30.06.2014

Как объединить отрасль ИБ?!

Не часто публикую чужие презентации, но тут делаю исключение. Эта презентация закрывала сессию "Россия защищенная" и, по сути, аккумулировала все ранее сказанное. Можно сказать, что это декларация нашей сессии :-)



Как в культурной столице говорили про культуру ИБ

На прошлой неделе я (вместе с Рустемом Хайретдиновым) модерировал секцию по информационной безопасности на питерском форуме "ИТ-Диалог 2014", организованном Комитетом по информатизации и связи Санкт-Петербруга и журналом IT Manager (за что им огромное спасибо). Ну а поскольку мероприятие получилось очень интересным, то и рассказать про него надо отдельно.

И дело тут не столько в месте проведения и культурной программе. Они были на высоте. Не каждый день удается ночевать в президентском номере (весь комплекс готовился к встрече президентов G20), а ужинать в Константиновском дворце, находящиеся под охраной ФСО :-)


Интерес представляла именно деловая программа секции "Россия защищенная", на которой были представлены доклады и от регуляторов (ФСТЭК и Роскомнадзор), и от государственных органов, которые делились своими наболевшими вопросами и опытом их решения. Началась секция с выступления местного Роскомнадзора (Дмитрий Иванов). Хоть и без презентации, но живенько были описаны типовые ошибки, допускаемые государевыми операторами ПДн в СЗФО:

  • Неназначение лица, ответственного за обработку ПДн
  • Отсутствие внутреннего контроля за порядком обработки ПДн
  • Нет типовых форм согласия на обработку ПДн
  • Не утвержден список должностей, допущенных к обработке ПДн
  • Не утвержден порядка доступа в помещения, в которых ведется обработка ПДн
  • Не утверждена политика в отношении обработки ПДн
  • После последнего уведомления РКН внесены изменения в обработку ПДн, о которых не послано повторное уведомление.
При этом соотношение обращений граждан в отношении нарушения их прав субъектов ПДн не в пользу коммерческих компаний - против них было 917 обращений в 2013-2014-м году, а против госорганов всего 7. Соответственно нарушений у коммерсантов было за этот период найдено 200, а у госов - 14. Предписаний соответственно 32 и 3.

Вторым выступал представитель ФСТЭК (Михаил Щитников). Он очень неплохо описал 17-й приказ, используя также неплохую презентацию. Наиболее интересно, на мой взгляд, было послушать его в отношении ряда возникающих вопросов. Что такое ГИС? Является ли ИС бухгалтерии ГИС? Попадают ли бюджетные учреждения или ФГУПы под действие 17-го приказа и под контроль ФСТЭК? 



Очень интересным было выступление Сергея Кучина, министра ИТ и связи Нижегородской области. Сергей, непонаслышке сталкивающийся с требованиями различных регуляторов и пытающийся увязать из с необходимостью внедрения современных ИТ, поднимал непростые вопросы. Например, как импортозамещение влияет на обязательства России, вступившей в ВТО? Хочу отметить, что этот вопрос вообще никогда до Сергея не поднимал на моей памяти. А ведь он очень непрост. Ведь запрет закупки иностранных технологий противоречит требованиям ВТО. Другой вопрос был более традиционен, но не менее важен - квалификация специалистов по ИБ и их достаточно число. Зарплаты государственных служащих не могут конкурировать с коммерческими организациями и надо что-то делать. В качестве варианта Сергей предложил ввести специальный коэффициент для расчета зарплаты. Правда, сами госорганы на это идут с трудом и нужна внешняя рекомендация. Идеально, если бы ФСТЭК могла такую рекомендацию подготовить - она бы помогла многим государственным и муниципальным специалистам по ИБ.

Еще одним вариантом решения кадрового вопроса могли бы стать обучающие курсы. Причем как онлайн (и тут ФСТЭК могла бы стать инициатором подготовки таких курсов, которые могли бы давать базу для профильных и непрофильных специалистов), так и очные. Мне очень понравилась инициатива Правительства Хабаровского края, которое с помощью АИС провело глубокое обучение своих специалистов по широкому кругу вопросов, связанных с ИБ.


Еще один поднятый Сергеем Кучиным вопрос давно известен представителям госорганов, вынужденных применять для своей работы нестыкующиеся между собой СКЗИ разных производителей - для СМЭВ, для внутренного электронного документооборота, для иных задач. И хотя такие продукты как "Континент", Застава, VipNet, С-Терра реализуют один и тот же алгоритм шифрования, единого протокола, который бы позволил им взаимодействовать друг с другом, они не используют. А значит госорганам приходится ставить такие железки в ряд, тратя бюджетные средства на ненужные танцы с бубном, в попытке заставить работать отечественные СКЗИ вместе.


Также мне запомнились выступления Андрея Лихолетова (Санкт-Петербург) и Дмитрия Едомского (Коми), которые, не сговариваясь, подняли очень непростую тему культуры ИБ на государственных предприятиях. Оба представляли именно сторону заказчиков и поэтому их выступления были очень неожиданными. Никакой техники, никаких рассказов о законодательстве... Но может быть оно и закономерно. Все-таки Питер - это культурная столица и где, если не в ней говорить о культуре ИБ.

Задал тон Андрей Лихолетов, который начал с основ формирования культуры ИБ, рассказал о том, что препятствует повышению культуры ИБ и т.п. Особенно интересно, что сейчас Совет Безопасности рассматривает документ по этой же тематике - "Основы государственной политики в области формирования культуры информационной безопасности". Становится очевидно, что только техническими мерами (да еще и преимущественно иностранного происхождения) защищенности государственных ИС не достичь. А в условиях низкой зарплаты и высокой текучки кадров эта задача становится и вовсе неподъемной. Поэтому так важно работать с людьми, снижать вероятность реализации угроз через человеческий фактор, включать рядовых сотрудников в процесс обеспечения ИБ.



Тему продолжил Дмитрий Едомский, который рассказал о том, как в Республике Коми внедряются мероприятия по повышению культуры ИБ. При этом рассказ изобиловал интересными практическими примерами.


Решение возникающих проблем с низким уровнем культуры ИБ обеспечивается на разных уровнях и разными методами - организационными и техническими.


Помимо упомянутых выступлений были также доклады и экспертов - от Microsoft, Positive Technologies, Лаборатории Касперского и Digital Security. Выступал и я, как представитель генерального партнера форума. Рассказывал о том, как иностранные ИТ-компании могут повысить уровень доверия к своей продукции в России (на примере Cisco).



ЗЫ. Завершал сессию Рустем с презентацией о том, как объединить усилия отрасли и всех ее игроков. Ей я посвящу отдельную заметку.

25.06.2014

Персданным россиян хотят сделать только российскую прописку

Депутаты Госдумы Луговой, Деньгин и Ющенко решили вновь проявить заботу о народе и внесли вчера в Госдуму законопроект №553424-6 "О внесении изменений в отдельные законодательные акты Российской Федерации (в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях)", посвященный, как это ни странно, национальной безопасности Российской Федерации.

Суть законопроекта проста до безобразия - персданные россиян должны храниться (а также записываться, систематизироваться, уточняться, накапливаться, извлекаться) только на территории Российской Федерации. Именно такую норму предлагается внести в ст.18 ФЗ-152. Исключений из данного требования всего 4:
  • обработка необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей
  • обработка необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве
  • обработка необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг
  • обработка необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.
Остальные нормы законопроекта уточняют особенности контроля исполнения данной нормы:
  • устанавливается право РКН ограничивать доступ к ПДн, осуществляемой с нарушением законодательства
  • устанавливается обязанность оператора уведомлять РКН  месте хранения ПДн россиян
  • устанавливается порядок ограничения доступа к информации, обрабатываемой с нарушениями законодательства
  • устанавливается необходимость создания реестра нарушителей законодательства о ПДн.
По мнению депутатов бюджетных средств на реализацию данного законопроекта не потребуется. Видимо и реестр сам создастся и вестись он будет сам :-)

Инициатива похвальная, но вот только есть ряд нюансов с ее реализацией. Сразу возникают очевидные вопросы. Попадает ли оформление авиабилетов через систему бронирования SABRE  (Аэрофлот ею пользуется) под 4 исключения? Не уверен. Это коммерческая система и под действие международных договоров или федеральных законов не подпадающая. Также как и бронирование гостиниц, билетов и автомобилей при поездках заграницу, а также при покупке в иностранных Интернет-магазинах. А работа иностранных компаний (или их представительств) в России?.. Она тоже будет сильно осложнена в случае принятия этого законопроекта. Например, в случае с кадровым учетом российских сотрудников в общей HR-системе за рубежом, или при выдаче кредитов представительствами западных банков, или при использовании АБС головного зарубежного банка.

И это именно те случаи, которые не совсем понятно, как реализовывать в случае принятия закона. Есть и другие примеры, на которые, видимо, и направлен законопроект. Интернет-компании, социальные сети и т.п. Если ПДн хранятся здесь, то по суду или в рамках ОРД эти данные можно легко истребовать. Возможно именно в этом кроется смысл данной депутатской инициативы?..

ЗЫ. Обещал сегодня рассказать про разработчиков, но появление этого законопроекта внесло коррективы в мои планы. Напишу про разработчиков уже завтра.

24.06.2014

Об этике пентестера/ИБ-аудитора

Нахожусь в культурной столице нашей необъятной Родины. Общаюсь с коллегами, друзьями, заказчиками... И вот один из заказчиков поднимает интересную тему, можно даже сказать философскую. Про этику пентестера. А навеяно это было нехорошей ситуацией. Известная питерская фирма, занимающаяся аудитом, провела пентест инфраструктуры заказчика, включая и его Web-сайт, предназначенный для электронной коммерции. Как водится по результатам был выдан отчет, что все чисто, никаких серьезных не обнаружено, спите спокойно. И вот спустя несколько дней после сдачи отчета в Интернете публикуется информация об уязвимости Heartbleed, существовавшей много лет и только недавно ставшей достоянием гласности. Банальная проверка Web-сайта, использующего OpenSSL, показывает, что дыра в нем присутствует в полный рост. Как ни странно, в сданном питерским пентестером отчете, о дыре ни слова. Вот на этом фоне и возникла у нас непростая дискуссия об аудите, об этике, о распальцованных аудиторах, о состоянии отрасли...

Мне иногда удается посмотреть различные отчеты о результатах пентестов у разных заказчиков. В том числе и проверке Web-сайтов, порталов и т.п. решений. Нигде я не помню упоминаний Heartbleed. Отсюда закономерный вопрос или даже несколько. В последнее время некоторые уязвимости, присутствовавшие в софте много лет, получили скандальную известность (Heartbleed, Cupid и т.п.). Почему они не обнаруживаются в результате пентеста? Если пентестер так крут, как он себя считает, то почему он не нашел дыру? Или он просто обычный сканер, ищущий только известные уязвимости, запускает?

Заказчику я посоветовал при очередной встрече с питерским ИБ-аудитором задать несколько вопросов:
  • В скольких ваших отчетах, составленных до широкого обнародования, вы информировали заказчиков об этих критически важных уязвимостях? Маркетинговые службы аудиторских/пентестерских компаний работают хорошо и регулярно публикуют отчеты об очередном ИБ-апокалипсисе, мобильной угрозе и т.п. Почему в отчетах про безопасность ДБО, Web-сайтов и т.п. про Heartbleed ни слова?
  • Если вы не находили ни разу Heartbleed, то это потому что вы не анализировали системы с SSL? А как можно анализировать Web-сайт с SSL и обойти ее вниманием?
  • Или вы умалчивали о найденной уязвимости? А может вам кто-то приказал молчать о ней?
  • Или вы не придали этой дыре значения?
  • А может вы просто не знали про нее и не смогли ее обнаружить?
Допустим что аудитор, несмотря на звание "№1 в аудите безопасности", в не способен был обнаружить Heartbleed. Ну бывает, никто не идеален. Но где гарантия, что злоумышленники тоже не знали об этой уязвимости и не воспользовались ею?

И вот тут мы и вступаем на путь обсуждения этики аудита ИБ. Аудитор дал заключение, что у заказчика все чисто (на момент аудита) и нет проблем с ИБ. А потом оказывается, что на момент пентеста у клиента была серьезная дыра, ставшая публичной уже после подписания акта сдачи-приемки работ. И в каком положении находится аудитор? Является ли он дезыинформатором или нет? Должен ли он признать свою некомпетентность или халатность или несовершенство? А не должен ли он за свой счет провести повторный аудит? А где гарантия, что при повторном аудите он что-то найдет (люди те же, подходы те же, инструменты те же)? Ох, непростые вопросы подняты были на встрече с заказчиком. Но и они еще не конец беседы.

В конечном итоге, мы вновь возвращаемся к исходному вопросу, который нередко задается на разных мероприятиях и на разных Интернет-ресурсах, но так и не получает ответа. Что такое аудит или пентест? В чем сухой остаток от его проведения? Остановитесь на мгновение и попробуйте ответить себе на этот вопрос.

Отличается ли понимание "аудита" заказчика и исполнителя? Может быть для исполнителя это просто показ потенциального пути взлома? Или демонстрация своей крутизны (смотрите, я крутой, я взломал мобильный банкинг)? Или это единственное, что исполнитель может делать? Кстати, именно поэтому я не люблю "хакерские конференции". При всем интересе к тому, что там показывается и рассказывается, они однобоки, т.к. эксплуатируют только одну сторону - демонстрируют проблемы, но не ее решение (на это либо времени не остается, либо "хакер" просто не знает, как бороться с тем, что он накопал). Многие аудиторы/пентестеры живут по тому же принципу. Это как модель угроз, которая не содержит описания мер, нейтрализующих актуальные угрозы. Кому нужна такая модель? Но вернемся к этике аудита.

Если специалисты пентестерской компании не смогли найти имеющуюся дыру или взломать систему, о чем это говорит? Если аудитор выдал положительное заключение, а на завтра заказчика взломали и при этом конфигурации не менялись, ПО не обновлялось,  соцальный инжиниринг не применялся, то чем отвечает пентестер?

Не пора ли вводить профессиональную ответственность аудиторов ИБ? У обычных аудиторов есть свой кодекс профессиональной этики. Может и в нашей отрасли пора такое же вводить? Может пора сдуть пыль с проекта концепции аудита ИБ, разработанного ФСТЭК, дополнив ее немного? Или лучше оставить все как есть? "Безответственный консалтинг", не предполагающий никаких гарантий и никакой ответственности?..

ЗЫ. К разработчикам средств защиты это тоже относится, но там немного иная концепция. Да и подходы по решению этой "этической" проблемы существуют. Про них поговорим завтра.

23.06.2014

DenyAll покупает BeeWare

14 мая европеский игрок по ИБ DenyAll объявил о приобретении другого европеского игрока по ИБ - BeeWare. Обе компании занимаются направлением Web Application Firewall (WAF), а DenyAll еще и Web-доступом и управлением уязвимостями. В России их решения мало известны. Детали и размер сделки не разглашаются.

Вы модератор по ИБ!

Не знаю, случалось ли с вами, что вас пригласили стать модератором какого-либо мероприятия по ИБ? Меня приглашали и не раз. И каждый раз сталкиваешься с одними и теми же вопросами и проблемами. Поэтому решил поделиться некоторым чеклистом о том, что должен делать модератор на мероприятия по информационной безопасности.

Для начала хотел бы описать, что такое модератор, так как роль этого человека сильно меняется в зависимости от ситуации. Мне доводилось быть в следующих:

  • Модератор только ведет мероприятие, следя за временем и представляя выступающих. Самая незавидная роль, на мой взгляд. Хотя и из нее можно извлечь определенную пользу.
  • Модератор участвует в формировании "своей" секции, готовя тему и вопросы, а также ведя мероприятие по первому сценарию.
  • Идеальным выглядит ситуация, когда модератор готовит секцию от и до, включая приглашение спикеров и другие стратегические вопросы. Эта роль достаточно редка, т.к. подразумевает очень тесные взаимоотношения с организаторами (а то и нахождение в штате организаторов). 

В зависимости от роли у вас будут разные возможности и вы будете сталкиваться с разными проблемами, основную часть из которых можно разбить на 5 блоков. Может показаться, что многие из приведенных вопросов не относятся к сфере модерирования. Возможно? Но что лучше, побеспокоиться о них самому или получить потом минус в карму модератора за то, что в зале не работал кондиционер или перед вашей секцией кто-то стащил обещанный организаторами кликер?

1. Первый этап начинается задолго до мероприятия. Обычно он присущ второй и третьей роли модератора. На этом этапе вам надо проверить

  • Наличие цели у вашей секции. Хаотическое движение во время секции тоже бывает интересным, но лучше все-таки, чтобы все спикеры "дули в одну дуду" и их доклады были посвящены одной теме.
  • Понимание целевой аудитории. Потом эту информацию придется доносить до спикеров, которые, исходя из нее, будут готовить свои незабываемые выступления.
  • Понимание общей структуры секции. Основные тезисы, закладываемые в структуру мероприятия, затем будут подкрепляться соответствующими спикерами, способными раскрыть каждый из предварительно определенных тезисов.

2. Незадолго до мероприяти начинается второй блок задач. Он может быть разнесен на несколько этапов (10-8, 6-4, 3, 2 и 1 недели до начала), на каждом из которых вы можете решать свои задачи или уточнять решение задач с предыдущего этапа.

  • Уточнение списка докладчиков. Желательно знать список докладчиков заранее, чтобы не было сюрпризов или неадекватных выступлений. Понимание списка позволит осуществить предварительный контакт с выступающими и обсудить все детали.
  • Контакты спикеров. Обычно e-mail спикеров появляется на первом этапе, при обсуждении общей канвы секции. На данном этапе необходимо достать номера мобильных телефонов докладчиков, чтобы иметь возможность проверить их (докладчиков) наличие перед началом мероприятия. А то бывают сюрпризы, когда докладчик либо опаздывает и не может об этом сообщить модератору и организаторам, либо вообще не может приехать. Был у меня как-то случай, когда я попал в ДТП во время поездки на загородный семинар. Пришлось переносить выступление на 3 часа позже (хорошо, что за городом сложно свалить).
  • Нужно ли спикеру официальное приглашение на мероприятие?
  • Обсудите со спикерами тематику и формат мероприятия, а также их роли и то, что вы от них ждете. Не забудьте им сообщить длительность их выступления.
  • Наличие в секции спонсоров условия их участия. Это очень важный момент. Часто так бывает, что вас ставят перед фактом, что в секции будет выступать спонсор. А как известно, кто девушку ужинает, тот ее и танцует :-) Спонсоры могут плевать на ваш план и тезисы и будут гнать свою рекламу. Ваша задача быть готовым к этому, чтобы либо прервать хвалебный поток себе любимому, либо ввернуть его в нужной русло. 
  • Сбор тезисов. У вас может быть какой угодно план, спикеры могут важно кивать головой и соглашаться с ним, но иметь свое мнение (особенно это присуще "непризнанным гениям" или просто самовлюбленным индивидуумам), что поставит крест на вашей затее. Такой спикер будет тянуть одеяло на себя, чем может сорвать мероприятие или сделать его малопривлекательным. Также будьте готовы к тому, что вам пришлют типовые тезисы или философский абзац "о важности процессного подхода при построении комплексной системы ИБ на современном предприятии", не вдаваясь в подробности, о чем пойдет на самом деле речь. Сейчас в качестве таких типовых тезисов часто используют "откровения Сноудена", правдивость которых никто не проверял, "санкции", с которыми докладчик не сталкивался, "импортозамещение", о котором говорит докладчик, сам использующий все зарубежное, и т.п. Никто не говорит, что это тезисы не могут быть интересными, но только когда в них действительно разбираешься, а не пытаешься подоить модную корову, даже не понимая, где у нее вымя.
  • Сбор презентаций. Даже если присланные вам тезисы шедевральны и способны даже убедить Шнайера в правоте АНБ, следящего за американцами, финальная презентация может отличаться от исходных предпосылок. В конце концов, автор мог хотеть сотворить нечто на основе своих тезисов, но не успеть и прийти на мероприятие со стандартным булшитом про тренды в области угроз, статистику уязвимостей и т.п. Почти ни разу не сталкивался (за редким исключением) с ситуациями, когда презентации присылается заранее - в лучшем случае за неделю, а то и за день до выступления. Сам такой же нарушитель (правда, при 160-190 выступлениях в год сложно что-то готовить заранее).
  • Технические вопросы организаторам. Уточните у организаторов следующие вопросы:
    • Можно ли читать со своего ноутбука? Если да, то будут ли на месте переходники, например, для Mac (я за несколько тысяч выступлений их никогда не видел)? 
    • Кто будет перещелкивать слайды? Да-да. До сих пор нередки ситуации, когда это делает специально обученный человек. Особенно на мероприятиях, где полно свадебных генералов, которые не знают с какой стороны подойти к PowerPoint и им нужен ассистент. Иногда ассистент-"кликер" - единственный вариант для перелистывания слайдов. Готовы ли спикеры к такому поворот событий?
    • Можно ли читать с планшетника? Это недурной ход для мероприятий про мобильную безопасность или BYOD. Но чтение с планшетника - это всегда лотерея - повезет или нет...
    • Какая версия PowerPoint (все-таки это стандарт де-факто) используется на презентационном ноутбуке. Я до сих пор встречаю организаторов, которые используют даже не MS Office 2010, а его более ранние версии. Это может фатально сказаться на презентации с новомодными фишками (переходы, анимация и т.п.). Единственный раз в истории я столкнулся с конференцией, где презентационные ноутбуки были от Apple (это была Yandex Another Conference, YAC). С ними тоже пришлось помучаться (я тогда еще под Виндой делал презентации).
    • Особенности зала и его геометрия. Иногда зал строится из пластиковых перегородок, что делает его малопригодным для нормального выступления; особенно с точки зрения акустики. А иногда в зале стоят колонны, загораживающие докладчика или экран или аудиторию. А иногда зал вытянут и на задних рядах не видно не только презентации, но и пола выступающего. А иногда зал вытянут вдоль и по краям вообще ничего не видно, что делается в центре (особенно если экран один). Все это лучше знать заранее, чтобы побеспокоиться, например, о большем числе микрофонов для слушателей, желающих задать вопросы, или о большем числе экранов для отображения презентаций (если возможно).
    • Будет ли печаться буклет по мероприятию? Если да, то вам понадобится ускориться в части формирования и программы, и тезисов, и получение краткой биографии от докладчиков.
  • Технические вопросы выступающим:
    • Уточните у докладчика, будет ли он выступать с презентацией? В любом случае перешлите всем докладчикам информацию от организаторов или попросите организаторов самостоятельно отправить ее (с копией вам).
    • Уточните, докладчик выступает один или в паре (такое нечасто, но бывает на мероприятиях по ИБ, когда интегратор выступает вместе с заказчиком)?
    • Нужен ли докладчику флипчарт? На больших мероприятиях обычно нет (большинству аудитории не видно, что пишут на флипчарте), но на маленьких это достаточно частое явление.
    • Напомните докладчикам про нежелательность использования нестандартных шрифтов в презентациях.
    • Нужны ли докладчикам звуковые колонки? Это редкость, но иногда бывает, когда докладчик хочет показать какое-то видео. Для многих организаторов это проблема, даже если им заранее про это сказать, а уж в сам день проведения мероприятия и подавно.
    • Предпочитаемые докладчиком микрофоны. Обычно это либо "фаллос" в руке, либо трибунная загогулина, но иногда бывают те, кто любит ходить по сцене и не держать в руках ничего лишнего. Тогда нужна либо "петлица", либо "гарнитура". Врядли организаторы расщедрятся и учтут эти потребности, но вдруг... У меня только один раз спросили этот вопрос - в компании Event Solutions перед DLP Russia.
    • Напомните докладчикам про dress code (если это необходимо).
    • Уточните должности и точные ФИО докладчиков. Иногда может потребоваться и краткая биография для помещения в буклет или на сайт мероприятия.
    • Уточните у докладчиков, все ли в их презентации является публичной информацией? Например, Group-IB регулярно свои выступления предваряет disclaimer'ами о запрете фото- и видеозаписи презентации. Такое же я встречал на выступлениях МВД.
    • Уточните у спикера (если он иногородний) вопросы его трансфера до места проведения мероприятия.
  • Подготовьте список вопросов, которые вы будете задавать докладчикам, если аудитория в зале будет скована в молчаливом нежелании задавать скучному докладчику вопросы или если какой-то из спикеров не придет и вам придется растягивать время между оставшимися участниками. Учитывая наличие предварительно полученных тезисов, а иногда и самих презентаций, вы можете составить список очень острых вопросов и только на них одних "вытянуть" скучное мероприятие.
  • Если на мероприятие предполагается регистрация, то попросите докладчиков зарегистрироваться (возможно указав им отдельную страницу для регистрации выступающих или переслав промо-код для облегченной/бесплатной регистрации).
  • Есть ли у вас резервный план на случай опоздания докладчика или нарушения им изначального плана? Может стоит такой план составить?

3. Перед самым мероприятием у вас почти нет возможности повлиять на то, что будет говориться на нем. Поэтому ваша задача следить за другими вещами:

  • Все ли спикеры на месте? Если кого-то нет, то можете ли вы экстренно заменить его собой или кем-то еще? Можете ли вы поменять докладчиков местами в программе? Не нарушится ли ваш план?
  • Уточните у организаторов возможные изменения в расписании.
  • Есть ли вода на столах? Есть ли микрофоны для спикеров и слушателей? Есть ли кликер для перещелкивания презентаций? Есть ли переходники для тех, кто будет читать со своего ноутбука?
  • Если у вас кто-то из докладчиков выступает в паре, то побеспокойтесь о двух микрофонах или заранее предупредите докладчиков, что говорить они будут по очереди.
  • Если на секции у вас будут иностранные спикеры, то уточните у организаторов, как будет осуществляться перевод (синхронный или нет) и где взять наушники для него? Если для получения наушников нужно выполнить ряд действий, то пусть об этом объявят ДО начала вашего заседания (и лучше существенно до), чтобы вы не тратили время докладчиков на ожидание стоящих в очереди за "ушами" слушателей. Кстати, членов президиума тоже стоит оснастить наушниками, так как часто либо они, либо им задают вопросы на иностранной мове и случается конфуз, когда член президиума хлопает глазами, силясь понять, о чем его спрашивает иностранец, считающий, что в России все говорят по английски :-)
  • Проверьте, что презентации с ноутбука нормально отображаются. Если кому-то нужно отображение видео или звука, то лучше этот вопрос обсудить не во время выступления.
  • Запишите экстренный контакт с организаторами на случай каких-либо проблем.
  • Есть ли у вас список докладчиков с указанием их регалий или интересных фактов, с ними связанных (если надо), и названий их выступлений?
  • Готовы ли таблички с именами докладчиков (при необходимости)?
  • Если какие-то докладчики не прислали вам презентации заранее, то самое время их получить от них на флешке (есть ли у вас пустая флешка) или попросить их прибыть заранее, чтобы успеть переписать презентации. Кстати, о флешках. Нередко на приносимых флешках либо есть вирусы, либо стоит специальный софт, вытягивающий кучу информации с компьютера, в который она вставлена. Потом вас же могут привести в пример (разумеется, неудачный) "ИБ-разводки".
  • Работает ли кондиционер?
  • Уточните у организаторов, будет ли вестись запись выступлений (на видео и, особенно аудио). От этого зависит, надо ли вам всегда будет пользоваться микрофоном или можно в отдельных случаях обойтись без него. Я лично не люблю микрофоны - при моем голосе и нормальной акустике меня слышно в залах до 200-х человек, но если идет синхронный перевод или просто запись выступлений, то микрофон просто обязателен.
  • Проверьте на презентационном компьютере наличие антивируса (чтобы у него не было просроченной даты, которая приводит к выскакиванию на экране предупреждения о недействительности ПО в самый разгар выступления), скринсейверов (которые могут заблокировать экран) и других аналогичных приложений-сюрпризов. Меня лично раздражает, когда антивирус на презентационном ноутбуке ругается, что он устарел. На ИБ-мероприятиях это как-то странно выглядит. А еще у меня на личном компе стоит софт, который каждые 45 минут гасит экран с предваряющей надписью, что мне надо отдохнуть 5 минут. Во время презентации это тоже может мешать.


4. В процессе мероприятия чеклист не сильно помогает, но запомнить ключевые вопросы стоит:
  • Представьтесь!
  • Задайте тон всего мероприятия, указав чему оно посвящено и есть ли у мероприятия какая-либо цель? Лучше сразу расставить все точки над i, чтобы слушатели понимали, что они получат на вашей секции.
  • Попросите слушателей отключить звук на их мобильных телефонах.
  • Не забудьте представлять докладчиков перед их выступлением и благодарить после.
  • Если в докладе приводится непубличная информация (вам про это на 3-м этапе должны были сказать), то сообщите об этом слушателям и попросите их отключить фото- и видеоаппаратуру.
  • Сразу оговорите правила игры - сколько времени выделяется на доклад и секцию вопросов и ответов. В какой момент можно будет задавать вопросы (во время доклада, после него, в конце всей секции)? Где находятся микрофоны для слушателей? Принимаете ли вы записки с вопросами? Сообщите слушателям, где можно будет получить презентации и (или) контакты докладчиков.
  • Если организаторы предоставляют Wi-Fi, то сообщите об этом радостном событии слушателям (или не сообщайте, если не хотите, чтобы они торчали во время выступлений на Facebook).
  • Если вы получили вопрос из зала на бумажке или вопрошавший задает его очень тихо, то повторите вопрос, чтобы его услышали все.
  • Не позволяйте кому-то одному (слушателю или спикеру) монополизировать секцию вопросов и ответов. Хорошо когда кто-то может задать много вопросов или давать ответы на любой вопрос, но лучше дать слово всем. 
  • Если после вашей секции будет кофе-брейк, обед или просто перерыв, то расскажите участникам мероприятия, где они будут проходить и что можно делать в свободное время (посетить выставку при мероприятии, пообщаться с докладчиками, которые могут покинуть вашу секцию сразу после ее окончания и т.п.).
  • Если вы ждете от слушателей какой-то реакции, то лучше это озвучить либо до начала (например, по поводу анкет), либо сразу после всех выступлений.
  • Следите за временем и жестко пресекайте желающих съесть чужое время. Это бывает сложно, особенно в отношении спонсоров, регуляторов и свадебных генералов (высокопоставленных спикеров, которых приглашают из-за имени, а не того, что они могут рассказать).
  • Следите за рекламой - ее пресекать надо еще жестче, чем нарушителей временного регламента.
  • Пресекайте пикировки и конфликты в зале (между спикерами, между слушателями, между обеими сторонами).
  • Не забудьте подвести итоги!


5. Время после мероприятия не такое уж и бесполезное - оно позволяет выправить какие-то ляпы во время мероприятия или закрепить полученный успех.

  • Заберите у докладчиков презентации и уточните, можно ли их выкладывать для слушателей? Если да, то в каком формате - PPT или нужна конвертация в PDF?
  • Поблагодарите всех участников после мероприятия отдельным письмом.
  • Проконтролируйте выкладывание материалов на сайт организаторов мероприятия.
  • Спросите у докладчиков, что им понравилось, а что нет. Тоже самое сделайте с организаторами и слушателями. Извлеките уроки. 

ЗЫ. Поговорите с организаторами, чтобы они следили за тем, чтобы на первом ряду перед выступающими и президиумом не сажали слушательниц в коротких юбках. Такое, конечно, редкость в нашей профессии, но бывает. Короткая юбка может отвлекать неопытного докладчика от темы своего выступления, которое будет скомканным и незапоминающимся (в отличие от глубины разреза).

ЗЗЫ. И самое главное. С какими бы идиотами вам не приходилось общаться, помните, что вы модератор, а значит должны уметь сдерживать свои порывы. Не всегда, правда, это получается, но попытаться стоит. Спорить - себе дороже. Если человек, который, так уж не повезло, попал к вам в секцию и убрать его не удается, не мешайте ему - пусть позорится сам.

19.06.2014

Модель угроз: от статической к динамической

Вернусь к теме, поднятой почти 5 лет назад, - к тому, что должна содержать модель угроз. Описанные в заметке ГОСТы очень неплохо отвечают на этот вопрос, но... Есть одно "но". Составленная таким образом модель угроз нужна и важна, но она высокоуровнева и описывает скорее плоскую модель того, что может угрожать компании. В упрощенном виде такая модель представляет собой перечень возможных угроз (с некоторой дополнительной информацией).

В таком виде модель угроз очень похожа на список конфиденциальной информации. Список нужный, но на практике работать с ним сложно - он не конкретен в конкретной организации :-) Допустим, в модели угроз упомянуто использование уязвимостей. Каких? Где? На каких узлах? А если у меня стоит IPS, препятствующая их использованию?

И вот тут возникает необходимость в динамической модели угроз, которая создается не один раз и потом не меняется годами, а пересматривается по мере изменения ситуации с защищенностью организации. В ручном режиме это, к сожалению, делать не получается. По крайней мере в средней и крупной сети с ее изменчивой инфраструктурой и постоянно появляющимися и устраняющимися уязвимостями, которые постоянно меняют ландшафт низкоуровневых угроз. Посмотрим на пример. Мы видим результат анализа защищенности демилитаризованной зоны, визуализируемый на карте сети. Красным отображается вектора возможных атак.


Но такую картинку можно нарисовать и руками, используя схематическое изображение сети в Visio и данные от сканера уязвимостей. Гораздо интереснее отрисовать не просто одношаговую схему использования дыр, а увидеть весь потенциальный путь движения злоумышленника - от одного уязвимого узла к другому и так до финальной цели. Очевидно, что при большом количестве узлов в сети число возможных путей проникновения (путей реализации угроз) становится неподвластным "ручному" анализу. Нужна система автоматизации. На иллюстрации ниже показан именно такой пример, когда мы видим маршруты возможного движения злоумышленника в части реализации угрозы. 


Согласно данной картине, отражающей реальную ситуацию (определение канала реализации угрозы осуществляется путем анализа правил на сетевом оборудовании и межсетевых экранах и их сопоставлении с информацией об уязвимостях), у нас всего один способ попасть из ДМЗ во внутреннюю сеть. Перекрыв его, мы снижаем число угроз, актуальных извне (угрозы изнутри по-прежнему могут быть актуальными).


В идеале, наша задача увидеть вот такую картину:


Но тут встает другая проблема. Сеть меняется очень активно. Бизнесу может потребоваться запустить новый сервис, открыть какие-то порты или разрешить протоколы на сетевом оборудовании или межсетевом экране. Мы должны заранее оценить, как изменится модель угроз в этом случае. Выглядеть это может так (опять без средства автоматизации не обойтись):


Результат, отображенный в нижней части данного снимка экрана, можно визуализировать и в виде потенциальных каналов реализации угрозы:


Эта модель угроз отличается от первоначально упомянутой - она динамическая и низкоуровневая. С ней работать гораздо эффективнее - она показывает реальные угрозы, для которых можно предложить вполне конкретные меры нейтрализации. Но это еще не все.

Ниже другой пример - моделирование угроз пост-фактум. В данном примере мы отслеживаем попадание угрозы внутрь сети и пытаемся проанализировать, какие узлы у нас попали "под раздачу"?


Более детально выглядит это следующим образом. На скриншоте мы видим, какой узел пострадал от низкоуровневой угрозы первым (и в какое время), кто и когда стал вторым в цепочке, третьим и так далее. Иными словами, мы можем отследить распространение угрозы по сети предприятия и своевременно локализовать ее, не давая превратиться в эпидемию.


Это уже по сути третий уровень модели угроз, также динамической, но опирающейся на информацию о том, что происходило совсем недавно. Такая информация позволяет сделать модель угроз более приземленной, а меры защиты более адекватными реальной ситуации, а не высосанными из пальца или только взятыми из документов регуляторов.

Правда на практике модель угроз обычно ограничивается только первым уровнем - простым перечнем угроз, который нередко делается "для галочки" или при построении системы защиты. Динамические модели угроз не так развиты. Отчасти из-за консервативного отношения к этому процессу, отчасти из-за отсутствия достаточного количества доступных средств автоматизации этого процесса. Кстати, о средствах автоматизации. Последние два скриншота принадлежат системе Cisco Advanced Malware Protection и ее функциональности File Trajectory, а первые шесть снимков экрана сняты с системы RedSeal.

18.06.2014

Целенаправленные угрозы: апокалипсис грядущий или наставший?

Вчера вышел 6-й номер журнала !БДИ, который полностью посвящен теме целенаправленных угроз (APT) и их росту. Не остался в стороне и я, написав вводную статью по данной теме. Незадолго до выхода журнала, ассоциация BISA провела отдельное мероприятие, целиком посвященное данной теме, где меня также попросили сделать вступление в тему, что я и сделал. Презентацию выкладываю.



Надо признаться, тема модная, но по сути ничего нового в ней нет. Те же атаки, только многовекторные. Те же жертвы, только сфокусированные. Те же злоумышленники, только желающие остаться как можно дольше необнаруженными. Никаких особых отличий от обычных атак у APT нет. Но вот методы борьбы с ними меняются - ни одно отдельное средство защиты неспособно побороться с этой проблемой. Нужен комплекс мер - выстроенные процессы, набор технологий и решений, обученный персонал. Только в этом случае можно говорить хоть о какой-то системе борьбы с APT.

17.06.2014

Защита облаков в условиях комбинирования частных и публичных облачных инфраструктур

На IT & Security Forum в Казани выступал с темой "Защита облаков в условиях комбинирования частных и публичных облачных инфраструктур". Выкладываю презентацию.



16.06.2014

Как соотносятся приказы ФСТЭК по КСИИ и АСУ ТП?

5-6 июня на IT & Security Forum в Казани выступал с 4-мя презентациями, в одной из которых сопоставлял приказы ФСТЭК по защите информации в ключевых системах информационной инфраструктуры (КСИИ) 2007-го года и по защите информации в автоматизированных системах управления технологическими процессами (АСУ ТП) 2014-го года. Презентацию выкладываю.



Сама тема более чем непростая, так как понятия КСИИ и АСУ ТП нетождественны и у многих возникает вопрос - как защищать системы, которые не относятся к классу АСУ ТП? Понятно, что презентация ответа на этот вопрос не дает; его может дать только ФСТЭК. Но по крайней мере становятся понятны ключевые различия между двумя приказами, которые разделяет 7 лет.

11.06.2014

Cloudera покупает Gazzang

Компания Cloudera анонсировала 3-го июня приобретение компании Gazzang, специализирующейся на вопросах безопасности больших данных. Детали сделки не раскрываются!

Какие виды информационных систем бывают в России?

Делал тут презентацию о том, какие виды информационных систем бывают в РФ - ИСПДн, ИСИОД, ГИС, МИС, ИСОП, КСИИ, АСУ ТП и т.п. Вот выкладываю. Ответов в ней нет - просто компиляция известных фактов. Но может кому полезно будет.



10.06.2014

Впечатления от IT & Security Forum

На прошлой неделе, 5-7 июня, в Казани прошел IT & Security Forum, мероприятие, к которому мне сложно придраться. Да, такое тоже бывает :-) Тот нечастый случай, когда я могу сказать, что мероприятие по безопасности прошло в полном соответствии с моими ожиданиями, как с точки зрения контента или культурной программы, так и с точки зрения организации.


И это несмотря на то, что мероприятие масштабное даже по московским меркам - 540 заказчиков, 80 партнеров и 120 представителей организатора - компании ICL КПО ВС. Кстати, последний показатель явно демонстрирует отношение ICL и к теме ИТ и ИБ, и к самому мероприятию. Где вы еще видели, что 120 человек от организатора участвовало в конференции и опекало участников? Я такого не помню. Хорошо, если на мероприятии присутствует 5-7 человек... А тут целых 120. Впечатляет, если честно. Отсюда и очевидная отдача от мероприятия.


За последнее время я обратил внимание, что мероприятие "делают мелочи", из которых и складывается общее впечатление. В случае с IT & Security Forum таких интересных мелочей было немало. Например, брендированные стаканчики для воды и соков. Или постоянные "печенюшки" на столах в демозоне и зоне кофе-брейков. Обычно ведь как бывает? Закуски выставляются только во время перерывов. Тут же эти закуски были выставлены весь день, что позволяло не толпиться в перерывах в надежде урвать что-то сладкое, а неспеша насладиться общением с коллегами, не думая, что тебе чего-то не хватит - бутерброда, кофе или сока.


Кстати, о еде. Кормили "на убой". Вот пример закуски перед горячим, которое подавали во время вечернего приема, на котором играла группа "Несчастный случай". Культурная программа в этот раз вообще была выше всяких похвал. Помимо "Несчастного случая", отыгравшего 1.5 часа на одном дыхании, были и конкурсы, и певуньи, и танцовщицы, и видео-коллажи из жизни мероприятия. Было прикольно и 5 часов культурной программы пролетели незаметно.


Кстати, IT & Security Forum, одно из немного мероприятий, которое я посещаю одновременно с надежной и опасениями :-) Дело в том, что оно попадает на мой день рождения и организаторы (спасибо Ксении Халиловой и Айдару Гузаирову) постоянно что-то придумывают. То поздравление от имени Чайфа со сцены, то красные пролетарские трусы, то набор из 20+ шляп... В этот раз был портрет в стиле Энди Уорхолла :-)


Но вернемся к "мелочам". Еще одной фишкой стал трансфер, организуемый Светланой Благодаровой. И тоже не к чему придраться. СМСкой тебя предупреждают, кто и на чем тебя встретит в аэропорту. В день возвращения также приходит СМСка с информацией о времени и месте отправления транспорта в аэропорт. Не надо думать, как добраться до места проведения мероприятия и гостиницы - все уже решено и организовано. Светлана, спасибо!

Отдельно стоит отметить демо-зону. Тоже очень достойно. Причем это не просто столики с раздаткой (хотя и они встречались), но полноценные демонстрации живых продуктов. Было что посмотреть. При этом на каждом стенде присутствовал не только представитель вендора, но и представитель ICL, что позволяло подхватить заказчика и организовать по окончании мероприятия обратную связь.

Но так уж ли не было косяков на IT & Security Forum? Был! Один! Журналисты после пресс-конференции опубликовали текст, который не совсем корректно отражал то, что я сказал. Я обнаружил этот факт уже за полночь. Связался с организаторами и уже спустя полчаса материал был поправлен!!! И это в час ночи! Этот косяк (журналистский, а не организаторский) быстро был исправлен. Я не помню случая, чтобы в час ночи организаторы были готовы решать такие вопросы и не откладывали их на утро.

В целом, могу отметить, что IT & Security Forum приближается к моему идеалу мероприятия по ИБ, которое я уже описывал тут и тут.

05.06.2014

Чеклист для ИБ-стартапера

Последние мероприятия для ИБ-стартапов показали, что им явно не хватает простейшего сценария своих действий, прежде чем заявлять широкой общественности о своей гениальной идее или продукте. Пока стоял в пробке набросал такой экспресс-чеклист :-) Состоит он из трех частей.

Часть I. Вводная

  1. У вас есть идея?
  2. Ваша идея "закрывает" чьи-то потребности?
  3. Вы уверены, что ваша идея "закрывает" чьи-то реальные потребности?
  4. Это вы думаете, что ваша идея "закрывает" чьи-то потребности?
  5. Вы провели опрос целевой аудитории по поводу наличия у них потребности, которую "закрывает" ваша идея?
  6. Целевая аудитория имеет отношение к людям, принимающим решения, или вы опрашивали друга-безопасника, который занимается настройкой антивирусов и генерацией криптографических ключей?
  7. У вас есть потенциальный заказчик, готовый обкатывать реализацию вашей идеи на себе?
Часть II. Если ваша идея реально кому-то нужна
  1. Вы хотите свою идею "продать" в России или на Западе?
  2. Если вы хотите "продать" свою идею в России, то знакомы ли вы с российским законодательством по информационной безопасности?
  3. Если вы знакомы с российским законодательством по ИБ, то вы действительно хотите продать свою идею в России?
  4.  Если вы продолжаете хотеть продать свою идею в России, то вы изучили требования по получению лицензии ФСТЭК на разработку средств защиты информации?
  5. Ваша идея подразумевает реализацию криптографических механизмов? 
  6. Если ваша идея подразумевает реализацию криптографических механизмов, то вы изучили требования по получению лицензии ФСБ на деятельность в области шифрования?
  7. Вы все еще действительно хотите продать свою идею в России?
  8. Ваша идея завязана на работу с облачными технологиями?
  9. Если ваша идея завязана на работу с облачными технологиями, то вы изучали законодательство о персональных данных и требования ФСТЭК и ФСБ применительно к трансграничной передаче конфиденциальной информации?
  10. Вы все еще действительно хотите продать свою идею в России?

    Часть III. Если вы от идеи уже перешли к продукту

    1. Вернитесь к части I и ответьте еще раз на вопросы 2-7, заменив слово "идея" на слово "продукт".
    2. Вы можете показать свои преимущества, а не недостатки конкурентов?
    3. Реально можете?
    Если вы дошли до конца этого опросника, то дерзайте! У вас есть все шансы на успех!

    04.06.2014

    Atos покупает Bull

    Известная по результатам Олимпиады компания Atos, которая является генподрядчиком по ИТ и ИБ Олимпийского комитета, объявила 26 мая о намерении приобрести европейскую компанию Bull, являющуюся одним из лидеров европейсокго рынка облачных вычислений, кибербезопасности и больших данных. Сумма сделки составляет около 620 миллионов евро.

    О ментальности русской души в контексте информационной безопасности

    Выкладываю нашумевшую в социальных сетях презентацию :-) Предыстория ее появления проста. В пять утра (я был в Хабаровске в это время, а это 7 часов разницы с Москвой) мне позвонили из АИС и попросили срочно придумать название для доклада на конференции Высшей школы экономики по управлению ИБ. В пять утра, да еще и при наличии джетлэга, придумать что-то адекватное было сложно. Поэтому в голову пришла мысль про русскую ментальность и загадочную русскую душу, которая не приемлет западных практик управления ИБ. Сказано сделано - организаторы включают название в программу и мне приходится готовить явно дискуссионный и местами провокационный доклад.



    Сразу надо сказать, что изложенные в докладе мысли и идеи могут вызвать вопросы, отторжение, задумчивость, ярость, неприятие... Да все, что угодно они могут вызвать. Главное, что она (и мне это сказано было неоднократно разными слушателями) заставляет задуматься о влиянии нетехнических вопросов на то, чем мы занимаемся в повседневной жизни ИБ. А это самое главное, чего может достичь презентация - заставить задуматься!

    03.06.2014

    Как строить ИБ между аттестациями или что такое CDM?

    Не секрет, что у нас во многих государственных и муниципальных учреждениях информационная безопасность живет волнами - от аттестации до аттестации. Сначала мы строим систему защиты (например, по 17-му приказу), потом проводим ее аттестацию и... забываем на некоторое время. Средства защиты работают, что-то ловят, обновляются, но полноценного непрерывного мониторинга состояния защищенности государственных и муниципальных информационных систем не происходит. Отчасти по причине нехватки кадров и финансирования, отчасти из-за исторической направленности ФСТЭК только на выстраивание защитной стены без дальнейшего отслеживания ее состояния.

    Необходима новая модель обеспечения безопасности, которая позволила бы выстраивать трехуровневую систему ИБ - до появления атаки на границе защищемого объекта, в процессе ее реализации и уже после компрометации. Учитывая изменение ландшафта угроз и появление целенаправленных (APT) атак, эта задача становится все более насущной и необходимой. Но... если коммерческое предприятие в состоянии эту модель у себя реализовать, то с государственными учреждениями все не так просто. Им нужна помощь.

    Понимая это, в США недавно стартовала новая программа под названием CDM (Continuous Diagnostics and Mitigation), которая и отличается тем, что позволяет обеспечить непрерывный мониторинг и нейтрализацию угроз американским государственным органам. По описанию CDM напоминает российскую систему СОПКА, смотрящим за которой является ФСБ. Но в отличие от СОПКИ CDM лучше описан и базируется на коммерческих решениях, доступных на рынке.

    Программа CDM покрывает 15 областей, разбитых на 3 фазы:

    1. Фаза 1
      • HWAM – Hardware Asset Management - Управление физическими активами
      • SWAM – Software Asset Management - Управление ПО
      • CSM – Configuration Settings Management - Управление конфигурацией
      • VUL – Vulnerability Management - Управление уязвимостями
    2. Фаза 2
      • TRUST –Access Control Management (Trust in People Granted Access) - Управление контролем доступа
      • BEHV – Security-Related Behavior Management - Управление поведением, связанным с ИБ
      • CRED – Credentials and Authentication Management - Управление аутентификацией и учетными записями
      • PRIV – Privileges Boundary Protection (Network, Physical, Virtual) - Управление информационными потоками через различные границы
    3. Фаза 3
      • Управление событиями ИБ
      • Реагирование на события ИБ
      • Аудит и мониторинг
      • Документирование, политики и т.п.
      • Управление качеством 
      • Управление рисками.
    Еси посмотреть на этот список, то мы увидим почти все темы, нашедшие себя в 17-м приказе ФСТЭК. За одной только разницей, для реализации этих блоков предлагаются специальные "сенсоры" (на базе коммерческих решений), которые позволяют не только отображать нужную информацию и ключевые показатели деятельности самим госорганам на специальной панели управления (dashboard), но и передавать ее в облачный центр мониторинга ИБ всеми госорганами (CMaaS), для отслеживания общей ситуации с ИБ в стране и оперативного реагирования на негативные изменения и события. Другим отличием является выбор подрядчиков для реализации CDM. Он уже сделан государством в виде списка аккредитованных компаний.

    Иными словами, государство в лице министерства национальной безопасности (DHS) решило частично взять на себя задачи мониторинга ИБ в госорганах, которые сами не всегда способны реализовать непрерывный процесс ИБ на должном уровне. Пока реализация программы CDM находится в самом начале и пока сложно судить о ее эффективности. Но направление, на мой взгляд, взято верно.

    02.06.2014

    Финальный вариант проекта приказа ФСБ по персональным данным

    ФСБ выложила финальный текст проекта приказа по защите персональных данных, который я критикую уже давно и на мой взгляд не зря. Что же изменилось с момента выхода 43-й редакции? А почти ничего :-( Я обнаружил только два изменения:
    • Требования по безопасности помещений (с опечатыванием, решетками на окнах и т.п.) применяются не к местам, где ведется обработка персональных данных, а к местам, где размещены или хранятся СКЗИ и ключевые документы.
    • Теперь надо разработать еще и правила доступа таких помещений в нештатных ситуациях. 
    Все остальные замечания и претензии к документу остались неучтенными, а жаль :-( 

    СТО 2014: ключевые изменения

    Распоряжениями Банка России от 17 мая 2014 года № Р-399 и № Р-400 вводятся в действие с 1 июня 2014 года:

    • пятая редакция стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (регистрационный номер СТО БР ИББС-1.0-2014)
    • четвертая редакция стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014» (регистрационный номер СТО БР ИББС-1.2-2014)
    • рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности» (регистрационный номер РС БР ИББС-2.5-2014).

    Попутно с 1-го июня отменяются предыдущие версии СТО 1.0 и 1.2, а также РС 2.3 (защита ПДн) и 2.4 (отраслевая модель угроз).

    К сожалению, у Банка России нет привычки выпускать вместе с новыми стандартами документ, описывающий изменения по сравнению с предыдущей версией (такое есть, например, у PCI Council). Поэтому приходится глазами пробегать по двум версиям, чтобы отметить изменения. Посимвольно я не сравнивал, поэтому мой экспресс-анализ не претендует на полноту, но я обратил внимание на следующие изменения:

    • Появилось 4 новых термина.
    • Малость перегрупированы требования разделов, которые раньше входили в состав того или иного пункта, а сейчас выделены отдельно. Это поменяло всю нумерацию, что приводит к необходимости к переделке всех матриц соответствия (mapping), которые делались к предыдущей версии стандарта. Несмертельно, но неприятно.
    • Добавилось требование регулярного пересмотра модели угроз (п.6.12).
    • В список защищаемой попала информация по 382-П (п.7.1.9).
    • Расширен раздел 7.3 по общим требованиям по ИБ АБС на стадиях жизненного цикла. Сама РС по непонятным причинам пока не принята, хотя и была разработана и одобрена на заседании ТК122 в январе 2014-го года.
    • Раздел 7.4 по управлению доступом и регистрацией также претерпел изменения. Уточнен перечень процедур по управлению доступом, которые должны быть определены, выполняться, регистрироваться и контролироваться. Также уточнен список процедур по мониторингу ИБ. Появилось требование регламентации сегментации сетей (включая и среды виртуализации). Уточнен список операций в ДБО, требующих регистрации (по аналогии с 382-П). Введено требование регламентации использования съемных носителей. Появились требования использования защищенных сетевых протоколов (не обязательно с помощью сертицифированных СКЗИ) при выходе за пределы контролируемой зоны.
    • Раздел 7.5 по антивирусной защите пересмотрен незначительно. Гораздо больше по этому вопросу написано в 49-Т.
    • Претерпел изменения, но небольшие, и раздел 7.6 по безопасности Интернет и, особенно, ДБО.
    • Раздел 7.7 по применению СКЗИ остался неизменным - по-прежнему требуется применение СКЗИ класса не ниже КС2 (прощай мобильные устройства). 
    • Раздел 7.8 по ИБ банковских платежных процессов почти не поменялся, а вот раздел 7.9 по ИБ банковских информационных технологических процессов урезали вдвое.
    • Раздел 7.10 с общими требованиями по обработке ПДн привели в соответствие с последней редакцией ФЗ-152. А вот раздел 7.11 по ИБ банковских технологических процессов, в которых обрабатываются ПДн, переработали сильно. Много отсылок на ПП-1119. Угрозы утечки ПДн по техническим каналам, а также угрозы 1-го и 2-го типа признаются неактуальными. Сертифицированные СЗИ не требуются, а если и будут применяться, то в соответствие с приказом ФСТЭК №21. По сути это единственное упоминание этого приказа. На мой взгляд, эта коллизия (все-таки 21-й приказ имеет большую юридическую силу, чем СТО) может быть разрешена (и то частично) только принятием очередной версии "письма шести", разговоры о которой ведутся давно.
    • Разделы 8.1 и 8.2 не менялись, а вот 8.3 по области действия СМИБ претерпел некоторые текстовые изменения (по сути все осталось тем же самым).
    • Из раздела 8.4 почему-то исчезло требование создания и поддержания базы инцидентов (скорее всего потому, что этой теме посвящена отдельная РС 2.5).
    • Остальные разделы 8-й части СТО почти не поменялись, исключая небольшие текстовые правки и изменение нумерации.
    • 9-й раздел расширили, по по сути поменялось мало что. 
    СТО 1.2 по методике оценки соответствия также актуализировали и привели в соответствие с 382-П. В приложении даже есть таблица соответствия частных показателей из СТО и показателей из текущей редакции 382-П. По данному стандарту у меня только два вопроса:
    1. Зачем проводить рекомендательную оценку по СТО, если уже есть обязательная оценка по 382-П? Вопрос задается уже не первый раз, но ответа на него так и нет :-( По сути банк, принявший СТО, должен проводить две оценки соответствия пусть и по схожим, но все-таки различным методиками, и отправлять отчетность в два адреса (ДНПС и ГУБЗИ). При этом аналитических отчетов с анализом результатов (что хорошо и что плохо) так и не появилось.
    2. Что будет, когда ЦБ примет новую редакцию 382-П, которую введут в действие предположительно с 1-го января 2015-го года (плюс/минус)? Разрыв между ней и СТО станет еще больше.
    Последним принятым с 1-го июня документа стали РС 2.5 "Менеджмент инцидентов ИБ", которые описывают высокоуровневые рекомендации по выстраиванию процесса управления инцидентами, кратко упомянутого в 382-П или СТО 1.0. До детально расписанных процедур этим РС еще далеко (тут лучше следовать документам CERT/CC), но как введение в организацию процесса очень даже ничего.

    Если рассматривать новый СТО в отрыве от всей нормативки, что выпускает Банк России в области ИБ, то придраться там почти не к чему. Добротный документ, определяющий передовой опыт в области защиты банковских информационных активов. К нему бы примеров побольше, как например, выпустил недавно NIST - по управлению правами доступа к активам и по управлению активами в финансовых организаций. Но тут вопрос чисто практический - насколько ГУБЗИ уполномочено такие рекомендации выпускать?.. Все-таки объединения всей тематики ИБ под крышей ГУБЗИ так и не произошло, как того хотелось бы. Свои документы по ИБ выпускает не только и не столько ГУБЗИ, сколько ДНПС, являющийся "держателем" 382-П, непонятный мне источник 258-й формы отчетности по инцидентам с платежными картами, г-н Симановский, порадовавший недавно своими письмами 42-Т и 49-Т. На фоне такой активности Банка России, необязательный к применению СТО выглядит специфически :-( У семи нянек дитя без глазу и отсутствие единого координирующего органа по банковской ИБ, который бы проводил единую и согласованную политику, явно не хватает.

    А пока остается только вчитываться в новую редакцию СТО и претворять ее в жизнь.

    ЗЫ. На прошлой неделе в ТК122 прошло заседание, на котором были одобрены еще две РС - по ресурсному обеспечению (с доработками) и по защите технологий виртуализации.