22.4.14

Бизнес-идея по дистанционному ИБ-обучению

Вчера в Фейсбуке поле заметки Марии Сидоровой о бесперспективности в России идеи ИБ-ассоциаций было продолжение этой непростой дискуссии. После нее у меня и родилась (а точнее дооформилась) идея, которую я и решил опубликовать (а вдруг кто-то захочет реализовать). Идея проста - создание площадки для дистанционного обучения по ИБ темам. На данной площадке любой желающий может разместить на определенных условиях свой курс по ИБ, который могут прослушать также любые желающие.

В чем отличие от обычного УЦ?

Отличие очевидное - гибкость и широта охвата. Сегодня абсолютное большинство УЦ читает очень небольшой набор курсов, ограниченных минимум 8-мью часами и, как правило, посвященных какой-то большой теме; да еще и с выдачей сертификата государственного образца. Предлагаемая площадка должна устранить те пробелы, которые вытекают из бизнес-модели существующих УЦ.

В чем преимущества для авторов?

Есть немало людей в России, которые обладают либо уникальным опытом, либо знаниями, которыми они готовы делиться. Но делиться им негде. В обычные УЦ их либо не берут, либо не зовут, либо сами авторы боятся предложить свои услуги. А времени причина банальнее - нет времени и возможности на очное преподавание. С дистанционным обучением ситуация проще - разработал курс, оформил его, внес в систему и пусть на него пишутся желающие. Курс может, в свою очередь, подразумевать проведение с помощью инструктора (автора) или без него (полностью отвязанный материал). Таким образом, число потенциальных преподавателей может увеличиться в разы.

В чем преимущества для слушателей?

У слушателей существует вполне конкретная потребность в прохождении либо не самых популярных курсов (нерентабельных для очного обучения), либо коротких курсов, посвященных какой-то небольшой теме - введение в криптографию с открытым ключом, обзор нового письма Банка России, обзор новинок законодательства за месяц и т.п. Такие курсы сейчас не читает никто и нигде - обычному УЦ это нерентабельно. А потребность есть - площадка могла бы ее удовлетворить. Стоимость таких курсов должна быть явно ниже очных, что должно привлечь большую аудиторию, особенно из регионов. Тем самым, можно будет за меньшие деньги обучить большее число слушателей, что в итоге может дать тот же финансовый эффект (а может и больший). К тому же многиз слушателей интересует именно знания, а не бумажка государственного образца.

В чем преимущества для владельца площадки?

Владелец площадки зарабатывает на управление системой дистанционного обучения, на помощи в "оцифровке" курсов, а также на получении небольшого процента от слушателей и авторов курсов на управлении финансовыми потоками.

Некоторые особенности функционирования

Какая изюминка может быть у площадки? Помимо фиксированной цены за курс, которую устанавливает автор, можно устроить аукцион! Либо автор указывает желаемую стоимость проведения курса, а слушатели ее сбрасывают на аукционе до минимально интересной для автора. Либо, если автор не знает, за сколько предложить свой курс, слушатели сами начинают устанавливать цену, которую они считают разумной.

В чем отличительные особенности?

Есть же ИНТУИТ, который по сути предлагает тоже самое. Да, есть. Но у ИНТУИТа слишком широкий охват и нет узкой специализации, которая позволяет дать импульс той или иной теме. Управлять предлагаемой площадкой должен все-таки кто-то, кто разбирается в ИБ. Второе отличие - в идее аукциона и гибкости в назначении цены за курс. Третье - в длительности курсов. ИНТУИТ все-таки ориентирован на длительные программы обучения. А тут могут быть и блиц-программы на 2-4 часа. Их подготовка тоже не будет занимать много времени.

Резюме

Что в сухом остатке может дать нам реализация такой идеи? Рост числа разнообразных курсов, рост компетенций и квалификации в области ИБ, новые способы заработка для тех, кому есть чем делиться, повышение осведомленности в обласи ИБ. А в идеале на базе такой площадки можно и отечественную систему сертификации специалистов по ИБ замутить.

ЗЫ. А может это вообще все фигня и идея не стоит и выеденного яйца? Ну а что еще можно в 5 утра придумать? :-)

ЗЗЫ. После краткого размышления я понял, что это фигня. Точнее ничего нового в этом нет :-) Есть действительно ИНТУИТ. Есть СПЕЦИАЛИСТ при Бауманке. Есть старый добрый Brainbench, который занимается этим с 1998 года. Есть в конце концов Coursera. Но все равно чего-то не хватает... Вообще в России явная нехватка достаточного количества обучающих курсов по ИБ.

ЗЗЗЫ. Возможно, у меня просто идей по блиц-курсам дофига, а реализовать их негде :-( Скорее всего именно в этом причина рождения такой идеи.

ЗЗЗЗЫ. Дистанционный курс отличается от вебинара повторяемостью и, в ряде случаев, отчуждаемостью от автора.

21.4.14

Законопроект о "СОРМ-4" и блогерах прошел второе чтение

Помните я писал про СОРМ-4? В пятницу Госдума во втором чтении приняла этот законопроект и подготовила редакцию к 3-му чтению, добавив в него новый раздел про блогеров. Судя по всему, законопроект примут уже не сильно изменяя, и можно уже сейчас сказать, что нас ждет. А ждет нас очень много "приятных" вещей:
  • Во-первых, появился новый субъект правоотношений, а точне целых два субъекта. Первый - организатор распространения информации в сети "Интернет", а второй - блогер, т.е. владелец сайта и (или) страницы в сети "Интернет", на которой размещается общедоступная информация и доступ к которым в течение суток составляе более трех тысяч пользователей сети "Интернет". Если под второе определение попадает не так уж и много пользователей, то под первое (а это "лицо, осуществляющее деятельность по обеспечению функционирования информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети Интернет") попадают по сути все Интернет-пользователи. Можно спорить, что это не так и таким лицом является владелец сайта или публичного почтового сервера, но у себя дома именно я обеспечиваю функционирование почтовой программы и никто иной. Так что размытость формулировки может сыграть злую шутку с авторами закона, которые требуют регистрации 70 миллионов пользователей Интернет в Роскомнадзоре.
  • Правда, в п.5 предлагаемой новой статьи делаются исключения для операторов государственных и муниципальных информационных систем, операторов связи, а также граждан, осуществляющих распространение информации для личных, семейных и домашних нужд. Иными словами, Госдума возвращается к прошлогодней инициативе взять под жесткий контроль Интернет-компании, неподчиняющиеся никому сейчас, но имеющие колоссальную аудиторию влияния. Что же касается личных, семейных и домашних нужд, то раньше это особо не требовало пояснений (в том же ФЗ-152 они упоминаются, но не уточняются). В рассматриваемом же законопроекте говорится, что перечень этих самых личных, семейных и домашних нужд определит Правительство. Не попали в перечень - будьте добры выполнять требования законопроекта 
  • Регистрация в РКН новых субъектов правоотношений (и распространителей, и блогеров) - это, кстати, обязательное требование законопроекта.
  • Распространитель информации обязан хранить "на территории Российской Федерации информацию о фактах приема, передачи, доставки и (или) обработки голосовой информации, письменного текста, изображений, звуков или иных электронных сообщений пользователей сети «Интернет» и информацию об этих пользователях в течение шести месяцев с момента окончания осуществления таких действий". В первой редакции надо было еще хранить информацию о действиях любого рода, которые осуществляет пользователь при распространении информации. Хорошо хоть это сейчас не требуется. А то как бы я узнал, что при чтении этой заметки кто-то почесал себя за правым ухом? Но если вы вдруг будете материться, читая этот текст, то эти звуки и голосовую информацию я тоже должен фиксировать :-) Глупо, но факт есть факт, - законопроект написан именно так. Хранимая 6 месяцев информация должна быть представлена по требованиям ФСБ и органов, ведущих ОРД.
  • Распространитель информации обязан применять оборудование СОРМ и хранить в тайне организационные и тактические методы СОРМ. К слову сказать, эти сведения отнесены к гостайне, если мне не изменяет память.
  • Что хранить и как предоставлять информацию ОРДшникам и ФСБ должно определить Правительство РФ. Оно же должно определиться и с тем, кто контролировать деятельность распространителей информации (РКН только их реестр ведет).
Вторая часть законопроекта касается блогеров, которых приравнивают к журналистам, а их сайты к СМИ со всеми вытекающими отсюда ограничениями и требованиями. Если блогер (сайт) уже зарегистрированы как СМИ, то они блогерами не считаются. Если в течение 3 месяцев аудитория блога не превышает 3000 в сутки, то блогер теряет статус блогера. Из других новаций:
  • Зачем-то в законопроект понадобилось переписать часть Конституции (ст.29) о праве блогера свободно искать и распространять информацию (толи авторы не читали Конституцию, толи они считают, что Конституция имеет меньшую юридическую силу, чем законопроект). Также непонятно зачем, но законопроект разрешил блогерам излагать на своем сайте свое личное мнение. Видимо без депутатов блогеры про такое свое право (тоже ст.29 Конституции)  не знали или депутаты, беря пример с себя, думают, что блогеры излагают только чужое мнение. Блоггерам разрешили делать перепост материалов других пользователей Интернет. Интересно, почему в законопроекте не зафиксирована право блогера осуществлять свои естественные надобности?..
  • Блогер имеет право публиковать свое мнение под псевдонимом, но обязательно разместив на сайте свою фамилию :-) Вот вам смешно, а это в законопроекте написано. Мне это напомнило как на одном из семинаров по ПДн сотрудник РКН на вопрос о том, как он относится к конклюдетному согласию ответил, что положительно, если это согласие получено в письменной форме :-)
  • Дальше больше. Блогер должен указать свой электронный адрес для направления ему юридически значимых сообщений. Вот как себе депутаты это представляют? Юридически значимое сообщение в среде, не гарантирующей доставки...
  • Реестр блогеров ведет Роскомнадзор. Он же утверждает методику определения количества пользователей сайта блогера (это секретная методика "sky finger"), запрашивает информацию у распространителей информации, у самих блогеров.
Третья часть законопроекта определяет наказания за неисполнение законопроекта:
  • "Воспрепятствование работе сайтов в Интернете" влечет штраф на граждан до 1000 рублей. Как эта статья привязана к распространителям информации и блогерам я так и не понял, но зато теперь понятно, сколько грозит за DDoS - одна тысяча рублей (для юрлиц - до 20 тысяч).
  • "Неисполнение обязанностей распространителем информации по уведомлению РКН" - штраф до 3000 рублей для физлиц и до 300 тысяч для юрлиц.
  • "Неисполнение обязанностей распространителем информации по хранению информации" - штраф до 5000 рублей для физлиц и до 500 тысяч для юрлиц.
  • "Неисполнение обязанностей распространителем информации по установке оборудования для СОРМ" - штраф до 5000 рублей для физлиц и до 500 тысяч для юрлиц.
  • "Скрытие личности блогера" - штраф до 30 тысяч рублей для физлиц и до 300 тысяч для юрлиц. При повторном нарушении в течение года - рост штрафа на 2/3 или приостановление деятельности на 30 суток.
4-я часть законопроекта коснулась поправок в закон о связи. Но там настолько корявый русский язык, что я пока не могу понять, к чему относятся предлагаемые поправки. После поправок измененный текст должен звучать так "Правилами оказания услуг связи регламентируются взаимоотношения пользователей услугами связи и операторов связи при заключении и исполнении договора об оказании услуг связи, порядок идентификации пользователей услугами связи по передаче данных и предоставлению доступа к информационно-телекоммуникационной сети «Интернет» и используемого ими оконечного оборудования, а также порядок и основания приостановления оказания услуг связи по договору и расторжения такого договора, особенности оказания услуг связи, права и обязанности операторов связи и пользователей услугами связи, форма и порядок расчетов за оказанные услуги связи, порядок предъявления и рассмотрения жалоб, претензий пользователей услугами связи, ответственность сторон" (жирным выделена предлагаемая поправка). Если я правильно "склонил падежи", то теперь оператор связи со своими абонентами должен еще регламентировать порядок использования оконечного оборудования.

Если кратко резюмировать, то российские власти возвращаются к отметенной в 2010-м году идее закручивания гаек в Интернет. Видимо либерализм Медведева (а именно он в тот момент) совсем дал слабину и верх взял реализм Путина, который смайликами не пользуется и до сих использует вместо планшетника блокнот.

18.4.14

Сертификация средств защиты информации: текущий статус

А вот и вторая заметка про оценку соответствия, но уже более приземленная, чем вчерашние рассуждения. Т.к. у нас продолжает активно меняться нормативная база ФСТЭК для разных видов защищаемой информации/информационных систем, то регулярно всплывает вопрос о необходимости применения сертифицированных средств защиты информации. Решил свести все воедино (по состоянию на момент написания заметки).

Итак, у нас есть 3 основных документа ФСТЭК, которые будут определять развитие ИБ в ближайшие годы, - ПДн (21-й приказ), ГИС/МИС (17-й приказ) и АСУ ТП (проект приказа). С приказом по государственным и муниципальным информационным системам все понятно. Средства защиты оцениваются только в форме обязательной сертификации, объект информатизации (читай ГИС с помещениями) только в форме аттестации; проверяющими являются сотрудники ФСТЭК. Все четко и понятно и вопросов, по идее, быть не должно.


С АСУ ТП ситуация и проще и сложнее. Проще тем, что регулятор прекрасно понимает, что сертифицированных СЗИ для АСУ ТП нет (точнее есть всего 3 индустриальных межсетевых экрана, имеющих сертификаты ФСТЭК), а задачу ИБ решать как-то надо. Поэтому в проекте приказа по АСУ ТП явно написано о возможности оператором/владельцем АСУ ТП самостоятельного выбора способа оценки соответствия согласно ФЗ-184. Хотите сертификацию? Пожалуйста. Хотите оценку средства защиты в форме ввода в эксплуатацию? Тоже можно. С оценкой соответствия самой АСУ ТП требованиям по безопасности тоже просто - на выбор владельца АСУ ТП. Хотите аттестацию только по требованиям ИБ, а хотите, проводите оценку в рамках общих приемочных испытаний АСУ ТП (достаточно жестких). Открытым пока остается вопрос по контролю и надзору за выполнением требований - по каким-то вопросам это будет ФСБ, а по каким-то выбираемый сейчас федеральный орган исполнительной власти, ответственный за безопасности критических информационных инфраструктур.

Самой непростой продолжает оставаться тема с персональными данными. В 21-м приказе нет такой явной формулировки, как в проекте приказа по АСУ ТП. Но нет и такой, как и в 17-м приказе. Отсюда каждый делает свой вывод - одни, что сертификация обязательна, другие - что не очень. Я придерживаюсь второй позиции. Оценка соответствия средств защиты ПДн должна быть обязательной, но форму оператор ПДн (если он не госорган) выбирает самостоятельно. Это вытекает из здравого смысла, текущих формулировок нормативных актов и практики. С оценкой соответствия ИСПДн ситуация чуть проще. В разъяснении ФСТЭК по факту выхода 17/21-го приказов было четко написано, что коммерческий оператор ПДн форму оценки эффективности принимаемых мер определяет самостоятельно, а для госорганов это может быть только аттестация.

Но, допустим, оператор ПДн решит следовать здравому смыслу и выберет сам форму оценки соответствия. И будет это не сертификация. Что произойдет, если к нему придет проверка?... Этот вопрос мне задают постоянно :-) Хотелось бы обратить внимание на то, что по закону (ст.19) ни ФСТЭК, ни ФСБ не уполномочены проводить проверки операторов ПДн, не являющихся государственными и муниципальными учреждениями. И Роскомнадзор также не имеет таких полномочий. Проверять-то коммерческих операторов он может, а вот лезть в тематику технической защиты ПДн (в ст.19) и интересоваться сертификатами на СЗИ (и уж тем более наказывать за их отсутствие) он не имеет права. Но мне можно возразить, что проверяет же... Да, бывает. Но тут уж я ничего поделать не могу. Если оператор ПДн не знает своих прав и полномочий проверяющих, если он не готов отстаивать свою правоту и готов не задумываясь "лечь" под РКН, то кто ж тут может помочь?

Никто не совершенен (в регионах представители РКН сами не всегда знают пределов своих полномочий) и каждый сам оценивает свои риски и принимает стратегии по управлению ими. Кто-то готов отстаивать свою позицию на самостоятельность выбора формы оценки соответствия, кто-то не готов. Кто-то хочет сэкономить, кто-то будет переплачивать за бумажку, которая прекратит свое действие при первом же обновлении. Кстати, незнание Роскомнадзором особенностей действия сертификатов ФСТЭК/ФСБ на средства защиты при их обновлении играет на руку потребителю - сертификат хоть и не действует, но как бы есть :-)

Вот такие краткие итоги текущей ситуации по сертификации средств защиты информации.

17.4.14

Подходы к оценке соответствия требуют коренного пересмотра

В последние дни что-то часто опять стала подниматься тема оценки соответствия по информационной безопасности. Поэтому решил разродиться парочкой заметок по этой теме. Давайте начнем с определения. Согласно ФЗ-184 "оценка соответствия - это прямое или косвенное определение соблюдения требований, предъявляемых к объекту". Очень простое и емкое определение, за которым скрывается очень много уровней и подводных камней. Именно эта емкость и подсказывает, что форм оценки соответствия может быть (и должно быть) больше одной.

Сегодня у нас регулятор (что ФСТЭК, что ФСБ) воспринимают только дискретную и детерминированную оценку соответствия. Есть средство защиты информации. Сняли с него контрольные суммы, зафиксировали и... "забыли" про его изменения. Во время появления 608-го Постановления Правительства "О сертификации средств защиты информации" (а это 95-й год) сертификации подлежали только средства защиты гостайны, которые не менялись годами; как, собственно, и сама защищаемая информация. Поэтому детерминизм и дискретность работали неплохо. Раз в 3 или 5 лет можно было обновлять сертификат; средство защиты обновлялись примерно с той же периодичностью. Все были довольны, всех все устраивало. Сегодня ситуация другая. Жизненный цикл разработки новых версий давно уже либо короче, либо сопоставим с длительностью сертификации. К моменту выхода сертифицированной версии, она уже успевает устареть, а то и вовсем оказаться снятой с производства. И в чем тогда сакральный смысл этой сертификации, если она не решает основной своей задачи?

Идем дальше. В 90-х понятие уязвимость хоть и существовало, но не было такого количества исследователей, инструментов, баз данных дыр. Сегодня все это есть. Дыры обнаруживаются ежедневно, а многие так скрытно и дремлют, дожидаясь своего часа. И вновь дискретность при сертификации играет злую шутку, т.к. после сертификации или в самом проверенном продукте, или в среде его функционирования может быть найдена дыра, которая сводит на нет весь процесс оценки соответствия. Сертификат есть, а смысла в нем нет, т.к. защищенность снижена.

Наконец, сегодня нередки ситуации, когда система защиты сама видоизменяется, следуя за изменчивой природой нейтрализуемых угроз. Не детерминированная и статическая, а динамическая и постоянно изменяющаяся. В такой ситуации тоже трудно зафиксировать конечное состояние, неизменность которого и будет гарантировать факт оценки соответствия. Возьмем, к примеру, некоторые средства защиты, которые при развертывании "привязываются" к своей аппаратной платформе. У них на каждом устройстве своя контрольная сумма. ПО одно и тоже. Версия одна и таже. А контрольные суммы разные. Или виртуализация. Сегодня у меня виртуальная машина со средствами защиты находится в Москве на сервере Cisco UCS C200, а завтра перекочевала в Хабаровск на сервер Cisco UCS B. Защита та же, уровень защищенности тот же. А среда функционирования поменялась. И как тут быть с текущими подходами к сертификации, принятыми в ФСТЭК и ФСБ?

Ну про проблемы с действующей системой сертификации известно не только мне - про нее и регулятор даже говорит. Вопрос в другом - делать-то что? Менять только подходы к сертификации бесперспективно. Они все равно устареют через какое-то время. Тут нужна целая стратегия и набор методов по оценке соответствия, принимаемых в зависимости от ситуации. В качестве исходных данных для выбора метода оценки соответствия я бы выбрал следующие (навскидку, не претендуя на полноту):

  • Тип потребителя. Требования для госов и бизнеса, для КВО и малых предприятий врядли будут и должны совпадать.
  • Уровень значимости защищаемой информации. Общедоступные данные и гостайна требуют разных затрат и ресурсов на оценку соответствия.
  • Объект защиты. ПО и облако, железо и виртуальная машина, микрочип и прикладной софт должны оцениваться по-разному.
  • Этап жизненного цикла системы защиты. Вот тут требуется пояснение. У нас принято, что оценка соответствия должна проводиться либо до ввода системы защиты в промышленную эксплуатацию, либо с заданной периодичностью (например, раз в три года). А что делать в процессе эксплуатации? В условиях APT, когда между проникновением и кражей информации проходят минуты, а между проникновением и обнаружением - месяцы, столь длительные интервалы времени между оценками - непозволительная роскошь. Даже полгода и то много. Процесс оценки соответствия на этапе эксплуатации должен быть непрерывным.
  • Доступность объекта оценки. Недавно один заказчик сертифицировал партию Cisco Pix по требованиям безопасности. На фоне сообщения ФСТЭК о завершении поддержки сертифицированной Windows XP факт сертификации Cisco Pix, который сняли с производства в 2008-м году, достаточно интересен, но тут важно другое. Как оценивать то, что используется, но уже не выпускается? Обычная сертификация тут не работает, но может помочь пентест в режиме черного ящика.
  • Доступность стенда для развертывания объекта оценки. Вот возьмем антивирус. С его оценкой соответствия проблем особых нет - взял, поставил, погонял на стенде, получил результаты. Оставим за скобками, что в реальных условиях результаты могут быть немного иными (вот тут пример). А если у нас речь идет о системе ИБ электростанции или иного столь редкого объекта, что стенда просто нет? 
  • Глубина оценки. Если мне надо поискать недокументированные возможности в исходном коде, то уровень такой проверки может быть совершенно разный (опять же зависит от задач). Можно замутить многомесячные сертификационные испытания на отсутствие НДВ (и пропустить при этом кучу уязвимостей), а можно прогнать софт с помощью облачного Appercut и оперативно получить экспресс-оценку всего за несколько часов. 
  • Оценщик. Наконец, важно понимать, что оценку может проводить не только внешняя организация. Иногда достаточно и самооценки. При соблюдении определенных условий она может быть вполне адекватной и независимой. Но при этом может быть организована оперативнее, дешевле, а местами и эффективнее.

Ситуация с оценкой соответствия по требованиям информационной безопасности сегодня очень непростая. Угрозы усложняются и становятся скрытнее и динамичнее. Среда функционирования также эволюционирует и сложно предсказать, что будет завтра. В такой недетерминированной и недискретной среде старые методы оценки соответствия (в виде единственно признаваемой сертификации) уже не работают. Дальше ситуация будет только  ухудшаться. Регуляторам, если, конечно, перед ними стоит задача повышения уровня защищенности российских организаций, а не выполнение "галочных" норм и недопущение на рынок "посторонних", нужно пересматривать свои взгляды на этот вопрос.

"Всех впускать - никого не выпускать". Об однонаправленных МСЭ

С пару недель назад имел беседу с коллегой, который пытался доказать, что в технологических сетях имеют право на жизнь только однонаправленные межсетевые экраны, т.к. они обеспечивают идеальную защиту индустриальных сегментов от направленных или случайных воздействий. А вчера услышал про идею стартапа о создании "чисто российского" однонаправленного МСЭ (на волне разговоров об импортозамещении очень модная тема).

Собственно, критиковать идею однонаправленных МСЭ я не планирую. Она вполне себе ничего. Ничем не лучше и не хуже других средств управления информационными потоками. Хотелось бы только заметить, что в индустриальных системах важно учитывать технологию, в т.ч. и технологию обработки информации, и под нее подстраивать средства защиты, а не наоборот. Ключевой принцип, в т.ч. зафиксированный и в последних документах ФСТЭК, "система защиты не должна мешать штатному и безопасному функционированию системы".

Возьмем к примеру передачу диагностической информации из индустриального сегмента. Тут, безусловно, однонаправленному МСЭ самое место. Он будет разрешать передавать данные только в одном направлении и блокировать любые иные коммуникации. А теперь возьмем нефтепровод. С ним через однонаправленный МСЭ уже не пообщаешься, а технология требует взаимных коммуникаций. Мало собирать статистику об объемах нефтеперекачки, необходимо иметь возможность регулирования режима работы нефтепровода, который определяется его загрузкой, реологическими свойствами нефти, содержанием в ней парафина, воды, газа и т.п. Как в такой схеме найти месте однонаправленному МСЭ? Никак.

В западной практике однонаправленные МСЭ нашли свое активное применение преимущественно в электро- и ядерной энергетике и, в основном, для репликации данных из индустриальных сегментов в бизнес-сеть. И хотя существуют немалое количество доводов "за" (преимущественно с точки зрения безопасности) применение данной технологии, безоглядно начинать ее использовать в АСУ ТП не стоит. В любом случае, при принятии решения о переходе на однонаправленные МСЭ стоит подумать вот о каких вопросах:

  • Защищаемый сегмент подразумевает двунаправленную или однонаправленную передачу данных?
  • Используемые в сегменте протоколы работают в однонаправленной среде? Те же OPC, DNP3, Modbus надо зачастую переписывать в виде своих агентов, чтобы они работали в однонаправленной среде.
  • Как обеспечивается высокая доступность? Квитирование, номера подтверждения, биты ошибок... Все это используется для обеспечения отказоустойчивости в обычной среде. Но в однонаправленном сегменте чем это будет заменено?
  • Как осуществляется управление полосой пропускания? Мы не можем через однонаправленное устройство послать команду "замедли передачу" или "ускорь ее".
  • Как осуществляется удаленное и централизованное управление однонаправленными устройствами? Особенно через глобальные сети.

15.4.14

А я опять про 8-й Центр ФСБ :-)

Вчера в Твиттере я опубликовал заметку такого содержания "Злорадно жду, когда 8-й Центр примет свой приказ по ПДн. Как же они поднасрут всем своим лицензиатам, работающим под Linux и не имеющим КА". Не все поняли ее смысла, поэтому решил чуть раскрыть ее суть.

Если мы посмотрим на 43-ю редакцию проекта приказа ФСБ по защите персональных данных, то там есть такой пассаж (п.14) "СКЗИ класса КА применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленные в пунктах 10 – 13 настоящего документа и не менее одной из следующих дополнительных возможностей... возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты среды функционирования".

Кстати, советую обратить внимание на эти приписки. Если у ФСТЭК в 21-м приказе класс сертификации средства защиты зависит только от уровня защищенности и прописывается вполне внятная таблица соответствия, то у ФСБ надо читать документ внимательнее. Вместо привязки класса сертификации СКЗИ к уровню защищенности (что логичнее и понятнее обывателю), 8-й Центр пошел по своей дороге и решил класс сертификации СКЗИ привязать к возможностям нарушителя, о которых должен подумать оператор ПДн (так себе и представляю, как главврач сельской больницы в перерыве между операциями думаю о возможностях нарушителя СКЗИ).

Так вернемся к упомянутому выше пассажу. Если читать его внимательно, то можно поставить знак равенства между двумя фразами "наличие исходных кодов на операционную систему" и "обязательное применение СКЗИ класса КА". В предыдущем пункте проекта приказа ФСБ написано тоже самое, но применительно к исходным текстам прикладного ПО, использующего вызовы СКЗИ. В этом случае СКЗИ должны быть минимум класса КВ. Но это не так важно. Дело в том, что сегодня, в условиях местами мифической для большинства пользователей угрозы импортозамещения иностранного ПО на что-то свое, доморощенное, все чаще всплывает тема применения решений open source. Хотя фраза "все чаще" звучит малость глуповато - тема линуксовых поделок в России поднимается уже много лет и пока безрезультатно. Своих Фениксов, АстраЛинуксов, Янусов, МСВСов, РОСАЛинуксов, Виндуксов, Трастлинуксов и т.п. *никсов у нас родилось полно, но всех их отличает постройка на базе открытых исходников. Поэтому кто-то начинает задумываться о том, чтобы и вправду заменить проприетарные решения на open source, которые якобы безопаснее (это, кстати, не так). Или берут open source, добавляют туда что-нибудь свое и выдают за новый отечественный продукт. И вот тут-то и скрывается мина замедленного действия, которую всем нам готовит 8-й Центр ФСБ со своим приказом.

Если его примут, то любая СКЗИ, построенная на базе Linux, должна быть классом не ниже КА, чтобы ее можно было применять оператор ПДн даже для минимального, 4-го уровня защищенности. Любая! Т.е. сертифицировать-то такое СКЗИ можно и на КС1 и на КС3 и на КА, но по проекту приказа оператор ПДн обязан применять только КА и не ниже. При этом мнение разработчика тут мало кого будет волновать - нормативный документ требует КА. Использовать же отдельно СКЗИ для ПДн и отдельно для других видов конфиденциальной информации никто не будет - слишком накладно и неудобно. При этом, 8-й Центр за 6 лет активного вставления палок к колеса ФЗ-152 довел ситуацию до того, что все понимают, что ПДн - это наше все. Это 5 миллионов операторов ПДн по всей России. Никакая другая тема в ИБ не сравнится с ПДн по ее объему. Поэтому 8-й Центр и не отпускал ее ни на шаг от себя, пытаясь наложить лапу на столь лакомый для продвижения идеи национальной безопасности кусок. Добились своего - все всё поняли. Но теперь отыграть все назад и сказать, что можно применять не КА, а КС1 или КС2 будет нельзя. Неудобняк получится (хотя 8-му Центру не привыкать в таком положении находиться).

Вот и получится, что 8-й Центр своим приказом загонит всех потребителей на СКЗИ класса КА, а у нас их раз-два и обчелся (я статистику уже приводил). Посмотрите на самые распространенные VPN-решения в России - CSP VPN Gate от С-Терра, VipNet Coordinator от Инфотекса, Континент от Кода Безопасности, продукцию ЛИССИ и т.п. Они почти все построены на базе open source ОС - Linux, FreeBSD и т.п. И чтобы законно использовать такие VPN в качестве шлюза они должны быть сертифицированы на класс КА. А таковых почти нет. А те единицы, что есть, в управлении мягко скажем неудобны и без наличия большого количества выделенного персонала (а точнее выделенных шифрслужб) сеть даже из пары десятков VPN-шлюзов класса КА сама по себе летать не будет - ее придется поддерживать и поддерживать. В условиях нехватки специалистов на местах, я с трудом представляю, кто и как будет управлять такими VPN-сетями (про то, что по ним не работают современные мультимедийные и иные сетевые протоколы я скромно умолчу).  

Вот и получается, что 8-й Центр своим приказом подложит замечательную свинью своим разработчикам-лицензиатам, о которых 8-й Центр так печется. Разработчики тоже будут очень рады активизировать свои усилия по доработке своих продуктов под требования КА. Рынок труда администраторов VPN-шлюзов тоже вырастет, что не может не радовать наше Министерство труда и Минкомсвязи, которые так ратуют за рост численности ИТ-специалистов в России. А может в этом и состоит тайная задача 8-го Центра? Именно таким образом поднять с колен российскую ИБ-, а за ней и ИТ-индустрию! Есть и другая версия - 8-й Центр своим приказом хочет операторам ПДн сказать - делайте что хотите; нам наплевать на вас (хоть вас и 5 миллионов), на 140 миллионов субъектов ПДн, на рынок этой гражданской криптографии и защиту персональных данных. Мы напишем такой приказ, что пользоваться им будет невозможно и все забьют на защиту законных прав субъектов персональных данных. Зато мы, 8-й Центр сможем наконец-то сосредоточиться на высокой науке, на легковесной криптографии, на разработке новых алгоритмов шифрования и новых режимов работы старых алгоритмов! Ура! Все довольны!

ЗЫ. А тем временем, на сайте Российской общественной инициативы (РОИ) открыто голосование по интересной инициативе - "Передать полномочия по регулированию использования шифровальных (криптографических) средств защиты информации в Российской Федерации Федеральной службе по техническому и экспортному контролю (ФСТЭК России)". 

Новый обзорный курс по защите информации в государственных информационных системах

Перейдя на новую систему нормативных документов, ФСТЭК сделала благое дело и для тех, кто занимается разработкой курсов обучения :-) Достаточно досконально разобраться с защитными мерами для персональных данных, как 2/3 работы по государственным и муниципальным системам уже сделано. Достаточно обвесить ГИСовской тематикой и готов новый курс. Что, собственно, я и проделал, разработав обзорный курс "Защита информации в государственных и муниципальных информационных системах".

Программа следующая:

  1. История регулирования вопросов ИБ в государственных информационных системах
  2. Объект защиты
    • Государственная информационная система
    • Открытые данные
    • Персональные данные
    • Конфиденциальная информация
    • Служебная тайна
    • Сайт госоргана
    • Информационные системы общего пользования
    • Система межведомственного электронного документооборота (СМЭВ)
    • Системы электронного документооборота федеральных органов исполнительной власти
    • АСУ ТП
    • Сегмент Интернет для федеральных органов государственной власти
    • Информационные системы, предназначенные для информирования общественности о деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации
  3. Что такое государственная и муниципальная информационная система
    • Взгляды ФСТЭК, Минкомсвязи, различных госорганов и интеграторов
    • Подходы к классификации ГИС
      • Совместный приказ ФСТЭК/ФСБ №416/489
      • Приказ ФСТЭК №17
  4. Регуляторы по защите государственных информационных ресурсов и их нормативные акты
    • ФСТЭК
    • ФСБ
    • Минэкономразвития
    • Минкомсвязь
    • ФСО
    • Правительство РФ
    • Президент РФ
  5. Жизненный цикл системы обеспечения ИБ государственной информационной системы 
  6. Детальный разбор защитных мер 17-го приказа ФСТЭК
  7. Оценка соответствия по требованиям безопасности
    • Аттестация объекта информатизации: старые подходы и новые требования 
    • Сертификация средств защиты 
  8. Планы ФСТЭК по развитию нормативного регулирования ИБ в государственных и муниципальных учреждениях
Первый раз читать буду в УЦ "Маском" 28-го апреля.

14.4.14

43-я редакция проекта приказа ФСБ по ПДн - адский ад

Вот опять не выдержал и опять буду критиковать 8-й Центр ФСБ :-) Ну а как иначе? Не получается смотреть на то, что они делают и молчать. Выпущена уже 43-я редакция проекта приказа по защите ПДн. Нужное вроде бы дело. Все давно ждут этот документ; уже скоро 1,5 года как ждут. Все надеются, что документ ответит на основные вопросы, связанные с защитой персональных данных с помощью СКЗИ и у нас наконец-то появится первый официальный и легитимный документ от ФСБ по защите ПДн (а то у нас с момента принятия ФЗ-152 ФСБ на эту тему так ничего официально и не принимало).

У меня история взаимоотношений с этим документом давняя. Его впервые начала обсуждать еще в 2010-м году, когда руководство 8-го Центра санкционировало сбор предложений и мнений по имеющимся тогда двум нелегитимным методичкам. Мнения были высказаны и в немалом количестве. Уже тогда я обращал внимание на то, что выбранный 8-м Центром подход слишком жесток в отношении 99% операторов ПДн. Требования ФСБ не в состоянии не то, что выполнить, но и понять абсолютное большинство поликлиник, детсадов, школ, собесов, муниципальных учреждений, предприятий малого и среднего бизнеса. Худо-бедно требования 8-го Центра способны понять и местами попробовать выполнить только крупные организации, имеющие и бюджеты и выделенных людей на ИБ. Да и то, даже они не всегда способны взять и перевести все свои взаимодействия, в рамках которых осуществляется передача ПДн, на рельсы исключительно сертифицированных СКЗИ. Особенно тогда, когда сертифицированных СКЗИ нет и даже не предвидится.

Если сравнить действия 8-го Центра ФСБ с 2-м Управлением ФСТЭК, то картина складывается далеко нерадужная и не в пользу "криптографов". Работа над проектами своих приказов по защите ПДн в соответствие с последней редакцией ФЗ-152 ФСТЭК и ФСБ начинали одновременно - в 2011-м году. К концу 2012-го года у обоих ведомств проекты в той или иной степени готовности были уже готовы. Скажу даже больше. ФСТЭК начала работу с бОльшим опозданием, т.к. как я уже написал выше 8-й Центр свой приказ стал готовить задолго до обновления ФЗ-152, желая придать своим двум методичкам более официальный статус. Поэтому у них была серьезная фора, которой воспользоваться им не удалось. ФСТЭК активно привлекла внешних экспертов из разных отраслей и организаций для обсуждения проекта своего приказа и прислушалась к большинству рекомендаций и предложений экспертов. 8-й Центр поступил еще круче - затеял процедуру общественного обсуждения проекта своего приказа на сайте regulation.gov.ru, тем самым существенно расширив число потенциальных экспертов. Вот только эффект получился совершенно иной - и число желающих поработать "в одну сторону" с ФСБ было немного и сам 8-й Центр проигнорировал почти все все здравые предложения и замечания к проекту приказа. ФСТЭК уже в прошлом феврале имела на руках утвержденный текст приказа с мерами по защите ПДн (а приказ ФСТЭК гораздо шире, чем документ 8-го Центра), а юристы ФСБ до сих пор пытается вычитывать запятые, штампуя редакцию за редакцией, так и не меняя ее сути.

Складывается впечатление, что задачи выпустить что-то адекватное у 8-го Центра в принципе нет. Иначе я просто не могу оценивать 43-ю редакцию приказа, которая на днях оказалась доступна экспертам для очередного витка обсуждения. И ведь в процессе блиц-дискуссии представителям 8-го Центра было высказано все тоже самое, что говорилось в 2010-м, 2011-м, 2012-м и 2013-м годах. Все тоже самое! Ничего нового! Ну как так можно?

В октябре я уже делал оценку предыдущей редакции проекта приказа ФСБ. Если сравнить ее с 43-й редакцией, то часть предложений, конечно, была учтена, но далеко не все. В частности, было исправлено следующее:

  • Помимо оснащения помещения дверей с замками и их опечатывания помещений по окончании рабочего дня, теперь можно помещения просто оснастить техническими устройствами, сигнализирующими о несанкционированном вскрытии помещений.
  • Теперь ясно, что список лиц, допущенных в помещения, в которых ведется обработка ПДн, может включать и должности, а не только ФИО, как иногда считалось раньше. Я так никогда не считал, но теперь хоть появилась ясность в этом вопросе. Зато остался нерешенным вопрос о том, как регламентировать порядок доступа посетителей в помещения, в которых ведется обработка ПДн, если это помещение - торговый центр на несколько тысяч квадратных метров?
  • Вместо хранения всех носителей ПДн (включая бумажные, сервера, сетевое оборудование и т.п.), теперь в проекте приказа говорится только о съемных машинных носителях. Если на съемных носителях ПДн зашифрованы, то хранить их можно вне сейфов (металлических шкафов). Налицо прогресс, но в самой ФСБ все ПДн хранятся только в сейфах или металлических шкафах? Ой, что-то берут меня сомнения в этом. А уж про всякие менее богатые и бюджетные учреждения и речи не идет. А что делать с мобильными передвижными или выносными пунктами? Где будет хранить ПДн сотрудник бригады скорой помощи, выезжающий на старенькой Газели в дальнее село? А сотрудница банка или салона сотовой связи, у которой точка продаж стоит посередине торгового центра?
  • Поэкзмеплярный учет теперь нужно делать не для всех носителей, а только для машинных (но не только съемных). Так что без инвентаризации мобильных устройств, серверов, сетевого оборудования, флешек, видеокамер и т.п. не обойтись.
  • Новый проект приказа уже учитывает новую систему классификации сертифицированных СКЗИ - в нем убрано деление на КВ1 и КВ2 - оставлен только класс КВ.
  • Для второго уровня защищенности при наличии актуальных угроз 1-го типа теперь надо будет применять СКЗИ класса КА, а не КВ, как было раньше.
Остальные замечания и основные проблемы остались неизменными. Никакой возможности использовать несертифицированную криптографию, даже по согласованию с ФСБ. Практический запрет применения любых open-source решений (точнее не запрет, но обязательство использовать с ними СКЗИ класса КА). Даже при использовании проприетарного ПО с закрытыми исходниками, минимально возможный класс СКЗИ - КС3, т.к. вы не можете гарантировать, что злоумышленник в каком-нибудь торговом или бизнес-центре не получит физического доступа к СВТ, на которых стоят СКЗИ. Это в здании на Лубянке я могу хоть как-то это гарантировать, а в местах, открытых для свободного посещения неограниченного круга лиц - никакой гарантии. И это если еще оператор ПДн по глупости или под давлением интегратора не решил признать у себя актуальными угрозы 1-го или даже 2-го типа. В этом случае - минимально возможный класс используемого СКЗИ - КВ. Я уже проводил экспресс-анализ сертифицированных в ФСБ СКЗИ - 90% из них не подойдут для защиты ПДн.

За 3 года работы над проектом приказа ситуация так и не сдвинулась с мертвой точки. Как тянул 8-й Центр своими требованиями всех назад, во времена ЗАСов и вертушек, так и тянет. Ни современный бизнес, ни современные госуслуги не смогут жить по предлагаемым требованиям 8-го Центра, который явно или неявно толкает всех операторов ПДн на признание угрозы нарушения конфиденциальности в принципе неактуальной (даже если на самом деле это не так). Только в этом случае можно на законных основаниях не выполнять требования приказа ФСБ. Хотя с собственноручным созданием своей модели угроз тоже не все гладко...

ЗЫ. Кстати сама ФСБ тоже не соблюдает требования своего же приказа. При общении через их Web-форму на сайте никакой защиты ПДн, никакого шифрования. Но 8-й Центр у нас всегда жил по своим законам - законы российского государства соблюдать им недосуг. Они делают великое дело - вежливо обеспечивают национальную безопасность, забивая на интересы рядовых граждан и бизнеса. 

11.4.14

Почему мне не быть инвестором или стартапером по ИБ

В 2008-м году я написал статью для журнала M&A по перспективам инвестиций в области информационной безопасности в России. С тех пор прошло уже много времени, но ситуация изменилась мало. Серьезных инвестиций в наш сегмент пока так и не пришло, хотя определенный интерес к нему я вижу. Причем с разных сторон - и со стороны некоторых инвесторов, и со стороны стартапов, которые решили посвятить себя развитию какого-либо ниши в области ИБ. Сам я для себя понял, что врядли когда-нибудь стану инвестором или стартапером, ищущим инвестиций, - слишком большой я перфекционист :-) Выпускать полуподелку не готов, желая ее отшлифовать до блеска. Инвестировать в такие недоподелки тоже - свободных денег нет и разбрасывать их направо или налево без гарантии результата не хочется. Хотя запросы "а не хотите поучаствовать", "а можете ли оценить нашу идею" приходят регулярно. Но я для себя понял, что оценщик из меня плохой. Именно по причине перфекционизма - пока не увидел ни одной реально интересной идеи, которая стоило бы моего (именно моего) внимания и ресурсных затрат.

Но написать я хотел бы о другом. О поведении инвесторов, которое мне не до конца понятно (может именно поэтому я им никогда и не стану). Складывается впечатление, что сейчас все как один, в едином порыве, ринулись в инвестиционный бизнес. Сколково, РВК, Роснано, АСИ... - это только крупные инвесторы, которые организовывают всякие туры, "деревни" стране. А ведь есть еще иннополисы, технопарки, обычные инвесторы, которые пытаются завлечь в свои сети молодых и неопытных технарей, охочих до внешних денег. Но вот какой-то стратегии такого привлечения я и не вижу. Складывается впечатление, что делается это либо из-за моды, либо по разнарядке, либо по приказу. Никакой цели в получении реальной отдачи вроде как и нет.

Довелось мне как-то участвовать в due diligence одного российского DLP-вендора, который искал внешних заимствований для своего развития. Именитая инвестиционная компания пригласила меня для оценки продукта и его перспектив. Оценил. Перспектив не обнаружил - технология была не самая интересная с точки зрения практики. Дальнейшнее развитие событий показало, что моя оценка была верной - компания, все-таки получившая свои 2 миллиона долларов на развитие, так и не взлетела. Потом была оценка еще одной питерской ИБ-компании. С тем же эффектом.

А тут на днях меня пригласили помочь в организации мероприятия по ИБ-стартапам для одного крупного инвестиционного фонда. Я сначала загорелся - красивая же идея. Дать шанс молодым показать себя и услышать что-то полезное от потенциальных потребителей. Может я и наивный, но мне кажется, что стартап создается не для получения денег (хотя кто-то и для этого), а для реализации своей идеи, которая может помочь улучшить что-то в этой жизни. А чтобы улучшить, надо знать, что и где. Поэтому так важно организовать встречу тех, у кого есть потребности (заказчик) с тем, кто эти потребности может попытаться решить (стартап). Как я ошибался :-) Я предложил инвестфонду пригласить на встречу представителей очень крупных российских компаний и государственных корпораций и организаций, которые могли бы рассказать, чем их не устраивают сегодняшние решения по ИБ, что им требуется в будущем, какие потребности у них не закрыты. Ведь именно эта информация поможет стартаперам не размываться по мелочам, а сконцентрироваться на том, что может им помочь заработать. От стартапов я бы хотел услышать, что они делают и что могут предложить бизнесу. От меня (как представителя мирового и российского лидера рынка сетевой безопасности) должен был быть доклад о мировых тенденциях в области ИБ и перспективах этого рынка на ближайшие годы. Финальным аккордом я хотел пригласить регуляторов, которые могли бы неуемные фантазии стартаперов ввернуть в нужное русло и показать, что заниматься ИБ важно и полезно, но и соблюдать законодательство тоже неплохо бы. Вот такая красивая идея была...

Но пока что-то не получается ее реализовать :-) Инвестфонд посчитал лишним привлекать бизнес для участия в мероприятии для стартаперов. И регуляторов тоже не хочет. Предлагает ограничиться форматом "стенка на стенку". 3-4 мировых ИБ-игрока расскажут что-то про тенденции, а стартаперы по 3-4 минуты будут впаривать свои идеи. Кому впаривать, непонятно. В чем смысл такого мероприятия, тоже. Ну только если надо освоить выделенный на развитие стартапов бюджет и для галочки провести мероприятие. Смысла для стартапов тоже не вижу - они в очередной раз отработают свое умение за 3 минуты рассказать о своей гениальной идее и все. О том, нужна ли эти идея, им никто не скажет :-(

А причина у такой ситуации проста - нет четкого понимания нужности инновационного развития со стороны государства. Т.е. разговоры-то есть, а понимания нет. Мне понравилась недавняя статья на Хабре о том, почему в России нет своей ИТ-экономики и врядли она появится в ближайшее время. Я склонен согласиться с большинством тезисов указанной статьи - высокая зависимость от более простых и более доходных бизнес-моделей не дает нашей ИТ-отрасли развиваться. А государству не досуг развивать ее так, как это делалось в свое время в США или сейчас делается в Китае. Нефтедоллары слишком застилают глаза, чтобы думать на перспективы. И даже угроза санкций не сильно сдвинет ситуацию с мертвой точки. А все потому что слова высших должностных лиц в государстве об импортозамещении никак не вяжутся с тем, что делается или должно делаться на нижележащих уровнях. На них нужно слова транслировать в дела, а этого не происходит - мероприятия творятся для галочки.

Вот что мешает провести для ИБ-стартапов одну или несколько сессий с приглашением первых лиц российской ИБ (из Совбеза, ФСБ, ФСТЭК и т.п.) с рассказом о приоритетных проблемах и основных направлениях научных исследований в области обеспечения информационной безопасности Российской Федерации? Или пригласить академиков РАН с их прогнозом технологического развития РФ до 2030-года? Тогда было бы четко понятно, что надо и куда стремиться в краткосрочной, среднесрочной и долгосрочной перспективе. Был бы четкий план действий и ясная стратегия на импортозамещение. А пока... Пока все это словоблудие о росте инновационной экономики и ИБ-стартапах так и останется словоблудием. Спасение утопающих остается делом рук утопающих...

10.4.14

Фермеры, патологоанатомы и 21/17-й приказы ФСТЭК

Выступая в последнее время на разных региональных мероприятиях, где среди прочего рассказываю и о 17/21-м приказах ФСТЭК регулярно слышу две кардинально противоположные точки зрения об этих документах. Первая высказывается представителями крупного бизнеса, которые теперь получили возможность самостоятельно выбирать защитные меры, исходя из особенностей своей информационной системы и принятой или принимаемой модели угроз. Вторая высказывается малым бизнесом и некоторыми интеграторами, которые теперь вынуждены что-то придумывать, а не ориентироваться на жесткий перечень мер, как это было в первом четверокнижии или 58-м приказе ФСТЭК.

Как можно заметит, обе эти точки зрения касаются одного и того же свойства документов ФСТЭК - их гибкости. То, что для одних преимущество, для других беда. Оно и понятно. Крупный бизнес, первым попавшим в прицел проверок регуляторов, первым и натолкнулся на сложности с реализацией жестко прописанных требований по защите персональных данных. И, как не парадоксально, именно представители крупного бизнеса входили в рабочую группу ФСТЭК, занимавшуюся экспертизой и доработкой 21-го приказа, а затем и методички по мерам защиты. Вполне очевидно, что для крупного бизнеса появившаяся гибкость является благом, т.к. в полной мере позволяет учесть все особенности своих процессов обработки ПДн с точки зрения защиты.

А вот малый бизнес, до недавнего времени и вовсе не занимавшийся защитой персональных данных и ограничивающийся только выполнением требований Роскомнадзора, теперь столкнулся с непростой задачей. Если раньше, худо-бедно, но можно было реализовать закрытый перечень требований 58-го приказа и считать, что все нормально, то сейчас ситуация иная. Закрытого перечня просто нет. И малый бизнес, турагенства и фермеры, о которых в свое время писал Ригель, просто не знают, с какого бока подойти к решению задачи. Раньше они почти не занимались защитой, а сейчас им приходится решать несвойственные малому бизнесу задачи. А у них и специалистов-то нет :-(

Сложность восприятия, о которой я писал два месяца назад... Правда, пока оперативного решения со стороны регулятора, который мог бы взять и написать свои "Top20 защитных мер для малого бизнеса", я не предвижу. У ФСТЭК есть более оперативные и важные задачи. Остается надежда только на региональных интеграторов, которые смогут пакетировать 21-й приказ (да и 17-й для муниципалов и малых госов) в зависимости от типовой модели угроз и типового набора средств их нейтрализации. А может быть и онлайн-сервисы смогут эту задачу решить. Например, "Решебник" от уральского ЦентрИнформа. Тогда к пакету документов можно будет получить сразу и рекомендации по средствам защиты. Было бы удобно.

9.4.14

Чиновникам запретят использование несертифицированных мобильников! Есть ли альтернатива?

Вчера, депутат Гутенев внес в Гоcдуму законопроект №492034-6 "О внесении изменений в некоторые законодательные акты Российской Федерации", суть которого проста до безобразия - запретить чиновникам и госслужащим пользоваться несертифицированными мобильными устройствами. В качестве решаемой законопроектом проблемы депутат Гутенев называет защиту служебной тайны и персональных данных федеральных госслужащих от действий иностранной технической разведки посредством использования недекларированных возможностей технических средств мобильной связи. Ну а в модель угроз депутат включает:
  • нарушение конфиденциальности передаваемых переговоров и SMS, электронной почты и данных, передаваемых при посещении сайтов в Интернет
  • несанкционированный доступ к контактам
  • несанкционированное дистанционное управление мобильным устройством
  • контроль местоположения абонента
  • активация вредоносных программ, мещающих связи абонента
  • нарушение безопасности мобильных транзакций.
В модели угроз ничего нового - часть угроз даже забыта (я про модель угроз мобильного устройства на конференции Яндекса рассказывал). Интересно другое. Бороться с этой проблемой депутат предлагает путем запрета всем федеральным госслужащим пользоваться мобильными устройствами с ПО, непрошедшим сертификацию по требованиям безопасности. Аналогичный запрет должен коснуться работников госкорпораций и госкомпаний.

У данного законопроекта есть ряд очевидных проблем. Во-первых, согласно указу Президента Российской Федерации от 31 декабря 2005 г. № 1574 "О Реестре должностей федеральной государственной гражданской службы" к федеральным госслужащим не относятся ни Президент, ни премьер-министр, ни его заместители, ни федеральные министры, ни губернаторы, ни судьи, ни служащие государственных предприятий, учреждений и технических исполнителей в государственных органах, ни иные должности категории "А". Т.е. законопроект не распространяется на очень большое количество потенциальных секретоносителей.

Во-вторых, законопроект, умышленно или случайно, говорит не о том, что на мобильном устройстве должно быть сертифицированное по требованиям безопасности ПО, а обо всем устройстве с ПО, прошедшими сертификацию. А такая сертификация, да еще и на отсутствие НДВ, представляет собой большую проблему. Я вообще не очень уверен, что найдутся производители мобильных устройств, которые готовы будут отдать системотехнику для сертификации на отсутствие НДВ. С софтом как раз проще - Инфотекс, С-Терра, КриптоПро, Диджитал Дизайн с удовольствием освоят для себя новый сегмент рынка.

В-третьих, судя по тому, что речь идет борьбе с иностранными техническими разведками сертификацией должна заниматься ФСТЭК. В то время как сертификацией средств защиты для информационных систем I-го класса согласно 104-му приказу Минкомсвязи (а именно к ним относятся информационные системы общего пользования: Правительства Российской Федерации, федеральных министерств, федеральных служб и федеральных агентств, руководство деятельностью которых осуществляет Президент Российской Федерации, федеральных служб и федеральных агентств, подведомственных этим федеральным министерствам), должна заниматься ФСБ.

В-четвертых, в пояснительной записке к законопроекту говорится, что дополнительных расходов из бюджета на реализацию закона не понадобится. Как бы не так. Устройств, которые бы позволили выполнить требования законопроекта не очень много. Если не рассматривать наложенное на любой Android сертифицированное защитное ПО и, похоже, снятый с производства Voice Coder Mobile от Сигнал-Кома, а также отбросить зарубежные устройства Sectra, Sagem, Rohde&Schwarz, CryptoPhone, Secusmart, Blackphone, то получится что в РФ есть только одно устройство, которое бы удовлетворяло требованиям законодательной инициативы депутата Гутенева. Речь идет о продукции НТЦ "Атлас", а точнее о мобильных устройствах SMP-АТЛАС 2003-го года и его усовершенствованная версия SMP-АТЛАС/2 2010-го года. Цена на первую версию этих устройств достигала 100 тысяч рублей. Вторая версия может обойтись значительно дешевле - при партии в 1000 штук цена на устройство может составить около 49 тысяч рублей. Умножив эту цифру на общее число госслужащих, сложно говорить об отсутствии расходов из федерального бюджета.

Можно, конечно, упомянуть и еще одного производителя защищенных GSM-устройств - компанию Анкорт и ее криптосмартфон StealthPhone. На мой взгляд именно это решение лучше всего подходит под задачу, опсианную депутатом Гутеневым. В StealthPhone не только обеспечивается конфиденциальность мобильных разговоров и SMS посредством специального чипа, а не наложенным ПО, но и присутствует специальные фильтры и металлический экран, которые предотвращают опасные излучения. Также в криптосмартфоне "Анкорт" отсутствуют такие высоко излучающие элементы, как видеокамера, Bluetooth, инфракрасный порт, съемная дополнительная память, Wi-Fi. Т.е. и вероятность утечки по техническим каналам у этого устройства гораздо ниже стандартного смартфона, обвешанного навесным ПО. Но у продукции Анкорт есть один недостаток - я не нашел сведений о наличии сертификата на изделие, выданного любым из отечественных регуляторов.

Но есть и еще одна проблема с реализацией рассматриваемого законопроекта. И решение Анкорт, и решение Атлас, и решения с наложенным ПО обеспечивают только конфиденциальность мобильных переговоров и, может быть, SMS. А что делать с остальными угрозами, упомянутыми Гутеневым? Как бороться с вредоносными программами? Как предотвращать несанкционированный удаленный доступ? Как защититься от определения местоположения абонента (это вообще от телефона мало зависит и может быть реализовано оператором мобильной связи)? Есть ли готовые и сертифицированные и неконфликтующие между собой решения на эти угрозы? Вопрос пока остается без ответа. Как собственно и ответ на вопрос о перспективах законопроекта. На волне патриотизма сейчас вносится множество законопроектов, которые должны гарантировать России цифровой суверенитет, но вот пока ни один из них не дошел даже до этапа первого чтения, не говоря уже про подписание у Президента. Но если законопроект Гутенева и ждет более завидная судьба, чем у его собратьев, то реализовать его на практике будет сложно. Да и чиновников заставить отказаться от своих Vertu или "дешевых" iPhone будет сложновато... 

8.4.14

ЦБ закручивает гайки?..

Пока госорганы бомбили ФСТЭК запросами о том, что делать с сертифицированной Windows XP, срок поддержки которой закончился аккурат сегодня (а вчера ФСТЭК опубликовала сообщение по этому поводу), банки задумывались совсем по другому поводу - не начинает ли их кошмарить Банк России вопросами ИБ. Эти вопросы возникали в Фейсбуке, на прошедшей РусКрипто (кстати, материалы с нее уже выложили), в частных беседах. Основания для этого есть :-(

Если посмотреть на упоминаемое мной уже письмо 42-Т от 14-го марта 2014 года "Об усилении контроля за рисками, возникающими у кредитных организаций при использовании информации, содержащей персональные данные граждан", то в предпоследнем абзаце данного письма есть интересный пассаж: "Территориальным учреждениям Банка России при осуществлении надзора за деятельностью кредитных организаций следует учитывать случаи выявления недостатков в деятельности, связанных с исполнением норм Федерального закона от 27.07.2006 N 152-ФЗ, и рассматривать их как негативный фактор при оценке качества управления кредитной организацией, в том числе оценке организации системы внутреннего контроля в соответствии с Положением Банка России от 16.12.2003 N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах".

Недостатки внутреннего контроля - это серьезно. Например, согласно статьи 48 177-ФЗ от 23.12.2003 "О страховании вкладов физических лиц в банках Российской Федерации" такой недостаток может послужить причиной прекращения права банка на привлечение во вклады денежных средств физлиц и на открытие и ведение банковских счетов физлиц. Т.е. по сути плохая обработка персональных данных может стать причиной невозможности заниматься основной деятельностью кредитной организации.

Кстати, стоит обратить внимание на готовящуюся новую редакцию 242-П, в которой также расширен раздел по вопросам информационной безопасности. В частности в рамках СВК обязана проверять "соблюдение кредитной организацией требований Банка России и внутренних документов кредитной организации к обеспечению защиты информации при осуществлении переводов денежных средств, в том числе с использованием электронных средств платежа".

А если вспомнить последний документ ЦБ, подписанный тем же Симановским, по защите от вредоносного кода?.. А недавно разосланный опросник по 382-П на 60 с лишним вопросов (в чем его смысл, если банки и так должны были 202-ю форму отчетности уже отослать)?.. А обновления документов по надзору и инспекционным проверкам?.. Вообще за последние несколько месяцев ЦБ обновил свыше 80 своих документов. Банки задумываются... Может зря, а может и нет.

Но для информационной безопасности это может быть и хорошо. Важность ИБ-рисков, как и вообще ИБ повышается, т.к. их недооценка может стать той самой последней каплей, которая позволит Банку России сделать вывод о низком качестве внутреннего контроля и корпоративного управления в кредитной организации, о невыполнении требований документов Банка России. А за этим выводом может последовать и отзыв лицензии :-( Правда, есть и неприятная сторона - число банковских безопасников, оставшихся без работы, может возрасти, а бюджеты банковских служб ИБ могут быть в условиях неопределенности заморожены. Так что для кого-то эти изменения представляют угрозу, а для кого-то новые возможности. Как посмотреть....

4.4.14

Новая версия курса по моделированию угроз

Обновил программу курса по моделированию угроз. Достаточно много изменений появилось в версии 1.6, что обусловлено последними событиями в мире геополитики и в мире ИБ, а также активизацией темы по защите АСУ ТП и КВО:

  • Автоматизация моделирования угроз с помощью R-Vision
  • Расчет стоимости угрозы ДБО, PCI, мобильного банкинга
  • Модель угроз беспилотника (в качестве примера)
  • Примеры ошибок восприятия угроз
  • Как моделировать быстро и просто (экспресс-метод)
  • Детальное рассмотрение понятия "область применения модели угроз"
  • Примеры последствий угроз на КВО
  • Модели нарушителей ФСБ
  • Примеры действия моделей нарушителя Н6
  • Размышления о модели нарушителя Н7
  • Статистика по типам нарушителей
  • Мотивация нарушителя
  • Как понять мотивацию нарушителя
  • Систематизация причин угроз
  • Статистика по точкам входа / каналам реализации угроз
  • Статистика по уязвимостям
  • Каталог угроз BSI
  • Про некорректность статистики
  • Про риск-ориентированный подход в моделировании угроз для КВО
  • Различные формы потерь (на примере NERC)
  • Психология и угрозы со стороны человека.

Новые требования Банка России по защите от вредоносного кода

ЦБ в лице г-на Симановского, первого зампреда Банка России, выпустил новое письмо 49-Т от 24 марта 2014-го года "О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности". Если мне не изменяет память, слухи об этом документе ходили достаточно давно (чуть ли не с конца 2012-го года), но тогда он по разным причинам так и не увидел свет. И вот сейчас свершилось - 16 страниц разъяснений тех требований, которым в СТО БР ИББС и 382-П было отведено совсем немного места.


Документ очень подробный. Расписывает не только технические, но и организационные вопросы по защите от вредоносного кода. Например,

  • требование регулярного обучения и контроля знаний у работников банка по тематике защиты от вредоносного кода
  • доведение до руководства банка результатом мер защиты от вредоносного кода
  • сбор и анализ информации о распространении вредоносного кода
  • тестирование совместимости приобретаемых средств защиты от вредоносного кода с используемыми ИТ
  • обязательное применение средств защиты от вредоносного кода в электронной почте
  • заключение договоров с Интернет-провайдерами в части фильтрации вредоносного кода.
С технической точки зрения требуется применять:
  • терминальный доступ
  • анализа защищенности
  • контроль состава и целостности ПО и железа
  • сегментацию
  • инвентаризацию ПО и железа
  • резервирование и восстановление из резервных копий
  • меры по локализации эпидемий вредоносного кода.

Помимо антивирусов 49-Т требует использования:
  • средств контроля использования съемных носителей
  • автоматизированных средств обобщения и анализа информации, фиксируемой в журналах протоколирования работы защитного ПО (если я правильно понял эту формулировку, то речь идет о SIEM)
  • средств анализа наличия на средствах вычислительной техники и объектах защиты неустраненных недостатков системного и прикладного ПО в части защиты от вредоносного кода (если я правильно понял эту заумную фразу, то авторы хотели прописать сюда сканеры SAST/DAST/IAST).
Хотя есть и нестыковки в 49-Т и 382-П. Например, классический вопрос - сколько разных производителей антивируса должно быть в банке? В п.2.7.3 382-П говорится об использовании средств защиты от вредоносного кода разных производителей при наличии технической возможности. В 49-Т (а надзор будет считать это письмо не рекомендацией, а обязательным документом) такой приписки уже нет - там говорится просто о раздельной установке антивирусов различных производителей (п.2.1.10).

П.2.1.17 меня "убил". Он требует выделить независимый ПК, изолированный от сети, в т.ч. и Интернет, на котором с помощью загрузочного диска будут проверяться все съемные машинные носители информации перед их использованием в банке. Я так себе и представил очередь к этому ПК :-) А писанины по этому письму сколько требуется... Жуть просто. На каждый пункт нужен свой регламент.

Отдельный раздел документа посвящен функциям органов управления кредитной организации в части организации защиты от вредоносного кода. Там много всего - от анализа защищенности и назначения ответственных до прогнозирования неблагоприятного развития событий и подробной отчетности по всем вопросам защиты от вредоносного кода.

Отдельный раздел посвящен регламентации защиты от вредоносного кода клиентов банка. Там и изменение договоров с клиентами, и разработка памяток, и информирование об угрозах, и обеспечение консультирования клиентов по защите от вирусов, и сбор информации о вредоносном коде и передача этой информации разработчикам антивируса (на все свой регламент нужен), и обучение персонала, работающего с клиентами, по вопросам борьбы с вирусами.

Последний раздел касается требований к провайдерам связи. Тут и SLA, и требование к провайдеру защищать банк от вирусов, и согласование внутренних документов по борьбе с вредоносным кодом с провайдерами, и т.д.

В целом у меня сложилось впечатление (наверное неверное), что 49-Т - это переложение 382-П понятным языком и в контексте борьбы с вредоносным кодом. Учтены почти все 15 разделов 382-го положения; кроме отчетности и криптографии :-)

По сути это методические рекомендации, разъясняющие, как выполнять требования 382-П или СТО. Вообще сейчас у регуляторов (исключая 8-й Центр) наблюдается движение в сторону трехзвенной иерархии требований по безопасности:

  1. Высокоуровневые требования федерального законодательства
  2. Требования ведомственных приказов, определяющих "что" надо делать
  3. Требования методических документов, определяющих "как" надо делать.
По такому принципу сейчас строятся документы ФСТЭК. Видимо и в ЦБ решили последовать этому примеру.



Интересно, если требования этого документа в полном объеме не выполнить (наряду с другими мелкими огрехами), не станет ли это основанием для отзыва лицензии у банка за невыполнение требований Банка России?.. Кто знает, кто знает...

ЗЫ. Кстати, когда читал документ, с ходу транслировал его требования к решениям Cisco Sourcefire Advanced Malware Protection (AMP). Выполнить можно многое из требуемого на техническом уровне :-)

2.4.14

Мастер-класс по персональным данным - Нижний Новгород - 16 апреля

15-17 апреля в Нижнем Новгороде пройдет 7-й Международный форум "ITForum 2020 / Эволюция", на котором традиционно демонстрируются последние достижения ИТ. Среди прочего не будет обойдена вниманием и тема информационной безопасности и персональных данных. ФСТЭК проведет свой круглый стол по защите информации для муниципальных предприятий. Екатерина Старостина проведет круглый стол по кибербезопасности с привлечением большого числа экспертов по ИБ (я там тоже выступлю).

Участники круглого стола по кибербезопасности
И, наконец, я проведу мастер-класс  "Практика выполнения последних требований законодательства по персональным данным" в рамках расширенного заседания нижегородского клуба "ИТ-муниципал".

Обработка персональных данных в информационных системах проникает во все большее количество сфер нашей жизни. Мы сталкиваемся с ними оформляя социальные пособия, рождение детей и смерть близких, получая зарплату или оплачивая налоги, ведя порталы государственных или муниципальных услуг или обращаясь в медицинское учреждение, проходя систему охраны на предприятии или фотографируясь на пропуск или паспорт. Ситуаций, в которой у нас обрабатываются персональные данные различных категорий много, а российские регуляторы не часто балуют своими ответами по часто возникающим вопросам. При этом нормативные требования регулярно претерпевают изменения, которые особенно активно проявились в последние 8-9 месяцев. Принятие новых требований ФСТЭК по защите персональных данных и государственных информационных систем. Методическое руководство ФСТЭК по защите государственных информационных систем. Приказ Роскомнадзора по обезличиванию персональных данных. Разъяснения Роскомнадзора по обработке биометрических персональных данных и персональных данных в отделах кадров. Законопроект об изменениях в закон «О персональных данных». Изменений очень много и поэтому так часто возникают вопросы о том, как правильно на практике применить все новые нормы и при этом остаться в пределах и так небольшого бюджета.

Собственно в рамках мастер-класса и планируется рассмотреть последние изменения в законодательстве по персональным данным, с последующей активной дискуссией с участниками и ответами на вопросы как «из зала», так и заранее сформулированные в социальных сетях и на других ресурсах, освещающих форум. Если у вас возникли вопросы, ответы на которые вы хотите услышать на форуме, пишите в комментариях к этой заметке или на странице мероприятия в Facebook.

Программа будет насыщенной - на все выделено 2,5 часа. Не так много, но и немало. Регистрируйтесь и приходите. Регистрация открыта до 9-го апреля!

1.4.14

Не до шуток


ЗЫ. Сами понимаете....