понедельник, 30 января 2012 г.

Не пора ли коллеги что-то менять ? продолжение...

Как известно:  "сказал А, говори Б".  Поэтому не хотелось поднимать в своем блоге другие темы, пока не будет ясности с тем вопросом, который я поднял в предыдущем посте. 

Итак, делюсь первичной информацией.  Что мы имеем ?  В ближайшее время мы ожидаем появление постановлений правительства, которые должны разъяснить нам подходы к обеспечению защиты информации, содержащей персональные данные. Наша задача: вовремя обнаружить проект, проанализировать и если он окажется полной ересью, то начать звонить во все колокола и сделать все, чтобы ересь не прошла. 

Чтобы вовремя обнаружить проекты потребуется мониторить ресурсы ФСТЭК и ФСБ, т.к. эти ведомства публикуют проекты постановлений правительства (я пока не нашел документ, который обязывает их это делать, но пока они эту обязанность соблюдали).  Приглашаю всех, кому не все равно начать мониторить сайты указанных ведомств и как только там что-то засветится, сразу же скопировать (пока не закрыли доступ) и распространить через блоги или форумы. 

Сайт ФСТЭК - http://fstec.ru/_lenta/_lno.htm


Кстати, на сайте ФСТЭК на днях опубликовали проект постановления правительства, разработанный под закон "О национальной платежной системе". Комментировать его сейчас не буду, тема другого поста. 

Идем дальше, для борьбы с возможной ересью в постановлениях правительства у нас есть целых 2 (как оказывается) вполне правовых метода:

1) Антикоррупицонная экспертиза

Данная экспертиза проводится Минюстом. Как только документ поступит в Минюст они обязаны будут повести его экспертизу о чем заявят на своем сайте (тут).  Для того, чтобы у нас была возможность участвовать в этой экспертизе потребуется пройти аккредитацию как независимого эксперта (порядок аккредитации описан тут).  Стать таким экспертом может любой, дерзайте господа ! 

Вот краткая информация о том, что такое "антикоррупционная экспертиза":  

В соответствии с ФЕДЕРАЛЬНЫМ ЗАКОНОМ от 17 июля 2009 года №172-ФЗ «ОБ АНТИКОРРУПЦИОННОЙ ЭКСПЕРТИЗЕ НОРМАТИВНЫХ ПРАВОВЫХ АКТОВ И ПРОЕКТОВ НОРМАТИВНЫХ ПРАВОВЫХ АКТОВ» экспертиза проектов нормативных правовых актов и иных документов в целях выявления в них положений, способствующих созданию условий для проявления коррупции (далее – экспертиза на коррупциогенность), проводится в отношении:
проектов федеральных законов, указов Президента Российской Федерации, постановлений Правительства Российской Федерации, разрабатываемых федеральными органами исполнительной власти, проектов нормативных правовых актов федеральных органов исполнительной власти, затрагивающих права, свободы и обязанности человека и гражданина, проектов нормативных правовых актов федеральных органов исполнительной власти устанавливающих правовой статус организаций или имеющих межведомственный характер, концепций и проектов технических заданий на разработку проектов федеральных законов, проектов федеральных законов, поступивших для подготовки проектов официальных отзывов и заключений Правительства Российской Федерации на проекты федеральных законов, а также проектов поправок Правительства Российской Федерации к проектам федеральных законов.
Институты гражданского общества и граждане могут в порядке, предусмотренном нормативными правовыми актами Российской Федерации, за счет собственных средств проводить независимую антикоррупционную экспертизу нормативных правовых актов (проектов нормативных правовых актов). Экспертиза на коррупциогенность проводится аккредитованными в установленном порядке Министерством юстиции Российской Федерации юридическими и физическими лицами (независимые эксперты), принявшими решение о ее проведении, в соответствии с методикой проведения экспертизы проектов нормативных правовых актов и иных документов.
Независимая экспертиза на коррупциогенность проводится в инициативном порядке за счет собственных средств.
По результатам независимой экспертизы на коррупциогенность составляется экспертное заключение, которое направляется федеральному органу исполнительной власти – разработчику проекта документа.
В заключении по результатам независимой антикоррупционной экспертизы должны быть указаны выявленные в нормативном правовом акте (проекте нормативного правового акта) коррупциогенные факторы и предложены способы их устранения.
Заключение по результатам независимой антикоррупционной экспертизы носит рекомендательный характер и подлежит обязательному рассмотрению органом, организацией или должностным лицом, которым оно направлено, в тридцатидневный срок со дня его получения. По результатам рассмотрения гражданину или организации, проводившим независимую экспертизу, направляется мотивированный ответ, за исключением случаев, когда в заключении отсутствует предложение о способе устранения выявленных коррупциогенных факторов.
2) Оценка регулирующего воздействия

Такое у нас оказывается тоже есть :). Проводится данная оценка Департаментом оценки регулирующего воздействия Министерства Экономического Развития РФ. Причем, чтобы принять в этой оценке участие даже не требуется иметь аккредитацию !  

Вот кстати пример оценки, проведенной недавно в отношении проекта постановления, подготовленного ФСБ, по поводу лицензирования деятельности, связанной с криптографией. 

А вот слова В.В. Путина о данной оценке: "Сам институт оценки регулирующего воздействия (…) рассматривался как своеобразный фильтр против появления в правовых и ведомственных актах разного рода барьеров и ограничений, которые сковывают (или могут сковывать) работу бизнеса, влекут для него дополнительные издержки."  Ну золотые слова, именно то, что надо!

Итого, надо отслеживать появление анонсов о проведении оценки соответствующего постановления правительства на сайте МЭР (вот тут). И далее писать, писать, писать..... самое главное по утвержденной форме :)

Вот пока это все предварительные итоги. Если у вас, уважаемые читатели, есть что дополнить или поправить, оставляйте комментарии. Это действительно важно ! 

вторник, 17 января 2012 г.

Не пора ли, коллеги, что-то менять?!

Одним из топовых постов последних дней в ЖЖ являтся сообщение Татьяны Лазаревой, посвященное ее отношению к тому, что происходит в нашей стране.

Сообщение мне лично очень понравилось, приведу несколько купюр:

.....То есть, типа, тебя не коснулось лично – и не лезь? Моя хата с краю, можно, я тут еще немножечко поиграю? А не кажется никому, что нас просто тупо приучили к тому, чтобы мы не высовывались? Это уже в хребте нашем, и не только нашем – от бабушек и дедушек, через родителей - живет, укрепляясь, не имея сопротивления. А зачем сопротивляться? Ведь все хорошо? Ну а если это все хорошо заканчивается, когда выходишь за пределы своей обставленной квартиры-дачи, отличной машины, оплаченной школы и больницы? Если ты видишь, что вокруг нечеловеческая нищета, нищета моральная, бездушие и беззаконие? Если ты это вдруг замечаешь – то у тебя есть два выхода: сделать вид, что этого ничего нет и вернуться в свою норку под одеяло первого, второго и далее каналов; или сказать себе: тут что-то не так и мне это не нравится......

.....Я сама панически боюсь системы, беспредела и беззакония, меня никогда не учили, не только тому, как с ними бороться, но даже просто тому, как с ними общаться. И я не умею с ними общаться и всячески избегаю. Мой девиз всегда был «Подальше от начальства, поближе к кухне». И это не единственный мой страх, я конечно же боюсь все потерять, я конечно же боюсь за своих детей. Но я не хочу видеть, как они будут жить в таком же страхе, это для меня еще ужаснее......


Рекомендую всем прочитать пост Татьяны полностью.

Я не буду говорить сейчас о политике, хоть этот блог и мой личный, но он все же посвящен вопросам информационной безопасности. Поэтому давайте взглянем на нашу отрасль. Все ведь выходит довольно схоже.  


Те же принципы у многих - моя хата с краю. Тот же страх, который видимо многие из нас впитали вместе с молоком матери (я тоже родился в СССР). То же самое нежелание сопротивляться. Даже когда наши регулирующие и проверяющие органы  нарушают элементарные нормы закона, когда эти самые законы пишутся  в полном противоречии с тем, что уже имеется. Когда существуют двойные стандарты, когда степень маразма зашкаливает порой настолько, что просто тушите свет,  и прочее... прочее.... прочее....

И мне если честно надоело, что все это объясняется простым "ну мы ж в России живем". Так в том то и дело, что здесь живем, и жить дальше нам, и нашим детям (я про своих по крайней мере так могу сказать).  А значит надо что-то менять.

Страшно ли мне ?  Есть немного ! Конечно же на нашем поле не играют по-крупному (огромными деньгами, жизнями и проч.), поэтому не стоит строить из себя тут революционеров. Я не говорю о страхе за жизнь.... у нас все значительно прозаичнее...  многие из нас молчат, потому что боятся подставлять свои компании... боятся за свои карьеры, за хорошие зарплаты...   Я был одним из тех, кто подписывал "письмо пяти" президенту. Поверьте, незаметно это конечно же не прошло (хотя и серьезных последствий все же не было, а это кстати показатель того, что действовать надо!).

Разве мы не хотим работать ?  Хотим ! Разве мы не хотим, чтобы наша отрасль развивалась, а вопросам безопасности уделялось больше внимания на уровне государства и бизнеса ?  Хотим ! Но чтобы это достигалось не теми методами, которые используются сейчас !

Мы слишком долго молчали, летом 2011 г. наконец-то прорвало, но мы проиграли (я про принятие поправок в 152-ФЗ). Проиграли потому что слишком поздно спохватились... эффект был, но реакция была слишком запоздалой (особенно со стороны разного рода сообществ, но это отдельна тема).... и Система выстояла.

Что теперь?  Будем ждать новых документов, в которых "по желанию общественности будет сохранена преемственность с прежними документами" (думаю все понимаю что это значит copy/paste), а потом хвататься за голову, возмущаться... ворчать по блогам ?  Я убежден, что нам необходимо найти механизмы общения с нашими регуляторами и более того .... механизмы ВОЗДЕЙСТВИЯ на регуляторов. Мне почему-то кажется, что они есть.  Причем это должны быть как механизмы разного рода сообществ и партий, так и механизмы индивидуального воздействия широких масс (это я так обозвал методы работы по принципу А. Навального, т.е. писать много, в разные инстанции большим количеством людей).

Пора, коллеги, (господа, товарищи, как изволите) занимать активную позицию. Если вы работаете в отрасли ИТ, то не думайте, что "ваша хата" будет с краю.... не будет.... все в одной лодке. 

понедельник, 16 января 2012 г.

Новые блоги по инфобезопасности

Продолжая тематику повышения активности нашей отрасли лично мне очень отрадно, что за последнее время блогосфера инфобезопасности довольно серьезно расширилась.  Вот блоги, которые я добавил в свою ленту за последние несколько месяцев (рекомендую ознакомиться):

А кто не знает, довольно обширный список блогов есть у Тараса Злонова  тут.


воскресенье, 15 января 2012 г.

Киберпреступность отнесена к одному из ключевых рисков 2012 года

Известная организация The World Economic Forum подготовила доклад под названием Global Risks 2012 (скачать доклад можно здесь). 

В результате проведенных исследований кибер-атаки были отнесены на 1-е место в групппе технологических рисков:


Это, кстати, первый раз за 6 лет (в течение которых публикуются подобные доклады) когда кибер-риски попали в доклад и сразу далеко не на самое последнее место. 

Причина проста - современный мир все больше и больше зависит от коммуникаций, наличие доступа в сеть Интернет в некоторых странах уже собираются отнести к неотъемлемым конституционным правам каждого человека, а это значит что серьезные кибер-атаки способны серьезно повлиять на экономическую и социальную составляющую жизни многих людей. 

А вот кстати как выглядит полная карта мировых рисков (технологические риски слева):


Возвращаясь к кибер-атакам, основной причиной растущих кибер-рисков названа "гиперконнективность" (hypperconnectivity), т.е то, что к глобальной сети подключается все большее количество устройств (к Интернет уже подключают холодильники, системы управления "умными домами" и многое, многое другое....). При этом к основным негативным последствиям отнесены:
  • сбои в работе критичных систем (системы электро-, водоснабжения и др. подобные системы), способные привести к технологическим катастрофам и человеческим жертвам;
  • взлом и хищение корпоративных секретов/шпионаж (в докладе в качестве примера упоминается хакерская группа Anonymous). 
Понятно, что сам по себе документ расчитан на политиков, бизнесменов, экономистов, и других людей, не имеющих отношения к инфобезопасности. Однако написано, на мой взгляд, по делу. 

четверг, 12 января 2012 г.

О пользе общения и обмена опытом

Прочитал тут на днях пост в одном англоязычном блоге. Весь его здесь приводить не буду, только фрагмент:
We don’t comment anymore. We don’t blog back anymore. 
People are blogging and putting their 2 cents into the conversation, but no one is repsonding. Oh, maybe they respond on twitter, on but it doesn’t make it into the blog. Blogging has always been and will always be a two way street. A blog should be a multi-party conversation with the blogger putting forth his ideas and others responding. They can agree, disagree, or concur, but they put their thoughts into the conversation. One of the great things about reading a hot blog post was following the thread of comments, that was where the real action took place. Whether it was a Rothman post on Security Incite/Securosis or Tom Pcatek on Matasano, a good threat with 50 comments kept you reading for more.
What about you? Are you ready to rejoin the conversation? If so, head over to your favorite security blog and join in. Or better yet, write a blog in response to someone else’s blog. It starts with you and you and you.

Суть этого сообщения сводится к тому, что автор сожалеет о том, что многие перестали оставлять комментарии в блогах, хотя обсуждение, которое возникает вокруг тех или иных мыслей в блоге, как правило становится дажее более ценным, чем само сообщение.  И именно о снижении интенсивности такого рода общения и сожалеет автор.

Я хотел бы взглянуть на этот вопрос несколько шире с учетом нашей, отечественной специфики.  На мой взгляд нашему сообществу (специалистов по инфобезопасности) не хватает общения, в том числе способствующего обмену опытом.  Почему в последнее время почти все, кто посещает разного рода конференции или выставки, говорят о бесполезности этих мероприятий ? Да потому, что практически редко удается услышать что-то полезное для себя. И это отчасти понятно. Чаще всего на этих мероприятиях выступают представители коммерческих организаций, которые заплатили за доклад, и они естественно в определенном смысле ограничены в формате и содержании выступления.  

И получается, что с одной стороны, организаторы не горят желанием звать людей, которые выступят просто так, да и желающих выступить тоже не так много, как мне думается (вот она, наша пассивность). 

Из форумов, в которых идет хоть какое-то профильное общение, лично я могу выделить только форум на bankir.ru (я здесь опускаю форумы чисто хакерской направленности, суть которых как правило заключается в обмене информацией для совершения нелегальных действий), но сам по себе формат форума не всегда подходит для обмена практическим опытом.

Тут конечно же надо честно признаться, что и я сам в последнее время не проявлял особой активности в сети.... но обещаю исправиться :)

Собственно я призываю всех проявлять бОльшую активность. Заводите собственный блог, комментите в чужих блогах (по делу конечно же), пишите в форум, социальную сеть...... может быть, если интересно, то вступайте в пока незарегистрированную партию ИТ. В общем проявляйте активность. Активное сообщество значительно сложнее прогнуть и навязать применение неадекватных норм (думаю все понимают о чем я).

Вы не согласны со мной ?  Давайте поспорим ! Пишите в комменты. 

P.S. Кстати, есть у кого-то мысли о том, какая площадка могла бы стать полезной для обмена опытом ?  

понедельник, 9 января 2012 г.

Программное обеспечение для проведения оценки рисков

Продолжая тематику оценки и управления рисками информационной безопасности в этом посте мне бы хотелось поговорить о программном обеспечении, которое может быть использовано для выполнения оценки рисков.   Зачем вообще нужно это программное обеспечение ?  Дело в том, что как только вы глубоко погрузитесь в этот процесс, то сразу станет понятно, что проведение оценки сопряжено с довольно сложной комбинаторикой. Сочетание разных активов, уязвимостей, угроз, защитных мер рождает сотни, тысячи возможных комбинаций, описывающих риски и тут уже без подручных средств не обойтись. Что же сейчас можно найти на просторах интернета:

vsRisk. Программное обеспечение от британской компании Vigilant Software. Продукт позиционируется в первую очередь как программное обеспечение для оценки рисков в соответствии с требованиями ISO 27001 и BS7799-3 (ныне ISO27005). На сайте можно скачать триалку на 15 дней (размер - 390 МБ).  Система мне показалась довольно примитивной и совсем не дружественной неподготовленному пользователю. В программе, например, есть довольно обширные списки возможных угроз, уязвимостей и контрмер, но при этом сама система не определяет никаких взаимосвящей между ними, это делается вручную самим пользователем. В общем я бы оценил программку на 3-ку. За что там просят 1700 Евро ?! 8-). 


PTA. Разработка компании PTA Technologies. Крайне интересный продукт на мой взгляд. Не привязан к какому-либо стандарту и реализует механизм количественной оценки рисков (!).  Это я, кстати, отметил бы скорее как недостаток данного программного обеспечения, т.к. все дело в том, что далеко не все можно оценить с точностью до доллара, а возможность качественной оценки не предусмотрена. В системе также предусмотрен интересный механизм оценки эффективности предлагаемых контрмер, на основании  чего можно, например, выдеть как меняется карта рисков когда мы добавляем или убираем те или иные контрмеры. 
На сайте разработчика укзаано, что продукт платный и для скачивания доступна только триалка на 30 дней. Сколько же стоит сам продукт и как его можно приобрести - информации нет (видимо подход индивидуальный :) ).

RSA Archer. Разработка компании Archer, с недавних пор принадлежащей гиганту RSA. Вообще говоря Archer - это такой огромный GRC-комбайн, который включает в себя множество различных модулей, один из которых обеспечивает управление рисками. Триалок для скачивания не предоставляется, на сайте есть презентационные видео. Стоимость данного продукта также не обозначена, но думаю что будет дорого, как и впрочем и все у RSA :)

Modulo Risk Manager. Разработка компании Modulo. На сайте доступно только довольно бедное описание функционала. Никакой триальной версии, никаких подробных видео-роликов. Тем не менее продукт отмечен наградой SC Magazine, а это значит что он все же чего-то стоит. К сожалению мне пока не удалось с ним ознакомиться. 

RM Studio. Продукт одноименной организации (сайт). Для скачивания доступна 30-дневная триалка, помимо этого на сайте можно посмотреть видео-ролики, демонстрирующие сценарии использования продукта. На мой взгляд данное программное обеспечение слишком примитивное в плане оценки рисков и подходит только тем, кто делает оценку рисков "для галочки". 

Гриф. Разработка компании Digital Security. Привел этот программный продукт скорее просто для общей картины. Сам продукт уже много лет никак не поддерживается компанией-разработчиком. Поэтому можно сказать, что его фактически уже нет. Пока это единственная отечественная разработка в этой области известная мне.




Откровенно говоря не густо. Я понимаю что мой обзор не может претендовать на 100% полноту, но все же.... 

Если кто-то знает еще какое-то программное обеспечение или другие способы автоматизации при проведени оценки рисков - прошу писать в комменты, обсудим.


Важное обновление !  Компания ISM SYSTEMS сообщила о разработке инструмента по автоматизации оценки рисков - ISM Revision: Risk Manager. Предварительная информация доступна здесь - http://www.ismsys.ru/?page_id=73. Продукт выглядит многообещающе. Более подробный обзор сделаю позже.