понедельник, 26 сентября 2016 г.

Модель зрелости процесса: Мониторинг и оценка ИБ

В рамках своих должностных обязанностей (сейчас я "руководитель экспертного направления", а много лет до этого я назывался "ведущий консультант", "эксперт", "ведущий эксперт") я часто занимаюсь разработкой различных стандартов, методологий, рекомендаций и других аналитических или "консалтинговых" документов. В большинстве случаев результаты работы "оседают" у заказчиков и регуляторов или используются в качестве внутренних (не публичных) разработок.

Но есть полезные документы, которые могу раздавать без ограничений (а мог бы продавать, аналоги у Gartner стоят 200 - 5 000$), например:

Сегодня выкладываю еще один, который может пригодиться, если вам интересны измерение и совершенствование ИБ. В нем кратко описаны уровни зрелости для процесса "Мониторинг и оценка ИБ". Их можете применять для оценки текущего состояния процесса и выбора цели и шагов по его улучшению (этакая дорожная карта получается).

Пользуйтесь:

воскресенье, 25 сентября 2016 г.

Пару слов про конференции ИБ конца сентября: InfoSecurity Russia и BIS-Summit


Прошедшая неделя оказалась богатой на конференции по ИБ, мне удалось посетить InfoSecurity Russia 2016 и BIS-Summit 2016. Ну, еще в четверг вечером сходил на очередное мероприятие московского отделения ISACA, но это считайте помимо прочего. 

И InfoSec и BIS-Summit уже много лет с нами, и по размаху вполне входят в ТОП10 российских мероприятий по ИБ, на которые стоит обратить внимание. С каждого я довольно много писал в твиттер (хеш-теги на первое - #infosec2016, на второе - #bissummit #biss2016 #SolarNaBISS), и попробовал сделать несколько онлай-трансляций в ФБ (контент хороший, но качество получилось средним):
  • Игорь Ляпунов (Solar Security) про работу с сотрудниками и угрозы с их стороны (ссылка);
  • Розмари Амато (ISACA) про современное состояние  cybersecurity и новые сертификационные программы ISACA  (ссылка);
  • Эльман Бейбутов (Solar Security) про использование идентификаторов компрометации (IoC) при выявлении инцидентов ИБ, а также взаимодействие с FinCERT (ссылка).

В целом, оба мероприятия мне понравились, но вот что отметил:
  • InfoSecurity Russia 2016 является выставкой, но именно выставочная часть была слабой. Я, конечно, и не ожидал размаха InfoSecurity Europe (про нее писал тут), но все же. 
  • На выставку InfoSecurity Russia 2016 начали возвращаться западные вендоры, видимо в эпоху импортозамещения показ своих стендов опять является важным маркетинговым ходом.
  • На InfoSecurity Russia было много полезных презентаций. Я приехал ради ФСТЭК России и FinCERT, они оправдали мои ожидания. Кстати, про ФСТЭК России я написал большую заметку. Вообще, для госов и гос.компаний было много интересного контента...
  • Ааа, как же долго добираться на/с InfoSecurity Russia на метро/такси/машине!
  • Самый крутой стенд на InfoSecurity был у Positive Technology, самые красивые девушки у Инфосистемы Джет (причем это были в большинстве своем именно сотрудницы, а не стендистки), самая дружелюбная атмосфера у Webcontrol.
  • На BIS-Summit 2016 в этом году была отличная выставочная зона, что вроде как и не ожидаешь от конференции. Причем большинство компаний выставляли "живые" стенды своих решений, можно было посмотреть и пообщаться с техническими специалистами. Примерно треть зала занимали стенды резидентов Сколково, да, там уже довольно много интересных ИБ-компаний.
  • Отдельно отмечу завершение BIS-Summit: музыка, игристые вина, расслабленное общение. Очень душевно и правильно для конца рабочей недели. Спасибо! 
Вот несколько фотографий:


























А чего мне не хватило, что я бы хотел еще видеть на этих и других мероприятиях по ИБ:
  • Мобильное приложение. Это очень удобно, когда под рукой актуальная программа, важная информация, схема залов и прочее.
  • Активности в соц.сетях. Практически никто не ведет трансляции с мероприятий, мало кто выкладывает фотографии, цитаты и комментарии. А это задачи организаторов: вовлекать в обсуждение, поощрять сообщения, заинтересовывать активностью, обеспечить доступ к сети интернет. 
  • Стенды с книгами ИТ/ИБ тематики. С этим вообще печаль! Привозите хорошие книги на английском и русском языках, я точно куплю!
  • Большие мастер-классы. 20 минут на хорошую практическую презентацию - это очень мало, я для своих выступлений обычно прошу 40-60 минут. Есть интересные темы и спикеры, которые могут о них хорошо рассказать. Дайте слоты времени, все будут довольны...
  • Сильные модераторы. Модераторы должны следить за таймингом, контролировать спикеров и осаживать их, если те начинают уходить в "маркетинговую воду", а также управлять вниманием зала, задавать правильные вопросы и, вообще, "качать" секцию. Хороших модераторов мало, а их выбор и привлечение - важная задача организаторов.
  • Активности в коридорах и залах. Где квадрокоптеры, битвы роботов, уличные фокусники, девушки с бодиартом? Как-то слабо креативили в этот раз организаторы, вроде бы даже фотобудок не было...

P.S. Кстати, в твиттере делал опросы, вот результаты:





пятница, 23 сентября 2016 г.

Видео: CyberSecurity. Companies like yours [eng]

На днях посетил пару презентаций Розмари Амато (International Vice President, ISACA), на которых помимо прочего показывали короткое постановочное видео про взлом корпорации хакерами. На мой взгляд, ролик достаточно интересный и полезный для повышения осведомленности сотрудников.

Сохранил и выкладываю:


Оригинал ролика на сайте Deloitte (ссылка).


P.S. Еще по теме повышение осведомленности можно посмотреть вот эти мои заметки:

четверг, 22 сентября 2016 г.

Новости ФСТЭК России на сентябрь 2016: методологии, устранение уязвимостей в СЗИ, требования к МСЭ и ОС

В этом году я не собирался идти на конференцию InfoSecurity Russia 2016, но, узнав, что представители ФСТЭК России будут рассказывать о результатах своей работы, изменил свое решение. Кстати, само мероприятие мне понравилось, я посетил 2 полных дня из 3, но сейчас не об этом. Поговорим про ФСТЭК России.

Итак, представители регулятора собрали большой зал слушателей, прочитали 2 презентации и отвечали на вопросы. Хотя именно вопросов было не много, все самое важное рассказали или в презентациях или еще в феврале (про это писал тут и тут)


Условно все тезисы можно разделить на 3 темы.

1. Про развитие методологий
  • Самое важное: работа по внесению правок в 149-ФЗ ведется, их утверждение ожидают к концу года. Это приведет к существенному расширению перечня обязательных требований по ИБ для всех ИС в гос.органах и гос.корпорациях (положения из ФЗ + Приказ №17). Отдельно напомнили про новое требование об уведомлении ФСТЭК России и ФСБ России об инцидентах ИБ.
  • Когда ФЗ будет утвержден (но не раньше, и это не смотря на то, что ждем уже давно), мы получим обновленный Приказ №17 и Методику определения угроз. Ожидаем в q1 2017 + 6 месяцев для выполнения требований. Про это говорили еще в феврале, повторяться не буду. 
  • Опять упомянули про методические рекомендации по Приказу 31 (их ждем в 2017-2018) и ГОСТы по управлению уязвимостями и безопасной разработке. Нового ничего.


  • Напомнили про требования к средствам защиты (сейчас утверждено по четырем типам: системы обнаружения вторжения, средства антивирусной защиты, средства доверенной загрузки, средства контроля съемных носителей информации). А вот остальные, которые планировали, пока "подзависли". Но к концу года все же ожидаем 2 (они отмечены красным ниже). Кстати, в начале 2017 года планируют пересмотреть требования к АВЗ...



Итого: Ожидаемого обновления методологий и подходов ФСТЭК России в этом году не произошло, и, вообще, заявленный ранее темп по разработке и утверждению новых документов не выдерживается регулятором... Хорошо это или плохо?


2. Про уязвимости в сертифицированных СЗИ и общие вопросы безопасности
  • Было выявлено боле 100 уязвимостей в сертифицированных СЗИ. Обратите внимание, что у 3 СЗИ были аннулированы сертификаты. 
  • Реакция разработчиков "не порадовала" ФСТЭК России: "время [на устранение] было затрачено просто колоссальное" (некоторые больше года), "мало того, некоторые из заявителей требовали за устранение уязвимостей определенные платы, а с нашей точки зрения это не верный подход, потому как разработчик обязан обеспечить соответствующее качество".
  • Основные проблемы устранения уязвимостей ПО по мнению ФСТЭК России:
  • Для решения этих проблем готовят методические рекомендации:
  • Основные проблемы защиты информации по мнению ФСТЭК России:

Итого: Регулятор начал активно заниматься контролем "практической" безопасности вместо "бумажной". При этом приоритет (читайте "поддержка") отдается российским разработчикам.


3. Про требования к МСЭ и ОС
  • Появились требования к МСЭ и ОС:


  • Но самое важное - это сроки перехода на другую систему сертификации:

  • И вот еще несколько слайдов про классы МСЭ и ОС, а также требования доверия:







Итого: производителям МСЭ (а чуть позже и ОС) нужно в срочном порядке подавать документы на сертификацию по новым требованиям. Да, многие этого еще не сделали...