31.1.14

Публичное мочилово нудных докладчиков

Продолжу начатую в прошлом году традицию и напишу, что будет хорошего в Магнитогорске, на конференции "Информационная безопасность банков", которая начнется через 17 дней. Это не только место встреч старых друзей и товарищей, которые могут в теплой и дружественной обстановке обсудить многие насущные вопросы. И это не только кулуары, где можно узнать самые последние новости, слухи и сплетни. И это не только горнолыжные склоны, катки, бани, соленые грузди, сибирские пельмени и прогулки на свежем воздухе. Это еще и насыщенная программа.

Я для себя выделил бы следующие моменты в программе мероприятия:
  • Выступление первых лиц Банка России - первого зампреда ЦБ Лунтовского, руководства ГУБЗИ, ИТ-блока и Департамента национальной платежной системы. После смены председателя правления и ряда руководителей департаментов Банка России в прошлом году, это будет, пожалуй, первое мероприятие, где уже новое руководство будет рассказывать о перспективах и тенденциях банковской отрасли, планируемых нормативных документах, шагах и т.п.
  • Начатая в прошлом году инициатива проведения круглого стола с регуляторами, на котором можно задать животрепещущие вопросы первым лицам регуляторов - ЦБ, ФСТЭК, РКН и т.д. Кстати, вы можете задать свой вопрос уже сейчас - достаточно просто заполнить форму на сайте.
  • Будет поднята тема банковского CERTа, о котором говорят давно. В этом раз эта тема прозвучит из уст разных участников и будет даже проведен отдельный круглый стол для обмена мнениями о том, нужен ли такой CERT отрасли, кто им должен управлять, какова процедура финансирования, кто и как сможет пользоваться его услугами и т.п.
  • Будет рассказ о новых, недавно согласованных в ТК122 документах, входящих в СТО БР ИББС, а также о проектах, которые мало кто еще видел. Например, РС по безопасности виртуализации, проект которой подготовил в конце декабря Банк России.
  • Будет рассказ о практике применения 382-П, его соотнесении с СТО БР ИББС, будущем "письма шести" и планах развития 382-П, намеченных в этом году. В лицо регулятору можно будет задать вопрос о том, зачем в Банк России направлять две формы самооценки - по 382-П и по СТО, смотрит ли кто-то из регуляторов (в первую очередь ФСБ и РКН) приходящие к ним отчеты в соответствии с "письмом шести" и т.д.?
  • Представители инспекции ЦБ расскажут о первом опыте проверок соответствия банков 382-П.
  • Пойдет речь и таких вопросах, как передача банковской тайны коллекторам, перспективы законодательства по электронной подписи, электронном документообороте и др.
  • ЦБ поделится своими проектами по собственной информатизации.
  • Известные эксперты отрасли вечером за коктейлем будут троллить друг друга, рассказывая о трендах ИБ на ближайшую перспективу. Желающие сфоткаться с экспертами у кактуса смогут это беспрепятственно сделать и не подкарауливать в ночи за ближайшим сугробом спикеров, вышедших по малой нужде в морозную уральскую ночь.
  • Большой цикл докладов про инновационные технологии банковской ИБ. Модератор обещал бить лопатой за каждое упоминание слова "инновация" и его производных.
  • Планируется поднять тему взаимодействия банков и операторов мобильной связи, что особенно актуально после вступления в силу 9-й статьи и разрешения абонентам менять оператора мобильной связи.
  • Кстати, по 9-й статье тоже, возможно, уже будет первая правоприменительная практика.
Отдельно хочу сказать про последний день, который я буду модерировать. Это будет день мастер-классов. Т.е. никаких скучных докладов, нудятины, спящих докладчиков. Обещаю блондинок на подиуме и брюнетов вокруг него! 10 насыщенных мастер-классов на следующую тематику:
  • Новые методы хакеров, атаки на ДБО и инновационные (бац, лопатой) способы нанесения  ущерба банку и его клиентам.
  • Анализ кода банковских приложений.
  • Визуализация банковской инфраструктуры и автоматизация построения векторов атак.
  • Контроль доступа к инфраструктуре и к банковским приложениям.
  • Нейтрализация DDoS-атак
  • Внедрение и использование антифрода в АБС
  • Контроль перемещений данных из бизнес-приложений
  • Как считать KPI службы ИБ
  • Управление конфликтами в деятельности руководителя службы ИБ
  • Как нанять и как уволить сотрудника без ущерба для организации.
Если провести анализ встречаемости слов в программе (убрав "информационную безопасность"), то она получится достаточно сбалансированной - никаких перекосов в какую-то тему нет - всему будет уделено время.


Вот, вкратце, что будет в Магнитогорске. Помимо этого будут горные лыжи, беговые, коньки, ледяные горки, бильярд, бани, шашлыки на свежем воздухе, пение под гитару, утренняя ряженка, награждение непричастных и наказание невиновных, сотрудники в штатском, встреча в аэропорту в кокошниках...

Кстати, в этом году, запланировано публичное мочилово нудных докладчиков! Каждому участнику будет выдан специализированный инструментарий многоразового применения, которым вы можете высказать свое "фи" спикеру, который тупит, гонит рекламу, спит во время своего выступления, начинает доклад с рассказа о современных угрозах и вообще вам не нравится :-) Выплесни свою энергию! Покажи докладчикам, что они тратят твое драгоценное время, а не исполняют повинность за свои спонсорские деньги! Мочилово будет невзирая на размер спонсорского взноса!

ЗЫ. Зимой на Урале бывает прохладно, так что тараканов можно не бояться - они вымерли. Но могут быть медведи...

ЗЗЫ. Если повезет, то мы опять увидим метеорит, как это было в прошлом году (конечно те, кто сможет в 9.45 утра разомкнуть очи и прийти на последний день конференции).

28.1.14

Почему в отрасли ИБ нет единой позиции по любому вопросу?

Недавно в ФБ в очередной раз возник спор о том, как трактовать тот или иной фрагмент ФЗ-152. Почему такие споры возникают?.. Почему каждый имеет свое мнение и мало кто может сойтись в единстве? Тут все просто, как мне кажется. Такого мнения просто нет в природе. Вы когда-нибудь задумывались, как в России появляются нормативные акты и каков их жизненный цикл? Я бы выделил 10 участников данного процесса.

Начинается все с инициатора идеи, который озвучивает ее и становится прародителем некоторого нормативного акта. У него свой взгляд на то, что должен регулировать нормативный акт и что должно быть в нем написано.

Затем идея попадает к конкретному исполнителю, который и становится автором нормативного акта. Иногда инициатор и автор являются одним и тем же лицом, но не всегда. Вот тут проявляется первая нестыковка, т.к. у автора и инициатора могут быть немного разные взгляды на то, что должно родиться в итоге. Когда авторов больше одного, ситуация становится еще хуже, а когда их больше семи, процесс становится и вовсе сложно управляемым. Вспомните ФЗ-152 или проект Стратегии кибербезопасности РФ. В работе первого НПА принимало участие несколько десятков человек (как минимум), в работе Стратегии тоже немало. При этом список участников все время менялся и каждый считал своим долгов внести что-то свое в каждый из документов. При этом отсутствие единой концепции и диктатора, направляющего процесс так как считает нужным только он, усугубляет ситуацию еще больше. Нормативный акт (а точнее его проект) становится коллекцией разных фрагментов, не всегда связанных между собой, а иногда и просто отстаивающих чью-то точку зрения, часто имеющую под собой финансовую подоплеку или иные интересы.

Выйдя из под пера автора (авторов) нормативный акт попадает в руки "согласительной комиссии", которая выхолащивает его и делает еще более далеким от первоначальной идеи инициатора. Четвертый участник - это те, кто принимают нормативный акт. Нечасто, но на этом этапе тоже вносятся определенные правки, либо уточняющие, а то и изменяющие текст или отдельные его положения до неузнаваемости. На этом этапе нормативный акт финализируется и мы (как потребители) начинаем его читать, прекрасно понимая, или непонимая, что в нем уже сосредоточено огромное количество противоречий и нестыковок.

Пятый участник процесса - это именно те, на кого распространяется нормативный акт. Они по своему усмотрению начинат трактовать нормы закона или ведомственного приказа или иного нормативного акта. Ведь им никто не сказал о том, что они неправы или существует другая точка зрения. Комментарии к законодательству у нас пишут не те, кто его создавал или принимал. Обычные юристы или эксперты по ИБ, которые также читают то, что выпущено на свет. Это шестой участник процесса, вносящий свою лепту в появление очередной точки зрения на тот или иной НПА.

Седьмым участником становятся внедренцы, реализующие требования нормативного акта на стороне потребителя. Ведь потребитель сам не хочет разбираться в хитросплетениях законодательства - он доверяется интегратору, у которого может быть свой взгляд на то, что написано в нормативном акте. Это может быть "просто" взгляд, а может и желание впарить что-нибудь ненужное или просто увеличивающее доходы интегратора. Такой, например, для меня выглядит тема с сертифицированными средствами защиты. В том же ФЗ-152 ни слова про сертификацию, но многие по-прежнему продолжают считать, что это именно так.

Восьмым участником, вносящим сумятицу в понимание нормативных актов, является надзор, приходящий с проверками к потребителям и спрашивающим с них за невыполнение тех или иных норм. А достаточно вспомнить как менялась позиция ФСТЭК по части лицензирования или позиция РКН по части биометрии, чтобы понять, что этот аспект нельзя сбрасывать со счетов. На последних двух местах у нас находятся суды и прокуратура, которые также могут иметь свою точку зрения, отличную от других и несовпадающую даже с позицией автора или инициатора нормативного акта.

В такой среде очень сложно работать и следовать нормативным актам. А если они выполнены, то нет никакой гарантии, что выполнены они правильно и надзорные органы или прокуратура не посчитает реализацию неправильной (таких примеров тоже масса). Выйти из этого тупика нельзя; по крайней мере в настоящий момент в России я не вижу выхода. Приходиться с этим мириться, хотим мы того или нет. Просто иногда лучше понимать, почему все так, а не иначе. Особенно это понимание будет полезно тем, кто только критикует, ни разу не поучаствовав в процессе подготовки какого-либо нормативного акта по информационной безопасности, или поучаствовать всего один раз и столкнувшись с непониманием своей "единственно верной" позиции, обидеться на весь мир :-)

27.1.14

Мои впечатления от проекта методички по защитным мерам ФСТЭК

Наверное, все помнят, что в конце ноября ФСТЭК выложила на своем сайте проект методических рекомендаций, разъясняющих "как читать" 17-й (в первую очередь) и 21-й приказы по защите государственных и муниципальных информационных систем и информационных систем персональных данных. До 20-го декабря ФСТЭК собирала предложения по тексту методички, чтобы собрать мнение экспертного сообщества, которое на протяжении долгих лет постоянно критиковало регулятора, который не давал поучаствовать в нормотворчестве российским экспертам. И вот такую возможность в очередной раз дали.

Работа оказалась не из простых. Прочитать, вникнуть и разобраться в 160-ти страницах текста оказалось непросто. Отчасти из-за объема, отчасти из-за большого объема канцеляризмов (все-таки документ официальный), но больше всего из-за новаций, который этот документ содержал. Тот же 17-й (и 21-й) приказ коренным образом отличался от предыдущих требований по защите - СТР-К (и 58-го приказа). А в рассматриваемой методичке надо было все эти новации раскрыть и подробно описать. Вот анализ этого описания и потребовал много времени. В конечном итоге у меня получилось 42 страницы предложений и около 200 конкретных предложений, которые, я надеюсь, учтут в процессе финализации документа, по которому теперь будут жить российские специалисты по безопасности.

А сейчас я хотел бы поделиться своими впечатлениями по данному документу. Про хорошее писать не буду :-) - писал уже не раз. Пройдусь по немного иным вещам, которые я предлагал учесть. Во-первых, это восприятие информационных систем, которые рассматриваются регулятором как набор персональных компьютеров с серверами, редким применением мобильных устройств и вкраплениями сетевого оборудования. Для большинства потребителей это действительно так, но мы говорим о документе, который распространяется на всех и задает моду на ближайшие годы.

Где промышленные терминалы? Где Интернет вещей? Где индустриальные датчики, сенсоры и контроллеры? Про это в документе почти ничего не написано, а такие системы начинают активно использоваться во многих государственных организациях - порты, таможенные склады, промышленные объекты и т.п. Да, сейчас готовятся требования по защите индустриальных систем, но пока их нет, и сами такие системы явно из под действия приказа не выведены.

Кстати, ориентация на традиционное восприятие информационной системы присуще не только ФСТЭК, но и остальным регуляторам. Оно и понятно, долгие годы иного и не было. Это сейчас технологии развиваются семимильными шагами - регулятор за ними не поспевает. Особенно 8-й Центр ФСБ, который архаично считает, что существует только то, куда можно навесить российские СКЗИ. В их кругозоре нет промышленного оборудования, нет M2M-устройств, нет Интернета вещей, нет сетевого оборудования...

С данной проблемой связана и вторая. Регуляторы считают, что угрозу может представлять только пользователь и контролировать надо только его. Про действия, которые могут осуществлять приложения, процессы, сетевые узлы и иные компоненты информационной системы. Поэтому в проекте методички постоянно упоминается термин "пользователь" вместо "субъект доступа", что было бы правильнее. Также первый проект исходит из предположения (неявного), что что-то плохое может сделать только пользователь и только изнутри. Плохо были учтены особенности доступа извне.

"Традиционные" для ФСТЭК вопросы, ранее уже учтенные в 58-м приказе или СТР-К, прописаны неплохо. А вот новые темы (например, регистрация событий) в 17/21-м приказах - действительно новые для регулятора и участвовавших в разработке проекта участников. Они пытаются натянуть свое понимание традиционных тем на новые - получается неполно и не всегда хорошо. Складывается впечатление, что авторы документы многие вещи просто не пробовали. Раньше проблема бы так и осталась, а сейчас, к счастью, коллективный труд позволяет выявить эти нюансы и вовремя обратить на них внимание. Надеюсь, что в финальном варианте это будет устранено.

В целом же получившийся документ коренным образом отличается от СТР-К 2002-го года и 58-го приказа 2010-го. Был сделан большой шаг вперед - учтены многие новые защитные меры, которых раньше не было, дана большая свобода оператору информационных систем или уполномоченным лицам, которым поручена защита этих систем. Идеален ли документ? Нет. Но чего мы хотим от первого проекта?.. Да еще и при практически полном попустительстве со стороны экспертного сообщества.

Оказалось, что желающих ныть "как все плохо" и "надо все переписать" у нас по-прежнему полно. А вот предложить что-то конкретное... Хорошо если наберется с десяток человек, которые готовы потратить свое время и предложить что-то конкретное. Мне можно возразить, что это не работа эксперта отрасли - тратить свое время на такую писанину. Мол есть более важные дела на основной работе, есть дети, жены, внуки, любовницы, клубника на даче, горнолыжные курорты... Безусловно, есть. Только вот стоит ли тогда критиковать документ, если сам не приложил ни толики усилий, чтобы сделать его лучше? Я про это уже писал и говорил не раз и повторюсь. Критикуя, предлагай. Не предлагаешь - лучше помолчать. Даже если не согласен.

ФСТЭК планирует перейти к классическому 2-хлетнему жизненному циклу своих нормативных документов. Тем самым удастся выстроить процесс внесения поправок в документы и учет последних веяний и тенденций в области ИБ и в области защищаемых ИТ. Отработав на первом наборе документов (приказы 17/21) и новые подходы к защите, и работу с экспертным сообществом, не исключаю, что ФСТЭК подступится к обновлению и остальных своих документов. Тем более, что планы уже есть.

23.1.14

VMware покупает Airwatch

Продолжается процесс консолидации рынка MDM. Не успела IBM приобрести Fiberlink, а Citrix интегрировать Zenprise, как VMware объявила о поглощении другого игрока рынка MDM - частной компании Airwatch. Сумма сделки составляет около 1,5 миллиардов долларов (такое впечатление, что сделки меньше миллиарда уже никого не интересуют).

Из еще не купленных лидеров MDM-рынка у нас остается только MobileIron. Могу предположить, что и его купят. Причем ждать осталось недолго :-)

Осторожно! Во дворе злая собака!

Илья Медведовский в 2 ночи в Twitter'е решил поинтересоваться обещанным завершением истории про Сноудена (видимо его очень волнует эта тема, что ночами не спит). Илья, тебе посвящается эта заметка :-)



Жителям Москвы и крупных городов не часто приходится видеть табличку на заборе "Осторожно! Злая собака", а в небольших городках с частными жилыми домами, такая табличка не редкость. У нее одна задача - отпугнуть потенциальных воришек или иных вандалов от участка и дома. И не важно есть во дворе собака или нет - главное, заставить нарушителя задуматься и, возможно, одуматься. Так вот ситуация со Сноуденом напоминает мне такую же табличку. Объясню почему.

Во-первых, смутило меня как отсутствие подтвержденных фактов наличия имплантов (это за 7 лет-то), так и список пострадавших компаний.

Во-вторых, еще как только стало известно о разоблачениях Сноудена (кстати, если вы хотите самостоятельно сгенерить новое "разоблачение Сноудена", то достаточно сделать всего один клик :-)), меня посетила банальная мысль. Эдвард Сноуден, бывший охранник, ставший системным администратором с доступом к данным уровня "Совершенно секретно" (и даже выше) за непродолжительное время работы утащил 1.7 миллиона секретных документов по совершенно различным тематикам из самого закрытого ведомства в мире? И все это один человек? И никто не смог отследить его действия? В АНБ не было внедрено системы разграничения доступа? В АНБ не было логов и системы их анализа? Не странно ли?

Когда в 91-м году я начинал заниматься безопасностью и практику проходил в одном "ящике", я ходил в тамошнюю библиотеку и читал недоступную на тот момент широкой аудитории литературу по безопасности. Преимущественно переводную. Так вот тогда очень много говорилось о защите информации от НСД и применении различных моделей контроля доступа. В России говорили, в основном, только о модели Белла-ЛаПадулла, в то время как в США свое применение находили и другие модели контроля доступа - Миллена, Кларк-Вилсона, Биба и т.п. И реализовывались они, преимущественно, в силовом блоке США - МинОбороны и спецслужбах. И систему обнаружения атак, впервые появившиеся в 80-м году, анализировали именно логи и такие подозрительные действия просто не могли пропустить. Я не был в АНБ и не знаю как у них устроена система разграничения доступа, но что-то подсказывает мне, что там сидят явно не тупицы, ничего не понимающие в безопасности (иначе бы проникнуть в системы АНБ мог любой мало-мальски подкованный нарушитель).

И вот на фоне моих сомнений, Саша Гостев из Лаборатории Касперского подкинул мысль, которая показалась мне вполне здравой. Он привел выдержки из книги Ричарда Кларка "Третья мировая война. Какой она будет?", первое издание которой было опубликовано в 2010-м году (за 3 года до "разоблачений" Сноудена). Напомню, что Кларк был одним из идеологов темы кибербезопасности в США, первым "киберцарем", советником Президента США по кибербезопасности и т.п.


Первый фрагмент - "Предположим, что Соединенные Штаты (или какая-либо другая страна) обладают таким мощным наступательным кибероружием, что могут преодолеть любую защиту и нанести серьезный урон вооруженным силам и экономике противника. Если бы США объявили о таких возможностях, не раскрывая деталей, многие оппоненты сочли бы, что мы блефуем. Когда не известны подробности, когда никто не видел американское кибероружие в действии, мало кто испугается до такой степени, чтобы воздерживаться от действий."

Второй фрагмент - "Поскольку около 20–30 стран уже создали наступательные киберподразделения, очевидно, что предотвратить их появление нам не удалось. Чтобы помешать противнику использовать эти возможности против нас, необходимо «опираться на демонстрацию нашего потенциала». Однако атмосфера секретности, окружающая наступательное кибероружие США, означает, что мы не можем продемонстрировать свои возможности."

Третий - "Предполагалось, что в рамках инициативы будет разработана «стратегия удержания от информационной войны и декларативная доктрина». Реализация этой части плана была почти полностью заморожена. В мае 2008 года комитет по делам вооруженных сил сената раскритиковал секретность этой программы в публичном докладе, отметив, что "сложно представить, как Соединенные Штаты смогут провозгласить убедительную доктрину сдерживания, если каждый аспект наших возможностей и оперативных принципов засекречен". Читая это, я не мог не вспомнить доктора Стрейнджлава, который в фильме Стэнли Кубрика ругал советского посла за то, что Москва хранит в секрете существование мощного средства сдерживания — ядерной "машины судного дня": "Конечно же, весь смысл "машины судного дня" пропадает, если вы держите ее в секрете! Почему вы не рассказали о ней всему миру?"

Потом и я перечитал Кларка и нашел у него еще один интересный фрагмент - "И все же сдерживание — это самая неразвитая теоретическая область в современной концепции кибервойн. Теория сдерживания служила основой ядерных стратегий США, Советского Союза и НАТО в эпоху холодной войны. Страх последствий использования ядерного оружия (и опасение того, что любое его использование станет глобальным) удерживал ядерные державы от применения абсолютного оружия друг против друга. Он также удерживал государства, как ядерные, так и нет, от любых действий, которые могли бы спровоцировать ответный ядерный удар."

После перечитывания этой книжки произошедшие за последние полгода события заиграли новыми красками. И то, что поначалу вызывало сомнения (особенно когда таких "фактов" стало слишком много и вброшенных за короткий промежуток времени), теперь оформилось в уверенность. Разумеется, 100%-й гарантии, что "разоблачения Сноудена" и есть пример примененной стратегии сдерживания, я дать не могу, но ситуация и не такая однозначная, как ее преподносят некоторые не шибко погруженные в тему эксперты и тем более журналисты.

Но если мы связываем высказывания Кларка и "факты" Сноудена в единую цепь, то кого хотят сдерживать США? Неужели нас? Тут кроется классическая ошибка большинства людей. Они эгоцентричны по своей природе и считают, что мир крутится вокруг них. У кого-то от этого синдром непризнанного гения развивается, у кого-то патология протекает легче, а то и вовсе незаметно. Живя в России, мы почему-то считаем, что те или иные события, которые публикуют западные СМИ, имеют отношение к нам, к России. И уж тем более такая мысль у нас возникает, если речь идет о США. Нам долгие годы вдалбливали, что США и Россия - это враги. Потом, после периода перестроечного затишься мы вновь вернулись к риторике времен холодной войны. Список Магнитского, "закон Димы Яковлева", педофильское лобби, чморение Гугла, пикировки Госдепа и МИДа... Вновь многие считают США - основным врагом России, а Россию - основным врагом для США. Но ведь это не так!

Если почитать Кларка, да и не только его (только в оригинале, а не перепечатки российскими СМИ), то основным врагом в киберпространстве США считают не нас, а Китай. Именно их они опасаются больше всего. Именно их они пытаются сдерживать всеми правдами и неправдами. Не России, а Китаю были адресованы "разоблачения" Сноудена. Вы знаете, что сейчас происходит в Китае? Скорее всего нет. Мы же в "деле Сноудена" рассматриваем только двусторонние взаимоотношения "США - Россия" и по сторонам уже не смотрим, а стоило бы. Даже в англоязычной прессе (я не говорю уже про обзоры китайской прессы) сейчас немало говорится про ситуацию, в которой оказалась китайская Huawei после того, как ее "вскользь" упомянул немецкий "Шпигель". Руководство китайской государственной ИТ-компании вынужено официально объясняться по поводу сложившейся ситуации. А она непростая. После появления на свет "фактов Сноудена" китайцы не только вынуждены будут пересмотреть свои наступательные и оборонительные стратегии, но и начать разбираться уже во внутренних делах, ища доказательства виновности или невиновности Huawei в "государственной измене". Ведь если верить "фактам" Сноудена - АНБ может вторгнуться куда угодно - в почти любой *nix, в Windows, в Juniper, в Dell, в HP, в GPS, в GSM, в Wi-Fi и т.д. Все под угрозой!

Что бы вы сделали в такой ситуации? Продолжали готовить кибервторжение в США (Кларк, кстати, рассматривает такой пошаговый сценарий в своей книге) или сначала бы среагировали бы на "факты", решив проверить их подлинность? Скорее второе, чем первое. Неудобно получится, если вдруг эти факты действительно имеют место быть. Надо быть готовым к ним, разработав резервную стратегию. В чем она может заключаться? Ну, например, в создании собственных ИТ-решений и инфраструктуры. Случайно ли сейчас заговорили о создании в Китае собственной операционной системы? Про создание собственных навигационных спутников, про активное участие китайских представителей в разных комитетах по стандартизации и разработке протоколов и технологий я уже и не говорю.

У Сунь-Цзы в "Искусстве войны" есть такой фрагмент: "Война - это путь обмана. Поэтому, даже если [ты] способен, показывай противнику свою неспособность. Когда должен ввести в бой свои силы, притворись бездеятельным. Когда [цель] близко, показывай, будто она далеко; когда же она действительн далеко, создавай впечатление, что она близко." Китайцы очень хорошо понимают, что такое "Искусство войны". И они могут понимать, что американцы это понимают. И так далее, замкнутый круг... "Я оглянулся посмотреть не оглянулась ли она, чтоб посмотреть не оглянулся ли я..."  Стратегия сдерживания... Она такая!..

ЗЫ. Кстати, эта заметка тоже может быть примером стратегии сдерживания :-) Кто-то будет воспринимать ее как руководство к размышлению (а вдруг и правда США "запустили" Сноудена, чтобы оттянуть время в потенциальном киберконфликте с Китаем), а кто-то как мою попытку "обелить" своего работодателя :-) Каждый воспринимает сложившуюся ситуацию в меру своего понимания и так, как сам бы поступил, попади в нее :-)

21.1.14

Где основы госполитики по культуре?

На протяжении последнего года в России при Совете Безопасности разрабатывался очень интересный и полезный документ под скромным названием "Основы государственной политики по формированию культуры информационной безопасности", задачей которого должна была стать стратегия по созданию у российских граждан, начиная с детсадовского возраста и заканчивая пожилыми людьми, культуры безопасного поведения при использовании информационных технологий, Интернет-серфинга, электронных платежей и т.п. Документ был неплохо написан и по нему, лично у меня, оставался только один вопрос - найдутся ли ресурсы и ответственные за его реализацию. В конце июля 2013-го года основная работа была завершена и в августе его должны были обсуждать на высокой комиссии. И вот с тех пор про этот документ ни слуху ни духу.

А после очередного теракта в Волгограде, ситуации вокруг безопасности в Сочи и антитеррористических законопроектов (тут и тут) я задумался, насколько вообще реально появление такого документа в России? Ведь у нас нет культуры безопасности у граждан. Не только информационной, а вообще. У нас совершенно иная доктрина в стране. На первом, и похоже единственном месте у нас безопасность государства. Про безопасность общества и граждан у нас думают мало или совсем не думают. Об этом лишний раз говорит, что результаты работы группы академика Рыжова у нас так и нашли своего применения. Они не прошли во времена перестройки в 90-м году, они не проходят и сейчас. Спецслужбы совсем не думают про граждан - у них свои интересы, отличные от общепринятых и общепонятных. Силовики защищают не граждан и не общество, а государство, читай, режим. Поэтому, закрыть, запретить, отказать, заблокировать... это нормально. Помогать, развивать, стимулировать, советовать... это непривычно, непонятно, обойдутся, нецелесообразно. Поэтому и документ, который рассказывает, как повысить компетенцию граждан в вопросах безопасности, у нас невозможен. А если и возможен, то нереализуем на практике (это не значит, что его не надо выпускать).

В США подход иной - там проводятся ежегодный месячник по информационной безопасности. Там выпускаются методички для граждан. Там немало сайтов для "чайников". Да вообще серия книг "для чайников" (for dummies) родилась именно там. Там есть Интернет-курсы для граждан. Да много, что там есть. А все почему? Разве там нет террористической угрозы? Есть! Там нет коррупции или собственных интересов спецслужб? Есть! Там нет олигархической верхушки, оккупировавшей властные структуры? Есть! Но там не забывают думать и о своих избирателях - рядовых гражданах, помогая им (по мере возможности) в различных областях, среди которых и информационная безопасность.

Но есть гораздо лучше пример формирования культуры безопасности. Это Израиль. В Израиле культура безопасности национальна. В условиях постоянной угрозы израильтяне впитывают тему безопасности с молоком матери. И государство немало делает для того, чтобы мероприятия по формированию культуры не превращались в рутину "для галочки". Отсюда очень высокий уровень безопасности (в разных сферах) в этом небольшом и недавно появившемся государстве.

В России такого нет. Поэтому и основ государственной политики у нас нет. А если такой документ появится (он, безусловно, нужен), то возникнет вопрос ответственности за его реализацию. Кто будет курировать вопросы в нем указанные? Совет Безопасности? Врядли. ФСБ? В текущей ситуации невероятно. Минкультуры или Рособразование? А там некому! ФСТЭК? Нет у них полномочий для этого. Минкомсвязь? Так у ИТ-министра приоритеты совсем другие.

Вот и получается, что культуры ИБ у нас как не было так и нет :-(



20.1.14

ИБ АСУ ТП КВО ТЭК - это П...

Нравятся мне аббревиатуры, которые иногда бывают в нашей области. Например, ИБ АСУ ТП КВО ТЭК :-) Но поговорить мне хотелось бы не о ней, а сложившейся ситуации в данной области. В России в последнее время о ней говорят немало - даже законодательство, пусть и с опозданием, но начинает появляться. Однако, если вдуматься, большого всплеска проектов по данной тематике сейчас ждать не придется. В России есть гораздо более важные темы. Я имею ввиду не Олимпиаду в Сочи и не экономическую ситуацию - мы поговорим о критически важных объектах, но немного с другой стороны.

Что написано в одобренной в апреле 2013г. правительством РФ "Стратегии развития электросетевого комплекса РФ до 2030г.": "Отсутствие необходимых инвестиций в электросетевой комплекс в последние 20 лет привело к значительному физическому и технологическому устареванию электрических сетей". По мнению авторов стратегии, доля распределительных электрических сетей, выработавших свой нормативный срок, составила 50%; 7% электрических сетей выработало два нормативных срока. Общий износ распределительных электрических сетей достиг 70%, износ магистральных электрических сетей составляет около 50%.

Аналогичная ситуация происходит и во многих других отраслях, относящихся к критическим. Износ, устаревшей оборудование, не самый высокий уровень информатизации... А тут еще соцнормы на ЖКХ вводят (сначала на электричество, потом на воду и тепло). Ну до безопасности ли тут? Смех смехом, но во время последнего ИнфоБЕРЕГа, на котором мы обсуждали темы информационной безопасности Олимпиады в Сочи и на КВО ТЭК, электричество отключали несколько раз. Разве в таких условиях кто-то будет ставить информационную безопасность во главу угла?

Заказчику сегодня не до безопасности. Главное, чтобы не вышло из строя, чтобы не крали (ту же электроэнергию или топливо в трубе) и чтобы платили за услуги (не только ЖКХ) вовремя.  На втором месте - модернизация с постепенным повышением уровня автоматизации и компьютеризации, позволяющих достичь снижения операционных расходов и, возможно, роста доходов за счет снижения издержек и потерь. И только потом дело может дойти до информационной безопасности, которая защитит от пока для многих мифических угроз.

Значит ли это, что ИБ АСУ ТП (КСИИ или КИИ) - это тема, которой не надо заниматься. Безусловно нет. Она важна и по мере все большей компьютеризации будет становиться все важнее и важнее. Только вот не стоит рассчитывать на то, что руководство критически важных объектов с радостью будет расставаться с деньгами на информационную безопасность. Как показывает международный опыт без участия государства эту проблему не решить. Даже в прогрессивных США, в которых тема ИБ КВО является одной из проработанных, многие критические инфраструктуры не занимались своей ИБ до тех пор пока не появились обязательные требования по защите и, что немаловажно, милионные штрафы за нанесение ущерба вследствие компьютерных сбоев. Но даже в таких условиях уровень защиты американских КВО от киберугроз остается неидеальным. Дошло до того, что в прошлом году в Америке вышло большое исследование, которое доказывало, что в отличие от остальных сфер деятельности, в которых решение о том, заниматься ИБ или нет, принимает владелец  инфраструктуры, в КВО такое решение должно принимать государство. Никакое модное управление рисками в КВО задачу решить не может, т.к. организации могут годами не сталкиваться с угрозами, приводя значение вероятности их реализации к нулю, что приводит к нежеланию тратить миллионы и миллионы на то, что может никога и не понадобиться. И это в США, в который и износ гораздо меньше, и уровень устаревшего оборудование существенно ниже, а оплата по факту по рыночной стоимости существует уже давно.

Так что резюмируя хочется отметить, что в 2014-м году (если где-нибудь не "бабахнет") тема ИБ АСУ ТП КВО будет сродни безопасности мобильного банкинга в году ушедшем - шума много, а выхлопа мало. Пока мало...

ЗЫ. Буква "П" в заглавие - это сокращение от "профанация", а не то, что вы подумали :-)

19.1.14

Новый курс - "Новинки законодательства по персональным данным"

Курс "Что скрывает законодательство по персональным данным?" я читаю уже скоро 5 лет - за это время его прослушало по скромным оценкам больше тысячи человек, но постепенно число слушателей уменьшается. Если на первые курсы собиралось до 70 человек (бывало и такое), то сейчас - максимум человек 20. Правда, есть и те, кто на протяжении этих 5 лет бывал на курсе и 2, и 3 раза. Но сейчас, как мне кажется, курс в нынешнем своем виде уже стал сдавать - почти все, кто хотел, его прослушали, получив необходимый объем информации. При этом я регулярно слышу про необходимость регулярных, но не очень длинных обновлений. А учитывая, что за последнее время у нас произошло немало обновлений на уровне и ведомственных приказов и поправок в федеральное законодательство (включая проекты), то родился новый курс - "Новинки законодательства по персональным данным".

  1. Приказы №17 и №21 ФСТЭК по защите персональных данных для государственных, муниципальных и коммерческих операторов ПДн
    • a. На кого распространяется?
    • Выбор защитных мер
    • Что подразумевается под той или иной мерой?
    • Компенсирующие меры
    • Принцип экономической целесообразности
    • Аттестация и сертификация: нужны ли?
    • Как бороться с НДВ
    • Сертификация как форма оценки соответствия
  2. Проект приказа ФСТЭК с разъяснением мер по защите персональных данных
    • Детальное рассмотрение защитных мер
  3. Приказ Роскомнадзора по обезличиванию персональных данных
  4. Методические указания Роскомнадзора с разъяснением правил применения приказа по обезличиванию
  5. Разъяснения Роскомнадзора
    • по биометрическим персональным данным
    • по обработке персональных данных в кадровом делопроизводстве
  6. Проект приказа ФСБ по защите персональных данных
    • Какие решения могут помочь выполнить требования приказа, в случае его принятия?
    • Как легально не выполнять приказ в случае его принятия?
  7. Законопроект по внесению изменений в ФЗ-152
    • Сведения о судимости: можно обрабатывать или нет?
    • Что будет считаться биометрическими ПДн?
    • Как изменится обработка общедоступных ПДн?
    • Кто такой обработчик ПДн?
    • Как изменятся правила трансграничной передачи ПДн?
    • Кто сможет определять угрозы ПДн?
    • Дополнительные основания для неуведомления Роскомнадзора о начале обработки ПДн
    • Когда не потребуется обеспечивать конфиденциальность ПДн?
    • Можно ли получать согласия на обработку ПДн дистанционно?
  8. Два законопроекта об увеличении штрафов за нарушение правил обработки ПДн – чья возьмет?
  9. Проект Указания Банка России «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных»
  10. Итоги европейской реформы законодательства по ПДн и ее применение на территории России
ЗЫ. Программа в отдельном файле выложена тут.

16.1.14

В РФ расширяют понятие кибертерроризма и вводят повсеместную идентификацию личности

Вчера в Госдуму был внесено еще несколько интересных законопроектов, также направленных на борьбе с терроризмом. Первый - законопроект № 428896-6 "О внесении изменений в отдельные законодательные акты Российской Федерации". Этот законопроект, на мой взгляд, имеет мало общего с терроризмом и с информационной безопасностью, но имеет отношение к теме Национальной платежной системы и нашей с вами повседневной деятельностью по покупкам в различных Интернет-магазинах и т.п. Итак, ключевые изменения, которые несет этот законопроект:
  • Снижается сумма перевода денежных средств без идентификации в рамках ПОД/ФТ (115-ФЗ) с 15-ти до 5-ти тысяч.
  • Запрещается перевод денежных средств с помощью неперсонифицированных электронных средств платежа (когда клиент не прошел процедуру идентификации по 116-ФЗ) на сумму свыше одной тысячи рублей в день и 15-ти тысяч рублей в месяц.
  • Запрещается любой трансграничный перевод денежных средств при отсутствии идентификации клиента-физлица по 115-ФЗ.
  • Запрещается любой трансграничный перевод денежных средств при отсутствии информации о получателе/отправителе денежных средств (даже при условии идентификации клиента по 115-ФЗ).
  • Запрещается любой перевод денежных средств с помощью неперсонифицированных электронных средств платежа, выданных за пределами РФ.
  • Обязательному контролю подлежит любая операция по переводу электронных денежных средств (в терминах ФЗ-161) на сумму свыше 100 тысяч рублей.
Комментировать очередную порцию бреда бешеного принтера не хочется. В то время, как во всем мире хотят уменьшить объемы наличных денег (в России про это тоже говорят), наши депутаты, всеми правдами и неправдами, возвращают нас во времена коробок из под ксерокса и стимулируют активное применения криптовалют для анонимных платежей. Есть, правда, и другая версия появления этого законопроекта. Хотя по мне, что обвинение в слабоумии, что в коррупции... Депутатам подходит и то и другое.

Второй - законопроект № 428889-6 "О внесении изменений в отдельные законодательные акты Российской Федерации". Он помимо наказание за неисполнение требований коллегиального органа под названием Национальный антитеррористический комитет (НАК), дарования ФСБ права личного досмотра граждан и транспортных средств и установления разных ответственностей в УК и КоАП по вопросам терроризма, изменяет и само понятие "террористического акта", добавляя к уже существующим "совершению взрыва, поджога или иных действий, устрашающих население и создающих опасность гибели человека, причинения значительного имущественного ущерба либо наступления иных тяжких последствий, в целях воздействия на принятие решения органами власти или международными организациями, а также угроза совершения указанных действий в тех же целях" еще одну цель - "дестабилизацию деятельности органов государственной власти, органов местного самоуправления и международных организаций".

Помните, ходили разговоры о том, что атаки на сайты госорганов приравняют к захвату госвласти (я тоже про это упоминал)? Так вот по второму законопроекту дестабилизация деятельности госоргана путем выведения из строя его сайта теперь будет относиться не к захвату госвласти, а к террористическому акту. К слову сказать, в США и Великобритании кибератаки приравнены к террористическим актам.

ЗЫ. Зато в одном я спокоен. Террористы теперь не пройдут :-(

СОРМ-4 пришел?..

Помните, в октябре я описывал краткую историю тематики СОРМ в России? Тогда я предположил, что слух о том, что не просто операторов связи и Интернет-провайдеров, но и рядовых владельцев сайтов и блогов обяжут хранить информацию о действиях своих пользователей и посетителей, - это не более чем слух и в здравом уме это врядли кто-то решится сделать. Но депутаты решились...

Итак, законопроект № 428884-6 "О внесении изменений в отдельные законодательные акты Российской Федерации по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей", внесенный вчера комитетом Госдуры по безопасности. Законопроект содержит следующие обязательные нормы:
  • Физлицо или юрлицо обязано уведомить уполномоченный орган (Роскомнадзор) о начале осуществления деятельности по организации распространения и (или) обмена данными между пользователями в сети "Интернет".
  • Данное лицо обязано "хранить информацию о приеме, передаче, доставке и обработке голосовой информации, письменного текста, изображений, звуков или любого рода действиях, совершенных пользователями при распространении информации и (или) обмене данными" в течении 6 месяцев с момента окончания этих действий.
  • Данное лицо обязано предоставлять эту информацию органам, осуществляющим ОРД (читай, ФСБ, МВД, ФСО, СВР, Госнаркоконтроль, таможня, ФСИН, внешняя разведка МинОбороны) или безопасность (читай, ФСБ).
  • Операторы связи обзаны идентифицировать пользователей "услуги по передаче данных и предоставлению доступа к информационно-телекоммуникационной сети "Интернет".
  • Деятельность считается осуществляемой на территории России, если из двух (пользователь или оператор связи) хотя бы один находится на территории России. Иными словами, западные Интернет-компании обязаны выполнять эти требования, если у них есть хотя бы один россиянин в списке клиентов.
  • Неуведомление или отказ хранить и предоставлять сохраненные сведения влечет штраф для физлиц (до пяти тысяч рублей) и юрлиц (до двухсот тысяч).
Законопроект коснется, как минимум, 6 миллионов доменов/сайтов, зарегистрированных в доменах .ru, .su и .рф на 14 января 2013 года. Даже если предположить, что у каждого пользователя один домен, то получается несколько миллионов лиц попадет под новый закон. Это минимум. Максимум я себе представить боюсь. В России осенью 2013-го года (по разным оценкам) было от 50 до 70 миллионов пользователей Интернет. И все они распространяют (те же фотки в соцсетях) или обмениваются (посредством Jabber, Skype, электронной почты) информацией. Иными словами "под колпак" спецслужб сами себя должно поставить от 45 до 57 процентов населения страны.

ЗЫ. Зато террористов и экстремистов ловить будет легче. Они же должны будут сами пойти и зарегистрироваться - они же законопослушные...

15.1.14

Мероприятия по ИБ в 2014-м году

Продолжая начатую несколько лет назад традицию, составил перечень мероприятий по ИБ, которые пройдут в 2014-м году.

В список попали те, что были и в прошлогоднем списке, а также были добавлены новые мероприятия (а точнее всего одно-два). Причем не все из них, по моему личному мнению, стоят того, чтобы их посещали. Часть мероприятий, как в части контента, так и в части организации оставляют желать лучшего. Небольшие региональные события, вузовские конференции, а также различные ИТ-события не включал. Они либо очень ограничены по аудитории, либо не имеют практической направленности, либо в их рамках всего 1-2 выступления по ИБ.

Некоторые события в список не попали, т.к. на сайтах организаторов нет ни слова про проведение мероприятия в этом году. Для ежегодных мероприятий, я считаю, это неправильно и демонстрирует низкое качество организации. Бюджеты многие планируют заранее, а при отсутствии информации это становится сложновато. Еще больше вопросы вызывает отсутствие данных по мероприятиям, которые ежегодно проходят весной - осталось 2-3 месяца, а сведений нет :-( Видимо и самих мероприятий не будет.

Отдельно надо сказать по мероприятиям АвангардПро. Помимо уже включенных в список PKI-Forum, магнитогорского форума, "Защиты ПДн" у Авангарда есть и другие конференции, преимущественно по тематике ИБ в финансовой отрасли, которые еще не стали ежегодными и о планах их проведения в этом году пока ничего не известно.

ЗЫ. Сразу прокомментирую по поводу Инфобезопасность-Экспо и CSO Summit. Они приказали долго жить. Первое, видимо, не выдержало непродуктивной конкуренции с InfoSecurity Moscow. Держалась эта выставка на конференционной части, но после ухода ее организатора, видимо все совсем стало плохо. Ну а фортроссовский CSO Summit давно превратился в сбор персональных данных участников для дальнейшей продажи и в нем мало кто хочет уже участвовать. Учитывая потенциальное судебное преследование организаторов, им сейчас должно быть не до того.


14.1.14

Здравый смысл безопасника или не читайте перед обедом немецких газет

Безопасника от журналиста, падкого на сенсации, отличает здравый смысл и взвешенная позиция. Именно так я хотел бы посмотреть на последние "разоблачения Сноудена", описанные в немецком "Шпигеле" в конце прошлого года и которые стали активно обсуждать именно сейчас.

Что мы узнаем из этих материалов? В 2007-м году у АНБ был "каталог ОТТО" со списком возможностей, которые можно было использовать для несанкционированного доступа к ИТ-продукции большого спектра ведущих ИТ-компаний в целях спецслужб. Тут важны 4 момента:

  1. Цели спецслужб обычно отличаются своей скрытностью, которая является антонимом массовости. Ни о каком массовом внедрении "имплантов" речи не идет. Тем более не идет речи и о наличии предустановленных производителем на заводе закладок или уязвимостей. В статье Шпигеля говорится, что американские спецслужбы имеют возможность инсталляции своих имплантов в оборудование и продукцию, поставляемую отдельным заказчикам, попадающим под экспортный контроль (о нем я уже писал), за счет изменения маршрута логистики через "свои" склады, где и осуществляются все действия; скрытно от всех, включая производителей, дистрибьюторов, заказчиков и т.д. Я, конечно, не могу говорить за спецслужбы, но мне кажется, что они сами не заинтересованы в массовости установки своих имплантов - повышается вероятность их обнаружения. Поэтому если такие импланты и устанавливались, то под жестким контролем АНБ.
  2. Эти возможности по несанкционированному доступу известны с, как минимум, 2007-го года. Знаем ли мы о примерах использования этих возможностей? Я не слышал. О Stuxnet, созданном теми же спецслужбами, стало известно спустя полгода-год после его внедрения на заводе по обогащению урана в Натанзе. Тут проходит 7 лет и ни одного публичного факта использования. Секретность секретностью, но всплыть-то такие факты должны были за такой продолжительный интервал времени. Либо их нет, либо они единичны и против очень специфических жертв (террористы, китайцы и другие реальные "противники" США).
  3. Список пострадавших ИТ-компаний очень разносторонен и включает и американские, и арабские, и китайские компании. При этом в каталог включены не все линейки продукции, а только некоторые (не всегда самые ходовые). Если бы речь шла о закладках, сделанных сами разработчиками, в каталог были бы включено гораздо большее количество уязвимых продуктов. На мой взгляд это доказывает, что это "личная инициатива" спецслужб, имеющих возможность (не обязательно использующих) устанавливать руткиты на ИТ-продукции, но не на всей.
  4. То, что это каталог возможностей, а не продуктов с уже установленными закладками доказывает и тот факт, что почти все крупные компании не только подвергают свою продукцию тщательному QA-анализу со своей стороны, но и и привлекают для этого внешних консультантов, которые за 7 лет не нашли ничего похожего на упоминания в каталоге АНБ (в таком количестве). А еще есть и независимые исследователи, которым просто так рот не заткнуть (если предположить, что вендор и привлеченные им тестеры не будут выносить сор из избы).


На мой взгляд, все это доказывает только одно - проблема не так уж и опасна для массового заказчика, как ее преподносят СМИ (их мотивация понятна). Я не буду утверждать, что она совсем неактуальна, но не всем и не всегда. Правда, все это при условии, что материалы "Шпигеля" истинные, а не являются фальсификацией, призванной на волне интереса к разоблачениям Сноудену ударить по ИТ-монополии американских и азиатских компаний. Обратите внимание - в списке европейского Шпигеля нет европейских ИТ-компаний.

Но, допустим, это не газетная утка и не европейская провокация и факт имеет место быть - спецслужбы действительно могуть получить несанкционированный доступ к отдельным ИТ-продуктам, упомянутым в каталоге, и местами уже снятыми с производства. Что это значит для рядового потребителя? А ровным счетом ничего! Если не брать отдельные категории заказчиков, имеющих дело с гостайной или работающих в ВПК (а там и так особые требования к используемому ПО и оборудованию), то описанная "Шпигелем" угроза неактуальна. Разве может быть АНБ интересна рядовая российская компания, даже крупная по нашим меркам? Разве нет у спецслужб более простого способа получения нужной информации (при нашем-то уровне коррупции)? Ситуация аналогична ПП-1119 с его уровнями защищенности. Я уже писал (и моя позиция неофициально подтверждается коллегами из ФСТЭК и ФСБ), что угроза наличия НДВ в ИСПДн для 99% российских организаций является неактуальной и это решение принимает именно оператор ПДн. В случае с угрозой со стороны АНБ ситуация ровно аналогичная. Вы сами определяете - угроза они для вас или нет?

Ведь если принять угрозу НСД со стороны спецслужб актуальной, то получается, что необходимо защищаться от возможности несанкционированного доступа к сетевому оборудованию и средствам защиты (Сноуден про это пишет), ОС (про все операционки, включая Windows и Linux, также упоминается у Сноудена), мобильным и беспроводным устройствам (Сноуден и про это рассказал), процессорам (это с 95-го года известный факт) и т.п. И как с этим бороться? Методы есть; мы их уже обсуждали, когда готовились к 21-му приказу ФСТЭК, и потом, когда он уже вышел. Но все эти методы дорогостоящи, а для ряда платформ и вовсе невозможны. Есть еще один метод - разработка своей ИТ-продукции (одна попытка уже была). По нему пошел Китай. Но вот у нас почему действует другой метод - мы только запрещаем чужое, не создавая своего. Точнее запрещают одни, а создавать (или стимулировать создание) должны другие. Но первые работают эффективно, а вот вторые забили болт на развитие национальной ИТ-индустрии. В итоге страдает рядовой потребитель, которого уравняли со стратегическими объектами и объектами, обрабатывающими гостайну.

Резюмирую. Можно долго разглагольствовать об угрозах со стороны американских, английских, китайских, израильских или иных спецслужб. Такой флейм забавен на какой-либо конференции или в целях обеспечения государственной безопасности. Но для рядового безопасника, работающего в обычной коммерческой или муниципальной (а временами и в государственной) организации, эта тема является непродуктивной. Здравый смысл и мой опыт подсказывает, что это именно так. Если, конечно, не рассматривать угрозу со стороны российских силовиков, которые могут "отжать" бизнес (или просто напакостить), что происходит достаточно часто в последнее время. Правда, это уже не проблема специалистов по ИБ. Неактуальность угрозы ИБ со стороны иностранных спецслужб не отменяет необходимости задумываться о развитии собственной ИТ-отрасли, но думать об этом должны немного другие люди. Кстати, эта тема упомянута в Стратегии кибербезопасности РФ. Что же касается повседневной деятельности или прогнозов на 2014-й год, то могу дать ссылку на неплохую заметку "Игнорируйте прогнозы, забудьте рекомендации и сосредоточьтесь на трех ключевых направлениях, которые сделают успешным этот год ИБ для вас". В ней говорится, что ориентироваться надо всего на три вещи в своей ИБ-деятельности:

  • Изучите и знайте СВОЙ бизнес, чтобы принести ему пользу и ценность!
  • Обеспечьте минимально необходимый уровень безопасности того, что нужно в первую очередь бизнесу!
  • Установите приоритеты своей ИБ-деятельности, дающей новую ценность бизнесу!
Если борьба с иностранными спецслужбами попадает у вас в эти три рекомендации, то чтож, значит вас ждет интересная (это новый опыт) и затратная (это очень дорого) борьба с ветряными мельницами!

ЗЫ. Со Старым Новым Годом!

13.1.14

Готовы поучаствовать в обсуждении Стратегии кибербезопасности РФ?

В начале декабря я писал про текущий статус разработки Стратегии кибербезопасности РФ. И вот, спустя всего месяц Руслан Гаттаров сдержал свое обещание и выложил концепцию этой стратегии для общественного обсуждения. Концепция - это еще не текст самой Стратегии, а скорее свод принципов, заложенных в ее основу, а также основополагающие тезисы, которые должны войти в итоговый вариант.

Многие российские специалисты не раз высказывались за то, что надо идти с самых верхов и менять идеологию обеспечения ИБ в России. У кого-то даже целая единая теория безопасности разработана :-) Сейчас представляется возможность для того, чтобы высказать свои идеи и предложения, которые после обсуждения на рабочих совещаниях войдут (или не войдут) в финальный документ, который должен быть вынесен на заседание Совета Безопасности.

ЗЫ. Хочу еще раз отметить, что ждут не критики, а конкретных предложений и идей. Написать "все плохо" или "все переделать" - это не предложение и не идея :-) Критикуя, предлагайте.

Законопроект по штрафам за несоблюдение ФЗ-152

В конце прошлого года, когда многие уже отдыхали или готовились к продолжительному отдыху, которым нас наградило российское государство, Минкомсвязь выложил на всеобщее обозрение и публичное обсуждение два законопроекта по теме персональных данных. Первый - долгожданный законопроект по внесению изменений в КоАП, устанавливающий новые штрафы за нарушение законодательства по персональным данным. Публичное обсуждение этого законопроекта заканчивается 26-го января и у вас есть шансы высказать свое мотивированное мнение по данному законопроекту.

В новом законопроекте меняется текст статьи 13.11, которая устанавливает два состава правонарушений:

  • Нарушение требований к письменному согласию субъекта
  • Обработка ПДн без согласия или иных законных оснований.
Также вводится еще 3 новых статьи:
  • 13.11.1 - незаконная обработка спецкатегорий ПДн
  • 13.11.2 - непредоставление оператором информации и (или) доступа к сведениям, предусмотренным законодательством о ПДн
    • Данная статья наказывает в т.ч. и за отсутствие политики в отношении обработки ПДн 
  • 13.11.3 - несоблюдение требований по обеспечению безопасности ПДн.
Сумма максимального штрафа по указанным статьям достигает трехсот тысяч рублей за незаконную обработку спецкатегорий, до сорока тысяч - за непредоставление сведений и до двухсот тысяч - за невыполнений требований по защите ПДн.

Второй законопроект касается внесения изменений в статью 10 Федерального закона "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля". Наконец-то официально признается отсутствие у Роскомнадзора оснований для внеплановых проверок. Выложенный законопроект направлен на устранение этого недостатка. Публичное обсуждение этого законопроекта закончилось.

Также напомню, что помимо указанных законопроектов, есть и другие - о них я уже писал в конце прошлого года. Но их пока не вносили на общественное обсуждение.

10.1.14

Как писать?

К 2005-му году я считал себя уже маститым писателем. Еще бы! У меня в багаже уже было 3 собственных книжки (правда, на одну тему), одна в соавторстве, и куча статей, счет которых к тому моменту перевалил за две или три сотни. И спрашивали меня тогда нередко "Как научиться писать статьи?" и все такое. При этом в то время были популярны различные Интернет-курсы за 100 баксов - "Как заработать в Интернете?", "Как стать консультантом?" и, конечно же, "Как стать писателем?". Последний вел малоизвестный мне человек, утверждавший, что он может научить, как зарабатывать миллионы на писательстве :-) Ну, а поскольку, это было, мягко говоря, неправдой, то я решил поделиться своим опытом, сделать свой курс и выложить его в открытый доступ. Но не срослось. Материал был скомпонован, но руки так и не дошли финализировать материал. Вот так он и пылился с 2005-го года и вот на днях, разгребая файловые завалы, я наткнулся на эту презентацию и решил хотя бы сейчас выложить ее на всеобщее обозрение. Не могу сказать, что тема презентации связана с ИБ, но с другой стороны и думать, что они совсем не связаны, тоже неправильно. Умение излагать свои мысли - в презентации или в статье/книге - нужно всегда. И коль уж я регулярно пишу о мероприятиях и рекомендациях по их организации, то почему бы не написать про организацию писательского дела? :-)

Надо заметить, что презентация местами устарела. Все-таки, сейчас, имея возможность завести себе онлайн-издание в один клик (блог), некоторые советы уже неактуальны. Раздел про общение с редакторами тоже уже не всегда соответствует действительности. Но большая часть материала по-прежнему не потеряла своей цены. Тем более, что все это из моего опыта, а не просто понадергано откуда-то (хотя и это тоже есть).


9.1.14

Palo Alto покупает Morta Security

7 января Palo Alto Networks объявила о приобретении частного калифорнийского стартапа Morta Security, занимающегося вопросами кибербезопасности. Компания Morta Security вообще никому неизвестна - в пресс-релизе даже специально упоминается, что компания функционировала с 2012-го года "в скрытом режиме". Что она делала, никто не знает, но как обычно что-то уникальное :-) Детали сделки не раскрываются. 

FireEye покупает Mandiant

2 января американская FireEye объявила о приобретении американской частной компании Mandiant. Обе компании занимаются борьбой с угрозами, преимущественно на уровне оконечных устройств. Mandiant в России своими продуктами неизвестна, хотя само имя компании на слуху. Это связано с тем, что разразившийся в прошлом году скандал с китайскими атаками на американские государственные и военные организации был спровоцирован именно отчетом Mandiant, которая в первую очередь известна именно своими услугами в области расследований киберпреступлений.

Сумма сделки немаленькая, с учетом выплаты наличными и акциями, - она составит 1.05 миллиарда долларов, что примерно в 10 раз больше годового оборота Mandiant (к слову, годовой оборот FireEye составляет около 160 миллионов долларов, а капитализация, после слияния, свыше 6 миллиардов). Последний раз сделка с аналогичными соотношением был летом, когда Cisco приобрела Sourcefire. 

Планы проверок РКН, ФСТЭК и ФСБ на 2014 год

РКН, ФСТЭК и ФСБ опубликовали свои планы проверок на 2014-й год:

6.1.14

В новый год с новым дизайном блога

Не обновлял дизайн блога уже несколько лет и вот решился :-) Цель была простой - сделать блог более удобным (хотя, куда уж удобнее) и более информативным.

С некоторыми информационными блоками решил расстаться:
  • "Читаемые блоги" убрал вовсе. И блогов, которые я читаю, стало немало, и те, что были упомянуты давно не обновляются по причине занятости коллег. Не думаю, что это будет большой потерей.
Часть информационных блоков сменило свое местоположение:
  • DISCLAIMER убрал в главное меню.
  • "Мои публичные выступления" тоже убрал в главное меню. Их то мало (как сейчас), то слишком много (до 20-ти в месяц). Это приводит к тому, что блок "Последних комментариев" и "Популярных сообщений" уходит глубоко вниз и становиться сложно следить за активностью в блоге.
  • "Будь в курсе изменений блога" заменил на "Следить за мной", где вместо единственной ссылки на Twitter теперь стоят ссылки на мои страницы в Facebook, Google+ и LinkedIn. Собственно через них меня и можно разыскать и связаться со мной. Хочу отметить, что из всех этих социальных сетей чаще всего я пользуюсь Facebook - остальные (а также "Одноклассники" и "ВКонтакте, в которых я зарегистрирован, но почти не пользуюсь).
Был добавлен слайдер (под названием блога) с указанием приоритетных тем, рассматриваемых в блоге. В первую очередь это законодательство и, отдельно, персональные данные, регуляторы, измерение эффективности ИБ и различные "горячие" темы (облака, АСУ ТП, SDLC и т.п.). По сути слайдер - это просто короткие ссылки на выборку из блога.

Было также добавлено главное меню на самом верху шапки (над заголовком). В него было вынесено несколько статичных страниц (без возможности их комментирования), о которых у меня часто спрашивают, или которые я посчитал нужным вынести отдельно (ввиду отсутствия собственного сайта). Итак, в главное меню попали:
  • "Мои выступления". На этой странице будут отображаться мои ближайшие выступления с указанием мест и дат выступлений.
  • "Мои курсы". Учитывая, что многие посетители блога не всегда находили ссылки на курсы по персданным, измерению ИБ, управлению инцидентами и регулярно спрашивали меня об этом в почте, решил завести под курсы отдельную страницу. На ней я разместил описание всех курсов (с ссылками на программы, выложенные на Slideshare), а также буду указывать даты проведения этих курсов (даты буду дублировать и на странице "Мои выступления").
  • "Мои книги". Регулярно теряю ссылки на свою онлайн-книгу "Мифы и заблуждения информационной безопасности" - поэтому и вынес ее на отдельную страницу. Но так как одной ссылке там было бы неуютно и скучно, разместил краткое описание и остальных 4-х моих книг.
  • "Обо мне". На просьбы организаторов различных конференций прислать им краткую справку обо мне (мини-биографию), решил наконец-то свести все воедино и выложить в публичный доступ. Буду теперь ссылку на эту страницу отправлять. Текст там получился немаленький - все-таки за 20 с лишним лет в отрасли есть достижения какими можно делиться. Но зато теперь там почти все и можно делать любую нарезку.
  • DISCLAIMER. Ну тут все понятно :-)
Цветовую гамму поменял - пусть она олицетворяет собой чистое небо над отраслью ИБ :-) 

Навигация стала, на мой взгляд, попроще - слева размещен архив блога и категории (теги), отсортированные по частоте использования, а справа на отдельных вкладках расположились ссылки на популярные заметки и последние комментарии, категории (теги) в алфавитном порядке и опять архив блога (может кому-то удобнее не слева его смотреть, а справа). Текст заметок теперь размещается на главной странице не целиком, а только их вводная часть. Для просмотра целиком и комментирования необходимо нажать на "Подробнее...". Это должно также облегчить изучение заметок, опубликованных за последние несколько дней, а также чтение только заинтересовавших материалов.

Добавил строку поиска, а то в прежнем варианте сам мучался, когда надо было что-то найти и приходилось использовать внешний поиск.

Кнопку "Связаться со мной" или форму обратной связи решил явно не делать - не хочу, чтобы мой адрес попадал в разные спамерские базы. Кто хочет со мной связаться и не знает моего адреса, может воспользоваться блоком "Следить за мной" и указанным там моим адресам в Facebook, LinkedIn и других социальных сетях.

Новый дизайн протестировал на Safari, Firefox, IE и Chrome. На мобильных устройствах тоже должен отображаться нормально (в облегченном варианте).