28.02.2014

Уральский форум. Впечатления от организации

Забыл я написать впечатления и от организации Уральского форума. По традиции они будут в виде тезисов:

  • Организатором был АвангардПро, который наряду с АИС, Гротеком и Рэстеком (последние, правда, похоже сдулись в нашей области) является одним из основных игроков рынка мероприятий по ИБ.
  • Мне понравилось, что программный комитет реально собирался и обсуждал темы выступлений и личности докладчиков. А то часто бывает, что программный комитет есть,  но только для формальности - решения о докладах принимают организаторы самостоятельно.
  • Понравилась встреча в аэропорту - баянисты и девочки-cheerleaders с пумпонами, обыгрывающими олимпийскую тематику :-) Весело! Сразу вспомнился "Пятый элемент" Люка Бессона, когда Брюс Уиллис прилетает на планету Флостон :-)
  • Про программу я уже писал и повторяться не буду - если не рассматривать чисто рекламные доклады, то контент в этом году был (для меня лично) интереснее, чем в прошлом. Отчасти потому, что в отрасли происходят изменения; отчасти потому, что организаторам удалось затащить так далеко правильных спикеров.
  • Культурная и спортивная программа - на 5 баллов :-) Песни под гитару, караоке, спортивные трансляции, горнолыжный склон, каток, картинг, беговые лыжи, хоккей, бани, биллиард... Каждый мог выбрать по своему вкусу. Кстати, проведение конференции у горнолыжного спуска - это и радость и беда организаторов. Примерно с той же проблемой столкнулись организаторы сентябрьского ИнфоБЕРЕГа в Сочи. Выбор "пляж и море" или "конференция" очень и очень непрост для многих участников :-) Аналогичная ситуация и с Магнитогорском :-)

Теперь пройдемся по списку факапов, которые регулярно допускают организаторы и которые я уже публиковал:
  • Доступ в Интернет. В месте проведения выступлений он был в виде открытого и закрытого (для организаторов, демонстраций и мастер-классов) Wi-Fi. Хотя я им почти не пользовался - 3G от МТС и Билайна хватало за глаза - можно даже видео было смотреть.
  • Еда. Пельмени, грузди в сметане, мед... Без комментариев :-) Они замечательно компенсировали диетические завтраки в столовой пансионата.
  • Презентер и презентаторские панели были!
  • Девочек не было - были мальчики, бегающие по залу с микрофоном. За временем следила специальная программка, отображающая на экране ноутбука для выступлений оставшееся время. Модераторы тоже следили за временем - мало кто выпадал из отведенных тайм-слотов.
  • С микрофонами проблем в целом не было. Я предпочитаю "петличку", но так как у меня в этом году было короткое выступление и на трибуне был "гибкий" микрофон, то ходить по сцене с "фаллосом" не пришлось :-)
  • Формат мероприятия не предполагал наличия спикерской, но комнатушка для VIP-персон была. Там был чай, кофе и бутерброды :-) Тоже самое было и в холле перед залом для выступлений.
  • Если бы я выставлял свой "райдер спикера", то придраться было бы практически не к чему :-) 
В 2012-м году я написал заметку про идеальную конференцию по ИБ. Вот по этому списку пожеланий могу сказать, что Уральскому форуму есть еще куда стремиться. Основная проблема остается неизменной - контент! Спонсоры с рекламными докладами, докладчики, рассказывающие про современные угрозы, ликбезные презентации, глубокий технический сленг, непонимание целевой аудитории. Понятно, что спонсоры - есть спонсоры и они оплачивают этот праздник жизни, но все-таки при таком отношении с их стороны к слушателям последних скоро не останется и спонсоры будут выступать либо в пустых залах, либо перед своими коллегами, выступающими после. Бороться с этим можно только одним способом - жесткая премодерация контента и готовность отказать спонсору, если он не пойдет на встречу и не изменит свой доклад. Есть и еще один способ, но про него я расскажу организаторам отдельно :-)

В заключении хотел бы вспомнить про публичное мочилово нудных докладчиков. Оно состоялось. Организаторы выдали всем участникам зелено-красные карточки, которые показывались по окончании каждого доклада. На мой взгляд идея удалась. Во-первых, удалось оценить лучших по итогам дня докладчиков и наградить их. А во-вторых, худшие докладчики, я надеюсь, сделают для себя выводы. Прокомментирую пару высказываний по этой инициативе. В первый день решили карточки не показывать, т.к. выступали уважаемые люди, регуляторы и никто не рискнул ставить за доклады генералов двойки :-) Хотя на мой взгляд откровенных провалов не было ни у кого из чиновников (кроме депутата, рассказывавшего про неустанную борьбу с коррупцией в рядах чиновников). Показ карточек после доклада, а не в его процессе был обусловлен тем, что не хотелось первый раз ставить в тупик докладчиков. Все-таки демонстрация красной карточки во время выступления может привести к потере ориентации выступающего и еще большему провалу. Вот в следующий раз может быть такая идея и будет реализована. А может быть АвангардПро пойдет и дальше, разработав приложений для смартфона, которое позволит не только оценивать докладчика не по бинарной системе (понравилось/не понравилось), но и строить "кардиограмму" выступления в реальном времени с демонстрацией на экране позади докладчика :-) Но все это планы и будущее... А пока могу только сказать спасибо Авангарду за организацию Уральского форума. Мероприятие удалось!

Мой новый курс по безопасности индустриальных решений

Позавчера Академия информационных систем опубликовала у себя на сайте новость о запуске моего курса по безопасности индустриальных решений. Точнее он называется  "Защита АСУ ТП", но суть от этого не меняется. Так уж сложилось, что у нас в России больше принята именно аббревиатура АСУ ТП. Программа курса опубликована на сайте АИС.

Собственно идея этого курса возникла у меня давно - еще в конце первой декады 2000-х годов, после того как я проходил обучение по SANSовскому аналогичному курсу. Потом были курсы американского МинЭнерго, INL и DHS. Но в 2009-2010-м году эта тема в России была не очень актуальной. У нас не было ни инцидентов, ни нормативки (исключая документы ФСТЭК по КСИИ с непонятным статусом), ни активного интереса со стороны потребителей. Об этом же говорит и не очень высокий интерес к заметкам в блоге, посвященным этой теме, которые я начал публиковать с 2008-го года. Но после появления Stuxnet ситуация стала меняться - о проблеме заговорили все и стали к ней готовиться. Регуляторы задумались о нормативной базе, интеграторы - о новых направлениях своей деятельности, потребители - о том, как ничего не делать и при этом не попасть "под раздачу". Стали чаще проводиться различные мероприятия (например, форум по безопасности КВО ТЭК), на которых поднимались различные темы по ИБ критически важных объектов в целом и АСУ ТП в частности.

На этом фоне я стал не только чаще выступать про безопасности индустриальных систем, но и участвовать в разных проектах в разных отраслях, в которых присутствуют КВО. В прошлом году было даже три АЭС, заинтересовавшиеся данной тематикой. Потом появился документ Совбеза, указ Президента, законопроект ФСБ и требования ФСТЭК. Стала вырисовываться общая картина того, как и куда будет развиваться эта тема в России. А потом в каком-то разговоре с Игорем Елисеевым и Юрой Малининым из АИС возникла идея этого курса. Наработки уже были - оставалось только их свести воедино, что и было сделано.

Теперь что касается неумных высказываний отдельных личностей, которые в свойственной для себя манере, не разобравшись в предмете и не имея о нем никакого представления кроме поверхностного, решили высказать свое мнение, выдав его за сакральную истину в последней инстанции. Курсы бывают разные! Бывают обзорные - на один или два дня (у иностранцев они часто дополняются приставкой Overview или Essentials, как у SANS). Бывают глубокие и длинные курсы уровня Deep Dive - на пять дней. Бывают курсы, направленные на рассмотрение одной темы (например, аудит и анализ защищенности АСУ ТП или применение однонаправленных межсетевых экранов), а бывают включающие в себя сразу целые своды передового опыта (best practices). Бывают курсы (как у Tofino, например) для "рукастых" инженеров, которые на стенде пытаются пощупать все своими руками, а бывают дизайнерские курсы, на которых описываются принципы дизайна и архитектуры индустриальных сегментов (например, у Rockwell). Бывают курсы, описывающие отдельные технические решения (у того же Waterfall или Honeywell), а бывают направленные только на нормативку. "Серебряной пули", решающей сразу все задачи и включающей сразу все темы в рамках одного курса, нет.

Собственно мой курс - это попытка объединить вместе все темы, исключая различные лаборатории и иные практические занятия. Я такую задачу себе не ставил и ставить не буду. Допускаю, что в АИС могут появиться практические курсы, развивающие тему ИБ АСУ ТП (о такой возможности АИС говорил). Моя задача была дать обзорную и при этом детальную систематизацию того, что сейчас понимается под темой информационной безопасности АСУ ТП. Сюда входит и нормативка (куда уж без нее), и обзор рынка специализированных решений (я про него, кстати, буду рассказывать на конференции АИС по безопасности КВО ТЭК), и существующие стандарты и своды передового опыта, и вопросы сетевого дизайна индустриальных сегментов и многое другое. На все про все два дня. Это немного, но надеюсь, что за этот промежуток времени слушатели выйдут с систематизированными знаниями в различных областях ИБ АСУ ТП. Представители МинЭнерго узнают о международном и национальным опыте регулирования ИБ КВО. Пентестеры узнают про нормативку, о которой они часто забывают и которая зачастую важнее реальных дыр в системах, которые и закрыть-то нельзя, чтобы не нарваться на расторжение договора на поддержку или выход системы из строя. Интеграторы узнают о различных решениях, которые могут закрывать те или иные задачи при обеспечении ИБ АСУ ТП. Иными словами, каждый найдет для себя что-то полезное. Я надеюсь на это. Опыт проведения других курсов показывает, что систематизировать в сжатом виде разрозненные сведения и доступно донести до аудитории сложные темы мне удается неплохо. А это уже немало :-)

ЗЫ. Курс читается только в АИС и нигде больше.

ЗЗЫ. Упомянутой выше личности рекомендую не сидеть в социальных сетях, изрыгая желчь и страдая манией величия, а сделать хоть что-то своими руками. Это не только отрезвляет, но и учит ценить труд других людей.

27.02.2014

Уральский форум. Часть 6. Оставшееся

В заключение рассказа об Уральском форуме я бы хотел коснуться тех тем, которые не вошли в состав предыдущих пяти частей.


Во-первых, была поднята тема саморегулируемой организации. Но так невнятно, что смысл этой СРО для меня был утерян. НП АБИСС, которое на протяжении последних пары лет критиковали все кому не лень, было реорганизовано и ему должен был быть дан новый толчок. Толчок был, но не тот :-( В итоге идею СРО на форуме озвучили как организацию, которая должна заниматься добровольной сертификацией средств защиты и банковских приложений. Зачем? Кому это нужно? Куда денутся 8-й Центр с ФСТЭК? Про это ни слова. В итоге здравая, в общем-то идея, так и умерла не родившись. Доверия к такой СРО точно не будет.

С НП АБИСС связана и другая тема, которая прошла немного стороной на Форуме. Речь идет о PCI DSS. Про этот стандарт вообще не было ни сказано ни слова на форуме. Зато за его рамками прошла информация о финале процесса перевода стандарта PCI DSS и PA DSS 3.0 на русский язык, который затевался под эгидой НП АБИСС. Текст стандартов и сопутствующих документов выложен на локализованном сайте PCI Council.

Еще из интересного могу отметить мастер-классы на модерируемом мной дне. Не все получилось, как задумывалось. Некоторые (вроде Диалог-Науки) переиграли первоначально согласованную программу и гнали голимую рекламу, но остальные (Group-IB, Positive Technologies и другие) выступили достойно - были и демонстрация и практика и учет потребностей банков, привязанные к целевой аудитории.

Особо хочется выделить доклад Олега Вайнберга про работу с персоналом. В этом году мы решили пойти по пути прошлого года и разбавить день мастер-классами на "связанные" темы. Если в прошлом году мы говорили о создании своего стартапа по ИБ, поддержании физической формы и пути к славе, то в этот раз мы решили все время отдать на тему мотивации персонала, ее учета в деятельности руководителя ИБ и т.п.


На мой взгляд получилось очень и очень неплохо. Полученные знания должны помочь руководителям служб ИБ банков понять, почему плохо или хорошо работают их сотрудники, как их мотивировать, как оценивать, как стимулировать... Т.е. мастер-класс Олега отвечал на все те вопросы, которые возникают в деятельности человека, под которым есть подчиненные.


И конечно же полученные знания могут помочь безопаснику правильно расставаться с людьми - как из своего отдела, так и из компании в целом. Причем расставаться так, чтобы потом не было слишком накладно разгребать последствия обиженного сотрудника.


В заключение выкладываю свою презентацию "Уральский форум за 15 минут", расширенную текстовую версию которого я описывал в блоге на протяжении уходящей недели.


А Андрей Прозоров сделал видео-запись этой презентации (из 3-х частей), за что ему большое спасибо.







До встречи в следующем году! Думаю, будет еще интереснее!!!

PS. Отдельное спасибо хочу сказать компании АвангардПро за замечательное мероприятие, которое не только позволило пообщаться коллегам в неформальной обстановке, но и ценный контент, который был озвучен на форуме.

26.02.2014

Уральский форум. Часть 5. Банковский CERT и отчетность

Еще одной активно обсуждаемой темой на Уральском форуме стал банковский CERT. Идею его создания поддержал г-н Лунтовский (первый зампред Банка России), ГУБЗИ, ДНПС, АРБ, а на проведенном отдельном круглом столе идея в целом была поддержана и банковским сообществом.



Правда, на мой скромный взгляд название для этой инициативы было выбрано неудачное. Я, как и многие коллеги, повелись на термин CERT, который имеет вполне конкретное толкование и наполнение. Во всем мире CERT - это центр, которые реагирует (в форме расследования или уведомлений/бюллетеней) на достаточно технические проблему/угрозы/уязвимости. Так работает CERT/CC, US-CERT, ICS-CERT, CERT-GIB, GOV-CERT и т.п. Даже финансовые центры, например, американский FS-ISAC, обменивается техническими сведениями о "банковском" спаме, троянах для банков, уязвимостях в банковских системах и т.п.

ЦБ же под данным термином понимает немного иную конструкцию. Судя по описанию, озвученному и поддержанному большинством банков, речь идет об организации, которая будет отслеживать мошеннические транзакции, обмениваться списком мошенников (дропперов) и подставных юрлиц, рассылать правила для систем антифрода и выполнять другую аналогичную работу, которая явно не относится к техническому уровню. И хотя основную задачу "банковского CERT" Банк России видит в снижении числа инцидентов, методы решения он предлагает немного иные, чем безопасники привыкли, толкуя термин CERT. Хотя это и не так уж и важно.

Помимо обмена информацией о мошенничестве, Банк России поднял вопрос и об изменениях в законодательстве. Подготовленные в прошлом году ДНПС рекомендации по возврату незаконно списанных средств натолкнулись на недостатки действующего законодательства - банки не могут приостанавливать платежи, требовать их возврата, обмениваться сведениями о мошенниках. Поэтому сейчас ЦБ подготовил поправки в законодательство в части упрощенного возврата незаконно списанных средств. Посмотрим, чем закончится эта эпопея с изменением законодательства, уже не один год обсуждаемая в Магнитогорске. Пока можно только сослаться на опыт Сбербанка, который активно использует разные статьи УК РФ для преследования преступников (не всегда успешно). Опасения банков по поводу вала запросов на возврат средств в рамках 9-й статьи ФЗ-161 не сбылись - ДНПС считает, что проблема оказалась преувеличенной.

С "банковским CERT" связана и другая тема - по отчетности об инцидентах. Сейчас эта информация уходит в рамках 203-й формы отчетности только в ДНПС. Будут ли эти сведения уходить еще и в "CERT"? В каком порядке? На каких основаниях? Не придется ли дублировать отправляемые сведения? Пока ответа на этот вопрос нет. Как и вообще ясности с отчетностью по 202-й форме и СТО БР ИББС. Например, 8-й Центр заявил, что они не видят смысла в отправке отчетности по "письму шести", которая отправляется в ЦБ, РКН, ФСБ и ФСТЭК. Из всех регуляторов только ЦБ и ФСТЭК ее как-то использует. РКН опирался на отчетность, чтобы понять, кто из банков не посылал уведомление в РКН :-) ФСТЭК анализирует статистику и динамику, но не может предпринять никаких действий в отношении банков. 8-й Центр ФСБ вообще не смотрит на эту отчетность. Более того, часто банки отправляют отчетность на общий адрес управления ФСБ, а там, получив письмо от банка, направляют его в экономический блок, минуя 8-й Центр. "Экономисты" же, получив какую-то отчетность, либо выбрасывают ее в корзину, либо названивают в банки для уточнения "что это за фигню вы тут нам прислали". В итоге на банков навешивается излишняя головная боль с отправкой отчетности всем регуляторам, из которых реально эти данные нужны только Банку России. При этом даже в этом случае есть два вопроса к получаемой отчетности по СТО БР ИББС. Зачем она нужна при наличии схожей отчетности по 382-П? И что делать, если в отчете невысокие показатели и за 3 года они не изменились? ФСТЭК задала на Форуме закономерный вопрос с обратной связью по результатам анализа отчетности. Если нет рекомендаций по улучшению (или санкций за низкий уровень), то мотивация заниматься отчетностью снижается :-(

ЗЫ. На вопрос о том, может ли банк возложить на клиента возмещение затрат на расследование мошенничества, ДНПС ответил, что нет. Так что вот такие вот вставки в тарифную сетку банка должны скоро исчезнуть.



Уральский форум. Часть 4. Новости Банка России

Переходим к новостям Банка России, озвученным на Уральском форуме. Также, как и в предыдущих 3-х частях пройдусь по ним тезисно с дополнениями и комментариями:
  • Развитие ИБ в финансовой отрасли Банк России видит за счет тематик ПДн и банковской тайны, банковского CERT, ИБ виртуализации и облаков. По крайней мере именно такие направления озвучены были от имени первого зампреда ЦБ Лунтовского. Однако судя по озвученным планам, все-таки будут и другие направления для активности ЦБ.
  • ЦБ планирует расширить действие СТО на все отрасли, которые попали под ЦБ после слияния с ФСФР. Детали этого расширения озвучены не были; как и сроки.
  • Постепенно идет сдвиг в сторону реального управления рисками. Этот тезис был озвучен без какой-либо детализации, но судя по всему ГУБЗИ хочет уйти от порочной практики установления требований по ИБ за банки, чтобы дать последним возможность самостоятельно выбирать защитные меры исходя из имеющихся рисков. По сути ГУБЗИ, как мне кажется, хочет распространить на СТО подход из 379-П, в котором именно банки определяют свои риски и меры по управлению ими. Разумеется какой-то базовый уровень требований по ИБ останется, но банки должны получить больше свободы. Правда, не все в ЦБ разделяют такой подход ГУБЗИ. Будем подождать :-)

  • Новая версия СТО 1.0/1.2 гармонизирована с 382-П, ПП-1119, ФЗ-261 и 21-м приказом ФСТЭК. Полное соответствие достигнуто по алгоритму оценки, частным показателям и срокам оценки (раз в два года).
  • Предположительно с 01.05.14 новые версии СТО и РС будут введены в действие. При этом в ГУБЗИ уже есть планы по очередному витку развития СТО за счет расширения 7-го раздела и возможного пересмотра 8-го раздела в связи с изменениями в ISO27К.
  • На ТК122 единогласно утверждены РС по менеджменту инцидентов и ИБ на этапах жизненного цикла АБС. Также на ТК122 в настоящий момент рассматриваются РС по ИБ виртуализации и ресурсному обеспечению ИБ. И наконец, ЦБ готовит РС по DLP-решениям и мониторингу информации в соцсетях. В совокупности с законопроектом о запрете распространения клеветы в Интернете о проблемах у банков, последняя РС и есть та причина, которая позволила СМИ заявлять о том, что ЦБ будет контролировать социальные сети. РС по DLP на рассмотрение ТК122 вынесут в мае, а принятие ее планируется к концу года.
  • Исходя из получаемой статистики от банков и анализа иных нормативных документов ЦБ в лице департамента НПС решил обновить 382-П.
  • Планируемые изменения в 382-П делятся на 4 больших направления - банкоматы и платежные терминалы, платежные карты, Интернет и мобильный банкинг. Требования к банкоматам сильно пересекаются с письмом 34-Т от марта 2013 года. Требования к Интернет-банкингу похожи на августовское письмо 146-Т. Требования к мобильному банкингу похожи на предыдущий пункт с дополнительными требованиями к распространению мобильных приложений через репозитории. Ну а по картам основное изменение касается обязательного применения с 1-го января 2015 года чиповых карт EMV (пока совмещенных с магнитной полосой). 

  • 258-ю форму (по инцидентам с платежными картами) отчетности планируется отменить и внести необходимую информацию в 203-ю форму. Сроки для такого изменения пока не определены. Изменение частоты подачи отчетности по 203-й форме не планируется, но такая возможность рассматривается в перспективе. ДНПС также сообщил, что не видит проблемы в двойной нагрузке на банки по отправке отчетности в ЦБ и оператору платежной системы - все останется как есть. 
  • Внутренняя инструкция по проведению проверок 382-П (157-Т) может быть будет сделана открытой. Правда уверенности в голосе замдиректора ДНПС, г-на Прохорова, когда он это говорил я не услышал :-) Да и учитывая, что сроки подачи 202-й формы отчетности уже прошли, большого смысла в опубликовании 157-Т я не вижу.

  • Число требований, которые должны выполнять кредитные организации возрастает - помимо приведенных на слайде банка "Возрождение" могут добавиться требования к КВО (о них я писал в понедельник), а еще требования операторов платежных систем. И хотя уже неоднократно возникал к ЦБ вопрос о том, что требования 382-П и требования операторов платежных систем часто не стыкуются и надо бы привести все к единому знаменателю, тема остается открытой.
Пожалуй, это все ключевые новости, озвученные Банком России на Уральском форуме. Нам осталось только рассмотреть новости, связанные с банковским CERTом и ряд других событий, не относящихся к какой-то конкретной теме.

ЗЫ. На сайте конференции выложены все презентации с форума.

25.02.2014

Приказ трех по классификации ИСПДн отменен официально

И вот, наконец, "приказ трех" об отмене "приказа трех" по классификации ИСПДн официально зарегистрирован в Минюсте и вступил в действие. Фактически "приказ трех" и так прекратил свое действие после выхода ПП-1119 и отмены ПП-781, во исполнение которого и создавался "приказ трех". Но у нас юридических доктринальных принципов не понимают и хотят бумажку с подписями и печатями :-) Вот она!


Теперь ждем, когда РКН изменит свой приказ с формой уведомления и начнем жить по новому. Кстати, на вопрос о том, как оформлять уровни защищенности могу ответить - также как и акты классификации ИСПДн. Только называться он будет акт определения уровня защищенности. Чтобы не сильно задумываться, что в этот акт включать, я взял да и переделал шаблон акта классификации, который готовился в свое время в рамках рабочей группы ЦБ и АРБ по подгоготовке 4-й редакции СТО БР ИББС.

ЗЫ. Скачать акт в формате Word можно по ссылке.

Уральский форум. Часть 3. Новости ФСБ

Выступления Владимира Михайловича Простова из 8-го Центра ФСБ меня смутило. Как и вообще участие 8-го Центра в Уральском форуме. Если Виталий Сергеевич Лютиков приехал на 1-2 дня и, сделав неплохой доклад, поделился достаточно интересными новостями, то представитель 8-го Центра, задержавшись в Магнитогорске на целую неделю, ничего нового или конкретного не сказал :-( Более того, складывается впечатление, что 8-й Центр либо закрывает глаза, либо тупо забивает болт на потребности рынка.



Начну с проекта приказа ФСБ по защите персональных данных. Из 120 полученных 8-м Центром предложений принята только шестая часть (предположу, что незначительных). В конце февраля проект приказа с правками должен быть опубликован. Это спустя больше года с момента его разработки - я проект видел еще в конце 2012-го года. И если ФСТЭК свой приказ смогла доработать и утвердить к февралю 2013-го года, то 8-й Центр до сих пор чего-то ждет. Хотя никаких серьезных изменений в проекте приказа не планируется - обязательная сертификация СКЗИ останется и подход этот меняться не будет. Сразу возникнет вопрос применения СКЗИ для платежных терминалов и банкоматов, принимающих оплату услуг ЖКХ или иных аналогичных, в которых могут фигурировать ПДн не только в полях "отправитель" или "получатель". Те, кто уже реализовал проекты по PCI DSS, готовы все переделывать и менять несертифицированную криптографию, разрешенную в рамках PCI DSS, на сертифицированную?.. Почему-то на самом форуме в сторону 8-ки этот вопрос не прозвучал :-( Кто-то постеснялся. Кто-то побоялся. Кто-то заранее предсказал реакцию и не стал зря тратить время. Итог неутешителен - регулятор в лице 8-го Центра считает, что раз нет вопросов, то и проблем нет.

После выступления представителя 8-го Центра в блиц-сессии вопросов и ответов их часть коснулась и актуальных угроз. В очередной раз прозвучала мысль о том, что актуальность типов угроз определяет сам оператор ПДн. А вот на вопрос о том, не планирует ли 8-й Центр разработать методичку по моделированию угроз, а то и сами типовые модели угроз, Простов В.М. ответил, что нет, не планирует, и даже не видит смысла в разработке такой методики, если любой оператор ПДн может пойти к лицензиату и заказать такую услугу. ФСТЭК видит такую необходимость и готовит этот документ, а ФСБ не видит...

Я сразу представил, что детсад, в который ходит моя дочь, прямо побежит к немногочисленным лицензиатам ФСБ с целью потратить и так незначительные бюджетные средства на формирование модели угроз. А потом этот же детсад вынужден будет приобретать сертифицированные СКЗИ, т.к. он настолько "продвинутый", что предлагает родителям функцию удаленного видеонаблюдения за детьми через Интернет. Руководство 8-го Центра, которое и затевает эти инициативы по обеспечению национальной безопасности и поддержки отечественного производителя, видимо, никогда не пыталось спроецировать свои требования на жизнь свою и своих близких, посещающих детсады, школы, поликлиники, собесы, Интернет-магазины и т.п.

Пожалуй, это и все, что удалось вытянуть из 8-го Центра. Было еще парочку высказываний, но по ним я пройдусь чуть позже. А вот в кулуарах я узнал еще одну интересную информацию, подтвержденную тремя источниками. ФСБ готовит очередную революцию в части сертификации СКЗИ. Ввиду полного игнорирования многими разработчиками прикладных систем (АБС и иже с ними) требований по корректности встраивания, которые прописаны в ТУ и формулярах на СКЗИ, ФСБ решила вовсем отменить сертификацию криптобиблиотек и криптопровайдеров. Точнее прекратить согласовывать ТЗ на них. Это приведет к скорому (с 2015-го года примерно) прекращению действия старых сертификатов и необходимости сертификации изделий с встроенной криптографией целиком. Пока сложно оценивать последствия данного решения для рынка, но то, что потребитель опять будет поставлен в коленно-локтевую позицию и вынужден будет искать решение данной проблемы самостоятельно, - это точно. Одним из таких решений может быть полная отвязка СКЗИ от прикладной системы и использование либо централизованных "крипто-серверов", либо иных прокси-схем, позволяющих разделить криптографию и использующую ее прикладную систему.

Ну и наконец последняя новость, которую я забыл упомянуть в понедельник, говоря о новациях ФСТЭК. Речь идет о пресловутом ПП-584 о защите информации в платежных системах. И хотя действует оно уже почти 2 года, про него многие забыли, т.к. оно имеет рамочный характер и регуляторы в лице ФСТЭК и ФСБ не шибко следят за его соблюдением. Точнее не шибко следили, т.к. ситуация начинает меняться. Помните мою заметку полуторагодовой давности про логику регуляторов при разработке нормативных актов? Так вот с ПП-584 ситуация аналогичная. В ФЗ-161 и ПП-584 написано, что контроль и надзор за выполнением требований по защите информации, установленных ПП-584, осуществляют ФСТЭК и ФСБ в рамках своих полномочий? Написано! Ну так власти решили спросить с регуляторов, а как они осуществляют надзор? Поэтому будьте готовы к тому, что начнутся проверки по данной тематике.

Не могу сказать, что ПП-584 сложно в реализации. Оно достаточно высокоуровнево, чтобы опасаться глубоких проверок. Но эта высокоуровневость может сыграть и злую шутку - требования-то расплывчаты. Со стороны ФСТЭК я не жду особых проблем, а вот что думает ФСБ - тайна за семью печатями. Они могут забить на надзор по этой тематике, а могут рьяно взяться за дело. Ведь по теме ПДн ни у ФСТЭК, ни у ФСБ нет полномочий проводить надзорные мероприятия. А по ПП-584 есть!

Вот вкратце новости с Уральского форума по теме ФСБ. Следующая заметка будет касаться нововведений со стороны Банка России.

Уральский форум. Часть 2. Экономика ИБ или торговля страхом

Про новости со стороны ФСБ я расскажу чуть позже, а пока обращусь к теме, упомянутой  мной в прошлом году. Речь идет о непонимании интеграторами и вендорами специфики отрасли, для которой представляются решения. Спектр причин может быть очень широкий - от реального непонимания специфики и до простой лени, от неумения считать экономику предлагаемого решения, которое может обойтись дороже предотвращаемого ущерба, до требования рекламного отдела читать именно "эту" презентацию. Какой бы ни была причина, страдают все. Участники устают слушать булшит, а вендор/интегратор получает отторжение целевой аудитории и цель презентации (продать) не достигается. Собственно эту банальную мысль - про учет специфики аудитории и экономики решения я бы и хотел продемонстрировать на примере двух докладов Уральского форума.

Первый прочитал Павел Головлев, член комитета по банковской безопасности АРБ. Он рассказывал про модели угроз для систем ДБО и систем платежных карт. Взяв за основу статистику Банка России по совокупному объему платежей, числу инцидентов и их сумме, была определена удельная величина риска в системах ДБО. Она составила 1 копейку на 1000 рублей. Иными словами банк теряет 1 копейку на 1000 рублей, пропущенных через ДБО. Для индустрии платежных карт (PCI) эта величина вырастает до 15 копеек на 1000 рублей.


Дальше все просто - достаточно определить сумму транзакций для конкретного банка и вычислить величину риска для него. Сумму транзакций можно примерно определить по той же статистике ЦБ. Вспоминаем цифры, приведенные мной год назад в теме про бессмысленность использования хакерами дыр в приложениях для мобильного банкинга. У Паши в презентации фигурирует валовый объем платежей в 1 триллион рублей. Для такого объема величина риска составит всего 10 миллионов рублей. А если взять только цифры мобильного банкинга (8 миллиардов рублей), то величина риска составляет всего... 80 тысяч рублей. И это на всю отрасль мобильного банкинга. Смешные цифры. И в обозримом будущем ситуация останется такой, что эта тема будет интересна только тем, кто занимается сугубо технической работой, не понимая экономики процесса.



Значит ли это, что хакерам совсем неинтересен мобильный банкинг? Разумеется, нет. На эту тему выступал Дмитрий Волков из Group-IB. Его мастер-класс был посвящен мобильным бот-сетям и нарастающим тенденциям "по ту сторону баррикад". Но Group-IB, не занимаясь непривязанными к реальной безопасности исследованиями, имеет дело с практикой, которую Дмитрий и демонстрировал. По версии Group-IB гораздо проще, чем искать дырки в банковских приложениях, написать троянца для мобильного устройства, который будет просто перехватывать SMS-подтверждения, приходящие на мобильное устройство, скрывать их от владельца смартфона, и передавать владельцу бот-сети, который вручную или в автоматическом режиме сможет давать распоряжения на перевод денежных средств от имени владельца мобильного устройства. Пока такие бот-сети насчитывают не так уж и много устройств, но Group-IB предсказывает рост их числа в ближайшее время.

Собственно тема экономики звучала и на круглом столе, посвященном взаимоотношениям поставщиков и потребителей продуктов и услуг, который проходил во второй день. Банки упрекали поставщиков в том, что те пытаются "впарить" свою продукцию, даже не задумываясь о реальных потребностях своей целевой аудитории. Кстати, в докладе Павла Головлева говорилось не только о том, как считать общую экономическую эффективность средств противодействия угрозам ДБО, но приводилась и реальная статистика по эффективности отдельных защитных мер:


Для ДБО приводилась статистика по 29 мерам, а для индустрии карточных платежей - по 51 защитной мере. Как видно из первой шестерки наиболее эффективными в настоящий момент являются средства борьбы с мошенничеством и обычная оргмера по временной приостановке платежа. Остальные три меры из первой пятерки вообще можно отнести либо к организационным, либо к техническим, но не относящимся к классическим средствам защиты. Как говорится, цифры говорят сами за себя.

Еще один, не самый удачный на мой взгляд, пример приводился в докладе компании Fortinet. Они, по неведомой мне причине, решили представить для банков свои услуги Managed Security Services. Причем совершенно неадаптированные под российский рынок - неаттестованый ЦОД, деятельность без лицензии, ЦОД за пределами России... И это для консервативных банков :-) На вопрос о финансовых гарантиях за взлом подзащитной организации ответа от Fortinet не последовало. И его, наверное, и не могло последовать - массовых случаев финансовых гарантий по облачным услугам и услугам аутсорсинга я что-то не припомню в мировой практике. Без четкого ответа остался вопрос Fprtinet'у и про SLA. Правда, SLA - это не нечто универсальное и для каждого заказчика его показатели могут меняться. Кстати, с SLA возникла интересная ситуация на мастер-классе Лаборатории Касперского. В процессе блиц-сессии вопросов и ответов, выступающие ЛК проговорились, что позиционируют они свой AntiDDoS продукт как сервис, а продают как программное обеспечение, т.е. по модели "as is". Иными словами, никакого SLA у данного "сервиса" нет :-(

Закончить мне бы хотелось слайдом из курса по измерению эффективности, на котором сведены воедино ключевые причины, почему мало кто считает реальную эффективность/экономику средств или проектов по информационной безопасности.

Вывод простой - дело не в отсутствии механизмов расчета эффективности, а в нежелании или неумении ими пользоваться. Аналогичная ситуация и с обоснованием и показом понимания отраслевой специфики. Просто нет квалификации и опыта в этом вопросе или тупо лень напрягаться. Отсюда и классический вывод о том, что безопасность - это всегда торговля страхом и никаких альтернатив нет. Они есть - надо просто иметь желание их искать, находить и использовать.

24.02.2014

Уральский форум. Часть 1. Новости ФСТЭК

В пятницу закончился 6-й Уральский форум "Информационная безопасность банков" - специализированное мероприятие, посвященное, как видно из названия, именно банковской тематике. Прошло оно замечательно - как с точки зрения контента, так и с точки зрения общения (многие ради него и ездят). А уж скрипящий и белоснежный снежок под ногами при минус 28 в последний вечер - это и вовсе сказка для москвичей, которые в этом году зимы нормальной и не видели. Рассказывать об организации мероприятия я не буду (АвангардПро - молодцы); как и об соотношении банков и спонсоров :-) Хотелось бы тезисно очертить основные запомнившиеся мне выступления. Преимущественно они принадлежали регуляторам (ФСТЭК, ФСБ, ЦБ, Минкомсвязь), но и банки не подвели - делились практикой, а она всегда интересна. Интеграторы и вендоры были в своем репертуаре и в их докладах было мало запоминающегося и стоящего упоминания. Итак начнем.


Многие коллеги, увидев в программе выступление ФСТЭК, подумали, что Лютиков Виталий Сергеевич будет пересказывать вкратце выступления с конференции ФСТЭК, прошедшие неделей ранее (часть 1, 2, 3 и 4). Но нет... Выступление Виталия Сергеевича было посвящено двум готовящимся ГОСТам - по защите виртуализации и облачных вычислений.


ГОСТы должны быть вполне адекватными и отражать широкий спектр различных вариантов реализации виртуализации и облачных вычислений. Часть этих требований (но в меньшем объеме) описана в 17-м и 21-м приказах, а также в методичке ФСТЭК по защите ГИС, которая была опубликована на сайте ФСТЭК в день начала форума (и информационное сообщение к ней). Как я уже писал принятие этих ГОСТов планируется в мае.


Рассказом об этих двух ГОСТах официальная часть выступления ФСТЭК была закончена, но и была и кулуарная :-) А в ее рамках было озвучено, что на позапрошлой неделе был утвержден приказ ФСТЭК об отмене пресловутого "приказа трех" по классификации ИСПДн. Иными словами, теперь ни о каких классах ИСПДН от 1-го до 4-го речи идти не может - только уровни защищенности по ПП-1119. Видимо скоро придется ждать изменения 706-го приказа РКН об утверждении рекомендаций по заполнению уведомления об обработке ПДн.

Но и на этом новости по линии ФСТЭК не заканчиваются. В докладе Георгия Грицая из Минкомсвязи прозвучало, что в готовящемся законопроекте по безопасности критической информационной инфраструктуры (в апреле планируется внесение его Правительством РФ в Госдуму) немного поменяли и определение КИИ. Теперь под него могут попасть и банковские информационные системы, банкоматные сети, сети платежных терминалов и т.п. И если раньше в список критически важных объектов, предположительно, входили только ЦБ и Сбербанк, то после принятия нового законопроекта этот список может пополниться системно значимыми кредитными организациями, а также и иными банками.


В законопроекте также уточнены критерии категорирования опасности объектов, на которые будут распространяться требования по защите. По имеющейся информации критерий экономической значимости в текущей редакции законопроекта оперирует таким значением, как 1 миллион рублей ущерба, что означает, что в список объектов, подпадающих под регулирование могут попасть не только системно значимые, но и другие банки.


И если ФСБ, как авторы законопроекта, выкинут такой фортель с критериями категорирования, то сразу встанет вопрос, а какие требования по защите будут предъявляться к банкам? И кто будет их вырабатывать? ФСТЭК или ФСБ? Текущий проект требований ФСТЭК по защите информации в АСУ ТП врядли может быть применен к банкам - все-таки у последних нет систем управления технологическими процессами. Остается только ждать апреля.

Вот такие новости по линии ФСТЭК... В следующей заметке рассмотрим, чем нас на Уральском форуме порадовал 8-й Центр ФСБ.

17.02.2014

Магнитогорский форум по банковской ИБ

На неделю ухожу в Твиттер. Видимо заметок в блоге до следующего понедельника не будет. Следить за событиями и новостями в банковской ИБ можно будет по хештегу #ibbank (хотя я его часто забываю ставить).

Всем удачи!

14.02.2014

Конференция ФСТЭК. Часть 4. SDLC и виртуализация

В заключительной, 4-й части рассказа о конференции ФСТЭК, я коснусь последних двух вопросов, которые находятся в прицеле ФСТЭК, - виртуализации и безопасности программировании.

Первую тему на конференции очень неплохо осветил Крафтвей, рассказав о существующих угрозах и закладках на аппаратном уровне и способах борьбы с ними, сделав акцент на технологии Secure Boot (UEFI).


Потом представитель Крафтвея рассказал о недостатках UEFI/Secure Boot, которые заключаются в невозможности сертификации их в ФСТЭК и сложностях ввоза оборудования с модулем TPM, на базе которого строится современная технология Secure Boot у многих производителей оборудования. Как решение этой проблемы Крафтвей предложил использовать разработанную ими аналогичную технологию Kraftway Secure Shell, которая хоть и "привязывает" потребителя к конкретному производителю, но зато обладает всеми нуными бумажками от регулятора.


Учитывая наличие блока по защите виртуализации в 17-м и 21-м приказах, наличие проекта ГОСТ по защите виртуализации и наличие сертифицированных средств защиты для виртуализированных сред (Cisco вот тоже сертифицирует свой Virtual Security Gateway под VMware, Hyper-V, Xen и KVM) эта тема уже не так остра как раньше.

А вот вторая тема более интересна - касается она безопасного (защищенного) программирования, которое стало актуальным после глупости, допущенной 8-м Центром ФСБ, включившем в ПП-1119 тему недокументированных возможностей в системном и прикладном ПО. Устранившись от решения этой проблемы, 8-й Центр переложил всю ответственность за разработку защитных мер на ФСТЭК. И если изначально ФСТЭК не очень понимала, как бороться с НДВ не в средствах защиты, то потом родились известные требования в 21-м приказе, которые помимо пентестов и сертификации на НДВ, ввели и декларацию производителя об использовании методов защищенного программирования, т.е. внедрении SDLC в процесс разработки ПО (выглядеть такая декларация может так).

Но данным абзацем в 21-м приказе дело не ограничилось и уже в 2013-м году впервые пошли слухи о разработке ГОСТа в рамках ТК 362 о защищенном программировании. Именно о проекте этого документа, который разрабатывается в НПО "Эшелон", и рассказывал Алексей Сергеевич Марков из "Эшелона".


ГОСТ по SDLC должен быть разработан в этом году, а его принятие запланировано на 2015-год. Тему качества ПО средств защиты информации поднял в своем докладе и Дмитрий Гусев из Инфотекса. Начал он с поднятия больного для всех разработчиков СЗИ вопроса - сертифицированная система защиты и безопасная - это синонимы или все-таки разные вещи?



Затем Дмитрий сделал экскурс в классические и современные методы разработки ПО, отдельно остановившись на agile-разработке; рассказал о неприменимости принятых методов оценки информационной безопасности ИТ-продукции (например, из ГОСТов 14508 и 18045) не применимы к agile-разработке ПО. В заключении своего доклада Дмитрий Гусев предложил учесть в разрабатываемом ГОСТ по SDLC agile-подходы. Кстати, и Алексей Марков приглашал к сотрудничеству желающих поучаствовать в разработке нового ГОСТа.


Вот такой насыщенной оказалась конференция ФСТЭК. Всего 4,5 часа докладов, а рассказ о мероприятии растянулся на целых 4 заметки. Такого заслуживала только пятидневная конференция в Магнитогорске, каждый день которой в прошлые годы я описывал отдельно. В этом году, думаю, будет тоже интересно и уже со вторника я начну прямой репортаж в Твиттере о том, что будут говорить регуляторы финансовой отрасли по вопросам информационной безопасности.

Пока же могу только отметить, что ФСТЭК взяв в конце 2012-го года отличный старт по разработке актуальной нормативной базы продолжает удерживать взятый темп и радовать своими документами. Старается не отставать от ФСТЭК Банк России, который выпустил несколько новых проектов своих стандартов. И только 8-й Центр продолжает жить своей непостижимой большинству специалистов по информационной безопасности жизнью, считая, что чем меньше документов будет разработано и опубликовано без грифа, тем меньше проблем будет у регулятора и более защищенной будет Российская Федерация. Виват!

Конференция ФСТЭК. Часть 3. Сертификация средств защиты информации

Еще один документ, который во вторник вечером ФСТЭК выложила на свой сайт, - это рекомендации по обновлению сертифицированных средств защиты. Насущнейший документ, необходимость появления которого назрела давно. Именно ему и другим аспектам сертификации средств защиты информации был посвящен доклад Шевцова Дмитрия Николаевича и Кубарева Алексея Валентиновича из ФСТЭК.

Тезисно все выглядит следующим образом:
  • Сейчас разрабатывает проект новых требований по сертификации средств защиты информации, не составляющей государственную тайну. Слухи про этот документ ходят давно и я даже про него уже писал 3 года назад, но с его принятием что-то затягивают. Оно и понятно - слишком много всего накручено в текущей системе сертификации и этот клубок расплести очень непросто - все равно кому-то на хвост да наступишь.

  • Проект этих требований будет широко обсуждаться экспертами. Принять этот документ планируется в этом году.
  • Планируется детализировать порядок сертификации с указанием сроков каждого этапа, а также исключить потребителя из процесса обновления сертификатов по истечении сроков их действия. Правда, пока это желание ФСТЭК и как его реализовать не до конца понятно. Видимо, при условии, что разработчик/производитель будет в состоянии взять весь процесс на себя. В целом тема непростая - ждем документа.
  • Еще одной проблемой сертификации является нежелание испытательных лабораторий делится наработанными материалами, что приводит к удорожанию сертификации, т.к. каждая сертификация начинается по сути заново - с разработки комплекта документов. ФСТЭК решила эту проблему решить, выпустив набор типовых программ и методик сертификационных испытаний. 
  • Пока упомянутое выше новое положение о сертификации не принято, ФСТЭК решила разработать промежуточный методический документ (в статусе рекомендаций) по обновлению сертифицированных средств защиты информации. Тема наболевшая и часто звучащая на многих мероприятиях. 
  • Документ вводит классификацию типов обновлений - их 4. Обновление базы сигнатур атак/вирусов, обновление, устраняющее уязвимости в системе защиты, обновление, влияющее на функционал средства защиты, и обновление, не влияющее на функционал системы защиты. Для каждого из типов обновлений предусмотрена своя процедура их "накатки", проверки испытательной лабораторией, доведения информации об обновлении до потребителя и т.п.
  • Хотя Женя Родыгин его и раскритиковал вдрызг (а вот его предложения по улучшению), я считаю этот документ очень важным и полезным. Особенно для нас, иностранных разработчиков, которые зачастую вообще не знают о сертификации своей продукции, которую наши партнеры или вовсе потребители на свой страх и риск подают на сертификацию.
  • Предлагаемый документ должен наладить этот процесс, хотя всех проблем он, конечно, не решит. Например, проблему сертификации на отсутствие НДВ в продукции иностранного происхождения, разрабатываемой за пределами РФ. В остальном же документ объясняет, что установка патча, устраняющего уязвимость в системе защите, не делает сразу сертификат недействительным. 
  • Этот документ по обновлению не догма, а скорее рекомендации разработчикам средств защиты по включению процесса обновления в эксплуатационную и конструкторскую документацию. Возможно, в упомянутом выше новом положении о сертификации эта тема будет также расписана, но уже в виде обязательных требований.
  • Как следует из 17-го приказа (п.17.4) обновление средства защиты информации не требует переаттестации ГИС.
  • Упоминаемый в документе доверенный канал обновления еще будет обсуждаться. Как и тема гарантированного доведения информации до потребителей. Вообще это не финальный проект, а скорее демонстрация направления, в котором движется регулятор и приглашение к обсуждению этого документа. Предложения надо прислать до 20 февраля.
  • ФСТЭК поставила перед собой непростую задачу по разработке требований (РД) к широкому спектру средств защиты, упомянутых в 17-м приказе. По мере выхода таких требований планируется постепенно отказываться от сертификации средств защиты по ТУ. Вопрос остается с встроенными в прикладные системы механизмы защиты, но не думаю, что запрет на сертификацию по ТУ будет абсолютным. Все-таки в прикладных системах сертификация может быть только на ТУ (отдельного готовящееся ЗБ). 
  • Планов по разработке новых РД у ФСТЭК много. В части "традиционных" средств защиты - это следующие:
  • Надо отметить, что РД по СВТ в 2015-м году планируют отменить, а РД на МСЭ заменят новым, попутно предложив еще и РД по средствам управления информационными потоками (коммутаторы, маршрутизаторы и т.п.).
  • Также ФСТЭК планирует разработку целого ряда новых документов по борьбе с утечками по техническим каналам.
  • В докладе Димы Гусева из Инфотекс прозвучала информация о том, что Инфотекс обсуждает с 8-м Центром ФСБ проекты аналогичных документов по обновлению сертифицированных СКЗИ и способов доведения информации об этом до потребителя. Но деталей по данной инициативе, как и проектов данных документов, больше нет. Все-таки любые документы ФСБ - это тайна за семью печатями.
3-я часть подошла к концу и в 4-й, заключительной части рассказа о конференции ФСТЭК мы поговорим о защите виртуализации и безопасном программировании.

Конференция ФСТЭК. Часть 2. Защита АСУ ТП

Теперь поговорим о том, что на конференции ФСТЭК говорилось про новый документ по защите информации в АСУ ТП, который во вторник, аккурат перед конференций, был выложен на сайте ФСТЭК. Документ долгожданный и очень неплохой. До 20-го февраля ФСТЭК предлагает прислать свои предложения к документу - ФСТЭК опять демонстрирует открытость и готовность работать с экспертным сообществом. Готово ли экспертное сообщество не просиживать штаны в Фейсбуке или Твиттере и с пеной у рта балаболить о своей крутизне, лидерстве в области развития российского рынка ИБ, поднятии его с колен, отстаивании интересов России на международной арене и воспитании молодежи (правда, с позиций "как ломать", а не "как защищать"), а реально поработать над документом? Но вернемся к конференции ФСТЭК:

Тезисы были озвучены следующие:
  • Документ очень похож по своей идеологии и концепции на 17-й и 21-й приказ. Это было сделано для преемственности и облегчения чтения документа теми, кто уже знаком с первыми приказами ФСТЭК, особенно 17-м. Поэтому номенклатура защитных мер очень сильно напоминает уже упомянутые приказы.


  • Документ разработан во исполнение поручения Президента РФ и он должен лечь "под" разрабатываемый ФСБ законопроект по защите критических информационных инфраструктур.
  • Классификация АСУ ТП немного отличается от принятой в 17-м приказе - классов защищенности будет 3, а не 4. Это сделано специально - они привязаны к классификации МЧС. Это согласовано с многими критически важными объектами.
  • ФСТЭК признает, что в АСУ ТП возможно применение средств защиты информации, прошедших оценку соответствия по ФЗ-184, а не только сертифицированных в ФСТЭК! Именно так - не только подтверждение соответствия в форме обязательной сертификации, но допустимы и другие 6 форм оценки соответствия, упомянутые в законе о техническом регулировании. Это очень важная новация и она была достигнута в результате общения с представителями КВО, участвующих в экспертизе документа.
  • Также в документе указано, что для АСУ ТП не требуется аттестации ввиду специфики создания систем управления технологическими процессами и наличия для них достаточно жестких приемочных испытаний, которые и будут подменять собой аттестацию, как форму оценки соответствия всей системы.

  • Среди других интересных моментов - согласованность мер по защите и технологической безопасности. Я про это как-то уже писал и вот ФСТЭК в своем документе признает главенство мер по технологической безопасности и их важность.
  • Помимо повтора мер из 17-го и 21-го приказа (а они на два блока защитных мер отличаются - управление конфигурацией и управление инцидентами), в документ по АСУ ТП добавлено еще 6 новых блоков защитных мер - безопасная разработка ПО, управление обновлениями, планирование мероприятий, информирование и обучение пользователей, анализ угроз и рисков и обеспечение действий в непредвиденных ситуациях. 



  • На вопрос, о том, что будет с документами по КСИИ, ответ был таков - отменяться они не будут, т.к. они шире АСУ ТП. Это придется еще осознать и даже сопоставить набор мер из ДСПшных документов по КСИИ с требованиями из открытого документа по АСУ ТП.
  • За этим документом последуют и другие - уже методические и раскрывающие отдельные аспекты, связанные с защитой в АСУ ТП.
Засим раздел по новому документе по защите информации в АСУ ТП заканчиваю. В следующей заметке поговорим о новых требованиях к сертификации средств защиты. 

Конференция ФСТЭК. Часть 1. Защита ГИС

Позавчера ФСТЭК провела конференцию "Актуальные вопросы защиты информации". Если по уровню организации мероприятию я бы поставил твердую двойку. Крокус вообще мало приспособлен под конференции, а уж то, что получилось и вовсе никакой критики не выдерживает. Организаторы почему-то не рассчитали, что на мероприятие придет раза в 2-3 больше людей, чем было мест. В итоге народ стоял в проходе и даже за пределами "зала", пытаясь выхватить если не картинку, то хотя бы звук, который наслаивался на неизолированный звук сирен с соседних стендов.

Концепция конференция была продуманной. Представители ФСТЭК доложились о ключевых направлениях своей нормотворческой деятельности в области защиты информации, а затем приглашенные лицензиаты (Инфотекс, Крафтвей, Эшелон, Код безопасности, ЦБИ, СИС) доложились о том, как они уже принятые или планируемые нормативные акты используют на практике и с чем сталкиваются. Получился такой симбиоз ФСТЭК и лицензиатов, "дующих в одну дуду". Не хватало только потребителей, которые бы рассказывали, как они на деле сталкиваются с новыми документами ФСТЭК, но тут, видимо, просто времени не было - ни на выступления потребителей (и так 4,5 часа без единого перерыва), ни на апробацию документов реальной жизнью.

В Твиттере я вел прямой репортаж и сейчас, для тех, кто моего Твиттера не читает, я перескажу ключевые тезисы, прозвучавшие на конференции, сопроводив их соответствующими фотографиями. Сразу прошу прощения за качество фото - снимал из президиума (получилось под углом) и на смартфон. Но при увеличении все неплохо должно читаться. У Андрея Прозорова есть видео выступления Лютикова Виталия Сергеевича.

Итак, тезисно:
  • При обсуждении 17-го приказа по защите ГИС (11-го февраля ему стукнул год) было учтено около 50% предложений экспертов. Всего предложений было около 200
  • Этап адаптации в 17-м приказе нужен, чтобы учесть требования и других нормативных актов по защите информации в ГИС. Например, требования СТР-К, ПП-424, совместного приказ ФСТЭК и ФСБ 416/489, приказа Минкомсвязи 104 и т.п. Иными словами, есть требования, которые расширяют 17-й приказ, а есть те, которые 17-й приказ детализирует и расширяет. Адаптация и нужна, чтобы гибко подойти к формированию совокупности защитных мер.
  • 11 февраля 2014 года (за день до конференции) директором ФСТЭК была утверждена методичка по мерам защиты в ГИС. До конца недели ее должны выложить на сайте ФСТЭК. Обычно это происходит в конце дня пятницы.
  • В отличие от проекта, выложенного на сайте в ноябре, в финальный вариант методички добавили приложение с терминами и определениями, которые местами повторяют уже существующие ГОСТы и другие НПА. Это нужно было сделать для  целей документа и эти термины действуют только в рамках данного методического документа.
  • Не все предложения вошли в итоговый документ (только у меня их было около 200). Отчасти потому, что ФСТЭК была не совсем согласна; отчасти потому, что ряд замечаний были достаточно концептуальными и их необходимо осмыслить. В следующей версии обещали учесть. О том, что учли, а что нет, будет понятно к концу недели, когда помимо методички выложат и сводный перечень предложений с результатами их рассмотрения.
  • ФСТЭК планирует выйти на двухлетний жизненный цикл документов ФСТЭК для учета изменчивости той среды и технологий, которые используются в госорганах.
  • На стыке 2014-15 годов, когда появится реальная практика применения 17-го приказа, будет открыт сбор предложений по его изменению.
  • Планы по развитию методических документов вокруг 17-го приказа громадные. Уже готов проект методички по моделированию угроз - его также должны выложить на всеобщее обсуждение в ближайшее время. Также планируются и другие документы, показанные на фото. 




  • По части аттестации также планируется ряд обновлений. В частности должен быть утвержден ГОСТ по документации. Он уже прошел все согласования и в мае Ростехрегулирование должен его утвердить. Также планируется разработать и утвердить порядок аттестации распределенных ГИС (название рабочее).

По части ГИС, пожалуй, все. Отдельно хочу отметить часть, связанную с вопросами из зала. Складывалось впечатление (и Лютиков Виталий Сергеевич про это неоднократно говорил на конференции), что не все прочитали и сам 17-й приказ и информационное сообщение к нему. Отчасти это недоработка регулятора, отчасти российская привычка, хорошо отраженная в анекдоте "чукча - не читатель...". Например вопрос о действии СТР-К и РД АС. Виталий Сергеевич прямо ответил, что для ГИС, не обрабатывающих гостайну и для которых неактуальна тема защиты от утечек по техканалам, ни РД на АС, ни СТР-к не действуют17-й приказ покрывает все вопросы, ранее описанные в этих устаревших документах ФСТЭК. Я бы на месте ФСТЭК завел на своем сайте раздел с FAQ (вопросы и ответы), чтобы публиковать не редкие информационные сообщения, а оперативные разъяснения. Это было бы очень полезно.

В следующей заметке посмотрим на новости по АСУ ТП, сертификации и SDLC.

ЗЫ. Кстати, СТР и СТР-К планируют обновлять. Правда, эта информация циркулирует уже давно и когда свершится сей факт непонятно.

13.02.2014

Защита информации 2030: к чему готовиться уже сейчас?!

Вчера на конференции ФСТЭК "Актуальные вопросы защиты информации" я рассказывал о том, к чему стоит готовиться в области защиты информации в среднесрочной и долгосрочной перспективе. Презентацию выкладываю:



Отдельные моменты требуют пояснения, которые я давал вербально в рамках своей конференции. Касаются они прогнозов РАН и их преломления на тематику ИБ:

  • рост технических характеристик означает необходимость выбора средств защиты (или производителей), способных поддерживать такой рост (например, рост скоростей и т.п.)
  • миниатюризация и снижение стоимости компонентов означает сложность проведения спецпроверок оборудования
  • рост интеллектуальных возможностей техники означает сложность оценки ее соответствия требованиям по ИБ и особенно требованиям на отсутствие недекларированных возможностей
  • быстрая смена стандартов, платформ ИС и сетей потребуют регулярного пересмотра и собственных взглядов на ИБ и применения agile-методологии к регуляторике
  • появление всепроникающих устройств означает уход от "человеко-ориентированной" ИБ в сторону безопасности Всеобъемлщего Интернета
  • развитие новых архитектур и принципов организации вычислений потребует новых технологий их защиты
  • повышение доли freelance в ИТ заставит сменить подходы как в части аккредитации лиц, допущенных к чему бы-то ни было (аудит, разработка, преподавание и т.п.), а также к оценки соответствия разработок фрилансеров
  • смещение центров разработки в страны третьего мира приведет к росту рисков недоверенного ПО и железа и необходимости контролировать происхождение и целостность поступающей ИТ-продукции
  • языки программирования по новым принципам потребует внесения изменения в SDLC-тематику и разработку новых продуктов классов SAST/DAST
  • виртуализация рабочих мест потребует ухода от концепции "контролируемой зоны"
  • интерфейс "человек-машина" заставит начать прорабатывать вопрос ментальных средств защиты, стоящих на границе между человеческим телом и Интернетом
  • краудсорсинг потребует пересмотреть вопросы распространения и управления доступом к информации ограниченного доступа, выложенный на крадусорсинговые площадки
  • внедрение роботов-помощников в повседневную жизнь заставит активизировать разработки в области аппаратной безопасности и отхода от ПК-ориентированной ИБ
  • внедрение систем управления энергетикой, транспортом и трубопроводами заставит активизироваться на поприще ИБ АСУ ТП
  • технологии "умного дома" и цифровизация бытовой техники приведут к консьюмеризации ИБ и появлении целого нового класса средств защиты для домохозяеек
  • автономные необслуживаемые микромощные радиоэлектронные устройства заставят задуматься и о новых методах спецпроверок и о опускании ИБ на уровень микроэлектроники.
Получается примерно так. Разумеется, это все такой экспресс-анализ, но он именно этим и интересен. Он позволяет взглянуть на то, что будет происходить не завтра и не через год-другой, а в пусть и дальней, но все-таки обозримой перспективе, которую мы еще застанем.

12.02.2014

Sophos покупает Cyberoam Technologies

10 февраля Sophos объявила о приобретении индийской Cyberoam Technologies, компании, которая выпускала неизвестные в России UTM-решения. Детали сделки не разглашаются.

11.02.2014

Какие ГОСТы по ИБ/ЗИ у нас появятся в 2014-м году?

Продолжая вчерашнюю тему, хочу поделиться новостями по разработке ГОСТов в области защиты информации и информационной безопасности, которая ведется в рамках ТК 362. В 2014-м году планируется принятие следующих стандартов:

  • Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем
  • Защита информации. Уязвимости информационных систем. Правила описания уязвимостей
  • Защита информации. Уязвимости информационных систем. Содержание и порядок выполнения работ по выявлению и оценке уязвимостей информационных систем
  • Защита информации. Требования по защите информации в информационных системах, построенных с использованием технологии виртуализации. Общие положения
  • Защита информации. Требования по защите информации, обрабатываемой с использованием технологий «облачных вычислений». Общие положения
  • Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения
  • Защита информации. Документация по технической защите информации на объекте информатизации. Общие положения
  • Защита информации. Информационные системы и объекты информатизации. Угрозы безопасности информации. Общие положения
  • Защита информации. Техника защиты информации. Номенклатура показателей качества 
  • Защита информации. Основные термины и определения
Первые 5 должны быть утверждены в мае, шестой - в феврале, 7-й и 8-й - в августе, а 9-й и 10-й - в сентябре этого года.

ЗЫ. Вчера я забыл упомянуть уже не раз упомянутые два документа ЦБ статуса "рекомендации по стандартизации" - РС по менеджменту инцидентов и РС по жизненному циклу банковских приложений.

10.02.2014

О новых проектах стандартов и требований по ИБ

Каждый из фактов пока не тянет на отдельную заметку, поэтому решил объединить их вместе. За последние пару недель на свет появилось сразу несколько документов, которые на ближайшие пару лет установят требования в области своей применимости.

С 1-го января 2014-го года в силу вступил новый руководящий документ ФСТЭК с требованиями к средствам доверенной загрузки. Информационное письмо об этом факте опубликовано 6-го февраля на сайте ФСТЭК. В требованиях выделены следующие типы средств доверенной загрузки:
  • средства доверенной загрузки уровня базовой системы ввода-вывода,
  • средства доверенной загрузки уровня платы расширения,
  • средства доверенной загрузки уровня загрузочной записи.
ЦБ на прошлой неделе выложил для обсуждения на ТК122 проект рекомендаций Банка России в области стандартизации по ресурсному обеспечению информационной безопасности. Цель документа - показать методы обоснования выделения финансовых и человеческих ресурсов на обеспечение ИБ в банках. Документ пока сыроват на мой взгляд и на практике применим с трудом (в действующей редакции). Возможно в процессе обсуждения его удастся докрутить.

Также ЦБ во второй половине января выложил для обсуждения на ТК122 проект рекомендаций Банка России в области стандартизации по обеспечению информационной безопасности при использовании технологии виртуализации. Надо будет сравнить этот проект с проектом соответствующего ГОСТ, который подготовил ТК362.

В конце января, на заседании ТК122 также были утверждены новые редакции двух хорошо известных стандартов СТО 1.0 (это будет уже пятая версия) и СТО 1.2. В СТО 1.0 внесли ряд изменений, в т.ч. и в части последних поправок в законодательстве по персональным данным. Из интересных новаций - признание угроз 1-го и 2-го типа неактуальными. Более подробно я этот стандарт в контексте темы ПДн рассмотрю позже - там есть ряд интересных, а местами и спорных моментов.

Ну и наконец, как и написано в плане нормотворческой деятельности ФСТЭК на 2014-й год, подготовлен проект требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, который скоро будет представлен заинтересованным лицам.

Я думаю, что по документам ФСТЭК информацию можно будет получить из первых рук на конференции "Актуальные вопросы защиты информации", которую проводит регулятор в эту среду, 12-го февраля. А информацию по документам Банка России можно будет получить в Магнитогорске.

07.02.2014

Информационная безопасность Сочи: противостояние

Сегодня открываются зимние Олимпийские игры в Сочи. Знаковое событие для России. Для кого-то Сочи стало символов колоссального распила наших с вами денег, для кого-то возможность приобщиться к такому событию, которое может тебя коснуться единственный раз в жизни. Оценки разные. Соглашусь с Акуниным, что надо разделять отношение к действующей власти и отношение к спортивному празднику. Но поговорить я хотел об информационной безопасности Сочи, которая сейчас приковывает всеобщее внимание и уже пошли первые события.

Вчера журналисты NBC News опубликовали репортаж, как их взломали в кафе в Сочи через пару минут после выхода в Интернет (на русском и в оригинале). Никого не волнует, что это было явно спровоцированное мероприятие, специально затеянное, чтобы показать, что хакеры не спят и только и ждут, чтобы атаковать беззащитных иностранцев. Эту новость быстро перепечатали СМИ многих стран, не исключая и Россию, преподнеся это как заговор России против всего мира. Дошло даже до того, что в новостях стали сопровождать эту новость заголовком "Все посетители Олимпиады в Сочи немедленно взламываются". Специалистам смешно, СМИ смакуют, а у рядовых граждан из-за зарубежа формируется вполне конкретный имидж России.

То, что в Сочи могут и будут ломать посетителей и участников, было очевидно еще задолго до мероприятия. Атаками сопровождаются все крупные мероприятия, а уж международного масштаба тем более. Я на ИнфоБЕРЕГе в Сочи этим летом делал доклад на тему ИБ прошедших Олимпиад и приводил некоторые цифры. Были и явные угрозы, например, со стороны Anonymous Caucasus. То, что в организации ИБ в Сочи (не частных кафешек, а инфраструктуры) не все гладко тоже известно. То что в данный момент идут атаки со всего мира на ИТ-инфраструктуру Сочи тоже можно быть уверенным. Но зачем же откровенно врать и преувеличивать ситуацию?

Никаких серьезных публичных взломов еще не было. Даже якобы взлом журналистов NBC оказался уткой - они и в Сочи-то не были, а сидели в кафе в Москве. Роберт Грэм уже разоблачил этих специалистов по информационной безопасности. То, что взломов не будет, я не могу предсказать. Силы на защиту и информационных границ в том числе брошены немалые. Возможно, все и обойдется; в Универсиаде же обошлось. Поэтому я хочу просто посоветовать всем, кто планирует писать на эту тему и пересказывать иностранные источники 10 раз подумать, взвесить, а главное перепроверить представленные "факты". Может оказаться так, что это все звенья в цепочке информационной войны, развернутой против России. У нас, конечно, не все идеально, но и выискивать несуществующее грязное белье не стоит, высасывая из пальца "сенсации", которые мгновенно будут растиражированы по всему миру. Вот немного заголовков после "откровений" NBC - NBC: All Visitors to Sochi Olympics Immediately Hacked, Hacked Within Minutes: Sochi Visitors Face Internet Minefield, Hacked in Sochi in minutes: Russian cyberspace full of risks, NBC: Visitors to Sochi Olympics Can Expect to Be Hacked, Visitors to Sochi Olympics Will Be Instantly Hacked...

Информационная война будет только усиливаться. Сегодня еще один яркий пример - скандал вокруг утечки телефонных переговоров помощницы Госсекретаря США Нунанд и американским послом в Украине. Якобы этот разговор был перехвачен "русскими". Доказательств нет, но пропагандисткая машина уже запущена. Завтра еще что-нибудь придумают. Например, что во время открытия Олимпиады под трибунами замочили геев и лесбиянок, пытавшихся прорваться на арену. Потом на границе с Абхазией найдут могильники с гастарбайтерами, строившими олимпийские объекты. Потом боевые пловцы русского спецназа атакуют американские авианосцы, стоящие у берегов Сочи для защиты американских граждан. Потом какого-нибудь журналиста местные копы изобьют дубинками. Чем "жаренее" факт, тем быстрее его растиражируют.

На самом деле я не жду, что кто-то прислушается и начнет перепроверять все новости в Инет - нажать "ретвит", "репост", "поделиться" гораздо проще. Просто специалистам стоит думать прежде чем делать какие-то, особенно далеко идущие выводы на основе сфальсифицированной информации. Не случайно американцы еще 4 года назад в числе приоритетных исследований по ИБ назвали тему происхождения информации. В условиях непрекращающейся информационной войны этот вопрос будет становиться все острее!!!