вторник, 27 декабря 2011 г.

Детальное руководство по оценке рисков информационной безопасности из Канады

Разбирая материалы по оценке рисков информационной безопасности наткнулся на руководство по оценке рисков ИБ от канадского агенства CSEC (сайт организации). Документ носит название Harmonized Threat and Risk Assessment Methodology и доступен для скачивания здесь, дополнительные материалы, относящиеся к этому руководству доступны по этой ссылке.

Не смотря на то, что материал разработан аж в 2007 году, он все еще не потерял актуальности на мой взгляд.  Для тех кто в состоянии читать на английском языке (кто не может, тем рекомендую заняться изучением английского), крайне рекомендую ознакомится с этим документом, очень достойный материал.

В частности в материале достаточно подробно описаны следующие вещи:
  • Организация проекта по проведению оценки рисков (вовлечение руководства, формирование рабочей группы, привлечение сторонних консультантов)
  • Определение границ проведения оценки рисков (описаны различне подходы к выбору области проведения оценки рисков)
  • Подходы к идентификации и классификации активов (включая методы сбора первичной информации, формы для описания перечней активов)
  • Описание различия между BIA (Business Impact Analysis), PIA (Privacy Impact Analysis) и TRA (Threat and Risk Assessment)
  • Классификация и описание возможных угроз информационной безопасности (с примерными перечнями). Впервые я встречаю в описании упоминание о прямых (direct) и непрямых(indirect) угрозах.
  • Определение защитных мер, включая оценку их эффективности применительно к возможным угрозам
... и еще много чего интересного.  Ниже привожу несколько скриншотов из данного документа.






P.S. Еще раз подчеркну, что для тех, кто серьезно интересуется тематикой оценки рисков данный материал может стать довольно полезным. 

воскресенье, 25 декабря 2011 г.

Итоги года уходящего и прогноз на 2012

Ну вот, коллеги, подходит к концу довольно непростой 2011 год. В этом посте мне бы хотелось оглянуться на те события, которые происходили в этом году, на мой прогноз, который я давал в прошлом году, и немного поразмышлять о прогнозах на год грядущий. 

Для начала вспомним о том, какие прогнозы я давал в прошлом году и насколько они сбылись:

Прогноз 1 (привожу лишь некоторые купюры): "Усилятся (расширятся) регуляторные требования по информационной безопасности. ..... Понятно, что персональные данные по прежнему будут превалировать, но и другие темы так же начнут себя проявлять. Законопроект Резника примут по моим оценкам в марте-апреле 2011 г после чего либо дадут еще какую-то отсрочку (т.к. до 1 июля все равно мало кто успеет выполнить требования обновленного закона), либо просто проводимые проверки будут ограничиваться только предписаниями без серьезных санкций. Также интересным является и то, что на мой взгляд сейчас сохраняется неопределенность в том, кто же будет предъявлять требования и проверять. ФСТЭК уже пытаются оттеснить от вопросов формирования требований и проведения проверок..... Думается мне, что все же негосударственным организациям будет предоставлена свобода выбора методов и способов защиты персональных данных...."

Все мы знаем чем закончилась (или может быть все же не закончилось) эпопея с поправками в 152-ФЗ. Прогноз об усилении регуляторных требований оправдался, прогноз о том, что ФСТЭК будут оттеснять оправдался (сейчас работу по разработке требований возглавляет ФСБ), а вот насчет свободы, точнее отказ от нее ... это конечно самая большая ошибка наших законодателей на мой взгляд.

Прогноз 2: Помимо тематики соответствия требованиям я думаю, что стоит ожидать усиления хакерской активности, приводящей к краже данных пользователей с целью получения денег (это и мошенничество в ДБО, фишинг и социальная инженерия). Думается мне, что 2011 г. может порадовать нас несколькими крупными инцидентами.

Этот прогноз тоже оправдался. Усиление хакерской активности это даже пожалуй слабо сказано. В этом году мы все услышали и про Anonymous и про LulzSec.  А что касается крупных инцидентов, то тут взлом RSA безусловно можно назвать не просто крупным, а крупнейшим инцидентом из произошедших за последние годы. Но RSA - это лишь одна из компании, взлому также подверглись компании Sony, MySQL, Epsilon, Acer, Honda, Nintendo и многие другие.

Прогноз 3: Помимо этого 2011 г. продолжит тенденцию "мобилизации", т.е. все большее количество сотрудников будет использовать для своей работы различные мобильные устройства: смартфоны, планшетные компьютеры (ipad и проч.), ноутбуки, а это в свою очередь все больше будет осложнять вопрос с обеспечением безопасности

Прогноз оправдался. В текущем году только в России было продано более 1 млн. планшетов. Многие компании теперь задумываются над такой проблемой как использование личных мобильных устройств в бизнес среде (на западе эту тенденцию назвали consumerisation of IT) и связанными с этим проблемами с безопасностью. Что же касается появления новых угроз, то тут активно начали работать вирусописатели под платформу Android (примеры тут, тут и тут).

Прогноз 4: Кадровый голод. Думаю что в 2011 году он проявится еще более остро. Хороших специалистов у нас во всех областях мало, а в ИБ и подавно. ...... Это хорошая пора для консультантов, т.к. в условиях отсутствия своих сил (и наличия денег) компании будут обращаться к их услугам, но ведь и им тоже потребутся специалисты, причем опытные и вот тут начнется драка за людей и жесткий хед-хантинг :)

Прогноз, на мой взгляд, оправдался частично. Специалисты по информационной безопасности нужны многим, на сайтах работы можно на вскидку найти с десяток вакансий от младшего специалиста до руководителя службы информационной безопасности. Активнее всего людей сейчас ищут банки (оно и понятно, СТО БР поднять - это не так уж и просто).  Но при этом никакого жесткого хед-хантинга все же на рынке не наблюдается. Связано это с тем, что необдуманные действия наших законодателей с принятием поправок в 152-ФЗ ввели всех в ступор и многие компании заняли выжидательную позицию. Да и призрак второй волны мирового финансового кризиса не прибавляет желания активно набирать людей.

Прогноз 5: Cloud Computing в России. Да, про облачные вычисления говорят уже давно, но в России пока я не встречал серьезных предложений по теме облачных вычислений, хотя уже сейчас появляются компании, готовые предоставить сервис, отвечающий требованиям 152-ФЗ. Во многом пока это чистая профанация, но я думаю, что в будущем году сервисы на базе облачных вычислений начнут набирать обороты, а это в свою очередь будет создать интересные преценденты (читай проблемы), связанные с обеспечением безопасности информации в таких "облаках" и контроля за их утечкой.

Прогноз почти не оправдался. С развитием ИТ в России все откровенно говоря не очень. Хотя, искренне удивило то, что под конец года появилась информация о том, что Роскомнадзор взялся разрабатывать требования к облачным платформам. Ну посмотрим что из этого выйдет.

Подводя итоги важнейших событий уходящего года, я бы еще отметил проведение в России двух хакерских конференций - Positive Hack Days и ZeroNights. Еще год назад многим казалось, что у нас такое просто невозможно организовать, но как оказалось мы тоже можем устраивать достойные мероприятия (к сожалению сам попасть не смог, надеюсь на будущий год организаторы про меня не забудут :) )

Теперь о грядущем. Что же нас ожидает ?  Для начала посмотрим на прогнозы других экспертов и компаний, которые уже появились в сети:
  • Лаборатория Касперского подвела итоги 2011 года и сделала прогнозы на 2012 год. Отчет доступен тут.
  • Прогноз до 2016 г. от Gartner опубликовал сайт PCIDSS.ru. Ссылка.
  • Компания StoneSoft опубликовала довольно короткий прогноз на 2012 г. Ссылка.
  • Предсказания на 2012 г. от Технического директора компании Imperva. Ссылка.
  • Прогноз на 2012 г. от экспертов компании ESET. Ссылка.
Позволю себе также сделать несколько прогнозов:

1) Увеличение количества ИТ-инцидентов, связанных со сбоями и техногенными авариями. Я не верю в конец света в 2012 г., но я убежден, что компаниям, особенно крупным, надо прорабатывать вопросы непрерывности деятельности и восстановления после аварий. Shit happens, все неприятности невозможно будет предотвратить, но суметь оперативно отреагировать - жизненно важно.

2) Законодательный винегрет. По-другому никак не могу это назвать, прошедший год показал, что людей, способных писать адекватную нормативную базу в области ИТ/ИБ в госорганах практически не осталось. Надо быть готовым к появлению массы коллизий, спорных норм и двойных стандартов (вроде использования неразрешенной криптографии на государственных ресурсах). Однако, как показывает исторический опыт, неадекватное регулирование и излишнее завинчивание гаек рождает рост протестных настроений. И обрести они могут самую разную форму.

3) Усиление хакерской активности. Тут ничего нового, это многолетний тренд. Объемы вредоносного кода и масштабы хакерских атак растут год от года. В предстоящем году эту тенденцию может подхлестнуть ухудшающаяся экономическая ситуация. При этом все большее количество атак будет носить направленный характер (targeted attack).

4) Снижение внимания  к информационной безопасности. Неожиданный прогноз :)  но все происходящие в последнее время события показывают, что в стране накопилось множество проблем... в политике, в экономие, в промышленности (на днях потеряли очередной спутник.. как ни грустно об этом говорить, но мы проср..ли почти все что можно было). И в этой связи вопросы информационной безопасности конечно будут волновать государство и бизнес, но приоритет этих вопросов серьезно снизится.

Вот такие вот мысли, коллеги.  Но самое главное - не терять оптимизма !  Всех с наступающим новым годом !  :)

суббота, 24 декабря 2011 г.

Перемен, требуют наши сердца ! (В.Цой)

Мы часто видим, как государство принимает неверную позицию относительно развития информационных технологий в России.

Пора что-то делать - http://on.fb.me/s6YtU7  !!!

P.S. Данный пост не является агитацией, а лишь предназначен для того, чтобы собрать на одной информационной площадке всех, кто не равнодушен к ситуации, которая творится вокруг профессиональной области, которой многие из нас решили посвятить свою жизнь (ну или хотя бы часть жизни). 

четверг, 22 декабря 2011 г.

Главный по кибер-безопасности

Кибер-война, кибер-шпионаж, защита критичных систем - все эти вопросы волнуют умы наших иностранных коллег, да и мы, собираясь на разного рода мероприятиях, тоже иногда поднимаем эти темы (потом правда опять возвращаемся к насущным вопросам и к надоевшему уже всем 152-ФЗ, тут как в анекдоте: "мыши плакали и кололись, но продолжали есть кактус").  Однако наши зарубежные коллеги  помимо слов еще и делом занимаются (чему многие из нас думаю тайно завидуют). И дело это заключается в том, что в разных странах появляются отдельные органы (или люди) задача которых - на государственном уровне продвигать вопросы кибер-безопасности.  Вот лишь несколько примеров:

Австралия
Март 2011. Австралийское правительство в рамках реализации национальной стратегии кибербезопасности объявило о создании государственного подразделения, отвечающего за национальную кибербезопасность. В задачи нового подразделения войдет защита правительственных и военных сетей, а также ИТ-ресурсов, включая открытые и закрытие ресурсы, от хакерских атак.
Новое подразделение создано на базе австралийской разведки ASIO (Australian Security Intelligence Organisation) и будет фактически работать под началом данного государственного института. Также сообщается, что новая служба будет тесно взаимодействовать с CERT Australia (Computer emergency response team Austalia) и центром Cyber Security Operations Centre (CSOC), работающим при Министерстве обороны страны. В задачи новой службы кибербезопасности также будет входить борьба с кибершпионажем и утечками информации из стратегически важных источников.
Сайт этой организации можно посмотреть по этой ссылке

США
Май 2009. Президент США Барак Обама объявил о создании в Белом доме отдела по кибербезопасности, во главе которого будет стоять "киберцарь", сообщает агентство AP.
Обама заявил, что хакеры являются одной из главных угроз экономической и национальной безопасности США. "В масштабах страны и в масштабах правительства мы не готовы справиться с этой проблемой в полном объеме", - заявил президент США на пресс-конференции в Белом доме.

"Киберцарь" будет отчитываться перед Советом национальной безопасности и Экономическим советом, а также будет "регулярно" встречаться с президентом. Как передает AFP, его обязанности будут заключаться в координации работы правительственных агентств и усилий по обеспечению информационной безопасности.

Франция
2009г. Агенство по национальной безопасности информационных систем (ANSSI) было учреждено Декретом № 2009-834 от 7 июля 2009 года ( Официальный вестник от 8 июля 2009г.), в качестве национальной службы. Оно прикреплено к Генеральному секретарю по вопросам обороны и национальной безопасности (SGDSN), орган, ответственный за оказание помощи премьер-министру в вопросах обороны и национальной безопасности. К основным задачам агенства относятся: обеспечение безопасности государственных информационных систем, координация действий по обороне информационных систем, проектированию и развертыванию телекоммуникационных систем с целью решения задач высшего руководства страны, обеспечения надежного межведомственного взаимодействия, а также создания условий для атмосферы доверия и безопасности, способствующих развитию информационного общества во Франции и Европе.

Сайт этой организации можно посмотреть по этой ссылке.

Германия
В германии еще с 80-х годов прошлого века существует служба, отвечающая за вопросы информационной безопасности - Bundesamt für Sicherheit in der Informationstechnik (BSI). Возможно кто-то слышал об этой организации, они выпускают довольно интересный справочный каталог по безопасности - IT Grundschutzhandbuch, а также поддерживают собственные стандарты по ИБ, созданные на основе стандартов серии ISO 2700x.

Сайт этой организации здесь.

Украина
Да, даже наши соседи предприняли попытку :). В Украине появится специальный орган по обеспечению информационной безопасности. Правда судя по тексту, пока все же законопроект забраковали... НО, был сделан первый шаг.

Россия ???
А что же на нашей Родине ?  Кто у нас отвечает за эти вопросы и занимается этими проблемами ?  ФСТЭК ? ФСБ ? Отдел К в МВД ?

Думается мне, что все же в текущем раскладе никто. Кстати, все уже слышали о том, что в новой думе упразднили комитет по ИТ ?

Вот, читаем:

Комитет по информационной политике, ИТ и связи перестанет существовать в Госдуме нового созыва. Деятельность по этому направлению будет возложена на комитет культуры, возглавляемый режиссером Станиславом Говорухиным.

Подробнее: http://www.cnews.ru/news/top/index.shtml?2011/12/20/469659

Замечательно. Я ничего не имею против Станислава Сергеевича, но думаю что в описанных выше вопросах он не сильно разбирается.

Кроме того, я слышал что Госдуму покинула (или скоро покинет) Волчинская Елена Константиновна. Очень грамотная на мой взгляд женщина, по крайней мере на разного рода ИБ-конференциях она говорила очень правильные вещи.

Ну и где эта модернизация ?  Почему никто на государственном уровне не решает вопросы кибербезопасности в частности и вопросы информационной и ИТ безопасности вообще ?

P.S. Я конечно понимаю, что вопросы в никуда...... Хотя может быть кто-то знает кому их можно задать ? :)

понедельник, 19 декабря 2011 г.

План проверок Роскомнадзора на 2012 год в формате Excel

План проверок РКН на следующий год был опубликован в конце ноября (Алексей Лукацкий уже писал об этом тут).  Но не знаю кому как, а лично мне формат данного отчета (MS Word) абсолютно неудобен. 

Поэтому я перевел план в формат Excel, отфильтровал только те проверки, которые включают в себя вопросы соблюдения законодательства о персональных данных и удалил ряд незначащих (по моему мнению) столбцов. 

Скачать план проверок можно здесь.  Пользуйтесь, коллеги !

вторник, 13 декабря 2011 г.

Новый номер журнала (IN)SECURE

Вышел в свет декабрьский номер журнала (IN)SECURE, на мой взгляд одного из лучших изданий в нашей отрасли.

В этом номере:

  • 7 questions you always wanted to ask a professional vulnerability researcher
  • Insights on drive-by browser history stealing
  • Review: Kingston DataTraveler 6000
  • RSA Conference Europe 2011
  • PacketFence: Because NAC doesn't have to be hard!
  • Information security and the threat landscape with Raj Samani
  • Security is a dirty word
  • Smartphone apps are not that smart: Insecure development practices
  • Virus Bulletin 2011
  • Infosec professionals: Accomplishing your day job without breaking the law
  • WPScan: WordPress Security Scanner
  • Securing the enterprise: Is your IT department under siege?
Скачать журнал можно здесь.

воскресенье, 11 декабря 2011 г.

Мини-DLP, но главное бесплатно

На выходных нашел в интернете компанию, занимающуюся разработкой различного ПО, позволяющего проводить анализ инфраструктуры Microsoft (групп, политик, прав, настроек баз данных проч.).

Что меня заинтересовало - это то, что они предлагают бесплатную систему DLP. Сказано конечно громко насчет именно DLP. Дело в том, что данная программа выполняет только одну функцию современных DLP-систем - она позволяет проводить поиск конфиденциальной информации по заранее заданным шаблонам (в программе есть как уже настроенные шаблоны для поиска, так и возможность создать свои). Ниже парочка скриншотов


































Я не отношу себя к поклонникам сэкономить на всем и вся (особенно на безопасности), но для тех, кто не может позволить себе полноценную DLP-систему, это может быть неплохим инструментом для того, чтобы хотя бы разобраться с тем, что где лежит.

четверг, 8 декабря 2011 г.

Столкновение взглядов: сертифицироваться или нет

И вновь о спорах на профессиональную тему. В этот раз предлагаю обсудить тему сертификаций. Относительно недавно я проводил опрос на эту тему и по его результатам видно, что почти 85% опрошенных подумывают над сертификацией или дополнительным образованием.

Довольно известные аргументы против сертификации:

- сертификация не показывает опыт и знания, а лишь подтверждает умение пройти тест (причем, возможно, заранее наловчившись на дампах);

- серьезные специалисты не сертификации получают, а делом занимаются;

- знания, проверяемые при сертификации, как правило не соответствуют необходимым на практике.

Несколько аргументов за:

- для некоторых вакансий наличие сертификаций является либо обязательным либо крайне предпочтительным (т.е. дает дополнительный плюс при прочих равных);

- для иностранных организаций наличие сертификации является универсальным языком общения (наши институты и специальности, если это не МГУ, для них темный лес);

Мое мнение - все же сертификаты получать нужно, но к выбору того, какой сертификат получать, следует отнестись довольно серьезно. И чувство меры тоже должно быть.

По своему опыту могу сказать, что из тех сертификаций, которые я получал, в качестве серьезных я могу выделить CISSP, CISA и RHCE. Первые две потому как помимо довольно серьезного экзамена (который кстати многие не сдают с первого раза), они еще и требуют постоянное подтверждение компетенции. А RHCE потому что это одна из немногих сертификаций, которая сдается путем именно практического экзамена, т.е. нужно не на вопросы отвечать, а реальную систему настраивать по предоставленному заданию.

Справедливости ради стоит сказать, что мне доводилось встречать CISSPов, которые рассказывали как готовились к экзаменам по брошюркам и дампам, но тем не менее это не уменьшает для меня ценность сертификации.

понедельник, 5 декабря 2011 г.

PDF - скрытая угроза

При том количестве уязвимостей, которое находят исследователи в продуктах компании Adobe в последнее время, можно с уверенностью сказать, что использование pdf-файлов в настоящее время является одной из самых опасных угроз.

Современный бизнес не может отказаться от pdf-файлов и это делает затруднительным работу по защите от данной угрозы. Кроме того следует сказать, что функция sandbox, которая уже давно применяется в браузерах с целью ограничить возможности вредоносного ПО рамками "песочницы", в Adobe Reader появилась только в версии 10.0 и называется Protected Mode (подробнее можно посмотреть здесь).

Помимо перехода на версию 10.0 другим относительно простым способом защиты является переход на альтернативные pdf-читалки. В данном случае работает принцип того, что в альтернативных читалках уязвимости активно никто не ищет по причине невысокого общего объема их использования в мире (хакеры идут простым путем и в первую очередь ориентируются именно на наиболее распространенное ПО) .

Из альтернативных читалок можно выделить Foxit Reader и Nitro PDF Reader.

четверг, 1 декабря 2011 г.

Итоги опроса недели

Итак, рабочая неделя подошла к концу. Публикую результаты опроса, который касался того, чем читатели блога занимаются на работе.












В этом опросе приняло участие пока наибольшее количество человек (если сравнивать с другими опросами). Несколько удивило, что 17% считают что протирают штаны, я надеюсь что вам нравится этот процесс, потому что в противном случае мне кажется, что надо задуматься над сменой работы.

Наибольшее количество специалистов все же относит себя именно к тем, кто занимается информационной безопасностью (защитой информации).

Еще порадовали некоторые ответы тех, кто выбрал "Другое"

"Делаю мир безопаснее", " Провожу в Мир стабильность и надежность" , "работаю", "Думаю чем заняться"... и совсем шедевральное "занимаюсь защитой информации от ИТ-инфраструктуры" :)