воскресенье, 31 октября 2010 г.

OpenSource на службе специалиста по инфобезопасности


Помнится мне тематика использования opensource решений активно обсуждалась на самых разных уровнях примерно 1,5-2 года назад в самый разгар кризисных явлений. И главным преимуществом указывалась более низкая стоимость (за счет отсутствия лицензионных отчислений). Шумихи было много, в школах запустили проект по переходу на СПО (свободное программное обеспечение), государственные учреждения было тоже задумались над этим, известный интегратор АйТи даже создал специальную компанию со смешным (на мой взгляд) названием - PingWin Software для продвижения СПО-решений. Но как-то это к сожалению в России забуксовало, то ли лоббистские возможности компаний вроде Microsoft оказались довольно сильны, то ли сыграла свою роль невозможность получения на СПО-проектах больших откатов для чиновников... в общем и школы сейчас как мне известно вынуждены снова возвращаться к Windows-системам и гос. учреждения пыл свой поумерили. Ну да ничего, я все же думаю, что постепенно СПО займет свое достойное место. Я ни в коем случае не пытаюсь критиковать коммерческие программные продукты и никогда не участвую в дискуссиях на тему того, что лучше Винда или Линукс. Каждую конкретную ситуацию нужно рассматривать в ее контексте.
Тем не менее есть довольно достойные решения, в том числе и связанные с информационной безопасностью, на которые как мне кажется стоит обратить внимание (ну хотя бы из праздного любопытства):
  • Amanda Network Backup — программное решение для выполнения централизованного резервного копирования серверов, рабочих станций, баз данных и проч.
  • NetDirector — система централизованного управления конфигурацией серверов под управлением Linux и Solaris, позволяет устанавливать и контролировать системные параметры и параметры работы различных сетевых служб.
  • Endian UTM — очень неплохое UTM-решение (МСЭ, веб-фильтрация, АВЗ, антиспам), вполне позволяет организовать для небольших организаций или офисов систему доступа в интернет (мне лично понравилась система веб-фильтраци, которая позволяет закрыть доступ к веб-сайтам, выбрав предустановленные категории).
  • OpenCA — полнофункциональный удостоверяющий центр на базе открытого когда. Нашу криптографию к сожалению не поддерживает, ну да это и не удивительно.
  • FreeRADIUS — что такое RADIUS-сервер думаю объяснять не нужно. FreeRADIUS пример неплохой альтернативы коммерческим решениям (в первую очередь от Microsoft), позволяющий организовать контроль доступа к сетевым ресурсам.
  • OpenDLP — да-да, существует даже opensource DLP-решение. Конечно пока это только первая версия с массой ограничений, небогатым функционалом и проблемами с распознаванием русского :), но проект развивается, посмотрим что получится.
  • OSSIM — это целая система мониторинга, чего в ней только нет: сканер уязвимостей (nessus), система обнаружения вторжений (snort), система сбора и корреляции логов и еще добрый десяток различных программ, позволяющих создать полноценный центр управления информационной безопасностью. Решение очень достойное и стоит того, чтобы с ним познакомиться.
  • QRadar Log Manager FE — система сбора и корреляции логов. Более узконаправленный вариант по сравнению с OSSIM. Если вам необходимо решить вопрос с выполнением требования 10.6 стандарта PCI DSS и у вас не очень большая инфраструктура, то указанный продукт может быть очень полезен.
  • Zabbix — мощная система мониторинга, позволяющая контролировать производительность ваших систем. Огромное количество агентов под различные операционные системы позволяет обеспечить мониторинг практически любой сети.
  • WIKID — система 2х-факторной аутентификации, позволяющая организовать контроль доступа для VPN-подключений, Citrix, административного доступа (SSH и др.) и других видов сетевых соединений.
  • ESIS — данный продукт лично пока еще не крутил, но судя по описанию это некая система управления информационной безопасностью, включающая в себя модуль compliance, модуль аудита и модуль управления рисками. Предназначена для менеджеров по информационной безопасности как средство автоматизации деятельности по управлению ИБ.

Призываю всех кто знает другие программные решения оставлять ссылки в комментариях. Можно будет сделать неплохую подборку.

понедельник, 18 октября 2010 г.

Twitter для специалистов по ИБ


Недавно наткнулся на сайт, где размещен интересный список твиттер-пользователей, пишущих на тему информационной безопасности.

Список размещен здесь

суббота, 9 октября 2010 г.

Подкаст в ESET


Вчера принял участие в записи подкаста ESET по приглашению Александра Матросова. Первый такой опыт для меня, оказалось очень интересно. Александр - очень интересный собеседник и профессионал в своем деле. Оказалось, что он также ведет авторский курс в МИФИ по реверсинжинирингу, что не могло меня не обрадовать в контексте моих недавних размышлений по поводу обучения молодежи. Думаю, что мне тоже пора перейти от слов к делу и также начать делится опытом со студентами (призываю всех экспертов по информационной безопасности присоединяться).
О самом подкасте я узнал совсем недавно и был приятно удивлен, т.к. хороших блогов/подкастов по информационной безопасности у нас крайне мало, поэтому рекомендую всем обратить внимание на 100% Virus Free Podcast, ну а Александру желаю успехов в его безусловно правильном начинании.

Update (19.10.2010):
Подкаст можно скачать здесь

четверг, 7 октября 2010 г.

Инфобезопасность - день второй (банковский)


Вчера побывал на конференции Инфобезопасность. В общем мероприятие из года в год становится все меньше, хотя в этот раз это видимо обусловлено разделением конференции на две (Инфобезопасность и InfoSecurity). Судя по всему часть компаний сделала выбор в пользу InfoSecurity, которая пройдет в ноябре. Из докладов я присутствовал на круглом столе "Обеспечение соответствия закону 152-ФЗ в банковской сфере" и даже сделал запись:

запись в формате .amr (8 MB)
запись в формате .mp3 (37 MB)

Участники: Сычев А.М., Зам.директора Департамента безопасности, Россельхозбанк, Лысенко Ю.Н., начальник Управления информационной безопасности Департамента защиты бизнеса Home Credit & Finance Bank; А. Гольштейн (Заместитель директора департамента аудита компании «Информзащита»); С.В. Вихорев (Заместитель Генерального директора по развитию «ЭЛВИС-ПЛЮС»)

Для тех, кто не смог попасть думаю будет интересно послушать.

Т.к. на конференцию забежал ненадолго больше ничего не запомнилось.... все же далеко нам до западных мероприятий такого рода по инфорационной безопасности. С нетерпением жду Форума директоров по информационной безопасности, т.к. мероприятие похоже будет более стоящим.

пятница, 1 октября 2010 г.

3-я конференция АРБ о реализации требований 152-ФЗ


В среду посетил мероприятие АРБ, посвященное вопросам персональных данных. Делегатов было порядка 200 человек (представители банков, разработчиков АБС, консультантов и др.). Выступали представители ЦБ (А.П. Курило), Роскомнадзор (Кантемиров Ю.Е.), ФСБ (Баранов А.П.), ФСТЭК (Лютиков В.С.), а также представители консультантов и различных банков.

В целом мероприятие оставило неоднозначное впечатление. С одной стороны понятно, что такого рода конференции нужны, т.к. позволяют обмениваться реальным опытом, делиться проблемами и возможно даже совместными усилиями их решать, но с другой стороны лично меня обескуражило, что по ряду вопросов мнения экспертов очень серьезно различались и судя по переговорам в зале, конференция у некоторых оставила больше вопросов, чем ответов. Ну поживем - увидим как оно все будет развиваться.

Теперь немного о самой конференции. Открыл конференцию Андрей Петрович Курило с общим обзором текущей ситуации в области защиты персональных данных в банковских организациях. По его словам сейчас уже достигнуто взаимопонимание с регуляторами, т.е. стандарты серии СТО БР ИББС не вызывают никаких вопросов и полностью ими принимаются. Кроме того сейчас уже активно пошел процесс присоединения к стандарту и в адрес ЦБ приходит около 2х писем в день от банков, решивших принять СТО БР ИББС в качестве стандарта, обязательного для выполнения. Кроме того этой осенью в федеральный закон и возможно подзаконные акты будут вноситься изменения, которые видимо внесут коррективы в порядок обеспечения безопасности персональных данных.

А.П. Баранов и В.С. Лютиков в своих докладах коснулись более подробно возможных осенних изменений и в частности изменений 19-ой статьи Федерального закона. Какие именно будут изменения к сожалению никто из них не сказал, но видимо что будет изменен подход к формированию требований по обеспечению безопасности персональных данных, а также порядок контроля за соблюдением этих требований. Честно сказать я очень сильно пытался понять как же это будет, но у меня это так и не получилось :).... так что будем ждать вестей из Думы.

Далее выступал Валерий Павлович Харламов с докладом о международных стандартах в области ИБ вообще и защиты персональных данных в частности (ISO 29100). Доклад в целом был интересным, но только вот зачем это банкам, ведь уже понятно что на ближайшие годы основным стандартом будет СТО БР ИББС-1.0? Хотя возможно эти стандарты будут использованы при подготовке новой редакции стандартов СТО БР ИББС.

Ю.Е. Кантемиров рассказал о работе Роскомнадзора за последние два года. Так было сказано, что за 2009 год было проведено 37 проверок банков и в 67% случаев были выявлены нарушения, а за 9 месяцев 2010 года - 70 проверок из которых нарушения нашлись в менее чем 50% случаев. Интересная статистика, хотя уж какая-то очень хорошая (не верится мне, что сейчас можно выполнить 152-ФЗ без нарушений :))
Из основных замечаний было указано, что:
а) банки должны (!) уведомлять Роскомнадзор об обработке персональных данных
б) необходимо включать в договора с коллекторами требования по обеспечению конфиденциальности передаваемых персональных данных
в) грубым по мнению РКН нарушением законодательства является публикация информации о неблагонадежных заемщиках в публичных ресурсах (веб-сайт, пресса и т.п.). По ряду таких фактов материалы были переданы в прокуратуру.

Далее была секция вопросов-ответов и презентаций отдельных банков,но тут ничего нового сказано не было, кроме одного - по поводу лицензирования ФСТЭК И ФСБ.
Текущий закон о лицензировании предполагает обязательное (!) лицензирование по линии ФСТЭК, а также лицензирование по линии ФСБ (при использовании криптографии). Сейчас ведется обсуждение возможных поправок в этот закон, но чем все закончится пока не понятно. Будем ждать. Артем Сычев из Россельхозбанка предложил как один из вариантов текущего решения проблемы с лицензированием ФСТЭК - заключение договора с организацией-лицензиатом на проведение работ по защите персональных данных.
Но в целом неформальное мнение свелось к тому, что лицензироваться в ФСБ необходимо, а во ФСТЭК необязательно.