Ригельз Дыбр

Небольшая ремарка к Стратегии национальной безопасности

noreply@blogger.com (Ригель) — Fri, 29 Jan 2016 14:10:00 +0000

"Такую-то безопасность" живой человек способен понимать трояко: то ли объекты защиты относятся к множеству таких-то, то ли такими являются угрозы, а то ли защитные меры. Вот экономическая безопасность - это первый пример, это когда бабло объект защиты. А пожарная - это второй, это объекты от пожаров защищают, а не пожары защищают. А третий... ну, пусть будет бумажная безопасность. Или та пожарная безопасность, которую завхозы всегда применяли при недостаче на складе.

С информационной безопасностью ситуация мутная. Можно ее трактовать и как защиту информации от нарушения конфиденциальности, целостности, доступности, etc. – тогда это «отобъектное» ее восприятие по первому типу. Если же обеспечение защищенности прав и интересов кого-то, связанных с информационной сферой – так это скорее «отугрозное», объект тут не информация, а чьи-то интересы. А добавь ведение наступательных информационных войн – так, пожалуй, и в «отмерный» вариант попадешь.

В чем практическое отличие? В границах поляны. Подразумевая защиту информации, не фиг заниматься безопасностью АСУТП - там объектом выступает насос электростанции, а подразумевая информационный характер угроз - сохранностью информации от физических.

Стратегию национальной безопасности Российской Федерации, которой сейчас все энтерпрайзники зачитываются, писали люди, традиционного догмата в отношении информационной безопасности лишенные, потому структурировали объекты большой безопасности так: защита оборонных интересов, общественных, экономических, интересов в научной области, в культурной и пр., а информационной безопасности вроде и нет – сначала в списке аффективных расстройств перечислена, а главкой своей обделена.

Но никуда-то она не теряется, просто имеет другой смысл. Вон же она:

информационное давление на Россию - раздел II (окружающий контекст), пункт 12;
мировое доминирование с помощью информационных инструментов - раздел II, пункт 13;
противоборство в информационном пространстве - раздел II, пункт 21;
использование для достижения геополитических целей информационных и коммуникационных технологий - раздел II, пункт 21;
противоправная деятельность с использованием информационных и коммуникационных технологий - раздел II, пункт 23;
деятельность террористических и экстремистских организаций, направленная на критическую информационную инфраструктуру - раздел IV (пошла декомпозиция по приоритетным областям), пункт 43;
вредоносная пропаганда с использованием информационных и коммуникационных технологий - раздел IV, пункт 43;
преступность в информационной сфере - раздел IV, пункт 44;
угрозы в информационной сфере для государственной и общественной безопасности - раздел IV, пункт 47;
уязвимость экономики со стороны информационной инфраструктуры - раздел IV, пункт 56;
информационные диверсии в культуре - раздел IV, пункт 79;
деструктивное информационное воздействие на систему ценностей - раздел IV, пункт 82;
угрозы в информационной сфере для внешней политики- раздел IV, пункт 90.

Итог вообще хорош: информационная безопасность должна задействоваться всеми безопасностями (раздел V, пункт 113), раз на достижение их целей угрозы информационной безопасности способны влиять.

Но это обязано вызывать проблемы там, где информационная безопасность концептуально и оргштатно оформлена как отдельная равноправная область - в ряду с другими безопасностями, а не горизонтальным прострелом сквозь них. «Вот у нас островок экономической безопасности, вот внутренней, это по защите информации, это правовая защита, промбезопасность, пиар, все связи вертикально вверх».

Черные лебеди Алексея Навального

noreply@blogger.com (Ригель) — Tue, 29 Dec 2015 17:28:00 +0000

Конечно, событием года для отрасли информационной безопасности хочется признать курс на импортозамещение, но, вообще говоря, этот тренд обозначился уже давно. Даже если брать продуктово-технологические планы (в нашем случае - по радиоэлектронной промышленности), то провозвестили их еще года три назад. Агенты влияния склонны к программным публикациям и то ли не имели намерения это скрывать, то ли в большом материале чего только не выболтаешь, а только гнали они прямым текстом, что Олимпиада – это так, а вот потом самая настоящая реиндустриализация на повестке, перспективы постиндустриальных обществ нехороши, будем переориентироваться на воссоздание реальных производств. Что Сноуден утек NSA ANT catalog и NSA TAO, это лишь позволило переосмыслить цели еще под одним углом, а внешнеполитическое обострение, изменив валютные курсы и продемонстрировав пределы дружелюбия иностранных производителей, дало дополнительный мобилизационный импульс, экономическое обоснование затеи и патриотическое легендирование ее активации, отразившееся заодно в новом названии. Если же смотреть некую параллельную динамику – например, перенос баз данных или методические подвижки ФСТЭК (хвалил их, кстати, за это импортозамещение, если на начало 2014 года отмотаете), то и там все те же маячки задолго до кажущихся триггеров.

В отличие от этого детерминированного воздействия, фактор Алексея Навального сотоварищи интереснее. Не стану судить, является ли их деятельность просчитанной и последовательной в политическом поле, но побочные эффекты для ИБ неясны как по генерации событий, так и по реакции системы. Вчера, например, обнародовали концессионное соглашение по «Платону» - ограничится ли результат тем, что все безопасники кинутся на своих договорах наличие ограничительного грифа проверять, или госпорталы переймут практику сбора информации через защищенные веб-формы, или возникнет судебный прецедент по признанию режима установленным, т.к. Росавтодор письмом уведомил, что содержание конфиденциально, или закон «О коммерческой тайне» поправят, или примут «О служебной», или провайдерам/опсосам новые гайки закрутят, или кадровые решения по примеру Матиаса Руста? Это и из сегодняшнего дня неведомо, а что прозревалось до вчера? Сам генератор настолько пламенный оппозиционер, что и сам только медийные последствия видит, прямые и одноходовые, иначе ж надо было додуматься утекать документ вместе с подтверждением, что о присутствии сведений ограниченного распространения был осведомлен - уж формы вины-то юристам преподают.

Оставляя за скобками личные и гражданские симпатии, в ИБ такой источник, который спорадически вызывает отложенные реакции системы, трудно связываемые с причинным событием, не любим мы как объект учета и даже обезъяной с гранатой называем. Бросить все к чертям, заняться опять server hardening вместо оценки рисков.

Методика ФСТЭК по определению угроз: проделана большая работа

noreply@blogger.com (Ригель) — Mon, 25 May 2015 20:17:00 +0000

При всей симпатии к отечественному производителю, нечасто появляется от него документ, который приятно просто в руках подержать. Но удовольствие не мешает подметить пару багов, особенно если авторы о том специально спрашивают.

Во-первых, это клеймо исходной/проектной/эксплуатационной защищенности.
Чтобы не погружать читателя в изучение проекта, суть в том, что некоторые структурно-функциональные характеристики или условия эксплуатации информационных систем награждают их добавочным коэффициентом, который применяется к оценке всех угроз для этой информационной системы. Но почему всех-то? Вот, например, загнала виртуализация информационную систему из среднезащищенных в низкозащищенные – это сразу плюс одна ступень ко всем оценкам угроз, в т.ч. которые от виртуализации не зависят или даже зависят обратно: был, скажем, риск просмотра информации с дисплеев средним – станет почему-то высоким. Или выделили рабочие места администраторов в отдельный сегмент сети – защищенность из низкой стала средней – оценка угрозы отказа резервной ленты тоже упадет, хотя с чего бы. Это как клеймо «двоечника по жизни», не позволяющее получить пять за правильный ответ столицы Буркина Фасо, или отличника, который даже за неправильный меньше четырех с минусом не получит.
Чтобы исправить, нужно отказаться от «чохового» применения показателя защищенности ко всем угрозам и расписать, какие СФХ и УЭ какие конкретно угрозы поднимают, а какие вдруг наоборот. Если это сложно, тогда вообще снести эту тему в приложения (как это, например, обстоит с рекомендациями по формированию экспертной группы), озаглавив «СФХ и УЭ, которые должны рассматриваться как смягчающее/отягчающее обстоятельство при оценке связанных с ними (!) угроз».

Кстати, требование дотянуть показатель защищенности информационной системы до высокого к моменту ее ввода в эксплуатацию путем нейтрализации актуальных угроз – это какой-то казус, т.к. повторная его оценка будет зависеть опять только от архитектуры, и если ту не меняли, то и оценка не изменится, не взирая ни на какие нейтрализации. Такова таблица 3.

Кстати, ни одна система высокий показатель защищенности вообще получить не может, похоже, имея максимум 50% плюсов по второму столбцу (добавление их туда не предусмотрено).

Во-вторых, нет умножения на ноль. Обычный ноль, конструктивно схожий с колесом и учинивший сущий переворот в античной математике, сюда еще не докатился.
Представим, что мы находимся на этапе идентификации угроз (т.е. из базового набора мер кое-что удалось «адаптировать», но это уже в прошлом) и ищем сейчас не включенные в банк ФСТЭКа. Угроза – это комбинация из объекта, уязвимости, источника, способа воздействия и последствий. Иностранные спецслужбы (источник) уничтожат (последствие) кабельные сети (объект), имеющие неважнецкую твердость (уязвимость), путем пережевывания (способ) – это угроза. Как ни странно, нет оснований такую угрозу не идентифицировать: хоть мы и понимаем, что такая комбинация исключительно маловероятна (вот раскоммутировать, оборвать или перерезать еще могут, да и то нарушители вида 7-10), но ведь про вероятность же разговор еще не идет. И возьмем еще для нашего примера угрозу с очевидно смехотворным ущербом - потерю пакетов, например. Про ущерб ведь тоже разговора пока нет, так что обязаны взять.
Дальше оценка. Вот тут уже документ формально говорит, что для актуальности ущерб должен быть неприемлемым, а способ реальным, да только предоставляемый механизм учесть это не позволяет. Если у первой угрозы объективные предпосылки для реализации отсутствуют – это низкая вероятность реализации. Вкупе с огромным ущербом (а с каким же еще, если все сети в труху, и надо тянуть заново) первая угроза получится актуальной. И ущерб тоже нельзя оценивать ниже «низкого», так что и вторая наша угроза, реализующаяся ежеминутно, тоже актуальной будет. См. таблицу 8.
Как исправить: добавить к шкалам вероятности и ущерба значение «совсем нет». Либо перенести отсев угроз на почве практической невероятности/безущербности со стадии оценки актуальности УБИjа, где он работает неординарно, на этап идентификации угроз УБИj.

Кстати, документ просит указывать в модели только актуальные угрозы. Как я исхитрился увести в неактуальные все остальные, и как они вообще звучали, никого не интересует, что воодушевляет.

Кстати, если использовать не экспертную оценку, а статистику, то непонятно, по какой области: у меня в системах такого типа буфер год не переполнялся, а у коллег переполнялся, а по миру так вообще. Тоже поле для маневра.

Кстати, при использовании шкалы высокий-средний-низкий забавно выглядит отброс максимальных и минимальных экспертных оценок: это придется только ответы «средний» оставить? А если у меня абсолютно все эксперты дали только два соседних варианта (только низкий и средний или только средний и высокий), то что останется? А если они да-нет отвечали, что тоже разрешается, тогда как?

В-третьих, очеловечивание источников угроз.
Для живых нарушителей все удобно и логично: действительно, по части смертоносных пассов тряпкой потенциал простой уборщицы не идет ни в какое сравнение с хакерами, по части физической кражи сервера нет равных атлетически развитым грузчикам и охранникам, по части засорения кондиционера или попадания сверлом в силовой кабель рулят строительные рабочие, а по части облокотиться во сне на кнопку Delete легитимные пользователи. Потенциал их складывается из двух составляющих (может и хочет / может, но не хочет / не может, но хочет / не может и не хочет), соответствующему расчету посвящено в самом документе страниц 10 и еще в приложении штук 7 – коротенько так.
Эту же методику великодушно предлагается использовать для неантропогенных нарушителей. Живо воображаю, как операторы оценивают мотивацию микросхемы контроллера к перегоранию и знание ей проекта информационной системы. Оснащенность и техническую компетентность дождевой воды. Время, затрачиваемое программным сбоем на доступ к информационной системе.
Как исправить: зафиксировать, что неантропогенные источники идут не по алгоритму с возможностью, где участвует потенциал (с его 17-страничными выкладками), а по алгоритму с вероятностью.

Предваряя вопрос «Почему ты пишешь об этом здесь, а не во ФСТЭК?»: напишу (и всегда писал). Просто чем больше людей это им по-своему перескажут, тем больше шанс, что там поймут, оттого и приглашаю беззастенчиво заимствовать, не стесняя себя соображениями авторских и смежных. Со своей стороны обещаю посмотреть перед отправкой ваши блоги - будет потом обидно, что я у вас что-то содрал, а вы у меня нет.

Одна незадача: проделана слишком большая работа, чтобы ее согласились кромсать. Нет было сначала некую концепцию методики выложить или принципиальную логическую схему. А теперь: «К пуговицам претензии есть?». К пуговицам крайне мало.

О способах говорить "нет"

noreply@blogger.com (Ригель) — Mon, 12 Jan 2015 01:50:00 +0000

Информационный безопасник, даже вышедший уже из того счастливого возраста, когда сортировка явлений на два противоположных полюса (добро-зло, черное-белое, физики-лирики, экстраверты-интроверты, интеллигенты-биомасса и т.п.) обеспечивала важную функцию защиты мозга от скорости освоения окружающей действительности, все равно испытывает сильное влияние бинарного характера современных цифровых технологий. А может, ему нравится симулировать уставную четкость, оперируя "разрешаю" и "отставить". Так или иначе, но факт остается фактом: политики создают сущие роботы, мыслящие в категориях permit и deny. Это правильно интерпретируется техническими средствами, но вот досада – на предприятии есть и рудиментарные белковые формы, в просторечии именуемые юзерами.

Представьте, что попали в мир одноранговых запретов: "не убий", "по газонам не ходить", "на борту костры не разводить" и "дежурную по эскалатору не отвлекать" не имеют градации по тяжести нарушения. Это – именно то, что сейчас видят в инструкциях по ИБ те, кому их приходится читать. Или, если такой пример ближе, есть ПДД, но к ним нет КОАПа, только приписка о возможности ответственности. Через какое-то время приходит наблюдение, что железная длань работает весьма странно: то могут месяцами мышей не ловить, прикрывать глаза, неодобрительно коситься, предупреждать и отпускать, а то наоборот – драть штрафы, применять захват и порываться сдать в кутузку. За нарушения одной и той же инструкции, сволочи!

Если дать человеку достаточно времени для получения эмпирического знания, какие ваши запреты табу-табу, а какие "если нельзя, но очень хочется...", то закономерность он выстроит. Но за это время будут ошибки, которые обеим сторонам могут стоить. Вместо этого разделите сразу: "категорически запрещается а), б), в), г)", "крайне не рекомендуется а), б), в)", "является допустимой, но нежелательной практикой а, б)". Если нет сил на свой мини-кодекс о нарушениях, у супостатов иногда называемый формальным дисциплинарным процессом.

В конце концов, сможете хотя бы для себя определить, какие инциденты готовы спускать, а какие нельзя оставлять без жесткой реакции даже при самой дикой загруженности. Поверьте, что принципы неизбежности, своевременности, обоснованности наказания человечеством рождены не случайно, а необходимы для обеспечения эффективности системы, которая не столько для мести, как для удержания.

Единственные союзники ИБ

noreply@blogger.com (Ригель) — Mon, 29 Dec 2014 07:45:00 +0000

Сколько слежу за темой импортозамещения, столько поражает отсутствие хоть бы одной попытки предположить наличие у потребителей собственной доброй воли и благородных принципов. Все обсуждаемые и озвучиваемые варианты – это так или иначе принудить. Кому можно административно навязать, административно навяжем, а за неисполнение пригрозим отъемом лицензий и отключением от госпрограмм. Кому нельзя административно навязать, того так или иначе загоним в ситуацию, что ему придется выбрать отечественное – вздуем пошлины на импортное и продотируем свое (и на всякий случай опять же прорисуем мрачную перспективу, но на сей раз возможной подлянки западных спецслужб). Выйти же с простыми словами «Ребята, а давайте быть за своих, не потому что так выгоднее, а потому что наши» никому пока в голову не пришло: не может маленький пацак не быть меркантильным кю по определению.

Конечно, и первое надо, и второе надо, но вот эта вера в лучшие качества – когда и куда она делась? Это не наверху только произошло.

Лакмусовая бумажка: а у Вас внедрен почтовый дисклаймер, напоминающий, что сообщенная в письме информация сообщается именно тому, кому оно направлено, и если он хочет распространить дальше, то надо бы спросить отправителя? Нет, потому что злодею это не помешает, а простую несообразительность Вы не допускаете.

Ограничить, запретить, пугать дисциплинарной, административной и уголовной ответственностью, контролировать, выявлять и показательно пороть – обычный арсенал информационной безопасности. Но есть огромный резерв в вовлечении как своего, так и партнерского персонала на нормальной союзнической основе. Единственное, что нужно иметь в виду: люди будут добровольными помощниками ИБ, если она сама демонстрирует порядочность и взаимовыручку, пустые слова про содействие и общее дело только оттолкнут, если они очевидно расходятся с ее реальной практикой.

С Новым годом, и меняйте себя к лучшему!

Есть ли у вас CISO – простой тест

noreply@blogger.com (Ригель) — Tue, 25 Nov 2014 16:18:00 +0000

В обществах с дифференциацией штанов реальную принадлежность руководителя ИБ к когорте C (с-level или c-suite – высшее звено) легко проверить по наличию положенных ей привилегий: кабинета, приемной, служебной авто- и кофе-машины с водителем/водительницей, места на/в корпоративном паркинге, виповской страховки, длинного отпуска, права на идиотские капризы. Понятно, что блага, распределяемые среди шишек, в разных компаниях разные: где джип со снайперами, а где простая оплата анлима, и смотреть надо в сравнении с другими C** и C***.

Но допустим, что компания западной культуры (почему бы и нет, раз человек себя иностранными буквами пишет), и машина закрепляется за тем, кого среди ночи на работу дергают, страховка привязана к вредным производственным условиям, а приемные организуются где входящий поток большой и неэлектронный. В этом случае индикатором, участвует ли называющий себя CISO в большой игре, является наличие видения, которое приобретается в верхнем эшелоне.
По обычной ИБ-деятельности это не определить – она шаблонна: все ходы заранее написаны в том ISO, NIST, SANS, СТР или ИББС, который он намерен претворить (но, возможно, вслух ни разу не произносил), а кроме того остается только держать нос по ветру и покупать что всем сейчас впаривают.
Однако есть штук пять смежных областей, в которые смотрящий ширше будет ходить, а нет – нет.

Методически, обеспечение непрерывности бизнеса – простейшая штука!
Нужно сформировать бюрократическую машину: учредить координационную группу, которая будет оценивать и корректировать работу по обеспечению НБ, распределить в ней роли; регламентировать процедуры (анализа воздействия, оценки рисков, выбора ответных мер, разработки и тестирования планов) и замкнуть на эту группу; повесить на кого-то периодический аудит и представление результатов в группу; определить штаб управления кризисной ситуацией и схемы коммуникации; затвердить требования к ведению документации или сослаться на общие, и т.п. – все довольно стандартно.
Нужно провести т.н. BIA или анализ воздействия на бизнес – определить силу влияния от прерывания того или иного процесса на жизнеспособность организации в целом, как скоро оно на ней сказывается, и сколько времени требуется для восстановления того процесса.
Нужно идентифицировать события, вызывающие прерывания процессов, и, умножая вероятность на силу, получить родимую оценку рисков, выбрать и инициировать меры по снижению до допустимого уровня.
Несмотря на эти меры по предотвращению, нужно разработать планы действий в случае наступления: для критических процессов, восстанавливаемых быстрее, чем они трагически сказываются на бизнесе организации – планы восстановления, а для критических, восстанавливаемых дольше – еще и любимые киношниками «планы Б», т.е. альтернативные способы перекантоваться, пока тянется восстановление.
При этом нужно учитывать их приоритетность, ориентируясь на выявленную силу влияния, т.к. в аварийной ситуации ресурсов (электрической мощности, площадей, людей, денег, пропускной способности) заведомо меньше нормального, на все не хватит.
Эти планы надо тестировать и по результатам корректировать (или даже анализ воздействия с оценкой рисков исправлять по результатам), а еще обеспечивать достаточность и исправность того, что для осуществления планов необходимо.

Нiчого особливого, но подвох в уровне восприятия. Во-первых, нужно действительно знать бизнес организации, в котором внезапное бесследное исчезновение поставщика форсунок не будет критическим, т.к. остановка конвейера для перехода на форсунки конкурента займет 2 дня, а склад готовой продукции вмещает 6-дневный запас – отпуск получателям не прервется. Во-вторых, решения и в рамках обработки рисков, и в рамках запланированных ответов на инцидент – они в НБ тоже полководческие: усиление горизонтальной ротации персонала для разносторонних навыков и большей взаимозаменяемости, соглашение о взаимопомощи с дружественной фирмой о предоставлении части помещений, избавление от редкого и уникального оборудования и т.п.

Так что просто спросите CISO, как он занимается НБ. Вам либо озвучат подлинно печальное положение вещей («Постоянно мониторим доступность серверов и обязательно повесим гриф конфиденциальности на план, если его нам спустят, только не знаю кто»). Либо соврут про обеспечение в полный рост (мой любимый вариант: «У меня сотрудник всю НБ фигачит» - уж с уровня исполнителя рулить в НБ подавно невозможно). Либо тяжело вздохнут, и тогда действительно все сравнительно неплохо.

Я обычно скрываю, что после «Золотого ключика» что-то читал, но тут обязан подсластить пилюлю: непризнание CISO полноправным си-левелом (причем со стороны самого с-левела) – мировая норма. Что делать? Становиться! Вот лезть в ту же самую НБ или в corporate risks и через них потихоньку становиться.

Три буквы на двух заборах, всего шесть

noreply@blogger.com (Ригель) — Tue, 14 Oct 2014 14:01:00 +0000

Как нетрудно рассудить, средство защиты информации – это средство, применяемое для защиты информации. Составляет же нынче защиту информации перечисленное в приложениях к 17, 21 и 31 приказам ФСТЭК (если не попадаете, стоит ли дальше читать?). Вот и получается, что:

средство, используемое для заведения учетных записей (УПД.1), ограничения неуспешных попыток входа (УПД.6), отключения по таймауту (УПД.10) – это СЗИ;
софт для учета носителей (ЗНИ.1), стирания носителей (ЗНИ.8) – СЗИ;
система сбора событий безопасности (РСБ.3) – СЗИ;
ПО, реализующее синхронизацию времени (РСБ.6) – СЗИ;
анализатор защищенности (АНЗ.1-АНЗ.3) – СЗИ;
софтина для автоматической инвентаризации железа и ПО (АНЗ.4) – СЗИ;
программа или система восстановления из резервных копий (ОЦЛ.3, ОДТ.4, ОДТ.5) – СЗИ;
анти-спам (ОЦЛ.4) – СЗИ;
агенты обновления (ОПО.1) – СЗИ;
средство мониторинга доступности (ОДТ.3, ОДТ.7) – СЗИ;
средство виртуализации (ЗСВ.1, ЗСВ.2, ЗСВ.6) – СЗИ;
СКД в пропускной системе (ЗТС.3) – СЗИ;
система осведомления пользователей (ИПО.1, ИПО.2) – СЗИ;
ПО для оценки рисков (УБИ.2) – СЗИ;
ПО или система для регистрации инцидентов (ИНЦ.2) – СЗИ;
текстовые редакторы, применяемые для разработки правил и процедур (все ХХХ.0), регламентации (УПД.14, УПД.15, УКФ.5), документирования (ОБР.6, УКФ.4) – СЗИ.

Секундочку, а мы каким определением СЗИ оперируем? Конечно же, из ГОСТ 50922, ссылаясь всеми руками и ногами на 184-ФЗ! Вот когда доберемся до сертификации, что не факт, будем в специальное 608-ое Постановление глядеть. А пока - "техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации", так что не останавливаемся на программных и программно-технических, добавляются также:

запоры и датчики (ЗТС.3) – СЗИ;
оконные и кровельные материалы и конструкции (ЗТС.5) – СЗИ;
отказоустойчивое железо (ОДТ.1), бесперебойники (ЗТС.5) – СЗИ;
ЗИП и каналы (ОДТ.2, ДНС.4) – СЗИ;
стриммеры и жесткие диски (ЗНИ.8, ОЦЛ.3, ОДТ.5) – СЗИ;
бумага, используемая для правил и процедур (все ХХХ.0), регламентации (УПД.14, УПД.15, УКФ.5), документирования (ОБР.6, УКФ.4), а равно и принтеры – СЗИ;
чернила или стикеры для маркировки машинных носителей (ЗНИ.1) – СЗИ.

Но, может быть, в таких пунктах приложений к 17/21/31 надо усматривать оргмеры: названия документов как бы предполагают?
Ну, во-первых, я не очень представляю, как они могут напрочь обойтись без материальных предметов. Не, я представляю: обеспечение отказоустойчивости в форме святого крещения, регламентация через устное предание, бэкап в голове, ограничение прохода наложением заклятий, но госинспектор при проверке не признает.
А потом, если брать персональные данные (21 приказ), там с оргмерами туго. Дело в том, что в 1119 Постановлении список задан закрытый:

13а. Организация режима безопасности помещений;
13б. Обеспечение сохранности носителей персданных;
13в. Утверждение перечня лиц, обрабатывающих персданные для выполнения трудовых обязанностей;
13г. Нейтрализация актуальных угроз СЗИ, прошедшими оценку соответствия;
14. Назначение ответственного за защиту;
15. Ограничение доступа к электронному журналу;
16а. Логирование изменения полномочий;
16б. Создание подразделения, ответственного за защиту.

Т.е. любая защитная мера (если не нашлось повода выкинуть ее при адаптации или не добавить при уточнении), не укладывающаяся в режим помещений, назначение лиц, сохранность носителей или управление журналом приложения – 13г., и другого не дано. Что-то, конечно, к другим пунктам притягивается (например, СКД к 13а), но большинство нет. Примечательно, кстати, что и компенсирующие меры (т.е. измышленные самостоятельно, а не взятые из фстэковского набора) тоже должны быть из позволенных Правительством.

Не хватает некоего элемента классики, не правда ли? Вы правы, еще МСЭ, VPN, разные прочие IDSы с антивирусами, глушилки, электронные замки, вот это вот всё. Но мы люди дисциплинированные: в ГОСТе "предназначенные или (!) используемые" - это означает, что СЗИ они являются только в коробке, а в работе нет.
Поэтому мы не только их не добавим, но еще и список наш имеем право ополовинить - стиралки носителей, например, явно сделаны для защиты информации, как и стикеры. Больше того, появляется прямой смысл заюзать специальный софт для регистрации инцидентов вместо простого журнала или специальный софт для управления аварийными планами вместо Эксэля - сразу бац, и не СЗИ.

В случае всех трех приказов СЗИ должны иметь оценку соответствия (не СЗИ не должны): по 17 - сертификацию, по двум другим – или иную, допускаемую законом о техрегулировании.

Вот теперь накладываем на наш список определение из Постановления 608. Для темы сертификации оно другое: "технические, программные и другие средства, предназначенные для защиты информации, составляющей гостайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации". Значит, ФСТЭК (ФСБ и Минобороны сейчас не трогаем) должна принимать на вход:

средства контроля эффективности защиты информации;
средства, предназначенные для защиты информации, составляющей гостайну.

Ищем таковые в нашем списке. И обнаруживаем разве что средство анализа защищенности: оно предназначено не для защиты, а для ее контроля - поэтому мы его и не вычеркнули (но при адаптации могли бы попробовать).

По факту, ФСТЭК хочет сертифицировать многое – см. перечень в приложении к ее Положению о сертификации, это и кабели, и ограждения, и любое, практически, ПО. Но нам-то что:

специализированные СЗИ, которые у нас используются – это не СЗИ;
неспециализированные СЗИ отечественная система сертификации "не ест" (согласно 608-му Постановлению не должна).

Так что защитники ИСПДн и АСУТП, отправленные самой ФСТЭК в сторону техрегулирования, уходят жить в его перевернутом мире, игнорируя требования к преднамеренным СЗИ, которые теперь не СЗИ, но оценивая то, что СЗИ до сих пор не было (завод ферросплавов систему дистанционного обучения по 34-ой серии, музыкальные школы и фермерские хозяйства свой пинг и бэкапные флешки).
При наличии свободного времени троллят ее вопросами, не предназначено ли случайно для защиты информации, составляющей гостайну, средство, не предназначенное для защиты информации.

Обороняющие ГИС интересуются у ФСТЭК тем же самым, но уже в обязательном порядке и по всем пунктам приложения к 17 приказу, прозрачно намекая, что готовы все это ей притаранить: написали «сертифицированные» - будьте любезны!
Для той, конечно, заманчиво сказать, что оно предназначено ее волей (даже если не создано изготовителем с такой целью), но в отсутствие соответствующих требований к классам и профилей начинает маячить невыполнение 8.13 Положения о службе (Указ 1085).
Поэтому не остается иного, как уговаривать операторов списывать в неактуальные угрозы, нейтрализуемые "неканоническими" СЗИ. Но, положа руку на сердце, одна программа предвзято риски анализирует, другая предвзято целостность проверяет, одна определенные инциденты не регистрирует, другая определенные уязвимости не видит – отчего же "здесь играем, здесь не играем, тут пятно – рыбу заворачивали"?

__________________
Пояснение для несведущих, с какого бока в тексте гостайна. Соответствующий пассаж из Постановления декодируется следующим образом: если есть такое средство для гостайны, средства этого типа сертифицируются.

В традициях завода «АвтоВАЗ»

noreply@blogger.com (Ригель) — Wed, 01 Oct 2014 16:29:00 +0000

Рассупонилось в очередной раз наше красно солнышко: изготовила Минкомсвязь законопроект о дополнении 149-го ФЗ («Об информации…») облачными технологиями, да не одна, а вместе с ФСБ, ФСО, ФСТЭК и МЭР изготовила.

"Услуги облачных вычислений – услуги по предоставлению вычислительных мощностей, включая технические средства и права использования программ для электронных вычислительных машин в целях обработки и хранения информации органов государственной власти, органов местного самоуправления, органов управления государственными внебюджетными фондами с использованием технических средств, взаимодействующих через информационно-телекоммуникационные сети."

Ишь, оно как: облачные вычисления – это когда для органов власти и самоуправления, а если для холопов каких, то и не облачные это.

Ну что ж, по крайней мере, мы теперь знаем, что дальше надо подставлять, встречая термин «услуги облачных вычислений». Почитаем.

«Организация предоставления услуг облачных вычислений органам государственной власти, органам местного самоуправления, органам управления государственными внебюджетными фондами» =
Организация предоставления услуг по предоставлению вычислительных мощностей в целях обработки и хранения информации органов государственной власти, органов местного самоуправления, органов управления государственными внебюджетными фондами органам государственной власти, органам местного самоуправления, органам управления государственными внебюджетными фондами.

«Предоставление услуг облачных вычислений органам государственной власти, органам местного самоуправления, органам управления государственными внебюджетными фондами осуществляется поставщиками услуг облачных вычислений» =
Предоставление услуг по предоставлению вычислительных мощностей в целях обработки и хранения информации органов государственной власти, органов местного самоуправления, органов управления государственными внебюджетными фондами органам государственной власти, органам местного самоуправления, органам управления государственными внебюджетными фондами осуществляется поставщиками услуг по предоставлению вычислительных мощностей в целях обработки и хранения информации органов государственной власти, органов местного самоуправления, органов управления государственными внебюджетными фондами.

Облака – они же кустистые в это холодное время. Особенно когда над заводом автомобильным Волжским автомобильным заводом.

5 проблем управления информационной безопасностью на основе оценки рисков

noreply@blogger.com (Ригель) — Wed, 17 Sep 2014 14:19:00 +0000

Увидел рекламные материалы к одному хорошему мероприятию по ИБ (одному из двух, на которые до сих пор хожу) и вспомнил, что давно риск-ориентированный подход не полоскал. Вообще, будь он хорош – давно бы стоял на службе человечества и имел десятки реализаций под Android: тут как с шилом в мешке из поговорки или какающими евреями из анекдота, которые иначе бы кого-нибудь наняли. Но все же по пунктам.

1. Это удивительно, но до недавнего времени ведущие практики, и исо27тыщ не исключение, предлагали разбирать всю область на т.н. активы, для каждого выявлять уязвимости и оценивать последствия/вероятности их использования – это, типа, и есть риски. Фигурально говоря, берем автомобиль и давай его декомпозировать на партнамберы: вот шпилька ступицы, есть опасность сломать, шансы самопроизвольного выпадения небольшие, перегореть не может, подмена неизвестным злоумышленником на неоригинальную маловероятна, а вот шина, вероятность прокола большая, и сверхнормативного износа тоже большая, и еще кражи тоже, но хоть коррозии нулевая; а вот бензонасос... и так до конца каталога. Очевидная проблема: вся эта огромная матрица принимать реальные решения (обгонять / не обгонять, страховать / не страховать, дополнительная противоугонка / сойдет заводская, ТО у официала / да ну его) не помогает потом совершенно. Ну, может, не совершенно, но обычная обывательская рассуждалка дает результаты точно не хуже.
Так что вот такая вот засада: системный подход работает, но "низенько-низенько" (хотите – убеждайтесь сами, года два-три на это уходит), а бессистемный – шаманство. Есть там всякие хинты (какие-то риски можно найти, определив цели и анализируя причины, влияющие на их недостижение, какие-то спрогнозировать из ожидаемой модели поведения нарушителей, какие-то взять с потолка ужасно мозговым штурмом и т.п.), но все же свободное творчество, сильно зависящее от мастерства и интуиции.

2. Ментальная ловушка безопасника – определить защищаемую информацию (или даже рассортировать каким-то образом) и назвать нарушения ее свойств рисками. А это не риски! Смотрите, события обычно собираются в цепочку: «Не стоят последние патчи» - «И что?» - «Может произойти ознакомление с персданными к ним не допущенных» - «Оно у нас каждый час происходит в той или иной форме, и что?» - «А субъект, если узнает, может нажаловаться» - «И что?» - «И придет проверка» - «И что?» - «И найдет нарушения» - «И что?» - «И мы не сможем их устранить в ходе проверки» - «И что?» - «И нам выпишут предписание» - «И что?» - «И мы его почему-то не выполним» - «Странно, и что?» - «И нам присудят штраф». Вот где здесь рисковое событие для организации? Его здесь вообще нет, пожалуй, оно на следующем шаге («И нам не хватит денег заплатить аренду»). А разглашение персданных – это не риск, а возможная причина причины причины причины возникновения, да вдобавок только одна из.
Цепочка может ветвиться. Например, от предписания может отходить ветка «и опубликует на сайте, что мы нарушаем», упирающаяся в падение имиджа и отток клиентов. Или, например, от проверки ответвляется «и заметит использование радиодиапазона без разрешительных документов». Или нарушение может сразу пойти в прокуратуру для принятия мер реагирования. В таких случаях тут несколько рисков напрашивается, но все равно не заключающихся в разглашении персданных, а связанных с.

3. Смысл всей возни с рисками – в их оценивании, оно нужно для принятия решений: этот слишком мал, чтобы вкладываться в противодействие, а этот так велик, что заберем деньги из договора на проведение работ по охране труда. Это только в легенде безопасности много не бывает, реальная организация всегда вынуждена делать какой-то выбор. Чтобы сравнивать риски, нужно, чтобы они были посчитаны (в одинаковых единицах), и считаются они произведением ущерба на вероятность наступления. С ущербом все не так плохо: чаще всего просто есть вариативность (коньяк vs штраф, потеря единичных клиентов vs массовая и пр.), и это всего лишь надо рассматривать как разные рисковые сценарии, а сами-то последствия вообразимы.
С вероятностью хуже. Даже если у вас или у соседа есть статистика подобных событий в прошлом (каковая далеко не по всем рискам есть), ее обычно нельзя взять «в лоб». Скажем, в мире отмечено 100 прецедентов Stuxnet, но это не в год, а всего, и чтобы прикинуть на следующий год, это уже надо что-то вычесть и разделить, и это что-то в доступных источниках отсутствует. Опять же, это не равномерно по миру, а тяготеет к одному региону, и для «в среднем» надо какой-то поправочный коэффициент взять – какой? Но учетом последней антироссийской волны Россия – тоже не средняя, и это еще один поправочный коэффициент надо как-то экспертным путем… А сколько событий вообще прежде не происходило! Представьте, что какой-то год назад Вас бы просили оценить вероятность введения вайфая по паспортам – прикидываете разброс в оценках? Беда в том, что приблизительно оцененный риск будет сравниваться – с другими вашими рисками, с рисками, поданными другими подразделениями, и погрешность принятых на основе этого решений «мама дорогая».

4. Но предстоит оценивать еще и остаточный риск – риск после принятия контрмеры (направленной на какую-то из причин или причин причин). Часто это происходит уже и при первичной оценке, чтобы сказать, достаточно ли такой контрмеры, как предложена, а при периодической переоценке всегда. И тут недостоверность возрастает еще больше.
Знаете, на сколько (цифра!) упадет вероятность НСД от разработки правил и процедур ограничения программной среды или от сбора и хранения информации о событиях безопасности в течение установленного времени хранения? Точно знаете? Попробуйте только сказать, что не знаете, и ни в жизнь не пропихнете меру, не обоснованную с точки зрения оценки рисков. Можно отмазаться и заявить, что это не совсем мера, а условие работы другой меры (например, обнаружение инцидентов и принятие мер по предотвращению повторного возникновения), но тогда ее влияние на вероятность будущих НСД оцените-ка.

5. Новости в этих ваших интернетах каждый день читаете? Надо читать даже псаки, если это может дать повод для внепланового обновления оценки рисков. Три свежие утечки баз паролей – прекрасный повод переоценить то, что связано с вирусной активностью или осведомленностью пользователей о фишинге и, возможно, усилить меры. Вот только аяяй: времени на это не было запланировано (оно никогда заранее не запланировано), только на чтение и хватает. И на связанные с бэкдорами в программном и аппаратном обеспечении западных вендоров им. тов. Сноудена в этом году уже не нашлось, и на связанные с прекращением поддержки иностранным производителем по независящим от него санкционным причинам не нашлось, и опять как назло не находится, да?

А так остальное легко. Я, правда, иной раз задумываюсь, а есть ли остальное-то, но как посмотришь очередную презентацию – до фига.

Через тернии

noreply@blogger.com (Ригель) — Mon, 09 Jun 2014 11:22:00 +0000

Недавно пристыдили, что бросил следить за сериалом «Гора продолжает рожать приказ о СКЗИ в ИСПДн». Ну, что: туча, конечно, сгустилась – это есть, но вообще страшное произошло не вчера, и ФСБ ситуацию только усугубила (а то прямо кто-то полагал, что она наоборот поступит?).

Обречен сам подход, при котором каждый оператор должен решить систему уравнений из 261-ФЗ, 1119-ПП, обоих приказов и пристегнутых к ним ПКЗ-2005 с Базовой моделью / Методикой ОАУ 2008. И не потому что он ее в массе своей правильно не решит, а потому что половина и решать не будет (а когда одни не будут, то и другие не будут – знаете же, как мусор бросают, где набросано, и на забитый перекресток выезжают). И вытянуть это порками нереально: тут не народ злонамеренный, а система чересчур мозголомная.

Шансы были бы, если все написать естественными парами «доступная для народа посылка – доступный для народа вывод», типа такого:

обрабатываешь спецкатегории – защиту должен строить лицензиат;
распределенная ИС – штатный специалист, прослушавший сто часов;
не хочешь кормить отечественных авторов ПО – будешь кормить отечественных авторов СрЗИ;
ходишь через Интернет – двойная аутентификация;
пароль без звездочек – отдельное помещение;
несертифицированная ось – плюс 2 класса к криптосредству;
и т.п.

А вы как сделали? Вы ему саму науку отвалили фактически.

Представим, что повысилась в стране и мире сейсмическая опасность, и вообще маленько в этой теме от просвещенной Европы отстали – возникла задача поднять сейсмическую защиту общественных зданий. И падает на всех универсальный талмуд, по которому можно АЭС на Камчатке и небоскреб в Саянах проектировать, и приходит тот в сельский клуб с секцией пилатеса. Формально все хорошо: никто же не заставляет сельский клуб до уровня небоскреба демпфировать, нужно просто правильно оценить геологические условия и вообще понимать, что происходит при взаимодействии строительных объектов с трясущимся основанием - просто посчитайте на своих данных и все получится. Угу.

Для КСИИ/КВО это уместный подход: там операторы могут изыскать необходимые ресурсы, даже если не хочется, а в обработке персданных мелких операторов миллионы. По-хорошему, их надо было 1119-ым постановлением аккуратно в 4-ый уровень отсечь и прописать для того защиту практически по мироощущению, но нет. Больше того, сейчас серьезный оператор (свыше 100 тыс. не работников) обосновывает 3 тип актуальных угроз, ибо режимные меры, и купленная коробочка с российским софтом на полке лежит, и счастлив со своим 3 уровнем, а комп в турфирме (седьмая винда, приходящий админ, данные меньше 100 тыс. не работников шлются аутлуком гостиницам/авиаперевозчикам) начитавшиеся Сноудена запросто к 1 уровню относят. И печатают эти ваши ПКЗ с Базовой моделью, и осиливают несколько страниц, и понимают, что принимают риски проверки уполномоченным органом.

Работает система государственной защиты прав и свобод человека и гражданина при обработке его персональных данных? Смотря какой критерий использовать.

Если два слоя требований не были сформированы в постановлении (или постановлением и приказами), значит нужно было делать это в самих приказах. Один - для операторов, который они прочитают и поймут. Другой - для специалистов, которых тем придется вызвать, если придется. Документы для специалистов вижу. А для операторов где? А они же.

О применимости ИБ-аналитики из интернетов

noreply@blogger.com (Ригель) — Wed, 30 Apr 2014 08:31:00 +0000

Пока намеревался объяснить перманентную аллергию на цветистые отчеты об исследованиях, их еще десяток подвалило - теперь не угадаешь, кто все на свой счет примет.

Конечно, у этих парней есть и свои грязные методы: нелинейная разметка шкалы, искажение пропорций при перспективе, выдача корреляции за причинно-следственную связь, программирующие вопросы и пр. – исчерпывающий список манипуляций нагуглить нетрудно.
Но давайте, однако, допустим, что всем этим грешит кто угодно другой, а перед нами отчет, заслуживающий высокое доверие. Пусть и не от независимой ассоциации (которых у нас толком нет, а заморские варятся в иной реальности), зато от такого вендора, который точно пока не мухлюет: куча друзей там работает, и все бьют себя пяткой в грудь.
Вообще умилительно, конечно, выглядит ИБ-исследование от продавца таковых продуктов или услуг. Уже самим фактом. Это как установщик автосигнализаций, вещающий о частоте угонов, или пугающая статистика кариесов от производителя жвачки. Но в стране высокой морали - почему бы и нет.
Итак, отчего даже самым неполживым и рукопожатным отчетом можно пользоваться только для демонстрации руководству, что уж у вас-то доступ в Интернет для производственной надобности – вон опять какой нехилый pdf-ник надыбал, буду теперь неделю читать.

Перво-наперво, никто не отменял своеобразие выборок. Ситуация вполне описывается анекдотом «по опросу, проведенному в Интернете, 100% россиян пользуются Интернетом». Так, если данные об инцидентах собраны из открытой прессы, в них будут компании, которые вынуждены их публиковать (имеют листинг на бирже, например). Болезни таких игроков не обязательно характеризуют и ваши. Кроме того, там не все утечки, а только определенных типов данных. Или если автор отчета опрашивал компании, с которыми у него есть контакты – извините, но в базе контактов DLP-вендора, к примеру, сплошь такие, кого скука и лишние деньги привели к покупке DLP или интересу к ним. И статистика по аудитам защищенности тоже будет не из всех мест, а из таких, на которые аудитору пальцем показали – то какая-нибудь слабая «дочка», которую надо давно было выпороть за игнор корпоративных требований, а то напротив – самый свежезащищенный сегмент, чтобы явить руководству свидетельство, какие мы молодцы. И т.п.

Другая проблема также банальна: респондент сообщает не то, что есть, а то, что он о себе думает, или хочет, что бы другие о нем думали. Поэтому длина пениса, полученная методом опросов, у нас измеряется в аршинах, а посещения ГМИИ в десятках - урологи и билетерши недоумевают. Обычно для опрашиваемого ответ не является анонимным: он отвечает на присланный опросник с адреса, на который тот пришел, так что ресурсов у него всегда вагон, СЗИ каких еще только нет, а вот фейлами бог обделил. Но даже и через веб-форму, объективен он не будет. Про телефон совсем не говорим.

Еще одна причина ошибок – тяготение к дискретности: аналитикам завсегда хочется разложить по столбикам все богатство сценариев, и чтобы не больше девяти. Получается классическое «умные налево, красивые направо». Куда отнести сфотографированные телефоном материалы к Правлению авиакомпании с топовой в обоих смыслах тайной – это утечка документов, визуальной информации или через носители? А пофиг, в общем-то.

Четвертая бага – подмена тезиса. Опытный маркетолог этим пользуется умышленно, ловко и цинично: декларируется 60%ный эффект уже в первую неделю применения, и покупатель представляет 60%ное увеличение объема волос, а на самом деле 60% членов фокус-группы подтвердили некий эффект уже в первую неделю (впрочем, довольно слабый и сопровождавшийся крапивницей), о чем честно сказано внизу мелким шрифтом. Прием наверняка имеет название, да я кроме сборника пословиц и поговорок ничего не читал.
Но наш автор не такой и проделывает это без всякой задней мысли – просто он сначала собрал данные, а потом сообразил, как их красивше представить. Скажем, 30% его респондентов на первое место поставили риски епочты, остальные – какие-то другие. Он ничтоже сумняшеся рисует пирог и подписывает: по мнению наших респондентов 30% опасностей таит епочта, еще столько-то голубиная, пневмо и пр.
Ну, дружок, у тех, кто поставил на первое место епочту, на ее счету могло быть и 14% проблем (просто на счету иных источников еще меньше: 12, 11 и еще семь по 9), а у поставивших на первое место что-то другое она вообще породила только 1% - вот откуда тут итог 30? Могло и наоборот: у первых епочта дала 86%, а у вторых 40 (но это меньше, чем факс с его 42) – и тоже ни разу не 30% должно было набежать, да?

И последнее, о чем хочется напомнить: среднего может запросто не существовать в природе. Знаете же, что у среднего американца одно яйцо и одна сиська? Если вы работаете в фирме среднего калибра, это не значит, что на усредненной диаграммке изображены как раз вы. Как нет в природе ни одного реального человека с 0.9 кредитных карт, 0.4 компьютера и 0.2 автомобиля, так может и не быть той организации с 980 атак в сутки и ущербом в диапазоне $50000 – $100000, которая так красочно отрисована в 3D.

Когда формула "ущерб Х вероятность" не верна

noreply@blogger.com (Ригель) — Wed, 26 Mar 2014 08:37:00 +0000

Если что-то написано везде, оно от этого еще не становится правдой – только нормой.

Информационная безопасность заражена т.н. риск-ориентированным подходом, при котором выбор защитных мер базируется на оценке тяжести последствий и вероятности их наступления, а обе они берутся из опыта. Обычно это можно и нужно делать.

Но существуют ситуации, когда бороться надо с любой ненулевой вероятности угрозой, исходя из потенциально возможных последствий в самом худшем случае (т.е. полностью гипотетического worst case), а не реальной их статистики в прошлом или у коллег.

Простой и явный тому пример – промышленные системы. Представьте, что Вас ничему не учили, и ответьте непредвзято: Вы готовы мириться с получением хакерами контроля над АЭС, НПЗ и прочим Сапсаном на том только основании, что прежде им хватило здравомыслия ничего там не покрутить? А вот грамотный безопасник стал бы мириться, раз по статистике недоступность обычно в минутах, а ущербы в копейках.

Подозрительно революционно? Все уже украдено до нас: найдите в УК покушения и подумайте, что они там делают.

З.ы. В следующем посте расскажу, почему при обнаружении любой аналитики по ИБ в виде диаграмм можно сразу хвататься за пистолет. Но это я так сам себя обязываю, чтобы не профилонить, а не подписываться призываю.

Крымский импульс в ИБ или It's the end of the world as we know it

noreply@blogger.com (Ригель) — Fri, 21 Mar 2014 15:43:00 +0000

Независимо от того, чем кончится вся эта околоукраинская история, и на чьей стороне ваши в ней симпатии, исторический перелом для ИБ уже произошел. Уже совершенно точно можно говорить, что система представлений о мире, бывшая в головах ИБ-шников и их нанимателей, после марта 2014 оказалась в прошлом. Случившееся в чем-то аналогично американскому 9/11, когда обрушение башен произошло в минуты, а эффект от него развивался годы: сама новая реальность уже здесь, это только ее осмысление еще сколько-то займет.

Был ли у вас формальный анализ рисков или нет, но внутри-то он был. Некие субъективные экспертные оценки надежности чего-то или возможности чего-то двигали реализацией защитных мер. Теперь это вчерашние оценки. Этап, через который сейчас предстоит проходить – крах старых стереотипов доверия, веры (о которой я тут исключительно в проекции ИБ говорю).

Вы верили, что зарубежный ЦОД в 38 раз меньше подвержен внезапному закрытию, чем находящийся в поле действия нашей правоохранительной системы? Возможно, что это не так.

Вы верили, что заокеанский производитель СУБД будет ее сопровождать, пока за это заплачены деньги? Это тоже запросто может оказаться не так.

Вы верили, что предприятие может пользоваться облачным сервисом от IT-гиганта? Списанный сервак на третьем новелле под варп-коннектом может дать ему сто очков форы по доступности.

Вы верили, что угрозы, связанные с наличием НДВ в системном программном обеспечении не актуальны при условии использования СПО ведущих мировых производителей, полученного и установленного из надежного источника? Не факт совершенно.

Вы верили, что обиженный работник – это самый плохой тип внутреннего нарушителя? В мгновение ока хипстеры с айпэдами могут стать самыми большими врагами вашей служебной информации, если предприятие выпускает станки, а не шкурки для айтюнс. А ведь синхронность политических взглядов работника и работодателя давно не была критерием для мониторинга и коррекции лояльности.

Вы верили, что порядок инвестиций родного предприятия в ИБ будет сохраняться примерно на том же уровне? На нее может вообще средств не найтись.

Вы верили, что деньги на счете PayPal не могут заморозить из-за разногласий какого-то главы МИДа с иностранными коллегами? Могут.

Я не знаю, на каком ресурсе Вы читаете эту перепечатку, поэтому другие животрепещущие примеры додумайте сами.

И примите как данность, что все внешние по отношению к вам силы тоже сейчас все переосмысливают – от китайских хакеров, если они кого-то волнуют, до госрегуляторов и законотворцев. А более всего бизнесы. И, кстати, не только наши, потому что сигнал, например, что стране НАТО не стоит доверять активы, если ты не из страны НАТО – это для всех сигнал.

В общем, жить нам теперь в каком-то другом мире, где реальный производитель более надежный работодатель, чем банк, лексикон лучше ворда, а подходящее место для дискового массива – в Байкале: подлодка всплыла, вахтовики сменились, и обратно.

Русский путь

noreply@blogger.com (Ригель) — Thu, 20 Feb 2014 08:23:00 +0000

Надо констатировать, что отечественная защита информации де-факто обрела долгожданную методологию. Когда рождались требования ФСТЭК для ГИС, ставшие затем 17 приказом, то не были восприняты как всех касающиеся – какие-то замечания и предложения получили, но широкой дискуссии не вызвали. Затем их внезапно переделали в требования для ИСПДн, и тут многие уже просто не успели среагировать, только хмыкнули: как, однако, ФСТЭК выкрутилась. Сейчас же, глядя на следующую инкарнацию для АСУТП, окончательно ясно, что у нас теперь свой способ организации лунных модулей, который предстоит любить и жаловать во всех местах.

Воспринимая последний документ в этом расширенном качестве, должен сказать, что вообще-то все срослось: российский аналог имеет хорошей полноты номенклатуру мер, основанный на анализе угроз (рисков) процесс выбора, а циклы действительно являются циклами. Можно было иначе, но миссия выполнена, ФСТЭК справилась вполне и вовремя, новоогаревский стейкхолдер должен быть доволен.

По правде говоря, им, как технарям, было заведомо проще, чем более идеологизированным конторам (взять вон Иванова, рожающего принципы культурной политики к апрелю), т.к. нет задачи нераздражающим образом облокотить свою идейную платформу на христианство, справедливость и трудолюбие, в качестве возврата к родным ценностям сойдет смена классификационной квадриги на тройку, как имперское наследие – оценка соответствия СЗИ, а с византийским каноном пущщай себя крипторегулирующие коллеги как-то увязывают. Но это не повод преуменьшать значимость сделанного.

Принципиально нехороша буквально пара моментов.

Во-первых, не секрет, что при определенной ловкости от любой защитной меры можно отскочить (волшебные слова: «непосредственно не связано» и «уже скомпенсировано»). Не 100%, что проверяющий пропустит, но он может. Поэтому такие «надсистемные» вещи как разработка правил и процедур, планирование мероприятий или переанализ рисков надо было выносить из Приложения 2 в главу II основного текста. Иначе ушлый народ завсегда обоснует, что у него нет такой угрозы, при которой это надо.

Во-вторых, многие меры, должные образовывать пакеты, «бандлы», перечислены как независимые. В результате теоретически возможно осуществлять контроль целостности, но не иметь такой процедуры, или наоборот – процедуру контроля завести, а от самого контроля косить. Или, скажем, процедуру обработки инцидентов создать, но исполнителя по ней не назначить.

Есть также несколько детских казусов, которые кроме как недоразумением объяснить нельзя. Например, 21-ый пункт вдруг предлагает нейтрализовывать все угрозы, т.е. даже имеющие копеечные последствия и бесконечно малую вероятность, 14ый требует два раза оформлять анализ целей и выбор объектов защиты – и на стадии принятия решения, и на стадии определения требований, а в 15-ом ТЗ на создание системы защиты делается раньше выбора образующих ее мер.

Загвоздка в том, что ФСТЭК слишком далеко зашла, чтобы вносить сейчас реальные правки, и готова принимать только придирки по мелочам (да не все мы на них способны), а на остальное имеет анекдотичный ответ: «Где ж ты был, когда тебя не было?». Копить же замечания на 2016 год, когда будет обсуждаться вторая редакция, тем более бессмысленно – хорошая бага и так вылезет, шило в мешке никто не отменял. Поэтому надо выдохнуть и радоваться тому документу, который уже есть, и обещанию более частого пересмотра, чем был у РД 89-го года.

Стартовая позиция в нем хорошая, близкая к отличной. Авторы могут отметить День защитника Отечества – он их.

"Англия сдалась!"

noreply@blogger.com (Ригель) — Fri, 31 Jan 2014 10:41:00 +0000

Невозможно серьезно относиться к анализу рисков, если проделывал его больше двух раз на одной области.

Как минимум, уже хотя бы потому, что с каждым следующим циклом все больше оценок опираются не на измерение, а на предположение. Это ведь только в первый раз вероятность ограбления магазина можно взять из криминальной статистики по региону. «Надо укрепить замок на входе через заднее кирильцо», - прозревает безопасник. Укрепили. Остаточный риск каков стал? Вероятность, конечно, уменьшилась, но на сколько – можно достоверно сказать? А там и следующий круг наступил: «У нас район маленький – давайте распространим слух, что в подсобке питон живет». Ну, а теперь каков остаточный риск, что кто-то полезет? Видели Вы где-нибудь статистику с фейковыми питонами? И вот так чем дальше, тем кофейная гуща гуще, улыбка безопасника чаще, а к людям нужно проще и на вопросы смотреть ширше.

Тем не менее, надо взять себя в руки и написать про тот подход, который в исо27тыщ недавно поменялся. Пример специально другой, чтобы по-честному.

Итак, дикость полнейшая, но до сих пор стандарт хотел, чтобы риски автовладельца оценивались от деталей. Сначала инвентаризируем, из чего состоит автомобиль. У кого слабоумие и отвага, тот декомпозировал все до винтика, и его реестр активов напоминал каталог оригинальных запчастей с партнамберами. Остальные шли крупноузловым путем и говорили, что автомобиль состоит из ходовой, освещения, отопления, рулевого управления и т.п. Плюс стандарт требовал включать в список водителя, а некоторые аудиторы - гараж.

Дальше надо было примерить к каждому элементу каждую возможную угрозу и назвать величину наступающего в этом случае ущерба (желательно в деньгах), а также шансы того, что он произойдет. В этом виделась потрясающая наукообразность. Детали-то ведь все разные, и это правильно учитывать, что подшипник передней ступицы вряд-ли снимут гайцы, но он способен треснуть, а тосол склонен вытекать или выкипать, а шильдики могут пионерить. Итого, когда на двести, скажем, элементов пяти, например, классов ценности наложить триста угроз от семи типов источников с четырьмя показателями легкости реализации, и для каждой не лишенной смысла комбинации (ибо такие несуразицы как короткое замыкание в шине надо вычеркивать) назвать ущерб и вероятность – это же ого-го! «Ну, а теперь со всей этой красотой мы попробуем взлететь».

Особая пикантность, что информационную безопасность стандарт предлагал строить от бизнеса, т.е. сверху вниз, а риски обрабатывать, считая их снизу вверх. Кажется, я не видел случаев, чтобы эти вектора счастливо сошлись в одной точке, но на каждую мою критику исо27тыщ приходит кто-нибудь, у кого якобы сошлись.

Не прошло и девяти лет (а если считать BS7799-2, то двенадцати), как народу позволили брать риски в прямом и переносном смысле сверху. Как мы собственно и привыкли. Т.е. рассматривать автомобиль как возможность доехать, внешний вид, комфорт салона и пр. Так что анализы рисков по критерию «на скорость влияет / на скорость не влияет» или по принципу «на поломки я забиваю вообще, т.к. на такси, эвакуатор и сервис у меня всегда есть» аудиторы теперь официально обязаны хавать.

Победа разума? Вряд-ли. Потому что одновременно сделаны необязательными «контроли» из Аннекс А (т.е. 27002, он же 17799, он же 7799-1), и контрмеры можно теперь брать откуда угодно – скажем, из Базеля. Складывая это с либерализацией в оценке рисков, резонно заключить, что ИСО теряет рынок и хочет найти клиентов среди придерживающихся прежде бывших несовместимыми методик.

Политика и Б

noreply@blogger.com (Ригель) — Tue, 31 Dec 2013 11:47:00 +0000

А Вы уже знаете, что нельзя жить в обществе и быть свободным от общества? А что автора этих слов в следующем году похоронят? Короче, у меня для Вас две новости, смело начинаю с хорошей: значение ИБ в 2014 году возрастет. По закону подлости вторая новость не просто плохая, а плохая прямо будь здоров: значение ИБ возрастет. Начну с любой.

Кризис, который в следующем году докатится до ИБ, не будет экономическим. Вероятно, что спрогнозировавшие экономический смогут разглядеть и экономический, но на фоне. А так нас в следующем году ожидает собственный майдан (с блэкджеком!) на политической, кто бы мог подумать, почве. Главное, было бы векторов три – они мирно стащили бы эту фигню в болото в полном согласии с перельмановской схемой сложения лебедя, рака и щуки, а два если не порвут, то натянут уж мама дорогая.

Русские долго запрягают и потом быстро едут. Многие годы ушли у власти на открытие старого фидошного велосипеда, но теперь он у нее есть, и обратно не закроешь, и эффекты сейчас повалятся, как из рога. В 2013 она осознала, что национальные баги, которые никак не удавалось изжить, на самом деле являются фичами. С т.н. валдайской речи и далее везде Россия перестает их стесняться. Японцы едят палочками, корейцы собак, у англичан правый руль, а русские не одобряют однополые браки и т.п. Но обратным концом палки является то, что милой национальной фишкой можно назначить что угодно – если сицилийская мафия или японская якудза прекрасно брендировались, почему этого не могут наши плохие дороги? Ну, да мы не об этом.

Итак, что это дает для ИБ. В ИБ давно существуют славянофилы и западники, или патриоты и либералы, вот это вот все, и первые уверенно дышали на ладан, но дожили. Теперь пропорция сил меняется. Вектор «отечественности» усиливается – свои СЗИ, сертификация, блокировка сайтов, расширение полномочий спецслужб – это туда. Западный наоборот получил серпом от Сноудена и Ко.

В сумме, ИБ, отвыкшую от политической интриги, ожидает левый бросок, величину которого трудно пока предсказать. В теории, мы можем даже увидеть национальные проекты, госзаказ. Скажем, байкальский CERT или конкурс на разработку конкурентоспособного МСЭ. Причем с приглашением к участию лучших, причем не тупо рублем, а действительно интересными вызовами. По минимуму, это все равно свертывание «медведевских» (условно говоря) подвижек с приоритетом интересов субъектов над страновыми со всеми вытекающими.

Надеюсь, что на волне этой внутренней поляризации баррикады друг от друга мы все же строить не будем, а только от традиционного нарушителя. У кого налито, может за это и выпить.

А что касается интриги с похоронами – это, конечно, такая затравочка была, но обязательно посмотрите. Если я что-то в чем-то понимаю, то президент активно закрывает исторический цикл, и после Олимпиады нас ждет подготовка инсталляции «Владимир Владимира несет», каковая, если ничего не собъет, может состояться еще в 2014. Кибербезопасность там ни при чем, а в плане информационного противоборства будет интересно.

Интересный кейс: позитивное vs этичное

noreply@blogger.com (Ригель) — Mon, 23 Dec 2013 13:07:00 +0000

Вот ведь как бывает – думаешь: закрою год и напишу что-нибудь гуманистическое и общеукрепляющее. Не в этот раз.

Одна компания специализируется на оценке защищенности. Список клиентов, естественно, висит на сайте.

И выпускает она отчет: три четверти наших клиентов вскрывается извне с небольшой квалификацией, 90% успеха дают подбор паролей и уязвимость протоколов канального/сетевого уровней, еще 75% открытые протоколы, 60% sql-инъекции, половина роутеров с простыми комьюнити и т.п.

Как говорится, велкам! Список, напомню, по-прежнему на сайте.

На жаргоне это наводка. Попробовали бы авторы на себя примерить. Автодилер, скажем, выложит номера прошедших ТО рядом с исследованием, что у 75% тросик открытия капота банально под правым локером спрятан. Или школа пусть напишет, что 40% учеников даже младших классов родители не забирают.

Хакинг сбивает нравственные ориентиры независимо от целей выполнения, это факт. Ментов тоже так среда портит, а вообще-то они хорошие.

Каким быть

noreply@blogger.com (Ригель) — Tue, 26 Nov 2013 03:00:00 +0000

А вот почему никто не говорит, что безопасник должен быть социальным инженером? Иногда случается, что ситуация зависит от пользователей, которые должны выполнить или наоборот не выполнять некоторое действие, а коммуникации с ними минимум. Десять секунд они что-то прочитали и нажали, и все – привет, Шишкин.

Например, пошел по электронной почте свежайший троян, антивирус пока ни один не ловит. Можно попробовать быстренько фильтр настроить на антиспаме по каким-то характерным словам в теле и заголовках письма, но у части юзеров такие письма уже в ящиках, кто-то уже открыл, а кто-то еще нет. И, может, полста их, а может, четыре тысячи.

Что делает информационная безопасность? Ожидаемо, она пишет и бродкастит алерт. «Уважаемые пользователи! Если Вы вчера или сегодня получали письмо якобы от хелпдеска, и там в зипе был outlook.exe, и Вы запустили, и антивирус не выдал предупреждения, срочно свяжитесь с хелпдеском – Вас надо чистить ручками.»

Мужики, так не надо отправлять – это же т.н. лампочка во рту. Этак тот, кто еще не открывал, он же найдет и откроет. Он тупо не помнит, чтобы с ним в последнее время антивирусы общались, надо проверить. А вдруг он сломался?

Для тех, кто совсем никогда не смотрел телевизор. Есть такой эстрадный юморист – Задорнов, ненавидим коллегами по цеху со времен МАИ за то, что не придумал ни одной шутки. А устраивает он, скажем, в зале конкурсы на самую смешную историю – пишите записочки и передавайте мне на сцену, автора одной я прямо сейчас похвалю (а на остальных потом деньги заработаю). Теперь, наверно, через сайт собирает. А в их среде это не фэйрплей всегда считалось, не по ильфопетровски это. Вот в его, Задорнова пересказе ходит прекрасная байка про лампочку во рту, по этим же словам и гуглится.

Одно дело, когда человек перед Вами или на двусторонней связи, и Вы можете его реакцию скорректировать. Но если нет, это надо четко попадать с первого раза. Причем по бухгалтерским мозгам, а не, например, айтишным.

О компенсирующей дискриминации операторов персональных данных

noreply@blogger.com (Ригель) — Thu, 24 Oct 2013 18:46:00 +0000

На Западе фразу "запрещается дискриминация по возрасту, цвету кожи или размеру молочных желез" нынче не пишут – не всякая дискриминация запрещается. Дискриминировать можно, если это выравнивает то, что почему-то в обратную сторону перекошено.

С одной стороны, базы крупных и/или важных операторов персональных данных и защиты заслуживают более серьезной. Во-первых, они интереснее. Представляете, например, информацию, хранимую мобильным опсосом – сюжет? Во-вторых, именно крутые операторы, нравится им это или нет, могли бы потянуть и общественно-полезную нагрузку, прямо не продиктованную сиюминутным благом субъектов. Скажем, поддержку отечественной отрасли производителей защиты. Ну, есть вот, допустим, такие национальные интересы – иметь и в 2019 году технические средства, не прослушиваемые вероятным противником. Может такое быть.

С другой стороны, именно крутые операторы располагают большими возможностями для ухода от обязательных требований. Это ведь высокий пилотаж – уклониться через модель угроз, например, совсем не всем доступно. Либо это серьезные мастера в штате, либо дорогущие консультанты на подряде, либо связи, позволяющие согласовать модель независимо от квалификации авторов, либо еще что в этом же духе.

И получается парадоксальная ситуация: федеральное министерство или здоровый холдинг претендуют на белый билет, а преподаватель сольфеджио в музыкальной студии, где и защищать особо нечего, влачит ПКЗ-2005 по всей строгости.

Понимают ли это т.н. регуляторы? Я не уверен. Я очень высокого мнения об их способностях (серьезно!), но есть объективная сложность: верхнее их звено общается именно с крутыми операторами, а о проблемах иных если и знает кто, так это рядовые госинспекторы "на земле".

Решение очевидно: законодательно ввести компенсирующее неравноправие операторов. Но не на финотчетность же ориентироваться! Значит, надо принять, что уровень защищенности (который на самом деле вовсе не уровень защищенности) информационных систем персональных данных коррелирует с крутизной оператора, поэтому как-то так, например, и запишем: сертифицированные СЗИ - от уровня 3 и выше, сертфицированные СКЗИ - от уровня 2 и выше. Загрубление, но лучший выход из имеющихся.

Так что когда где-то предлагают подискриминировать крупных операторов – не удивляйтесь.

«Какие стандарты нам нужны и зачем?»

noreply@blogger.com (Ригель) — Wed, 09 Oct 2013 12:24:00 +0000

Ходил на оный диспут в рамках INFOBEZ. Велик был соблазн воспользоваться чуть не 20-летним опытом по эту сторону рынка и просто констатировать, что хорошо тут без них ныне и присно, но все же соорудил некую объяснялку.

Когда юриста спрашивают, как поступить в таком-то деле, он уточняет: "Если я на стороне кого?". Вот и поднимая тему, какие стандарты нам нужны, прежде всего нужно определить, мы – кто?

Проще всего с конторами, которые непосредственно на переводе, издании или распространении кормятся: этим годятся абсолютно любые и не важно о чем – лишь бы побольше как в штуках, так и в печатных знаках.

А вот физику, потребителю сами по себе стандарты безопасности не нужны – ему нужны гарантии безопасности, ее подтверждения, свидетельства. Когда продукт или услуга, которую он покупает (или получает бесплатно, это ведь может быть и государственная услуга), соответствует какому-то стандарту, то это, конечно, некие дополнительные очки в ее пользу, дополнительный повод на то решиться или выбрать Х, а не Y. Но это очень слабые очки! Примерно на уровне медалек, которые на этикетках рисуют. Любые предубеждения их перебивают, любые сообщения об инцидентах, слухи, советы друзей. Если человек будет покупать автомобиль, то ГОСТа "№ какой-то там" не будет в десятке – в десятке будут характеристики, результаты независимых тестов, сравнения в журналах, имидж бренда, опыт соседей и т.д. – вот чему он доверится за свои кровные. Причины можно искать, но факт: сейчас репутация товара/услуги или их производителя в исчезающе малой степени обеспечивается соответствием стандарту.

Продавцу услуг по информационной безопасности, "консалтеру" стандарты тоже не нужны, ему нужны проданные проекты. Штампованные очень удобно продавать – и звучит авторитетно, и можно сильно не вникать в особенности заказчиков. Но все же не стандартные в полном смысле, а имитирующие. Иначе будет прозрачное ценообразование. Ты ведь не объяснишь, почему надо купить у тебя дороже, а не за углом дешевле, или почему ты тому клиенту за рубль продал, а с этого три хочешь. И главное надо ведь место для твоей магии оставить, чтобы он без тебя не обошелся - нормальный-то стандарт он бы и сам прочел/понял.

Я когда слышу, что кто-то нахваливает стандарт, всегда очень интересно понять, в качестве чего. Ибо ситуация, знаете, примерно какая: "Джинсы - такая замечательная одежда: я из них классные прихваточки шью!". А причем тут одежда, это мог быть рулон ткани с таким же успехом.
Когда кому-то не хватает знаний, то для него стандарт шпаргалка какая-то, источник терминологии непротиворечивой, свод мудрых советов, многие из которых полезны. Но тут, по-моему, если стандарты восполняют собой нехватку нормальных учебников, то нужно больше учебников, а не больше стандартов. (Кстати, надо сказать, бывает, что это сами стандарты такие – когда по сути это методология, а для продвижения выдает себя за стандарт, маскируется. Там попросту нечего выполнять: вода и квадратики красивые со стрелочками.)

А вот в корпоративном секторе распространенный вариант – это стандарт в роли входного билета. Некий набор обязательных действий, чтобы войти в какой-то клуб. Как в примере с платежными системами. Но это же не выбор организации, она бы с удовольствием не покупала этот билет, если бы можно было не покупать. Потому что в нем нет конкурентного преимущества, когда это у всех, кто продает однотипные с тобой продукты или услуги.
Или встречается стандарт как недостающее обоснование, когда ИБ не смогло убедить руководство через риски, и поэтому аппелирует к какому-то стандарту – но это же подмена целей стандарта опять-таки.
Стандарт, по сути своей – это механизм преодоления проблемы разнообразия: "под одну гребенку", "как инкубаторские" и т.п. Кому это нужно, разве кто-то любит быть одинаковым? Вот он и нужен не тому, в отношении кого его применяют, а тому, кто применяет. Не когда оно на тебя сверху, а когда ты его вниз. Это очень удобно управлять однотипным. Поэтому в организации пишем стандарт (или заимствуем готовый) и по нему строим в шеренги то, что под нами - маршрутизаторы, домены, филиалы.
Плюс легче взаимодействовать с партнерами, когда общая система терминов, форматы обмена (инцидентами, например). Но есть загвоздка: стандартов-то слишком много. Если один придерживается 53647, а другой 34-ой серии ГОСТ, поговорить им будет нечем – там только буквы алфавита совпадают.

И, конечно, вузовский стандарт на подготовку по специальности – есть такая тема. Но там большой подводный камень: сначала нужно решить, потребность в образованных или в обученных. Узкие знания сейчас устаревают очень быстро – может и не должны в ВУЗах давать, что на работе за месяц дадут.

В общем, сколько я перебирал – нашел добровольное применение только внутренним стандартам и на взаимодействие. А принудить нас сами принудят.

И бонус для тех, кто все это слышал – чуть другой вариант ответа про 27001.
Пришел молодой адепт к гуру: "Можешь научить меня воспламенять бумагу одним взглядом?". "Могу, но это довольно сложная практика: там 5 лет в позе лотоса, 60000 повторений мантры и все такое". "Я готов, учитель, начинай же скорее!". "Ну, хорошо. Но дурак ты - спички же существуют".
27001 – настолько хороший стандарт, что достоинств больше, чем недостатков. Но эффекты, которые наступят, можно получить и без него.

Про сильвер булет

noreply@blogger.com (Ригель) — Thu, 26 Sep 2013 08:15:00 +0000

Шел солдат, назовем его условно не Родион, а у старушки пожрать типа нечего. Он давай топор варить, раз не Родион. Варит-варит, потом весь такой хопа: "Жалко, что подсолить нечем". Она: "Ну, соль-то у меня есть чутка – подсоли". Варит-варит, попробовал и опять: "Крупы бы сюда еще тоже подбросить". Нашла и крупы, чё – бабка на измене реально, любопытная. Ну, он еще поварил и говорит: "Все, ща жрать будем – бери хлеб, ложку, да маслом заправить не худо". Сели, едят – клевая каша, фигли там – моментом один топор остался. Бабанька интересуется: "А его мы есть не будем, что-ль?". "Да ты че, его за один раз не сварить!".

Вот по этой примерно схеме и внедряют средства предотвращения утечек: обследование, выявление информации, подлежащей защите, потом перечень ее, потом регламент обращения разработать, потом схему ИТ-инфраструктуры нарисовать и проанализировать, зонировать, лишние шары убить, научиться инсталлятор через групповые политики накатывать... Смотришь – вот уже и целительный эффект.

Ничего при этом не хочу сказать плохого о самих DLP-продуктах: наверняка вкусные, если суметь доварить.

Но более простого пути нет. В т.ч. и универсальная ИБ-шная отмазка не работает, которая что все получится, если его на самом верху спроектируют.

О, это я тут на DLP-Russia видел – т.н. "люди от бизнеса" вещали. Можете представить, чтобы на конгрессе нейрохирургов трибуна пациентам принадлежала? Нетрудно догадаться, они думают, что лечить больного надо по указаниям больного, благо как это делать ему довольно ясно. Царская дорога в математике, ага.

Вообще, справедливости ради, были там попытки и других назначить – кадры, скажем, или автоматизаторов. Ну, смешно, ребят! Автоматизаторы цементируют стихийно сложившиеся бизнес-процессы, неправильно сложились - неправильно и цементируют, так что с них тоже тот еще спрос. Кстати, не было ведь еще никаких автоматизаторов, когда разграничение доступа и предотвращение утечек на чистых оргмерах строились, и ведь строились.

В общем, если уж очень хочется именно короткую волшебную формулу, то вот она, пожалуй: создание в организации системы предотвращения утечек с опорой на единственный источник данных возможно, если им является процессно-функциональная модель управления. Да только разве ж есть они у кого.

Когда меньше это больше

noreply@blogger.com (Ригель) — Thu, 15 Aug 2013 07:10:00 +0000

А что это у нас граф Ригель опять ничего не пишет – непорядок.

Недавно спорил с румынским юристом на почве трансграничной сюда передачи (кстати, выиграл, т.к. по опыту других базированных на Евроконвенции актов знал, что тыкаемый мне пункт не самодостаточен, а должен иметь сателлит примерно там-то) и что снова отметил.

Отечественный закон "О персональных данных" обхода согласия не предусматривает: если этим или другим законом Вам некое право не дадено, и субъект такого согласия тоже не дал, то дырку от бублика Вы получите, а не Володьку Шарапова.

Когда это проблема? Когда субъект появляется редко, хаотично или вообще исчез, как все отличные от работников любят делать.

Продали людям акции или услугу LTE – договор продолжает действовать, обработка продолжается. Исполнили обращение гражданки или заявку на проход посетителя – данные продолжают какое-то время храниться, т.к. мало ли что потом вылезет, разбирательство какое. И тут вдруг банкротится страшно Ваш поставщик IT-услуг, не выдержав, скажем, мук совести и волн народного негодования, вызванных к жизни новыми разоблачениями неудовлетворенного Чапмэн Сноудена. И что – поручение обработки другому лицу как выполнить? С уведомлениями-то проще всегда выкрутиться, его куда-нибудь выслал или где-нибудь вывесил, а фидбек получать и необязательно, но тут-то согласие.

А решение ведь простое: уполномоченный орган по правам субъектов должен мочь за них разрешать, раз он вроде как от их имени.

Казалось бы, это ухудшает положение субъектов, поскольку теперь какие-то люди в каком-то РосГосКомПром, наверняка, кстати, из Единой России, могут вместо меня... Но в действительности это куда меньшее зло, т.к. в противном случае у оператора нет другого выхода, как в момент получения персональных данных брать сразу согласие на привлечение к обработке абсолютно любых третьих лиц. Вот так.

Кто хотел почитать про ортодоксальную информационную безопасность, т.е. защиту не от любых угроз, связанных с обработкой информации, а только от реализующихся в информационных системах, тому придется немного потрудиться и самостоятельно найти аналогичные примеры, когда меньше безопасности – это больше безопасности. Они есть.

Ван шот

noreply@blogger.com (Ригель) — Thu, 23 May 2013 17:30:00 +0000

Аллюзия на

Кэмел-анализ

noreply@blogger.com (Ригель) — Tue, 14 May 2013 14:29:00 +0000

Что скорость группы равна скорости самого медленного элемента не всегда, а лишь в том случае, если та не разделяется, обычно опускают, т.к. само собой подразумевается, что командир/пастух/караванщик имеет приоритет ее целостности. И когда эту аналогию переносят на комплекс средств защиты, про исключение людям не говорят. А зря, ибо и защищенность системы равна защищенности самого слабого звена не всегда.
По-простому: в дом два входа, его устойчивость к проникновению (через дверной проем) определяется более слабой дверью. А теперь эти же двери стоят на вход последовательно – устойчивость суммируйте. И еще чуток накидывайте за отсутствие знаний об устройстве второй до вскрытия первой.
Так что всем известная эшелонированная (она же многоуровневая) защита – прекрасная иллюстрация ограниченности закона медленного солдата/барана/верблюда.

А является ли двухфакторная защита одновременно и двухуровневой? Не автоматически.

Поразительный пример Тинькова-Мегафона - поразительный пример тому. Опуская подробности, управление клиента своим счетом через интернет-банк «прикрывалось» обратным взаимодействием с ним по СМС на мобильный номер - казалось бы, для успеха нужно ломать обе двери, однако нет.
Тиньковцы, изначально ориентированные на исключение очного контакта с клиентом и тем экономящие на персонале/офисах, предусмотрели сброс забытого пароля по СМС. А опсос предусмотрел отправку СМС не только с телефона, но и через портал. Итого: слабый пароль к личному кабинету абонента – настройка переадресации входящих СМС и отправка СМС на смену пароля от интернет-банка – заход в интернет-банк – перевод средств, не обнаруживаемый вкладчиком оперативно.
Взаимонеувязанные действия банка и опсоса разместили за одной дверью ключ от другой – и тогда это не двойные двери, а случай имени верблюда.

Ничего на жаре не упустил?

Третий фальстарт – отмена забега

noreply@blogger.com (Ригель) — Fri, 26 Apr 2013 07:02:00 +0000

Долго ли коротко, а сподобился однажды старик Минобраз призвать к себе семнадцать нобелевских лауреатов по физике, чтобы те совместными усилиями наваляли задачник для 6го класса. Вот как-то примерно так, только не Минобраз и не по физике. Один был корифеем межсетевого экранирования, второй монстром виртуализации, третий знал NISTы так, что мог выдавать тезисы за собственные, и так далее. Короче, даже и те области, которые ничей не конек, все вместе тащили на хороший академический уровень.

А проблема была в другом – два предыдущих задачника были слишком заумными.

Ведь операторам персональных данных надо что: чтобы требования по защите персональных данных нельзя было неправильно понять. Потому что когда все-таки случается утечка, отвечает за нее оператор, и он должен мочь доказать, что невиновен, т.к. все необходимые по закону меры принял. А прежде ему их надо принять, ясное дело.

Именно непонимание среднестатистического админа/кадровика, что делать-то, а вовсе не неспособность найти три рубля на сертифицированное СЗИ от НСД, сорвала выполнение предыдущих двух задачников (т.н. четверокнижия и 58-го). Народ просто сидел и ждал, когда из чьей-то чужой практики прояснится, что государство сказать хотело. И когда у кого-то модель угроз списать можно будет.

Почему админы/кадровики, ведь российские вузы выпускают специалистов по защите информации? Во-первых, где они есть? У нас 7 миллионов операторов, включая парикмахерские, фермерские хозяйства и кружки любителей пуэра. В подавляющем большинстве случаев читатель требований – не специалист по защите информации. Во-вторых, специалист там тоже ногу сломит. Слушайте, я видел. Самые избалованные и требовательные заказчики приглашали самых дорогих интеграторов, набитых сплошными дипломированными специалистами по защите информации, и им писалась шняга. Я видел эти материалы во множестве, они не правильные, они в лучшем случае правдоподобные – понимаете разницу? В-третьих, программа подготовки специалистов половину областей требований не содержит, имеет явный уклон и даже терминологию юзает отличную. В-общем, при таких РД обеих федеральных служб я бы не делал большой разницы, получил ли читатель профессиональную подготовку, и как давно, а сразу ориентировался на двоечника.

Писать надо было проще. Теперь, когда уже все написано, вытащить ситуацию можно только большой разъяснительной работой. Надо спускаться на уровень чайника, господа корифеи, а не доказывать коллегам, что вы корифеи.