вторник, 23 августа 2016 г.

Судебная практика: Использование DLP для доказательства разглашения информации

Для любителей DLP выкладываю несколько полезных ссылок на судебные дела, в материалах которых фигурирует упоминание DLP-систем в качестве источника доказательства разглашения информации. 

Хахаха, скептикам, которые все еще пытаются утверждать, что DLP-системы нарушают конституционные права граждан. Чушь все это (если вы конечно все правильно делаете, как правильно - смотреть тут)! Суды вполне себе принимают отчеты DLP, и предоставлять их полезно. Но стоит помнить, что их наличие не является необходимым и тем более достаточным условием признания вины...

Итак, судебная практика:

1.Решение по делу 1-160/2013, ЗАО «ФосАгро АГ» против Топчян А.А.

Суть дела: Сотрудника уволили по ст. за разглашение сведений, составляющих КТ, а потом еще судили по ст. 183 УК РФ (Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну, ч1 и ч2).

Упомянутое DLP: "Дозор-Джет" и "Контур безопасности"

Победитель: Компания

Решение Суда: Суд признал Топчана А.А. виновным по ч.1 и ч.2 ст. 183 УК РФ и назначил наказание в виде 1 года 9 месяцев исправительных работ с удержанием из заработка ежемесячно 15% в доход государства.


Чем интересно:
  • Сотрудник сначала был уволен по ТК РФ (за разглашение), а потом его еще судили по УК РФ.
  • Подсудимый вину не признал.
  • Разглашение происходило неоднократно на длительном промежутке времени (несколько лет).
  • Информацию, содержащую КТ, сотрудник пересылал на свой внешний почтовый ящик и далее различным адресатам электронной почты.
  • Суд признал достаточность мер для режима КТ (даже без грифа на документах).
  • Принятые доказательства: заключение экспертной комиссии компании, выписка из системы учета рабочего времени, протокол выемки в ООО «Мэйл.ру» и пр. Тут стоит отметить, что преследование было по УК, а значит и доказательств собиралось больше, чем нужно при увольнении по ТК.
  • Компания, которой передавались сведения, содержащие КТ, признала и возместила нанесенный ущерб в размере 2 млн. долларов США. 
  • Очень легкое наказание (на мой взгляд).

2.Решение по делу №33-90/11, Садыков Т.Ф. против ЗАО ???

Суть дела: Сотрудника уволили по статье (разглашение), он обиделся и обратился в суд с иском о восстановлении на работе, взыскании заработной платы за время вынужденного прогула, компенсации морального вреда.

Упомянутое DLP: «Дозор-Джет»

Победитель: Сотрудник

Решение Суда: Решение суда оставить без изменения (увольнение признано незаконным, сотрудник восстановлен в должности, ему заплатили средний заработок и компенсацию морального вреда).


Чем интересно:
  • Истец вину не признал.
  • Истец был в должности советника директора по безопасности.
  • Победил Истец, его восстановили на работе, заплатили средний заработок (~93 500 рублей) и моральный ущерб (10 000 рублей).
  • Суд в итоге признал разглашение банковской тайны, но все равно не изменил решение о восстановлении на работе.
  • Факт разглашения доказывался наличием о объяснением принципов работы DLP системы. "Отправка сообщения, содержащего банковскую тайну, зафиксирована программным комплексом «Дозор-Джет», что подтверждено актом по факту выполнения копий с экрана от 22 октября 2010 года".
  • "Судебная коллегия соглашается с доводами ответчика о том, что не имеет юридического значения факт прочтения сотрудниками третьего лица электронного сообщения и последующее удаление почтового адреса, на который сообщение поступило, поскольку в рассматриваемом случае разглашение окончено с момента поступления информации в обладание третьего лица." Т.е. пересылка по электронной почте - разглашение.
  • "Вместе с тем установления только факта разглашения информации, составляющей тайну, для привлечения работника к дисциплинарной ответственности недостаточно."
  • Ответчик не смог доказать, что сообщение отправлял Истец. Показания свидетеля (специалиста ИБ), который не присутствовал в момент передачи сообщения, не знаком и Истцом, и в должностную инструкцию которого не входит контроль Истца, нельзя признать достоверным доказательством.
  • "Ранее истцом уже допускалась пересылка информации путем электронных сообщений на сторонние адреса других банков, но, с учетом заслуг истца, было осуществлено только его депремирование". А еще на него было применено дисциплинарное взыскание в виде выговора. Но Ответчик не смог предоставить доказательства "неоднократности" разглашения.
  • Была нарушена процедура увольнения (не были учтены тяжесть совершенного проступка и обстоятельства, при которых он был совершен). По сути, это и стало причиной победы Истца. "Ответчиком не было представлено суду доказательств того, что мера дисциплинарного взыскания в виде увольнения была применена к истцу с учетом тяжести совершенного проступка и обстоятельств, при которых он был совершен, что также подтверждает вывод суда о незаконности увольнения истца."
  • На мой взгляд, компания "чуть-чуть не дожала до победы". Им надо было ссылаться на внутренние положения о парольной защите (у всех свой логин/пароль и их нельзя передавать), приложить информацию из СКУД и системы видеонаблюдения (о том, что сотрудник во время разглашения был на рабочем месте), пригласить свидетелей, которые могли бы сказать, что сотрудник был на рабочем месте. Также желательно было в протоколах и/или служебных записках зафиксировать, что анализ тяжести проступка и обстоятельств дела проведен, а из DLP сделать выгрузку отчетов, доказывающих неоднократное нарушение правил работы с информацией ограниченного доступа. Этого должно было бы хватить...

3.Решение по делу №2-11976/2014 ~ М-10846/2014, ???ФИО1. против Фонда социального страхования

Суть дела: Сотрудника уволили по статье (разглашение), она обиделась и обратилась в суд с иском о признании приказа об увольнении незаконным, восстановлении на работе, признании записи в трудовой книжки недействительной, оплате время вынужденного прогула, взыскании компенсации морального вреда.

Упомянутое DLP: InfoWatch

Победитель: Компания

Решение суда: Отказано в удовлетворении иска


Чем интересно:
  • Я лично принимал участие в процессе, помогал готовить аргументацию и документы для Ответчика (Компания).
  • Истец вину не признала, "ссылаясь на осуществление над её компьютером удаленного управления".
  • Уволили за разглашение служебной тайны (достаточно было наличия перечня информации ограниченного доступа, режим не нужен).
  • Внутреннее расследование началось с того, что Истец попыталась отключить агента DLP на рабочей станции. Подразделение ИБ заинтересовалось этим, и изъяло ПК сотрудницы, на котором и обнаружилось много информации, к которой она не должна была иметь доступ. В дальнейшем в отчетах DLP были найдены другие факты разглашения информации.
  • Ответчиком была соблюдена процедура увольнения. Доказательство разглашения было приведено в протоколе внутренней комиссии, проводившей проверку по факту инцидента. 

4.Решение по делу №2-283/2015 (2-6150/2014) ~ М-6623/2014, Пономаренко О.А. против ООО Национальная служба взыскания

Суть дела: Сотрудника уволили по статье (разглашение), она обиделась и обратилась в суд с иском о признании приказа об увольнении незаконным, восстановлении на работе, признании записи в трудовой книжки недействительной, оплате время вынужденного прогула, взыскании компенсации морального вреда.

Упомянутое DLP: InfoWatch

Победитель: Компания

Решение суда: Отказано в удовлетворении иска


Чем интересно:
  • Я лично принимал участие в процессе, помогал готовить аргументацию и документы для Ответчика (Компания).
  • Истец скопировала на флешку всю информацию (туда попала и КТ и ПДн), которую смогла достать, и пыталась шантажировать руководство. 
  • Режим КТ в компании не установлен (реализованы не все требования).
  • В итоге уволили за разглашение ПДн и пересылку по электронной почте на личный почтовый ящик (этот факт подтвержден DLP).
  • Ответчик в итоге согласился на мировое соглашение (это при том, что в суде выиграл).

воскресенье, 21 августа 2016 г.

Книга. Про мироустройство (типа про личное развитие)

На днях прочитал отличную книгу про личное развитие - "Комиксы про мироустройство. Как понять этот мир, прокачать себя и добиться всего, чего захочешь" (Андрей Шапенко). Она хороша, в ней есть все, что я люблю: много толковых идей по разным жизненным аспектам (работа и карьера, личная жизнь и здоровье, семья и пр.) и картинки-схемы (хотя заявлены "комиксы", но их нет, для каждой главы представлена схема-рисунок, поясняющий суть). А еще в ней практически нет "воды", она короткая и отлично структурирована. Читать ее - одно удовольствие, можно осилить буквально за один вечер. Точно попадет в мой ТОП книг, оценка - твердая "5", рекомендую к прочтению!

Для себя оставил в ней много пометок, но в блог решил выложить лишь несколько идей (текстом и картинками), они ниже:



  • Сразу же узнать, что ты хочешь от жизни, куда движешься, очень проблематично. И это тоже совершенно нормально. Дело в том, что сегодня у тебя может не хватать знаний и опыта для того, чтобы увидеть тот образ будущего, где тебе хотелось бы оказаться. Подобно альпинисту, начинающему восхождение, ты можешь не видеть вершину в начале пути. Но ты точно знаешь, что она есть, хоть и скрыта другими пиками или густыми серыми облаками. Чем глубже ты изучаешь мир, тем больше он перед тобой открывается. Пробуя разные вещи, ты начинаешь отличать свое от чужого и понимаешь, что тебе действительно по душе. Не знаешь, куда ты идешь, не стыдно. Стыдно сидеть и ничего не делать, страдая от бессмысленности и тщетности бытия. Пусть твоей целью на сегодня станет просто новый путь, а потом уже разберешься.
  • Чем больше мы знаем, тем больше неведомого нам открывается. Нам кажется, что объем нашего незнания возрастает в разы, и мы теряем уверенность в своих силах. Те же, кто пока еще находится в начале пути, окрылены быстрыми результатами и считают себя сложившимися профессионалами. Эффект Даннинга-Крюгера гласит, что дилетанты и новички зачастую ведут себя более уверенно, чем сложившиеся профессионалы, за счет чего приобретают гораздо больше уважения со стороны тех, кто принимает решения. Многие успешные, профессиональные и по-настоящему глубокие люди часто страдают от того, что боятся выглядеть некомпетентно и сказать какую-нибудь глупость. Этот страх парализует, и они действительно смотрятся на совещаниях или презентациях своих результатов как первокурсники. 
  • Если каждый день улучшать какое-то дело всего на 1%, то через год твоя эффективность в нем повысится в 38 раз. Если делать на 1% хуже, то она практически обнулится. 
  • Хочешь стать лучше - общайся с теми, кто лучше тебя. А если ты самый умный человек в комнате, то это неправильная комната и тебе пора выйти.
  • Если тебе кажется, что у тебя все под контролем, значит, ты едешь недостаточно быстро.
  • Прямым следствием иерархии потребностей человека является то, что подавляющее большинство людей практически не создают и лишь потребляют: еду, вещи и информацию. Та незначительная часть, которая что-то творит, всегда крайне мала, не более 5%.
  • Истинный лидер  - это тот человек, который является для своего последователя "надежной базой", то есть одновременно создает чувство безопасности и вдохновляет идти на риск.
  • Для своего развития тебе нужен пример, руководитель и ментор. Если твой начальник не из таких, то попробуй найти в своей организации самого умного, толкового и перспективного человека. У таких людей можно учиться, и они быстрее всех двигаются по карьерной лестнице. Лидер всегда поднимается очень быстро, и ему не нужен лишний балласт. Значит, надо делать все, чтобы ему помочь, и он это обязательно запомнит, подтягивая за собой людей, которые создают для него ценность. В свою очередь, старайся тянуть за собой собственную команду, которая оплатит за это лояльностью поддержать тебя в последующих проектах.
  • Мир несправедлив и циничен, но крайне рационален. Все можно посчитать и измерить, и всему назначить свою реальную цену. В первую очередь - стоимость труда, который ты каждый день продаешь своему работодателю или своему клиенту. Ты получаешь ровно столько, сколько стоишь. А стоишь ты столько, сколько ценности ты создаешь для организации или конкретного человека. 

  • Мудрецы говорят, что надо отдаться течению жизни и плыть по нему. Революционеры утверждают обратное: лишь через борьбу можно достичь успеха. Я думаю, что не правы и те и другие. Надо плыть не по течению и не против него: надо плыть туда, куда тебе надо плыть. А течение - лишь внешний фактор, который облегчает или усложняет твою работу.


P.S. Еще много хороших книг (а точнее обзоры и мысли из них) можно посмотреть тут - http://80na20.blogspot.ru/p/blog-page_2.html

понедельник, 15 августа 2016 г.

Про порядок передачи в ФСБ информации для декодирования информационных сообщений

На днях был опубликован Приказ Федеральной службы безопасности Российской Федерации от 19.07.2016 № 432 "Об утверждении Порядка представления организаторами распространения информации в информационно-телекоммуникационной сети "Интернет" в Федеральную службу безопасности Российской Федерации информации, необходимой для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений пользователей информационно-телекоммуникационной сети "Интернет" (Зарегистрирован в Минюсте России 12.08.2016 № 43217). Это который во исполнение соответствующего поручения президента РФ и развития темы пакета Яровой ...

Документ простой, но, по сути, ни о чем. Вот его краткий пересказ (если лень читать 2.5 странички текста):
  1. Уполномоченное подразделение ФСБ России (Организационно-аналитическое управление Научно-технической службы ФСБ России) может посылать письменный запрос заказным почтовым отправлением с уведомлением о получении Организатору распространение информации в сети "Интернет" (далее я буду использовать термин "Организатор").
  2. Организатор должен предоставить необходимую информацию на магнитном носителе по почте (или в форме электронного сообщения по электронной почте), или предоставить необходимый доступ.
И это все! 

Смотрите, что получается:
  • Не указаны сроки предоставления информации. Можно ли получить запрос и доооолго не отвечать на него? 
  • Не указан хотя бы даже примерный состав передаваемой информации. Это ключи, текст сообщения, IP-адреса, паспортные данные абонентов или что-то другое?
  • Не даны разъяснения про суть термина Организатор. Кто им является, кому будут слать запросы? Про неконкретность этого термина я писал еще 2 года назад (вот ссылка), и до сегодняшнего дня ничего принципиально не изменилось. Да, у нас есть деже реестр Организаторов (ссылка), но, насколько я понимаю, он, как и реестр блогеров, толком и не ведется... Нашел вот такой открытый список - https://reestr.rublacklist.net/distributors . Он очень короткий! Крупных сайтов там не много (vk.com, odnoklassniki.ru, www.mail.rambler.ru, mail.yandex.ru), и ожидаемо в нем отсутствуют иностранные гиганты.  И вот вопрос: запрос ФСБ может быть направлен только сайтам из реестра или еще кому-то, может владельцам любых сайтов?
  • И вообще, на кого и куда будут писать запрос? Кому будут вручать? В реестре Организаторов есть конкретные ФИО владельцев (надеюсь коллеги из ФСБ России знают их фактические адреса), а есть и просто организации. Вручать будут их владельцу/генеральному директору? А если письмо-запрос с уведомлением о вручении, то кто его будет принимать? Секретарям такое могут и не оставить...
  • Не указаны контактные данные. Куда звонить и писать в случае вопросов? Например тех, про которые я упомянул выше...
Вот и получается, что формально Порядок определили, но что конкретно делать и как не указали. Пустой документ получился, а жаль...

понедельник, 8 августа 2016 г.

Новости импортозамещения ПО. Приказы Минкомсвязи об отказе во включении ПО в реестр

На сайте реестра отечественного ПО (Единый реестр российских программ для электронных вычислительных машин и баз данных) опубликовали приказы об отказе во включении ПО в реестр. Там довольно много программных продуктов, но в основном это прикладные системы (например, иностранные системы электронного документооборота в российской обертке).

Из известных продуктов по ИБ вроде лишь эти (вот ссылка на приказ):
  • ООО "ИСЕТ Девелопмент", Клмплексное антивирусное решение "ИСЕТ" - 
  • ООО "КРИПТО-ПРО", Сердство криптографической защиты информации "КриптоПро CSP (версия 4.0)"
А еще есть Приказы Минкомсвязи об исключениии сведений о ПО в реестре (пока 1) - ссылка.

четверг, 4 августа 2016 г.

Моя презентация про Тайм-менеджмент с IT'Summer 2016

На конференции IT'Summer (в Барнауле) во второй день я уже традиционной прочитал большую презентацию по личной эффективности для ИТ и ИБ специалистов. Рассказывал про идеи и инструменты тайм-менеджмента, которые я сам использую. Запись выступления можно посмотреть вот тут, а вот сама презентация:

пр Инструменты Тайм-менеджмента, которые работают from Andrey Prozorov, CISM

Вообще, по темам личного развития мне есть что рассказать, и это я регулярно делаю. Вот несколько моих презентация:
  • Майндкарты в жизни специалиста #поИБэ (ссылка)
  • Как эффективно работать с информацией (ссылка)
  • Тайм-менеджмент: Инструменты, которые работают (ссылка)
  • Подходы и инструменты личной эффективности (ссылка)
  • Личная эффективность ИТ и ИБ специалистов (ссылка)
  • Психологические аспекты информационной безопасности (ссылка)
  • Опыт подготовки к экзамену CISM (ссылка)
  • Презентация для студентов про карьеру в ИБ (ссылка)
  • Рекомендации молодым специалистам (ссылка)

понедельник, 1 августа 2016 г.

Моя презентация про тренды ИБ в России с конференции IT'Summer 2016

Выкладываю свою презентацию про тренды ИБ в России, которую я читал 30 июля на конференции IT'Summer 2016 в Барнауле.

Upd.На сайте мероприятия выложили записи презентаций.


Конференция, кстати, очень классная! Посмотрите мой отчет по прошлому году - IT`Summer 2015 (Барнаул): Как должна выглядеть правильная конференция по ИТ и ИБ

А вот тут можно посмотреть мои прошлогодние презентации.

четверг, 28 июля 2016 г.

Книга. Выжить в цифровом мире (от ЛК)

Какую занятную книгу обнаружил на просторах сети Интернет - "Выжить в цифровом мире. Иллюстрированные советы от «Лаборатории Касперского»" (Эльдар Кудинов). Она крайне хороша для повышения осведомленности о простых вопросах информационной безопасности.
 Вот краткое описание:
"Расцвет цифрового мира оказался не совсем таким, как мы ожидали. Персональные компьютеры и мобильные устройства подарили людям доступ к знаниям и новые возможности для обмена ими, жизнь стала проще и лучше благодаря новым технологиям, в первую очередь Всемирной паутине. Но очень скоро выяснилось, что у медали есть и обратная сторона: появились первые случаи кражи личной информации, цифровые вредоносные программы научились наносить реальный ущерб, а различные преступники и извращенцы стали использовать Сеть как личную игровую площадку. Но нашлись те, кто выступил против хаоса и собрал весь свой опыт борьбы с ним, чтобы передать его следующим поколениям. Здесь мрачная часть легенды заканчивается, и начинается наша история… Следуя советам от «Лаборатории Касперского», вы не попадетесь на удочку интернет-мошенников и киберпреступников, а ваш компьютер будет надежно защищен от вирусов и вредоносных программ."
Книга проста, приятна и полезна. В ней представлено 70 советов по безопасной работе в сети Интернет, использованию мобильных устройств, пластиковых карт и пр.
С удовольствием пролистал книгу сам и обязательно дам прочитать ее родителям и менее осведомленным друзьям. Очень рекомендую! Классный Awareness, люблю такое. Вот несколько примеров из книги:




Книгу можно купить тут:

вторник, 26 июля 2016 г.

Код ИБ Онлайн + Моя презентация про интегральные метрики ИБ

На прошлой неделе принял участие в довольно забавном мероприятии - Код ИБ Онлайн. По сути, это была серия платных (599-1599 рублей минус скидки) вебинаров по ИБ, которые проходили 3 дня по 3 доклада. 

Совершенно новый формат, и просто было интересно посмотреть и потестировать "пойдет-не пойдет": готовы ли специалисты платить за контент, спикеры делать интересные и полезные презентации, а организаторы проводить мероприятия "без косяков". На мой взгляд, прошло очень успешно, я доволен и организацией и контентом коллег. Очень понравилось, рекомендую!

Смотреть и проводить вебинар из дома оказалось довольно удобно, особенно хорошо идет с виски. Вот фотография и скриншоты первого дня:




Чуть позже организаторы обещали поделиться статистикой по продаже билетов и переходу на сайт с различных площадок (меряемся аудиторией с Лукацким). Это тоже интересная информация для анализа нами блогерами. На данный момент посетителей немного больше 100 человек + пара десятков людей, купивших только доступ к записям.

С разрешения организаторов выкладываю свою презентацию, но скачать запись вебинара и другие материалы можно только платно. Либо одно выступление за 499 рублей или все за 1599 рублей - http://codeib.ru/online А с промокодом 80na20 будет еще дешевле! Там, кстати, много интересных докладов, вот программа - http://codeib.ru/online/program


Вот как-то так. Удачи!

среда, 20 июля 2016 г.

ФСБ про сертификацию СКЗИ

Вот не буду комментировать, ибо сам в шоке...

Позиция ФСБ России (ссылка):

18.07.2016

ИЗВЕЩЕНИЕ
об использовании несертифицированных средств кодирования
(шифрования) при передаче сообщений в информационно-
телекоммуникационной сети «Интернет»

Пунктом 3 статьи 11 Федерального закона от 6 июля 2016 г. № 374-ФЗ «О внесении изменений в Федеральный закон «О противодействии терроризму» и отдельные законодательные акты Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности» (далее - Федеральный закон) установлена административная ответственность за использование несертифицированных средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети «Интернет», если законом предусмотрена их обязательная сертификация.
Законодательством Российской Федерации обязательная сертификация средств шифрования и других средств защиты информации определена только для средств, предназначенных для защиты сведений, содержащих государственную тайну (статья 28 Закона Российской Федерации «О государственной тайне»).
Порядок сертификации указанных средств и их перечень установлены приказом ФСБ России от 13 ноября 1999 г. № 564 «Об утверждении Положений о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, и о ее знаках соответствия»
Обязательной сертификации средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети Интернет, массово применяемых для защиты сведений, не составляющих государственную тайну, в том числе в абонентских устройствах и базовых станциях мобильной связи, компьютерах, оборудовании информационно-телекоммуникационной сети Интернет, на соответствие требованиям по безопасности информации не требуется.


UPD. 21/07/2016 Сейчас текст на сайте был немного подкорректирован, особенно важны изменения во 2м абзаце... Стало как-то привычнее, можно выдохнуть. Позиция Службы не изменилась, революции не будет. Текст первой редакции сохраним для потомков на память.

пятница, 15 июля 2016 г.

Кратко про безопасность приложения Pokemon GO (Android)

Проверили сегодня приложение Pokemon GO для Android, которое не сложно скачать из сети Интернет даже до официального старта в России, сканером кода Solar inCode

Ниже кратенький результат (детальный отчет с рекомендациями занимает 171 страницу). Уровень безопасности - "1.1" из 5, очень много уязвимостей (втч и критичных).



Итого, рекомендуем подождать официального релиза в России, возможно, что многие уязвимости уберут и добавят новые... Будем смотреть, что будет дальше. 

Новости импортозамещения: Теперь и для компаний с гос.участием

Как мы помним, область действия основного закона (№188-ФЗ от 29.06.2015 г., а точнее даже №44-ФЗ от 05.04.2013), определяющего позицию государства по импортозамещению ПО, ограничена "государственными и муниципальными нуждами", и под его положения как бы не попадают компании с гос.участием. Это, например, авиакомпания "Аэрофлот - российские авиалинии", АК по транзиту нефти "Транснефть", Газпром, Внешторгбанк, Нефтяная компания "Роснефть" и другие, определенные в Распоряжении Правительства РФ от 23 января 2003 г. №91-р.

Но буквально на днях (11 июля 2016г.) таким компаниям были разосланы очередные "Директивы представителям интересов Российской Федерации для участия в заседаниях советов директоров (наблюдательных советов) акционерных обществ с государственным участием" (4972п-П13). В них были представлены два простых положения:
  1. Обязательство в 10-дневный срок со дня получения указанных директив инициировать проведение заседаний советов директоров (наблюдательных советов) акционерного общества с включением в повестку дня вопроса "О закупках отечественного конкурентоспособного ПО, необходимого для деятельности акционерного общества".
  2. Текст о необходимости внесения изменений в Положение о закупочных процедурах, проводимых для нужд акционерного общества:
    • закупка "ТОЛЬКО такого ПО, сведения о котором включены в единый реестр российских программ для электроннх вычислительных машин и баз данных (ссылка)", ...
    • ... за исключением случаев "в реестре отсутствуют сведения о ПО соответствующем тому же классу" или  "ПО неконкурентоспособно (по своим функциональным, техническим и(или) эксплуатационным характеристикам не соответствует установленным заказчиком требованиям к планируемому к закупке ПО)."
    • Если ПО попадает под указанные исключения, то необходимо не позднее 7 дней с даты размещения информации о закупке публиковать еще и "обоснование невозможности соблюдения ограничения на допуск ПО, происходящего из иностранных государств". 
Каких-то серьезных ограничений на закупку нет, но есть "строгая рекомендация" покупать лишь из реестра отечественного ПО...

Вот так вот, тема импортозамещения набирает обороты, и мои прогнозы (вот из этой презентации) начинают сбываться. Продолжаем следить за развитием.

вторник, 12 июля 2016 г.

ЦБ про аутсорсинг ИБ (цитаты)

В прошлой заметке я писал про появление проекта рекомендаций ЦБ про аутсорсинг ИБ, а в этой хочу напомнить о том, что предшествовало этому. Сделал небольшую подборку цитат Сычева Артема Михайловича (ЦБ РФ) с различных конференций по ИБ, на которых, помимо прочего, он упоминал необходимость и возможность использования банками услуг аутсорсинга ИБ.

Уральский форум (16.02.2016)
  • "Есть проблема, она заключается в том, что у крупных банков, безусловно, есть ресурсы, чтобы заниматься ИБ на системном уровне, а у мелких банков таких ресурсов нет, не было и не будет в ближайшее время. Даже если мы начнем сильно наказывать за ИБ. Выход из этого, на самом деле, есть. И этот выход называется аутсорсинг. Никто не говорит, что его нельзя использовать в рамках той же самой ИБ. Вопрос в том, что и как в рамках аутсорсинга делать."

Форум АЗИ (12.04.2016)
  • "Как минимум 2 услуги [аутсорсинга ИБ] могут присутствовать на рынке. Это обслуживание системы антифрода и системы обеспечения внешней защищенности."
  • "Но, к сожалению, таких услуг на сегодняшний день практически нет. Что в этом смысле может ЦБ и будет делать? А он, по уже сложившейся практике, будет готовить рекомендации в области стандартизации, где попытается описать те особенности аутсорсинговой деятельности и взаимоотношения между аутсорсером и компанией, покупающей его услуги, в части ИБ. Мы прекрасно понимаем, что это один из вариантов, который может способствовать повышению уровня ИБ именно в тех категориях кредитных организаций и, вообще, участников финансового рынка, которые на сегодняшний момент не могут себе позволить в полном объеме заниматься ИБ."
  • "Насколько это может решить проблему? Может, но тогда, когда появится жесткая система сертификации качества тех самых услуг, которые будут предоставлять. И, условно назовем, "система сертификации" того качества обеспечения ИБ, которое будет реализовано в той или иной финансовой организации. Я не могу сказать, в каком формате будет существовать система сертификации, но у ЦБ есть право проверять своих поднадзорных в том числе и по вопросам ИБ, это одна из частей операционного риска."
  • "Если у вас будет предложение аутсорсингового характера, которое может удовлетворить потребности мелких и средних финансовых организаций, я думаю, это будет выгодно и финансовому рынку и вам, как производителю."

CISOForum (18.04.2016)
  • "Я говорю про отсутствие на рынке сейчас предложений в части как раз обсуждаемой ранее задачи по аутсорсингу [ИБ]. Вот таких предложений на рынке практически нет, а рынок, на самом деле, достаточно большой, объемный."
  • "На взгляд регулятора, рынок [аутсорсинга ИБ] есть и достаточно большой."
  • "Это [аутсорсинг ИБ] могут быть разные направления: и защита периметра и работы по защите от НСД, и то, что называется антифродом."
  • "Спасение в аутсорсинге [ИБ] в том, что это часть функционала [ИБ], который банк не может себе позволить. Как атака идет? Идет заброс любыми путями, как правило, это массовая рассылка вредоноса в сеть. Дальше, соответственно, вредонос начинает эту активность уже внутри сети. Вот проблема в том, что эту активность никто внутри кредитной организации не видит. Почему не видит? Потому, что никто за эти не наблюдает, ни информатизаторы, ни безопасность, никто. Почему не наблюдают? А потому, что у них нет на это времени, сил и компетенций. А это та самая задача, которую совершенно спокойно можно выносить на аутсорсинг."
  • Олег Седов: "Я правильно понимаю, что мы сейчас договорились до того, что FinCERT стал частным случаем аутсорсинга ИБ?" Сычев А.М.: "Нет, FinCERT - это не вариант аутсорсинга, у него совершенно другие задачи. А вот в качестве аутсорсинга, компании, которые могут взять на себя хотя бы анализ того самого трафика и предупреждение на периметре, это как раз то, что можно смело двигать в сторону мелких и средних кредитных организаций."
  • Олег Седов: "...Увязан ли с юридической точки зрения этот вопрос [Вопрос о том, что вдруг при передаче на аутсорсинг провайдер получает информацию, составляющую ПДн и БТ. На самом деле, кстати, обычно нет.]"? Сычев А.М.: "Слушайте, а когда банк передает коллекторам свои долги, это ни кого не смущает?! И когда страховые компании привлекают для продажи своих продуктов большое количество агентов. Это ни кого не смущает. Когда сидит агент банка где-нибудь в торговой точке, а с банком он связан лишь той самой информационной системой и правилами выдачи кредитов и совершенно может быть не связан договором. Это тоже ни кого не смущает. То есть юридически варианты работы и с ПДн и с банковской тайной, когда это нужно бизнесу, бизнес всегда находит. А как только дело касается безопасности, то тут, коллеги, извините, включается "тумблер безопасника", который принимает сразу огромное количество различных конструктивных материалов, которые говорят, что так нельзя. И старательно доказывают, что так нельзя. "Так нельзя и все". Но задача не в том, чтобы сказать, что "нельзя", а чтобы найти варианты "как можно"."
Дык вот, проект рекомендаций в области стандартизации Банка России РС БР ИББС-2.Х-20ХХ «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аутсорсинг информационной безопасности» и дает ответ на вопрос "как можно" использовать аутсорсинг ИБ...

понедельник, 11 июля 2016 г.

Рекомендации ЦБ РФ по аутсорсингу ИБ

В среду (06.07.2016) ЦБ РФ выложил на обсуждение проект рекомендаций в области стандартизации Банка России РС БР ИББС-2.Х-20ХХ «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аутсорсинг информационной безопасности». Замечания и предложения можно подавать до 31.08.2016, но только участникам технического комитета ТК122, вот ссылка для тех, кто имеет доступ.

Введение у документа очень лаконичное, но по существу:
"Действующим стандартом Банка России “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения” (далее — СТО БР ИББС-1.0) определена необходимость создания и поддержания на должном уровне системы обеспечения информационной безопасности (далее — СОИБ) организаций банковской системы (далее — БС) Российской Федерации (далее — РФ). Одним из вариантов оптимизации и повышения результативности и эффективности СОИБ является использование услуг аутсорсинга информационной безопасности (далее — ИБ). 
Настоящие рекомендации устанавливают подход к использованию аутсорсинга ИБ организациями БС РФ и способствуют: повышению доверия к аутсорсингу ИБ; достижению адекватности мер защиты реальным угрозам ИБ; совершенствованию СОИБ."
Я редко пишу про проекты документов, но этот уж слишком хорош и полезен даже в первой редакции. Вот, что в нем можно найти уже сейчас (выделил цветом для удобства):
  • Термины и определения (например, "аутсорсинг", "инсорсинг", "аутстаффинг", "SLA" и другие).
  • Причины использования услуг аутсорсинга ИБ, приведу их:
"5.4. Среди главных причин использования аутсорсинга ИБ организациями БС РФ можно назвать:
Кадровые
-отсутствие необходимых квалифицированных и мотивированных кадров внутри организации БС РФ;
-необходимость высвобождения ключевых специалистов для других проектов и задач;
-необходимость снижения зависимости от собственных работников организации БС РФ
Экономические
-повышение прозрачности и предсказуемости расходов на СОИБ;
-оптимизация расходов на СОИБ;
Технологические
-повышение общего уровня ИБ за счет использования современных технологий и методологий;
-возможность обеспечения отдельных процессов СОИБ в режиме 24х7;
Временные
-возможность быстрого внедрения отдельных процессов СОИБ;
-возможность быстрого повышения уровня зрелости отдельных процессов СОИБ."
  • Сравнение Аутсорсинга и Инсорсинга (по возможностям и рискам).
  • Общий перечень возможных услуг аутсорсинга ИБ, а также рекомендации для SMB. Общий перечень приведен, кстати, с маппингом на меры из СТО БР ИББС 1.0 с указанием приоритетов.
  • Подходы к аутсорсингу ИБ, тоже приведу их полностью:
"5.10.Организациям БС РФ стоит ориентироваться на один из следующих подходов к аутсорсингу ИБ:
-Долговременное сотрудничество. На аутсорсинг передаются непрофильные и/или сложные процессы ИБ (например, мониторинг событий и реагирование на инциденты ИБ).
-Среднесрочное сотрудничество. На аутсорсинг временно передаются сложные технологические процессы СОИБ до тех пор, пока не будет реализован соответствующий процесс внутри организации БС РФ. Например, процесс мониторинга событий ИБ может быть передан на аутсорсинг на время построения собственного Центра мониторинга и реагирования.
-Кратковременное сотрудничество. Усиление СОИБ услугами аутсорсинга на время проведения крупных мероприятий, характерных увеличением рисков ИБ (например, политические саммиты, выборы, спортивные соревнования, международные конкурсы и другое)."
  • Сравнение Аутсорсинга и Аутстаффинга.
  • Положения про разделение ответственности между заказчиком и провайдером услуг аутсорсинга.
  • Цикл аутсорсинга (детальные рекомендации по каждой фазе), приведу только фазы:
Фаза 1. ОЦЕНКА. На этой фазе проводятся оценки текущего состояния системы ИБ и возможности передачи отдельных процессов ИБ на аутсорсинг, определяются цели и задачи, формируются первичные требования и ожидания. Если услуги аутсорсинга уже используются, то производится оценка их эффективности и результативности.
Фаза 2. ВЫБОР. На этой фазе происходят утверждение финальных требований к услугам аутсорсинга ИБ, выбор их поставщика (Провайдера услуг аутсорсинга) и согласование метрик и показателей услуг.
Фаза 3. ПЕРЕХОД. На этой фазе производится подключение и реализация выбранных услуг аутсорсинга ИБ.
Фаза 4. УПРАВЛЕНИЕ И КОНТРОЛЬ. На этой фазе предоставляются услуги аутсорсинга ИБ и производится контроль их соответствия утвержденному SLA.
  • Критерии выбора провайдера услуг аутсорсинга.
  • Вопросы для обсуждения с Провайдером услуг аутсорсинга ИБ.
  • Пример целевых показателей для услуги «Мониторинг и анализ событий ИБ.
  • Ссылки на полезные международные стандарты.

Т.е. уже сейчас документ раскрывает вопросы аутсорсинга ИБ со всех возможных сторон и дает огромное количество рекомендаций. Кстати, они достаточно универсальные и могут быть использованы не только финансовыми организациями... Красота :)))

воскресенье, 10 июля 2016 г.

"How to speak emoji" for Information Security

Прочитал забавную книгу "How to speak emoji", в которой на примерах объясняют, как с помощью картинок emoji (они есть в качестве отдельной клавиатуры на любом смартфоне) можно показать любые фразы и выражения. 

Сначала автор рассказывает об общих принципах и объясняет значение типовых картинок. А потом приводит огромное количество примеров.



Примеры забавные, даже записал себе несколько:
  •  🏂🔨🏊  - Let's break the ice.
  • 😱👼💩  - holy crap!
  • 🎣🐟  - You're a catch!
  • 👀💃⛔️😵  - I'll never look at another woman again.
  • 👉👌👱👈  - Go fuck yourself!
  • 👋🚕🍻😵  - Put me in a taxi, I'm drunk 
  • 🙈🙉👉💥👉👤  - That's his problem

Есть даже несколько фраз и про информационную безопасность (вставил картинку, т.к.не все символы отображаются):

Мне идея понравилась! И тоже решил составить свой небольшой сборник про ИБ, получилось вот так:


Ну, как вам? Может добавить еще каких-то слов, фраз и крылатых выражений?