пятница, 6 ноября 2015 г.

Ключевые факторы в деятельности по реагированию на инциденты ИБ

В преддверии SOC-форума, решил высказаться по сабжу. 

Тема инцидент-менеджмента на мой взгляд одна из тех, которая должна быть в приоритетах практически любой службы информационной безопасности. В современном мире неприкасаемых не осталось, жертвами внешних или внутренних злоумышленников становятся самые разнообразные компании, включая тех, которые сами занимаются разработкой программного обеспечения или оказанием услуг в области информационной безопасности. 

Есть несколько моментов, которые являются, на мой взгляд, ключевыми факторами, влияющими на успех или провал при реализации деятельности по управлению инцидентами ИБ. 

Определиться что является инцидентом.  Ресурсов никому никогда не хватает, пытаться все подряд называть инцидентом и реагировать - путь в никуда. Хотя большинство начинают именно с этого, сперва пытаются собирать и фиксировать все, пытаться реагировать на каждый чих, но сразу же приходит понимание того, что нужно как-то сужать фокус. Т.е движение идет от большего к меньшему, в то время как более правильный путь это движение от меньшего к большему. Уж лучше сразу целенаправленно уменьшить перечень событий, которые должны быть отнесены к инцидентам ИБ и обеспечить их корректную обработку. Далее, настроив процесс, постепенно его масштабировать и расширять на менее критичные события. 

Понятная цепочка обработки инцидентов. Обработка инцидентов - это конвейер, каждый инцидент должен быть обработан по заранее согласованной схеме, которая должна быть отработана практически до автоматизма. 

Готовые планы реагирования. "Время дорого" - вот главный девиз эффективного инцидент-менеджмента. Действовать надо быстро и слаженно. Здесь очень хорошо помогают готовые планы реагирования на инциденты, привязанные к типовым ситуациям: вирусное заражение, DDOS, отключение питания и проч. Понятно что если вдруг возникнет нештатная ситуация, для которой нет плана реагирования, придется импровизировать уже на ходу, но это не отменяет того, что для типовых ситуаций удастся сберечь массу ресурсов, времени и нервов. 

Согласованный порядок сбора и фиксации информации по инцидентам. Инцидент нужно не только как можно скорее закрыть, устранив возможные последствия, но еще и зафиксировать набор различных сведений, которые должны помочь впоследствии провести расследование, применить меры дисциплинарного воздействия, выявить системные проблемы, накопить статистику для различных целей, в том числе для оценки рисков. Если это не реализовано, то процесс реагирования на инциденты превращается в вечный и неэффективный бой. 

Тайминг. Время, время, время... Самая главная метрика эффективности процесса реагирования на инциденты ИБ - время отработки инцидента. Причем эта одна из самых простых метрик, с точки зрения ее определения. Если данные по обнаружению инцидента и данные по закрытию инцидента где-то зафиксированы, то определить среднее время обработки инцидентов не составит большого труда. За счет работы над тем, что я описал выше и рядом других моментов необходимо добиваться снижения данного показателя до необходимого для компании уровня. 

Как видите все вышеперечисленное не про технические системы. SIEMы, IDSы, и проч. всего лишь инструменты, которые должны помочь реализовать стоящие перед группой реагирования на инциденты ИБ задачи и помочь с тем что я описал. К сожалению плохие, непродуманные внедрения порой становятся главным препятствием на пути к нормальному инцидент-менеджменту. 

P.S. На SOC-форуме я буду вместе с моими коллегами представлять проект R-Vision. Подходите, буду рад пообщаться. 

P.P.S. Что касается инструментов, то на следующий день после SOC-форума буду проводить вебинар с демонстрацией новых возможностей R·Vision SGRC по управлению инцидентами ИБ. Регистрация тут - https://rvision.pro/?post_type=event&p=1219

среда, 28 октября 2015 г.

Оценка рисков с использованием R·Vision SGRC

Всем привет ! 

Завтра провожу вебинар по теме "Оценка рисков с использованием R·Vision SGRC"


Поговорим про анализ рисков вообще и моделирование угроз в частности, обсудим западные методики и пока еще не вышедшую методичку ФСТЭК.  Детально расскажу и покажу новые возможности по идентификации и оценке рисков в R·Vision SGRC. 

Регистрируйтесь, вебинар завтра, 29 октября в 11:00 ! 

вторник, 20 октября 2015 г.

Организация программы по повышению осведомленности

Кризис бьет по экономике, бизнес-руководство "режет косты", т.е сокращает финансирование, но обеспечивать безопасность по-прежнему нужно. И хочешь не хочешь, но необходимо искать какие-то простые (в идеале бесплатные) методы достижения нужного результата.  Конечно порой такая погоня за дешевизной в прямом смысле дорого обходится, но пост не об этом. 

Одним из самых недорогих, но действенных методов по повышению общего уровня безопасности на мой взгляд является программа повышения персонала в вопросах ИБ. Внедряя такую программу в компании подразделение ИБ убивает сразу 2х зайцев:
  • сотрудники становятся более грамотными в плане ИБ, что приводит к меньшему количеству ошибок, обращений в ИТ и ИБ и в конечном итоге уменьшает количество инцидентов;
  • программа повышения осведомленности может помочь популяризировать деятельность подразделения ИБ в компании, эдакий способ PR-а внутри компании. 
Есть несколько простых инструментов, которые могут составить такую программу повышения осведомленности: 
  • периодические тренинги персонала - самый очевидный, но при этом самый ресурсозатратный метод, да и часто вызывает определенное отторжение, поэтому я бы рекомендовал его применять крайне дозированно (раз в год, например). 
  • рассылки внутри компании - метод простой и в меньшей степени напряжный, особенно если удастся обеспечить хороший контент для такой рассылки. Если делать ее не часто (раз в месяц например) и включать советы в том числе по личной компьютерной безопасности, то уверен что найдется немало людей кто будет даже благодарен. 
  • плакаты, наглядная агитация - хороший метод, но только если прям угадаете с оформлением. Нужно ориентироваться на принятую культуру в компании, средний возраст персонала и проч. Должно быть интересно, немного смешно и должно запомниться.  Есть вечные темы вроде полуголых женщин, призывающих "не болтать", есть дизайнерские находки, вроде тех плакатов, которые в свое время делал для себя Билайн (жаль что их нигде в сети нет)
  • база знаний - раздел на внутрикорпоративном сайте компании, который содержит в простой и доступной форме описание и разъяснение основных положений политики ИБ компании, описание действий в ситуации "если вдруг ___  то действуйте так ____"
Для реализации всего того, что я написал выше, в первую очередь нужен грамотный контент - материал из которого будут делаться тренинги, рассылки, плакаты и проч.  С этим конечно все сложнее и это пожалуй единственный серьезный барьер, о который разбиваются многие попытки внедрить деятельность по повышению осведомленности. 

Приведу несколько ссылок, надеюсь что помогут. Практически все на английском, у нас в России по этой теме пока мало кто активно работает.  Но ведь стоимость переводчика не такая большая, можно нанять, а можно самому перевести, да еще и знание языка повысить :) 

  • Проект Так безопасно от компании ЛЕТА - набор готовых плакатов - скринсейверов, с описанием стандартных и очевидных правил информационной безопасности.
  • Microsoft Security Awareness Toolkit - тулкит от компании Microsoft, содержащий различные материалы (планы, статьи, презентации), которые могут быть использованы для реализации программы повышения осведомленности. 
  • Stay Smart Online - Сайт Австралийского агентства Department of Communications and the Arts, содержит набор статей, описывающих основные рекомендации по обеспечению персональной безопасности в сети.  
  • Stop. Think. Connect - онлайн ресурс, содержащий рекомендации по обеспечению ИБ, а также подборку плакатов 

четверг, 8 октября 2015 г.

Вебинар про R·Vision SGRC

Мы строили, строили  и наконец построили.....


Хочу поделиться приятной новостью.  Еще в начале этого года мы затеяли глобальную переделку системы R-Vision. В рамках этой работы необходимо было решить 2 серьезные задачи:
  • Объединить весь имеющийся функционал в одну систему, с целью консолидации информации и создания единой модели данных, с которыми работают пользователи продукта.
  • Расширить гибкость системы с целью адаптации ее под нужды различных компаний

В результате мы практически полностью переписали все что было, но это того стоило. Забегая вперед, скажу что нам все удалось и даже больше. Подробности сейчас раскрывать не буду, чтобы сохранить интригу. 

В следующую среду (14 октября) в 11:00 мы будем проводить большой вебинар, на котором покажем и расскажем о том что же такое SGRC, как мы его видим и какие новые возможности дает наша обновленная система. 

Регистрируйтесь, будем рады всех видеть - https://rvision.pro/?post_type=event&p=1192


среда, 30 сентября 2015 г.

4 функции директора по информационной безопасности

В предыдущем посте я уже писал об исследовании компании Deloitte:  


в ходе проведения которого была предложена следующая функциональная модель современного директора по информационной безопасности:
  • Стратег. Адаптация стратегии обеспечения безопасности потребностям бизнеса, инициирование инновационных трансформаций с целью эффективного управления рисками и инвестициями в безопасность.
  • Советник. Взаимодействие с бизнесом с целью обучения, консультирования и оказания влияния на реализацию бизнес-проектов в контексте имеющихся рисков. 
  • Защитник. Защита бизнес-активов за счет понимания текущего профиля угроз и управления эффективностью текущей программы по безопасности.
  • Технарь.  Оценка и внедрение новых технологий и стандартов с целью поддержания необходимого уровня безопасности.
Согласно исследованию Deloitte бОльшую часть времени директора тратят на активности из области Защитник и Технарь, оставляя на 2 другие стратегические области совсем немного. Бизнес-руководители же ожидают от директоров по ИБ совсем иного, они ждут что они будут больше времени уделять стратегии и меньше технике. 

Думаю что со временем эта тенденция и дальше будет усиливаться, примеров компаний с большими департаментами ИБ не так много, очень часто директору по информационной безопасности приходится заниматься решительно всем. А это в свою очередь будет обуславливать то, что решение чисто технических задач будет занимать все больше и больше времени. 

С другой стороны, с ростом количества и технологической сложности решений по безопасности возможности по обслуживанию всех необходимых средств защиты будут сокращаться и единственно возможным решением будет передача данных функций на аутсорсинг, что в свою очередь приведет к разгрузке директора по безопасности, но неизменно поставит вопрос о его необходимости в компании. 

Обосновать необходимость можно будет только за счет стратегических функций, для выполнения которых необходимо уже сейчас осваивать новые для себя инструменты: управление рисками, бизнес-планирование, финансовый менеджмент и др. 

пятница, 25 сентября 2015 г.

47-ой выпуск журнала (IN)SECURE

Содержание номера: 
  • Redefining security visualization with Hollywood UI design
  • Best practices for ensuring compliance in the age of cloud computing
  • The evolution of DDoS and how ISPs can respond
  • NowSecure Lab cloud: Mobile app assessment environment
  • Why vulnerability disclosure shouldn't be a marketing tool
  • Report: Black Hat USA 2015
  • We don't know what we don't know
  • Outdated protocols put IoT revolution at risk
  • The challenges of implementing tokenization in a medium-sized enterprise
  • Automated threat management: No signature required
  • Re-thinking security to detect active data breaches
  • How to prevent insider threats in your organization
  • ISO/IEC 27001 scoping and beyond
  • Combatting human error in cybersecurity
  • Threat intelligence matters to everyone

Качаем тут

понедельник, 21 сентября 2015 г.

Проверка сертификатов специалистов и компаний

Сколько уже было поломано копий вокруг темы сертификации. Хорошо это или плохо каждый решает для себя сам, я отношусь к теме сертификации как специалистов, так и компаний положительно, хотя сам уже давно никаких новых сертификатов не получал, лично я решил на CISA и CISSP пока остановиться. 

Что среди прочего мне нравится в этих сертификациях (о чем я собственно и хотел поговорить) это то, что вы всегда можете проверить спеца по номеру сертификата. 

У ISACA форма проверки находится прям на главной странице справа (форма Verify a Certification), достаточно знать только номер сертификата и фамилию. 

У ISC форма находится тут, аналогично для проверки достаточно знать номер и фамилию. 

Я считаю это правильно, приходит к тебе наниматься на работу эдакий спец весь бумажками увешанный, а подтвердить что он действительно проходил указанные курсы, получил сертификаты можно только взяв у него бумажный сертификат.  А как говаривал Остап Бендер: "при современном развитии печатного дела изготовить советский паспорт это пара пустяков". Так что слепить в фотошопе сертификат это вообще не проблема, я даже знаю когда подобные вещи делались для конкурсов, в которых было требование о наличии специалистов с сертификатами.   

Проблема понятна, решение очевидно, если какая-то организация выдает человеку или другой организации бумажку, которая будет предъявляться третьим лицам всегда тем, кто выдал бумажку, должен быть обеспечен простой и прозрачный механизм проверки достоверности этой бумаги. 

Вот, к примеру, если вы хотите проверить организацию на наличие у нее сертификата ISO 27001, выданного компанией BSI, то вам сюда: 


А если хотите проверить подрядчика на предмет того, что у него есть необходимые статусы для проведения аудита на соответствие требованиям PCI DSS, то сюда:


Я правда не смог найти какого-то единого реестра для проверки компаний, на наличие самих сертификатов PCI DSS, но это видимо обусловлено тем, что аудиторов очень много и это задача каждой такой компании вести реестр и все предпочитают хранить это в тайне, не уверен что это правильно. 

среда, 16 сентября 2015 г.

О "бумажной" безопасности и не только

Термин "бумажная безопасность" уже практически укоренился в нашей среде и приобрел оттенок резко отрицательный. Все чаще представители различный компаний в своих выступлениях пытаются показать что мол мы тут реальными вещами занимаемся, а не какой-то там "бумажной" безопасностью. 

Я нисколько не пытаюсь умалить ценность разного рода технических средств, да только на практике доказано, что количество, стоимость и крутизна бренда установленных в компании средств безопасности далеко не всегда коррелирует с реальной защищенностью и готовностью оперативно реагировать на меняющийся ландшафт угроз. Сейчас на рынке информационной безопасности чего только нет, сотни различных решений и кого не спроси все же не просто так выпускают новые ИБ-продукты, все так или иначе решают какие-то реальные проблемы, устраняют угрозы и проч. 

Но вот что при этом упускается из вида, что подчас приписывается к той самой "бумажной безопасности", это необходимость не просто наращивать мускулы в виде средств защиты, но и "включать голову" в смысле адекватного оценивания ситуации, выставления приоритетов, определения той самой (заезженный термин) стратегии обеспечения безопасности. Но стратегии не в том смысле как это часто делается, в виде документа на несколько сотен страниц, который успевает устареть к моменту его утверждения в организации, а стратегии если можно так сказать "в режиме реального времени", ориентированной на текущие обстоятельства. 

А что для этого нужно ? Нужно адекватно инвентаризировать инфраструктуру и определить наиболее критичные активы, необходимо оценивать риски и расставлять приоритеты в части того, что нужно минимизировать в первую очередь, нужно собирать аналитику и оценивать состояние текущих средств защиты, нужно искать механизмы взаимодействия с бизнесом с точки зрения понимания ключевых задач и приоритетов и прочее. Готовых рецептов тут тоже нет, можно ориентироваться на стандарты, на лучшие практики, да на что угодно, но главное "включать голову". К сожалению все что я описал выше очень часто относят к "бумажной" безопасности и, стало быть, начинают воспринимать как абсолютно бесполезную вещь, мне кажется зря. В качестве подтверждения моих слов приведу еще два небольших комментария: 

Если брать в пример военное дело, то можно найти немало примеров полководцев, которые одерживали победы над превосходящими силами противника. Что им помогало ? Конечно же верно выбранные стратегия и тактика. На эту тему есть, например, труды известного полководца А.В. Суворова, который, как известно, за всю жизнь не проиграл ни одного сражения. 

Недавно проведенное исследование компании Delloite показало что директора по безопасности тратят порядка 77% процентов всего своего времени на  разного рода технические задачи, в то время как руководители бизнеса ожидают от них прямо противоположного: больше ориентации на бизнес-задачи, стратегическое планирование и проч.

четверг, 10 сентября 2015 г.

Осторожно, зловреды-вымогатели !

Интересная новость тут попалась на глаза:

Специалисты по безопасности из компании Zscaler сообщили о новой разновидности трояна-вымогателя, который поражает Android-смартфоны под видом порнографического видеоплеера. После запуска программы троян фотографирует пользователя и требует выкуп.

Источник новости тут:  https://xakep.ru/2015/09/08/adult-player/

Думается мне, что сегмент разного рода вредоносов-вымогателей еще в самом начале своего развития. Пока все мы слышали только про разномастных шифровальщиков, которые шифруют важные файлы и требуют выкуп, а также разного рода блокировщики экранов. Но заразив компьютер человека можно получить доступ ко всей его электронной переписке, статистике посещения сайтов, профилях и переписке в социальных сетях и прочее. 

Вот, например, сейчас вся западная блогосфера "гудит" насчет взлома и публикации инсайдерской информации сайта Ashley Madison, есть опасения что опубликованная информация уже была использована для шантажа любителей устроить интрижку на стороне.   Что мешает делать тоже самое, но тихо и применительно к отдельным людям. 

Это я все к тому, что как мне кажется не за горам появление вымогателей, которые заразив компьютер жертвы будут выискивать какие-то факты личной жизни человека и использовать их для шантажа. 

понедельник, 7 сентября 2015 г.

Мои планы на BIS Summit 2015

Пришла осень, а значит и пора множества конференций. В моем графике первой осенней конференцией будет BIS Summit 2015.  Я уже не первый раз буду участвовать в этом мероприятии, еще помню его как DLP Russia, но уже тогда было понятно, что мероприятие перерастает заданную тематику, да и вопрос DLP перестал быть таким уж "горячим", по сравнению с тем как это было лет 5 назад. 

По воспоминаниям с прошлого года могу сказать что конференция производит приятное впечатление, видно что организаторы стараются задать интересные темы для дискуссии, собирают широкую экспертную аудиторию, хочется надеятся что в этом году успех будет закреплен и развит, хотя времена сейчас конечно очень непростые. 

В общем если хотите пообщаться со мной, то буду рад, приходите на конференцию, ловите меня в толпе и давайте общаться :) 

В выставочной части конференции в этом году мы также организуем стенд проекта R-Vision, на котором вы сможете поговорить с моими коллегами о возможностях нашей разработки, а может быть даже и познакомиться с новой версией системы, которую мы интенсивно разрабатываем уже несколько месяцев.  В любом случае будет интересно. 

Кроме того в рамках конференции будет проходить еще одно мероприятие - StandUp for Startup, в рамках которого аудитории будут представлены проекты молодых компаний на рынке ИБ.  Так что попробуем и себя показать и других посмотреть. 

понедельник, 10 августа 2015 г.

Готовые агрегаторы ИБ-блогов

Не устаю повторять, что современному специалисту (в любом деле) просто необходимо быть в курсе того, что происходит в его профессии. Жизнь стала очень динамичной, отключаешься от инфо-потока и все... через некоторое время ты уже безнадежно отстал. В ИТ (ну и ИБ конечно) это проявляется наиболее остро.  

Для отслеживания актуальной информации лично я использую RSS-читалку (раньше это был Google Reader, а теперь bazqux), в которую загоняю разного рода новостные сайты и конечно же блоги. Собственно этому и посвящен этот пост. Давным-давно я наткнулся на площадку Security Bloggers Network, эти ребята агрегировали в себе несколько сотен ИБ-блогов и выдавали в качестве одного rss-фида. Отличная штука, можно было сразу одной подпиской получить канал со всех западных блогов, круто !  Но примерно месяц назад у площадки начались какие-то проблемы, она стала работать со сбоями, а сейчас и вовсе недоступна уже неделю. 

Пришлось самому делать подписки на отдельные блоги, и я подумал что раз это было полезно мне, то наверное может пригодится еще кому-то. В общем я решил выложить публичные фиды своих каналов:

фид англоязычных ИБ-блогов, на которые я подписан 
https://bazqux.com/feed/d317015927f7b82254f9

фид российских блогов, на которые я подписан 

Все в одном месте, пользуйтесь на здоровье. 

А тем, у кого совсем нет времени на чтение блогов рекомендую подписаться на дайджесты от R-Vision

Подписка по RSS - https://rvision.pro/blog/blog/feed/

Подписка на E-mail - http://eepurl.com/BpV9X


четверг, 23 июля 2015 г.

Вам нужны крутые специалисты ? Их есть у меня

Коллеги, на примете есть парочка хороших специалистов, которые подумывают о смене работы. Один системный архитектор с богатым техническим опытом (внедрение ИБ-систем разного масштаба и сложности), опытом руководства проектами и проведения маркетинговых мероприятий, другой - ИБ-консультант с кучей проектов за плечами.  Если кому нужны, то свяжитесь со мной любым удобным для вас способом, перекину вам резюме.

понедельник, 29 июня 2015 г.

Избавляемся от легко угадываемых паролей

Пароли, сколько их уже хоронили, сколько говорили про то, что они ненадежны, они все равно остаются основным средством аутентификации. 

Практически любой пентестер подтвердит, что в рамках работ по взлому он сталкивается с ситуацией нахождения учетных записей, у которых установлен пароль вроде p@ssw0rd или 123456.  Сам помню как в одном случае мы наткнулись на учетную запись с паролем secret (абсолютно реальный случай), которая давала админский доступ как минимум к половине всей инфраструктуры заказчика. 

С такими же проблемами сейчас сталкиваются и онлайн-сервисы, большинство обычных пользователей используют очень простые пароли, что дает возможность злоумышленникам легко получить доступ к нужным аккаунтам. 

Вот, к примеру, Dropbox недавно в очередной раз заблокировал большое количество слабых паролей пользователей сервиса. На мой взгляд это очень правильная профилактическая мера, но как ни странно я что-то не знаю ни одного ИБ-продукта, в котором бы присутствовала функция обнаружения и блокировки слабых учеток. 

Понятно что можно запустить сканер, потом посмотреть отчет, найти виновных и прочее, но ведь было бы значительно проще запускать периодически скрипт, который будет искать учетки со слабыми паролями и менять их на какой-то один сложный, но известный пароль.

Конечно тут есть свои минусы, что увеличится количество обращений в техподдержку с просьбой сбросить пароль, возможно перестанут работать какие-то скрипты, но ведь тут получается классическая дилемма, либо безопасность как должно быть, либо все как придется, дыры в системе, угроза взлома и проч. 

Конечно не стоит рубить с плеча, можно же начать в режиме просто поиска таких учеток, а потом в какой-то момент перейти на принудительный сброс пароля. 

В общем, мне кажется, что это правильная практика, и безопаснику стоит ее при определенных обстоятельствах включить в свой арсенал. 

Теперь о том как это можно сделать.  

1) Необходимо сформировать набор логинов и  паролей, которые будем проверять. Логины берем из AD, пароли из типовых справочников, вроде того что опубликовал тот же Dropbox.

2) Проверку учеток можно сделать, например, с использованием nmap и плагина smb-brute

3) С блокировкой сложнее, готовых инструментов нет, тут придется писать свои скрипты, либо для bash, либо bat-ник, либо плагин на языке nmap.  Для установки пароля нужно всего лишь выполнить команду net user <текущий пароль> <новый пароль>. Как вариант можно воспользоваться плагином nmap - smb-psexec

четверг, 25 июня 2015 г.

Создаем положительный имидж службы ИБ

Тема, что безопасник в компании как правило воспринимается как тот кто все запрещает, всем мешает и за всеми следит, поднимается уже давно. Много дискуссий идет на тему того как общаться с ИТ, как общаться с ТОП-ами, как общаться с сотрудниками.  

На мой взгляд подразделению ИБ необходимо серьезно задумываться над созданием положительного имиджа, а создать его можно в том числе проявляя заботу о сотрудниках, выходя за рамки должностных обязанностей. 

После того как мы в свое время в компании LETA запустили проект "Так Безопасно" мы получили позитивный отклик от клиентов, которые рассказывали о том, что рассылка полезных информационных материалов и использование баннеров с элементами юмора помогли им показать с позитивной стороны деятельность службы ИБ.  

А вы делаете рассылки по сотрудникам ?  Рассказываете им о том как защитить свою личную информацию, как не стать жертвой многочисленных сетевых мошенников ? 

А ведь личная безопасность сотрудника (точнее ее нарушение) может повлияет и на корпоративную безопасность. Ведь так ? 

Вот сейчас по сети активно гуляет тема, связанная с тем, что мошенники крадут доступ к почте, отправляя поддельные SMS. 

А ваши сотрудники об этом знают ?  А? 

А? 














В качестве источника для материалов для рассылки можно использовать как различные новостные ресурсы, так и разного рода дайджесты, вроде того, что мы делаем в R-Vision.

P.S. Если среди читателей моего блога есть те, кто практикует подобные вещи у себя в компании, то поделитесь в комментариях своим опытом. Как это работает у вас ? Какой эффект дает ?



вторник, 23 июня 2015 г.

R-Vision теперь участник Сколково

Хочу поделиться новостью.  Открываем новый этап в своем развитии. 

На самом деле все оказалось не так уж и сложно как может показаться. Хотя возможно нам просто повезло, я общался с коллегами, которые отправляли свои запросы много раз, кто-то в итоге проходил, а кто-то так и не смог пройти экспертный фильтр. В общей сложности у нас весь процесс занял около 5 месяцев. Заявка прошла отбор с первого раза.  

Теперь у нас новая компания - ООО "Р-Вижн", немного скорректированный концепт развития продукта и большие планы на ближайшее и далекое будущее. Осенью готовим большой релиз, так что следите за новостями :) 

понедельник, 15 июня 2015 г.

Комментарии по методике ФСТЭК по определению актуальных угроз ИБ

Специалисты ФСТЭК уже достаточно давно опубликовали проект методики определения актуальных угроз ИБ с целью сбора предложений от общественности и на прошлой неделе (10 июня) истек срок сбора этих самых предложений. 

Судя по большому количеству сообщений в блогосфере, этот документ в отличие от предыдущего проекта обновленного 17-го приказа вызвал куда как более активную реакцию. Будем надеяться что не зря. 

Что пишут коллеги: 

В основном отзывы по методике положительны и многие отмечают что по ней можно жить и работать. Я же со своей стороны хотел бы обозначить ряд фундаментальных проблем, заложенных в документе, которые не позволят ему стать реально практичным инструментом.

Тут конечно важный вопрос что преследует регулятор. Вот, например, методика оценки рисков РС БР ИББС-2.2 абсолютно теоретична, на практике проводить оценку рисков как описано в этой методике можно только с одной целью - распечатать и положить в стол. Никаких реальных решений по обеспечению безопасности на основании такой оценки принять нельзя. Именно поэтому нам при разработке модуля по управлению рисками для системы R-Vision пришлось выкручиваться и пытаться совместить формальный подход с реальными потребностями и необходимостью практического применения результатов оценки рисков в банке.  

Говоря о методике ФСТЭК, я хочу показать аналогичные ключевые проблемы, которые могут привести к тому, что оценка будет делаться только ради оценки и ради бумажки и никак на практике не будет помогать в обеспечении реальной защищенности систем. Если это то, что хочет регулятор, ну тогда ок, методика годится, если же нет, то.... 

Проблема № 1. Методика предлагает использовать базу угроз ФСТЭК, но описание угроз в этой базе не соответствует тому как они описаны в методике. Нет связки между угрозами и уязвимостями, более того база ФСТЭК содержит только технические уязвимости, а как же быть с организационными ?  Разве утечка информации происходит из-за какой-то технической уязвимости ?  Или случайное удаление информации легитимным пользователем ?  Ну и попытка связать все угрозы из базы ФСТЭК со всеми уязвимостями (и потом еще актуализировать постоянно) - это просто титанический (а точнее будет сказать сизифов) труд. 

Проблема № 2. Методика расчета уровня исходной защищенности и порядок определения актуальности угроз информационной безопасности составлены таким образом что практически все угрозы станут актуальными для большинства систем. Так что вообще оценка получается как бы не сильно нужна. Об этом хорошо написал Сергей Борисов в своем блоге. 

Проблема № 3. При расчете вероятности методика предлагает в первую очередь опираться на статистику. Ну тут что еще сказать, есть ложь, грубая ложь и статистика. Ставить ее во главу угла как минимум некорректно. Статистика может быть одним из критериев, но не главным определяющим.

Проблема № 4. При расчете вероятности методика никак не учитывает эффективность имеющихся защитных мер. Я всегда был противником того, чтобы рассматривать при оценке не реальную систему как она есть, а нечто эфимерное, предполагающее что нет никаких защитных мер. Похоже что методика предлагает действовать именно так. 

Все что я написал тут я также изложил в документе, который отправил во ФСТЭК 9 июня (скачать можно тут).

Посмотрим что из этого получится, первый раз за последние несколько лет пишу свои предложения регулятору.  Мне, кстати, так и не пришел никакой ответ относительно того получены ли мои замечания. Буду надеяться что письмо дошло. А как у вас, коллеги, был какой-то ответ от ФСТЭК тем кто писал свои замечания ? 

среда, 20 мая 2015 г.

Управление уязвимостями с R-Vision

Коллеги, небольшой анонс. 

22 мая (пятница) в 10:00 мы будем проводить вебинар на тему управления уязвимостями с использованием R-Vision.  

В рамках вебинара мы рассмотрим лучшие практики по управлению уязвимостями, а также представим первые результаты по интеграции системы R-Vision с решениями по управлению уязвимостями. 

Регистрация тут - https://rvision.pro/?post_type=event&p=803

Приходите !

понедельник, 18 мая 2015 г.

Новый порядок контроля за обработкой ПДн со стороны Роскомнадзора

На Едином портале для размещения информации о разработке федеральными органами исполнительной власти проектов нормативных правовых актов и результатов их общественного обсуждения опубликован проект документа: 

Постановление Правительства Российской Федерации «Об утверждении Положения о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации»
Алексей Волков уже представил свое краткое, но довольно яркое видение последствий принятия этого документа - http://anvolkov.blogspot.ru/2015/05/blog-post.html#.VVjICdPtmko

Я же со своей стороны хотел бы привести в этой заметке наиболее важные выдержки из документа.  Так что если вам некогда читать весь документ, то обратите внимание хотя бы на это.  Обозначением "...." определяется что часть оригинального текста пропущена.

....

3. Деятельность по осуществлению государственного контроля и надзора подразделяется на плановую и внеплановую и осуществляется посредством проведения плановых и внеплановых проверок, а также мероприятий систематического наблюдения.

7. Внеплановые проверки проводятся на основании решения руководителя (заместителя руководителя) Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориального органа, принятого: 

7.1. в случае истечения срока исполнения .... предписания об устранении выявленного нарушения;

7.2. по результатам рассмотрения обращений граждан, поступивших в Федеральную службу...при условии:

7.2.1. наличия материалов, подтверждающих факт нарушение их прав, определенных статьями 14-17 Федерального закона от 27 июля 2006 г. №152-ФЗ ...... за исключением случаев, не порождающих юридические последствия для субъекта персональных данных, установленных статьей 16.

7.2.2. непредставления ...... информации по запросу Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориального органа в сроки, установленные частью 4 статьи 20 Федерального закона.

7.3. поступления в Федеральную службу .... информации от органов государственной власти, органов местного самоуправления и средств массовой информации о подтвержденных фактах нарушения законодательства Российской Федерации, допущенных при обработке персональных данных.  

7.4. в соответствии с поручениями Президента Российской Федерации, Правительства Российской Федерации.

7.5. в случае нарушения ...... требований законодательства Российской Федерации в области персональных данных, выявленного по итогам мероприятий систематического наблюдения в области персональных данных.

7.6. на основании подтвержденного факта несоответствия сведений, содержащихся в уведомлении об обработке персональных данных, фактической деятельности государственного органа, органа местного самоуправления, юридического лица, физического лица.

7.7. в случае неисполнения требования Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориального органа об устранении выявленного нарушения требований в области персональных данных. 7.8. на основании представления (требования) органа прокуратуры о проведении внеплановой проверки.

9. Должностные лица Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций .... вправе:
...

9.5. получать доступ к информационным системам персональных данных для оценки законности деятельности по обработке персональных данных, в том числе, на предмет соответствия содержания, объема, способов обработки, сроков хранения обрабатываемых персональных данных целям их обработки.

9.7. в пределах своей компетенции проверять и оценивать достаточность принятых государственным органом, органом местного самоуправления, юридическим лицом, физическим лицом мер для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных».

Для оценки и анализа вышеуказанных мер, принятых государственным органом, органом местного самоуправления, юридическим лицом, физическим лицом, могут привлекаться эксперты и (или) экспертные организации, аккредитованные в порядке, установленном Федеральным законом от 28 декабря 2013 г. № 412-ФЗ «Об аккредитации в национальной системе аккредитации». 

20. О проведении внеплановой выездной проверки государственный орган, орган местного самоуправления, юридическое лицо, физическое лицо уведомляется не менее чем за двадцать четыре часа до начала ее проведения любым доступным способом.

24. Должностными лицами в пределах своей компетенции проводится проверка:

24.1. деятельности ..... по обработке персональных данных, осуществляемой с использованием и (или) без использования средств автоматизации, на предмет ее соответствия требованиям законодательства Российской Федерации в области персональных данных;

24.2. документов, локальных актов, а также принятия государственным органом, органом местного самоуправления, юридическим лицом, физическим лицом мер, указанных в части 1 статьи 18.1 Федерального закона «О персональных данных»;

24.3. исполнения государственными и органами местного самоуправления обязанностей, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов, установленных Правительством Российской Федерации.

24.4. информационных систем персональных данных и содержащейся в них информации в части, касающейся обработки персональных данных субъектов персональных данных.

36. Документарные проверки осуществляются посредством анализа документов и информации, полученных от государственного органа, органа местного самоуправления, юридического лица, физического лица по письменным запросам Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальных органов (далее - запрос).

45. .... В случае если после рассмотрения представленных пояснений и документов либо при отсутствии пояснений Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальный орган установят признаки нарушения обязательных требований, установленных нормативными правовыми актами в области персональных данных, должностные лица ... вправе провести выездную проверку.

46. Решение о проведении выездной проверки также может быть принято в случаях, если государственный орган, орган местного самоуправления, юридическое лицо, физическое лицо не представил запрашиваемые документы в установленные законодательством Российской Федерации сроки.

47. Выездная проверка (как плановая, так и внеплановая) проводится по месту нахождения государственного органа, органа местного самоуправления, юридического лица, физического лица и (или) по месту фактического осуществления им деятельности по обработке персональных данных.

48. Предметом выездной проверки являются содержащиеся в документах государственного органа, органа местного самоуправления, юридического лица, физического лица сведения и принимаемые им меры по исполнению обязательных требований, установленных нормативными правовыми актами в области персональных данных.

60. В случае выявления по результатам проверки нарушения требований законодательства Российской Федерации в области персональных данных, государственному органу, органу местного самоуправления, юридическому лицу, физическому лицу, вместе с актом, выдается предписание об устранении выявленных нарушений.

71. Мероприятия систематического наблюдения в области персональных данных проводятся на основании:

71.1. плана деятельности Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и плана территориального органа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций на текущий календарный год;

71.2. поручения Президента Российской Федерации, Правительства Российской Федерации, поручения Руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций;

71.3. обращения государственного органа, органа местного самоуправления, юридического лица, физического лица, публикаций средств массовой информации о нарушении прав и законных интересов субъекта (субъектов) персональных данных и (или) нарушения требований законодательства Российской Федерации.

75. При выявлении нарушений (признаков нарушения) законодательства Российской Федерации в области персональных данных в адрес ... лица направляется требование об устранении выявленного нарушения в срок, не превышающий десять календарных дней, с последующим информированием Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориального органа об исполнении требования.

77. В случае, если неисполнение требования об устранении выявленного нарушения требований законодательства Российской Федерации в области персональных данных нарушает права и законные интересы субъекта (субъектов) персональных данных в отношении государственного органа, органа местного самоуправления, юридического лица, физического лица, не выполнившего указанное требование, Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориальным органом проводится внеплановая проверка в порядке, установленным настоящим Положением.

78. Анализ и оценка состояния исполнения требований законодательства Российской Федерации при осуществлении .... деятельности по обработке персональных данных осуществляется .... на основании представленных в инициативном порядке .... документов, локальных актов и иной информации, подтверждающих выполнение требований законодательства Российской Федерации.

81. По итогам проведенного анализа и оценки состояния исполнения требований законодательства Российской Федерации .... направляется письмо с итоговой информацией с заключением о соответствии деятельности .... по обработке персональных данных законодательству Российской Федерации в области персональных данных либо в случае наличия фактов несоответствия представленных документов, локальных актов и информации законодательству Российской Федерации в области персональных данных, с требованием об устранении выявленных нарушений.

82. Требование об устранении выявленных нарушений подлежит исполнению в срок, не превышающий десять календарных дней с момента получения письма с требованием об устранении выявленных нарушений, с последующим информированием Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориального органа об исполнении требования.

пятница, 10 апреля 2015 г.

Обучение по PCI от LiquidNexxuss

Мои хорошие знакомые из компании LiquidNexxuss поделились новостью что недавно они получили аккредитацию в PCI Council и теперь являются чуть ли ни единственными (тут не уверен конечно, скорее всего есть еще кто-то), кто может проводить официальные тренинги по направлениям PCI ISA (PCI Internal Security Assessor)  and PCIP (PCI Professional).  

Конечно у стандарта PCI DSS в России очень трудная судьба, так он и не выстрелил как должен был, но тем не менее вопрос для некоторых все еще довольно насущный, так что если интересен тренинг, то обращайтесь в LiquidNexxuss или можете ко мне (но в виду моей занятости лучше все же напрямую к коллегам).

Все тренинги понятно дело на английском языке да к тому же еще и не в России. Но это же замечательная возможность (если конечно денег в такое непростое время дадут), и обучиться и страну другую посмотреть, тем более такую экзотическую как Нигерия или Бахрейн :) 


среда, 11 марта 2015 г.

Вебинар по управлению активами с использованием R-Vision:Asset Manager

Управление активами в рамках обеспечения информационной безопасности - задача непростая, но заниматься ей приходится всем.  Давайте подискутируем об этом !

Приходите на наш вебинар, который состоится завтра в 10:00 по Московскому времени:

Ссылка на регистрацию — https://attendee.gotowebinar.com/register/5653774916252728322

понедельник, 9 марта 2015 г.

45-ый выпуск журнала (IN)SECURE

Вышел в свет очередной выпуск журнала (IN)SECURE. Содержимое номера:
  • How do we ensure the Security of Things in light of the Internet of Threats ? 
  • Security and compliance: A balancing act of inequalities
  • Which kind of security professional are you?
  • The derived credential: delivering digital security to a mobile world
  • Declaring personal data bankruptcy and the cost of privacy
  • Total threat protection: Myth and reality
  • DevOps vs security: Can Docker make a difference?
  • Best practices for securing PoS systems
  • Challenges faced by global network professionals
  • Who are the role models in cyberspace?
  • Tackling today's authentication complexities

пятница, 27 февраля 2015 г.

Новости проекта R-Vision

Коллеги, хочу анонсировать несколько новостей проекта R-Vision

Дайджесты информационной безопасности. Мы переместили их с площадки маркета на наш обновленный веб-сайт - https://rvision.pro/blog/. Если вы не пользуетесь RSS и хотите получать рассылку на почту, то зарегистрируйтесь в форме по этой ссылке - http://eepurl.com/BpV9X.

Мероприятия.  В ближайшее время у нас запланировано несколько вебинаров, на которые я хотел бы пригласить всех желающих. Ближайшее мероприятие 12 марта будет посвящено вопросам инветаризации и управления активами. Мы покажем возможности модуля Asset Manager. Подробности тут - https://rvision.pro/events/

Блог компании.  Блог компании также переехал на новый сайт и теперь доступен по ссылке https://rvision.pro/blog/. Мы будем стараться выкладывать там интересные материалы, как минимум те же дайджесты. Заходите, читайте, подписывайтесь. 

P.S. Проект ism:маркет пока приостановлен. все материалы останутся доступны на сайте, мы сейчас прорабатываем несколько идей по реинкарнации этого сервиса, так что следите за новостями :).

вторник, 3 февраля 2015 г.

Сравнение BIA, TRA и PIA

Нашел очень неплохой материал по сравнению трех дисциплин, в информационной безопасности: BIA (оценка влияния на бизнес), TRA (оценка угроз и рисков), PIA (оценка влияния на соблюдение требований о защите частной жизни). Материал на английском, переводить к сожалению некогда, так что выкладываю в оригинале:

1. GOALS

BIA (Business Impact Analysis) – “to identify and prioritise the department’s critical services and assets.”

PIA (Privacy Impact Analysis) – “to ensure that privacy is considered throughout the design or re-design of projects and services” and provide “assurance that all privacy issues have been identified and resolved or mitigated.”

TRA (Threat and Risk Assessment) – “to determine the necessity of safeguards beyond baseline levels.”

In short, all three processes involve an element of analysis in support of recommendations for future action to address various risks. With a BIA, the prioritized list of critical services and assets provides an objective basis for selecting suitable BCP plans, measures and arrangements to address availability risks. In a similar fashion, the PIA helps responsible authorities make fully informed policy, system design and procurement decisions to avoid or mitigate privacy risks. Finally, the TRA identifies unacceptable risks to employees, assets and service delivery, and recommends additional safeguards beyond baseline controls to achieve cost-effective security solutions.

2. SCOPE

Although the BIA, PIA and TRA are complementary analytical methods for assessing and ultimately mitigating various risks, the scope of the three activities can differ significantly. 


TRA

In general, the TRA tends to encompass a broader array of assets and asset values than either the BIA or PIA. Depending upon the subject of the assessment, a TRA might analyze risks to all assets (tangible, intangible, personnel and services) and asset values (confidentiality, integrity and availability), as illustrated in figure below. 


BIA
In order to identify critical assets and services, the BIA concentrates on the availability and, to a lesser extent, integrity values of assets whose compromise (unauthorized destruction, removal, modification, interruption or use) could cause a high degree of injury. Of course, confidentially concerns must be addressed during the subsequent selection and implementation of BCP plans, measures and arrangements, but assets with high and very high availability values remain the primary focus of a BIA, as illustrated in figure below.


PIA
The PIA only applies to programs and services that handle personal information, an important but limited subset of tangible assets. Other information, facilities, personnel, services and intangible assets generally fall outside the scope of assessment. Unlike the BIA, however, the PIA considers all three dimensions of asset value, assessing risks to confidentiality and integrity as well as availability, as illustrated in figure below. 

3. ANALYTICAL PROCESSES

BIA
The BIA is the second of five elements in a complete BCP program described in section 10.14 of the GSP. The others include BCP governance, BCP plans and arrangements, BCP program readiness, and continuous review testing and audit. Section 3.2 of the Operational Security Standard – Business Continuity Planning (BCP) Program identifies five steps within the BIA to establish a sound basis for subsequent recommendations regarding appropriate BCP plans, measures and arrangements. As indicated in table below, these five steps (identify business lines/services, determine impact of disruptions, assess high level injuries, identify/prioritize critical services, and obtain management approval) correspond closely to the Data Analysis component of a PIA and the Asset Identification/Valuation Phase of a TRA. Thus, the BIA by itself is a more tightly constrained activity than either the PIA or the TRA. That being said, other elements of a complete BCP Program, such as the selection of BCP plans and arrangements, match the Conclusion and Path Forward portion of a PIA and the Recommendations Phase of a TRA to establish closer parallels. Finally, a BCP Program has no equivalent to the Threat Assessment and Risk Assessment Phases of a TRA because the inevitability of disruptive threat events is an underlying assumption throughout the analytical process.

PIA
The Privacy Impact Assessment Guidelines: A Framework to Manage Privacy Risks prescribe a four-step PIA process: (1) Project Initiation; (2) Data Analysis; (3) Privacy Analysis; and (4) Privacy Impact Assessment. An examination of the subordinate activities within each step reveals that Project Initiation is substantially the same as the Preparation Phase of a TRA. Data Analysis corresponds closely with the Asset Identification and Valuation Phase. As with the BIA, there is no equivalent to the Threat Assessment Phase, but Privacy Analysis is similar to the Risk Assessment and Recommendation Phases of a TRA. Thus, the purpose and scope of a PIA are certainly more focused than those of a TRA, but there remains a strong resemblance between the analytical processes to assess and mitigate risks. 

TRA
With its unique Threat Assessment Phase and a more explicit Vulnerability Assessment, a typical TRA tends to be longer with many more details than either the BIA or PIA. Nevertheless, the Calculation of Residual Risk and Recommendations Phase map very well with the Privacy Impact Assessment step of a PIA and the BCP Plans and Arrangements element of a BCP Program. As noted above, these relationships are illustrated in table below.


4. INPUTS AND OUTPUTS

BIA/PIA as Inputs to a TRA
Both the BIA and PIA can be valuable inputs to a TRA project, especially the Asset Identification and Valuation Phase, as indicated in sections 5.4.6 and 5.5.1 of Annex A. The response to questionnaires A and B in the Privacy Analysis step of a PIA can also provide useful information for the Vulnerability Assessment, as can the mitigating factors or safeguards specified in the final step of the PIA. 

TRA as an Input to a BIA/PIA
In the absence of either a BIA or PIA, the data collected during a TRA project may be culled to produce the other related documents, especially if this objective is clearly identified at the outset. For example, the Statement of Sensitivity in a TRA report should provide enough information to compile both a BIA and the Data Analysis step of a PIA. Then, the Vulnerability Assessment and Recommendations Phase should contain a thorough analysis of availability safeguards, including BCP plans and arrangements, the third element of a complete BCP program. Similarly, the information collected for the Vulnerability Assessment should address most of the questions in Questionnaires A and B of the Privacy Analysis step of a PIA, especially those related to the following privacy principles: (5) disclosure and disposition; (6) accuracy of personal information; (7) safeguarding personal information; and (9) individual’s access to personal information.

понедельник, 26 января 2015 г.

Непростой 2015-ый

Всем привет !  Хотел немного написать про наступающий 2015-ый. Прогнозов уже сделано немало. Как обычно они изобилуют разного рода страшилками, причем конечно же все производители видят среди актуальных проблем именно те, которые (как необычно) как-то связаны с их разработками. 

Я предсказаний в этот раз делать не буду. В конечном счете все будет хорошо, в самом крайнем случае - нет. :)   В первом посте в этом году я хотел бы поговорить о том качестве, которое как мне кажется, будет необходимо тем, кто отвечает за информационную безопасность в компаниях, работающих в России. 

В общих словах я бы назвал его "Умение правильно расставлять приоритеты". Глядя по сторонам, общаясь с клиентами, партнерами и просто знакомыми безопасниками я вижу 2 тенденции: 

1) все плохо, денег нет, будущее ужасно

2) ситуация плохая, но бизнес развивается, так что "работаем, ребята !" 

И в том и в другом случае умение правильно расставить приоритеты будет определяющим. 

Если сокращается бюджет, уходит персонал, приостанавливаются проекты, то тут само сабой приходится фокусироваться на наиболее приоритетных вещах, для кого-то это будет преславутый 152-ФЗ, а для кого-то возможно и вопросы мошенничества или внешней кибер-атаки. Но надо не только понять от чего из того, что планировалось надо будет отказаться, но и (что более важно) посмотреть на то что уже было сделано и возможно пересмотреть подходы к безопасности.  В "тучные" годы бизнес мог давать серьезные бюджеты, которые уходили на масштабные проекты DLP, SIEM и проч., которые возможно в конечном итоге и не взлетали. Некоторые такие проекты превращаются в "чемодан без ручки", вроде как бросить жалко, сам же продвигал, выбивал у руководства деньги, но и нести дальше становится проблематично, т.к за поддержку надо платить, человеческий ресурс к работе с системой привлекать и проч. Признаваться честно в своей ошибке руководству или просто "слить" проект под то, что надо урезать бюджеты каждый выбирает сам, но понять "что мы сейчас делаем не так" не менее важно чем "что надо сделать". 

Если же ваша ситуация относится к п. 2), все хорошо, непросто, но в целом нормально, бизнес растет, отъедая доли слабеющих конкурентов, то тут умение правильно расставить приоритеты может помочь показать бизнесу реальную полезность (или как минимум реальную необходимость) информационной безопасности. А заслуги, добытые в кризисные времена запоминаются значительно дольше чем успехи, когда все идет в гору. Покажите эффективность, рачительное расходование бюджета, отдачу от инвестиций, реальный результат за вложенные деньги. Это запомнится и пойдет вам в плюс (и в резюме если решите менять работу когда кризис кончится).

P.S. Кстати, в начале этого года я запустил еще один блог, связанный с тем, что начинает занимать все бОльшую часть моей жизни - предпринимательство. Заходите, подписывайтесь, читайте, комментируйте - блог Business Case