Ригельз дыбр

Существует риск

noreply@blogger.com (Ригель) — Mon, 23 Jan 2012 08:44:00 +0000

Примерно в половине случаев идиоты-начальники, спуская безопасника с лестницы, безраздельно и неосторожно неправы. А в половине этой половины они его просто не так поняли. Но он, правда, и сам недостаточно постарался выразиться.
Нам, однако, интересна не первая половина, и не вторая, которая первая половина первой, и даже не третья половина, которая вторая половина первой, а вторая первая половина.

Среди тех случаев, когда спуск с лестницы глубоко и бесспорно заслужен, к явным лидерам относится использование потерпевшим аргумента "потому что существует риск". Ибо обосновывать что-либо сообщением, что вероятность некоторого события с ненулевым ущербом отлична от нуля, способен либо идиот, либо мошенник.

Представьте, звонит врач из прогимназии и говорит: "У Вашего ребенка температура, нужно подавать Суперантитемпературин". Ведь возникают же вопросы:
а) насколько она отлична от нормальной - на плюс 4 или на минус 0.1?
б) насколько она изменится после приема Суперантитемпературина?
Потому что, например, если температура повышена на 0.3, то переживем, пусть Суперантитемпературин еще попылится. А если повышена на 5, и он снимет 0.5, так тоже на фиг его, только время терять. Во.

Поэтому когда безопасник приходит с фразой "Необходимо внедрить средство защиты от утечек, т.к. есть опасность утечки", у него есть несколько минут, чтобы обозначить три цифры. Одну он знает – это стоимость, две другие можно назвать даже в каких-нибудь попугаях, но... Начальство ждет, тянет время, а потом: "Курить-то не бросил? Ну, все равно давай до лестницы прогуляемся".

"Не повезло с начальником", - думает безопасник, потирая ушибленное место. Да нет, ребят, просто когда вы говорите, что существует риск, и больше ничего не говорите, риск действительно существует.

Вундервульф

noreply@blogger.com (Ригель) — Thu, 29 Dec 2011 02:50:00 +0000

В "Криминальном чтиве" есть такой персонаж – мистер Вульф, которого Марселас посылает выручать Винса и Джулса в ситуации с Бонни. Джулс не верит своим ушам – дали самого Вульфа! Тот разруливает их проблему, и двое бывших крутых в строгих костюмах, уподобленные теперь пляжным бездельникам, выражают ему свое неподдельное восхищение.
А ведь он, казалось бы, не сделал ничего невозможного, чего ребята принципиально не могли бы: выяснил то, что у нас называют RTO, стрельнул у Джимми тряпки и моющие средства, да расплатился машиной за утилизацию содержимого багажника. Ну, наверно, им самим аргумент для Джимми пришлось бы найти какой-то другой (посул, дружба, угроза), но схема все-таки совершенно посильная. И да, в довершение еще отказался их обратно подбросить в таком позорном прикиде.
За что же его благодарят? Он принимал решения, когда нужно было именно принимать решения. В этом его дорогостоящий талант.

Идеально, если в Вашей организации на роли руководителя группы реагирования на инциденты окажется мистер Вульф. Но идеальные случаи в этом блоге не рассматриваются – я не настолько отъявленный консультант, поэтому Вульфа у вас не будет или будет, но очень маленький. Чаще всего не из-за отсутствия подходящего человека (в среднего размера фирме подходящих - десяток, пусть и без харизмы Харви Кейтеля), а из-за неделегирования ему полномочий босса - руководство не может выпустить из рук власть, оно привыкло к сложившейся системе принятия решений, не зря так долго ее выстраивало.

В случае инцидента (в значении, используемом ИБ/НБ, а не ИТ) штатная система принятия решений обычно не работает. Нижнее звено не может принять решение, оно не в его компетенции: нет таких полномочий, нет менеджерского опыта подняться над ситуацией и увидеть более бизнесовый ход, нет согласия с другими подразделениями - оно так и будет до упора пытаться починить что поломалось. И сигналить вверх по иерархии. А время уходит: еще полчаса и клиент нас засудит потом.
Зачастую даже и выбора нет – решение возможно только одно, но оно в этой фирме только с санкции директора, а он сейчас в Альпах и, видимо, труба не ловит, или в парилку с собой не взял, или необычно крепко спит. Потом удалось наконец через жену передать, но только в общих чертах, что сама уловила, поэтому теперь уже он будет пробиваться вниз за подробностями, нужными для принятия решения.

Если своего Вульфа Вы не создали, то выход – это заранее составленные аварийные планы с условием активации (при пожаре, при невозможности отключить питание, при отсутствии связи с центром в течение получаса и т.п.) и подписью лица, полномочного на соответствующее решение.
И даже если Вульф у Вас есть, Вам все равно не помешают аварийные планы.
Начинающиеся со слов "если через 10 минут не приехал мистер Вульф".

Контрольный в голову

noreply@blogger.com (Ригель) — Wed, 07 Dec 2011 02:50:00 +0000

Куплено три зажигалки:
образец 1 – Zippo;
образец 2 – Cricket (если читателю лучше знаком BiC – пусть будет BiC);
образец 3 – китайская "стекляшка" noname.
Вопрос: что из этого качественная зажигалка?
Опрос не провожу.
Правильный ответ: мы не знаем. В задаче недостаточно данных для ответа.

И вовсе не потому, что нет сведений об исправности – допустим, что все три новенькие и рабочие. А просто качество зажигалки не определяется свойствами зажигалки. Поэтому будет ошибкой сказать, что качественна та, в которой дороже материалы, или та, которая дольше прослужит. Трехгодовалый ребенок с обалденным ответом "Красная!" ничуть не дальше от истины, между прочим.

Качество – это степень соответствия требованиям. Не свойства зажигалки, а разница между ними и неизвестными нам требованиями не указанного в задаче лица.

Пусть это производитель. И пусть производитель Zippo хотел создать свежий инновационный продукт, который вернет молодежную аудиторию, Cricket требовалось сохранить свои 2500 вспышек при одновременном понижении себестоимости на 2 цента, а китайское изделие должно работать у среднего курильщика месяц и вдвое отстоять по цене от брендов вроде Cricket, иначе не купят. Чей продукт справился с задачей? Наверно, последние два справились. А чей лучше справился? Так нельзя ответить, ибо задачи разные.
А если требования смотреть потребительские? У одного они студенческие: как можно больше прикуриваний на рубль. Другой – трубочник, ему только газ и большая высота пламени. У третьего тремор, зажигалка должна гаснуть при падении. Четвертому подай максимальную прочность корпуса при открывании пива, пятому ремонтопригодность в условиях техасской степи, шестому нужна зажигалка под костюм, среди названных моделей их нет.
А если для продавца оценивать? У него, скорее всего, качественная определяется через спрос, маржу, процент возврата и что-нибудь неожиданное типа штабелируемости и крепости коробок.

Стоят три сервера, какой безопасен? Правильный ответ: смотря для кого, смотря какие угрозы тому страшны. Имея в руках отчет об оценке рисков, можно что-то еще сказать, а так – нет. "Гоги, ты помидоры любишь?".

Снова о главном

noreply@blogger.com (Ригель) — Thu, 24 Nov 2011 09:07:00 +0000

Сколько существует этот блог, столько в нем повторяется тема ИБ!=ЗИ. Буду считать, что периодически облекаю ее в новые краски.

Позапритча.
Хотя старое название стоматолога – дантист ("зубник"), задача стоматологии не в том, чтобы помогать зубам. Она в том, чтобы помогать пациентам. В проблемах, связанных с зубами. Во-первых, это ведь не всегда сохранение/восстановление свойств собственно зубов – лечить могут десну или прикус. Но главное: зубу могут сделать и хуже – его могут подпилить, лишить нерва, вообще удалить. Для того чтобы пациенту стало лучше – отпустила боль, не пошла киста, остеомиелит, восстановился прикус опять же. Стоматология – это медицина в интересах пациента, а не зубов. У зубов их тупо нет.

Притча.
Безопасное транспортное средство (дальше подразумеваю автомобиль, его пример мне ближе) – это не защищенное транспортное средство, а защищающее – безопасное для кого-то или чего-то. Это и шкурные интересы собственника, страдающие при угоне, поломках, повреждениях; и собственников того имущества, в которых это имущество въехало; и жизнь-здоровье водителя/пассажиров этого ТС; и водителя/пассажиров встречных ТС; и пешеходов; и мера ответственности водителя, зависящая от ущерба, причиненного жизни, здоровью, имуществу; и чистота легких горожан еще сюда ж.
Только в одном случае (в первом) чем целее автомобиль, тем целее интересы соответствующего субъекта, в остальных его защищенность для безопасности субъектов не важна. А порой и наоборот: он должен как можно больше пострадать сам, чтобы как можно меньше навредить.

Тча.
Если стоматолог сосредоточится на зубах, ему скоро станет некого лечить. А производителю автомобилей, максимально сохраняющих самое себя, скоро станет некому их продавать. От того, что этот бред, будто информационная безопасность должна защищать информацию или какие-то ее свойства, написан на первых страницах современных учебников, он не перестает быть бредом. Это временно: просто пострадавших от идиотов-ИБшников пока меньше, чем от идиотов-врачей.

Затча.
Перестаньте читать (и писать) эти чертовы книжки, займитесь оценкой рисков в реальности. На третий или пятый раз Вы заметите, что рассматриваете ущербы не самим цифрам, программам или устройствам, а кому-то. На тридцать пятый Вы задумаетесь, а на сто тридцать пятый сформулируете то же, что здесь написано. Но, вероятно, в других словах и выражениях.

Послезатча.
Из вредности и чтобы два раза не вставать. Самый худший случай – это сфокусированный ИБшник. "Я – герой: каждый день хожу на работу и навариваю там на бампер всё новые и новые стальные листы!". Вот лучше бы он ничего не делал. Для безопасности лучше. Безопасности людей. Но он-то автомобиль защищает. Который уйдет с траектории, и пешеходов похоронят, а водителя посадят, а детей в интернат. А могли жить. А автомобилю хоть бы фиг.

Triple predictable threat

noreply@blogger.com (Ригель) — Thu, 10 Nov 2011 02:02:00 +0000

В английском слов больше, ибо соответствующий супостат что-то новое и называл по-новому, а не искал подходящее слово меж имеющихся. Поэтому у них key, spring и wrench, а у нас ключ, ключ и ключ, чтоб никто не догадался.

Американцы дальше пошли - определяют новое в известных терминах и преобразуют определение в аббревиатуру. Кабы англичане в свое время не подсуетились, инструмент для закручивания болтов звался бы сейчас T.F.M.B.S. (tool for a manual bolt screwing), уж будьте уверены. Порой, кстати, эта тяга к аббревиатурам побуждает их махинировать - добавляют в определение лишние слова, чтобы аббревиатура была весомее, или даже портят его, подгоняя под лже-бэкроним (типа S.M.A.R.T., K.I.S.S. и т.д.), ну да ладно.

Угрозы, связанные с проверками соответствия гостребованиям по обработке персданных, необычны.

Во-первых, проверяющие трудятся не покладая рук, пока не найдут у проверяемого три нарушения, а найдя, теряют всякий интерес. По видимому, количество нарушений не является важным отчетным показателем, а заветная формула какая-то такая: «за период проведено N проверок, по результатам которых выдано M предписаний», и чем больше N - тем лучше, а насколько М больше N - не принципиально, лишь бы не меньше. Ну, тогда действительно - зачем зря перетруждаться.
Поэтому и одного нарушения хватило бы, но ненадежно: вдруг проверяемый как-то вывернется, или проверяющие ошиблись, два - уже лучше, три - верняк. Да и проверяемый на третьем сникает - лапки кверху, спорить расхотелось. Вдобавок, это такое число, что можно и о множественных отрапортовать, если повезет, что, конечно, всегда смотрится. Разумеется, три - это в среднем: в каком-то случае могут и пять набабахать, если оно уж прям вот так само сразу подвернулось, а то и не солоно хлебавши уйти.
Этим можно пользоваться. Например, так: помогаете проверяющим найти несколько легко устранимых нарушений - они пишут их в протокол, Вы его подписываете и до конца срока проверки госинспекторов больше не видите. По истечении они присылают акт проверки и просят подписать его тоже, а Вы демонстрируете, что нарушения устранены. И вот тут им некуда деваться: проверку не продлишь, приходится вместо выдачи предписаний указывать в акте, что все устранено в ходе проверки.

Во-вторых, процесс поиска нарушений управляемый. Я не в плохом смысле, а о том, что Вы посредничаете, проксируете, и можно что-то специально показать (о чем я только что написал), а можно и что-то исправить на лету. Дело в том, что когда Вы что-то обязаны проверяющим предоставить, то не обязаны сделать это мгновенно. «И список помещений, в которых обрабатываются персданные или хранятся носители таковых», - говорит проверяющий, болтая под столом ногой, обутой в немодный, но добротный ботинок. «Был такой, найдем!» - отвечает представитель оператора, заулыбавшись вдруг без особой к тому причины. На следующий день - а вот. Еще тепленький, но по дате этого не скажешь.

В-третьих, они предупреждают о визите. Что опять же позволяет что-то резко успеть или хотя бы привлечь на сопровождение проверки хорошего спеца или фирму. В других проверяемых областях есть такие, почему бы и тут не быть.

Наконец, проверяющих органов три, госинспекторы традиционно ходят тоже по три, обедают час, домой любят попадать в семь, и вообще можете сами продолжать, что мы о них знаем.

Вот и скажите, похоже ли это на какую либо другую угрозу. Представьте, что цунами приходит в заранее оговоренное время, пожирает три объекта, которые ему укажут, и сваливает. Или что DDoS с 18:00 до 09:00 прерывается, чтобы Вы перегруппировку сил произвели.

Поэтому можно ее выделять в отдельный класс, который американцы назвали бы TPT, т.е. triple predictable threat, а у нас пусть опять будет ключ, чтобы опять никто не догадался.
Что за ключ, к чему ключ - фиг его знает.

Годные литераторы из НИИ "СОКБ"

noreply@blogger.com (Ригель) — Tue, 25 Oct 2011 07:14:00 +0000

За чаем взялся почитать проект ГОСТ Р ИСО/МЭК 27003, ссылка на который мелькнула в твиттере Алексея Лукацкого.

Цели внедрения СМИБ можно определить, ответив на следующие вопросы:
как может СМИБ улучшить управление рисками информационной безопасности?

как может СМИБ улучшить управление информационной безопасностью?

как может СМИБ создать конкурентные преимущества для организации?

Чтобы ответить на эти вопросы, необходимо рассмотреть приоритеты и требования организации на основе следующих факторов:
...

законы, делающие обаятельным принятие мер информационной безопасности

Знаю пару законов, касающихся информационной безопасности, и оба делают принятие мер именно таким.

О русском фатализме

noreply@blogger.com (Ригель) — Thu, 20 Oct 2011 01:39:00 +0000

Устроено это так: приемлются все риски, кроме максимального, а он признается необрабатываемым.
Т.е. каковы бы ни были последствия и вероятность реализации некоторой угрозы, о ней не стоит беспокоиться, если существует угроза с бо́льшими последствиями и/или вероятностью.

Такое оценивание риска в сравнении с другим риском, а не в сравнении с отсутствием риска - это серьезная бага, а не забавный колорит. Но архетипичная, безусловно.

На примерах.
Да какой смысл складывать зеркала, раз все равно могут угнать!
Если угона не случится, целое зеркало имеет преимущества перед оторванным
Зачем же учить алгебру, если человек не вечен!
Последствия знания/незнания ближе.
А нужно ли запирать квартиру, ведь правительство все равно ограбит!
Правительство не намусорит.
Стоит ли вставлять дисклаймер, который не способен остановить злоумышленника!
Остановленные неумышленники - это тоже предотвращенные ущербы.
Нужно ли выявлять экстремистскую деятельность в Интернете, покуда у экстремистов есть другие каналы координации!
Что-то лучше, чем ничего.
Ну, на кой рассматривать угрозы прикладным программам и системному ПО, если угрозы безопасности ПДн более жизненны!
Неактуальность угроз ППО/СПО устанавливается из их рассмотрения, а не из рассмотрения угроз БПДн.

И еще.
Оценивая риски, отличные от пушного зверька, по отношению к пушному зверьку, Вы их неминуемо занизите, это известный эффект.

Красота

noreply@blogger.com (Ригель) — Thu, 06 Oct 2011 06:26:00 +0000

У нас как возьмутся переносить на родную почву лучшие иноземные практики, так сразу все. Не было ни гроша, и вдруг алтын. Сейчас вон прайвеси в Гражданский Кодекс вписывают - статья 1522, неприкосновенность информации о частной жизни. Ну, круто, чё. Конституция и УК давно упоминают.

Информация о частной жизни шире персональных данных, включает в себя персональные данные среди еще до фига чего. А персональные данные включают любую относящуюся к субъекту информацию, значит и о его частной жизни. Вот так.

Практическое применение теории нечетких множеств вообще нечасто встречается, но чтоб в такой области – это просто повод для национальной гордости, немногие могут себе позволить. Неспроста претендуем на звание мирового инновационного центра.

Народ, правда, немножко жалко – мозги сломают. Но такая красота того стоит, я считаю. Красота, она ведь всегда требует.

Чикагцы от персданных

noreply@blogger.com (Ригель) — Wed, 28 Sep 2011 02:20:00 +0000

Хоть ИБшники и не производят впечатления нормальных людей, но тоже делятся на два типа. Некоторые не нацело, но это дела не меняет.

Интроверты и экстраверты, либералы и консерваторы, славянофилы и западники, а также умные и красивые остроконечники и тупоконечники по любви и по расчету великодушно подтверждают, что стоит где-нибудь завестись людям, как они найдут повод поделиться на два типа.

Традиционные ИБшники vs латентные ЗИшники, а также организаторы vs технари еще
будут в другие разы, а в этот кейнсианцы vs чикагская школа.

Это такая параллель с политэкономией. Там есть точка зрения, что экономику надо регулировать, а есть - отпустить, и она самоотрегулируется. Что однозначно лучше, человечество до сих пор не поняло: на счету обоих вариантов успехов и провалов примерно поровну.

Когда правительство N в сфере Y выбирает путь прямого регулирования, никто не говорит, что оно охренело. И будь выбор сделан в пользу свободного рынка, тоже не скажут. Потому что оба имеют право на существование, свои плюсы и минусы.

Когда требования по защите персданных устанавливаются государственно-монополистическим регулированием, а не умозаключаются операторами из желания выплачивать ущербы и штрафы – это не повод утверждать, что все пропало. Это вариант нормы.
Основания для него у государства точно такие же как в случаях с лекарствами, зерном или алкогольной продукцией, а право... ну, тут уж просто не стоит заблуждаться: государство преследует интересы государства, субъектские опосредованно

Поэтому марширующие несогласные мне непонятны. Сомнения понятны были бы, а горячее и категоричное неприятие - нет. Два года назад я ассоциировал их с правозащитниками, теперь вот дошли руки до объяснения.

Враг хорошего

noreply@blogger.com (Ригель) — Tue, 30 Aug 2011 02:57:00 +0000

В той арабеске я писал, что политика ИБ обязательно обманет ожидания, и почему. Однако, малоэффективная лучше никакой, так что иметь надо.

В отечественных правилах пользования метрополитенами есть забавное требование: в ожидании поезда распределяйся по платформе равномерно. Равномерно - это одинаковое количество пассажирского вещества в каждой точке платформы. Видимо, пассажиры для автора – масса: были бы единицами, написал бы "периодично". Или глуп.

Политику ИБ более всего портит равномерность.

Политика (если это именно политика, а не какой-то другой документ) должна содержать отношение руководства к тому и иному объекту защиты, той и иной группе угроз, той и иной стратегии обработки рисков... Предпочтения, относительные веса́ – вот что составляет ее главную ценность. Политика – это документ, в содержании которого присутствие руководства максимально. Нижерасположенные документы оно уже может "подмахивать" или кому-то делегировать их утверждение, а в политике должно присутствовать.
Политика должна говорить, например, что тайна бизнес-партнеров для организации дороже, чем ПДн клиентов. Что трафик не так жалко, как репутацию. Что перенос предпочтительнее снижения. Что А запрещено жестко, а Б не приветствуется. Что Иванов командует, а Петров только снаряды подносит.
"Говорить" – не совсем верное слово: это должно из нее следовать. Если что-то забыли, а чему-то уделили внимание аж два раза - это тоже подсказка, вес, ранжир.

К сожалению, безопасник делает политику ИБ техничной, гладенькой.
Даже если руководство действительно дало в нее какой-то живой акцент, то он восполняет пробелы, выравнивает.
И убивает.

Убитость политики пропорциональна профессионализму: хотите совершенно без страсти, плоскую, пригодную для вечного висения в рамочке – обратитесь к крутым консультантам.

Последний вывод. Если хорошая политика – это кривая политика, то не стоит тырить чужие или выменивать на коньяк. Это ведь очевидно теперь?

Продолжение запланировано.

О пользе зла

noreply@blogger.com (Ригель) — Thu, 18 Aug 2011 09:10:00 +0000

Помимо передачи пользователю контента (явной и неявной), телек выполняет еще одну функцию - отвлекает его от осмысления и/или решения реально существующих проблем. Вообще это не прерогатива именно эфирного телевещания: ровно по этой же причине в Советской империи печатали книги, в Римской строили цирки, а мои родаки не спешили покупать чаду магнитофон.

Куда я клоню.

В офисной среде есть развлекалочки: серфинг, чатинг, пиринг, гейминг и иже.
Обычно безопасник видит в них только информационную, контентную составляющую – работники могут слить что-то хорошее или подцепить что-то плохое, и начинает автоматически бороться со злом. Ну и да, он еще, как правило, реагирует на отъедание полезных ресурсов, но это опять же первая составляющая им воспринимается, сам сигнал.
А есть и вторая сторона. И благодаря ей искоренение зла может не оказаться добром: на освободившееся место только придет большее зло.
Поэтому лучше не искоренять, а уменьшать опасность (в идеале – до приемлемой, но уж как получится) и тем ограничиваться.

Примеры.
За загрузкой работников очень сложно уследить, отловив, когда иной из них закончил задание N, но не впрягся в N+1. Так пусть он лучше посмотрит хауса на тытюбике или приколы почитает, чем с бывшими однокашниками пойдет в кафешке общаться – те-то ни своего работодателя не прорекламируют, ни про текущие проекты не расспросят.
И в ситуации, когда компания в кризисе, работы мало, и лояльность ниже плинтуса, лучше пусть люди гамают сидят, чем выход ищут. Потому что кризисы кончаются, а следующих работников будешь за следующие деньги брать, плюс проверять их надо, плюс заново учить...

Задача не уничтожить, а обезвредить.
Утечки ловим, вредоносы ловим, кран не закрываем. Осознанно боремся не с причиной, а следствиями.

Досужее

noreply@blogger.com (Ригель) — Tue, 09 Aug 2011 15:31:00 +0000

Покойный Гоголь беспокоился о России в Италии, Тургенев – в Германии, Бунин – во Франции, ~~что-то и мне нездоровится~~ так что и я опять позволил себе.

И вот, просматривая ИБ-Рунет за ресторанным столиком на полупядевом дисплее через невесть откуда приключившуюся точку доступа и не будучи в достаточном всеоружии, чтобы привычно оборотиться в спорщика, внезапно вдруг поражаешься, каким он, оказывается, стал не просто живым, а бойко фонтанирующим искрящимся контентом.

И приход в онлайн Емельянникова и не окопавшего пока постоянный плацдарм, но прочно уже объявившегося Вихорева не случайны сейчас, но признак и следствие наступившей состоятельности нашей блогосферы во взрослом своем статусе.

Решительно невозможно при открытии сего не предаться блаженной мысли, что кое-кому скоро можно будет не притворяться долее умным, а переключиться уже на музыку и хавчик.

Back in the U.S.S.R.

noreply@blogger.com (Ригель) — Thu, 21 Jul 2011 02:05:00 +0000

Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:
- осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

ФЗ-152-NG

Теория разделения властей - буржуазная политико-правовая доктрина, согласно которой власть понимается не как единое целое, а как совокупность различных властных функций, осуществляемых независимыми друг от друга государственными органами.
Марксистско-ленинская теория отвергает теорию разделения властей как игнорирующую классовую природу.

БСЭ

You don't know how lucky you are, boys.

Чвак

noreply@blogger.com (Ригель) — Mon, 18 Jul 2011 15:13:00 +0000

Просил не отсылать в Минкомсвязь - не отослали.

Где снег башка попадет

noreply@blogger.com (Ригель) — Wed, 13 Jul 2011 02:04:00 +0000

В свете истории с запросом силовиками у Яндекса тайны жертвователей Роспила любопытно обсудить одну известную империю добра.

Провайдер облачных услуг заявляет открытым текстом, что сольет Вашу информацию американским спецслужбам без Вашего ведома, если те попросят.
Он обещает поинтересоваться, можно ли Вам сообщить, но шансы малы - антитеррористические мероприятия все-таки.

Как это?
Да элементарно: данные вдруг на какое-то время окажутся в той части облака, где у их кровавой аэнбни читательский абонемент.

Но почему?
Потому что буржуин будет стоять перед дилеммой: нарушать закон той страны, где заключали договор (у нас 149-ФЗ, 152-ФЗ, 98-ФЗ и т.п. - смотря что за сведения), передав без согласия обладателя, или игнорировать PATRIOT Act, пособничая предполагаемым террористам.
Дальше простой анализ рисков, не воспроизводимый за очевидностью.

Что примечательно, в свое оправдание и наше утешение провайдер сообщает, что так же разумно поступит любая корпорация с головным офисом в США: Adobe, Apple, Cisco, Dell, Google, HP, IBM, Intel, Oracle, Yahoo.

Вот такие вот дела - покупайте их облака, самые облакатые облака.

Так что если работодатель или заказчик - крупный бизнес с амбициозными зарубежными проектами, есть смысл задуматься: родное государство в ваших байтах копаться не станет - оно и так его за все веревочки держит, раз вырос в крупный бизнес с амбициозными зарубежными проектами, а вот интерес заморских псов режима весьма вероятен, когда национальные интересы с национальными интересами столкнутся.

Еще офшор рулит, да.
Ни у кого нет на примете хорошенького облачка на Маврикии?

"А я один стою меж них"

noreply@blogger.com (Ригель) — Sun, 10 Jul 2011 06:03:00 +0000

Виртуальная клава смартфона недостаточно хороша, чтобы поговорить везде со всеми, оттого здесь.

При всей благости намерений пламенная петиция действительно основывала свою патетику на аргументах, небрежно изложенных.
Потому их критика была просто вопросом времени, и не стоит так уж нападать на записи в паспорте и трудовой у того, кто первый вчитался.

Наивность как критерий

noreply@blogger.com (Ригель) — Tue, 05 Jul 2011 05:52:00 +0000

И опять 282499-5.

Пытаешься кого-то опознать по фотографии размером один пиксель, вмятине от головы на подушке или словесному описанию походки - только с письменного согласия на обработку биометрических, а нет – обрабатывай как простые ПДн хоть дактилоскопические карты. Фигась.

Как жить

noreply@blogger.com (Ригель) — Fri, 01 Jul 2011 02:39:00 +0000

Ну, давайте до кучи и я напишу о 282499-5 в редакции от 29.06.2011.

В части 3 статьи 19 читаем: "Правительство в зависимости от вида деятельности, при котором обрабатываются ПДн, устанавливает уровни и требования", для которых затем все ФСТЭКовские и ФСБшные прелести.

Вспоминаем наличие таковых постановлений о том, что у нас в уставе написано, и не отравляем себе пятницу, лето, молодость.

Десять ключей к сертификации по ISO 27001

noreply@blogger.com (Ригель) — Wed, 29 Jun 2011 02:06:00 +0000

Раз практикой ИБ называют перепечатку книг, практические советы давать как-то неловко. Пусть будут ключи.

1. Если есть возможность, читайте стандарт в оригинале. Кто не знает старый одесский анекдот про Карузо, тот гуглит и знает.

2. Не перегружайте себя информацией - достаточно самих 27тыщ, это и так нехилый объем (и к ним потом 19011, и еще пару раз отправят подглядеть в 18044 и 13335). Чем больше будет вроде бы родственных источников, тем больше все будет только запутываться.

3. Если многократное перечитывание пункта не дает понимания, поищите параллель в 9тыщах (например, инциденты - несоответствующая продукция), они хорошо проработаны. Да, это помогает только с управленческими вопросами, но с техническими Вы и так разберетесь.

4. Не думайте, что при ограниченности в деньгах, времени, иных ресурсах, можно сертифицировать не всю организацию, а любую ее часть. Можно, но не любую.
Чтобы смочь обосновать выбор области сертификации, продемонстрировать связь с бизнесом, отстоять свою оценку рисков и т.п., нужно ИБшить то, что для организации является одним из источников дохода - производство продукта или сервиса (группы продуктов или сервисов). В отсутствие коммерческой деятельности, сгодится безвозмездная услуга, а в отсутствие внешних клиентов - внутренняя, но все равно нечто с потребителями, и чем оно для организации важнее, тем лучше.
В область действия придется взять всех, кто принимает участие в ИБ этой услуги - если обучением занимается работник кадровой службы, скажем, то его тоже. Поэтому когда говорят, что некто сертифицировал сервис-деск, знайте: речь не о подразделении с таким названием, а об услуге сервис-деска.
Очерченные границы будут проверяться и должны быть материальными - либо толстая воздушная прослойка (между питерским офисом, в котором находится часть процессов, и идущим на сертификацию пермским датацентром / казанским отделением / уфимским филиалом), либо заглушка в виде договора ("А это другая услуга, мы получаем ее от телефонистов - вот регламент и внутренний SLA").
Наибольшая экономия ресурсов будет на количестве людей, подготавливаемых к встрече с аудиторами, небольшая на стоимости услуг аудиторов, на документировании незначительная.

5. Требуется, чтобы от провозглашения области в локальном нормативном до выхода на сертификацию прошло хотя бы полгода. На самом деле, от вас ожидают хотя бы единожды пройденный системой менеджмента цикл PDCA, поэтому если за созданием и внедрением СМИБ не последовала оценка руководством (на основе метрик, статистики инцидентов и т.п.) с принятием соответствующих решений, то возраст не поможет.

6. Те же документальные следы четырех фаз, что и для СМИБа в целом, нужны для каждого "контрола": установление правил и порядка (в политиках и процедурах), свидетельства функционирования (журналы), свидетельства проверки (отчеты внутреннего аудита), свидетельства устранения несоответствий между регламентацией и реализацией (карточки внесения изменений или превентивных/корректирующих мер), далее по кругу.

7. В первую очередь запускайте главное колесо: политика ИБ организации и заявление руководства (в эту политику обычно и включают упоминание области действия СМИБ, отвечающей 27 тыщам), положение об управляющем органе СМИБа и все остальные параграфы из бывшей второй части, которая теперь 27001. Ибо пробелы в реализации 27001 - это "мейджоры", т.е. недостатки, несовместимые с сертификацией, а пробелы в реализации 27002 и других 2700х (кроме пунктов, совпадающих с 27001) - это просто несоответствия, которые, если их не бешеные десятки, будете устранять уже после благополучного получения сертификата.

8. Все потребные аудиторам документы~~, кроме почему-то Положения о применимости,~~ упомянуты в 27001 и 27002 - просто обращайте внимания на слова documented, established, written и formal (и это еще один аргумент в пользу оригинала, т.к. в русском варианте на этом месте может стоять что угодно - от "актировка" до "самовар").

9. Требуйте предсертификационного аудита: те же самые люди, которые сертифицируют, расскажут Вам, что требуется подтянуть, чтобы соответствовало. Идеально, если на предсертификационный вдруг удастся заполучить того же руководителя аудиторской группы, который будет на сертификационном, ибо сколько я их уже перевидел - все по-разному читают стандарт (а связано это, в-основном, с их прошлым, т.к. чем раньше занимался, в том лучше разбирается и на то больше внимания обращает).

10. Не перевыполняйте план, это плохо аукнется при сопровождении (сертификационный аудит - не последний, для поддержания сертификации предстоит регулярно принимать у себя контрольные и ресертификационные). Поэтому гоните консультантов: они построят излишне навороченную систему менеджмента, причем не на имеющемся фундаменте, а рядом отдельно - сертификацию-то пройдете, но эксплуатировать замучаетесь. Поэтому же не заимствуйте реализацию "контролов" у крутых дядек, а ищите подобие у себя и переделывайте.

з.ы. Ну и да, стандарт где-нибудь раздобудьте ;)

Чудеса случаются

noreply@blogger.com (Ригель) — Wed, 15 Jun 2011 04:07:00 +0000

Завтрашние поправки в 152ой закон - это революция.
К сожалению, занят срочным написанием внутренних разъяснялок по смене курса (сотни обработок приводились в соответствие к 1 июля), так что развернутого комментария не будет - какой смысл делать это после вас всех.

Зависть

noreply@blogger.com (Ригель) — Fri, 10 Jun 2011 07:16:00 +0000

Вот есть же защита прав потребителей у пищевиков и ТНП-шников: не доложил творога - пиши "творожный десерт", не долил сока - "сокосодержащий напиток", намутил из порошка - "сделано из порошка".

Не все инциденты ИБ случаются по вине отдельных граждан - может поставщик подвести (провайдер, скажем), могут силы природы вмешаться. И в обработку входит не только разбирательство. Бывают, кстати, инциденты без разбирательств - только регистрация и устранение или даже только регистрация (возня дороже последствий и т.н. статистические, когда количество случаев - метрика).

Грустно за потребителя, когда мануал по форенсику киберкрайма за инцидент-менеджмент торгуют. Переводчик, наверно, ошибся, слова похожие.

Лечился по справочнику – умер от опечатки

noreply@blogger.com (Ригель) — Wed, 08 Jun 2011 02:30:00 +0000

Буду ИБ-шников обижать, а то в запрошедший раз вышло, будто алогичность – прерогатива ребят ЗИ-шных взглядов.

Зиждется у них все на слове, которое в начале, у Бога, и Бог, что не копипаста галимая, а использование одной из хорошо себя зарекомендовавших практик.
Называется это дело политикой ИБ и все напрочь обеспечивает в случае исходчивости от топа и доходчивости до каждого.

Так их прямо и учат: все будет хорошо, если политика понятная и до всех доведена, а если нет, то ховайся – ничего в этой конторе не выйдет.
Многие верят и очень на эту тему усираются.

Вы ведь правда не прочли "понятна & доведена" как "все будут знать & выполнять"?
Об этом я обычно и сообщаю.
Следуют напряженная работа памяти и "Не-е-ет, это она все-таки непонятно написана! А надлежащим образом ведь не доведена, а должна же быть доведена же!".
Потому что так в книге.

Ребята, в книгах иной раз пропущено то, что дети в саду знают.
Цифры от балды, исследований мне таких не заказывали, у кого внутреннее ощущение иное, пишет альтернативные на бумажке. Минусуем:
- 8 % блатных и/или неуловимых, за которых закорючку кто-то поставил;
- 12 %, которые ничего не поняли, несмотря на доступность ежу, в т.ч. 9 % сделавших вид, что поняли;
- 14 % сделавших вид, что читают;
- 23 %, которые усвоили, но соблюдать не будут из лени;
- 7 %, которые усвоили, но соблюдать не будут злонамеренно;
- 16%, которые все поняли, глубоко согласны, но тут же забыли;
и остаются 20%, которые забывать будут плавно, но уверенно.

Вот и выходит, что даже у самой лучшей-прелучшей политики (ежовая понятность и поголовное доведение) пиковый КПД хуже паровой машины.

Что с этим делать? Для начала – жить дальше.
Если в используемой книжке помимо политики есть и другие "контролы", их реализация эти минусовые группы подтянет: кто-то что-то доберет через демонстрацию приверженности руководства, кто-то при обучении, кто-то при внутреннем аудите, кто-то при санкциях за нарушения и т.п.
В принципе, все это должно дать какой-то приемлемый уровень знания, дальше уже каждый процент в каждой группе за отдельные деньги, если хочется.
И в одиночку ни одна из мер не панацея – ее можно точно так же по минусам расписать. Приверженность руководства? А злодеев никто не отменял. Экзамен? Я вон в пятницу очередную охрану труда сдал, к субботе уже ничего не помнил.

В-общем, не воспринимайте книжки слишком серьезно - отдаляет от реальности.

з.ы. Можно ли пруфлинк про детский сад? Можно.

Вавилоны в голове

noreply@blogger.com (Ригель) — Fri, 03 Jun 2011 07:17:00 +0000

Орлов (Eagle) утек американскую модель ИБ.

Я могу рассматривать ее устройство часами. Прежде только "Предчувствие гражданской войны" производило схожее воздействие через зрительные каналы.

Бизнес-цели и безопасность на разных полюсах. Политики где-то рука об руку с надежностью, но если убрать, ничего не обвалится. Контрмеры зиждутся на доступности, а оценка рисков попирает требования защиты. Поиск уязвимостей и выявление угроз не граничат. Ближе всего к бизнес-целям тестирование на проникновение ...

Пока у врагов такие путеводители, Отечество вбезопасносте.

О времени и о себе

noreply@blogger.com (Ригель) — Thu, 19 May 2011 02:00:00 +0000

Когда деревья были большими, Кабул - пригородом Душанбе, а «Земляне» только стырили Diamonds And Rust, были у меня «Электроника-5» с ЦНХ, которым не хватало срока службы батарейки, чтобы уйти на полминуты.

Вспомнилось о них по прочтении законопроекта 509727-5, где информация о точном времени в периоды мобилизации и военного положения объявлена объектом защиты.

Ни на чем не основанная презумпция разумности законодателей подсказывает, что дело не в наивном стремлении утаить от противника истинное время, а в ожидании, что обычные средства его распространения будут атакованы, а данные недоступны или подменены, что чревато раскоординацией действий.

И, конечно, это не сулит ничего иного, нежели доставка по техническим каналам с использованием криптосредств.

А так и видится заявление населением хронометров в военкомат, для учета, заблаговременной подготовки и предоставления войскам, формированиям и органам.

Почему не открываются ларчики?

noreply@blogger.com (Ригель) — Tue, 17 May 2011 01:07:00 +0000

Потому что закон "О персональных данных" ИБ-шный, а РД ФСТЭК/ФСБ ЗИ-шные.