Бизнес без опасности

Twitter покупает Dasient

2012-01-27T15:06:00.000+04:00

23 января Twitter объявил о приобретение небольшого стартапа из Калифорнии - компании Dasient, которая занимается борьбой с вредоносным кодом с помощью облачных технологий. Детали сделки не разглашаются.

Видеонаблюдение в офисах НЕЗАКОННО!

2012-01-27T05:14:00.000+04:00

На Гаранте опубликован интересный юридический комментарий на типовой вопрос: "Правомерно ли использование видеонаблюдения для контроля за поведением работников? Следует ли уведомлять работников о том, что ведется видеонаблюдение? Если да, то каков порядок данного уведомления?"

Я на курсах по персданным всегда говорил, что без уведомления сотрудников тут никак не обойтись. А тут и ответ юристов подоспел. Собственно для меня там ничего нового нет, за исключением ссылки на ст.209 Трудового Кодекса, которая говорит о том, что работодатель обязан обеспечить работнику условия труда, под которыми понимается совокупность факторов производственной среды и трудового процесса, оказывающих влияние на работоспособность и здоровье работника. И вот тут юристы Гаранта считают, что "постоянный видеоконтроль за работником может вызывать у него чувство дискомфорта, стресс, и, как следствие, повлиять на здоровье и работоспособность". Ну а дальше говорится о том, что надо получать согласие работника и т.д.

Ссылка на ст.209 интерсна тем, что ее можно применить к любому контролю за сотрудниками в компании, включая контроль электронной почты, посещение Интернет-сайтов, запись телефонных переговоров и т.п. И вот тут открываются очень интересные следствия; особенно для работодателей.

Об отмене наказания за отсутствие лицензий ФСТЭК

2012-01-26T19:49:00.000+04:00

После сегодняшнего поста коллеги стали утверждать, что отмена частей 1 и 5 ст.13.13 не меняет ситуации и даже ухудшает ее, т.к. будут применять статью 14.1 "Осуществление предпринимательской деятельности без государственной регистрации или без специального разрешения (лицензии)". Так ли это?

Давайте вспомним, что согласно ст.2 ГК РФ "предпринимательской является самостоятельная, осуществляемая на свой риск деятельность, направленная на систематическое получение прибыли от пользования имуществом, продажи товаров, выполнения работ или оказания услуг лицами, зарегистрированными в этом качестве в установленном законом порядке". Уже одно это говорит о том, что ст.14.1 применяется только к тем, кто зарабатывает на безопасности, т.е. лицензиаты ФСТЭК и ФСБ, продающие средства защиты или предлагающие услуги в области защиты информации.

К подавляющему большинству тех организаций (99%), на которых распространялась статья 13.13, статья 14.1 отношения уже не имеет. Иными словами мы возвращаемся к состоянию дел, которое было до принятия 504-го Постановления Правительства, когда лицензировалась именно деятельность разработчиков и интеграторов, получающих прибыль от защиты информации. И это правильно. Нечего пытаться заставить лицензироваться 5 с лишним миллионов юридических лиц и индивидуальных предпринимателей, которые виноваты лишь в том, что обрабатывают персональные данные своих сотрудников или клиентов.

Кстати, ФСТЭК также стала отступать от своей позиции в данном вопросе, несмотря на то, что ее представители регулярно заявляли о необходимости получения лицензии на ТЗКИ любому оператору ПДн. Все это было частное мнение представителей ФСТЭК. На прямой вопрос начальнику 2-го Управления ФСТЭК г-ну Куцу его ответ выглядит так:

Обратите внимание на последнее предложение - "наличие указанной лицензии у оператора обязательным требованием не является". Можно только приветствовать такую позицию регулятора, который наконец-то повернулся лицом к хозяйствующим субъектам и снял неопределенность в в таком непростом вопросе.

За отсутствие лицензий ФСТЭК и ФСБ больше не накажут!

2012-01-26T13:07:00.001+04:00

Готовится сейчас новый проект федерального закона "О внесении изменений в некоторые законодательные акты Российской Федерации по вопросам лицензирования отдельных видов деятельности", согласно которому отменяются части первая и пятуя статьи 13.12 КоАП, которые у нас гласят:

часть 1-я - Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.
часть 5-я - Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), влечет наложение административного штрафа на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, в размере от одной тысячи до одной тысячи пятисот рублей или административное приостановление деятельности на срок до девяноста суток; на должностных лиц - от одной тысячи до одной тысячи пятисот рублей; на юридических лиц - от десяти тысяч до пятнадцати тысяч рублей или административное приостановление деятельности на срок до девяноста суток.

Отменяется также часть 1 статьи 13.13, касающуюся занятиями видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна). 2-я часть про лицензирование гостайны остается неизменной.

Изменения также коснулись:

Статьи 14.1. Осуществление предпринимательской деятельности без государственной регистрации или без специального разрешения (лицензии)
Статьи 19.20. Осуществление деятельности, не связанной с извлечением прибыли, без специального разрешения (лицензии).

О чем говорят данные изменения? Как говорится в пояснительной записке к этому законопроекту проектом закона "предусматривается внесение в 28 законодательных актов Российской Федерации, содержащих положения о лицензировании отдельных видов деятельности, изменений касающихся исключения норм, дублирующих положения Закона № 99-ФЗ, исключения требований о лицензировании видов деятельности, лицензирование которых не предусмотрено Законом № 99-ФЗ, а также норм, противоречащих положениям Закона № 99-ФЗ". Иными словами законодатели признали то, что дисскутируется достаточно давно. А именно - лицензии на ТЗКИ и деятельность в области шифрования не нужна. Осталось только дождаться принятия этого законопроекта...

Реформа европейского законодательства по персданным

2012-01-25T23:01:00.001+04:00

Сегодня в Европе произошла революция в области персональных данных. Основная идея реформы - учесть изменения, которые произошли в цифровой экономике с момента принятия последних документов в этой области еще в 1995-м году, а также снизить обременения на операторов ПДн. Например, теперь для операторов отменяется уведомления уполномоченного органа (оценка экономии только от одной этой меры - 2.3 млрд. евро в год). Снижаются требования по уведомлению о принятых мерах по защите ПДн, что также позволит сэкономить не менее 130 миллионов евро. Зато возрастает ответственность операторов ПДн - в случае нанесения ущерба субъектам ПДн штраф может составить до 1 миллиона евро или до 2% от годового оборота нарушителя. При этом санкции последовательны и пропорциональны - за первое нарушение грозит прежупреждение от уполномоченного органа. Затем идут штрафы от 250 тысяч евро или 0,5% от оборота за мелкие прегрешения.

Новые правила учитывают облачные вычисления, социальные сети, сервисы определения местоположения и многие другие онлайн-сервисы, которых в 90-х не было. При этом правила по защите персданных теперь едины для всех стран Евросоюза - никаких разночтений и разброда. Наконец-то четко зафиксировано требование как можно быстрее уведомлять уполномоченные органы о серьезных утечках ПДн (желательно в течение 24 часов).

Вообще сейчас сложно целиком оценивать сегодняшние изменения - их много. Это полностью переписанное законодательство Европы в области персональных данных, а не просто какой-то новый документ. Новая директива, вступившая в силу. Новые требования...

Как будут развиваться события покажет время, но сейчас можно сказать одно - Европа сделала большой шаг вперед в сторону усиления контроля за темой персданных. Несмотря на ужесточение ответственности, обременения на операторов снизились, а требование стали более адекватными в части Интернет-деятельности. Операторов ПДн не нагибают, как в России, делать лишние телодвижения и тратить миллионы на бесполезную и никому ненужную работу. Но уж если произошел инцидент, то будь добр уведомить об этом заинтересованные стороны, которые могут и штраф наложить немаленький. В итоге мы приходим к правильной формуле "займись защитой прав субъектов ПДн сам, потому что в противном случае наказание может быть очень значительным". У нас же Роскомнадзор действуют по иной формуле "наказать мы тебя не накажем, но выполнять требования законы ты обязан потому что нам так хочется". В России регуляторам в общем-то наплевать на интересы субъектов ПДн - главное иметь рычаги давления на операторов ПДн.

Как теперь будут развиваться события в России я даже себе представить не могу. Учитывая, что последние изменения ФЗ-152 произошли всего полгода назад и пока никто вносить изменений в законодательство не планировал, Россия опять будет очень сильно отличаться от Европы в части требований по защите прав субъектов ПДн. И врядли в ближайшие полгода Россия займется изменением законодательства - президентские выборы на носу; потом дележка власти. Да и Путин никогда особо не заикался о теме персданных.

Позже попробую проанализировать новую европейскую реформу более детально. Если вы хотите сделать это самостоятельн, то все документы выложены публично.

Банки богатые - пусть платят!

2012-01-24T05:11:00.001+04:00

Именно это известное высказывание бывшего первого зама 8-го Центра ФСБ напомнило мне норму нового финансового законодательства.

"11. В случае утраты электронного средства платежа и (или) его использования без согласия клиента клиент обязан направить соответствующее уведомление оператору по переводу денежных средств в предусмотренной договором форме незамедлительно после обнаружения факта утраты электронного средства платежа и (или) его использования без согласия клиента, но не позднее дня, следующего за днем получения от оператора по переводу денежных средств уведомления о совершенной операции
12. После получения оператором по переводу денежных средств уведомления клиента в соответствии с частью 11 настоящей статьи оператор по переводу денежных средств обязан возместить клиенту сумму операции, совершенной без согласия клиента после получения указанного уведомления".

Что гласит данная норма ст.9 ФЗ "О национальной платежной системе" (вступает в силу через 18 месяцев после вступления в силу ФЗ)? А гласит она всего-навсего, что в случае любой хакерской атаки и незаконного снятия средств со счетов клиентов, банк будет обязан вернуть украденные деньги.

Приостановить мошеннический платеж (при условии, что его своевременно выявили) банк не имеет права по банковским правилам - это может сделать только клиент. По закону об НПС банк обязан перевести средства незамедлительно. Т.к. снятие средств со счетов обычно проводится в очень сжатые сроки и с момента перевода до момента обналичивания может пройти всего 3-4 часа, то большинство клиентов не в состоянии своевременно дать указание банку о незаконном списании средств со счета. Нередко деньги списываются за 20-30 минут до рейса и банк уже не в состоянии их своевременно вернуть.

Что у нас получается в этом случае? Банк всегда в проигрыше! Остановить мошенничество он не имеет права, а по закону деньги необходимо вернуть проштрафифшемуся клиенту.

Немного спасает ситуацию ч.13 ст.7 закона об НПС. Согласно ей банк обязан незамедлительно после перевода средств уведомить клиента об исполнении распоряжения на перевод. Об этом же говорит и ч.4 ст.9. Если клиент не сообщит в однодневный срок о том, что распоряжение незаконное, то дальше вступают в силу уже условия договора между клиентом и банком, а не требования закона. Однако по ФЗ банк "обязан обеспечить возможность направления ему клиентом уведомления об утрате электронного средства платежа и (или) о его использовании без согласия клиента". Кто его знает, что имел ввиду законодатель. Могу предположить, что речь идет о опубликовании контактов для связи и обеспечение бесперебойной работы этих контактов. В любом случае, банку остается надеяться на то, что он уведомил клиента, который забыл сообщить о незаконном списании средств. Только в этом случае банк освобождается от необходимости возмещения украденных денег.

Правда с уведомлением возникает еще один нюанс, о котором законодатель не думал. Каким образом банк будет оповещать? SMS? E-mail? Телефонный звонок? Но у нас далеко не у всех граждан (особенно в регионах) есть такие средства коммуникаций. Почта? Но тогда ни о какой оперативности уведомления и речи не идет - клиент не в состоянии будет в течение дня уведомить банк о незаконности списания. И опять же кто будет платить за эти уведомления? Сейчас SMS-информирование у многих банков - услуга платная. По закону об НПС уведомление становится обязанностью, а не правом, и банк не имеет право взимать за него деньги. Т.е. затраты опять ложатся на банк. Готов ли банк их принять безоговорочно или он захочет разделить траты с клиентом, а то и полностью переложить их на него? Ставки по кредитам, а также по ДБО могут возрасти...

ЗЫ. Кстати, в ч.4 ст.9 прописан срок хранения информации по электронным платежам - эту норму можно использовать и в контексте сроков хранения ПДн.

ЗЗЫ. Банк в соответствии с ч.3 ст.9 теперь обязан до заключение договора "информировать клиента об условиях использования электронного средства платежа, в частности о любых ограничениях способов и мест использования, случаях повышенного риска использования электронного средства платежа". Т.е. теперь это уже не просто пожелание - сообщать клиенту о рисках и требованиях по ИБ, но и обязанность банка.

Концепция нового мероприятия по ИБ

2012-01-23T05:08:00.001+04:00

Не раз я уже писал про мероприятия в области ИБ. И прихожу я к мысли, что организаторы зашли в тупик, пытаясь удовлетворить в первую очередь потребности спонсоров, которые пытаются вольно или невольно, явно или неявно впарить свою продукцию под любым соусом. А организаторы отпускают все это на самотек, иногда пытаясь хоть как-то причесать программу, убрав из нее голимую рекламу. Но итог обычно предрешен - куча несвязанных между собой выступлений, объединенных только тем, что все они про ИБ. Можно ли улучшить эту ситуацию и, с одной стороны, удовлетворить спонсоров, а с другой - посетителей?

Ехал я давеча с заседания программного комитета межотраслевого форума директоров по ИБ и родилась у меня концепция нового мероприятия по ИБ. Идея проста - надо плясать не от спонсоров и даже не от темы ИБ - танцевать надо от потребностей бизнеса, вокруг которых (взяв одну-две за основу) и выстраивать все мероприятие. Допустим стоит перед компанией задача перехода на безбумажный документооборот. Достаточно популярная тема, которая влечет за собой немало вопросов ИБ. Как увязать их вокруг документооборота? И много ли тем вообще наберется? С ходу могу предложить следующий набор докладов, объединенных в высокоуровневые наборы тем:

Юридическая значимость электронных документов

Удостоверяющие центры

Свой или чужой?
Выбор чужого УЦ
Построение и аккредитация собственного УЦ
Взаимодействие между компаниями

Электронная подпись

Какую выбрать?
Как встроить ЭП в систему ЭД?
Носители ЭП - токены, смарт-карты и т.д.

Обеспечение конфиденциальности

Защита от утечек

Огромный выбор тем про DLP

Шифрование

При передаче по каналам связи
При передаче на носителях

Легитимность перлюстрации

Непрерывность функционирования системы ЭД

Безопасность ЦОД, в котором стоит система ЭД

Свой ЦОД или чужой?

Облачный поставщик услуг ЭД

Много всего про безопасность облаков

SLA и особенности заключения договора с аутсорсинговым ЦОД

Защита ЦОД от атак

Межсетевые экраны
Обнаружение и предотвращение вторжений
Отражение DDoS-атак

Собственная антиDDoS-система или чужая?

Архвивирование сообщений
Контентная фильтрация

Антиспам
Антивирус

Анализ защищенности системы ЭД и управление патчами

Удаленный и мобильный доступ к системе ЭД

Безопасность мобильных платформ

Bring your own device (BYOD)

Контроль удаленного доступа

Network Admission Control (контроль сетевого доступа)

Управление мобильными платформами

Соответствие

Оценка соответствия защитных средств и мер

ФСТЭК
ФСБ
Отраслевые стандарты

Аудит

Как выбрать аудитора?

Системы контроля конфигураций

Цена вопроса

Как выбрать поставщика средств и услуг ИБ
Обоснование перед руководством

Пользователи

Повышение осведомленности
Тесты на проникновение

Примеры внедрений

Примерно так (хотя про электронный документооборот я наверное не все темы рассмотрел). И такое дерево тем можно выстроить практически вокруг любой бизнес-задачи, стоящей на повестке дня перед большинством российских организаций. Т.е. темы то по сути теже, что и сейчас рассматриваются на различных конференциях, но тут они объединены единым замыслом и взаимоувязаны друг с другом. А это гораздо более ценно, чем набор пусть и интересных, но разрозненных тем. И пользователю такие мероприятия будут гораздо интереснее, чем нынешние. А следовательно и спонсору понравится целевая аудитория. Да и статус организаторы сразу повысится; особенно у того, кто первый сделает шаг в этом направлении.

И вновь о контроле Интернет - 2

2012-01-20T05:57:00.000+04:00

Помните ли вы об аукционе, который объявило Правительство РФ в апреле и одним из лотов которого было изучение зарубежного опыта регулирования ответственности участников правоотношений при использовании сети Интернет.

Решил я тут поинтересоваться его результатами. И вот что выяснилось. На аукцион было подано 13 заявок, из которых 2 было отсеяно по формальным признакам. Среди тех, кто остался - Координационный центр национального домена сети Интернет, МФТИ, "Интернет и право", ИКС-Холдинг и ряд других. Победил в конкурсе, упав по цене вдвое (с 973 тысяч рублей до 490 тысяч), Институт законодательства и сравнительного правоведения при Правительстве РФ. Может это и случайность, когда аукцион, организованный Правительством, выигрывает структура при Правительстве?.. Причем данный лот по контролю Интернет один из самых непростых среди всех лотов аукциона - он вызвал широкий резонанс на тот момент.

К сожалению, результатов работы правительственного института я не видел ;-(

ЗЫ. Кстати, конкурс Минкомсвязи по регулированию облаков признан несостоявшимся по причине подачи всего одной заявки на участие (от Аладдина Р.Д.).

И вновь об оценке соответствия средств защиты

2012-01-19T05:11:00.001+04:00

Пункт 4 ст.5 ФЗ-184 "О техническом регулировании" в прежней редакции звучал следующим образом "Особенности оценки соответствия продукции (работ, услуг) и объектов, указанных в пункте 1 настоящей статьи, а также соответственно процессов их проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения устанавливаются Правительством Российской Федерации". Все было предельно четко и понятно. Требования по сертификации средств защиты устанавливаются только Правительством РФ и никем иным.

30 ноября 2011 года незамеченный многими ФЗ-347 внес малюсенькое такое изменение, которое коренным образом меняет ситуацию с сертификацией средств защиты, ужесточая ее (или давая такую возможность). Новый текст звучит так: "Особенности оценки соответствия продукции (работ, услуг), указанной в пункте 1 настоящей статьи, а также соответственно процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения устанавливаются Правительством Российской Федерации или уполномоченными им федеральными органами исполнительной власти". Жирным выделено внесенное изменение.

Вот тут и вспомнишь поневоле старый мультфильм про Виктора Перестукина "Страна невыученных уроков" и задачу "где поставить запятую в фразе "казнить нельзя помиловать". Незначительная поправка и ситуация меняется в худшую сторону - регуляторы теперь имеют право самостоятельно, без оглядки на Правительство выпускать собственные нормативные требования по сертификации средств защиты.

А что если?

2012-01-18T05:39:00.000+04:00

Есть в менеджменте один полезный инструмент - процесс моделирования оценки возможных альтернативных стратегий и рисков, с ними связанных, или, короче, анализ "что если" (what if). Причем это не гадание на кофейной гуще, а вполне себе адекватный метод прогнозирования, позволяющий определить возможный ход событий и разработать программу действий на случай, если прогноз сбудется.

Этот метод можно применять и в ИБ, причем он может стать хорошей альтернативой принятым сегодня подходам к выстраиванию деятельности службы ИБ. Аналогичный сценарий нередко используется в проектах по ПДн. Операторы, не имея возможности выполнить все параноидальные требования регуляторов, закрывают только те, на которые регуляторы обращают внимание в первую очередь. Метод "что если" построен по тому же принципу. Мы выписываем возможные сценарии в области ИБ, которые затем приоритезируем и готовим программу действий по нейтрализации сценария.

Чтобы я включил в список возможных сценариев "что если"? Сходу вырисовывается следующий список:

А что если завтра придет выездная проверка Роскомнадзора по линии персданных?
А что если завтра придет "письмо счастья" из Роскомнадзора (документарная проверка) по вопросам ПДн?
А что если завтра придет проверка ФСТЭК в части ТЗКИ?
А что если завтра придет проверка ФСБ в части шифрования?
А что если завтра в Интернете опубликуют сведения о произошедшеи у нас инциденте ИБ?
А что если завтра на нас проведут DDoS-атаку (или осуществят иные распространенные атаки)?
А что если завтра произойдет инцидент ИБ?
А что если завтра мой поставщик средств защиты и услуг ИБ обанкротится или мое начальство откажется с ними дальше работать?
А что если завтра производитель средств защиты будет куплен более крупным игроком рынка ИБ?
А что если завтра руководитель компании захочет сократить персонал службы ИБ?
А что если завтра CIO захочет перейти на облачные вычисления (или иные новомодные технологии)?
А что если завтра наша компания поглотит другую компанию?

Безусловно это далеко не полный список; скорее так, минутный мозговой штурм. Но он позволяет задуматься и найти пробелы в собственном плане обеспечения ИБ. А главное, что правильная реализация подхода "что если" позволяет не распыляться по мелочам, а закрывать только реальные риски, которые и могут стать причиной потенциальных, но серьезных проблем.

Top 5 мероприятий по ИБ на ближайшее полугодие

2012-01-17T05:56:00.013+04:00

Вот решил составить Топ5 публичных и крупных мероприятий по ИБ в России на ближайшие полгода:

IV Межбанковская конференция "УРАЛЬСКИЙ ФОРУМ: ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ БАНКОВ" - 13-18 февраля - Магнитогорск
РусКрипто - 28-31 марта - Москва
Межотраслевой форум директоров по ИБ - 19-20 апреля - Москва
Positive Hack Days - 30-31 мая - Москва
IT & Security Forum - 7-8 июня - Казань.

Скажу сразу, что это мой личный Топ5 - я могу их рекомендовать как минимум по двум из трех критериев - контент и общение. Третий критерий - организация у некоторых из мероприятий страдает, но не так сильно, чтобы из-за этого их не посещать.

В список не попала PCI DSS Russia, которая пройдет марта в Москве. Но просто потому, что я на ней в прошлом году не был и не смог составить собственного мнения. IDC IT Security Roadshow в Москве в этом году не включаю в Топ5. 10-ый раз это мероприятие уже проходит и все как-то без изюминки. Достаточно стандартное мероприятие, проводимое на неплохом уровне, но очень уж далекое от реальностей российских специалистов по ИБ. Региональные мероприятие (нижегородское, челябинское и т.п. не включаю, т.к. они хоть и проходят на очень достойном уровне, но все-таки не относятся к тем, на которые едут из разных городов России).

Часть мероприятий не включал сознательно - либо ни о чем, либо идиотская организация.

Табличку мероприятий обновил:
Крупные мероприятия по информационной безопасности на 2012 год

ЗЫ. Отмечу, что InfoSecurity в этом году сократилась и будет проводиться не 3, а 2 дня.

ЗЗЫ. Была идея создать публичный календарь мероприятий по ИБ, но что-то не нашел движка для этого.

ThreatMetrix покупает TrustDefender

2012-01-16T15:31:00.000+04:00

10 января американская ThreatMetrix анонсировала приобретение австралийской TrustDefender. Обе компании в России неизвестны - первая занимается решениями по борьбе с киберпреступлениями, а вторая - средствами безопасного серфинга в Интернет. Детали сделки не разглашаются.

Если б я был директором ФСТЭК

2012-01-16T05:53:00.000+04:00

то мой план действий по улучшению и развитию направления "Информационная безопасность" в России содержал бы такие пункты:

Создание единого органа по информационной безопасности, объединяющего разрозненные усилия ФСТЭК, ФСБ, МинОбороны, ФСО, СВР, Минкомсвязи и др. в данной сфере.
Гармонизация и развитие законодательства в сфере киберпространства

Приведение к единой терминологии в части защищаемой информации
Уменьшением числа тайн
Создание и развитие системы киберполиции и киберсудов
Актуализация законодательства применительно к особенностям киберпространства
Разработка норм взаимодействия с международным сообществом при расследовании инцидентов ИБ (принятие Будапештской Конвенции)
Разделение требований по ИБ для госорганов и критически важных объектов от требований для бизнеса и общества

Создание системы защиты внутреннего киберпространства России

Стимулирование развития отечественной индустрии разработки средств защиты
Создание лабораторий и разработка стандартов оценки соответствия с точки зрения ИБ и совместимости
Создание единой системы оценки соответствия в области ИБ, требования которой будут дифференцированными в зависимости от типа защищаемой информации и принятой стратегии управления рисками
Разработка и повсеместное внедрение стандартов ИБ
Создание системы центров реагирования на инциденты, включая регулярную публикацию уровня защищенности
Разработка и внедрение систем мониторинга враждебной онлайн-активности
Стимуляция владельцев и собственников ключевых систем информационной инфраструктуры к инвестициям в безопасность инфраструктуры

Создание системы для защиты бизнеса в киберпространстве

Стимулирование развития отечественной индустрии разработки средств борьбы с мошенничеством
Создание национальных служб проверки подлинности (центры сертификации, IAM-сервисы и т.д.)
Внедрение и развитие системы мониторинга и уведомления о киберпреступности
Создание системы доверия онлайн-транзакциям и иным взаимодействиям хозяйствующих субъектов
Признание международных стандартов в области онлайн-торговли и электронной подписи, а также в области ИБ
Разработка рекомендаций по выполнению требований законодательства со стороны органов контроля (надзора)
Разработка системы поощрения внедрения защитных мероприятий (а не только системы наказания) при организации контроля (надзора)
Снижение числа ситуаций, при которых наличие лицензии в области ИБ является обязательной
Создание экспертных советов в области ИБ

Создание системы для защиты общества и граждан в киберпространстве

Разработка и внедрение системы мониторинга проявлений экстремизма в киберпространстве
Разработка и внедрение системы защиты детей от негативного контента
Создание системы повышения осведомленности граждан о безопасности в киберпространстве
Разработка и внедрение предмета ИБ для детей в школах
Поддержка национального дня (или месячника) кибербезопасности
Поощрение СМИ к освещению вопросов ИБ и повышению осведомленности граждан и общества

Создание системы подготовки кадров в области ИБ

Разработка и внедрение курсов по ИБ в институтах и колледжах
Стимулирование исследований в области ИБ (разработка системы грантов для молодых специалистов)
Непрерывное обучение правоохранительных и судебных органов

Создание системы обороны и нападения в киберпространстве

Разработка стратегии ведения кибервойн
Создание подразделений ведения кибервойн
Разработка инструментов для ведения кибервойн.

О моем Twitter

2012-01-13T14:48:00.000+04:00

В качестве напоминания: у меня действует Twitter (https://twitter.com/alukatsky). Он не повторяет блог, а является самостоятельным источником публикаций (хотя перепосты с блога туда ведутся). Но там идет много самостоятельной информации, для которой создание отдельных заметок в блоге - слишком роскошное удовольствие, но информация полезная. Например, вчера в твиттере были ссылки на анализ нового проекта Постановления Правительства по криптографии, мнение Минфина о том, как учитывать расходы на разработку нормативной базы по защите информации при налогообложени, новое письмо ФСТЭК для тех, кто подал документы на получение новых лицензий и т.д. Так что подписывайтесь на Twitter - там тоже много полезного ;-)

Думает ли будущий Президент об ИТ и ИБ?

2012-01-13T05:58:00.001+04:00

Почитал предвыборную программу кандидата в Президенты РФ - г-на Путина. Итак, что же говорит по "нашей" теме человек, который термин "ИТ" или "информационные технологии" в своей речи практически не использует. Я нашел всего три упоминания ИТ/ИБ:

"Мы будем активно защищать основы нравственности в средствах массовой информации и в интернет-сфере. Современные технологии должны помогать нашим гражданам быть в курсе событий, общаться, учиться и работать. Мы будем бороться с попыткой использовать информационное пространство для пропаганды жестокости, национализма, порнографии, наркомании, курения и пьянства". Иными словами контроль в Интернет будет усилен ;-(
"Будем способствовать дальнейшему развитию современных отраслей – телекоммуникаций, информационных технологий, биотехнологий и других". Т.е. то, что было последние годы - это было развитие... ;-(
"Максимальное количество услуг будет доступно в электронной форме".

Это все! Словоблудие, иначе не скажешь. Ни слова о том, КАК потенциальный Президент будет реализовывать эти фразы "ни о чем".

Что думает об ИТ/ИБ г-н Прохоров? В его программа есть только один пункт, хоть как-то связанные с новыми технологиями - "автоматические устройства для голосования – на все участки в стране". Не густо ;-(

Г-н Явлинский про ИТ не говорит вообще ничего. Только ратует за "максимальное ограничение коммерческой тайны для монополий, компаний с государственным участием, а также компаний, работающих по государственному и муниципальному заказу либо получающих бюджетную поддержку" и обеспечение "тайну личной жизни: переписки и телефонных разговоров".

Зюганов пока программу не опубликовал, но в предварительном ее варианте об ИТ тоже ни слова. Жириновский тоже пока не публиковал программу; как и Миронов. Но в предвыборной программе справедливоросов перед думскими выборами об ИТ тоже ни слова.

Интересная картина получается. Один из драйверов развития не упоминается никем, окромя Путина; да и тот ни слова не говорит о том, как будут реаализовываться на практике его слова. Грустно...

ЗЫ. Надо предложить кому-нибудь из кандидатов раздел по ИБ в его программу ;-)

Новая версия курса по персданным

2012-01-12T13:50:00.000+04:00

Обновил курс по персданным (текущая версия 4.3). Последние изменения:

Как оформлять факт уничтожения ПДн
Согласие на обработку ПДн без договора подряда
Анализ результатов работы Консультационного центра АРБ
Родственники сотрудников банка как инсайдеры согласно разъяснениям ЦБ
Обработка ПДн членов Правления, Совета Директоров, Ревизионной комиссии и т.п.
Официальное письмо ЦБ по поводу лицензирования деятельности по ТЗКИ
О новой версии «письма шести»
Мнение ЦБ о статусе СТО в контексте новой редакции ФЗ-152
Обработка ПДн при работе с международными платежными системами
Что включать в публичную политику обработки ПДн на сайте (особенно в части описания системы защиты)?
Мнение РКН по поводу отнесения фотографии к биометрическим ПДн
Анализ нового административного регламента РКН
Новые основания для плановых и внеплановых проверок РКН
Планы РКН по «перехвату» статьи 13.11 КоАП у прокуратуры
Изменения 57-ФЗ (для банков)
Новый план проверок на 2012 год

Новости Роскомнадзора

2012-01-12T05:12:00.001+04:00

На сайте Гаранта размещено предновогоднее интервью Шередина. Ничего нового в нем особо нет, но в нем, пусть и неявно, но Шередин признал возможность получения конклюдентного согласия при регистрации в социальных сетях. Лед тронулся... Второй новостью является публикация новой редакции Административного регламента РКН по части проверок выполнения ФЗ-152 операторами ПДн. Он утвержден Минкомсвязи и зарегистрирован Минюстом. Никакого нового криминала я там не заметил - все, что уже давно практикуется Роскомнадзором.

UPDATE: Незамеченный мной сразу п.42.1 про контроль ТЕХНИЧЕСКИХ аспектов защиты ПДн рассмотрен Сергеем Ерохиным.

Удостоен благодарности министра внутренних дел

2012-01-11T14:46:00.000+04:00

В Facebook я уже отписывался про это, но решил и тут повториться - получил благодарность от министра внутренних дел! О как!

Отечественные решения для защиты мобильных платформ

2012-01-11T05:02:00.002+04:00

Тема безопасности мобильных платформ в последнее время поднимается в России все чаще. И решений, реализующих эту задачу представлено немало. Но если пытаться объединить потребности клиентов с требованиями регуляторов, то возникают очевидные сложности в отсутствии необходимых сертификатов соответствия ФСТЭК или ФСБ. Поэтому на российском рынке стали появляться отечественные продукты по защите мобильных платформ, которые либо уже сертифицированы регуляторами, либо находятся в процессе сертификации, либо могут быть сертифицированы. К таким продуктам можно отнести (в порядке вспоминания мной):

Kaspersky Mobile Security - продукт Лаборатории Касперского для защиты Android, Blackberry, Symbian и Windows Mobile.
S-Terra VPN Client for CIUS - продукт S-Terra для защиты Cisco CIUS на платформе Android.
ViPNet Client - VPN-клиенты Инфотекса для платформ iOS и Android.
"Континент-АП" для iOS - VPN-клиент Информзащиты для своего Континента для платформы iOS.
Safephone - продукт НИИ СОКБ для защиты платформы Symbian (iOS будет в первой половине 2012 года, а Android - во второй).
Green-Head - продукт одноименной отечественной компании для платформ (в зависимости от функционала) Android, Blackberry и Symbian.

И немного особняком стоят отечественные продукты для защиты мобильной связи:

Voice Coder Mobile - продукт Сигнал-КОМа для защиты речевого сигнала на платформе Windows Mobile.
Специальные сотовые телефоны М-500 и М-633С - готовые мобильные телефоны НТЦ "Атлас" для защиты речевого сигнала. Ориентированы на госорганы.

Задачей этого поста не является анализ и сравнение всех упомянутых продуктов. Просто я решил свести воедино перечень продуктов отечественного производства, предназначенных для защиты мобильных платформ. Из всех них я пробовал только Kaspersky Mobile Security на Nokia e61i с Symbian. На этот Новый Год подарили мне Green-Head, но т.к. я пользую iPhone, то попробовать этот софт не удалось. Остальные - продукты корпоративного класса и требуют серверной части. VCM и M-500/M-633C имеют очень, на мой взгляд, очень ограниченную область применения - сегодня мало кто пользуется просто телефонами или смартфонами на базе старой Windows Mobile - большинство уже перешло на другие мобильные платформы.

UPDATE: Еще есть отечественное решение iBlob для защиты мобильных платформ Apple.

А что у нас с народным логотипом?

2012-01-10T22:46:00.000+04:00

Просматривал я тут свои посты за 2011-й год и наткнулся на заметку о народном логотипе по защите персональных данных. Кто помнит, хорошо. Кто не помнит, напомню - выбирали "всем миром" логотип, который должны вешать на себя компании, которые защитили персональные данные по высшему разряду.

Критики этой акции было немало; я тоже был в числе критиков. Но меня заверяли, что я не прав. И выборы были честные, и акция была нужная, и логотип будет востребованным. Потом стало известно, что права на проект перешли Anti-malware.ru. И по сему факту Илья так прокомментировал перспективы проекта: "Мы планируем, что к концу года проект заработает в полную силу, и каждый гражданин сможет зайти на сайт проекта, посмотреть список компаний, которым можно безопасно доверять свои персональные данные, и даже удостовериться в чистоте их репутации в контексте инцидентов с утечками или несанкционированным использованием персональных данных". И что же? Каковы результаты на сегодняшний день?

Насколько я понимаю с 5-го октября, когда таинственная Марина М. была названа победителем конкурса, так ничего и не поменялось. На сайте до сих пор отсутствует хоть какой-то рассказ об этой Марине. Отсутствует обещанная статистика голосования. Отсутствуют правила использования логотипа. Отсутствует список компаний, которым можно безопасно доверять свои персональные данные. И т.д. Вопросы, как понятно, риторические...

Что произошло за 10 дней нового года

2012-01-10T05:52:00.001+04:00

Для затравки, первый пост в новом году для освещения событий, произошедших за первые десять дней:

F-Secure опубликовала очень интересное сравнение того, как в разных странах Евросоюза люди воспринимают персональные данные. Я про аналогичное исследование уже писал, но тут очень понятная визуализация.
Лукашенко запретил в Белоруссии доступ к сайтам НЕ в домене .by, тем самым локализовав доступ своих граждан только к сайтам, зарегистрированным в Байнете (белорусский сегмент Интернет).
Украина создает свои кибервойска, а также планирует в этом году рассмотреть законопроект "О киберпреступности".
НАУФОР направил во ФСТЭК письмо с критикой действующего положения дел в области защиты информации. Не то, чтобы новость этой декады, но раньше как-то я не натыкался на нее. Видимо это письмо связано с утверждением стандарта НАУФОР по безопасности ПДн.
Генпрокуратура опубликовала сводный план проверок на 2012 год.
У Symantec утекли исходные коды Norton Antivirus. Всего спустя месяц после публикации большого исследования Symantec об утечках интеллектуальной собственности.

Дорогой Дед Мороз, в 2012-м году я хочу...

2011-12-29T05:38:00.002+04:00

Здравствуй, дедушка Мороз!

В предверии Нового года я пишу тебе это письмо в надежде, что ты прочтешь его и выполнишь мои пусть не детские, но все равно новогодние желания. Ведь в уходящем году я вел себя хорошо и могу надеяться, что ты услышишь мои пожелания.

Дедушка, сделай так, что ФСТЭК и ФСБ занимались своим прямым делом - защитой государственной тайны и критически важных объектов и не вмешивались в деятельность коммерческих предприятий. Если уж им так неймется, то пусть их вмешательство носит характер рекомендаций и best practices, но никак не обязательных требований, базирующихся на 20-тилетней давности предпосылках.

Пусть в грядущем году Дракона регуляторы снизят свои драконовские требования при проверках и поменяют свой подход при организации надзорных мероприятий. Пусть свои проверки они организуют только против тех, по чьей вине страдают граждане, а не против всех подряд. Пусть при проведении проверок ФСТЭК, ФСБ и Роскомнадзор ищут, чем помочь проверяемому, а не как его наказать.

Пусть в 2012-м году регуляторы сделают свои требования прозрачными и адекватными современному развитию информационных технологий и не навешивают гриф "ДСП" или "секретно" на требование установить длину пароля не меньше 6-ти символов. Пусть все смогут ознакамливаться с требованиями по информационной безопасности и требованиями по оценке соответствия, а не только те, кто имеет соответствующие лицензии и допуск к сведениям, составляющим гостайну. А еще лучше, если ты, дедушка, сделаешь так, чтобы система оценки соответствия требованиям по информационной безопасности была единой и производителям не приходилось бы сертифицировать свои продукты в сразу в трех системах сертификации ФСТЭК, ФСБ и Минобороны (если не считать Газпромсерт) только потому, что эти системы не признают сертификаты, выданные друг другом.

Пусть грядущий год принесет рост квалификации сертификационных лабораторий, как и рост прозрачности их ценообразования. Пусть в России развиваются системы добровольной оценки соответствия, что позволит повысить конкуренцию между лабораториями и, соответственно, качество их услуг.

Пусть ФСТЭК и ФСБ наконец-то начнут признавать международные системы оценки соответствия, как это написано в законе "О техническом регулировании" и 608-м Постановлении Правительства. А при сертификации средств защиты пусть ФСТЭК и ФСБ руководствуются международными правилами, как это написано в 455-м Постановлении Правительства и том же законе "О техническом регулировании", а не изобретают велосипед с квадратными колесами.

Я желаю, что наши регуляторы прислушивались к мнению экспертного сообщества, а не ограничивались обсуждением ключевых вопросов в закрытом кругу лиц, всю жизнь посвятивших себя борьбе со шпионами и защитой государственной тайны.

Пусть в будущем году государство начнет ценить работу сотрудников ФСТЭК и ФСБ и будет платить им адекватную зарплату, которая позволит им жить, а не существовать и не будет заставлять их правдами и неправдами вымогать взятки в своей работе. Ну а уж если государство сможет в году, на который назначен конец света, создать единый государственный орган по информационной безопасности, который будет координировать все усилия в данной области, то это будет мне и моим коллегам замечательным подарком.

Я понимаю, что просить нужно за себя и мир во всем мире - это задача вселенского масштаба, но сделай так, чтобы российская молодежь считала, что киберпреступность - это плохо. Пусть они не делают разницы между кражей 300 рублей из сумки пенсионерки в автобусе и 300 рублей с виртуального кошелька в Интернет-банке. И пусть такой разницы не делают наши суды и следователи правоохранительных органов. Пусть условные сроки сменятся реальным наказанием, которое покажет, что киберпреступления ничем не отличаются от обычных. Пусть наши законодатели начнут разбираться в информационных технологиях и смогут принимать адекватные законы, направленные на развитие, а не на стагнацию этой сферы, которую наш пока еще действующий Президент назвал одним из столпов модернизации и инновационной экономики, которую мы пытаемся развивать.

Пусть мои коллеги, специалисты по безопасности, работающие в разных сферах нашей экономики, не сидят по углам и не молчат, не желая высказывать свою позицию, боясь навлечь на себя проверки регулятора. Пусть они перестанут договариваться "в частном порядке" с регуляторами.

Дедушка, еще лучше, если государство осознает важность направления информационной безопасности и сделает работу в отрасли престижной. И пусть в школах и ВУЗах начнут преподавать основы информационной безопасности как один из основных предметов. Если уж в застойной Америке существует месячник кибербезопасности, то пусть и в России на национальном уровне наше государство продвигает, что Интернетом и ИТ можно и нужно пользоваться защищенным образом. И пусть государство стимулирует и поощряет тех, кто готов заниматься этим делом.

Я понимаю, что я прошу не так уж и мало. Но мне кажется, что все равно это гораздо меньше, чем желание нашего Президента об искоренении коррупции во всей России, или желание премьер-министра об увеличении ВВП в два раза. Пусть хотя бы малость из того, что я у тебя попросил, сбудется в 2012-м году!

С Новым Годом! С Рождеством!

Разъяснение ФЗ-152 для нотариусов

2011-12-28T18:56:00.000+04:00

Федеральная нотраиальная палата выпустила письмо, разъясняющее отдельные положения ФЗ-152 для нотариусов. Надо ли уведомлять РКН? Надо ли нотариусу получать согласие субъекта? Как обрабатывать ПДн, полученные не напрямую от субъекта? Надо ли уведомлять субъекта ПДн до начала обработки его ПДн, если эти ПДн получены не напрямую от него? Согласие работников нотариальных палат на обработку их ПДн. И т.д.

ИБ-2012: прогнозы

2011-12-28T05:37:00.000+04:00

Вчера я описал ключевые события, тенденции уходящего года. Пора поговорить и о том, что нового будет происходить в ИБ в России в 2012-м году? Как это не парадоксально, но ничего! Исходя из нынешней ситуации и если предположить, что в марте (и до марта) ничего кардинально нового не произойдет, могу сделать прогноз о том, что все ключевые события произошли еще в 2011-м году. В 2012-м будет только их развитие или продолжение.

Ну действительно. Сообщества безопасников будут только развиваться. Вон, партия ИТшников, инициированная Женей Царевым, за пару дней набрала тысячу "лайков". Это еще не члены, но отношение позитивное (хотя и не все его разделяют). RISSPA тоже будет наращивать свои активности.

С ФЗ-152 ситуация вроде бы тоже понятная и сюрпризов ждать не стоит. Выйдут новые постановления Правительства. За ними воспоследуют и нормативные акты ФСТЭК и ФСБ. Сюрпризов в них ждать не приходится; как и рассчитывать на либерализацию (отказ от сертификации СЗИ, лицензирования деятельности по ТЗКИ и т.д.). Эпопея с отраслевыми стандартами (несмотря на их отсутствие в ФЗ-152) продолжится. СТО БР ИББС получит новое развитие.

С реализацией протестов в Интернет ситуация продолжится; как минимум, в мире. С Россией все не так очевидно и будет зависеть от результатов мартовских выборов. Флешмобы в Facebook, Вконтакте, Твиттере продолжятся, но вот о российских Anonymous и Lulzsec пока говорить рановато. Хотя у нас для них все условия. И специалисты есть, и уровень защищенности госорганов слабый - ломай не хочу.

Со SCADA ситуация аналогичная - число атак на критичные инфраструктуры продолжится. Как и рост угроз, связанных с кражей денег со счетов российских пользователей (преимущественно компаний). И вообще коммерциализированные угрозы все больше распространяются в России. Появление и расширение прослойки среднего класса влечет и усиление внимания к нему со стороны киберпреступников. И хотя мы пока отличаемся по платежной способности от Западной Европы и США, у россиян тоже появляется то, чем можно поживиться. Но до Запада нам все-таки пока далеко (слайд 36). Правда, тут мы опять скатываемся к политике. Если будущим президентом станет все-таки Путин, то рост эмиграции из страны только усилится. Уже сейчас по данным Росстата уровень эмиграции сравнялся (а по некоторым данным и превысил) с уровнем эмиграции из Советской России после 1917-го года. Если эмиграция продолжится, то уедут именно те, у кого есть сбережения и которые пополнят число потенциальных жертв киберпреступников на Западе. А Россия опять останется вне прицела (может это и хорошо) мировой киберпреступности.

Электронное государство - это некий курс, который уже сложно менять. Вопрос только в том, как его будут реализовывать с точки зрения ИБ. Как всегда или как надо? В первую очередь мне интересны действия нашей власти по отношению к облакам, системе идентификации, УЭК и ЭП. Именно они видны в первую очередь потребителю. Все остальное - это закулисье, которое доступно только специалистам.

Конфронтация со всем миром тоже продолжится ибо я пока не вижу предпосылок для того, чтобы идти в ногу со всеми. Люди те же у власти, задачи те же.

С технологической точки зрения мы врядли сильно отличаемся от всего мира в части тенденций. Будут понемногу развиваться проекты по облакам (если регуляторы не задушат эту тему), по удаленному и мобильному доступу, по активному внедрению мобильных устройств в бизнес-процессы, по виртуализации, по технологиям совместной работы, по Web 2.0... Главное, чтобы регуляторы не сильно закрутили гайки и не поставили все эти технологии вне закона. Тогда многие компании, как это бывало и в прошлом, просто забьют на требования нормативных актов и будут применять то, что им нужно для работы, а не то, что от них требуют некомпетентные органы контроля (надзора).

Единственное, где что-то будет меняться - это регулирование. Но общая тенденция по усилению регулирования останется прежней. Меняться или, точнее, появляться будут только нормативные акты. По госуслугам, по электронной подписи, по УЭК, по критичным инфраструктурам, по персданным, по национальной платежной системе, по ДБО, по карточкам/процессингу, по аттестации, по конфиденциалке, по облакам, по виртуализации, по Интернет... Всего и не перечислишь.

ЗЫ. А в целом, моя презентация с форума директоров по ИБ по тенденциям в области ИБ на 2011-2012 годы остается актуальной.

Топ10 событий 2011-года

2011-12-27T09:12:00.000+04:00

В конце года принято подводить некоторые итоги и выделять ключевые события года уходящего. Не буду исключением и составлю свой Топ10 таких событий в области информационной безопасности в России. Точнее даже не событий, а явлений или тенденций, которые мне запомнились в 2011-м году.

Сообщества безопасников. Безопасники постепенно превращаются из разрозненных группок и единиц в сообщества - регионального или национального масштаба. При этом речь идет не просто об объединении по интересам, но и осуществлении вполне конкретных активностей, направленных на достижение целей и задач всего сообщества, а не отдельных его членов или руководителей. Одним из хороших примеров является RISSPA, которая регулярно проводит интересные и познавательные мероприятия, а также, после слияния с группой по безопасности виртуализации, инициировала разработку стандартов ИБ. Очень интересная инициатива задумана Женей Царевым - "Партия развития информационных технологий". Идея отличная. Инициатор тоже ;-) Думаю, что данное дело не затухнет. А вот АРСИБ ситуация не столь однозначная. Задумка была отличная, лозунги тоже, а вот реализация... За год существования АРСИБ я так и не понял, что эта ассоциация сделала для отрасли ИБ? Может 27-го января что-нибудь конкретное скажут.
ФЗ-152. Про данный закон и все, что с ним связано в 2011-м году, говорить много не надо. Тут и открытое письмо Президенту, и процесс принятия, и истинные причины...
Протестные настроения. Протестные настроение - это все, что происходило в 2011-м году наперекор официальной позиции или супротив госорганов. В эту череду попали и протестные атаки Anonymous и Lulzsec, и публикация закрытой информации на Wikileaks, и "арабская весны" в социальных сетях. Одно из ключевых отличий этих событий от всех остальных инцидентов - отсутствие материальной заинтересованности (по крайней мере явной) у тех, кто осуществляет эти атаки. В эту же категорию, только с другим знаком, можно отнести и DDoS-атаки на сайты Эха Москвы, "Голоса" и других аналогичных организаций, которые отслеживали статус выборов депутатов в Госдуму и сообщали о многочисленных нарушениях.
Угрозы SCADA. Stuxnet, Duqu... Число исследований посвященных уязвимостям критических инфраструктур (в первую очередь SCADA) растет. Растет и число угроз, связанных с использованием этих уязвимостей. Интересно, что около половины электроэнергетиков по всему миру нашли у себя следы Stuxnet, который изначально разрабатывался для АЭС в Бушере (Иран). Хотя сейчас я уже и задумываюсь, а для Бушера ли только разрабатывался этот "вирус"?.. Найден он был и в SCADA одной из крупнейших российских нефтегазовых компаний - до 90% всех систем заражено. И никто с этим не борется. Ибо отключать SCADA никто не даст (ущерб соишком велик), а резервные системы также заражены. Так и живут...
Смена власти у регуляторов. Смена руководства 8-го центра ФСБ, смена руководства ФСТЭК, обновление состава Совета Безопасности, смена руководства БСТМ МВД... То ли действительно все достигли пенсионного возраста, толи так совпало, что смена руководства силовиков произошла за год до выборов президента... Кто знает?
Электронное государство. Госуслуги через Интернет-портал, система межведомственного электронного взаимодействия, универсальная электронная карта, электронная подпись, запись в школы и поликлиники через Интернет... Все это начинает проникать в нашу жизнь, а следовательно надо задумываться и о безопасности таких электронных коммуникаций.
Мероприятия по ИБ. Профиль и качество мероприятий по ИБ меняется. Меняется в лучшую сторону. PHD, IT&Security Forum, ZeroNights, форум директоров по ИБ, DLP Russia. Там где организацией занимаются те, кто понимает в ИБ, все получается. А вот Инфобез и Инфосек сдулись и это жалко.
Русский CERT. Осенью в России открылся новый CERT, созданный Group IB. Это не первая попытка такого рода; как минимум у нас есть RU-CERT, но его деятельность не очень заметна в связи с его областью деятельности. А вот Group IB - компания более публичная и немало делает для популяризации темы расследования инцидентами и темы борьбы с киберпреступниками. Надеюсь, что на этом создание CERTов не закончится. Об аналогичных инициативых заявляла АРСИБ (хотя дальше заявлений дело пока не пошло), Координационный центр национального домена сети Интернет (который сейчас это навесил на Group IB и фонд "Дружественный Рунет"), АДЭ и межоператорское объединение МЕГА. Все-таки одного, и даже двух CERT для России маловато.
Усиление регулирования. Регулирование... наверное, это основная тема моего блога, т.к. Россия очень уж зависима от тех семи регуляторов в области ИБ, которые у нас прописаны на уровне федерального законодательства. Все они выпускают различные нормативные акты, которые надо выполнять в той или иной степени. Выделить что-то особое из всей череды регулятивных мер в 2011-м году сложно. Это и ФЗ-152, и ФЗ "О национальной платежной системе", и новая редакция СТО БР ИББС, и пакет документов по электронной подписи, и обновленное законодательство о лицензировании, и новый Уголовный Кодекс и многое, многое другое.
Россия мы весь мир. Конфронтация России и всего мира в области международного регулирования киберпространства в 2011-м году усилилась. С одной стороны мы активно интегрируемся в мировое пространство (ВТО, ОЭСР, АТЭС и т.д.), а с другой российские регуляторы не хотят принимать чужие правила игры (например, отказ от подписания Будапештской конвенции по киберпреступности), пытаясь навязывать свои требования. То заместитель секретаря Совета Безопасности (бывший руководитель НТС ФСБ) Николай Климашин едет в США обсуждать вопросы международной кибербезопасности и реагирования на инциденты. То Россия разрабатывает Конвенцию по обеспечению ИБ в сфере информации. При этом Россия отказывается принимать "Декларацию о фундаментальных свободах в цифровой век", подготовленную ОБСЕ. Но весь мир тоже в долгу не остается. И проект Конвенции ООН был раскритикован США, и наш ГОСТ 28147-78 в качестве международного стандарта все-таки отклонили.

Вот таким мне запомнился год уходящий с точки зрения информационной безопасности. Завтра попробую сформулировать мысли о прогнозе на грядущий год дракона.