора. Влияет... но линейно. А вот длина пароля влияет экспоненциально. Но формулу Андерсона уже мало кто помнит (а кто-то и вовсе не учил) и поэтому мы регулярно видим на разных сайтах при попытке ввести "слабый" пароль предупреждение, что "Вы должны использовать комбинации символов в разных регистрах, с использованием букв, цифр и спецсимволов". А итог печален - пользователь не запоминает такой пароль и записывает его в "труднодоступном" месте - в смартфоне или на бумажке, забытой в столе.  Да и сама форма пароля в виде текста - это анахронизм, пришедший к нам из времен, когда компьютеры могли эффективно работать только с ASCII. Тогда только как тексовым пароль и не мог быть. Сегодня технологии шагнули далеко вперед и возможно применение разных методов ввода пароля - графический, звуковой, биометрический и т.п. Почему бы авторам разных сервисов для разных платформ не использовать РАЗНЫЕ варианты ввода пароля?

Рекомендация будет следующей - если уж вам не оставляют вариантов и предлагают только текстовый пароль, то ориентируйтесь не на отдельные слова, а лучше на целые фразы (или определенные символы в словах фразы). И концентрируйтесь не на мощности алфавита, а на длине пароля.

11.12.2013

По мнению СВР и МИД деятельность частных CERT незаконна

Вчера я выступал на семинаре ПИР-Центра, посвященного вопросам обеспечения кибербезопасности в странах Юго-Восточной Азии, презентацию с которого и выкладываю. Получилось достаточно интересное мероприятие - особенно занятной была дискуссия про CERT/CSIRTы.

По словам представителей спецслужб (СВР) в России действует целая куча CERTов, и создавались они в рамках Римско-Лионской группы при G8 и отечественные спецслужбы принимали непосредственное участив в их создании, что CERTы могут быть только государственными и вообще в России с CERTами все хорошо и никаких частных и новых CERTов нам не надо :-) Убедить в неправоте представителей СВР не удалось (да и не ставилась такая задача). Они просто путают контактные пункты сети 24/7, которая применялась в ходе расследования серьезных преступлений, связанных с использованием высоких технологий. Инициатива эта важная, но к реальным CERT/CSIRT никакого отношения она не имеет.

Ну да спецслужбы у нас живут на своей планете и о реальной жизни (не ограниченной только интересами государства) имеют очень отдаленное представление. Чего только стоит удивление сотрудника МИД, который с уверенностью, достойно похвалы, доказывал, что в случае возникновения инцидента ИБ обращаться надо не в частные CERTы, а в правоохранительные органы, которые с радостью помогут изобличить киберпреступников :-) А еще МИД и СВР волнует не реальная борьба с инцидентами ИБ, которая ведется частными CERTами (в частности CERT-GIB), а вопрос "На каком основании частный CERT проводит свои расследования?" (право на ОРД имеют только правоохранительные органы) и "Какое право частный российский CERT имеет на доступ к заграничным Интернет-ресурсам?" (МИД считает, что киберпреступление в России может не считаться таковым в другой стране и доступ к чужому сайту российским частным CERT может быть истолкован как вмешательство во внутренние дела другого государства и даже акт агрессии). Вот такая позиция у наших властных структур...



10.12.2013

Agile security или непрерывно меняющаяся безопасность

Весной, когда горячо любимая компания ICL КВО ВС спрашивала меня о том, что я мог бы прочитать на IT & Security Forum, я предложил несколько тем, которые на мой взгляд должны были быть интересными слушателям. В итоге были выбраны две - "Альтернативный курс по информационной безопасности" и "Бизнес-модели в деятельности безопасника". Еще одна предложенная тема была связана с измерением эффективности ИБ и, наконец, про agile-методологию в области информационной безопасности. Вот к последней мне и хотелось бы вернуться.

Подтолкнул меня к этому диалог с Геннадией Атамановым, который на сайте BISA высказал (тут и тут) не новую, но на мой взгляд тупиковую в современных условиях идею, что нельзя ни в коем случае улучшать и предлагать изменения в документы ФСТЭК, ФСБ, Совета Федерации, пока не будет изменена вся концепция защиты информации в России. У Геннадия якобы есть своя всеобъемлющая теория безопасности и она является единственной верной и правильной, а все, что делает ФСТЭК, ФСБ, Совет Федерации и иже с ними - пустая трата времени и никому не нужна, т.к. эти действия похожи на метания без цели и "заплаточный метод". Я все-таки не сторонник перефразированного Интернационала "весь старый мир мы разрушим до основанья, а затем мы наш, мы новый мир построим...", скорее наоборот.

И вот тут на память приходит аналогия с методологией agile-разработки программного обеспечения, основными идеями которой являются (цитирую по Википедии):

  • люди и взаимодействие важнее процессов и инструментов;
  • работающий продукт важнее исчерпывающей документации;
  • сотрудничество с заказчиком важнее согласования условий контракта;
  • готовность к изменениям важнее следования первоначальному плану.
Применительно к информационной безопасности это могло бы означать:
  • безопасность обеспечивают живые люди, от поддержки которых руководством и доверия к ним, зависит эффективность конечного результата и всего процесса;
  • важно не "бумажное" соответствие, а реальная система защиты, нацеленная на потребности бизнеса;
  • сотрудничество с людьми (сотрудниками, клиентами, различными подразделениями, партнерами) важнее формального выполнения редко меняющихся требований политик и концепций;
  • в условиях динамичности защищаемой среды, постоянного изменения ландшафта угроз и непрерывно меняющегося законодательства необходимо быть готовым к изменениям и необходимо внедрять изменения по мере их появления, не дожидаясь окончания очередного этапа какого-нибудь жизненного цикла.
В Казани я хотел рассказывать про agile-методологию только применительно к теме законодательства и коснуться вопроса - "как выполнять различные требования различных нормативных актов в условиях их непрерывного изменения". Сейчас же я понимаю, что тема agile близка ИБ в целом, а в последнее время особенно. 

Разумеется, у agile-подхода есть и недостатки. Основной из них - отсутствие четкого плана действий. Задачи решаются по мере их поступления и зачастую такие решения могут противоречить прежним решениям. Но такова жизнь. Жить по плану в ИБ можно в области защиты государственной тайны, в которой объектов контроля не так много, доступ к ним сильно ограничен и количество изменений на этих объектах ничтожно мало. А вот на "коммерческих объектах" жизнь по плану малоэффективна - его не удается зафиксировать и приходится часто отходить от первоначальной задумки. Но если в agile-методологии - это норма, то при классическом построении системы защиты - любое отступление от плана рассматривается как катастрофа.

Геннадий (см.выше) сторонник именно традиционного подхода. Он считает, что ФСТЭК (и другие регуляторы) должна сначала методологически правильно и теоретически верно выстроить общую идеологию защиты информации, а потом последовательно закрывать ее элементы отдельными нормативными актами. Лет 20 назад такой подход был бы верен. Сегодня, к сожалению, он не соответствует реалиям. Еще в прошлом году на слуху у всех была мобильность, в этом облака, а в следующем уже будут "Большие данные". Через год-другой "Интернет вещей" активно вольется в практику обеспечения ИБ российского предприятия. Каждый раз перестраивать концепцию защиты?.. Утопия. Необходимо идти маленькими шажками и закрывать насущные проблемы и задачи^ что ФСТЭК и делает.





Аналогичная agile-методология может найти свое применение (и можеь быть даже в большей степени) и в корпоративной среде, которая более динамична, чем государственные или мниципальные учреждения.

09.12.2013

Стратегия кибербезопасности России: текущий статус

НидерландыИспанияТурцияВенгрия, Польша, Индия,  приняли в этом году свои стратегии кибербезопасности. Кения, Монтенегро и Уганда на подходе. Россия тоже не отстает и с конца прошлого года ведет работы по созданию собственной национальной стратегии кибербезопасности. Я про начало этого процесса уже писал, но с тех пор воды утекло немало. 29 ноября в Совете Федерации прошли парламентские слушания по этому вопросу, на котором была представлена Концепция данной стратегии. Надо заметить, что отношение к стратегии неоднозначное - о чем я писал еще в феврале.

Несмотря на то, что основополагающий документ по информационной безопасности в России (Доктрина ИБ) был принят еще в 2000-м году, с тех пор он так и не менялся. И это несмотря на то, что и потенциальные противники выпустили уже свои документы (а некоторые уже и не первый раз), и технологии сильно поменялись, и в стране произошли некоторые изменения. Но мы по-прежнему живем по документу более чем десятилетней давности. Именно этот пробел и должна была устранить разрабатываемая стратегия. При этом авторы сознательно ушли от термина "информационная безопасность", который помимо чисто технократичных угроз и вопросов доступа к информации рассматривает также и угрозы, связанные с негативным воздействием информации на человеческое сознание и поведение (информационные войны, манипулирование сознанием и т.п.). Поэтому и было принято промежуточное решение использовать термин "кибербезопасность".

Однако ФСБ, а точнее 8-й Центр, на Парламентских слушаниях прицепился именно к терминологии и отсутствию четкого места Стратегии в системе иных документов, касающихся национальной безопасности. По тексту документа они предложений или замечаний не высказали, опять обойдя вниманием конкретику, как это часто бывает с 8-м Центром в последнее время. Такое впечатление, что они застыли в конце 90-х - начале 2000-х годов и там и живут, принимая совершенно неадекватные реалиям нормативные документы. Почему-то другие ведомства не чураются новаций и принимают/разрабатывают и "Основы госполитики в области международной ИБ", и "Основы госполитики в области формирования культуры ИБ", и т.д. Может именно по причине отсутствия движения вперед и топтания на месте Совет Безопасности покинул замсекретаря Климашин Н.В. (он же руководитель межведомственной комиссии СовБеза по ИБ, он же бывший первый заместитель директора ФСБ, он же бывший руководитель НТС ФСБ, он же ВРИО гендиректора ФАПСИ)? Да и в отношении 8-го Центра ходят слухи о недовольстве им в высших эшелонах власти по причине хоть какого-нибудь стимулирования развития ИБ в России и установления одних запретов. Но вернемся к Стратегии кибербезопасности...

Работа по ней продолжается - в рамках Парламентских слушаний были высказаны некоторые замечания и предложения (хотя все, кроме 8-го Центра, высказали позитивную оценку данной работы Совета Федерации и сенатора Гаттарова, ее инициировавшего), которые будут рассмотрены в самое ближайшее время на заседании рабочей группы. По окончании работ Председатель Совета Федерации, Матвиенко В.И. должна внести Стратегию на рассмотрение Совета Безопасности.

06.12.2013

Расширение прав Роскомнадзора в части проведения внеплановых проверок по линии ПДн

Все знают, что Роскомнадзор регулярно проводит внеплановые проверки, опираясь на свой административный регламент, в котором таких оснований гораздо больше, чем в ФЗ-294 о защите прав юрлиц при осуществлении государственного контроля и надзора. "Одним из таких оснований является поступление в государственный орган обращений и заявлений граждан о фактах нарушения прав потребителей (в случае обращения граждан, права которых нарушены).

Права потребителей являются общепризнанными правами человека и гражданина наряду с множеством иных личных неимущественных прав, в том числе, правом на неприкосновенность частной жизни, личную и семейную тайну. При этом, нарушение права потребителей выделено из всего многообразия прав и свобод человека и гражданина как основание для проведения внеплановой проверки.

Исходя из общих принципов права в Административном регламенте исполнения государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, утвержденном приказом Минкомсвязи России от 14 ноября 2011 г. №312, в качестве основания для проведения внеплановой проверки предусмотрено обращение гражданина о нарушении его прав как субъекта персональных данных. Данный нормативный акт зарегистрирован в Минюсте России 13 декабря 2011 г., регистрационный № 22595.

Однако, на практике применение данного основания проведения внеплановой проверки ставится под сомнение отдельными интернет-экспертами, а также некоторыми органами прокуратуры в силу буквального толкования ими положений Федерального закона № 294-ФЗ.

В связи с чем, граждане-субъекты персональных данных не получают гарантированной Конституцией Российской Федерации государственной защиты своих прав и свобод."

Этот фрагмент взят из законопроекта "О внесении изменения в статью 10 Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля", который был подготовлен Роскомнадзором, которому не нравится буквальное толкование федерального закона, отличающееся от позиции РКН.

И вот РКН предложил "дополнить пункт 2 части 2 статьи 10 Федерального закона № 294-ФЗ, устанавливающий перечень оснований для проведения внеплановой проверки, подпунктом «г» в части внесения дополнительного основания проведения внеплановой проверки — нарушения прав субъектов персональных данных (в случае обращения граждан, права которых нарушены)".

ЗЫ. А отдельные интернет-эксперты - это, интересно, кто? :-)

05.12.2013

Американцы отказываются от специалистов по кибербезопасности

Не так давно шла дискуссия о разработке и принятии профессионального стандарта специалиста по информационной безопасности. И вот недавно, 18 сентября американская национальная академия наук на своей конференции признала, что профессии/специальности специалиста по кибербезопасности быть не может, т.к. кибербезопасность (или пока привычная нам информационная безопасность) слишком объемна и разнопланова,чтобы объединить ее под одним "зонтиком". На самом деле выводов было сделано 7. Большинство из них очевидны, но, пожалуй, впервые было признано (да еще и в стране, которая активно продвигает тему кибербезопасности в течение последних лет), что действий, направленные на унификацию и универсализацию профессии ИБ бесперспективны. А выводы были такие:

  • Требуется больше внимания со стороны государства к вопросам кибербезопасности.
  • Потребность в специалистах по кибербезопасности будет только расти, но спрогнозировать их число, а также нужное сочетание знаний и навыков в области кибербезопасности сейчас с уверенностью невозможно.
  • Кибербезопасность охватывает разнообразные контексты, роли и виды деятельности. Такая ширина и разнообразие охвата не позволяет рассматривать кибербезопасность в качестве единой профессии. 
  • Кибербезопасность - это не только и не столько технические меры. Для эффективной работы в данной сфере необходим широкий спектр навыков и знаний.
  • Профессионализм имеет несколько целей и достигаться они могут разными механизмами.
  • Путь к профессионализму в области кибербезопасность может быть долгим и трудным.
  • Профессионализм имеет как выгоды так и затраты, которые должны быть взвешены перед принятием решения о вступлении на путь кибербезопасности.
Нельзя быть специалистом по кибербезопасности (или по информационной безопасности) - слишком широко поле. Таков вывод американских академиков. Необходимо концентрироваться на какой-либо из областей и развиваться в ней. Государству и иным заинтересованным лицам также не надо концентрироваться на развитии профессии кибербезопасности как единой дисциплины. Необходимо разбивать ее на разные специальности, которые имеют четко очерченные границы. К граничным критериям могут быть отнесены:
  • стабильные и не так часто изменяющиеся требования к знаниям и навыкам,
  • стабильные роли и обязанности
  • четкие границы, отличающие одну специальность от других. 
Еще одним условием выделения отдельных специальностей по кибербезопасности должны стать достоверные доказательства недостатка в профессиональной рабочей силе, а также недостатка квалификации действующих специалистов.

Какие выводы можно сделать в России и для России? У нас отсутствует четкое понимание количества специалистов по безопасности, работающих сейчас в российских организациях разных форм собственности (в США такая оценка есть). У нас отсутствует прогноз потребностей в специалистах по ИБ (в США тоже не смогли оценить). У нас отсутствует качественное образование в области ИБ, соответствующее потребностям современных организаций (в США оно есть). У нас действия Рособразования, ФСТЭК, ФСБ и профессионального сообщества мало согласованы между собой (в США ситуация получше, но там и заказ на специалистов делает бизнес - ВУЗ просто не получит студентов и денег, если будут готовить так, как это делают в России). У нас есть государственный образовательный стандарт с 4-хлетним жизненным циклом обновления, что очень неоперативно в современной динамичной среде (в США вообще нет стандартов на образование в области информационной безопасности).

Что в итоге? А итоги неутешительны. Можно писать документы с требованиями по защите. Можно заставлять всех использовать сертифицированные СКЗИ отечественного производства.  Можно спускать сверху разнарядку на прием девушек в учебные заведения ФСБ. Только вот при отсутствии достаточного количества грамотных специалистов все эту будет бесперспективно и никому не нужно - некому будет все это внедрять и реализовывать. И останется нам только ставить на окна решетки и запирать носители с защищаемой информацией в сейф для предотвращения угроз информационной безопасности, как советует 8-й Центр ФСБ.

04.12.2013

Обзор последних законопроектов и законов, имеющих отношение к ИБ

Сегодня Президент Путин заявил на встрече с будущими юристами, что ужесточать регулирование Интернет не стоит. А вчера г-н Путин подписал Федеральный закон от 02.12.2013 № 341-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях". Законопроект писался ФСТЭК еще в прошлом году и вот спустя непродолжительное время он принят. Теперь в России, наконец-то, ФСТЭК и ФСБ получили право наказывать не только за нарушение лицензионных условий, и не только за использование несертифицированных СрЗИ там, где они должна быть сертифицированными, но и просто за нарушение установленных правил защиты информации. Установленных, разумеется, федеральными законами и принятыми в их исполнение подзаконными актами. На сегодняшний день к таким ФЗ у нас могут быть отнесены, как минимум:
  • ФЗ-152 "О персональных данных"
  • ФЗ-161 "О национальной платежной системе"
  • ФЗ-149 "Об информации, информационных технологиях и защите информации".
Также увеличена сумма штрафа за нарушение существовавших ранее частей статьи 13.12. А вот законопроект "О внесении изменений в некоторые законодательные акты Российской Федерации по вопросам лицензирования отдельных видов деятельности" так и не попал в Госдуму - видимо нашлись правильные лоббисты, которые не допустили даже регистрации законопроекта в Госдуме, не говоря уже о первом чтении.

Следующий законопроект № 387351-6 "О внесении изменений в статью 272 Уголовного кодекса Российской Федерации" был внесен 18-го ноября и направлен на изменение статьи УК РФ, посвященной неправомерному доступу к защищаемой законом информации. Таким же небольшим по объему является ноябрьский законопроект №361795-6 "О внесении изменений в Федеральный закон "Об оперативно-розыскной деятельности" и статью 13 Федерального закона "О федеральной службе безопасности". Законопроект добавляет только одно слово "информационной" в перечисление видов безопасности, которыми может заниматься ФСБ в рамках ОРД. Иными словами, после принятия законопроекта ФСБ сможет заниматься ОРД и в контексте обеспечения информационной безопасности. Правда, данная поправка в нынешней редакции воспринимается по-разному. Кто-то считает, что поправка настолько расплывчатая, что ФСБ каждый раз придется доказывать необходимость ОРД для обеспечения ИБ и по сравнению с текущей ситуацией ничего не поменяется. Кто-то наоборот думает, что поправки в закон об оперативно-розыскной деятельности приведут к слишком широким полномочиям ФСБ, т.к. под обеспечение информационной безопасности страны можно подвести слишком много каких действий и активностей. Время и правоприменительная практика покажет...

Меня регулярно спрашивают, что там с законопроектом по увеличению штрафа за нарушение правил обработки персональных данных. Пока рано говорить - существует, как минимум, два законопроекта на эту тему. Один достаточно банальный - всего одна дополнительная часть в статью 13.11 и увеличение штрафа до семисот тысяч рублей. Второй законопроект гораздо более продуманный и нравится мне больше - он предполагает наказание за нанесение реального вреда субъекта ПДн, а не за мнимое нарушение правил обработки ПДн, которое может и не привести к вреду для субъекта. Во втором законопроекте несколько новых правонарушений и максимальная сумма штрафа достигает трехсот тысяч рублей. Основная проблема, которая и притормаживает внесение законопроектов в Госдуму, - нежелание 8-го Центра ФСБ смягчить положения 19-й статьи. Идея усиления ответственности была связана со снижением обремений и смягчением требований по защите персональных данных. Логика простая и соответствовала Евроконвенции - оператор сам определяет защитные меры, но в случае нанесения вреда субъекту его ждет немаленькое наказание. У нас же 8-й Центр настаивает на том, что меры по защите надо оставить (а проект приказа ФСБ по применению шифровальных средств только ухудшает ситуацию), а РКН хочет поднять штраф на пару порядков. Вот чтобы этого не произошло сейчас и идет позиционная борьба с переменным успехом.

03.12.2013

Akamai покупает Prolexic

2 декабря известный оператор связи Akamai подписал соглашение о намерении приобрести сервисную компанию Prolexic, известную своими услугами по защите от DDoS-атак. Стоимость сделки - около 370 миллионов долларов.

Очередной игрок на рынке информационной безопасности критически важных объектов

Почти месяц назад я написал, что мне ответили в Правительстве РФ по поводу ПП-861 об правил информирования субъектами топливно-энергетического комплекса об угрозах совершения или совершении актов незаконного вмешательства на объектах ТЭК. Меня интересовал вопрос о том, как выполнять ПП-861 в контексте инцидентов ИБ. Сначала меня послали на три буквы - в ФСБ, а попутно в ФСТЭК и Департамент культуры Правительства. И вот вчера я получил долгожданный ответ от ФСБ... Долго думал. То ли я забыл поставить знак вопроса в своем первоначальном письме, то ли еще что-то, но ответ ФСБ меня заставил усомниться в способности регулятора вообще адекватно заниматься вопросами информационной безопасности критически важных объектов.

Итак, напоминаю. Я спросил у регулятора:

  • Считать ли каждое срабатывание антивируса на объектах ТЭК триггером, по которому надо уведомлять регуляторов?
  • Как автоматизировать процесс?
И вот какой ответ я получаю:


Вот как можно на ВОПРОС, ответить так, как мне ответили? Какие данные я привел в обращении, чтобы учесть их в оперативно-служебной деятельности? Мой домашний адрес? Хотя судя по подписи, я уже стал подозревать, что в уважаемом регуляторе работают люди с чувством юмора. А как еще может быть, если документ подписывает "начальника" :-) Хорошо что не "начяльника" :-)

Но больше всего меня "порадовал" источник ответа. Это был не 8-й Центр, и даже не ЦИБ, как я предполагал сначала. Это совершенно иное управление внутри ФСБ:


Я вполне допускаю, что именно это управление внутри структуры ФСБ отвечает за критически важные объекты в целом и объекты ТЭК в частности, но объекты ТЭК про это явно не в курсе. Вся эта закрытость (даже от тех, кому положено знать) напоминает классику советской комедии:


02.12.2013

ФСТЭК вновь радует своим очередным документом

На прошлой неделе ФСТЭК выпустила документ, о котором давно было известно (тут опубликовано информационное сообщение по данному проекту). Это проект методического документа "Меры защиты информации в государственных информационных системах", который содержит состав, содержание, правила выбора и реализации организационных и технических мер защиты информации, принимаемых в государственных информационных системах в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. No 17.  Иными словами, 17-й приказ говорит "ЧТО делать", а предлагаемый проект "КАК делать". Этот же документ может быть использован и операторами персональных данных (по их желанию).

Пока сложно детально оценить документ - все-таки 165 страниц подробных объяснений. Но первые впечатления у меня сложились. Документ напоминает NIST SP 800-53 по своей идеологии. Есть базовые меры, есть меры, их усиливающие в зависимости от ряда параметров. Вот как выглядит пример блока в проекте документа ФСТЭК:


А вот как в SP800-53:

Это означает, что существует возможность адекватного выбора защитных мер, которой так не хватало раньше в документах ФСТЭК (и до сих пор не хватает в документах 8-го Центра). Правда, есть и один нюанс, на который обращали внимание критики 21-го и 17-го приказов - их сложность. В рассматриваемом проекте документа ФСТЭК эта сложность возрастает - сложно ожидать от обычного муниципального учреждения или госоргана, что они прочтут все 160 страниц текста, осознают их и смогут реализовать на практике. Но тут вынужден отметить, что решить эту задачу иначе на данном этапе сложно.

Безусловно, можно пойти по пути австралийцев или SANS и выпустить свои Топ35 или Топ20 защитных мер, которые закроют свыше 80-85% всех проблем с ИБ. Но с этими Топами есть свои особенности. Чтобы сваять такой Топ, нужно начинать именно с обширных документов, аналогичных NIST SP800, СТО БР ИББС или 17/21-го приказов ФСТЭК. Потом несколько лет следить и контролировать их внедрение. Потом оценить то, что получилось. Потом выбрать самое важное и сформировать Топ защитных мер, которые нейтрализуют основные угрозы. Возможно ФСТЭК придет и к этому, но не сейчас.

Сейчас у нас есть неплохой проект, с которым нам жить долгие годы (пока на жизненный цикл нормативного документа в 2 года, как у PCI DSS, мы еще не перешли). И его содержание может стать основой и для других документов ФСТЭК, которые будут появляться из под "ее пера". Не исключаю, что и документы по информационной безопасности КВО будут строиться по той же концепции. Поэтому сейчас есть возможность внести в ФСТЭК свои обоснованные предложения и замечания. Их ждут до конца декабря (адрес указан в информационном сообщении). Учитывая опыт разработки и 17-го, и 21-го приказов (а также ряда других документов), могу заметить, что ФСТЭК прислушивается ко многим здравым идеям и не выбрасывает их, не читая или признавая сразу нецелесообразными, как 8-й Центр. Так что сейчас действительно есть шанс сделать этот документ еще лучше. Не упускайте его.