28.12.2017

Список мероприятий по ИБ в России на 2018-й год

И вновь по сложившейся традиции выкладываю список мероприятий по ИБ на следующий год. Включил в него только то, что я нашел в Интернет и чьи планы уже известны и опубликованы. Критерии внесения не менял:

  • известная дата
  • возможность попасть со стороны (пусть и за деньги, но не по приглашениям и закрытым спискам)
  • невендорские
  • достаточно массовые 
  • очные (онлайн/вебинаров в списке нет)
  • только Россия
  • широко известные (про многие региональные мероприятия я просто ничего не знаю)
  • ИБшные (ИТшные с вкраплениями ИБ не включаю)
  • неВУЗовские (у них своя целевая аудитория и специфика).

В принципе в 2018-го году мероприятия (столичные или питерские) распределены вполне себе равномерно по календарю и не пересекаются по датам, что позволяет спокойно посещать их, не боясь просылать халявщиком, посещающим мероприятия ради обеда или фуршета. Единственная накладка - пересечение по датам ФСТЭКовской конференции 14 февраля и Уральского форума по банковской ИБ. Раньше они обычно проходили на соседних неделях и можно было посетить оба мероприятия; теперь участникам придется выбирать.



ЗЫ. Будут дополнения - пишите в комментариях или мне лично (организаторы мои контакты обычно знают :-)

ЗЗЫ. Проект http://risc.events похоже умер - никакой активности ни на сайте, ни в его Твиттере я не видел давно. А жаль :-( Но лишний раз доказывает, что при отсутствии человека, который это делает не из под палки, а реально горит любимым делом, все загибается и приходит в упадок :-(

27.12.2017

Список НПА по ИБ, принятых в 2017-м году и готовящихся к принятию в 2018-м

Продолжая подведение итогов, свел в единой заметке все нормативно-правовые и нормативные акты, которые появились в 2017-м году; как в виде уже принятых документов, так и в виде проектов, которые будут приняты в году 2018-м (исключая электронную подпись и Интернет-тематику - мессенджеры, анонимайзеры, VPN и т.п.). Начну я с двух документов, которые были приняты еще в 2016-м, а в 2017-м году вступили в силу. Таких нормативных актов я бы отметил два:
  1. Закон о внесении изменений в КоАП в части увеличения размера штрафов за нарушение законодательства по персональным данным, а также изменения правил назначения  (полномочия от прокуратуры перешли к РКН) и расчета (кумулятивная сумма может превышать даже максимум по GDPR) этих штрафов.
  2. Вступило в силу ПП-541 о лицензировании деятельности по технической защите конфиденциальной информации, в котором впервые в России была установлена обязанность получать лицензию для всех SOCов, предоставляющих услуги внешним лицам (даже в рамках холдингов или групп компаний). На мой взгляд это отбросит эту сферу назад, так и не дав ей нормально развиться и перенять лучшие мировые практики в деле SOCостроительства.


Из принятых документов я бы отметил:
  1. ЦБ разработал и через ТК122 провел новый ГОСТ по базовым мерам защиты информации в финансовых организациях, который не только знаменут собой новый подход к ИБ в финансовой отрасли (гибкий выбор защитных мер против жестко зафиксированного, три уровня защищенности против одного для всех), но и стал первой ласточкой в наборе из двух десятков новых стандартов, которые Банк России запланировал разработать в ближайшие годы.
  2. ФСБ стала инициатором трех законов, ставших основой нового законодательства по безопасности критической информационной инфраструктуры. Речь идет о ФЗ-187, ФЗ-193 и ФЗ-194, которые, соответственно, устанавливают основные требования по безопасности, вводят уголовную ответственность за несоблюдение правил доступа к КИИ и атаки на них, а также вносят ряд изменений в иные законодательные акты в связи с принятием ФЗ-187. Во исполнение этих законов должно быть разработано около 20-ти нормативных актов, большая часть из которых разработана, но еще не принята (это произойдет не раньше конца января - середины февраля - Минюст просто не успеет раньше все оценить). Про это я еще буду писать в будущем не раз, так что сильно погружаться в эту тему не буду; хотя по некоторым темам я уже проходился (тут, тут, тут, тут, тут и тут). 
  3. Указ Президента РФ №569 по наделению ФСТЭК полномочиями по регулированию вопросов безопасности КИИ, а также снятию с нее полномочий по регулировании вопросов безопасности КСИИ. Ресурсов для реализации новых полномочий, правда, не добавили.
  4. Указ Президента №620 по совершенствованию ГосСОПКИ и возложению на ФСБ функций регулятора в области ГосСОПКИ, что требовалось для реализации ФЗ-187 и выпуска ФСБ соответствующих нормативных актов. Также данный Указ возложил на ФСБ часть функций по защите (криптографическими методами) суперкомпьютерных и грид-технологий. Это интересное дополнение, которое еще требует отдельного осмысления.
  5. Методические рекомендации ФСБ по созданию ведомственных и корпоративных центров ГосСОПКИ (тут, тут и тут). 
  6. Два Указа Президента, №169 и №308, вносящих изменения в Указ Президента №1203 о перечне сведений, составляющих гостайну. Скоро в него и еще внесут изменения, в связи с принятием ФЗ-187, в котором, сведения о мерах обеспечения безопасности в КИИ отнесены также к гостайне.
  7. Распоряжение Правительства №1632 по программе "Цифровая экономика". Я про это уже писал (тут, туттут и тут) - повторяться не буду. Не взлетит она.
  8. Постановление Правительства №555 "О внесении изменений в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации", которое целиком и полностью посвящено вопросам защиты информации.
  9. ФСТЭК в феврале выпустила 31-й приказ по мерам защиты информации в ОПК. Это вообще анекдотичная тема - выпустить приказ с тем же номером и почти теми же объектами защиты (АСУ ТП), но в другой сфере экономики (оборонно-промышленный комплекс). Документ закрытый - комментировать не буду.
  10. ФСТЭК внесла косметические изменения в 17-й приказ по защите ГИС, синхронизировав его с другими НПА и сложившейся практикой защиты государственных и муниципальных информационных систем.
  11. ФСТЭК внесла также косметические изменения в 21-й и 31-й приказы по защите ИСПДн и АСУ ТП.
  12. Президент подписал "Стратегия развития информационного общества", на фундаменте которой базируется "Цифровая экономика". Побуду скептиком, но думаю, что и этот вымученный людьми, далекими от ИТ, документ не взлетит.
  13. Евросоюз принял новый свод требований по защите персональных данных (GDPR), который распространяется и на российские компании, работающие с ПДн граждан Евросоюза. И хотя РКН осенью заявил, что как раз на отечественные предприятия GDPR не распространяется, я бы РКН не верил (их знание законодательства оставляет желать лучшего). Как минимум, стоит напрячься тем компаниями, которые имеют представительства в Европе или активно работают с европейскими компаними.
  14. ФСБшный ТК26 разработал и провел через Росстандарт больше 5 рекомендаций по стандартизации в области криптографической защиты информации (особоенно интересна не разработчикам вот эта, принятая вчера).
  15. 29 декабря Президент подписал закон об удаленной, читай, биометрической, идентификации клиентов финансовых организаций, за которым последуют и нормативные акты самого ЦБ. Банковским безопасникам стоит готовиться в этом вопросе - он может очень быстро стать актуальным, а может быть и обязательным (как "Мир", НСПК и иже с ними).
Ну и, наконец, последняя порция нормативных актов, работа над которыми началась (а местами уже и закончилась), но они еще не были приняты:
  1. ЦБ подготовил ГОСТ по оценке соответствия в пару с уже принятым ГОСТом 57580.1. Он уже согласован в ТК122 и отправлен в Росстандарт для прохождения официальной процедуры принятия.
  2. Также Банк России разработал стандарт по рискам кибербезопаснсти при использовании аутсорсинга. Он прошел уже несколько итераций и должен быть принят в самое ближайшее время.
  3. Финансовый регулятор также разработал новую редакцию 382-П, о которой я уже писал, и которая вводит ряд новых ключевых требований по ИБ (разделение контуров, оценка соответствия платежных приложений, оперативное уведомление об инцидентах, применение сертифицированных СКЗИ для защиты ПДн). Документ сейчас проходит согласование в ФСБ и должен быть принят в самое ближайшее время, чтобы вступить в силу с лета или, в крайнем случае, с осени 2018-го года. Кстати, ссылок на ГОСТ 57580.1 в нем не будет - это будет в следующей версии.
  4. В пару с новой редакцией 382-П подготовлена и новая редакция 2831-У, которая знаменует собой окончательный переход на новую стратегию уведомления об инцидентах и состоянии защищенности финансовых организаций.
  5. В Госдуму было внесен еще один законопроект, имеющий прямое отношение к ЦБ и ИБ. Речь идет о нормативном акте (есть две версии - аксаковская, майская, и правительственная, октябрьская), который не только устанавливает новые правила по борьбе с мошенничеством, ведение базы инцидентов, немедленное уведомление о мошеннических операциях, но и наделяет ЦБ полномочиями по выработке требований по защите информации не только в рамках НПС, но и для всех остальных финансовых организаций. В январе его должны рассмотреть в первом чтении депутаты.
  6. Минкомсвязь в декабре подготовил проект внесения изменений в Приказ №1, посвященный защите от несанкционированного доступа на сетях связи. Посмотрим, что там будет и как операторы будут его выполнять. Раньше они не особо стремились к этому, да и РКН (а именно он надзорный орган по ИБ для операторов связи) не особо проверял его исполнение занимаясь более насущными задачами (блокировки, защита детей, регулирование спектра, работа с матом в СМИ и т.п.).
  7. В рамках реализации ФЗ-187 Правительство готовит проект своего постановления по категорированию объектов КИИ. На данную процедуру выделяется полтора года с момента принятия НПА (не реньше января, а то и февраля), по итогам которых вы получите список значимых объектов, на которые и будут распространяться требования по защите ФСТЭК.
  8. Проект Постановления Правительства об утверждении порядка подготовки и использования ресурсов единой сети электросвязи для обеспечения функционирования значимых объектов КИИ устанавливает правила присоединения значимых объектов к сетям связи (в нем тоже немало интересного).
  9. Проект Постановления Правительства о порядке осуществления государственного контроля в области обеспечения безопасности значимых объектов КИИ.
  10. ФСТЭК в свою очередь подготовила и уже выложило для ознакомления несколько проектов приказов:
    • Требования к созданию систем безопасности значимых объектов КИИ и обеспечению их функционирования
    • Требования по обеспечению безопасности значимых объектов КИИ
    • Об утверждении формы акта проверки, составляемого по итогам проведения госконтроля в области обеспечения безопасности значимых объектов КИИ.
    • Об утверждении порядка ведения реестра значимых объектов КИИ
  11. ФСБ также подготовила и выложила вчера для ознакомления ряд проектов приказов в рамках своей деятельности (борьба с атаками и реагирование на инциденты):
    • Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации
    • Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения
    • О Национальном координационном центре по компьютерным инцидентам (НКЦКИ)
  12. ФСТЭК готовит в первом квартале проект своего приказа «Об утверждении Положения о сертификации средств защиты информации по требованиям безопасности информации».
  13. Будет принято еще некоторое количество документов в части международной ИБ. Тут и всяческие двусторонние соглашения по ИБ, и блоковые документы. Одним из таких станет проект распоряжения Правительства Российской Федерации «Об одобрении проекта программы Союзного государства «Совершенствование системы защиты информационных ресурсов Союзного государства и государств-участников Договора о создании Союзного государства в условиях нарастания угроз в информационной сфере» («Паритет»), который готовит ФСТЭК.
ОБНОВЛЕНИЕ от 30.12.17:
  1. Законопроект о внесении изменений в статью 13.11 Кодекса Российской Федерации об административных правонарушениях, вводящий наказание не только для обработчиков ПДн, но и для операторов ПДн за действия обработчиков ПДн.
  2. Проект приказа Минкомсвязи об утверждении порядка, технических условий установки и эксплуатации средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ.
Число сопоставимо с тем, что было в 2016-м году Есть, что поизучать и применить (или обосновать отсутствие необходимости применять). Кстати, обратите внимание, что из планируемых к принятию в 2017-м году, половина так и не была принята - либо документ был внесен и завис в Госдуме, либо по нему до сих пор идут споры среди ведомств и экспертного сообщества.


ЗЫ. Допускаю, что что-то упустил. Буду рад, если сможете в комментариях дополнить - я внесу в список.

26.12.2017

Мой Топ событий кибербезопасности в уходящем году

Решил по сложившейся традиции подвести некоторые итоги года и сформулировать список событий, которые мне запомнились в нашей отрасли. В отличие от прошлого года, когда я разделял события на отечественные и зарубежные, в этот раз я решил дать все одним списком. При этом стоит отметить, что данный событийный пьедестал является субъективным, так как отражает сугубо мою точку зрения на все происходящее. Итак, я бы выделил следующих 7 событий, которые на мой взгляд на только являются самыми значимыми (по крайней мере для меня), но и, отражая очень интересные, но не всегда явные тенденции, могут иметь определенные, далеко идущие последствия:


  1. Слитый в Интернет архив АНБ/ЦРУ ShadowBrokers / Vault 7. Данное событие малоинтересно с точки зрения того, что утекло и у кого (помним, что существует два типа организаций - тех, кого уже взломали, и тех, кто еще об этом не знает). Ну с кем не бывает? При таком количестве лиц, имевших доступ к этим архивам (говорят о 5000 человек), утечка была только вопросом времени. Отсутствие схожих утечек в России говорит не только об уровне секретности в наших спецслужбах, но и о количестве лиц, допущенных к такого рода инструментарию (а он есть, тут я не сомневаюсь). О тысячах говорить не приходится; думаю и о сотнях тоже. Но данные истории интересны другим. Они по сути уравняли технические возможности (думаю, не надолго, но все-таки) рядовых киберпреступников и спецслужб. А это в свою очередь влияет на оценку потенциала нарушителя, если следовать терминологии ФСТЭК, или модели нарушителя, если следовать терминологии ФСБ. В первом случае потенциал оценивается как функция от двух переменных - мотивации и возможностей. Возможности обычного хакера и хакера в погонах теперь равны, а мотивацию оценить бывает и вовсе невозможно. Отсюда получается, что закладываться в модели угроз ФСТЭК надо на максимально возможный вариант, что грозит завышенными затратами и существенным снижением удобства системы защиты. В случае с ФСБ мы приходим к тому, что против нас почти всегда действует нарушитель Н6, то есть приравненный к спецслужбам иностранного государства; опять, со всеми вытекающими отсюда последствиями и затратами.
  2. Эпидемии WannaCry, Neytya и BadRabbit. Я уже писал, что сами по себе данные угрозы не стоят и выеденного яйца, так как они не настолько опасны, как об этом пишут в СМИ. Ну пострадало от WannaCry 400 тысяч компьютеров и что? Вирус ILOVEYOU, Conficker, да даже Locky или Dridex заразили гораздо больше жертв, а их авторы получили гораздо больше выгод, чем в случае с WannaCry и иже с ними. Но... данные эпидемии интересны по другим причинам. Я бы назвал две. Во-первых, они показали абсолютное раздолбайство большинства заказчиков, до сих пор считающих, что пары МСЭ + AV достаточно для борьбы с вредоносными программами. Да даже если для защиты использовалось больше этих двух типов защитных устройств. Ну как вообще можно было пропустить то, что использовало известные уже не одну неделю уязвимости?  Оказалось можно. А во-вторых, названные  угрозы в очередной раз продемонстрировали неспособность антивирусных производителей (да и не только их) бороться с банальными проблемами. Вспомните, что они вам говорили после начала эпидемии? "Мы умеем бороться с WannaCry. Просто включите механизм мониторинга системной активности". То есть? А он не был включен? А почему? Ааа, так он вешает компьютер, загружая процессор на 100%? Тогда понятно. А фразу о том, что антивирусный вендор научился распознавать вредоносное ПО через час после начала эпидемии? А как же хваленое обнаружение 100% неизвестных вирусов и эвристические механизмы (кстати, вы же не думаете, что антивирус хранит на каждом защищаемом компьютере всю базу вирусных сигнатур, которая может насчитывать сотни миллионов и миллиарды семплов)? А как быть с тем, что уязвимость, используемая WannaCry, была известна уже месяц? Все это лишний раз доказывает, что никакие APT не нанест такого ущерба, как раздолбайство самих специалистов по ИТ или ИБ, занимающихся не реальной, а мнимой безопасностью. А самое интересное, что эти эпидемии показывают, что ничего не изменится в области ИБ в ближайшее время. Люди как доверяли купленным железкам и софту, отключая мозг, так и будут доверять.
  3. Прохождение сертификации ФСБ на многопротокольное оборудование, а также сертификации ФСТЭК на отсутствие НДВ для маршрутизаторов Cisco ISR. Да, это событие локальное и моновендорное, но для меня не менее значимое; особенно в текущей ситуации с импортозамещением, санкциями, разговорами о возобновлении холодной войны и т.п.
  4. "Цифровая экономика". Про эту государственную программу я уже писал (тут, тут и тут) и повторяться не буду. Для меня данное событие значимо по ряду причин. Во-первых, оно подтвердило мой прошлогодний прогноз об усилении роли Сбербанка в обеспечении кибербезопасности на национальном уровне. Сбербанк реально пытается что-то сделать лучше в нашей сфере (Академия кибербезопасности - это одно из таких начинаний, Центр компетенций по ИБ в рамках цифровой экономики - другое). Я еще напишу, видимо уже в следующем году, о том, в каком направлении движется Сбербанк в части кибербезопасности (у них немало интересных проектов, как показали выступления на Академии кибербезопасности). Просто они слишком опережают время и, не учитывая политическую составляющую процесса, бегут впереди паровоза. Так было и с центром компетенций по ИБ, в работе которого изначально не пригласили (я уже писал про это) ни одного из регуляторов по ИБ (ни ФСТЭК, ни ФСБ, ни ЦБ), что и сказалось на результатах, которые немного отличаются от первоначальной задумки - и по количеству инициатив, и по финансированию, и вообще по самой дорожной карте. Не буду вдаваться в детали, но судя по всему, данная программа, в том виде, в котором она преподносилась, мягко говоря, отошла на второй план. Не скажу, что работа прошла впустую, но и запланированного выхлопа от нее не будет. Лично для себя я получил список интересных инициатив, в количестве нескольких сотен, часть из которых можно попробовать пропихнуть при очередной попытке улучшить отрасль ИБ в России (а их было уже немало).
  5. ФЗ "О безопасности критической информационной инфраструктуры". Это законодательство (а это около двух десятков нормативно-правовых актов от ФСТЭК, ФСБ, Правительства, Президента, Минкомсвязи и др.) интересно не тем, что оно символизирует собой новый этап в развитии отечественного рынка ИБ, как считают многие специалисты. Как раз наоборот. Оно ничего не символизирует. Почему в России что-то делают с ИБ только под влиянием регулятора и штрафов? Почему нельзя оценивать реальные угрозы или влияние ИБ на бизнес? Почему все ждут, что принятие нового законодательства что-то изменит с безопасности критических инфраструктур? Почему все считают, что ГосСОПКА как-то улучшит ситуацию с атаками (WannaCry-то прошел, и Neytya тоже, и Bad Rabbit)? Лично для меня ФЗ-187 и иже с ними запомнился совсем другим. Во-первых, полным нежеланием ФСБ прислушиваться к мнению экспертного сообщества (не надо сразу думать, что я о себе, - было много предложений из разных источников, которые были проигнорированы). Во-вторых, демонстрацией того, что в сжатые сроки (два с небольшим месяца) "родить" нормативку можно, но качество ее будет не самым высоким. В-третьих, убеждением, что ФСТЭК реально заинтересована в государственно-частном партнерстве (чтобы это ни значило) и привлечении экспертного сообщества при подготовке своих нормативных актов (сколько было заседаний по проектам приказов и не сосчитать). В-четвертых, уверенностью, что курс на цифровой изоляционизм, который сейчас активно продвигается со всех сторон, ожидаемого эффекта не даст, а только отбросит Россию назад. Мы это уже проходили, но можно и повторить :-(


  6. Напряженная геополитическая ситуация. Эта тема не нова и длится уже года три, с момента внезапного желания Крыма присоединиться к России, завершившегося нашей пирровой победой. И дело не в санкциях (которые усилятся в начале 2018-го года), и не в возможном сценарии повторить путь Северной Корее, находящейся в мировой изоляции, и даже не в импортозапрещении, в результате которого российская отрасль ИБ пока так ничего и не родила (хотя даже слонам для рождения своих детенышей нужно всего около 2-х лет). Меня во всей этой ситуации смущает Китай. Государство, которое способно строить Великую Китайскую стену почти 20 столетий, не отступая от принятой изначально стратегии, способно на многое. В отличие от западных "торопыг", китайцы готовы долго ждать установления своего господства. И для этого они готовы идти на жертвы - внедряться в разные компании под видом "чернорабочих", отдавать свое оборудование даром (и даже выдавать миллионные кредиты на него), спускать на тормозах международные инициативы, которые вредят Китаю, строить из себя падаванов Великой Америки. И вот так, тихой сапой, они становятся гегемонами и в мировой ИБ. И к чему это приведет, пока сказать сложно. Даже секретные письма о запрете китайского оборудования не сильно помогают - китайцы все равно проникают повсюду. А бороться с ними сложно - совершенно иная культура, отличная от более привычной нам западной.
  7. Финальным аккордом я бы назвал историю с Центром информационной безопасности ФСБ, которая длится уже больше года, начавшись с задержания одного из высокопоставленных сотрудников этого центра, борющегося в России с киберугрозами. После этого были регулярные вбросы в СМИ различных непроверенных (но как обычно полученных из "достоверных" источников) фактов, которые еще больше набрасывали удавку бросали тень на работу центра. То бывший сотрудник Лаборатории Касперского обвиняет ФСБ в найме киберпреступников на работу. То эту тему подхватывает еще один бывший, на этот раз сотрудник ФБР. Сами киберпреступники вдруг тоже начинают из тюрьмы публиковать разоблачения и обвинять ЦИБ в найме хакеров на работу для взлома американской демократии. Слишком уж много вливается из разных "независимых" источников одной и той же информации. Правдива ли она? Отрицать не буду - я допускаю такой вариант. Но дело в другом. Шумиха вокруг ЦИБа сильно мешает ему осуществлять свою работу по поимке реальных киберпреступников. И в этом я вижу крайне отрицательное влияние этой ситуации на отрасль ИБ. С другой стороны, ФСБ занимает выжидательную позицию, молча и никак не комментируя все творящееся вокруг ЦИБа. То ли его хотят утопить, то ли просто нет у ФСБ своей "Захаровой", которая бы отвечала на нападки. С PR (и борьбой с черным PR) у ФСБ все не очень хорошо, о чем я тоже уже писал.
Вот такая субъективная "великолепная семерка" получилась. Посмотрим, к чему она приведет в году желтой земляной собаки.

25.12.2017

Сбербанк запускает Академию кибербезопасности

В день восемнадцатый декабря года две тысячи семнадцатого, в день, когда в центре инноваций был открыт посмертный памятник вирусу Petya/NotPetya/Neytya, созданный на деньги компании "Инвитро", пострадавшей от этой угрозы, в тихой и спокойной загородной обстановке была анонсирована Академия кибербезопасности Сбербанка, новая программа обучения, которую главный банк страны будет продвигать в России.


Как и надгробный камень вирусу, установленный за пределами столицы, так и Академия каибербезопасности свое начало взяла в прекрасном месте Подмосковья, в корпоративном университете Сбербанка. Кстати, прекрасное место для проведения корпоративного обучения. Именно обучения. Конференции там проводить, на мой взгляд, не очень удобно. От Москвы далековато, да и никаких "культурных" заведений вокруг нет (конференции ИБ славятся высокой культурой). А вот для обучения, на которое и рассчитана Академия, - это прекрасное место. Тихое, спокойное, со спортзалом, бассейном и СПА, местом для прогулом и занятий на свежем воздухе. Я был первый раз в этом месте и был приятно удивлен.


"Ищи сосульку с шарами", - примерно так меня напутствовали организаторы, чтобы найти на огромной территории корпоративного университета место проведения Академии. Сосулька была найдена, обучение началось вовремя и его куратор, широко известный в узких кругах Алексей Качалин, представил концепцию того, что в будущем может стать достаточно значимой частью российской системы обучения ИБ.


В отличие от большинства привычных нам конференций по ИБ, в которых достаточно часто отсутствует единая концепция и программа, Академия кибербезопасности подчиняется строгой идее - трехуровневая программа - для бизнес-руководителей, для руководителей среднего звена, преимущественно из области ИТ и ИБ, и технологический стек.


Относясь к системе дополнительного образования, Академия при этом отличается от обычной переподготовки или повышения квалификации. Тому есть несколько причин:

  • желание организаторов (не зря Сбербанк стал центром компетенций по ИБ в рамках пока еще (а возможно и совсем) не взлетевшей цифровой экономики) заниматься улучшением образования ИБ в России, несвязанным никакими ФГОСами, регуляторами и т.п. Примерно такую же идею двигает "Код ИБ. ПРОФИ" (на него, в отличие от Академии кибербезопасности Сбербанка, попасть может каждый и уже скоро).
  • ресурсы (и площадка, и деньги имеют немаловажное значение)
  • компетенции (не секрет, что Сбербанк спылесосил множество специалистов по ИБ, и там есть кому участвовать в формировании программы)
  • куратор (за программу отвечает Алексей Качалин, который обладает не только знаниями по ИБ, но и опытом преподавания в МГУ, что немаловажно при запуске системы обучения).



Первый выпуск был сформирован в очень сжатые сроки. Когда эта тема обсуждалась еще в ноябре, я был уверен, что запустить эту программу в столь короткие сроки невозможно. Но в середине декабря был дан старт и мероприятие (пусть и не без отдельных огрехов) прошло на мой взгляд очень успешно. Несколько десятков участников ознакомились с практическими (это еще одно из отличий Академии кибербезопасности - читаются далеко не теоретические темы) подходами в области:
  • управления рисками (на основе методологии, разработанной в Сбербанке)
  • повышения культуры ИБ и обучения (офигенный доклад был)
  • формирования киберустойчивости
  • методов, используемых злоумышленниками ("А еще у нас на мероприятии будет живой хакер. Его можно будет потыкать палочкой", так был представлен CSO BI.ZONE Евгений Волошин) 
  • непрерывности процесса SecOps (тут и новые подходы, и управления инцидентами на примере SOC Сбербанка, и перспективные технологии для мониторинга ИБ)
  • DevOps (на примере процесса разработки в Сбербанке)
  • борьбы с мошенничеством (было очень интересно послушать представителей подразделения антифрода с трехчасовым обзором методов мошенников и методов борьбы с ними, местами вполне себе инновационными).

Может сложиться впечатление, что программа рассчитана только на банки или, даже хуже, только на Сбербанк и его дочерние предприятия. Отчасти первый выпуск таким и был, что связано было с кратчайшими сроками запуска программы. Последующие выпуски должны быть более нейтральными и на них планируется приглашать не только сотрудников Сбера (судя по предварительно проговоренным именам они будут очень достойными).


ЗЫ. Я выступал на Академии с обзором технологий кибербезопасности, которые могут стать востребованными в горизонте до 2025 года; именно такой срок часто упоминается в планах и стратегиях развития Сбербанка.

19.12.2017

Ландшафт технологий кибербезопасности 2025 (презентация)

Вчера мне довелось выступать на Академиии кибербезопасности Сбербанка, новом проекте главного банка страны, о котором я еще напишу отдельно (это стоит того, чтобы посвятить академии отдельную заметку). А пока выкладываю свою презентацию с обзором ряда перспективных технологий кибербезопасности в горизонте планирования 7 лет (до 2025 года).





18.12.2017

Thales покупает Gemalto

17 декабря французская Thales, активно работающая на оборонку, объявила о намерении приобрести голландскую Gemalto. Стоимость сделки оценивается по-разному - от 4,8 до 5,43 миллиардров евро. Интересно, что за несколько дней до объявления сделки Gemalto отвергла предложение о своей покупке со стороны Atos за 4,3 миллиарда. Gemalto - один из крупнейших производителей SIM-карт и NFC-решений (терминалы, EMV-карты и др.), а также средств идентификации и аутентификации. Для Thales это уже не первая покупка ИБ-компании и она, судя по всему, не будет останавливаться.

ЗЫ. Впору вспомнить статью четырехлетней давности, в которой говорится о том, кто захватит рынок кибербезопасности к 2023-му году. Имя Thales было среди прочих. 

Как я попал на удочку хайпа по блокчейну

На прошедшем SOC Forum довелось мне вести секцию Future SOC, посвященную различным новомодным тенденциям в сокостроительстве. Я там читал презентацию про применение блокчейна в деятельности SOC и надо признаться, что это была одна из моих провальных презентаций. Дело в том, что когда мы формировали программу и возникла идея секции про технологии будущего, я, перечисляя их, среди прочего назвал и блокчейн. Потом вспомнились новости про применение Сбербанком блокчейна для обмена информацией о мошенниках и их же идею о применении блокчейна для ведения распределенной базы инцидентов ИБ. Это классно, подумалось тогда мне, и я спокойно внес эту тему в список секции, надеясь набрать достаточно материала для презентации. Как же я ошибался...

Оказалось, что блокчейн и SOC мало совместимы. Вообще блокчейн в ИБ (кроме разных вариантов идентификации) применяется не очень активно. Исследований и практических примеров почти нет. Одна криптовалюта, будь она неладна. К тому моменту, когда я осознал, что тема не взлетает, менять ее было поздно. Это на "Код ИБ" я на пленарке давал слушателям право выбора из трех тем, подпадающих под заявленную тему "Тенденции ИБ", - тренды угроз, тренды законодательства и тренды технологий ИБ. Тут название темы, помещенное в программу (в том числе и в распечатанную), не давало возможности для свободы творчества. Даже идея, которую я озвучил в Фейсбуке, о том, что можно было вставить ко мне еще раздел про VR для SOC и про ботов в деятельности SOC (классную реализацию бота, автоматизирующего ряд операций SOC, видел) я так и не реализовал, так как времени на все это уже не хватало. На все было выделено 20 минут и вместить в них блокчейн, VR и ботов было затруднительно. В итоге ограничился только блокчейном. Получилось вот что:



Резюме же по использованию блокчейна в деятельности SOC было таково:


Можно было бы и саму презентацию не делать, ограничившись только выводом :-) Но увы, пришлось позориться, 20 минут рассказывая о том, что можно было вместить в одну минуту :-( В любом случае, презентацию выкладываю; вдруг кому-то все-таки будет полезно.

Подавление GPS/ГЛОНАСС как старая/новая угроза ИБ

Относительно недавно в банк данных угроз ФСТЭК была внесена новая запись под номером 206 - "угроза отказа в работе оборудования из-за изменения геолокационной информации о нем". Угроза не нова - о ней пишут давно. Даже в новостях проскальзывало недавно, что ФСБ проводит расследование инцидента на одном из уральских заводов, на котором станки вдруг стали нестандартно себя вести (результаты расследования в СМИ не публиковались). И вот ФСТЭК обновляет свой банк данных угроз...


Но темой заметки станет другая угроза, которая связана с 206-й своей природой, но все-таки является совершенно иной. Не знаю как вы, но я на протяжении всей недели сталкивался с тем, что в центре Москвы было невозможно ездить по навигатору, который постоянно терял спутники GPS.


Одной из звучавших версий было то, что это американцы таким образом нам "гадят". Однако эта версия не выдерживает никакой критики по ряду причин. Во-первых, страдали навигаторы и с ГЛОНАСС. Во-вторых, за пределами МКАДа GPS работал без проблем - они начинались только на подъезде к центру столицы. Это означало, что проблема имела сугубо локальный характер и могла объясняться (кроме обычной случайности, которая, совершенно случайно произошла перед пресс-конференцией главы государства) тем, что кто-то экспериментировал с подавлением геолокационного сигнала на ограниченной территории. Московские таксисты, а они как известно знают все, прямо говорили, что речь идет о учениях, которые в пятницу должны были быть завершены. Здравый смысл подсказывал, что это вполне возможно. Особенно учитывая старую историю про подмену координат московского Кремля на аэропорт Внуково. Я с этим сталкивался также в Ново-Огарево (загородной резиденции Путина), когда ты внезапно оказываешься черт знает где и навигатор как сумасшедший пытается соотнести твое движение по дороге с тем, что у него заложено в базу карт. Но тогда речь шла о подмене координат, что сложнее обычного подавления сигнала с помощью джаммера (интересно, в окружении Кремля есть станки или иное оборудование с геолокацией?..). Вот ему и посвящена заметка.

Посмотрите на картинку ниже. На ней представлен результат проекта SENTINEL, в рамках которого в Великобритании тестировалась возможность подавления GPS-сигнала, используемого для различных задач, например, для системы точного времени или геопозиционирования и навигации в критических инфраструктурах (тахографы, страхование, перемещение ценных грузов, передвижение VIP-персон, электронные браслеты преступников, авиаперевозки и т.п.). Согласно исследованиям обычный трехваттный джаммер способен подавить GPS в достаточно широкой области (примерно, 40 на 20 км).

В исследовании SENTINEL приводились не только актуальные угрозы (вплоть до использования джаммеров на дронах), но и известные примеры использования джаммеров для различных целей - от действий служб безопасности до применения криминалом или спецслужбами.

Самое интересное, что аналогичные исследования проводились и в России. Согласно ним, обычная коммерческая аппаратура (а именно она преимущественно и поставляется/производится в Россию) может быть подавлена в радиусе десятков километров постановщиком помех (джаммером) мощностью всего около 1 Вт.


Мерой нейтрализации такой угрозы (если она будет признана актуальной в процессе моделирования угроз) будет использование помехоподавления или применения помехоустойчивой аппаратуры GPS/ГЛОНАСС. Исследование выше дает некоторые ссылки на зарубежные и отечественные решения в данной области, которые могут быть применены для нейтрализации работы джаммеров. Только, увы, для рядовых граждан эти методы неприменимы...

ЗЫ. Стоит ожидать появления этой угрозы в БДУ ФСТЭК или нет?

14.12.2017

ФСТЭК, SOC и #socforum

После окончания SOC Forum одно из изданий попросило меня написать заметку по итогам форума. Я отказался, так как в одну заметку очень сложно вместить все, что произошло и было сказано на мероприятии. Но самое главное, сложно писать о том, чего сказано не было или как было сказано то или иное слово/фраза. Ситуация с ФСТЭК и SOCами как раз относится к этой категории. И сейчас я бы хотел вкратце описать сугубо свои личные впечатления от неучастия ФСТЭК в SOC Forum. Да-да, именно неучастии, так как если у ФСБ была отдельная целая секция (про КИИ, а не SOCи), выступление в пленарке и стенд, то второй регулятор в лице Виталий Сергеевича Лютикова ограничился только участием в пленарной дискуссии. И это при том, что именно ФСТЭК является уполномоченным органом в области безопасности КИИ, и именно у ФСТЭК уже больше года есть утвержденные требования по лицензированию деятельности по мониторингу ИБ (читай, по SOCам). И вот это фактически "молчание" говорит о многом.


Но попробую все-таки тезисно описать то, что ФСТЭК сказала/не сказала по теме мероприятия (но не по КИИ):

  • Виталий Сергеевич повторил мысль, прозвучавшую из его же уст днем ранее на конференции ЦБИ. Чтобы что-то мониторить, надо построить фундамент - то есть иметь выстроенную систему защиты информации. А так как многие организации даже основ не имеют, то говорить о мониторинге еще рано. Тем более, что с точки зрения ФСТЭК тема SOCов - это, как модно говорить, "хайп", так как в тех же требованиях 17-го, 21-го, 31-го приказов вопросы мониторинга и управления событиями безопасности рассматривались уже 4 года назад. Почему именно сейчас такая шумиха вокруг SOCостроения непонятно (ну или понятно).
  • Я уже писал год назад, что на мой взгляд, ФСТЭК слишком рано стала требовать лицензию на мониторинг ИБ при оказании внешних услуг. Не сформировался еще и сам рынок, и непонятно, куда заведут сырые, а местами и невыполнимые требования. И вот на форуме я получил парочку подтверждений этому. Начнем с того, что лицензия ФСТЭК на мониторинг ИБ нужна при любом оказании услуг внешним лицам. И даже если речь идет о холдинге или группе компаний, то лицензия обязательна. Поэтому тот же Сбербанк, мониторящий свои региональные банки и дочерние предприятия, Газпром, РЖД, Ростех, Ростелеком и т.п. структуры, построившие или строящие свои SOCи обязаны иметь лицензию ФСТЭК на мониторинг ИБ. Но что-то они не торопятся это делать. Кстати, интересный вопрос. Относится ли деятельность ФинЦЕРТ к мониторингу ИБ? А если да, то нужна ли ФинЦЕРТу лицензия ФСТЭК на мониторинг?
  • В требованиях ФСТЭК к лицензиатам мониторинга ИБ прописаны требования к используемому ими программному обеспечению. Среди прочего на ряд решений, например, SIEM или систему управления инцидентами, требуется либо сертификат ФСТЭК по требованиям безопасности, либо формуляр. Но, например, когда я слушал доклад Сергея Рублева из ГК Инфосекьюрити про то, как устроен их SOC (а он построен на open source и самописных решениях - Hadoop, Spark, Scala  и т.п.), то я понял, что им сложно будет выполнить требование по сертификации или оформлению формуляров. Не невозможно, а сложно.
  • Требования ФСТЭК к SOCам, оказывающим внешние услуги, и требования ФСБ к ведомственным и корпоративным центрам ГосСОПКИ (а это тоже по сути SOCи) отличаются и местами сильно. Ниже только один пример по техническим средствам. А разница не только в этом - там и в квалификации и численности работающих в центрах людей есть отличия.

  • С трибуны вскользь было сказано, что до конца непонятен вопрос с тем, кто будет устанавливать требования по SIEM. И это тоже один из тех вопросов, которые может сильно изменить рынок ИБ. С одной стороны, SIEM - это епархия ФСТЭК, которая и должна устанавливать требования к средствам защиты и контроля защищенности. И пару лет назад о таких требованиях к SIEM как-то даже упоминали на конференции регулятора. С другой стороны требования к ГосСОПКЕ устанавливает ФСБ и они могут захотеть перетянуть одеяло на себя. И тогда могут появиться требования по сертификации SIEM в ФСБ (прощай ArcSight, QRadar и т.п.). Но также могут появиться требования по использованию сертифицированных СКЗИ для подключения средств защиты к SIEM. И это тоже будет непросто.


  • Вообще, отношения между двумя регуляторами, как видно из последних мероприятий, непростые, и их требования не всегда синхронизированы, что приведет еще к сложностям в будущем.



  • А еще у ФСТЭК на SOC Forum был свой стенд, что тоже не может не радовать :-) 


ЗЫ. Понятно, что ряд вопросов снимется в ближайшее время, но огорчает то, что подготавливаемые в спешке нормативные акты не успевают согласовываться между регуляторами в должной мере, чтобы синхронизировать позиции и требования, и отточить формулировки. В итоге страдает потребитель :-(  Но есть ряд вопросов, которые не будут согласованы и просто связаны с тем, что к SOCам выставлены достаточно жесткие требования, которые ограничивают развитие этой ниши рынка ИБ в России...

13.12.2017

Security Dream Team зовет всех в гости

Давным-давно, в далекой-далекой галактике... было организовано выездное закрытое мероприятие в городе Хабаровске с участием известных специалистов по кибербезопасности, которых, с легкой руки организаторов назвали Security Dream Team.


Мероприятие было сделано под заказ и попасть на него со стороны было сложно. Отсюда, как мне показалось, совершенно иное отношение и со стороны спикеров, и со стороны слушателей, которым реально было интересно. Еще одним схожим по сути стало мероприятие "Код ИБ. Профи", прошедшее в первый раз этим летом в городе Сочи. Мероприятие получилось живым и интересным, как с деловой, так и с культурной точки зрения. И оно тоже не подразумевало доступ посторонних - за участие каждый платил свои кровные деньги (ну или компании, что не сильно отличается).


И хотя у меня местами субъективная оценка (я все-таки отвечал за программу), как рассказали организаторы они отбили вложенные в организацию мероприятия деньги, что, на мой взгляд, является показателем. Все-таки нечасто первое мероприятие нестандартного формата уходит в плюс. Тем более, что сочинский "Код ИБ. Профи" отличался от привычных мероприятий тем, что он стоил денег и деньги эти платили участники, а не спонсоры. Иными словами, в программе не было рекламной джинсы и спикеры делились своим практическим опытом по тем или иным вопросам ИБ. Еще одним отличием стала длительность докладов - 1,5 часа на каждое выступление. Никаких 15 или 20 минут, в которые надо уложить достаточно интересный контент, не слиться в банальщину и повтор прописных истин, и не растекаться мыслью по древу. Я просмотрел записи всех докладов и могу сказать, что доклады были интересными со всех точек зрения.

Данное мероприятие показало, что несмотря на все разговоры о том, что у нас не готовы платить за контент, это оказалось неправдой. Да, это не 1000, не 2000 и не 6000 участников. Зато приехали те, кому действительно интересно было услышать интересные доклады от интересных спикеров. Опираясь на полученный опыт компания "Экспо-Линк" решила повторить успех первого "Кода ИБ. Профи" и провести второе мероприятие уже в Москве. Меня вновь пригласили сформировать программу этой конференции, что я сейчас и делаю.

Security Dream Team с PHDays
На самом деле программа уже практически сформирована. Из 24 часовых тайм-слотов распределено уже 20. Целевая аудитория конференции - руководители и ведущие специалисты по информационной безопасности. Мы не будем отнимать хлеб у PHDays и проводить хакерскую конференцию. И у спонсорских мероприятий тоже отнимать хлеб не будем. Наша задача - дать практический и полезный контент для тех, кто принимает решения или участвует в их принятии и кто готов заплатить деньги за участие, а не прийти "на халяву" потусить и пообедать (ни промо-кодов, ни инвайтов, ни бесплатных билетов через спонсоров, ни нагнанных для массовки студентов). Поэтому среди выступающих большое количество действующих руководителей служб, департаментов и отделов ИБ, или людей, которые еще совсем недавно руководили ими. Список участников, согласившихся выступить на данный момент, выглядит следующим образом:
  • Арканоид (независимый эксперт)
  • Вячеслав Борилин (Лаборатория Касперского)
  • Илья Борисов (ThyssenKrupp)
  • Алексей Волков (Сбербанк)
  • Наталья Гуляева (Hogan Lovells)
  • Кирилл Ермаков (Qiwi)
  • Денис Зенкин (Лаборатория Касперского)
  • Антон Карпов (Яндекс)
  • Алексей Качалин (Сбербанк)
  • Алексей Комаров (УЦСБ)
  • Дмитрий Кузнецов (Positive Technologies)
  • Олег Кузьмин (Алмаз-Антей)
  • Алексей Лукацкий (Cisco)
  • Дмитрий Мананников (независимый эксперт)
  • Кирилл Мартыненко (Сбербанк)
  • Александр Скакунов (VolgaBlob)
  • Рустэм Хайретдинов (Атак Киллер)
  • Алексей Чеканов (Алмитек)
  • Лев Шумский (независимый эксперт).

Отличием от сочинского мероприятия будет не только расширенный состав спикеров, но и 4 параллельных потока вместо двух. Видеозаписи мероприятий будут доступны для тех, кто захочет посмотреть то, что было в соседних залах (это, кстати, еще одно отличие "Код ИБ. Профи" - возможность доступа к записанному контенту для более глубокого изучения). Учитывая это число, у меня родилась идея посвятить 4 потока четырем этапам цикла "Шухарта-Деминга", более известного как цикл PDCA, буквы аббревиатуры которого часто расшифровываются как «Планируй – Делай – Контролируй – Совершенствуй». И хотя существуют критики, говорящие о неприменимости PDCA к реальной информационной безопасности, все-таки этот 4-хэтапный цикл до сих пор составляет основу многих стандартов по ИБ или ИТ, на основе которых строится деятельности многих специалистов по ИБ. Я тоже решил взять цикл PDCA за основу и разбить программу "Код ИБ" на 4 потока, посвятив каждый из них одному из этапов создания или совершенствования системы обеспечения информационной безопасности на предприятии. Тем более, что как раз для создания системы ИБ цикл PDCA подходит очень неплохо.

Security Dream Team с Secure IT World
Среди уже заявленных 20 тем будут совершенно разноплановые, но практически полезные темы от тех, кто проверял все на собственном опыте и учился на собственных ошибках:
  • Управление инцидентами с точки зрения бизнеса и с точки зрения SOC
  • Обеспечение непрерывности и киберустойчивости бизнеса
  • OpSec
  • BugBounty в деятельности служб ИБ
  • Геймификация в обучении ИБ
  • Повышение осведомленности и формирование культуры ИБ
  • Анализ машинных данных для обнаружения угроз
  • Разработка стратегии ИБ: от А до Я
  • Обеспечение ИБ в крупной компании
  • Построение работающей системы управления киберрисками
  • Как общаться с внешним миром, если вас взломали
  • Внедрение эффективных корпоративных правил
  • Формирование SLA с точки зрения ИБ аутсорсинга и аутсорсинга ИБ
  • Киберучения для высшего руководства
  • Внедрение SCRUM в ИБ
  • Психология ИБ 
  • И т.д.
Обратите внимание - все темы разноплановые, но безусловно интересные и насущные для многих. Тем более, что они нигде еще не читались и не будут ограничены короткими 15-минутными выступлениями. У вас будет возможность не только погрузиться в часовой мастер-класс, но и задать свои вопросы спикеру, пообщаться с ним в кулуарах, и иными способами удовлетворить свою жажду знаний. Кстати, никакого законодательства не будет. Это осознанное решение. Этих докладов было уже столько (а будет в контексте принятого ФЗ-187 по БКИИ и новых ГОСТов Банка России еще больше), что не хочется тратить драгоценное время на повтор или очередную страшилку, которую можно будет услышать в другом месте. 

Должно получиться очень неплохо. Я верю в это и опыт сочинского "Код ИБ. Профи" доказывает, что это вполне осуществимая задача. Регистрируйтесь! До 31-го декабря действует скидка в 15% на все пакеты участия (они разные). Давайте вместе создавать хорошие мероприятия по ИБ - с минимумом рекламы и максимум пользы для слушателей!

ЗЫ. Как вы могли заметить, у нас в программе есть 4 свободных тайм-слота. Поэтому если вам есть, что сказать, то милости просим. Мы не делаем никаких ограничений на участие в программе с докладом. Выступить может как признанный эксперт, срывающий овации на каждом своем выступлении, так и начинающий специалист, которому уже есть чем поделиться. Вы можете быть представителем вендора/интегратора или работать на стороне заказчика. Основное требование – доклад должен быть интересным, актуальным, ранее нигде не прочитанным, а вы должны иметь подтвержденный опыт выступлений.

Чтобы направить вас по нужному пути, сразу хочу сказать, каких докладов видеть не хочется:

  • Рекламирующих (даже неявно) конкретные продукты, услуги и компании. Исключение составляет какая-либо релевантная статистика, собранная вашими компаниями (если применимо к мастер-классу), или разработанные вами бесплатные продукты, услуги, документы, шаблоны и иные полезные в работе материалы. В любом случае решение за организаторами и куратором программы.
  • Посвященные законодательству, еще не вступившему в силу (да и вступившему тоже).
  • Не имеющих практической ценности. Обзоры технологий, атак, стандартов – это интересно, но из них слушатели врядли вынесут что-то, что можно будет применить на практике, на следующий день после мероприятия. Вообще я не против таких выступлений и сам с такими часто выступаю, но у "Код ИБ. Профи" немного иная цель.
ЗЗЫ. Особо пытливые умы могут обратить внимание, что на главной странице сайта мероприятия указано 31 мастер-класса, а я написал про 24. Никакой ошибки тут нет. Следуя практике RSA Conference или Gartnter Risk & Security Summit выделяются спонсируемые вендорами/интеграторами мастер-классы, которые позволят финансово поддержать мероприятие и предложить участникам различные "плюшки". Отличие этих мастер-классов в том, что там не столь жесткая модерация, как в основной программе. Хотя по опыту Сочи могу сказать, что "спонсорские" доклады тоже были местами спорные (очень спорные), но интересные и вызвавшие дискуссию. По аналогии с Gartner'овской конференцией все спонсорские мероприятия идут параллельно в течение одного часа в первый и во второй день, тем самым у вас появляется выбор - слушать их или, в случае с непонравившейся вам рекламой, потратить время на рабочие вопросы (ответить на звонки или почту).

Приходите, будет интересно!

12.12.2017

Планы по стандартизации ИБ финансовых организаций

Сегодня утром проходило заседании ПК1 ТК122 Банка России, посвященное стандартизации ИБ в финансовых организациях, на котором решалось 3 вопроса:

  • обсуждение и голосование за ГОСТа 57580.2 по оценке соответствия защитных мер, описываемых ГОСТом 57580.1 (единогласно при одном воздержавшемся)
  • обсуждение и голосование за СТО по безопасности аутсорсинга (единогласно)
  • обсуждение планов подкомитета по разработке новых стандартов по ИБ.
В качестве резюме хочется тезисно отметить следующее:
  • ЦБ выделяет для себя на ближайшие годы (до 2021 года) 5 направлений развития - управление киберрисками, взаимодействие с поставщиками услуг, управление инцидентами, киберустойчивость и мониторинг киберрисков и ситуационная осведомленность.
  • Стандарт по киберрискам - это реинкарнация СТО 1.0, который был посвящен преимущественно вопросам управления ИБ и управления рисками. В недавно принятом ГОСТ 57580.1 описаны защитные меры (то есть вопросы уровнем ниже). Отсюда логичное желание регулятора трансформировать СТО 1.0 в ГОСТ, что постепенно и будет происходить. Пока же СТО 1.0 (как и СТО 1.2) остаются и отменять их никто не будет. В паре с этим ГОСТом будет и стандарт по оценке соответствия (также в статусе ГОСТа).
  • Сам комплекс стандартов по ИБ (СТОБР) продолжит существовать и будет выполнять методологическую функцию. По сути на нем будут апробировать различные направления, которые затем будут входить в состав ГОСТов или нормативных актов Банка России.
  • СТО 1.3 по сбору данных для расследования инцидентов и РС 2.5 по менеджменту инцидентов трансформируются в соответствующие ГОСТы, к которым добавится третий стандарт по обмену информацией об ИБ между финансовыми организациями и ФинЦЕРТом.
  • Появится ГОСТ по аудиту, приходящий на смену СТО 1.1.
  • Планируемый сейчас СТО по ИБ аутсорсинга трансформируется со временем в ГОСТ. А в пару к нему появится стандарт по ИБ при использовании информационных сервисов.
  • Ранее неоднократно упоминаемая тема по киберустойчивости трансформировалась в ГОСТ по обеспечению непрерывности выполнения бизнес и технологических процессов (и тут АСУ ТП :-) и ГОСТ по оценке соответствия этим требованиям.
  • Наконец, пятым направлением станет разработка ГОСТа по мониторингу киберрисков (модная тема) и ситуационной осведомленности и ГОСТа по оценке соответствия в данной сфере. 
Визуально, план работы ПК1 ТК122 Банка России я бы отразил примерно так (серым показано то, что уже разработано и практически принято):

Помимо этого я бы отметил несколько интересных тезисов, прозвучавших на мероприятии:

  • Планируемый в свое время СТО по некредитным финансовым организациям (а точнее два СТО) плавно перетечет в ГОСТ 57580.1. Ну тут никаких сюрпризов - это было логично; зачем городить СТО, если новый ГОСТ и так покрывает НКФО. Ну и остальные ГОСТы, упомянутые выше, будут учитывать специфику НКФО. 
  • Во исполнении пунктов ГОСТа и новой редакции 382-П, требующих оценки соответствия платежных и финансовых приложений (в виде сертификации или оценки уязвимостей), ЦБ подготовил профиль защиты, направленный в ФСТЭК России на согласование. Соответственно разработчикам банковского и финансового ПО стоит подготовиться к данной процедуре.
  • Аккредитации поставщиков услуг аутсорсинга ИБ не планируется, а вот тема некой "аккредитации" (хотя скорее это некоторая форма оценки качества работ) аудиторов поднималась и в каком-то виде будет реализована. Либо это будет добровольная сертификация, либо саморегулируемая организация. Вопрос пока в стадии обсуждения.
  • ЦБ активно копает тему страхования киберрисков, но каких-то конкретных действий и стандартов не озвучено. Какая-то ясность будет на Магнитогорском форуме, регистрация на который уже началась.
  • Применительно к теме КИИ ЦБ никаких документов не планирует выпускать. Регулятором является ФСТЭК и именно она пишет требования к безопасности значимых объектов КИИ. ФСБ в свою очередь устанавливает требования по присоединению финансовых организаций к ГосСОПКЕ. По оценка ЦБ, и я с ними согласен, не очень много финансовых организаций будет иметь значимые объекты. А вот отправлять данные по инцидентам в ГосСОПКУ придется. Правда тут мы с ЦБ не сходимся во мнении. Они считают, что ФинЦЕРТ является ведомственным центром ГосСОПКИ и финансовые организации смогут без проблем направлять данные об инцидентах только в одну сторону, в ФинЦЕРТ, который уже сам все направит в ГосСОПКУ. Я по формальным признакам с этим не согласен, но буду рад ошибиться.
  • Новая редакция 382-П (я о ней писал) находится на согласовании в ФСБ и скоро должна быть отправлена в Минюст на утверждение. Предположу, что это произойдет достаточно скоро и она вступит в действие (как и новая редакция 2831-У) с 1-го июля 2018-го года. Самое главное, что в ней не будет ссылок на новый ГОСТ 57580.1. Это произойдет в следующей версии 382-П, работа над которой начнется сразу после принятия текущего проекта. В принципе это было известно давно, но многие почему-то считали, что принятие в августе нового ГОСТа означает, что теперь на него ЦБ вставит ссылки во все свои нормативные акты. Это не так. Процесс небыстрый и требует, как минимум, разработки всей номенклатуры основных ГОСТов по защите информации и управлению киберрисками, что также займет определенное время.

Вот такой набор новостей по тому, что ЦБ готовит финансовым организациям с точки зрения нормативных требований. Обратите внимание, что на организации возрастет нагрузка по выполнению требований и, самое главное, оценке соответствия им. Запланирована разработка 5 стандартов по оценке соответствия и это помимо оценки, предусмотренной 382-П, а также иными требованиями, распространяющимися на финансовые организации (PCI DSS, SWIFT и т.д.). Вот такие дела...

Можно ли взимать деньги за законную обязанность или кто платит за подключение к ГосСОПКЕ? #socforum

Вчера я задался вроде бы и риторическим на первый взгляд, но не таким уж и простым вопросом. А кто платит за подключение финансовых организаций к ГосСОПКЕ, если они не смогут отправлять данные об инцидентах через ФинЦЕРТ? Если я правильно читаю ФЗ-187 и методические рекомендации ФСБ по созданию ведомственных и корпоративных центров, то субъект не может напрямую подключиться к ГосСОПКЕ - ему нужен ведомственный или корпоративный центр, который и будет принимать соответствующие данные об инцидентах и пересылать их в Головной центр ГосСОПКИ.

Если мы посмотрим на такие структуры как РЖД, Сбербанк, Газпром, Росатом, Ростех, ФНС, ФТС и другие аналогичные по масштабу государственные и коммерческие структуры, то никаких сложностей у них с созданием своих собственных ведомственных или корпоративных центров ГосСОПКИ нет. Они без особых проблем смогут создать такие центры и обязать все подчиненные структуры, дочерние предприятия, удаленные офисы и т.п. направлять всю информацию к ним. По сути речь идет о обычном SOCе, который будет сопряжен с ГосСОПКОЙ. Но что делать тем, кто не является частью холдинга или крупного ведомства?

Возьмем какую-нибудь значимую платежную систему или предприятие электроэнергетики. Смею предположить, что они могут попасть под категории, установленные Постановлением Правительства о категорировании значимых объектов КИИ. И они обязаны будут направлять данные об инцидентах на своих объектах в ГосСОПКУ - это их обязанность, от которой нельзя отказаться. Но как они будут направлять? Напрямую нельзя. Своего ведомственного или корпоративного центра у них нет. Через чужой ведомственный центр? Ну только если он создан в рамках той же отрасли, например, у МинЭнерго (если такой появится). А у платежной системы? Как мы увидели вчера ФинЦЕРТ ЦБ пока не может считаться ведомственным центром ГосСОПКИ. И как быть? Остается искать какой-либо корпоративный центр и заключать с ним договор. Собственно в методичке ФСБ и написано, что в этом и заключается основная роль корпоративных центров. Только есть одно "но".

Уведомлять об инцидентах ГосСОПКУ - это обязанность субъекта, а заключать с ним договор - это право корпоративного центра (от него и отказаться можно). Более того, скромно предположу, что корпоративный центр не будет работать бесплатно. И если отправку данных об инцидентах в рамках договора на более широкие услуги аутсорсингового SOC еще можно понять, то что делать, если субъект КИИ не хочет никакого внешнего SOC и ему надо просто отправить в ФСБ то, что от него требует закон и от чего отказаться никак нельзя? Почему он должен платить за то, что его обязывают делать и за невыполнение чего предусмотрена ответственность (может быть даже уголовная)?


Странная ситуация. Ее могли бы исправить территориальные и региональные центры ГосСОПКИ, которые могут быть созданы ФСБ и которые могли бы взять на себя функцию приема сообщений от субъектов КИИ, которые не подключены ни к корпоративным, ни к ведомственным центрам. Но есть ли они? И какова процедура работы с ними? На SOC Forum эта тема не звучала, оставшись за рамками всех докладов. Вообще тема взаимодействия именно субъектов КИИ с ГосСОПКОЙ на SOC Forum была раскрыта не полностью, как мне кажется. Возможно ответ дадут готовящиеся в ФСБ приказы:

  • Перечень информации, предоставляемой в ГосСОПКА и порядок ее предоставления
  • Порядок обмена информацией о компьютерных инцидентах
  • Порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер ликвидации последствий,
но пока их нет и до 1-го января остается совсем немного времени на их разработку и принятие. 


Кстати, бытует мнение, что направлять данные об инцидентах в ГосСОПКУ должны субъекты КИИ, владеющие только значимыми объектами КИИ. Это было бы классно, сильно уменьшив нагрузку на:
  • обычные поликлиники, которые являются субъектами КИИ только потому, что входят в сферу здравоохранения,
  • микрофинансовые организации и ломбарды, которые являются субъектами КИИ только потому, что входят в сферу финансового рынка,
  • домашних операторов связи, которые являются субъектами КИИ только потому, что входят в сферу связи,
  • и т.п.
Но... Я специально несколько раз перечитал ФЗ-187 и не нашел там никаких ограничений на круг лиц, которые взаимодействуют с ГосСОПКОЙ. Часть 2 статьи 9 начинается со слов "субъекты критической информационной инфраструктуры обязаны" и дальше перечисляется три обязанности - информирование об инцидентах, оказание содействия сотрудникам ФСБ и выполнение порядка эксплуатации средств ГосСОПКИ. Часть 3 той же статьи дополняет этот перечень новыми обязанностями и вот они уже распространяются на владельцев значимых объектов КИИ. Иными словами, независимо от наличия или отсутствия значимых объектов, взаимодействовать с ГосСОПКОЙ придется и вопрос о том, как ломбарду или районной поликлинике подключиться к ней встанет во всей красе. И ответа на него на SOC Forum не было (или я его пропустил).

ЗЫ. Решение описанной в заметке проблемы есть - субъект может стать корпоративным центром и, мониторя самого себя, направлять эти данные в ГосСОПКУ. Вот только выполнить все требования к таким центрам непросто и цена вопроса может быть несоизмеримо большой. А учитывая, что начать уведомлять об инцидентах надо с 1-го января 2018-го года, вопрос встает очень остро.

11.12.2017

ФинЦЕРТ и ГосСОПКА: как им жить вместе #socforum

На прошлой неделе Банк России выложил на официальный портал размещения проектов нормативных актов проект указания "О внесении изменений в Указание Банка России от 9 июня 2012 года № 2831-У "Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств". Я про него уже писал в августе (с тех пор оно не изменилось), но этот проект заставил меня коснуться темы связи между ФинЦЕРТом Банка России и ГосСОПКОЙ, о которой я так ничего и не услышал в рамках прошедшего SOC Forum. Будем считать эту заметку первой в серии по результатам московского SOC Forum 2017.

Стенд ФинЦЕРТ на SOC Forum (фото АвангардПро)
Итак, что же я хотел услышать на SOC Forum про взаимоотношения ГосСОПКИ и ФинЦЕРТа? Ответ на очень простой вопрос - как финансовые организации, которые окажутся владельцами значимых объектов КИИ, должны будут сообщать об инцидентах в ГосСОПКУ при условии, что сейчас они и так (правда, по требованиям ЦБ, а не ФЗ-187) отправляют данные об инцидентах в ФинЦЕРТ? В части 552-П такая отправка осуществляется в течение 3-х часов с момента наступления/обнаружения инцидента. По 2831-У 203-я форма отчетности об инцидентах направляется раз в месяц. По проекту изменений в 2831-У, упомянутому выше, это будет делаться раз в квартал или раз в полгода и отчетность не будет содержать данных об инцидентах. Такое изменение связано с тем, что в проекте новой редакции 382-П написано, что все данные об инцидентах направляются в ФинЦЕРТ в порядке, установленном Банком России и размещенном на официальном сайте ЦБ. Такого порядка еще нет, но я не думаю, что там будет указано значение, отличное от 552-П, то есть 3 часа на уведомление об инцидентах.

А теперь вновь повторю вопрос. Финансовая организация, владеющая значимым объектом КИИ, должна направлять данные об инцидентах только в ФинЦЕРТ (а он уже сам все отправит дальше в ГосСОПКУ) или помимо ФинЦЕРТа надо дублировать информацию и для ГосСОПКИ? Вопрос непраздный. Первый вариант предпочтительнее для всех, так как он не меняет сложившейся за последнее время ситуации.

Артем Калашников, руководитель ФинЦЕРТ

Но чтобы реализовать этот сценарий нужно, чтобы ФинЦЕРТ числился корпоративным или ведомственным центром ГосСОПКИ. Однако, согласно методическим рекомендациям ФСБ по созданию ведомственных и корпоративных центров ГосСОПКИ к таковым относятся только:
  • госкорпорации
  • операторы связи
  • лицензиаты в области защиты информации
  • органы госвласти.


Так вот особый статус Банка России, который не относится ни к одной из этих 4-х сущностей, не позволяет стать ему ни корпоративным, ни ведомственным центром. И отсюда вытекает сразу два важных вопроса вопрос:
  • Придется ли финансовым организациям направлять данные об инцидентах в ГосСОПКУ напрямую? Судя по ст.9.2 ФЗ-187 да, придется отправлять данные об инцидентах в обе стороны - ФинЦЕРТ и ГосСОПКУ. Хотелось бы, конечно, уменьшить число точек входа.
  • В течение какого интервала времени надо будет отправлять сведения об инцидентах? В ст.9.2 ФЗ-187 говорится "незамедлительно". Что это означает? Не хотелось бы, чтобы у ФСБ и ЦБ были разные порядки уведомления, что повлечет за собой удвоение работы по выполнению требований и ФЗ-187 и 382-П/552-П.
  • Если финансовые организации вынуждены будут отправлять данные об инцидентах в ГосСОПКУ, то как это должно происходить? Кто будет тем корпоративным центром, который будет принимать данные от финансовой отрасли и отправлять их в головной центр ГосСОПКИ? А самое главное, будет ли это бесплатно?


На эти вопросы, к сожалению, ответа пока нет и, к сожалению, на SOC Forum о них никто не говорил. Да, думаю, никто пока и не может сказать ничего конкретного. Очень уж много неясного в спешке разработанном и принятом ФЗ-187. Все участники процесса пытаются найти устраивающие всех решения, но надо понимать, что есть и непреодолимые обстоятельства, которые могут всему помешать. Зовут эти обстоятельства - юристы.

Зато выступление Андрея Думанского из ФинЦЕРТ было неплохим - подробно были освещены направления деятельности ФинЦЕРТ, достигнутые результаты, сложности в работе. Из нового (по сравнению с ранними выступлениями на InfoSecurity Russia и закрытом клубе SOC Club) я бы отметил следующие моменты:
  • вступление ФинЦЕРТ в FIRST и EAST EGAF
  • проведение криминалистических экспертиз (компьютерных исследований)
  • автоматизацию процесса отправки индикаторов компрометации (до конца года хотят запустить).



ЗЫ. На смену упомянутым выше методическим рекомендациям ФСБ готовит требования к корпоративным и ведомственным центрам. Может быть там учесть статус ФинЦЕРТ? Правда, статью 9.2 ФЗ-187 это все равно не отменит.