четверг, 27 сентября 2012 г.

Постановления Правительства по защите ПДн: смешанные чувства

В минувшую субботу на сайте ФСБ появились проекты Постановлений правительства, определяющих уровни и требования по обеспечению безопасности персональных данных в ИСПДн (ссылка).

Несколько общих замечаний:
  • мы пожалуй единственная страна в мире, в которой предлагается обязать защищать (!) общедоступные персональные данные.  Браво ! 
  • только в нашей стране, согласно этим документам,  могут существовать персональные данные у юридического лица (улыбнуло). 
Самое интересное, что в этот раз мнение по отношению к этим документам у экспертов оказалось полярным. От явно негативного - Алексей Волков,  до сдержанно позитивного - Алексей Лукацкий, Сергей Борисов.

Я не готов присоединиться ни к положительным, ни к резко отрицательным отзывам. Мое мнение - "недолет". Т.е. конечно же эти документы лучше чем, те что были, но из них совершенно непонятно к чему все в конечно итоге придет (к жестким или гибким требованиям). И это как раз и вызывает опасения. Сейчас поясню почему.

Вот как выглядит схема определения уровней и требований по новым проектам:




Т.е. алгоритм следующий:

1) Сперва определяем актуальные для ИСПДн угрозы (как определять пока не понятно, это будет описано в документах ФСТЭК и ФСБ, хотя вот тут на самом деле и будет заложена вся система того какие уровни получит большинство ИСПДн в стране).

2) Далее, поняв какие угрозы актуальны, нам необходимо понять к каким типам они относятся, а если говорить еще проще, надо понять есть ли среди актуальных угрозы, относящиеся к недокументированным возможностям в ОС или прикладном ПО. Т.е. на самом деле все моделирование должно свестить к простому вопросу: есть угроза наличия НДВ или нет ! 


3) Параллельно нам необходимо определить характеристики ИСПДн: объем обрабатываемых данных, характер обрабатываемых данных.

4) После этого, сложив характеристики ИСПДн и информацию о типах актуальных угроз мы можем определить уровень защищенности ИСПДн и, соответственно, предъявляемые требования. Причем 1 и 2 уровни присваются системам если актуальны угрозы НДВ и 3 и 4, если не актуальны.

Схема вроде более-менее нормальная, но в ее основе лежит именно вопрос моделирования угроз и определения актуальны ли угрозы НДВ или нет. Здесь все будет зависеть от того, какую методику определения актуальных угроз придумают ФСТЭК и ФСБ. 

Если по этой методике угроза НДВ будет актуальна всегда (а по-хорошему такие угрозы никогда нельзя исключать, вспомните периодические скандалы про закладки в оборудовании, которое приходит из Китая), то тогда почти всем светит 1-ый и 2-ой уровень защищенности. А если методика не будет жесткой, то тогда можно будет попытаться большинство ИСПДн перевести на 3-ий или 4-ый уровень, обосновав неактуальность угроз НДВ. 

Кстати, еще немного нарушена логика применения средств защиты. Почему если у меня актуальны угрозы НДВ в операционной системе или прикладном ПО (!)  мне предлагается использовать средства защиты, прошедшие оценку соответствия ?  Они же никак не помогут от этой угрозы, т.е. в самих средствах конечно никаких закладок не будет, но в ОС и прикладном ПО они останутся и после применения таких средств защиты.

И конечно же ФСБ интересуется нашим мнением, которое необходимо направить на адрес fsb@fsb.ru. Ха, как вы думаете кто-то читает эту почту ?  Знаете в Linux системах есть такое виртуальное устройство /dev/null, куда можно отправить все что угодно :) ( кто знает тот поймет о чем я).  Но я свои замечания все же отправлю на этот адрес и призываю всех сделать тоже самое. А еще следить за сайтами МЭРа и Минюста, надеюсь что эти документы также будут выложены на сайтах этих ведомств для проведения экспертизы.

пятница, 21 сентября 2012 г.

Даешь вебинары ! На этот раз по теме пресловутого 382-П и безопасности в НПС

Думаю все обратили внимание на то, как серьезно возросло количество вебинаров по различым ИБ тематикам за последнее время. Удивительный всплеск при том что еще весной этого года смотреть / слушать было особо нечего. Я считаю это безусловно позитивной тенденцией, т.к. формат вебинара позволяет получать необходимую информацию в комфортной обстановке, без необходимости куда-то ехать.

Сергей Борисов в своем блоге даже начал вести календар вебинаров. Как говорится на любой вкус и цвет всего можно найти.

Вот информация о еще одном вебинаре, который пройдет в ближайшее время: компания ISM SYSTEMS приглашает всех на вебинар, посвященный вопросу проведения оценки соответствия требованиям к обеспечению защиты информации при осуществлении переводов денежных средств в Национальной платежной системе.

Вебинар пройдет 25-го сентября в 11:00 по Московскому времени. Зарегистрироваться на вебинар можно по ссылке -https://attendee.gotowebinar.com/register/3730703771289005824.

Вебинар приурочен к выпуску нового модуля для системы управления информационной безопасностью ISM Revision – NPS Auditor, который позволяет провести оценку соответствия информационной безопасности требованиям Положения ЦБ № 382-П и получить необходимые отчетные документы.

среда, 19 сентября 2012 г.

Столкновение взглядов: 2х факторная аутентификация

И вновь о спорах на профессиональную тему. В этот раз предлагаю обсудить тему использования средств 2х-факторной аутентификации в корпоративной среде.

Сколько уже писалось о недостатках комбинации логин/пароль как механизма аутентификации, но пароли по-прежнему повсюду и похоже что в ближайшей перспективе своих позиций не потеряют.  А вот 2х-факторная аутентификация так и не находит широкого применения. Давайте рассмотрим возможные аргументы.   

Аргументы "за":
  • Более надежная аутентификация, позволяющая в т.ч. бороться с атаками MitM, подбором паролей и проч.;
  • Возможность обеспечить неотказуемость пользователя от выполненных им действий (ну или по крайней мере повысить вероятность того, что совершенное действие действительно было выполнено пользователем, предъявившим идентификатор);
  • Пользователям не нужно заморачиваться с запоминанием паролей, их регулярной сменой и другими смежными вопросами;
  • Более простой способ обеспечить соответствие различным законодательным и отраслевым требованиям (PCI DSS, СТО БР, 152-ФЗ и др.) 

Аргументы "против":
  • Более дорогостоящее решение;
  • Токены, карточки и тому подобные средства 2х-факторной аутентификации могут быть утеряны, оставлены дома (или в других местах) или повреждены, что сделает невозможным работу пользователя (до получения нового идентификатора);
  • Не все приложения поддерживают 2х-факторную аутентификацию, а значит полный отказ от паролей подчас невозможен, стоит ли тогда заморачиваться ?
Думаю что многие смогут добавить к этому списку еще ряд своих. Что скажете, коллеги ? Стоит ли по вашему мнению игра свеч ?  На мой взгляд все другие аргументы кроме финансового вполне устранимы и не должны быть препятствием к внедрению 2х-факторной аутентфикации.

вторник, 18 сентября 2012 г.

RISSPA инициировала обсуждение терминологии с ФСТЭК

Для тех, кто не в курсе:   RISSPA приглашает сообщество к обсуждению облачной терминологии ФСТЭК России

Ссылка с подробностями - http://risspa.ru/news/risspa-fstek

На мой взгляд это очень хорошая инициатива. Именно этим и должны по хорошему заниматься отраслевые ассоциации вроде RISSPA, АРСИБ и др.  Немного жаль конечно, что обсуждается далеко не самая жизненно важная тема (по моему личному мнению тема "облачной" безопасности для России далеко не самый острый вопрос в поле информационной безопасности).  Но как говорится лиха беда начало. То, что ответственные органы идут на контакт с профессиональным сообществом, можно только приветствовать. 

Так что посмотрим во что это выльется. Всех специалистов с активной жизненной позицией призываю поучаствовать в этой инициативе.

понедельник, 17 сентября 2012 г.

Вебинар компании LETA по продукту Avanpost

Учитывая возросший интерес к теме IDM со стороны наших Заказчиков, мы решили провести повторный вебинар по продукту Avanpost - первому российскому полнофункциональному IDM решению.

Программа Вебинара:
  • Проблематика IDM, обзор решения и опыт внедрения ПК «Avanpost» - Александр Бондаренко, технический директор компании LETA  
     
  • Демонстрация возможностей системы ПК «Avanpost», Дмитрий Василевский, технический директор компании Avanpost
ПК «Avanpost 3.0» – система идентификации и управления доступом к информационным ресурсам предприятия (IDM) и управления инфраструктурой открытых ключей (PKI). А так же ПК «Avanpost 3.0» позволяет решать большой спектр других задач, таких как:
  • управление инфраструктурой открытых ключей (PKI);
  • защита от несанкци-онированного доступа (НСД) ;
  • осуществлять контроль действий пользователей;
  • построение защищенных VPN-соединений.
В рамках вебинара у Вас будет возможность узнать, какие задачи решает ПК Avanpost и как это работает, увидеть демонстрацию системы, а также услышать о реальных реализованных проектах и итогах работы первых внедрений системы. Мы будем рады видеть Вас на нашем вебинаре и ответить на Ваши вопросы и выслушать Ваше мнение!

Участие в мероприятии бесплатное, предварительная регистрация обязательна!

Зарегистрироваться на вебинар Вы можете: по ссылке http://my.comdi.com/event/72904/,  а также по электронной почте bkomarov@leta.ru

четверг, 13 сентября 2012 г.

Проблематика защиты мобильных устройств - часть 5

Снова я решил затронуть вопрос безопасности мобильных устройств и сегодня хотелось бы поговорить непосредственно о средствах защиты, существующих на рынке.

Исходя из того, что я писал уже ранее по этой теме, для мобильных устройств в контексте имеющихся рисков в первую очередь актуально внедрение следующих защитных механизмов:
  • средства контроля доступа
  • средства шифрования устройства
  • средства шифрования каналов связи (VPN)
  • средства антивирусной защиты
  • средства контроля за обращением с информацией (DLP, IRM и т.п.)
Посмотрим что есть в настоящий момент именно с точки зрения бизнес-потребителя. Т.е. нам нужна возможность централизованного развертывания, управления, обновления, мониторинга и пр.

И вот тут сразу же первое огорчение. В настоящий момент еще не существует технологий, позволяющих централизованно установить на мобильное устройство (здесь и далее я понимаю под таковым планшет или смартфон) какое-либо программное обеспечение. Вы можете разослать всем своим пользователям ссылку на программу, находящуюся в App Store или Google Play, и попросить ее установить, но не сможете это сделать за них, как это уже стало привычным для обычных десктопов или ноутбуков. Так что вопросы установки каких-либо агентов, вопросы принудительного обновления программного обеспечения и пр., пока придется выполнять вручную.

Идем дальше. Контроль доступа. И Android и iOS (и, как я предполагаю, Windows 8) содержат функционал блокировки устройства с помощью пароля произвольной длины. Вопрос можно ли этим как-то управлять ? Можно, для этих целей служат системы класса MDM (Mobile Device Management). Такие системы позволяют централизовано управлять параметрами работы мобильных устройств, которые к ней подключены (посредством установки агента на мобильное устройство), и в т.ч. определять необходимость использования и длину пароля. 

Шифрование устройства. Эта функция также по-умолчанию присутствует в  iOS и Android (начиная с версии 2.3.4).  Централизованно включить принудительное шифрование устройства можно также за счет использования MDM системы.

Шифрование каналов связи (VPN). И Android и iOS обладают встроенными VPN-клиентами. Помимо этого есть и сторонние клиенты, например, от компании Cisco. С ГОСТовым шифрованием дела обстоят хуже. Компания Инфотекс выпустила VPN-клиент, но для этого потребуется сделать на устройстве jailbreak, что далеко не всегда приемлемо. С точки зрения централизованного управления, то здесь также в политики MDM системы можно внести параметры VPN-соединений и они автоматически будут применены на всех управляемых устройствах.

Средства антивирусной защиты. Здесь дела пока обстоят несколько хуже. Да, большинство крупных производителей средств антивирусной защиты уже выпустили версии своих продуктов для различных мобильных платформ, НО пока эти продукты ориентированы на конечных потребителей, а не на корпоративных Заказчиков. Т.е. в настоящий момент не существует возможности централизованно устанавливать параметры работы антивирусов, проводить принудительное сканирование, обновление и другие задачи, ставшие уже привычными для администраторов сети.

Средства контроля за обращением с информацией (DLP, IRM и т.п.). В настоящий момент мне известно только 2 продукта, которые могут помочь в борьбе с утечкой конфиденциальной информации через мобильные устройства. Это система DLP от компании Symantec (Symantec Data Loss Prevention for Mobile) и продукт компании Cortado (Cortado Corporate Server), который позволяет ограничить доступ к файлам исключительно на просмотр и исключить возможность пападания файлов с конфиденциальной информацией на мобильное устройство.
Основной проблемой, которую называют производители систем класса DLP, является то, что постоянная работа DLP-агента будет неминуемо сажать батарею устройства и серьезно влиять на время его работы. Решить эту проблему судя по всему пока не получается.  Вот, например, как ее сейчас решает компания Symantec:

Т.е. по сути задача сводится к тому, чтобы весь трафик с мобильного устройства пропускать через корпоративную сеть и на уровне сети уже мониторить трафик и боротья с утечкой.

Вот такая вот картинка, коллеги. Несмотря на бурный рост рынка мобильных устройств, с точки зрения безопасности остается ряд неразрешенных моментов. Пока можно сказать, что начинать решать вопрос обеспечения безопасности мобильных устройств рекомендуется с внедрения системы управления (MDM). Об этих системах и поговорим более подробно в следующий раз.

вторник, 11 сентября 2012 г.

11 сентября

Сегодня годовщина терактов 11 сентября 2001 г. Безусловно эта тратегия сказалась на многих процессах в мире (в первую очередь, конечно же, политических). Повлияло это событие и на нашу отрасль (хотя конечно же главным образом на американском рынке).  Именно после этого терракта вопросы обеспечения непрерывности деятельности (business continuity planning) снова обрели актуальность. В этом году, кстати, требования к системам управления непрерывностью деятельности были стандартизованы на уровне ISO (ссылка). 

В России требования по наличию планов обеспечения непрерывности деятельности (в т.ч. и в части ИТ) пока являются обязательными только на уровне банковской отрасли.

понедельник, 10 сентября 2012 г.

Итак, вам достался отдел ИБ

[Предупреждение: данный пост не предназначен стать учебником или пошаговой инструкцией. Это всего лишь набор идей, которые могут оказаться полезны.]

Итак, вас взяли на работу на должность руководителя отдела ИБ. С чего начать, на что обратить внимание, о чем не забыть ? Вот парочка идей для начала:

Обсудите с руководством ключевые цели, которые ставятся перед подразделением.  Конечно то, что от вас ожидают лучше всего выяснять еще на этапе собеседования, чтобы потом не было неприятных сюрпризов. Однако уже после выхода на работу основные цели и задачи необходимо повторно обсудить и согласовать с руководством.  Идеальный вариант - согласовать показатели, по которым будет оцениваться ваша работа. Кроме того, такой разговор позволяет получить понимание того, насколько вопросы информационой безопасности важны для жизнедеятельности организации.
 
Пообщайтесь с вашими новыми подчинеными. Во-первых нужно быть готовым к тому, что практически наверняка какая-то часть людей уйдет после вашего назначения. Это естесственный процесс. Причин тому может быть масса, в т.ч. и нереализованные амбиции, и застарелые конфликты/обиды и проч. Но именно поэтому важно пообщаться с каждым из подчиненных индивидуально, понять их пожелания, ожидания, цели. С другой стороны и вам будет полезно понять насколько данный сотрудник подходит вам для решения возложенных на ваше подразделение задач. Возможно с кем-то из этих людей вы сами решите расстаться. Цель в конечном итоге проста - удержать ценных людей и избавиться от бездельников, вам нужна команда, способная добиваться результата.

Развивайте презентационные навыки. Работы по обеспечению ИБ, все эти тонкости законодательства и регуляторных требований далеко не всегда понятны бизнес-руководителям. Именно поэтому навыки объяснять сложные профессиональные тонкости простыми словами, которые способы понять люди, не занимающиеся информационной безопасностю, а также умение грамотно представить задачи и проекты, которые выполняются вашим подразделением,  - это крайне ценный навык. Не стоит им пренебрегать.

На этом пока все, продолжение следует....

четверг, 6 сентября 2012 г.

О доверии на рынке информационной безопасности

Продолжая тему предыдущего поста, сегодня хотелось бы коснуться вопроса доверия на рынке товаров и услуг по информационной безопасности.

Дело в том, что в настоящий момент, на мой взгляд, у потребителя (заказчика), нуждающегося в решении какой-то своей прикладной задачи за счет закупки какого-то технического средства или консалтинговой услуги нет совершенно никаких механизмов, которое обеспечат его гарантией, что товар или услуга будут качественными и подходящими для решения его задач. Давайте рассмотрим какие механизмы в принципе сейчас существуют:

Сертификация. Почему по моему мнению это не работает я уже писал тут. В дополнение к сказанному добавлю, что сертификация не проверяет качество исполнения продукта и среди сертифицированных СЗИ хватает таких, которые совершенно не приспособлены для нормальной работы в современной ИТ-инфраструктуре, хотя и выполняют все формальные требования. А во-вторых, есть еще один минус, который на самом свойствинен и другим существущим механизмам, это наличие финансовых взаимоотношений между тем, кто выдает сертификат (сертифицирующая лаборатория) и тем, кто его получает. Т.е. в данном случае клиентами таких лабораторий являются не потребители продукта, а его изготовители. А кто платит, тот в конечном итоге ожидает, что получит заветную бумажку. Теряется элемент непредвзятости и независимости (кто бы мне что не говорил, до тех пор пока будут прямые бизнес-взаимоотношения между этими сторонами я не готов поверить в непредвзятость сертификации).

Органы по аккредитации/аудиторы. Что я здесь имею ввиду. Это разного рода внешние аудиторы, к которым можно отнести аудиторов по ISO-сертификации (9001, 27001 и проч.), а также аудиторы внутри определенных сообществ, к примеру, проверяющие по качеству исполнения услуг со стороны PCI Council или НП АБИСС. При том что этот механизм работает, я тем не менее считаю, что наличие финансовых взаимоотношений (компания, получающая сертификат ISO платит тем, кто этот сертификат выдает, а PCI Council и НП АБИСС живет за счет взносов своих членов) и здесь не позволяет судить о полной независимости суждения проверяющего (предполагаю, что меня попытаются переубедить, но пока достойных аргументов я не встречал).

Обзоры и отчеты от независимых лабораторий/агенств. Ну на примере отчетов AV Test можно было посмотреть, что и здесь бывает такое, что спонсорами каких-то исследований выступают компании-разработчики, а значит опять появляется элемент денежных взаимоотношений между оценщиком и оцениваемым.  Но по сравнению с вышеперечисленными механизмами здесь можно сказать, что все же в мире есть примеры независимых лабораторий, но чаще всего они занимаются проверкой и сравнением антивирусов. Отчетов по системам класса IDM или, например, DLP я что-то не припомню.

Есть еще конечно же знаменитые квадранты фирмы Gartner и надо сказать многие на них ориентируются. Единственное, что меня (и не только меня) смущает в этих отчетах, это непрозрачность методики, по которой продукт попадает в тот или иной квадрант. 

Вот выдержка из Wikipedia:

It has been pointed out that the criteria for the Magic Quadrant cater more towards investors and large vendors than towards buyers.   (полный текст)
 
Обмен мнениями среди специалистов. Это уже из разряда неформальных механизмов, но он работает. Думаю многие из нас сейчас когда выбирают себе новый телефон, плазму, выбирают страховую фирму или заказывают какие-нибудь услуги отправляются в интернет и начинают читают отзывы. Кто и как написал эти отзывы причем не всех интересует. 

Такой обмен мнениями в среде безопасников существует, но он довольно скудаен, а кроме того происходит как правило только в форумах и, к сожалению, на таких площадках быстро найти нужную информацию не всегда получается.

Каков же вывод ?  На мой взгляд нашему рынку нехватает независимых органов, которые могли бы как в случае с рейтинговыми агенствами S&P или Moody's на финансовом рынке, оценивать качество продуктов и услуг оставаясь независимыми и не боясь в том числе критиковать и снижать рейтинги компаний, которые делают некачественный продукт или оказывают некачественный сервис.

понедельник, 3 сентября 2012 г.

Такие разные отчеты об эффективности антивирусов

Прослушал вчера вебинар Symantec, посвященный 12-ой версии Symantec Endpoint Protection и в презентации бросился в глаза вот этот слайд:

Отрыв Symantec от других компаний очень серьезный, но это то как раз и смущает.  Я попытался найти отчет, на основании которого был составлен этот слайд. Мне удалось найти только вот это. Отчет, подготовленный компанией AV Test в феврале 2011 года, и что самое интересное "заказанный компанией Symantec".  Ничего более свежего мне найти не удалось.  Если кто-то сможет, поделитесь ссылкой. 

Но с другой стороны если посмотреть на сайте этой же организации и сравнить Symantec SEP с решением, к примеру, Kaspersky Endpoint Security, то получается следующее:

Как видно по позиции "Protection" Symantec несколько отстает. Но суть в конечном итоге не в этом (как известно на вкус и цвет все фломастеры, в смысле антивирусы, отличаются). Суть в том, что эти отчеты натолкнули меня на 2 вопроса:

1) Правильно ли, что компании-разработчики спонсируют тесты, в которых участвуют в т.ч. и их разработки ? Не снижает ли это ценности и уверенности в качестве отчета ?

2) Стоит ли доверять подобным отчетам о сравнении продуктов при выборе антивируса (межсетевого экрана, сканера уязвимостей  и т.д., нужное подчеркнуть). ?

В связи с этим я решил провети небольшой опрос на тему того, чем руководствуетесь вы при выборе того или иного средства защиты. Свои ответы прошу писать в комментарии к этому посту.

P.S. Вот кстати еще один отчет уже другой организации, в котором Symantec почему то нет вообще.