пятница, 9 декабря 2016 г.

четверг, 8 декабря 2016 г.

Краткий пересказ Доктрины ИБ РФ

Обновленная Доктрина информационной безопасности РФ написана сложным языком, и редкий читатель доходит даже до середины этого не самого большого документа. Для упрощения работы с ним решил сделать краткий пересказ (обзор) основных положений. Публикую!


Доктрина информационной безопасности - это система официальных взглядов на обеспечение национальной безопасности РФ в информационной сфере. 

Документ определяет следующие национальные интересы в информационной сфере (по сути они не изменились с 2000 года):
  1. Обеспечение и защита прав и свобод граждан в части получения и использования информации, неприкосновенность частной жизни, а также сохранение духовно-нравственных ценностей.
  2. Бесперебойное функционирование критической информационной инфраструктуры (КИИ).
  3. Развитие в России отрасли ИТ и электронной промышленности.
  4. Доведение до российской и международной общественности достоверной информации о государственной политике РФ.
  5. Содействие международной информационной безопасности.
Доктрина необходима для формирования государственной политики и выработки мер по совершенствованию системы обеспечения информационной безопасности. 

Информационная безопасность (ИБ) - это состояние защищенности личности, общества и государства от внутренних и внешних информационных угроз. Причем в новой редакции документа говорится еще и том, что при этом должны обеспечиваться конституционные права и свободы, достойное качество и уровень жизни граждан, суверенитет и территориальная целостность РФ, ее устойчивое социально-экономическое развитие. а также госбезопасность. Не "безопасность ради безопасности", а даже некий баланс получается: права граждан, экономика, безопасность.

Документ создан на основе анализа угроз и оценки состояния ИБ РФ и развивает положения Стратегии национальной безопасности РФ (от 31 декабря 2015 года № 683).

Угроза информационной безопасности РФ (информационная угроза) - совокупность действий и факторов, создающих опасность нанесения ущерба национальным интересам в информационной сфере.

В Доктрине определены следующие основные угрозы и характеристики состояния ИБ (привожу их тезисно):
  • Зарубежные страны наращивают возможности по воздействию на ИТ инфраструктуру в военных целях.
  • Усиливается деятельность организаций, осуществляющих техническую разведку в отношении российских организаций. 
  • Внедрение ИТ без увязки с ИБ повышает вероятность проявления угроз.
  • Специальные службы используют методы информационно-психологическое воздействия на граждан.
  • Все больше зарубежных СМИ доносят информацию предвзято.
  • Российские СМИ за рубежом подвергаются дискриминации.
  • Внешнее информационное воздействие размывает традиционные российские духовно-нравственные ценности (особенно у молодежи).
  • Террористические и экстремистские организации широко используют механизмы информационного воздействия.
  • Возрастают масштабы компьютерной преступности, прежде всего в кредитно-финансовой сфере
  • Методы, способы и средства совершения компьютерных преступлений становятся все изощреннее.
  • Повышается сложность и количество скоординированных компьютерных атак на объекты КИИ.
  • Остается высоким уровень зависимости отечественной промышленности от зарубежных ИТ. 
  • Российские научные исследования в сфере ИТ являются недостаточно эффективными, ощущается недостаток кадров.
  • У российских граждан низкая осведомленность в вопросах обеспечения личной ИБ.
  • Отдельные государства стремятся использовать технологическое превосходство для доминирования в информационном пространстве. В том числе и в сети Интернет.
В документе зафиксированы следующие области обеспечения ИБ и основные направления по ним:

1. Оборона страны:
а) стратегическое сдерживание и предотвращение военных конфликтов;
б) совершенствование системы обеспечения ИБ ВС РФ;
в) прогнозирование и оценка информационных угроз;
г) содействие обеспечению защиты интересов союзников РФ;
д) нейтрализация информационно-психологического воздействия.

2. Государственная и общественная безопасность:а) противодействие использованию ИТ для пропаганды;
б) противодействие спец.службам, использующим ИТ;
в,г) повышение защищенности КИИ;
д) повышение безопасности функционирования образцов вооружения, военной и специальной техники и автоматизированных систем управления;
е) противодействие преступлениям в сфере ИТ;
ж) защита государственной тайны и других видов тайн;
з) развитие отечественного ИТ;
и) информационная поддержка государственной политики ФР;
к) нейтрализация информационно-психологического воздействия.

3. Экономическая сфера:
а-г) развитие и поддержка отечественного ИТ.

4. Наука, технологии и образование:
а-в) развитие науки;
г) развитие кадрового потенциала;
д) формирование культуры личной ИБ.

5. Стабильность и равноправное стратегическое партнерство
а) защита суверенитета РФ в информационном пространстве;
б-г) участие в формировании системы международной ИБ;
д) развитие национальной системы управления российским сегментом сети Интернет.

Еще в документе есть часть "V. Организационные основы обеспечения ИБ" про общие полномочия и задачи органов власти. Но они, на мой взгляд, не слишком интересны для стратегического планирования...

среда, 7 декабря 2016 г.

Новая Доктрина ИБ: Цитаты про Импортозамещение

Выбрал из обновленной Доктрины ИБ цитаты, связанные с импортозамещением:

8. Национальными интересами в информационной сфере являются:
...
в) развитие в Российской Федерации отрасли информационных технологий и электронной промышленности, а также совершенствование деятельности производственных, научных и научно-технических организаций по разработке, производству и эксплуатации средств обеспечения информационной безопасности, оказанию услуг в области обеспечения информационной безопасности;

17. Состояние информационной безопасности в экономической сфере характеризуется недостаточным уровнем развития конкурентоспособных информационных технологий и их использования для производства продукции и оказания услуг. Остается высоким уровень зависимости отечественной промышленности от зарубежных информационных технологий в части, касающейся электронной компонентной базы, программного обеспечения, вычислительной техники и средств связи, что обусловливает зависимость социально-экономического развития Российской Федерации от геополитических интересов зарубежных стран.

18. Состояние информационной безопасности в области науки, технологий и образования характеризуется недостаточной эффективностью научных исследований, направленных на создание перспективных информационных технологий, низким уровнем внедрения отечественных разработок и недостаточным кадровым обеспечением в области информационной безопасности, а также низкой осведомленностью граждан в вопросах обеспечения личной информационной безопасности. При этом мероприятия по обеспечению безопасности информационной инфраструктуры, включая ее целостность, доступность и устойчивое функционирование, с использованием отечественных информационных технологий и отечественной продукции зачастую не имеют комплексной основы.

23. Основными направлениями обеспечения информационной безопасности в области государственной и общественной безопасности являются:
...
з) совершенствование методов и способов производства и безопасного применения продукции, оказания услуг на основе информационных технологий с использованием отечественных разработок, удовлетворяющих требованиям информационной безопасности;

24. Стратегическими целями обеспечения информационной безопасности в экономической сфере являются сведение к минимально возможному уровню влияния негативных факторов, обусловленных недостаточным уровнем развития отечественной отрасли информационных технологий и электронной промышленности, разработка и производство конкурентоспособных средств обеспечения информационной безопасности, а также повышение объемов и качества оказания услуг в области обеспечения информационной безопасности.

25. Основными направлениями обеспечения информационной безопасности в экономической сфере являются:
а) инновационное развитие отрасли информационных технологий и электронной промышленности, увеличение доли продукции этой отрасли в валовом внутреннем продукте, в структуре экспорта страны;
б) ликвидация зависимости отечественной промышленности от зарубежных информационных технологий и средств обеспечения информационной безопасности за счет создания, развития и широкого внедрения отечественных разработок, а также производства продукции и оказания услуг на их основе;
в) повышение конкурентоспособности российских компаний, осуществляющих деятельность в отрасли информационных технологий и электронной промышленности, разработку, производство и эксплуатацию средств обеспечения информационной безопасности, оказывающих услуги в области обеспечения информационной безопасности, в том числе за счет создания благоприятных условий для осуществления деятельности на территории Российской Федерации;
г) развитие отечественной конкурентоспособной электронной компонентной базы и технологий производства электронных компонентов, обеспечение потребности внутреннего рынка в такой продукции и выхода этой продукции на мировой рынок.

26. Стратегической целью обеспечения информационной безопасности в области науки, технологий и образования является поддержка инновационного и ускоренного развития системы обеспечения информационной безопасности, отрасли информационных технологий и электронной промышленности.

27. Основными направлениями обеспечения информационной безопасности в области науки, технологий и образования являются:
а) достижение конкурентоспособности российских информационных технологий и развитие научно-технического потенциала в области обеспечения информационной безопасности;
б) создание и внедрение информационных технологий, изначально устойчивых к различным видам воздействия;
в) проведение научных исследований и осуществление опытных разработок в целях создания перспективных информационных технологий и средств обеспечения информационной безопасности;
г) развитие кадрового потенциала в области обеспечения информационной безопасности и применения информационных технологий;
д) обеспечение защищенности граждан от информационных угроз, в том числе за счет формирования культуры личной информационной безопасности.

35. Задачами государственных органов в рамках деятельности по обеспечению информационной безопасности являются:
...
д) выработка и реализация мер государственной поддержки организаций, осуществляющих деятельность по разработке, производству и эксплуатации средств обеспечения информационной безопасности, по оказанию услуг в области обеспечения информационной безопасности, а также организаций, осуществляющих образовательную деятельность в данной области.



P.S. В прошлой версии Доктрины, кстати, тоже много было по этой теме (в этой презентации есть слайды об этом), но вот реальные шаги начались буквально в последние годы...

вторник, 6 декабря 2016 г.

Встречаем новую Доктрину информационной безопасности России. Что изменилось?

Вчера (5 декабря 2016 года) наконец-то утвердили обновленную Доктрину информационной безопасности Российской Федерации (вот ссылка на текст). Напомню, что старая версия документа была аж от 2000 года, и к настоящему моменту она, конечно же, устарела. Странно, что итоговый вариант существенно отличается от обсуждаемого ранее проекта, но ладно...

На мой взгляд, документ получился довольно толковый и лаконичный (всего 16 страниц), но скорее получил лишь косметические правки. К сожалению, документом пользоваться не очень удобно, отдельные темы (импортозамещение, защита КИИ, реагирование на инциденты и пр.) размазаны, важные положения необходимо собирать...

При первом прочтении документа обратил внимание вот на что (в сравнении с редакцией 2000 года):

1. Обновили термины

Поменялся (расширился) базовый термин "информационная безопасность РФ".

Было
Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.
Стало
Информационная безопасность Российской Федерации - состояние защищенности личности, общества и государства от внутренних и внешних информационных угроз, при котором обеспечивается реализация конституционных прав и свобод человека и гражданина, достойные качество у уровень жизни граждан, суверенитет, территориальная целостность и устойчивое социально-экономическое развитие Российской Федерации, оборона и безопасность государства.  
Все термины даже выделили в отдельный пункт, и дают определения следующим понятиям: "национальные интересы Российской Федерации в информационной сфере", "угроза информационной безопасности Российской Федерации", "информационная безопасность Российской Федерации", "обеспечение информационной безопасности", "силы обеспечения информационной безопасности", "средства обеспечения информационной безопасности", "система обеспечения информационной безопасности", "информационная инфраструктура Российской Федерации".


2. Появилось про безопасность критической информационной инфраструктуры (КИИ), и стали говорить про необходимость ее бесперебойного функционирования

Теперь про КИИ говорят в явном виде, но конкретики мало. Хотелось, конечно, услышать про ГосСОПКА, но есть лишь ее отголоски:
23. Основными направлениями обеспечения информационной безопасности в области государственной и общественной безопасности являются:
...
в) повышение защищенности критической информационной инфраструктуры и устойчивости ее функционирования, развитие механизмов обнаружения и предупреждения информационных угроз и ликвидации последствий их проявления, повышение защищенности граждан и территорий от последствий чрезвычайных ситуаций, вызванных информационно-техническим воздействием на объекты критической информационной инфраструктуры;
г) повышение безопасности функционирования объектов информационной инфраструктуры, в том числе в целях обеспечения устойчивого взаимодействия государственных органов, недопущения иностранного контроля за функционированием таких объектов, обеспечение целостности, устойчивости функционирования и безопасности единой сети электросвязи Российской Федерации, а также обеспечение безопасности информации, передаваемой по ней и обрабатываемой в информационных системах на территории Российской Федерации;
Отдельно упоминают про российский сегмент сети Интернет:
29. Основными направлениями обеспечения информационной безопасности в области стратегической стабильности и равноправного стратегического партнерства являются:
...
д) развитие национальной системы управления российским сегментом сети "Интернет".

3. Много, очень много говорят про информационно-психологическое воздействие

Упоминают про необходимость  "доведения до российской и международной общественности достоверной информации о государственной политике", акцентируют внимание на "масштабах использования средств оказания информационно-психологического воздействия, направленного на дестабилизацию внутриполитической и социальной ситуации" и "направленного на подрыв исторических основ и патриотических традиций, связанных с защитой Отечества", пишут про "тенденции к увеличению в зарубежных средствах массовой информации объема материалов, содержащих предвзятую оценку государственной политики", опасаются "размывания традиционных российских духовно-нравственных ценностей". Вопросы конечно же важные и правильные, про них упоминали и в старой редакции, но что-то уж слишком много про это...


4. Акцентируют внимание на обеспечении ИБ в кредитно-финансовой сфере

А еще и ПДн упоминают:
14. Возрастают масштабы компьютерной преступности, прежде всего в кредитно-финансовой сфере, увеличивается число преступлений, связанных с нарушением конституционных прав и свобод человека и гражданина, в том числе в части, касающейся неприкосновенности частной жизни, личной и семейной тайны, при обработке персональных данных с использованием информационных технологий. При этом методы, способы и средства совершения таких преступлений становятся все изощреннее.

5. Говорят про проблему внедрения ИТ без учета вопросов ИБ
При этом практика внедрения информационных технологий без увязки с обеспечением информационной безопасности существенно повышает вероятность проявления информационных угроз.
Это, к сожалению происходит часто...


6. Ожидаемо много текста про импортозамещение. 

Про это напишу отдельную заметку с цитатами.


7. Развитие услуг по ИБ стало национальным приоритетом
8. Национальными интересами в информационной сфере являются:
...
в) развитие в Российской Федерации отрасли информационных технологий и электронной промышленности, а также совершенствование деятельности производственных, научных и научно-технических организаций по разработке, производству и эксплуатации средств обеспечения информационной безопасности, оказанию услуг в области обеспечения информационной безопасности;
Привет, консалтинг и аутсорсинг!


8. Наконец-то стали говорить про профилактику и противодействие преступности
23. Основными направлениями обеспечения информационной безопасности в области государственной и общественной безопасности являются:
...
e) повышение эффективности профилактики правонарушений, совершаемых с использованием информационных технологий, и противодействия таким правонарушениям;

Это пока лишь первичный анализ итогового документа, изучу его внимательнее...


P.S. Кстати, дал интервью по теме для телеканала "Дождь":

понедельник, 5 декабря 2016 г.

Итоги конкурсов SOC Forum 2016

Подвели итоги трех конкурсов, проводимых в рамках SOC Forum 2016.

Конкурс для блогеров, журналистов и просто писателей

Как и в прошлом году, для победы в конкурсе необходимо было написать самую полезную/интересную заметку-обзор про прошедший SOC Forum. Вот авторы и их заметки:
Посовещались и решили, что победителем этого конкурса стал Денис Батранков, который опубликовал большой обзор презентаций конференции (а точнее идей и схем из них). Неожиданный формат и полезный контент. Денис - молодец!

Он получает квадрокоптер Walkera QR X350 Pro и экшн-камеру Xiaomi Yi Camera Basic Edition к нему:

Еще утешительным призом поощрили начинающего блогера Алексея Качалина:

Конкурс фотографий с конференции

Главным призом в этой активности стало полное собрание книг "Игра престолов". Помните, что и конференция была в этой концепции?

В упорной борьбе за количество лайков (по совокупности в ФБ и инстаграм) побеждает Татьяна Игуменшева. Отдельное ей спасибо за фото в интерьере книги, вот оно:
А поощрительный приз получает Андрей Чечеткин, он тоже набрал много лайков.

Конкурс шуток и мемов про SOC

Тут победителем стал Алексей Лукацкий, он опубликовал самое большое количество шуток и написал об этом отдельную заметку в блоге. Алексей тоже получает собрание книг "Игра престолов", может быть они послужат источником новых идей и вдохновения. 

Вообще, шуток придумали много, лучшие из них я уже публиковал:
А поощрительные призы получат Роман Жуков, Евгений Родыгин и Валерий Естехин.

четверг, 1 декабря 2016 г.

Что ожидают работодатели от молодых специалистов

Сегодня в рамках VIII Международной научно-практической конференции студентов, аспирантов и молодых ученых "Информационные технологии в науке" прочитал презентацию "Что ожидают работодатели от молодых специалистов". Поделился своей печалью и мыслями о том, как повысить ценность молодых специалистов для потенциальных работодателей. 

Вот слайды:

воскресенье, 27 ноября 2016 г.

Вопросы экзамена CGEIT про аутсорсинг

Готовлюсь к экзамену CGEIT (Certified in the Governance of Enterprise IT), изучаю примеры вопросов. Ожидаемо встретил много про аутсорсинг (в доменах "resource optimization" и "risk optimization"). 

Выбрал дюжину, на мой взгляд, самых показательных:

1. The MOST appropriate reason for outsourcing is to:
a) optimize resource utilization.
b) minimize risk associated with IT.
c) ensure that benefits are realized.
d) reduce investment in IT infrastructure.

2. While defining the outsourcing strategy for IT, the PRIMARY focus of the enterprise must be to:
a) monitor performance of IT resources.
b) outsource non-core business processes.
c) mitigate risk associated with technology.
d) maximize stakeholder satisfaction.

3. To ensure alignment with business strategy when using an external service provider/outsourcing vendor, it is MOST important to:
a) design a knowledge transfer program.
b) develop service level agreements (SLAs).
c) agree on scope and service expectations.
d) perform due diligence.

4. Which of the following choices is the GREATEST risk to IT governance if IT is outsourced?
a) The enterprise may lose sight of its accountability of IT.
b) Costs of running IT may escalate.
c) The vendor may subcontract the job, leading to unsatisfactory results.
d) In-house IT employees may lose critical experience.

5. The MAIN purpose of service level agreement (SLA) is to:
a) set expectations between users and providers.
b) manage the performance of providers.
c) provide a basis for operating level agreements (OLAs).
d) ensure that IT service costs are controlled.

6. When outsourcing credit cart processing, who is accountable for the compliance with regulatory requirements?
a) The outsourcing vendor is accountable.
b) Accountability is shared.
c) The client enterprise is accountable.
d) Accountability depends on the contract.

7. IT risk associated with the outsourcing of IT services is BEST managed through the:
a) creation of multiple sourcing strategies.
b) inclusion of controls and service level agreements (SLAs) into contracts.
c) development of policies and procedures.
d) performance of due diligence audits.

8. IT risk associated with the outsourcing of IT services is BEST managed through the:
a) development of policies and procedures.
b) performance of due diligence audits.
c) creation of multiple sourcing strategies.
d) inclusion of controls and service level agreements (SLAs) into contracts.

9. Which of the following is the PRIMARY step in setting up an outsourcing initiative?
a) Perform a due diligence review of potential service suppliers.
b) Determine the core activities that provide the advantage to the enterprise.
c) Submit a request for proposal (RFP) to prospective suppliers.
d) Perform a feasibility study.

10. Which of the following would a software development company MOST likely select for business process outsourcing (BPO)?
a) Payroll administration.
b) Strategic management.
c) Security administration.
d) Product management.

11. In outsourcing situation, which of the following choices is the MOST important to optimize IT resources?
a) Contractual agreements.
b) Service level agreements (SLAs).
c) Financial penalties.
d) A service provider IT resource plan.

12. In order to make the governance of outsourcing MOST successful, both parties must:
a) establish clear roles and responsibilities.
b) agree to service level agreements (SLAs).
c) include an explicit contract governance schedule.
d) ensure contractual viability.



Правильные ответы: a, d, c, a, a, c, b, d, b, a, a, d

пятница, 25 ноября 2016 г.

Юмор. Третья волна шуток FunnySOC

Конкурс смешных шуток и мемов #FunnySOC уже скоро заканчивается, но можно еще успеть поучаствовать:
До 30го ноября размещайте в социальных сетях (Facebook, Twitter или Instagram) веселые картинки, мемасики, гифки, стишки-пирожки. аткрытки или другие шутки про SOC (Security Operations Center) с двумя хеш-тегами: #SOCForum и #FunnySOC. За самые смешные/интересные/умные шутки будут давать подарки!
В этой заметке публикую еще несколько хороших шуток (кстати, как оказалось, они хорошо смотрятся в презентациях...) :
















вторник, 22 ноября 2016 г.

Мониторинг ИБ по ФСТЭК: Кто должен обновлять свою лицензию на ТЗКИ?

Перечитывал тут на днях Постановление Правительства №541 от 15 июня 2016 года, вносящее правки в Положения о лицензировании деятельности № 79 (ТЗКИ) и №171 (производство и разработка средств защиты конфиденциальной информации). 

О нем в последнее время стали много говорить, особенно после конференции SOC Forum (там его тоже упоминали). Дело в том, что в обновленном варианте Положения № 79 появилась, вроде как, новая лицензируемая деятельность - "услуги по мониторингу информационной безопасности средств и систем информатизации". И существует мнение (например, Алексея Лукацкого), что SOCам и MSSP необходимо будет обновить свои лицензии на ТЗКИ, добавить в них еще один вид деятельность.

Это, кстати, не сложно сделать, ведь "тяжелых" новых требований не появилось. Так, обсуждаемое ранее требования по наличию (сертифицированной) СУИБ прошло мимо документ, и из него даже убрали обязательство по наличию "системы производственного контроля" (все ориентировались на СМК по 9001) из требований к соискателю лицензии по ТЗКИ. Аналогично не появились и "пугающие" требования по использованию сертифицированных средств мониторинга (особенно SIEM) и защиты для предоставления сервисов SOC, и положения о необходимости аттестации всей инфраструктуры SOC (инфраструктуры, необходимой для предоставления услуг)... Ну, а новые (расширенные) требования по штатной численности "опытных" специалистов в штате и наличию специального оборудования решается SOCами, на мой взгляд, по умолчанию.

Но вернемся к документу и попробуем разобраться... 

Стоит обратить внимание, что сами правки Положения №79 скорее "косметические", в нем нет фундаментальных изменений. По сути, чуть-чуть подточили формулировки, и немного их конкретизовали. Например, указали необходимое количество лет опыта у персонала, добавили про положения про наличие средств контроля (анализа) исходных кодов текстов программного обеспечения, сократили перечень "грубых нарушений лицензионных требований".

"Какие же они "косметические""? - спросите вы. "Ведь появился новый лицензируемый вид деятельности - "услуги по мониторингу информационной безопасности средств и систем информатизации"".

Но новый ли он? Давайте сравним 2 редакции документа ("4. При осуществлении лицензируемого вида деятельности лицензированию подлежат:..."):

Было:
в) сертификационные испытания на соответствие требованиям по безопасности информации продукции, используемой в целях защиты конфиденциальной информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации);
Стало:
в) услуги по мониторингу информационной безопасности средств и систем информатизации;
Причем это именно замена, а не дополнение текста. Отдельно услуга по "сертификационным испытаниям" (а это один из важнейших видов деятельности испытательных лабораторий) не возвращается в документ...

Получается очень странная ситуация, которую мы может трактовать по-разному.

Вариант 1. Под мониторингом ИБ ФСТЭК России подразумевает именно "сертификационные испытания". SOCи и MSSP не обновляют лицензию ТЗКИ, а лаборатории обновляют.

Это подтверждается следующими аргументами:
  1. Ну, не могли же исключить деятельность испытательных лабораторий из перечня лицензируемых видов деятельности?!
  2. ФСТЭК России иногда действительно неожиданно трактует международные термины ИБ, так, например, случилось с понятием "оценка эффективности ИБ". Может так произошло и в этот раз?
  3. В Положении о лицензировании есть неоднозначное требование к лицензиатам по наличию "программных (программно-технических) средств, включая средства контроля эффективности защиты информации, сертифицированных по требованиям безопасности информации, а также средств контроля (анализа) исходных текстов программного обеспечения". Если мы его рассматриваем именно с позиции проведения сертификационных испытаний, то все нормально...
  4. Можем посмотреть термин "мониторинг" в ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения": 
2.8.7 Мониторинг безопасности информации: Постоянное наблюдение за процессом обеспечения безопасности информации в информационной системе с целью установить его соответствие требованиям безопасности информации.
Тут стоит обратить внимание на номер, термин находится в группе "2.8 Термины, относящиеся к способам оценки соответствия требованиям по защите информации", поэтому имеет смысл смотреть на него в контексте еще и этих терминов:
2.8.1 Оценка соответствия требованиям по защите информации: Прямое или косвенное определение степени соблюдения требований по защите информации, предъявляемых к объекту защиты информации.
2.8.2 Лицензирование в области защиты информации: Деятельность, заключающаяся в проверке (экспертизе) возможностей юридического лица выполнять работы в области защиты информации в соответствии с установленными требованиями и выдаче разрешения на выполнение этих работ.
2.8.3 Сертификация на соответствие требованиям по безопасности информации: Форма осуществляемого органом по сертификации подтверждения соответствия объектов оценки требованиям по безопасности информации, установленным техническими регламентами, стандартами или условиями договоров.
Т.е. мониторинг ИБ необходим для "оценки соответствия", а это важный шаг к "сертификации" и "аттестации"...

Вариант 2. ФСТЭК России понимает термин "мониторинг" в соответствии с "лучшими международными практиками" (они ниже), и это действительно новый вид деятельности. А вот сертификационные испытания убраны (неожиданно) намеренно или по ошибке. При этом варианте SOCи и MSSP должны обновлять свои лицензии на ТЗКИ, а вот испытательные лаборатории могут выпасть из правового поля...

Этому варианту тоже можно найти подтверждение, но для этого надо смотреть трактования базового термина в национальных стандартах, рекомендованных ФСТЭК России.

Вот "мониторинг" по ГОСТ Р 53114-2008 "Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения."
3.5.2 Мониторинг информационной безопасности организации; мониторинг ИБ организации: Постоянное наблюдение за процессом обеспечения информационной безопасности в организации с целью установить его соответствие требованиям по информационной безопасности.
Общетехнические понятия:
А.19 Мониторинг: Систематическое или непрерывное наблюдение за объектом с обеспечением контроля и/или измерения его параметров, а также проведение анализа с целью предсказания изменчивости параметров и принятия решения о необходимости и составе корректирующих и предупреждающих действий.
А вот "мониторинг" по Р 50.1.053-2005 "Информационные технологии. Основные термины и определения в области технической защиты информации."
3.3.6 IT security monitoring.  Мониторинг безопасности информации (при применении информационных технологий): Процедуры регулярного наблюдения за процессом обеспечения безопасности информации при применении информационных технологий. 

Согласитесь, что этот подход уже вполне соответствует с международному! Вот, например:
NIST:
Continuous Monitoring – The process implemented to maintain a current security status for one or more information systems or for the entire suite of information systems on which the operational mission of the enterprise depends. The process includes: 1) The development of a strategy to regularly evaluate selected IA controls/metrics, 2) Recording and evaluating IA relevant events and the effectiveness of the enterprise in dealing with those events, 3) Recording changes to IA controls, or changes that affect IA risks, and 4) Publishing the current security status to enable information-sharing decisions involving the enterprise.
Information Security Continuous Monitoring (ISCM) – Maintaining ongoing awareness of information security, vulnerabilities, and threats to support organizational risk management decisions.
Risk Monitoring – Maintaining ongoing awareness of an organization’s risk environment, risk management program, and associated activities to support risk decisions.
Threat Monitoring – Analysis, assessment, and review of audit trails and other information collected for the purpose of searching out system events that may constitute violations of system security.
PCI DSS:
Monitoring – Use of systems or processes that constantly oversee computer or network resources for the purpose of alerting personnel in case of outages, alarms, or other predefined events.

Но, на мой взгляд, самый полезный вариант мониторинга описан в Приказе ФСТЭК России №17:
18.4. В ходе контроля (мониторинга) за обеспечением уровня защищенности информации, содержащейся в информационной системе, осуществляются:
-контроль за событиями безопасности и действиями пользователей в информационной системе;
-контроль (анализ) защищенности информации, содержащейся в информационной системе;
-анализ и оценка функционирования системы защиты информации информационной системы, включая выявление, анализ и устранение недостатков в функционировании системы защиты информации информационной системы;
-периодический анализ изменения угроз безопасности информации в информационной системе, возникающих в ходе ее эксплуатации, и принятие мер защиты информации в случае возникновения новых угроз безопасности информации;
-документирование процедур и результатов контроля (мониторинга) за обеспечением уровня защищенности информации, содержащейся в информационной системе;
-принятие решения по результатам контроля (мониторинга) за обеспечением уровня защищенности информации о доработке (модернизации) системы защиты информации информационной системы, повторной аттестации информационной системы или проведении дополнительных аттестационных испытаний.

Вместо заключения
Вот как-то так. Обновленное Положение оставляет открытым вопрос "А кто должен обновлять свою лицензию на ТЗКИ: лаборатории или SOCи и MSSP?" , и у отрасли есть еще полгода для поиска ответа на него (Постановление вступает в силу 17.06.2017)...

Ждем разъяснение (или хотя бы мнение) регулятора, оно очень нужно!


UPD 23.11.2016: Алексей Лукацкий добавил еще несколько аргументов в вариант 2. В его заметке есть дополнительные комментарии ФСТЭК России и информация о том, куда перешли услуги сертификационных испытаний.
Таким образом "подвисшим" остался вопрос о наличии у лицензиата "средств контроля (анализа) исходных текстов программного обеспечения", необходимость которого без услуг серификационных испытаний не так очевидна. Но, в целом, с новыми аргументами Вариант 2 становится более вероятным. 

вторник, 15 ноября 2016 г.

Нашел, пожалуй, лучший каталог метрик по ИБ

Сегодня нашел, пожалуй, лучший каталог метрик по информационной безопасности - http://nistcsf.societyinforisk.org/doku.php

Причем это некоммерческий проект:
"The SIRA NIST CSF Metrics Project was created to help analysts and organizations create meaningful measures for the Functions, Categories, and where possible, Sub-Categories of the NIST CSF.
By creating metrics for the NIST CSF we hope we can help analysts who want to turn what might be simply a paperwork exercise into a performance-focused effort. In other words, if we're going to have to do this, we might as well try to do it so that it actually helps us defend our organizations."
По сути, ребята взяли все группы мер из NIST Cybersecurity Framework и, используя подход GQIM (про него я писал отдельную заметку, сначала ознакомьтесь с ней, будет понятнее суть), выбрали цели, вопросы и метрики. 

Ну, и еще все свели к майндкартам, а это я люблю особо...

Что с этим делать нам? Можно просто выбрать необходимые нам метрики из списка по нужным доменам методологии NIST (они ниже), или по аналогичной схеме придумать свои метрики и показатели.

Вообще, каталог довольно интересный, требует более глубокого изучения и осмысления. Пожалуй, погружусь в эту пучину на новогодние праздники...

пятница, 11 ноября 2016 г.

Юмор. Вторая волна шуток FunnySOC

Друзья, спасибо, что продолжаете радовать нас хорошими шутками, которые присылаете для конкурса #FunnySOC. Напомню простые правила:
До 30го ноября размещайте в социальных сетях (Facebook, Twitter или Instagram) веселые картинки, мемасики, гифки, стишки-пирожки. аткрытки или другие шутки про SOC (Security Operations Center) с двумя хеш-тегами: #SOCForum и #FunnySOC. За самые смешные/интересные/умные шутки будут давать подарки!
В этой заметке опубликую еще несколько присланных работ:

















И еще одна презентация, на этот раз от Валерия Естехина (вот, кстати, его блог):

четверг, 10 ноября 2016 г.

Короткая заметка про необходимость ИБ 24х7

В свежем отчете JSOC Security flash report за Q3 2016 одним из ключевых выводов стал такой:
"Мы продолжаем отмечать, что внешние атаки смещаются ко времени, когда спадает деловая активность: 40% вечер пятницы / 20% выходные / 20% вечер"
И приводится статистика по распределению количества инцидентов по времени суток (всего за 3й квартал было выявлено 63 224 события с подозрением на инцидент):

Конечно ожидаемо, что большинство инцидентов происходит днем (87,9%). Сотрудники забывают свои пароли и пробуют их подобрать, открывают спам-письма, скачивают запрещенный софт из Интернета, пробуют получить расширенные права доступа, устанавливают нелегитимное ПО, вставляют зараженные флешки в USB-порты и многое другое. Но обратите внимание, что критичные внешние инциденты уже в 45,2% случаев происходят в ночное время, когда специалисты подразделений ИТ и ИБ мирно спят в своих кроватках... 
Это говорит о том, что безопасности 8х5 (12х5) становится уже не достаточно, внешние злоумышленники "работают" в ночное время и/или находятся в других часовых поясах. А это значит, что для критичных ИТ-инфраструктур уже стоит задуматься о безопасности 24х7... Иначе "поломают"...

На вчерашней пресс-конференции Solar Security Владимир Дрюков рассказал о механике внешних атак, уточнив про "рабочее" время для каждой фазы. Очень много важных событий происходит именно в вечернее и ночное время:
 
Что делать? Конечно же задуматься о совершенствовании системы ИБ, и, в частности, развитии процессов мониторинга событий и управления инцидентами ИБ... Можно даже построить свой собственный SOC с режимом работы 24x7, передать соответствующие процессы на аутсорсинг ИБ или же использовать гибридную схему, как, например, это сделал Тинькофф Банк...

вторник, 8 ноября 2016 г.

1 500 000+ просмотров блога и лучшие заметки

Пора открывать шампанское, ведь количество просмотров моего блога ("Жизнь 80 на 20") перевалило за 1 500 000. Yeah! Спасибо вам огромное, мои дорогие читатели!


Решил сделать для вас подборку самых полезных и интересных, на мой взгляд, из уже опубликованных заметок и презентаций.

Для любителей DLP:
  • Большая презентация "All about DLP" (ссылка). Вводная презентация по всем аспектам использования систем DLP, ее я рассказывал студентам НИУ ВШЭ в феврале 2016 года.
  • Большая презентация "Как реагировать на инциденты ИБ с помощью DLP v2.1" (ссылка)
  • Заметка "Судебная практика: Использование DLP для доказательства разглашения информации "(ссылка)
  • Презентация "Организационные и юридические аспекты использования DLP"  (ссылка). Эту презентацию (надо смотреть 2ю выложенную) рассказывал в рамках большого мастер-класса на конференции БИТ Урал.
  • Чек-листы по DLP (документированные положения) (ссылка). Они пригодятся для решения юридических вопросов использования DLP.
  • Большая презентация "Внедрили DLP. Молодцы! Что дальше?" (ссылка).
  • Большая презентация "Увольнение за разглашение охраняемой законом тайны. Практические аспекты" (ссылка). Ее я тоже читал студентам НИУ ВШЭ, но только уже не будущим ИБшникам, а юристам.
  • Презентация про Модель зрелости DLP (DLP Maturity Model) (ссылка). Помимо самой презентации имеет смысл запросить у моего прошлого работодателя сам документ, он может быть полезен для выстраивания правильного видения и понимания места DLP в системе ИБ организации.
  • Материалы "10 самых распространенных ошибок сотрудников, приводящих к утечке информации" (ссылка). Здесь лучше пропустить презентации, и сразу скачать брошюру.
  • Заметка "Что такое "Политика допустимого использования"?" (ссылка) Пожалуй это один из важнейших документов, необходимый для выстраивания системы ИБ (и в частности защиты от утечки) в организации.

Для любителей СУИБ по ISO 27001
  • Заметка "Что на самом деле надо знать про PDCA?" (ссылка)
  • Майндкарта по ISO 27001-2013 (ссылка)
  • Рекомендации для начинающих внедрение СУИБ по ISO 27001 (ссылка)
  • Перечень документов для СУИБ по 27001-2013 (ссылка)

Для любителей измерения ИБ:
  • Презентация "10 принципов измерения ИБ" (ссылка)
  • Заметка про проблему терминологии в измерении ИБ (ссылка)
  • Обзор книги про Сбалансированную систему показателей (ссылка)
  • Заметка про метрики по ITIL (ссылка)
  • Заметка про метрики по COBIT5 (ссылка)
  • Заметка "20 шагов по построению системы измерения ИБ" (ссылка)
  • Презентация про интегральные метрики ИБ (ссылка). Ее я рассказывал на конференции Код ИБ online 
  • Заметка про подход GQIM для построения системы метрик и показателей ИБ (ссылка)
  • Модель зрелости процесса "Мониторинг и оценка ИБ" (ссылка)

Для любителей "лучших практик" и правильного управления ИБ:
  • Старенькая презентация про разработку комплекта документов по управлению ИБ (ссылка)
  • Заметка про "контекст" в ИБ (ссылка) Этот термин активно используется в западных стандартах и лучших практиках, но практически не знаком российским ИБ специалистам.
  • Простая вводная презентация про аудиты ИБ (ссылка)  Ее я читал студентам Финансового Университета при Правительстве РФ.
  • Заметка "К вопросу об этике и принципах специалистов по ИБ" и перевод принципов ISACA (ссылка
  • Подборка цитат ЦБ про аутсорсинг ИБ (ссылка)
  • Большая презентация про аутсорсинг ИБ (ссылка)
  • Заметки про JSOC "Как устроен центр мониторинга и реагирования на инциденты ИБ" (часть1, часть2, часть3)
  • Презентация про опыт подготовки к экзамену CISM (ссылка)

Для любителей COBIT5:

Для любителей личной эффективности:
  • Презентация "Сколько зарабатывают специалисты по ИБ в России? (2016)" (ссылка)
  • Презентация про работу с информацией (ссылка)
  • Презентация про Тайм-менеджмент(ссылка)
  • Презентация про Майндкарты (ссылка)
  • Заметка "Твиттер в жизни специалиста по ИБ" (ссылка)
  • Майндкарта по классическим моделям и инструментам консалтинга (ссылка)

Для любителей книг (обзоры и лучшие идеи из книг):
  • "Корпоративная презентация. Как продать идею за 10 слайдов" (ссылка)
  • "Преврати себя в бренд" (ссылка)
  • "Быстрое решение проблем при помощи стикеров" (ссылка)
  • "Без воды: Как писать предложения и отчеты для первых лиц" (ссылка)
  • "Искусство обучать" (ссылка)
  • "Черный лебедь" (+презентация) (ссылка)
  • "Проактивное мышление" (про личную ответственность) (ссылка)
  • "Опережающее мышление" (ссылка)
  • "Аргументируй это" (ссылка)
  • "Парадокс перфекциониста" (ссылка)
  • "Шпаргалки для боссов" (ссылка)
  • "Презентации в стиле TED" (ссылка)
  • "Как разговаривать с кем угодно" (ссылка)
  • "Друкер на каждый день" (ссылка)
  • "Не откладывай на завтра" (ссылка)
  • "Лайфхак на каждый день" (ссылка)

Прочее
  • "How to speak emoji" for Information Security (ссылка). Забавная книга и заметка.
  • Шутки про консультантов к 1 апреля (ссылка)

Приятного чтения:)))

TOP10 международных конференций по ИБ в 2017

В этом году я удачно (мне понравилось, было интересно и полезно) съездил в Лондон на конференцию Information Security Europe (про нее писал тут) и решил посмотреть, что еще хорошего есть из выставок и конференций по информационной безопасности в мире.  

Нашел такие TOP-списки:
  • The Top 11 Information Security Conferences of 2016 (ссылка)
  • The Top 50 Must-Attend Information Security Conferences (ссылка)
  • 10 ‘Must Go To’ Cybersecurity Conferences DEF CON, ToorCon, SchmooCon and more! (ссылка)
И еще общий перечень мероприятий на 2017 год по регионам (есть не все, но многое) (ссылка)


Для себя же составил вот такой перечень TOP10 главных конференций и выставок по ИБ 2017 года:

1.RSA Conference (USA), ссылка
  • Пожалуй лучшая и крупнейшая конференция и выставка по теме ИБ, ее посещают в год более 45 000 человек... 
  • В 2017 году будет 3 конференции (Abu Dhabi, USA, Singapore), но самая крупная пройдет 13-17 февраля в San Francisco (USA). 
  • Посещение платное, 1595 – 2695 $ (есть групповые скидки и скидки за раннюю регистрацию).
  • Впечатления Алексея Лукацкого от конференции можно посмотреть в его блоге (ссылка).

2.INFOSECURITY EUROPE, ссылка.
  • Крупнейшая выставка в Европе, в 2017 году будет проводится уже 22 раз. Это именно выставка, доклады были откровенно слабые или рекламные.
  • В 2016 году ее посетили 18 000 человек, выставлялись 360 компаний.
  • Пройдет в London (UK) 06-08 июня.
  • Посещение бесплатное.
  • Впечатления от выставки моно посмотреть в моем блоге (ссылка) и у Алексея Лукацкого (ссылка1 и ссылка2)

3.BLACK HAT (USA), ссылка.
  • Будет проводится уже в 20й раз. Большая конференция и выставка. Проводятся 3 конференции в год (USA, Europa и Asia), крупнейшая, ожидаемо, в USA.
  • Пройдет в Las Vegas, Nevada (USA) ориентировочно ?01-05 августа.
  • Проходит сразу после DEF CON (27-30 июля, ссылка), многие стараются совмещать. По моему восприятию, Black Hat - это как у нас PHDays, а DEF CON - это как у нас ZeroNights...
  • Посещение платное, но цены на 2017 год еще не определены (я бы ориентировался где-то на 1500 $).

4.FIRST Conference, ссылка.
  • Большая тусовка/конференция для CERTов под эгидой FIRST, будет проводится 29 раз.
  • Пройдет в San Juan (Puerto Rico) 11-17 июня.
  • Посещение платное, 1900 - 2500 $.

5.SANS SOC Summit, ссылка.
  • Большая конференция / обучение для специалистов по SOCам.
  • Пройдет в Washington, DC (USA) 5-6 июня.
  • Посещение платное, 1595 $ + много разных обучающих курсов за ~5000 $.

6.Gartner Security & Risk Management Summit, ссылка.
  • Крупная конференция для CISO. Наши российские коллеги любят ездить на нее в Лондон, но на 2017 год в расписании Лондона нет (поправьте меня, если ошибаюсь).
  • Пройдет в National Harbor, MD (USA) 12-15 июня
  • Посещение платное, 3100 - 3400 $.

7.ISACA CSX, ссылка.
  • Молодая конференция по кибербезопасности (Cybersecurity Nexus) под эгидой ISACA.
  • Проводится в Asia Pacific, North America и Europe.
  • Я бы ориентировался или на Washington, DC (USA) 02-04 октября или на London (UK) 30 октября - 1 ноября.
  • Посещение платное, 1950 - 2150 $.

8.IT SA, ссылка.
  • Крупная ИТ/ИБ выставка в Европе, проходит с 2009 года. В 2016 году на ней было 10 000 посетителей
  • Пройдет в Nuremberg (Germany) 10-12 октября.
  • Посещение вроде платное (что странно для выставки в Европе), но цены еще не определены.

9.GITEX, ссылка.
  • Крупнейшая выставка в Middle East, будет проходить 37 раз.
  • Пройдет в Dubai (UAE) ориентировочно 16-20 октября.
  • Стоимость участия еще не определено.

10.SC Congress, ссылка.
  • Небольшая однодневная конференция и выставка от известного журнала по ИБ/
  • Проводится в London (UK) 23 февраля, New York (USA) 2 мая и еще 3х городах USA.
  • Стоимость участия в New York 175$, в London вроде как 0$.

Вот как-то так. Есть из чего выбирать, и можно начать планировать путешествие на следующий год. Ну, это если вам интересен опыт иностранных коллег...