четверг, 30 мая 2013 г.

Пара интересных отчетов по безопасности для чтения на выходных

Чисто случайно наткнулся на парочку интересных отчетов по информационной безопасности:

The Global State of Information Security Survey 2013 (ссылка)
Verizon The 2013 Data Breach Investigations Report  (ссылка)

среда, 22 мая 2013 г.

Риск-ориентированность в защите ПДн

Свершилось !

21-ый приказ ФСТЭК зарегистрирован и официально опубликован:

Думаю, что многие еще будут писать про этот приказ, Андрей Прозоров (тут и тут) и Сергей Борисов уже опубликовали свои первые комментарии. 

Еще до опубликования этого документа его активно анонсировали на разного рода конференциях, коллеги утверждали что теперь все "как лучших в домах Лондона", в смысле теперь все идет от оценки рисков и проч.  Давайте посмотрим так ли это.  Раскрутим цепочку начиная с текста закона. 

152-ФЗ "О персональных данных"

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке.... 
2. Обеспечение безопасности персональных данных достигается, в частности: ... 
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных; 
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных ...
Уже тут мы видим, что с одной стороны есть необходимость в определении угроз (что фактически является оценкой рисков), а с другой стороны нужно применить меры, необходимые для выполнения требований (т.е обязаловка). Идем дальше:

ПП № 1119 и 21-й приказ ФСТЭК

Постановление правительства № 1119 определяет систему уровней защищенности и требований по информационной безопасности, которые должны быть выполнены для каждого из уровней. 

Причем отнесение системы к тому или иному уровню определяется на основании того, какой тип угрозы актуален для данной системы. 

А вот 21-ый приказ по сути переопределяет требования, прописанные в ПП № 1119.  Кто бы что ни говорил, но это так. Скрыто, но так.   Давайте сравним что написано в этих документах для 4-го уровня защищенности.

ПП 1119:
13. Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
б) обеспечение сохранности носителей персональных данных;
в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Приказ ФСТЭК № 21. Защитные меры для 4-го уровня защищенности включают в себя:
Идентификация и аутентификация пользователей, являющихся работниками оператора  
Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами
... и еще 25 базовых мер. 


Что-то не сходится. Явно все эти меры излишни если задача просто выполнить требования, прописанные в ПП № 1119.  

Но ведь это еще не все.  21-ый приказ ФСТЭК предполагает не только набор требований, но и определенный алгоритм по их адаптации под конкретику защищаемой системы (алгоритм взять из блога Андрея Прозорова):
  • Шаг 2. Определение базового набора мер 

"Определение базового набора мер по обеспечению безопасности ПДн для установленного уровня защищенности ПДн в соответствии с базовыми наборами мер по обеспечению безопасности ПДн перечнем мер, приведенным в приложении к настоящему документу" .

  • Шаг 3. Адаптация набора мер 

"Адаптация базового набора мер по обеспечению безопасности ПДн с учетом структурно-функциональных характеристик информационной системы, информационных технологий, особенностей функционирования информационной системы (в том числе исключение из базового набора мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе оператора, или структурно-функциональными характеристиками, не свойственными информационной системе)."

  • Шаг 4. Уточнение перечня мер с учетом актуальных угроз
"Уточнение адаптированного базового набора мер по обеспечению безопасности ПДн с учетом не выбранных ранее мер, приведенных в приложении к настоящему документу, в результате чего определяются меры по обеспечению безопасности ПДн, направленных на нейтрализацию всех актуальных угроз безопасности ПДн для конкретной информационной системы. 
+"10.При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности ПДн , а также с учетом экономической целесообразности на этапах адаптации базвого набора мер и (или) уточнения адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности ПДн". 
+"13. При использовании в информационных системах новых информационных технологий и выявлении дополнительных угроз безопасности ПДн, для которых не определены меры обеспечения их безопасности, должны разрабатываться компенсирующие меры в соответствии с пунктом 10 настоящего документа."
  • Шаг 5. Дополнение требований 
"Дополнение уточненного адаптированного базового набора мер по обеспечению безопасности ПДн мерами, обеспечивающими выполнение требований к защите ПДн, установленными иными нормативными правовыми актами в области обеспечения безопасности ПДн и защиты информации."

Я специально выделил Шаг 4. Именно в рамках этого шага может потребоваться полноценная оценка рисков ИБ (моделирование угроз), НО ведь никто же не обязывает выполнять этот шаг. В самом простом случае вы можете сказать, что для системы актуальны только угрозы 3-го типа и их нейтрализация достигается путем реализации базового набора мер защиты, прописанного в 21-м приказе ФСТЭК.  Все. 

В сухом остатке имеем то, что нормы законодательства о персональных данных в настоящий момент позволяют идти двумя путями при обеспечении персональных данных:

Упрощенный режим 

1) Проводим простое моделирование угроз в ходе которого рассматриваем 3 типа угроз, определяем что актуальны только угрозы 3-го типа (моделируем только на уровне типов, не опускаясь в детализацию описаний угроз).

2) С учетом дополнительной информации относим систему к 3-му или 4-му уровню защищенности.

3) Выполняем базовый набор мер для соответствующего уровня защищенности (исключая те, которые не подходят под архитектурные особенности защищаемой системы).

Экспертный (расширенный) режим

1) Проводим полноценное моделирование угроз, рассматриваем все возможные негативные сценарии.  Для актуальных угроз определяем их тип. 

2) С учетом дополнительной информации относим систему к соответствующему уровню защищенности.

3) Реализуем набор защитных мер, состоящий из базовых адаптированных мер, указанных в 21-ом приказе ФСТЭК, а также дополнительных мер, необходимых для нейтрализации угроз, которые определены как актуальные в ходе моделирования угроз. 

Не знаю задумывали ли разработчики наличие двух сценариев действий или оно само так получилось. Хорошо это или плохо покажет время...  По сути такая модель с одной стороны подходит и тем, кто хочет выполнять только то, что требуют (подход от обязаловки), и тем, кто пытается строить реальную защиту с учетом актуальных рисков. 

P.S. И все бы хорошо, если бы не эта нестыковка между требованиями в ПП № 1119 и мерами защиты в приказе ФСТЭК № 21.

пятница, 17 мая 2013 г.

Сервис "Google на всякий случай"

Узнал совсем недавно про такой сервис гугла как "Google на всякий случай":


С помощью данного сервиса вы сможете либо 

а) уничтожить информацию из почты, файлов, профиля в Google+ и других приложений Google в случае, если по каким либо причинам вы в течение определенного времени (задается в настройках) не заходите в свой аккаунт. 

б) передать кому-то из своих доверенных лиц (до 10 человек) доступ к своим данным и право распорядиться ими на свое усмотрение.

Интересная опция, которая может использоваться для разных ситуаций (в большинстве случаев конечно же печальных для владельца, но что поделать, это жизнь, в ней всякое бывает).

среда, 15 мая 2013 г.

Бой за криптографию. Бессмысленный и беспощадный.

Данный пост навеян недавней новостью о том, что ФАС решила выступить против обязаловки по оснащению транспортных средств тахографами со встроенными средствами криптографической защиты.


Пока не ясно чем это кончится, но хочется надеяться что разум все же победит, т.к совершенно непонятно с какой стати нужно использовать средство криптографической защиты в приборе, который регистрирует скорость, пробег, периоды труда и отдыха экипажа.  По какой такой модели угроз туда впихнули СКЗИ ?  От кого защищаемся ? 

Нет, если бы речь шла о тахографах на военных автомобилях или каких-нибудь боевых установках, я бы еще понял. Но на гражданских то зачем ? 

Все это на самом деле следствие лоббизма крайне жесткого (и по моему мнению архаичного) регулирования вопросов криптографии в России.  

Я глубоко убежден, что обязательства по лицензированию соответствующей деятельности по разработке и распространению, как и требования по сертификации средств криптографической защиты информации должны применяться исключительно там, где речь идет о защите государственных секретов.  Назовем это условно "военной" криптографией.  

В противовес, в отношении "гражданской" криптографии такие требования должны быть сняты (сделаны добровольными). В гражданском поле выбор того или иного средства защиты должен быть отдан на усмотрение тех кто ведет бизнес как это сказано "на свой страх и риск". 

Я уверен, что попытки ФСБ через жесткое регулирование спасти отечественную криптографию и расширить область ее применения ни к чему не приведут, если даже не навредят. 

Тому есть несколько причин: 

Во-первых, западная криптография уже тут и никуда не денется.  Весь мир работает по американским стандартам (SSL, AES, криптография в электронных транзакциях и проч.). И если Россия продолжит интеграцию в международные процессы, то нам прийдется принимать общие правила игры, никуда не денемся. Перевести весь мир на нашу криптографию мы не сможем. Для этого нам нужно сперва совершить мощный технологический рывок, чтобы остальные страны стали сперва использовать наши ИТ-технологии. Чего к сожалению в обозримом будущем никак не предвидится. И уж запретительная политика ФСБ тут тоже никак не поможет. 

Во-вторых, остановить экспансию западных средств криптографической защиты попросту невозможно.  Буквально несколько примеров:  iPhone/iPad так любимые нашими чиновниками обладают встроенной криптографией, которую никто не выпиливает при ввозе в РФ, добавим к этому WiFi-роутеры, оснащенные криптографией, видео-приставки, SSL-сертификаты на веб-сайтах (вспоминаем nalog.ru и gosuslugi.ru) и проч.  А если еще взглянуть на то, что все большее количество криптографических технологий выполняется в программной форме, а значит нет абсолютно никаких проблем с "ввозом" (пусть даже он и будет полулегальным).  Скачал себе программку и все. Пользуйся на здоровье. 

В-третьих если обязаловка по применению отечественных средств криптографической защиты навязывается в связи с тем, что у ФСБ якобы есть некий "секретный ключ", который позволит при необходимости вскрыть такие алгоритмы, то тут не надо обольщаться. Те, кто захотят скрыть что-то от наших спецслужб спокойно воспользуются иностранной криптографией (может быть даже и не американской) и им никакие запреты не помешают. Более того, вряд ли в гражданской сфере случатся ситуации когда потребуется подключить ФСБ для расшифровки информации за счет их секретных ключей к отечественным криптоалгоритмам. Для этого должна быть очень веская причина. 

Ну и наконец зачем нам нужно, чтобы наши алгоритмы были признаны в мире ? Ну допустим получим мы такую поддержку от всех операционных систем, дальше то что ? Все равно на уровне международном в конечном итоге родится какой-то единый стандарт, либо серия стандартов под определенные операции. Если мы хотим, чтобы там были наши наработки, то это вопрос работы в международных институтах стандартизации, вопрос развития нашей математической школы.  А запретительные нормы только монополизируют и замораживают рынок не давая развиваться молодым стартапам и инновациям. 

Нам криптография своя нужна в первую очередь чтобы защищать свои интересы, свою информацию, а для этого совсем не обязательно делать ее публичной и международнопризнанной. 

Так что подводя итог. Пора уже отделить в нашей стране криптографию "гражданскую" от "военной". В гражданской сфере разрешить применение тех технологий, которые продиктованы бизнес-необходимостью, а в сфере государственных интересов применять все соответствующие механизмы лицензирования и сертификации, чтобы в этой сфере защитой занимался определенный круг компаний соответствующей квалификации. 

P.S.  С уверенностью можно сказать, что бой за криптографию в гражданской сфере будет что называется до последнего. Бой бессмысленный и беспощадный, вот только что-то мне подсказывает, что выиграть в нем нашим спецслужбам все же не удастся и может быть будет правильнее сменить парадигму, ведь "лучшая битва та, которой не было".

вторник, 14 мая 2013 г.

Хроники кибер-атак

Наткнулся тут на один блог (http://hackmageddon.com/), в котором периодически выкладывается довольно подробный дайджест кибер-атак со всего мира.  Дайджест несколько отстает от текущей даты, видимо требуется время чтобы его составить, но в любом случае статистика интересная. 

Вот, к примеру, данные за период с 16 по 30 апреля:



вторник, 7 мая 2013 г.

Не пора ли завести свой собственный блог ?

Я стараюсь следить за российской ИБ-блогосферой и с сожалением констатирую, что количество "пишущих" практически не растет, а интенсивность появления новых интересных постов скорее сокращается по объективным и субъективным причинам (разбирать их сейчас не буду).

Конечно, отчасти общение стало активно перетекать в соцсети и twitter и некоторые даже рассматривают личный блог скорее как некую архаичную форму. Но на мой взгляд статичность блога имеет и свои плюсы.

Я постараюсь поделиться своими соображениями относительно того, чем может быть полезен личный блог. 

1)  Блог организует голову.  Т.к сообщения в блоге потенциально доступны достаточно широкой аудитории, то это вынуждает серьезно относиться к тому, что пишешь, детальнее прорабатывать тему и подбирать обширный аналитический материал. Кроме того, в процессе написания постов для блога как правило и сам лучше усваиваешь материал, который используешь для написания. 

2)  Блог дает возможность донести свою позицию.  Конечно можно просто высказывать свою позицию в комментариях к чужим сообщениям, но если вы хотите иметь собственную площадку, на которой вы главный, вы определяете правила и вы задаете повестку дня, то этой площадкой  может быть именно личный блог.

3)  Блог помогает налаживать связи.  В современном мире уже не так важно кого знаете вы (хотя это безусловно важно), сколь важно кто знает вас. Личный блог помогает стать более публичной персоной (если конечно писать будете интересно), а это в свою очередь поможет наладить контакты в профессиональной среде (конечно это не единственное средство, но в любом случае довольно действенное).

Ну а что касается общественной пользы, то чем больше будет людей, готовых делиться хорошими идеями, собственным мнением и реальной практикой в собственных блогах, тем активнее будет развиваться наше профессиональное сообщество. 

Так что.... не пора ли завести свой собственный блог ?

P.S.  Возможно коллеги-блоггеры в комментариях поделятся и своими соображениями насчет плюсов ведения собственного блога. 

P.P.S  Прибавление в блогосфере:

Игорь Агурьянов - http://aguryanov.blogspot.ru

Олег Глебов - http://glebovoleg.blogspot.ru