вторник, 31 июля 2012 г.

Письма в редакцию. О взломе почты.

Как это не парадоксально, но одним из самых популярных сообщений в моем блоге (т.е сообщений, собравших максимум просмотров) является моя заметка, посвященная тому, какие методы используют взломщики электронной почты (ссылка). 

Мне периодически даже приходят сообщения с предложением либо взломать чью-то почту, либо разместить у себя в блоге рекламу сервиса по взлому электронной почты :)  Такие сообщения, естественно остаются без ответа.  Но бывает и по-другому.

Вот какое сообщение я недавно получил от одного из пользователей (письмо публикую специально по двум причинам, во-первых для обсуждения поднятых вопросов публично, во-вторых потому, что отправитель сообщения видимо указал не правильный адрес электронной почты и поэтому направить ему свой ответ я не смог):

Добрый день, Александр.С интересом прочитал вашу заметку о взломе почты. Вы, правда, описываете, один частный случай. А бывают и другие частные случаи.
Мне необходимо завести электронную почту для работы с платежными системами (PerfectMoney, Payza и т. д.) на стационарном компьютере (с проводным подключением интернета VPN).
При изучении этого вопроса (выбора наиболее защищенной почты) обнаружил не только Ваш блог, но и огромное количество ресурсов, предлагающих "взлом" за небольшие деньги (сопоставимые со стоимостью переустановки операционной системы - !) большинства web-почт:
http://nova.rambler.ru/search?query=взлом+электронной+почтыЯ понимаю, что часть таких предложений - заведомое мошенничество, когда после выплаты аванса заказчик получает письмо якобы со "взломанного" ящика, отправляет оставшуюся сумму платежа, но никакого пароля уже в обмен не получает. Но есть и множества таких, которые предлагают в качестве доказательства полученного доступа снимок экрана почтового ящика "жертвы" или данные из почтового ящика (часть контактов из адресной книги, текст "контрольного" письма и т. п.) 
Судя по этим фактам, небольшому количеству нареканий на такие сервисы и частые взломы почтовых ящиков моих знакомых, которые вдумчиво относились к соблюдению норм безопасности, сложилось представление, что сегодня получить доступ к любой web-почте стало настолько же несложно, как и переустановить windows.
Подтверждением подозрения стала ситуация у знакомого, счёт которого в международной платежной системе обнулили, запросив смену пароля. Каким образом обошли очень сложные ответы на 2 секретных вопроса и как узнали пароль к почте - остается непонятным (в почту вошли с первого раза судя по login log), так как человек пользуется виртуальной клавиатурой и лицензионным антивирусом ежедневно сканирует всю систему; cache, cookies броузера (FireFox 14) вычищает после каждого сеанса связи с почтовым сервером и платежной системой. Пользуется динамическим IP и делает winsock reset.после каждой сессии. Пароль к почте, разумеется, нигде на носителях не хранится и очень нетривиальный. Варианты "социальной инженерии", фишинга и пр. методы на малоопытного пользователя тоже не подходят...
В связи с этим прошу Вас как специалиста посоветовать (в форме ответа на 4 вопроса для облегчения задачи и экономии времени):
1). К какому из видов электронной почты более сложно получить несанкционированный доступ ("взломать"), т. е. какая более защищенная:
предоставляемая провайдером
web-почта (gmail.commail.comyahoo.com и т. п.)
почта, предоставленная хост-провайдером для сайта.
2). Уменьшает ли возможность перехвата пароля такая процедура: пароль копируется в буфер, лишь после этого устанавливается соединение с интернетом, запускается броузер и пароль вставляется из памяти (после чего память сразу заполняется каким-то содержимым).
3). Правильно ли я понимаю, что виртуальная клавиатура - более надёжная защита, чем та, что встроена в саму платёжную систему.
4). Имеет ли смысл использовать различные proxy-серверы при каждом новом соединении?
Заранее вам благодарен, желаю успехов,
Олег.
А вот собственно мой ответ:

Олег, здравствуйте !

Отвечаю на Ваши вопросы:

1) К какому из видов электронной почты более сложно получить несанкционированный доступ ("взломать"), т. е. какая более защищенная: предоставляемая провайдером web-почта (gmail.com, mail.com, yahoo.com и т. п.) почта, предоставленная хост-провайдером для сайта.

Не готов сравнивать провайдеров. Я бы рекомендовал Gmail по причине того, что он предоставляет возможность подключения по шифрованному каналу для получения и отправки почты.

2). Уменьшает ли возможность перехвата пароля такая процедура: пароль копируется в буфер, лишь после этого устанавливается соединение с интернетом, запускается броузер и пароль вставляется из памяти (после чего память сразу заполняется каким-то содержимым).

Никак это не решает проблему. В первую очередь надо понимать шифруется ли сам канал связи, по которому передаётся пароль доступа (особенно если вы пользуетесь, например, в дороге каким-нибудь бесплатным wifi-ем) и кукисы, которые используются после авторизации. Если вы говорите о защите от кейлоггера, то это конечно может помочь, но возможно что в вашем случае вирус просто дождется авторизации в почте и после этого запустит определённые действия (например, смену пароля)

3) Правильно ли я понимаю, что виртуальная клавиатура - более надёжная защита, чем та, что встроена в саму платёжную систему.

Нет, так как уже давно созданы вирусы которые воруют пароль, набранный на виртуальной клавиатуре, просто делая скриншоты при каждом нажатии на виртуальную клавишу.

4). Имеет ли смысл использовать различные proxy-серверы при каждом новом соединении?

Не совсем понимаю зачем Вы вообще используете прокси ? Прячетесь от кого-то ?


А что порекомендуете Олегу вы, коллеги ?

четверг, 26 июля 2012 г.

Работенка на август

Небольшое объявление для студентов и всех тех, кто не прочь подработать летом.

Основные требования к кандидату: внимательность, усидчивость, аккуратность. Базовые (как минимум) знания в области информационной безопасности обязательны. 

Задача (в общих чертах): провести анализ  и обработку большого объема сведений по теме информационной безопасности. 

Детали работы расскажем тому, кого отберем. Работа не привязана к офису. Оплата обсуждается, но сразу скажу, что небольшая, зато есть возможность поучаствовать в принципиально новом для рынка ИБ проекте.

Свое краткое резюме направляйте мне (через эту форму).

P.S. Ещё раз прошу обратить внимание, что речь идёт о подработке на месяц-полтора. Это не вакансия на постоянную занятость.

Update:  Коллеги, сбор запросов завершен, в ближайшее время я свяжусь с подходящими под задачу кандидатами. 

Вебинар ISM SYSTEMS по управлению рисками информбезопасности

В блоге ISM SYSTEMS опубликована запись вебинара по системе управления рисками ISM Revision: Risk Manager.

вторник, 17 июля 2012 г.

Проблематика защиты мобильных устройств часть 4 - перехват данных

И снова я решил затронуть вопрос безопасности мобильных устройств и сегодня я бы хотел коснуться рисков перехвата информации.

По моему мнению синергия мобильных и облачных технологий это длительный тренд, который будет определять технологическое развитие на ближайшие годы. А это означает, что наличие устойчивого доступа в сеть Интернет с мобильного устройства это практически обязательное условие их эффективного использования. Представьте себе ваше мобильное устройство без доступа к сети хотя бы на сутки. Насколько оно будет для вас функционально?   Это в свою очередь означает, что риск перехвата информации, передаваемой между мобильным устройством и корпоративными/облачными сервисами, становится довольно существенным.

Практически все современные устройства оснащены большим количеством различных коммуникационных возможностей: WiFi, Bluetooth, 2G-3G. Давайте разберем их по отдельности:

1. WiFi - очень массовая технология. Сейчас точки доступа можно встретить повсюду: рестораны, гостиницы, конференции. В московском метрополитене и в общественном транспорте (автобусы, троллейбусы) также в ближайшее время планируется развернуть Wi-Fi-сеть. Основное отличие таких точек заключается в том, что доступ предоставляется бесплатно (в большинстве случаев), рассчитаны они на массового потребителя (читай не слишком технически грамотного) и основным фактором является максимальное удобство и простота подключения.  Все приводит к тому, что такие сети не используют WPA-шифрование, канал полностью открыт.  Таким образом перехват информации (паролей, писем, файлов и проч.) является абсолютно плевым делом, доступным даже рядовому школьнику. Некоторое время назад, например, бурно обсуждался плагин Firesheep для браузера Firefox, который позволял, используя перехваченные по WiFi кукисы от различных сайтов (Facebook, например), получать к этим сайтам несанкционированный доступ от имени незадачливого пользователя.

2. Bluetooth. Данный канал редко используется именно для доступа к сети Интернет. Чаще всего он используется либо для обмена файлами между двумя устройствами либо для подключения гарнитуры. Способов и инструментов для взлома защиты Bluetooth существует не мало, вот в этой статье коротко описаны основные виды. 

3. 2G-3G. Не многие оценивают как высокую возможность перехвата 3G-трафика,  т.к. для этого потребуется довольно дорогостоящее оборудование. Это правда лишь отчасти. Хочу познакомить вас с проектом OpenBTS. Основная его цель - разработка программного обеспечения с открытым кодом для точек базового доступа мобильной связи. Ребята говорят, что точки, созданные с помощью их программного обеспечения, довольно дешевы и могут помочь бедным странам развернуть у себя сети мобильной связи. Вот как выглядит эта точка доступа:


Компактная, правда ? Я пока еще не слышал о возможности перехвата с помощью такой точки доступа трафика данных, но думаю, что в опытных руках все возможно. Хотя, конечно же, это уже не так доступно и просто как в случае с WiFi.

Все что описано был выше говорит только об одном. Защита канала связи, является крайне важным элементом. Защитить канал можно двумя способами:
  • Установка агента на мобильное устройство (VPN-клиент)
  • Защита канала за счет удаленного сервера (так называемый SSL VPN)
Если говорить о VPN-клиентах, то с ними (если мы говорим про западную криптографию) все более менее нормально. Есть встроенные VPN-клиенты в iOS и Android. Есть дополнительные клиенты вроде AnyConnect от Cisco. Хотя в случае с Android есть определенная специфика работы VPN-клиентов, связанная с многообразием аппаратных платформ, на которых работает эта операционная система. 

Если мы говорим об отечественной криптографии, то пока о разработках VPN-клиентов объявили компании Код Безопасности и Инфотекс. Но к сожалению по предварительной информации их работа возможна только на jailbrake/rooted - устройствах. 

Если мы говорим о защите канала связи за счет сервера, то в таком случае речь идет о технологии SSL и работает это в основном для почтовых клиентов и браузеров.  В качестве примеров решений, обеспечивающих публикацию ресурсов и защиту с помощью SSL VPN можно назвать Stonegate SSL VPN, Checkpoint ConnectraForefront Unified Access Gateway 2010.

пятница, 13 июля 2012 г.

Вебинар по риск-менеджменту

Сегодня пятница, да еще и 13-е, поэтому сегодня никаких длиных постов писать не буду. Поделюсь некоторой информацией. Сейчас тема вебинаров начинает набирать обороты, все больше и больше компаний выходит с таким форматом в сети. Я оцениваю это очень позитивно. Так, на западе, например, уже созданы целые площадки для проведения онлайн-конференций и это, по моему мнению, формат будущего (ну ближайшего по крайней мере). Одна из наиболее известных таких площадок - это Brighttalk.com.  На ней, в том числе, хостят свои обучающие вебинары ISACA и ISC2.  

А сообщить я хотел собственно о том, что 24-го июля компания ISM SYSTEMS планирует провести вебинар на тему управления рисками информационной безопасности с использованием их программной разработки.  О системах управления рисками я уже писал ранее. Очень рад, что наконец-то и у нас в России появилось что-то на эту тему.

Участие в вебинаре бесплатное,  для всех кто интересуется данной тематикой я приглашаю зарегистрироваться по этой ссылке - http://www.ismsys.ru/?page_id=630&ee=1

среда, 11 июля 2012 г.

Законопроект о защите детей от вредоносной информации. Чего ожидать ?

Преамбула: 

Сразу скажу, что букав в этом посте много, но это ведь не должно отпугивать настоящих специалистов :). 

Если вы просто владелец сайта или какой-нибудь гостиницы, предоставляющей доступ к сети интеренет и не знаете что надо делать, то переходите сразу сюда.

Если вы простой пользователь и обеспокоенный родитель, который не знает как защитить ребенка в сети Интернет, то прочтите этот пост.

Все новостные ленты сегодня пестрят сообщениями о том, что Госдума приняла сразу во 2-м и 3-м чтении законопроект Федерального закона "О защите детей от информации, причиняющей вред их здоровью и развитию" и отдельные законодательные акты Российской Федерации". Голосование между прочим было единогласное ! Вообще никто не был против. 

То, что закон мягко говоря недоработан никого особо не интересует. Сейчас это новый стиль принятия законов, никакого диалога с профильными сообществами и отраслью. Хотя надо признать, что шансов у противников было мало т.к. если не вдаваться в детали, то на обывательском уровне все выглядит вполне правильно. Детей надо защищать, в интернете много всякой дряни, надо что-то делать. Только все меняется когда речь заходит о технических деталях того, как реализовать принятые требования.

Справедливости ради стоить сказать, что и в западных странах законодатели тоже не очень дружат с техникой и поэтому периодически принимают не совсем корректные законы.  Чего стоит немецкий парламент, который несколько лет назад запретил размещать на немецких сайтах программное обеспечение, которое может быть потенциально использовано для компьютерных преступлений (а под такое определение подпадет все подряд, даже nmap, например). В результате этого почти все исследователи и разработчики софтин для проведения пен-тестов дружно переехали на иностранные хостинги.

Ну это собственно была преамбула, а теперь давайте разберемся чем принятие данного закона грозит всем нам.  Во-первых посмотрим суть самого закона (беру из википедии, там уже хорошо написано):

  • Создаётся некая информационная система «Единый реестр доменных имен и (или) универсальных указателей страниц сайтов в сети Интернет и сетевых адресов сайтов в сети Интернет, содержащих информацию, запрещенную к распространению на территории Российской Федерации федеральными законами» (далее — Реестр).
  • Оператор Реестра вносит в него ссылки на интернет-страницы или доменные имена содержащие материалы с порнографическими изображениями несовершеннолетних, содержащие пропаганду наркотиков, суиида и любую иную информацию, запрещённую к распространению в России решениями судов.
  • Решение о включении в Реестр доменных имен, ссылок на интернет-страницы сайтов и сетевых адресов сайтов можно обжаловать только через суд, причём лишь в течение 3 месяцев.
  • С момента внесения доменного имени или ссылки на интернет-страницу в Реестр хостинг-провайдер обязан в течение суток проинформировать владельца сайта о необходимости незамедлительного удаления интернет-страницы целиком, на которой размещается запрещенная, по мнению оператора Реестра, информация.
  • Владелец сайта обязан в течение суток с момента получения от хостинг-провайдера уведомления удалить данную интернет-страницу целиком. В случае отказа или бездействия владельца сайта, хостинг-провайдер обязан ограничить доступ к такому сайту в сети Интернет.
  • В случае непринятия хостинг-провайдером и владельцем сайта данных мер, сетевой адрес сайта включается в Реестр.
  • Оператор связи, оказывающий услуги по предоставлению доступа к сети Интернет, обязан в течение суток с момента включения сетевого адреса сайта в Реестр ограничить к нему доступ. Тот факт, что на одном IP-адресе может находиться несколько тысяч сайтов, законом не учитывается.
и еще один аспект
  • доступ к информации, распространяемой посредством сети "Интернет", в местах, доступных для детей, предоставляется лицом, организующим доступ к сети "Интернет" при условии применения административных и организационных мер, технических, программно-аппаратных средств защиты детей от информации, причиняющей вред их здоровью и (или) развитию;
Теперь давайте рассмотрим какие требования данный законопроект налагает на различных участников и какие рекомендации я позволю себе им дать.  Я выделил 4 типа участников:

  • операторы связи
  • все, кто предоставляет доступ к сети Интернет (включая кафе, клубы, гостиницы и др. заведения)
  • хостинг-провайдеры
  • владельцы сайтов
Операторы связи. Операторы связи в данном законе по сути простые исполнители. Их задача - обеспечить блокировку доступа к сайту. Но за этой простотой, казалось бы, задачей скрывается и главная сложность. Как подтвердить, что блокировка обеспечена ?  Ведь умеючи можно обойти многие механизмы блокировки и на 100% ни один сайт не получится заблокировать. Эти технические тонкости законодателям конечно же не объяснишь.

Все, кто предоставляет доступ к сети Интернет (включая кафе, клубы, гостиницы и др. заведения).  Всем этим организациям предстоит принять организационные и технические меры. Моя рекомендация - сразу ограничить доступ к большинству "сомнительных" сайтов либо за счет использования специализированных средств, либо с использованием бесплатных сервисов вроде OpenDNS (ссылка). Все равно большинство пользователей используют доступ к сети Интернет преимущественно для получения почты и общения в соцсетях. Блокировка большинства "левых" сайтов может быть и вызовет разочарование, но лишь у очень небольшого числа клиентов. К тому же сервис доступа в сеть Интернет предоставляется как правило бесплатно, а  значит клиент не сможет "качать права". 

Хостинг-провайдеры. Здесь самое главное, это оперативное реагирование на запросы со стороны оператора Реестра. Т.к. если не удастся отреагировать в течение суток, то IP-адрес хостинг-провайдера попадет в черный список и на нем уже ничего больше нельзя будет разместить, а это потеря IP-адреса (свободных адресов в пространстве IPv4 уже не осталось) и в том числе потеря денег, связанная с переводом клиентов на другие IP-адреса. К тому же те клиенты, чьи сайты окажутся невинно забаннеными вряд ли будут довольны и скорее всего сменят хостера.

Таже важно и оперативное взаимодействие с владельцами сайтов. Кстати, если это еще не включено в договора, то в них надо вносить пункт, что хостинг-провайдер в праве заблокировать сайт по своему усмотрению либо в случае получения запроса от оператора Реестра. Это позволит не дожидаться ответа от владельца, а сразу банить сайт, который признали вредоносным.
  
Владельцы сайтов. Как всегда будут оказываться крайними. Поэтому 
  • во-первых рекомендую основательно подойти к выбору хостинг-провайдера. Хороший хостинг провайдер это тот, кто сможет обеспечить оперативную работу с оператором Реестра и не даст забанить нормальные сайты. (про хостинг-провайдера я написал выше).
  • во-вторых  рекомендую проверить кто является вашим виртуальным "соседом". как это сделать я уже писал вот здесь.
  • в-третьих если ваш бизнес сильно зависит от работоспособности вашего сайта, то рекомендую задуматься над тем, чтобы перевести свой сайт на выделенный сервер. На выделенном сервере у вас уже не будет "соседей" из-за которых ваш сайт могут заблокировать.
Вот как-то так, коллеги.

P.S. Но остаются и неразрешеннные вопросы. Вот к примеру завел себе кто-то блог на blogspot.com. Пишет там всякую гадость и его блог попадает в Реестр. Оператор Реестра пишет в Google, что мол контент противоправный, просим удалить. Google скорее всего шлет оператора лесом и в течение суток ничего не заблокирует. И что тогда ? Адреса blogspot.com попадают в черный список ? Т.е. в перспективе блоги смогут существовать только на отдельных, выделенных серверах ?  Очень не хотелось бы переезжать честно говоря.

P.P.S. На тему данного законопроекта есть также хороший пост у Артема Агеева - http://www.itsec.pro/2012/07/blog-post.html#more

Яма. Как научиться выбираться и стать победителем

 
Прочитал вчера книжку Сета Година под названием "Яма. Как научиться выбираться и стать победителем". Несмотря на то, что это произведение относится к классу бизнес-литературы, я рекомендую ее к прочтению широкому кругу лиц, так как многие вещи относятся в том числе и к вопросам личностного роста, профессионального и карьерного развития. 

Книга небольшая, меньше сотни страниц, и в общем не содержит какие-то инновационные или революционные идеи, однако при прочтении заставляет по новому взглянуть на свою профессию, карьеру, бизнес, жизнь в конце концов.   

Более подробно о книге можно почитать тут - http://www.ozon.ru/context/detail/id/3759456/

воскресенье, 8 июля 2012 г.

О вредности сертификации СЗИ

"Без бумажки ты .... (ну вы сами знаете)"

Продолжаю изучать нормативку по НПС и один абзац в тексте вновь заставил поразмышлять о наболевшем.  Вот упомянутый абзац:

"2.6.2. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают применение некриптографических средств защиты информации от несанкционированного доступа, в том числе прошедших в установленном порядке процедуру оценки соответствия. Допускается применение некриптографических средств защиты информации от несанкционированного доступа иностранного производства."

Вообще молодцы представители Центрального Банка, до последнего борятся с излишними требованиями регуляторов.  В СТО БР ИББС, например, умудрились вкрутить, что банкам не требуется получать лицензию на ТЗКИ. Здесь вот это. Но судя по формулировке, устали коллеги воевать с ФСБ и решили хотя бы по части некриптографических средств ослабить удавку. В моем понимании конструкция "..в том числе прошедших ...процедуру оценки" означает, что я могу применять как прошедшие процедуру оценки, так и не прошедшие процедуру оценки средства защиты. А про "иностранного производства" - это вообще контрольный :)  для совсем твердолобых проверяющих видимо :)

Но поговорить я хотел о своем отношении к системе сертификации. Я открыто заявляю, что являюсь ее противником в том виде как она подается сейчас. Я убежден, что механизмы жесткой сертификации должны применяться в исключительных случаях. Например, при защите государственной тайны, для военных нужд и похожих случаях. Т.е. когда речь идет о безопасности государства или жизни граждан. Во всех других случаях сертификация только душит рынок ИБ, создает коррупционные возможности для проверяющих и создает условия для монополизации.  Для коммерческих целей должны создаваться коммерческие системы сертификации (пример, компании BSI, TUV и другие), которые будут оценивать средства защиты и выдавать свои собственные заключения. 

Поясню почему я крайне негативно отношусь к существующей практике сертификации СЗИ:

1) Сертификация "замораживает" разработку. В настоящий момент процедура сертификации занимает от 6 мес. до 1 года. Знаю это потому как работая в интеграторе периодически сталкиваюсь с тем, как наши партнеры- разработчики сертифицируют свои новые разработки. У некоторых уходит и больше года. И даже те, у кого в штате есть "нужные люди", все равно не могут сделать это быстрее чем за 6 месяцев.

При этом любой нормальный разработчик за 6 месяцев выпустит не один апдейт для своей системы (если продукт развивается, а не замораживается), а это означает, что сертифицированный продукт практически никогда не будет содержать всех последних обновлений. 

2) Сертификация душит рынок ИБ в плане появления новых разработок. Честно скажу, что не знаю точный ценник, НО думаю все понимают что это скорее всего сотни тысяч, а может быть и миллионы рублей.  Суммы не заоблачные, но они абсолютно неподъемны для стартапов. Мы хотим чтобы у нас появлялись новые технологии ?? На западе очень многие крупные вендоры активно развиваются именно за счет того, что покупают более мелкие, инновационные конторки. Если сертификация войдет в жесткую обязаловку, то можно забыть о расцвете новых технологий, либо люди будут создавать и продавать новые системы защиты осознанно нарушая закон.  

3) Сертификация монополизирует рынок. Частично это связано с тем, что я уже описал выше. Чем сложнее получить на свой продукт ярлык, тем меньше компаний будет на рынке, а тем легче будет тем компаниям, которые на этом рынке уже существуют. Кроме того, сертификация, может быть использована и для конкурентной борьбы. У меня есть пример одного западного вендора, который уже больше года не может получить сертификат на свой продукт, я не берусь утверждать в чем причина, но по слухам виной этому является "активная работа" другого конкурента (российской компании). 

4) Миф: сертификация позволит защитить отечественного производителя. Это неправда !!! Западные компании, которые решаются выйти на российский рынок как правило обладают серьезными деньгами, а за деньги как известно можно решить практически любой вопрос. У Microsoft сейчас сертификатов больше чем у кого бы то ни было. Так что опять же сертификация будет душить небольшие (в т.ч. отечественные) компании и способствовать захвату рынка ИБ со стороны западных компаний.

5) Миф: Сертификация говорит о качестве продукта. Сейчас технологии разработки настолько усложнились, что проводимые испытания просто не в состоянии выявить всех возможных тонкостей функционирования СЗИ. Либо эти испытания должны проводиться на постоянной основе, что попросту невозможно. Я знаю массу совершенно глюкавых отечественных продуктов, имеющих необходимые сертификаты, и множество хороших западных, не имеющих нужных бумажек.  Все проверяется опытом и практикой использования продуктов в реальной бизнес-среде.

Возможно кому-то показалось, что я агитирую за то какие плохие отечественные (сертифицированные) и какие, в свою очередь, хорошие западные (несертифицированные) продукты. Это не так. Мне самому очень хочется, чтобы рынок отечественных разработок СЗИ активно развивался. Я сам, когда-то работал в таких компаниях как StarForce и Kaspersky, чьи разработки известны по всему миру и был реально горд, что это так.   Но на мой взгляд сертификация - это ужасный призрак из прошлого, от которого нужно в 95% случаях отказаться, если мы хотим двигаться вперед. 

вторник, 3 июля 2012 г.

Белое пятно в документах по НПС

Блогосфера бурлит обсуждением новой законодательной базы, касающейся вопросов обеспечения безопасности в национальной платежной системе. Уже даже появляются учебные курсы, в которых чуть ли не опытом по теме готовы делиться. Тема пожалуй и хорошая, но как-то я таким скороспелым пирожкам не привык доверять. 

У меня, кстати, при анализе документов возникли некоторые пока не решенные вопросы. Вот, например, никого не смущает, что ни в проектах документов ЦБ ни в их финальной редакции для п.109 требований положения 382-П, по которым должна быть проведена оценка, не указана категория проверки ? Это просто чей-то косяк или уважаемые эксперты из ЦБ сами не знают пока как это оценивать ? И как интересно определять финальную оценку ? Каждый интегратор сам будет выбирать категорию для этого пункта ? 

Еще очень порадовал п.125 

"Оператор  по  переводу  денежных  средств, оператор  услуг  платежной  инфраструктуры регламентируют порядок принятия мер, направленных на совершенствование  защиты информации  при  осуществлении  переводов денежных средств, в случаях изменения порядка обеспечения  защиты  информации  при осуществлении переводов денежных средств. "

Переводя на простой русский язык это означает, что оператор должен определить порядок  коррекции защитных мер в случае изменения этих же самих мер.  Круто ? :)