Обзор отчета по инсадерам от ESG и Vormetric

Нашел в сети еще один интересный отчет по инсайдерам от команий ESG и Vormetric:  "The Vormetric Insider Threat Report". Отчет датирован октябрем этого (пока еще 2013го) года основан на опросе 707 ИТ-профессионалов, ответственных за  информационную безопасность в своих организациях, объем доходов которых  находится в пределах от менее, чем $250 млн. до более, чем $20 млрд. В опросе участвовали специалисты из разных отраслей и государственных сегментов.

Итак, пока сообщество безопасников зацикливается на защите от вредоносных программ, инсайдеры и связанные с ними атаки остаются проблемой для многих организаций:

• Инсайдерские угрозы продолжают представлять из себя проблему. Большая часть организаций верит, что эти угрозы становятся всё более сложными для выявления и предотвращения, и поэтому они до сих пор уязвимы для угроз такого типа. Но почему? Показатели ИТ (такие, как количество пользователей, устройств, сетевых пакетов и т.д.), облачные вычисления и вредоносные программы позволяют инсайдерам оставлять незамеченными свои действия, представляя их в виде обычной деятельности.
• Статус-кво в безопасности не является хорошей практикой. Компании продолжают вкладывать средства в защиту периметра, межсетевые экраны, IDS/IPS-системы, антивирусную защиту.  Но эти средства защиты не подходят для защиты от инсайдеров и тех угроз, для которых уже имеется правомерный доступ к системам, опыт и понимание того, как можно легко обойти меры защиты и украсть важные данные, причинив при этом огромный ущерб.
• Передовые  организации направили вектор своего движения в сторону стратегий безопасности данных. Данные ESG показывают, что организации, заботящиеся о безопасности, увеличивают свои инвестиции в технологии гранулированного доступа к данным, шифрование, управление инфраструктурой ключей и интеллектуальную защиту данных. Это и есть ведущие показатели движения рынка в будущем. 

Выдержка из отчета:

Ниже приведен список потенциальных методов, используемых инсайдерами. Как вы считаете, насколько уязвима  ваша организация к каждому из них?

Как видно, в среднем половину ответов составляют ответы "Сильно уязвима" и "Отчасти уязвима", что является, на мой взгляд, важным показателем для того, чтобы начать всерьез рассматривать угрозы инсайда и защиты от них.

Сам отчет доступен здесь.

SANS. 17 Critical Controls

Сразу необходимо сказать, что речь идет не о достаточно широко известных SANS 20 Critical Security Controls, а о описанных в документе SANS. Information Risks & Risk Management. 

На самом деле, я бы назвал это чеклистом: утвердительный ответ на все вопросы может позволить говорить о надежности систем в разрезе информационной безопасности. От себя хочу заметить, что каждая из этих мер описана достаточно объемно. Понравилось обпределение политики ИБ, данное в раскрытии первого пункта:

Политика информационной безопасности - письменное соглашение, построенное вокруг защищаемых информационных активов организации и направленное против случайного или преднамеренного раскрытия, модификации или уничтожения таких информационных активов.(Wurzler, 2004)

17 критических мер защиты

1. Введена ли у вас политика информационной безопасности? Понятна и соблюдается ли она всеми сотрудниками, подрядчиками и другими лицами или организациями, имеющими доступ к вашей конфиденциальной информации?
2. Установлено ли антивирусное ПО на все системы?
3. Соблюдаются ли правила обновления ПО, включающие, как минимум, еженедельный мониторинг новостей вендоров или автоматические уведомления о доступности обновлений безопасности? Тестируете и устанавливаете ли вы критические обновления безопасности, как только это становится возможным (но не позднее, чем в течении 30 дней после выхода)?
4. Используются ли мобильные устройства, запрещенные устройства или программное обеспечение? Важен учет и управление такими активами.
5. Надежно ли (в плане информационной безопасности) настроены файерволлы, информационные системы и системы безопасности?
6. Тестируете ли вы свою систему безопасности (как минимум, ежегодно) для гарантированной эффективности технических средств защиты? Тестируете ли вы процедуры реагирования на инциденты (такие как взлом систем, вирусы, отказ в обслуживании)?
7. Можете ли вы восстановить ваши системы, пострадавшие от утечек данных, повреждения или сбоя в сетях в течении 24 часов (для критичных систем и операций, от которых зависите вы или ваши заказчики и партнеры)?
8. Все ли каналы удаленного доступа к внутренней сети защищены аутентификацией, шифруются и доступный из систем, которые защищены по меньшей мере так же, как ваша?
9. Основано ли управление правами доступа на принципе минимальных привилегий? Аннулируете ли вы права доступа и привилегии после того, как они больше не требуются (но не позднее, чем через 24 часа после любых изменений в правах доступа)?
10. Имеется ли у вас в организации квалифицированный персонал, занимающийся информационной безопасностью? Или занимаются ли управлением вашей информационной безопасностью организации, специализирующиеся на этом?
11. Если вам нужно обойти или отключить контроль информационной безопасности ( например, во время чрезвычайных ситуаций или тестирования мер защиты), всегда ли для этого запрашивается подтверждение более, чем одного человека и всегда ли защитные меры активируются обратно тогда, как только это становится возможным?
12. Всегда ли вы требуете от всех третьих лиц, которым вы доверяете свою конфиденциальную информацию, договор о защите такой информации, включающий гарантии использования защитных мер, по крайней мере эквивалентных мерам, принятых в вашей организации. Проводите ли вы аудит их соблюдения?
13. Внедрены ли у вас процессы, позволяющие отслеживать и регистрировать действия лиц, которые имеют доступ или контролируют конфиденциальную информацию и время такого доступа или контроля (например, соглашение о контроле)?
14. Храните ли вы конфиденциальную информацию не дольше, чем это необходимо; и если такая информация больше не требуется, уничтожается ли она при помощи технических средств, не позволяющих ее восстановить?
15. Внедрены ли у вас технические меры защиты для предотвращения несанкционированного доступа к компьютерам, сетям и данным в вашей организации?
16. Контролируете и отслеживаете ли вы  все изменения в вашей сети, чтобы быть уверенным в том, что она надежно защищена?
17. Участвует ли юридический отдел вашей организации в процессе проверки на соблюдение требованиям и установленным нормам регуляторов? 

Кстати, я отдельно уже приводил описание основных характеристик инсайдера из этого же документа. А они, в свою очередь, заимствованы из отчета Symantec по инсайдерским рискам.

Symantec. Основные характеристики инсайдеров.

В документе "Informarion Risks & Risk Management" из библиотеки SANS, о котором я уже говорил ранее, есть интересная информация по инсайдерам. Взята эта информация из отчета Symantec Behavioral Risk Indicators of Malicious Insider Theft of Intellectual Property: Misreading the Writing on the Wall. Ниже приведу данные из отчета, которые обозначены в SANS. Information Risks & Risk Management.

Symantec оценил угрозы кражи интеллектуальной собственности для компаний США в $250 млрд. в год и угрозы от преступлений в области информационной безопасности в $114 млрд. ежегодно. Позже, ФБР в своих отчетах подтвердило, что инсайдеры являются основным источником и инструментом конкурентов для кражи информации ограниченного доступа. Ниже изложены общие характеристики инсайдеров:

• Инсайдеры, ворующие интеллектуальную собственность, часто работают на технических должностях. Основные кражи интеллектуальной собственности совершены работниками-мужчинами, в среднем 37 лет, обычно инженерами, исследователями, менеджерами или разработчиками. Большая часть из них подписывала соглашение об интеллектуальной собственности. Это показывает, что исключительно политика, без понимания ее персоналом и эффективного применения, неэффективна.
• Обычно у инсайдера уже есть новая работа или предложение. Около 65% сотрудников, решивших украсть интеллектуальную собственность, уже имеют реальные предложения работы в компаниях-конкурентах либо открыли свой бизнес на момент кражи. Около 20% были завербованы посторонними лицами, заинтересованными в данной информации, а порядка 25% отдали полученную информацию в иностранные компании или в другие страны.
• Инсайдеры чаще всего воруют ту информацию, к которой имеют доступ. Инсайдеры воруют информацию, которую они знают и часто считают, что имеют права на эту информацию. Как факт, 75% инсайдеров украли информацию, к которой имели доступ.
• Коммерческая тайна - самый распространенный тип интеллектуальной собственности, воруемой инсайдерами. Как правило, коммерческая тайна воруется в 52% случаев. Бизнес-информация, такая как биллинговые данные, прайс-листы и прочая административная информация воруется в 30% случаев, исходные коды в 20%, несвободное ПО в 14%, информация о клиентах в 12% и бизнес-планы в 6% случаев.
• Инсайдеры используют технические средства, чтобы украсть информацию, но большинство краж обнаружены сотрудниками на нетехнических должностях. В большинстве случаев (54%) для кражи используются электронная почта, возможности удаленного доступа и сетевые протоколы передачи данных.
• Основные черты характера инсайдера способствуют увольнению и краже. Общие проблемы проявляются до факта кражи и, вероятно, способствуют мотивации к ней. Это подтверждает роль индивидуальных психологических наклонностей, стрессовых событий и беспокойного поведения как показателей инсайдерских рисков.
• Профессиональные неудачи могут ускорить принятие решения инсайдером украсть интеллектуальную собственность. Ускорение наступает тогда, когда сотрудник устает "думать об этом" и решает действовать или склоняет к этому кого-то другого. Часто это происходит после осознания профессиональной неудачи или неоправдавшихся ожиданий.

RISSPA. ИБ 3.0. Семинар в Санкт-Петербурге.

В пятницу, 22 ноября, прошел первый семинар Петербургского отделения RISSPA, и я имел честь присутствовать на нем. Мария Сидорова, вице-президент RISSPA и руководитель отделения в Северной Столице, приложила много усилий, чтобы мероприятие прошло на должном высоком уровне. И надо сказать, что ей это удалось. Хороший выбор докладов и их разноплановость оставили, лично у меня, очень хорошее впечатление. Но обо всем по порядку:

После приветственного слова Марии первым с докладом выступил Александр Кузьмин, генеральный директор компании «Альтирикс системс». Александр достаточно интересно рассказал, "Как построить СУИБ в организации с территориально-распределенной инфраструктурой", об управлении рисками и о том, что с этим связано.

Далее за трибуной появился независимый эксперт по информационной безопасности Сергей Кубан. Доклад "Практический опыт специалиста по ИБ: от проблем взаимодействия служб ИТ и ИБ до проверок регуляторов" был очень информативен, местами зал даже не успевал уловить всё, что Сергей хотел рассказать. Он поделился опытом, накопленным за свою немалую профессиональную деятельность, обратил внимание на значимость грамотного построения взаимодействия служб ИТ и ИБ, на принцип Парето (80 на 20), в котором 80% отводится организационным мероприятиям и лишь 20% техническим.

Перед кофе-брейком Мария с немалой долей удовольствия наградила двух победителей конкурса, о котором было объявлено незадолго до мероприятия. Скажу честно, выбор одного из победителей стал для меня приятной неожиданностью. 

После перерыва слово взял Андрей Бешков, руководитель программы ИБ компании Microsoft в России. Свой доклад "Гибридные облака как средство защиты персональных данных" Андрей начал со слов:

"Все что я буду говорить желательно воспринимать со здоровой долей скептицизма, вам потом с этим жить"

Однако, Андрей по полочкам разложил все то, что мы знали про облака, но боялись спросить. Как лучше хранить персональные данные в облаках, как их категорировать, какие есть варианты организации доступа и многое другое. Он поделился опытом категорирования в Microsoft. И все это в приятном сумраке. Свет выключили, чтобы презентацию было лучше видно. Однако от выключения света стало только лучше, на мой взгляд. После Андрей ответил на вопросы, которых, кстати, к нему было больше, чем к остальным. По крайней мере, как показалось мне.

Затем Сергей Шустиков, генеральный директор компании Deiteriy, в своем докладе "Стандарт PCI DSS: изменения и нововведения в версии 3.0" выделил основные изменения в новой версии стандарта, рассказал пару случаев из жизни аудитора. Одной из основных мыслей доклада Сергея была, наверное, фраза 

"Безопасность перестает существовать тогда, когда ей перестают заниматься". 

И говорил Сергей о том, что достигнув какого-то результата, его нужно поддерживать, а не освобождать ресурсы и направлять их в другое русло.

Ну, и завершил серию докладов Евгений Родыгин, заместитель генерального директора по развитию компании «М-СТАНДАРТ холдинг», рассказав про "Заблуждения и стереотипы относительно анализа кода. Практическая демонстрация работы сканеров SAST & DAST". И особо приятно здесь то, что даже несмотря на технические сложности с подключением к проектору, слушатели семинара так уютно и по-домашнему собрались вокруг ноутбука, на котором Евгений демонстрировал работу сканеров. Как я уже писал в соцсетях, 

"На #RISSPA_SPb даже технические проблемы не проблема! Евгений Родыгин демонстрирует работу сканеров SAST и DAST в действии! Зал заинтересован работой процесса сертификации изнутри!"

На этом официальная часть была завершена, оставив очень хорошее впечатление. Благодарю организаторов и докладчиков! Также о семинаре написан информативный официальный пресс-релиз.

McAffee:Подписанное вредоносное ПО. Чему Вы теперь верите?

Выдержка из блога McAffee, автор Doug McLean:

Одной из особенностей отчета McAfee Labs Threats Report, Third Quarter 2013 является то, что доля подписанного вредоносного ПО увеличилась почти на 50%, более чем на 1,5 миллиона новых сигнатур. Последствия этого являются весьма существенными как для как для практиков по информационной безопасности, так и для глобальной инфраструктуры доверия.

Новое вредоносное ПО с цифровой подписью

Оригинальный пост: http://blogs.mcafee.com/mcafee-labs/digitally-signed-malware-just-what-can-you-trust-now

Отчет: McAfee Labs Threats Report, Third Quarter 2013

SANS. Information Risks & Risk Management

Изучаю интересный документ: Information Risks & Risk Management от SANS.

Автором является John Wurzler. Документ достаточно интересный. И свежий, апрель 2013. Приведу вольный перевод резюме документа.

"В обзоре рассматриваются различные ситуации, с которыми компании сталкиваются, полагаясь на технологии двадцать первого века. Он охватывает информацию во всех ее формах и новые угрозы, которые подвергают эту информацию рискам. Классификация данных в категориях определяет  тип и степень риска. Исследуются типы процессов и средств контроля, которые организации могут использовать, чтобы минимизировать эти риски. Внутри каждого раздела, даны целевые рекомендации и советы, предназначенные для дальнейшего понимания. Наконец, в документе будут рассмотрены шаги, необходимые для реагирования, принятия решений, и восстановления в случае инцидентов. В качестве постскриптума, документ также охватывает формы страхования, которые могут помочь облегчить финансовое потери, часто связаны с этими событиями."

Хочу отметить, что это не документ типа "стандарт", а, скажем так, авторская выборка из множества документов. Вот эти документы и ресурсы:

• SANS Security Policy Project  
• CERT National Cyber Alert System (необходима регистрация)
• ICSA Labs – on Spyware – an excellent paper 
• IDC  Research      
• Windows Patch Management 
• How To Implement, Automate And Measure The Effectiveness Of Controls 
• National Institute of Standards and Technology’s Guidelines on Firewalls and Firewall 
• Policy
• Information Security Handbook: A Guide for Managers, National Institute for 
• Standards and Technology 
• Contingency Planning Guide for Information Technology Systems, National Institute of 
• Standards and Technology 
• Computer Security Incident Handling Guide, National Institute of Standards and 
• Technology 
• Avoiding the Trail by Fire Approach to Security Incidents, CERT Frequently Asked 
• Questions
• Security for Telecommuting and Broadband Communications, National Institute of 
• Standards and Technology 
• An Introduction to Computer Security: The NIST Handbook Chapters 10 and 17, 
• National Institute of Standards and Technology
• Isalliance Common Sense Guides, Internet Security Alliance 
• Database of information security professionals certified by (ISC) 
• Information Systems Audit and Control Association 
• An Introduction to Computer Security: The NIST Handbook Chapters 10 and 16, 
• National Institute of Standards and Technology (более не является обязательным).  
• An Introduction to Computer Security: The NIST Handbook Chapters 14 and 18, 
• National Institute of Standards and Technology 
• Guidelines for Media Sanitization, National Institute of Standards and Technology 
• An Introduction to Computer Security: The NIST Handbook Chapter 14, National 
• Institute of Standards and Technology 

Также в SANS Reading Room много другой полезной информации подобного рода. И RSS отдельно есть.

Изменение политики конфиденциальности Google

После летних новостей о том, что Руслан Гаттаров "взялся" за интернет-компании с целью проверки условий обработки персональны данных тема немного затихла. Однако, на днях появилась новость о том, что Google изменила свою политику конфиденциальности.
Ради справедливости хочется заметить, что политика датирована 24 июня 2013 года (а предыдущая редакция 27 июля 2012)
Как пишет Российская Газета, передавая слова Руслана Гаттарова, "новая редакция политики конфиденциальности ограничивает передачу персональных данных третьим лицам рядом процедур, что полностью соответствует требованиям российского законодательства"

А что изменилось-то?

Ниже привожу изменения относительно политики 2012 года. Они затрагивают всего два раздела:

• Прозрачность и возможность выбора.
• Информация, которую Google предоставляет третьим лицам. Для обработки третьими сторонами по поручению Google.

И если изменения в первом упомянутом разделе малоинтересны и касаются, в основном, изменения формулировки непонятного Менеджера рекламных предпочтений, то изменения во втором разделе прямо касаются требований статьи 6 ФЗ "О персональных данных":

1. В формулировке "Для обработки третьими сторонами" добавились слова "по поручению Google".
2. Теперь Google не просто отправляет персональные данные, а предоставляет их.
3. Предоставляет теперь не на обработку дочерним компаниям Google,  а также доверенныи лицам и партнерам по бизнесу, а аффилированным лицам Google и иным доверенным компаниям и лицам для обработки по поручению Google.
4. Появились именно требования конфиденциальности ("должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке", п.3, ст.6 ФЗ "О персональных данных").

А вообще, последнее время Google частенько стал мелькать в новостях:

• Прознав о том, что АНБ могло перехватывать незашифрованный трафик между его ЦОДами, Google решил шифровать его и в этих каналах.
• Министерство информационных технологий и связи Ростовской области рекомендовало госучреждениям отказаться от использования иностранных сервисов, в том числе Google

Недавно я уже писал про политику конфиденциальности Google, но с другой стороны.

Об анонимности, СОРМе и политике конфиденциальности Google

Давно назревала у меня эта статья. А нынешние новости о новом СОРМе и желании ФСБ контролировать интернет довели мысли до какого-то логического завершения. По поводу СОРМ уже высказались Алексей Лукацкий и Сергей Борисов.

После разоблачения Эдвардом Сноуденом некоторых реалий работы АНБ в сети все чаще и чаще поднимается вопрос об анонимности в интернете. Люди хотят оставаться незамеченными при совершении действий различного характера. Но зачем? Что движет этим? Для разбора этой темы для начала хотелось бы определить два понятия: приватность (неприкосновенность частной жизни) и анонимность.

Спросим у Википедии:

Неприкосновенность частной жизни (в юридической науке) — ценность, обеспечиваемая правом на неприкосновенность частной жизни.

Право на неприкосновенность частной жизни включает:

• запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия;
• право контролировать информацию о себе;
• право на защиту чести и доброго имени;
• право на защиту персональных данных;
• право на тайну связи (иногда оформлено как отдельное право);
• право на неприкосновенность жилища (иногда оформлено как отдельное право);
• врачебную тайну, тайну усыновления, тайну исповеди и другие виды профессиональной тайны.

Значение слова «аноним» различно для различных видов (широко понимаемого) текста. Анонимными могут быть произведения искусства (литературные сочинения, музыкальные пьесы, артефакты изобразительного искусства и т.п.) и научные труды (например, анонимные музыкально-теоретические трактаты). Следует отличать анонимность как принцип сознательного отношения автора к собственному «личному вкладу» в науку/искусство (характерного, например, для мировоззрения средневекового монаха-христианина) от прозаической «вынужденной» анонимности (когда автора невозможно установить, например, по причине утраты титульного листа старинной рукописи). Анонимность произведения искусства и/или научного труда затрудняет идентификацию такого текста. Разнобой в идентификационных критериях («ярлыках» науки, которые учёные прикрепляют к анониму), приводит к тому, что одно и то же произведение может идентифицироваться по-разному и, наоборот, два разных анонимных текста могут получать в науке одинаковые идентификационные ярлыки.

 В повседневной жизни анонимными могут быть утилитарные сообщения — письма, пасквили, доносы и т.п. Применительно к утилитарным сообщениям, «анонимным» считается любое неподписанное послание (в разговорной речи — «анонимка»). Главным критерием является невозможность точно установить личность писавшего.

Применяя данное понятие для Интернета, можно сказать, что

Анонимность в интернете - это такое свойство реального человека в сети, при котором установить его личность и, соответственно, связанные с этим понятия, не представляется возможным.

или

Анонимность в интернете - мнимое свойство участника сетевого взаимодействия, заключающееся в невозможности установить фактическую личность участника или его атрибуты.

 "Правила..."  не вызывают у меня сильного негодования. Да, может быть они, скажем так, "через чур жесткие" и в чем-то не стыкуются с Конституцией, но...

В век информационных технологий все мы, или очень многие, работаем за компьютерами. И потенциально каждый системный администратор может беспрепятственно вторгаться в частную жизнь сотрудников, чьи компьютеры он администрирует. Однако администраторам, в большинстве своем, это не интересно. Да и сами пользователи об этом не сильно беспокоятся.

Интернет и технологии очень сильно и прочно вошли в нашу жизнь. Приведу пример, иллюстрирующий хотя бы +/- 20-летнюю разницу. Именно столько в этом году исполняется Конституции РФ, в которой прописано право на неприкосновенность частной жизни. Девушка на фото занимается тем, что в повседневной жизни мы называем "гуглить". Если сейчас нужно просто пару раз стукнуть пальцем по клавиатуре написать поисковый запрос, то раньше нужно было идти в библиотеку, искать, выписывать. И говорить, что сегодня стало проще, чем 20 лет назад (да каких 20, хотя бы 10) -  не говорить ничего.

Я готов согласиться, что новые правила могут нарушать неприкосновенность частной жизни. Но с другой стороны это делается для безопасности граждан (так заявлено).

Для чего нужна анонимность в сети? Для того, чтобы путешествовать по бескрайним просторам сети "без лица" и совершать какие либо действия. Если провести аналогию с реальным миром, то каждый автомобиль имеет государственный регистрационный номер. Номер "привязан" к самому авто и, соответственно, к конкретному человеку или организации. В повседневной жизни на этот номер никто не обращает внимания. Однако при ДТП по номеру "в два клика" вычисляется владелец. Не будь номеров - на дорогах царила бы анархия (я умышленно промолчал о ПДД, это немного из другой оперы). А так - тишь и благодать... И пробки =) Каждый водитель понимает, что при несоответствующем его поведении на дороге он будет привлечен к ответственности. И все водители принимают условия этой игры. В дополнение на дорогах стоят камеры, которые могут фиксировать все передвижения авто. Никого же это не смущает.

Это же самое и с СОРМ. При добропорядочной и законопослушной жизни человек для государства просто обычный элемент общества. Однако, при нарушении закона этого человека надо найти. И если новые правила дадут соответствующим органам больше возможностей для поимки криминальных элементов в сети - то это только плюс.

У каждого на слуху сейчас ситуации с доверчивыми людьми и СМСками из "банков" о "блокировании карты". То, что бдительный гражданин не будет переводить свои кровные неизвестно кому и куда - это очевидно. А не бдительный? Он не гражданин? Ну да, понял гражданин, что лохонулся опрометчиво поступил, не проверил. Но от этого факт мошенничества не исчезает и деньги не обратно не возвращаются. А новые правила СОРМ помочь может быть и смогут. Плюс преступления расследуются по месту совершения. А в данном случае местом совершения будет банкомат, где произошел факт получения денег. А если потерпевший во Владивостоке, а злоумышленник в Калининграде? Как долго будут бумаги гулять... За это время концов точно не найти. И, от части, потому, что люди живут в онлайне, а полиция работает в офлайне.

А если бы полиция наша могла узнать, что за номер, как передвигается, какие еще номера рядом (в физическом смысле) чаще других находятся и дальше распутывать клубок, то было бы проще.

Многие читали политику конфиденциальности Google? Не думаю. Однако Google собирает о нас много разной информации. Что-то сами отдаем, что-то Google берет сам из журналов устройств под благовидным предлогом персонализации поиска и рекламы. Вот некоторые данные, выписанные из политики конфиденциальности:

• имя человека;
• адрес электронной почты;
• реквизиты кредитной карты; 
• модель телефона;
•  версия операционной системы;
• уникальные идентификаторы устройства;
• данные о мобильной сети; 
• номер телефона;
• номера телефонов для входящих вызовов; 
• номера телефонов для исходящих  вызовов;
• номера телефонов для переадресованных вызовов; 
• дата и время телефонных вызовов;
• тип телефонных вызовов;
• продолжительность телефонных вызовов;
• информация о маршруте SMS;
• IP-адреса;
• данные об аппаратных событиях на устройстве;
• данные о сбоях на устройстве; 
• данные о действиях в системе;
• данные о  настройках, типе и языке браузера; 
• данные о дате и времени запроса и URL перехода;
• сведения о местоположении;
• ...

Что можно сказать? Google знает все...в том числе и о нас.

ЗЫ. Интересное понимание понятия: Анонимность в интернете - городская легенда конца 90-х, начала 2000-х (см. НЛО, Атлантида, полтергейст и т..п)

  

Что еще почитать:

О соцсетях, цензуре и музыке

  

DLP-Russia 2013. Как это было

Прошло некоторое время  с момента проведения DLP-Russia. Эмоции немного улеглись и остались, если так можно сказать, чистые впечатления. Ими я и поделюсь. Если говорить об организации мероприятия, то она была на должном уровне.

В первой, пленарной, части выступали "мамонты" информационной безопасности (да простят эти люди мне это вольнословие).

Наталья Касперская рассказала про Большие Данные (Big Data), про их понятие в бизнесе, особенности угроз и защиты.

Алексей Лукацкий держал слово про динамику развития нормативных актов в области ИБ. Например, про то, что за 20 лет  в нашем законодательстве "появилось" порядка 200 нормативных документов в области ИБ, а за последние 2 года уже более, чем за эти самые 20 лет. Также Алексей рассказал об ожидаемых «новинках» от ФСТЭК в сфере нормотворчества, и что если эти документы будут выпущены в том виде, в котором они запланированы, то наше законодательство в области ИБ выйдет на новый уровень. Это приятно.

Нильс Пульман говорил о семимильных шагах информационных технологий и о том, как в этом непростом со стороны информационной безопасности и простом со стороны рядового пользователя мире защищать информацию.

Алексей Волков с долей юмора донес до участников свою мысль (которую он активно и двигает): DLP-это не панацея от всех болезней, а лишь один из инструментов. Доклад очень интересный.

Интересен был и доклад Михаила Емельянникова о границах доверия сотрудникам, о допусках и  доступах.

Павел Гениевский рассказал о законодательстве в сфере НПС и защите информации в кредитной сфере.

Сказать, что было интересно - не сказать ничего.

После мне посчастливилось присутствовать на пресс-конференции.

Илья Шабанов, представляющий аналитический центр Anti-Malware.ru, рассказал о динамике развития рынка DLP систем и основных тенденциях, а Наталья Касперская представила отчет об утечках данных от компании  InfoWatch. После Наталья Мутель вместе с Рустемом Хайретдиновым рассказали о ребрендинге, в ходе которого сообщество DLP-Expert трансформируется в Business Information Security Association (BISA), а DLP-Russia сответственно в Business Information Security Summit. По словам Натальи и Рустема связано это с тем (и я согласен), что защита деловой информации это уже не только DLP. Здесь, опять-таки, можно вернуться к докладу Алексея Волкова. ;)

 

По секциям погулять у меня особо не получилось, полноценно послушал лишь доклад Андрея Прозорова про стандарты и "лучшие практики" в ИБ.   

В демо-зоне вендоры показали, кто во что горазд. Был здесь и SafePhone от НИИ СОКБ (а он мне был особо интересен в связи с регулярно поднимаемым мной вопросом Mobile Device Management). Кстати, недавно я писал про переведенный этим самым НИИ СОКБ NIST 800-124 по безопасности мобильных устройств. Был и Центр Речевых Технологий, и Symantec, InfoWatch. Можно было не просто посмотреть, а своими руками "пощупать" решения вендоров. Для формирования полного мнения о продукте этого, конечно, недостаточно, но для того, чтобы хотя бы иметь представление - вполне.

 

Круглый стол порадовал своей разносторонностью. Конечно жаль, что представители от регулятора не смогли порадовать аудиторию свои присутствием, но участники дискуссии и модерирование Михаила Емельянникова оставили только хороший осадок и ответы на вопросы. А тема круглого стола была более, чем интересная: «Контроль информационных потоков и защита предприятия от внутренних угроз».

 

Ужин в лучших традициях. Шведский стол дал возможность не привязываться к определенному месту, а «побродить» по залу с бокалом и пообщаться с более, чем парой интересных собеседников. А таких было достаточно.

По завершении мы веселой компанией еще немного погуляли по вечерней Москве, а ночью поезд отвез меня обратно в Петербург. В общем, «DLP-Russia прошла на ура, как и AfterParty»

Проект приказа ФСБ по применению СКЗИ для защиты ПДн

Наконец-то у меня дошли руки и голова ознакомиться с этим замечательным проектом приказа. Про него уже написали Алексей Лукацкий и Евгений Шауро. Пересказывать сих авторов не буду, однако некоторыми мыслями поделюсь.

Сказать, что документ лёгок в прочтении у меня не получается. Лично я брался за его чтение 3 раза, однако первые два раза результата не принесли. Есть впечатление, что документ как-то специально усложнен. В этом ФСБ нужно взять пример со ФСТЭК. У этих ребят и понятнее будет, и пояснения есть (точнее, скоро будут).А у ФСБ чего только стоит пункт 22 (подобными формулировками приказ изобилует):

 

...Для выполнения требования, указанного в подпункте «г» пункта 5 настоящего документа, необходимо вместо мер, предусмотренных подпунктом «в» пункта 9 и пунктом 19 настоящего документа, использовать для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе:...

И это учитывая то, что п.5 и п.9 описывают меры для четвертого уровня защищенности, п.19 меры для третьего уровня, а п.22 для второго. 

 

Описание классов СКЗИ тоже растянуто на весь приказ, хотя можно было сначала дать классификацию, а после расписать, какие классы для чего применяются.

 

Если говорить о самой соли документа, а именно о  сертифицированных СКЗИ для защиты ПДн, то оно вполне оправдано. Но ФСБ говорит: уж если шифровать, так всё! Во многих случаях, на мой взгляд, можно хотя бы не требовать сертифицированных. Ведь если учитывать те поправки в штрафы, которые могут появиться, то операторы сами будут стараться защититься "по уму", а не на бумаге.

 

Сам проект был здесь, но сейчас удален, к моему великому сожалению.

NIST прекратил работу. Пока временно.

Как сказано на официальном сайте NIST, работа прекращена до возобновления финансирования:

Пока неизвестно, что будет далее. Мне кажется, что финансирование все-таки возобновят. Хотя в Штатах сейчас и с NASA что-то происходит, не самое приятное.
Как делятся коллеги в LinkedIn, пока можно вытащить то, что нужно, используя описанный способ.

NIST 800-124. Рекомендации по менеджменту и обеспечению безопасности мобильных устройств на предприятии

Продолжаю освещать такую тему, как безопасность мобильных устройств. На этот раз делюсь NIST 800-124. Guidelines for Managing the Security of Mobile Devices in the Enterprise (Рекомендации по менеджменту и обеспечению безопасности мобильных устройств на предприятии) с переводом от НИИ СОКБ
Оригинал: Guidelines for Managing the Security of Mobile Devices in the Enterprise
Перевод: Рекомендации по менеджменту и обеспечению безопасности мобильных устройств на предприятии

Также рекомендую почитать материалы на эту тему от ISACA (Securing Mobile Devices Using COBIT® 5 for Information Security)
 

Биометрия. Разъясняет Роскомнадзор

На сайте Роскомнадзора появились разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных к биометрическим персональным данным и особенностям их обработки.Что теперь ясно?

А то, что к биометрическим персональным данным относятся физиологические данные (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и другие), а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые позволяют установить его личность и используются оператором для установления личности субъекта.

Подробнее на DLP-Expert

О безопасности мобильных устройств. Заключение.

Немногим ранее я уже написал 4 статьи, описывающих функцию антивора в мобильных приложениях. Мной были рассмотрены антивирусные продукты трех лидирующих на российском рынке компаний, а также проект Prey. В данной статье я приведу сравнение возможностей продуктов, а также порассуждаю на тему актуальности данной функции.

В первой статье я сделал упор на личные данные. В данной статье я хочу направить вектор актуальности в сторону корпоративной политики, именуемой BYOD (Bring Your Own Device). Ведь все больше и больше компаний предоставляют своим сотрудникам доступ к корпоративным ресурсам с мобильных устройств.

Подробнее на DLP-Expert

Обучение пользователей. Курс по ПДн.

Наконец-то закончил обучающий курс по персональным данным для одного учреждения. Два месяца моих трудов вылились в более чем 200-слайдовую презентацию, которую далее будут перерабатывать в интерактив. Вообще, предложение поучавствовать в проекте по персональным данным было для меня не то, чтобы неожиданным, но в некотором роде удивило и воодушевило меня. Делюсь некоторыми слайдами из презентации.

Подробнее на DLP-Expert

О безопасности мобильных устройств. Часть 4.

Я уже писал о функции антивора в продуктах компаний Dr.Web, Лаборатория Касперского и ESET. В данной статье я рассмотрю такой сервис, как PREY Project. Надо заметить, что это сервис доступен не только на Android, а также для операционных системах Windows, MacOS, Ubuntu, Linux и iOS. Однако я рассмотрю его работу на примере Android.

Подробнее на DLP-Expert

О безопасности мобильных устройств. Часть 3.

В двух предыдущих статьях ("О безопасности мобильных устройств. Часть 1" и "О безопасности мобильных устройств. Часть 2") я кратко описал принцип работы функции "Антивор" в продуктах компаний Dr.Web и Лаборатория Касперского для мобильных устройств. В этой статье я опишу аналогичную функцию в продукте ESET Mobile Security.

Читать далее на DLP-Expert

О безопасности мобильных устройств. Часть 2.

В предыдущей статье "О безопасности мобильных устройств. Часть 1." я привел обзор возможностей функции "Антивор" для антивируса Dr.Web  для Android. Во второй части расскажу об аналогичной функции в продукте Лаборатории Касперского.

Читать далее на DLP-Expert

О безопасности мобильных устройств. Часть 1.

Во всю развивается эра мобильных устройств. Сейчас наличие одного устройства, позволяющего выходить в сеть, просматривать почту, общаться в социальных сетях, и многое другое, не редкость. А то и два, три.

В статье я не буду говорить о вирусах. Это отдельная тема для дискуссий. Я хочу затронуть более интересную тему - вашу личную жизнь. А ваше мобильное устройство знает о ней почти все: фотографии, контакты, социальные сети, почта. Вы даже фотографируете свои паспорта, кредитные карты, номера страховок и прочее. Конечно, это можно делать, чтобы не потерять их. Но задумайтесь на секунду: если вы теряете паспорт - вы теряете только его. Если вы теряете устройство - вы теряете всё! Установка сложного пароля на начальном экране не сильно поможет - все можно взломать. Элементарный запрос в поисковой системе докажет это. Так что продолжим защищать себя. (В посте много картинок) 

Читать далее на DLP-Expert

Персональные данные. Взгляд со стороны субъекта.

Намедни с Андреем Прозоровым у нас был интересный диалог. Всю суть пересказывать не буду. Тема: персональные данные. Это, наверное, то, о чем и я, и Андрей можем говорить очень долго и с упоением;) Но суть не в нашем диалоге, а в моей мысли, которой я поделился с Андреем, поделюсь и с вами: дать обычному сотруднику инструмент, позволяющий считать свой ущерб от утечки персональных данных.

Подробнее...

О соцсетях, цензуре и музыке.

Пока ехал на работу в голове родился данный пост.  Можно, конечно, поговорить об его отношении к теме безопасности, но разговор не об этом. 

...Первая составляющая национальных интересов Российской Федерации в информационной сфере включает в себя соблюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала страны...

 Доктрина информационной безопасности Российской Федерации

Ход моих мыслей начался с популярной нынче темы о том, что  «ВКонтакте» активно готовится к принятию антипиратского закона и удаляет музыку с своих серверов. Даже есть список тех исполнителей, композиции которых будут удалены. И уже пошла волна возмущения. Как пишет SecurityLab 

«Пользователи «ВКонтакте», естественно, негативно восприняли нововведения. В Twitter уже появился хэштег #вернитемузыкувVK, который в настоящее время находится в списке мировых трендов.»

Лично я целиком и полностью поддерживаю данную инициативу, ибо если хочешь слушать, слушай. Но заплати за это. Пусть ВК заключает договора с правообладателями, предоставляет возможность покупки, аренды. Также при принятии антипиратского у Google появится смысл сделать доступным в России Google Music, который сейчас для РФ недоступен (статья на Хабрахабре еще актуальна, хотя ей больше полутора лет).

Ведь по сути, мы же нормально относимся к тому, что для того, чтобы пользоваться квартирой, автомобилем и прочими благами нужно платить. Не можешь заплатить за покупку, заплати за аренду. Можно также платить за прослушивание. Допустим, символический 1 рубль за 1 прослушивание. Сколько композиций ежедневно прослушивается в ВК? Да ВК сам заинтересован в таком виде монетизации. А тут и отличный повод – антипиратский закон. 

Далее по вопросу, который задевает меня, как порядочного гражданина. Это полное отсутствие контроля за контентом, который находится в ВК, а именно о фотографиях и популярных нынче демотиваторах. Есть популярная нынче группа MDK (почти полмиллиона подписчиков), доступ к которой может получить хоть 7-милетний ребенок. Кому интересно, взгляните на контент. Ну, кто-то почитает и поулыбается. А теперь представьте, что так-же улыбается только что пошедший в школу ваш ребенок. Устраивает? А они растут на технологиях и очень активно осваивают интернет. Я не буду сильно расписывать свои принципы морали, однако стоит сказать, что меня, как воспитанного человека возмущает обилие (да-да, именно обилие) ненормативной лексики в ВК. Ладно я, я могу как-то фильтровать. А поколение, которое сейчас растет, от 7 до 18. 80% из них знают больше ненормативной лексики, чем я сейчас, и тем более ранее. Обо всем этом можно много говорить, однако есть же инструменты, позволяющие контролировать то, что видит наша молодежь, а именно:

Для начала, контроль возраста. Это могут быть и паспорт, и родители. Допустим, хочет 10-тилетний мальчишка в ВК. А ему говорят, что мол, пока у тебя нет паспорта, то подтверди, пожалуйста, свой возраст. А для этого пусть кто-то из твоих родителей/опекунов предоставит свой паспорт и подтвердит свои права на то, что он может подтверждать твой возраст (каламбур получился).

С возрастом разобрались, теперь фильтрация контента. Здесь все просто, есть EXIF. Что мешает выработать механизм с использованием этого замечательного инструмента. Вот, допустим, мой вариант:

1. При загрузке контента в ВК пользователь для каждого экземпляра указывает возрастную категорию. При чем должен быть четкий, но простой регламент, к какой возрастной категории какую информацию нужно относить.

2. Контент загружается и отображается, но параллельно отправляется на модерацию. Модерация может проходить как в ручном, так и в автоматическом режиме. Про определение контента/контекста хорошо расписал Алексей Лукацкий вот здесь. 

3. А дальше все просто. У пользователя на странице отображается только тот контент, который соответствует его возрастной категории.

Что-то усложняется? Да. Но при грамотной реализации механизмов через 10-20 лет мы не получим поколение обезьян, которые будут способны лишь нажимать «Like» и «гадить в комментах». А тенденция идет в этом направлении. А ведь достаточно грамотно продумать закон об этом самом контроле соцсетей. И наказывать соцсети за то, что они не соблюдают закон. Как регулировать? Да очень просто. Допустим, я увидел явное несоответствие контента и возрастной категории. Скачиваю с ВК. При этом возрастная категория в EXIF остается и добавляется источник получения: ВК. Далее просто отправить регулятору. 

Ответственность можно разделить. Соцсеть полностью отвечает за контент и механизмы реализации фильтрации, пользователь отвечает перед соцсетью за то, что он загружает и насколько корректно присваивает возрастную категорию. Допустим, больше 10% некорректного присвоения – запрет загружать контент на определенный срок. Бан, по простому…

Я предполагаю, что РФ при принятии такого закона с реальной заботой о своем будущем даст повод задуматься и другим государствам. Плюс стимулирование развития контекстного анализа, про который писал А.Лукацкий.

Утопия? Возможно. Но ведь не так сложно реализовать механизм. А дать он может очень много.

[upd] Заметил, что неправильно написал фамилию Алексея Лукацкого. Сорри, поправился.

Акт определения уровня защищенности ПДн при их обработке в ИСПДн

В данном посте хотелось бы осветить  такой документ, как Акт определения уровня защищенности ПДн при их обработке в ИСПДн. Это, если можно так сказать, перерождение Акта классификации ИСПДн. Основной камень преткновения, который я встретил, это не совсем понятная картина в том, что является законодательным  инструментом в написании данного акта. Дело в том, что ранее этот акт классификации ИСПДн писался на основании приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных», который и утверждает порядок классификации. Но издан этот приказ в соответствии с пунктом 6  Постановления Правительства №781 от 17 ноября 2007 г., которое утратило силу в связи с выходом Постановления Правительства № 1119 от 1 ноября 2012. Таким образом, приказ действующий, а вышестоящий документ – нет. В свою очередь в ПП 1119 нет привязки к категории ИСПДн, однако есть привязка к уровню защищенности персональных данных, который должен быть обеспечен при их обработке в ИСПДн. 

Итак начать нужно с названия документа: «Акт определения уровня защищенности персональных данных при их обработке в информационной системе персональных данных «**********» Его я подсмотрел у Андрея Прозорова и оно меня целиком и полностью устроило. Надо отметить, что Андрей и по акту помог некоторыми комментариями, за что ему отдельное «Спасибо!» («Спасибо» лишним не бывает, Андрей улыбается ;) ).

Далее по содержанию акта:

Определяем состав комиссии. У меня в документе это реализовано таблицей, однако можно и текстом. Как говорится, на вкус и цвет все фломастеры разные. 

После пишем, на основании какого документа мы определяем, какой уровень защищенности нам необходимо обеспечить. Естественно, это ПП 1119. Однако есть мнение, что т.к. приказ №55/86/20 еще не утратил силу, то указать желательно и его. Привычка регулятора может сыграть злую шутку. У меня текст следующий: 

 «Комиссия, рассмотрев исходные данные информационной системы персональных данных (ИСПДн) «********»в соответствии с Постановлением Правительства Российской Федерации №1119 от 1 ноября 2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и учетом приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»,   определила:» 

Это с учетом того, что выше в таблице у меня уже указан состав комиссии.

Далее по пунктам расписываем, что определила комиссия, а именно:

1. Категории персональных данных, обрабатываемых в информационной системе. Здесь, согласно ПП 1119 у нас есть 4 варианта: иные, общедоступные, биометрические,  специальные. Также рекомендую по тексту расписать, что подразумевается под каждой категорией ПДн.
2. Объём обрабатываемых персональных данных. Здесь все просто, либо менее 100 000, либо более 100 000.
3. Угрозы, актуальные для информационной системы. Опять таки, типы угроз расписаны в ПП 1119. И также по тексту описываем,  какие угрозы к какому типу относятся. Желательно описать, почему именно этот тип угроз, либо сослаться на модель угроз.
4. Тип субъектов персональных данных, обрабатываемых в информационной системе. Тоже все просто. Это либо только сотрудники оператора, либо нет. Также лучше пояснить, что значит «сотрудники оператора». Вам не сложно, а у регулятора меньше поводов зацепиться.
5. К специальной или типовой относится ИСПДН. Здесь также лучше расписать, по каким критериям происходит отнесение. Только это уже берется не из ПП 1119, а из «трехглавого» приказа №55/86/20.
6. Структуру ИСПДн (автономная, локальная, распределенная)
7. Имеются ли подключения ИСПДн к сетям общего пользования
8. Режим обработки ПДн в ИСПДн (однопользовательский или многопользовательский)
9. Имеется ли разграничение доступа
10. Территориальное расположение ИСПДн (Целиком в пределах РФ или нет)

По сути, п.п. 5-10 здесь не нужны, т.к. для определения уровня защищенности достаточно первых четырех, однако пару лет все-таки рекомендуется не исключать "отголоски" трехглавого приказа, если он, конечно, не будет отменен в явном виде ранее. Моя таблица для определения УЗ ПДн:

Завершающий аккорд: определение необходимого уровня защищенности. Формулировка здесь также свободная, однако я ко всему прочему сделал отсылку на модель угроз: 

По результатам анализа исходных данных, а также основываясь на модели угроз безопасности персональных данных при их обработке в информационной системе персональных данных «********», в информационной системе «********» требуется обеспечение Х  уровня защищенности персональных данных.

Итоговый документ на двух страницах:

О системе образования, точнее о его оценке.

Отныне я дипломированный специалист по защите информации, и это, определенно, доставляет мне огромное удовольствие и тешит мое самолюбие. Но пост немного не об этом.

Защитился я на твердую "хорошо", однако я не согласен с данной оценкой. И не потому, что я долго готовился, переживал, заново перешивал диплом из-за одной фразы, которая мне не понравилась и которую мы с моим руководителем как-то пропустили, нет. 

Начну с начала, но постараюсь не особо углубляться в подробности.

Теме моя была достаточно актуальной, а именно "Метод оценки критичности мер защиты персональных данных", и именно поэтому я ее взял. В общем говоря, суть в компиляции методики определения актуальных угроз ПДн ФСТЭК и ROI (Return Of Investments, возврат инвестиций).Здесь есть что совершенствовать, есть что предлагать, есть о чем говорить. И я даже бы не говорил сейчас о том, что меня что-то не устраивает. Просто сама суть и принцип вопросов меня удивили. Как и принята, презентация должна занимать 7-10 минут, 10-15 слайдов. В эти рамки я уложился, конечно пару раз запнулся, ну это и логично, дипломную работу защищал, как ни как. Всего вопросов было порядка 10, хотя обычно задают 2-3, по крайней мере у нас. Ну и это не суть. На все вопросы я ответил корректно и все они были приняты. И только три вопроса вызвали некое обсуждение либо сметение. Привожу их, а судить  о моей правоте в написании этого поста не мне. Итак:

-А почему вы определяете вероятность реализации угрозы по шкале от 0 до 10? Вероятность же математически от 0 до 1 определяется?

- Да, согласен с Вами. Я исходил из того, что данный показатель вероятности определяется аналогичным способом в методике ФСТЭК?

-В методике ФСТЭК вероятность реализации угрозы определяется не так. 

-Так

-Нет.

Дальше спорить я не стал, ибо лучше было бы не усугублять ситуацию. Однако, ФСТЭК:

При составлении перечня актуальных угроз безопасности ПДн каждой градации вероятности возникновения угрозы ставится в соответствие числовой коэффициент  Y2, а именно:

0 – для маловероятной угрозы;

2 – для низкой вероятности угрозы;

5 – для средней вероятности угрозы;

10 – для высокой вероятности угрозы.

Надо сказать. что суть была именно в слове ВЕРОЯТНОСТЬ и втом, что во ФСТЭК она определяется не пошкале от 0 до 10. Ладно, далее.

Форумула, по которой я считаю компенсированные потери выглядит так:

Компенсированные потери = (Усум-Зр)/Тм*Сгод, где:

Усум – суммарный ущерб от реализации всех угроз, устраняемых мерой;

Зр – затраты на реализацию меры;

Тм – срок службы меры;

Сгод – вероятностное количество событий реализации угроз в год.

Здесь я вообще был в шоке, если не сказать нецензурно. Точнее:

-А если у Вас затраты на реализацию меры будут больше, чем суммарный ущерб от реализации угроз. У Вас же тогда компенсированные потери будут отрицательными.

-Ну да, это логично. Это значит, что применение данной меры для устранения данной угрозы нецелесообразно.

-А Вы это никак не отражаете.

-Это очевидно.

-Ну. как сказать.

Я все понимаю, но я же не для 7-летних детей доклад делаю, а для людей, имеющих ученую степень. И если  (-1000 руб) для человека с ученой степенью не очевидно, что это потери, то я не знаю, как надо было еще доносить.

И финиш, наверное.

-А в чем достоинство Вашего метода в отличие от методики ФСТЭК?

-В том, что в методике ФСТЭК в результате получается показатель угрозы "актуальна/не актуальна", а в разработанном мной методе на выходе пользователь получает отражение реальных денег, которые он не потеряет, устранив данные угрозы данной мерой.

-Нууууу....

Как я понимаю, понятия "потребности бизнеса" здесь ничего не дали, а жаль...

А задавал эти вопросы и.о. председателя комиссии, т.к. председатель почему-то не приехал.

В заключении хочу сказать. что "отлично" получила работа, состоящая из статьи, которая будет публиковаться в зарубежном издании и не тем человеком, который ее представлял. Он даже к авторству ее не имеет ни единого отношения. Комиссия этого не определила... Вот такая вот комиссия. Ободряет лишь то, что ни зав.кафедрой, ни товарища Шведа В.Г. из ФСТЭК (который и должен был быть председателем комиссии) не было. Тогда бы ситуация сложилась бы иначе.

С другой стороны, этот университет дал мне те знания и тот инетерс к информационной безопасности, который сохраняется и разрастается и по сей день. И даже ситуация с некорректной, на мой взгляд, оценкой. этого не изменит. Ровняюсь я уже не на преподавателей, а на людей более компетентный, не на теоретиков, а на практиков. 

ЗЫ. Недавно Андрей Прозоров поднимал вопрос о том, что в ГУ ВШЭ доклады делают про шифраторы, а не про актуальные для бизнеса проблемы и инструменты. Интересно, чем их сохраняемые для них же зеленые бумажки не устроили? =)

Маловероятные угрозы

Пишу модель угроз, так сказать, с чистого листа. Дело достаточно нудное, но интересное. Но суть не в моей модели. В процессе написания, естественно, помогает товарищ Гугл! Куда же без него=)

Ну так вот, открыто у меня порядка 5-7 моделей, не считая моей. Из каждой выбираю лучшее, более понравившееся, редактирую, перефразирую для благозвучия. Ну, процесс знаком всем. Но модели до конца не листал. А тут решил.. И попалась мне под руку модель угроз муниципального автономного учреждения «Многофункциональный центр предоставления государственных и муниципальных услуг» муниципального образования «Город Глазов».

И все бы ничего, да вот только из 24 описанных в модели угроз только у трех низкая вероятность возникновения. Остальные маловероятны (по методике определения актуальных угроз это значит, что отсутствуют объективные предпосылки для реализации угрозы, Y2=0). Ну, здесь принцип понятен. Если угроз по минимуму, то и защищаться надо по минимуму.

Начав дальше вчитываться в описание угроз, я нашел вот что (привожу в оригинале):

12. Недекларированные возможности системного ПО и ПО для обработки персональных данных.

            Недекларированные возможности – функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.

            В Учреждении есть/нет программного обеспечения разрабатываемого собственными разработчиками/сторонними специалистами.

Вероятность реализации угрозы – низкая.

Почему составитель данной модели сначала говорит о ПО, а в описании НДВ только о СВТ? Вообще, странная модель, много в ней интересного, если вчитаться.

Найти в гугле ее можно по запросу "модель угроз город глазов"

ЗЫ. Я понимаю, что я сам не мастер и не эксперт в написании документации. Но читать же надо, если модель пишется по принципу копипаста. 

Повышение осведомленности пользователей как снижение рисков.

Цель данного поста освятить работу с пользователями в контексте информационной безопасности организации, а точнее повышение их осведомленности. Что? Как? Зачем? 

Первые несколько ссылок в выдаче google - это реклама и предложения сторонних организаций провести такое обучение за вас. Однако  мы легких путей не ищем и будем сами думать над тем, как учить, чему учить и зачем учить. Не буду расписывать каждый шаг, так по тексту и так понятно что к чему.  Итак, то что в итоге получилось:

Назвать документ каждый вправе сам. У меня он получил имя: 

Комплекс мероприятий по повышению осведомленности сотрудников ЗАО «************» в вопросах информационной безопасности.

Цель: снижение ущерба и потерь (материальных, моральных, репутационных) от угроз, связанных с человеческим фактором при работе с информационными ресурсами компании.

Реализация: данный комплекс мероприятий будет строиться на основании циклической модели Деминга: планирование – реализация – проверка – совершенствование – планирование.

Этап планирования. На этом этапе проводятся следующие мероприятия:

• определение формата обучения (очный, дистанционный, рассылка материалов);
• разработка программы обучения; 
• подготовка методических материалов;
• определение сроков проведения этапа реализации.

В программу обучения рекомендуется включить следующие вопросы:

• общие вопросы,  связанные с понятием «информационная безопасность»
• требования законодательства Российской Федерации в части информационной безопасности (краткий обзор законов, подзаконных актов, требований);
• политика информационной безопасности, действующая в Обществе;
• ответственность за нарушение требований законодательства и политики Общества;
• процесс обеспечения информационной безопасности в Обществе;
• потенциальные угрозы, которые могут оказать влияние на деятельность Общества и сотрудников;
• меры защиты и обучение их применению;
• роли и обязанности сотрудников в процессе информационной безопасности.

Также подготовленный материал должен выдаваться под роспись об ознакомлении при приеме сотрудника на работу.

Этап реализации.

• Проведение обучения сотрудников;
• Раздача методических материалов;
• Возможно дублирование материалов на электронную почту.

После проведенных мероприятий необходимо донести сотруднику(ам), что в последующем будет проведена проверка того, насколько усвоена и применяется в повседневной деятельности донесенная информация.
На этом этапе, с целью повышения интереса к изучению материалов, можно обозначить тот момент, что знания, доносимые в процессе обучения, могут помочь и в повседневной жизни. Например, снизить вероятность взлома аккаунтов в социальных сетях, почтовых ящиков, личных кабинетов в системах ДБО (дистанционного банковского обслуживания).

Этап проверки.
На этом этапе проводится проверка того, как усвоена и применяется информация, донесенная до сотрудника на этапе реализации. Проверку рекомендуется проводить в двух формах:

• Опрос/тестирование. Здесь сотрудник понимает то, что его проверяют. О проведении тестирования можно сообщать как заранее (например за несколько дней), так и проводить его неожиданно. При неожиданном тестировании будут видны текущие реальные знания сотрудника. В обратном случае у сотрудника будет время подготовиться к опросу и, возможно, лучше усвоить материал.
• «Тихая проверка». В этом случае сотрудник, ответственный за реализацию обучения и проведение проверок пользователей, в текущем режиме наблюдает за реальными результатами обучения. Например, этот метод хорошо подойдет для проверки понимания политики паролей (нет возможности проверить, знает ли сотрудник свой пароль наизусть, пока не будет реальной ситуации его ввода).

Этап совершенствования.
На этом этапе проводится анализ результатов этапа проверки, совершенствуются материалы и способы их донесения. Возможна выработка индивидуальных программ. Результаты этапа учитываются на следующем этапе планирования.

Рекомендации к применению.
При расчете цикличности данных мероприятий должен быть учтен фактор «текучки» сотрудников в Обществе и среднесписочной численности сотрудников.

[upd 23.05.2013] Оказывается, у Андеря Прозорова на эту тему написан очень хороший пост про про повышение осведомленности сотрудников (Awareness and Training, NIST 800-50)

Я же в своем документе опирался на ИСО/МЭК ТО 13335-3:2007 Методы и средства обеспечения безопасности. Часть 3 (ISO/IEC TR 13335-3:1998 Information technology — Guidelines for the management of information technology security — Part 3: Techniques for the management of information technology security (IDT)).
Пункты 10.2 и 10.3 доступным языком описывают как организовать процесс, кого обучить и какие темы рекомендуется осветить при обучении. Я преднамеренно не привожу выдержки из документа, т.к. ГОСТ в свободном доступе, а прочтение не только указанных пунктов лишним уж точно не будет.

С возвращением, так сказать.

Этот пост ознаменует возвращение к блогу.
С февраля ни одной записи по теме. Надо поправить=) На самом деле есть много идей для того, о чем можно писать. И они так и копятся в Evernote, в специальном блокноте "Идеи". Ну, приступим. Надеюсь, что периодичность теперь будет выше, чем раз в квартал. Однако сегодняшний пост не из идей, а из текущей деятельности. Но полезность его, на мой взгляд, достаточно высока. Итак приступим. Пост выше.

Автоматизировано или нет. Долгожданные ответы.

В начале января я позволил себе некоторое свободомыслие по поводу автоматизированной обработки ПДн. И я не мог не поделиться своими мыслями с Роскомнадзором. Чтож, почти месяц они думали, что мне ответить :). Но ответ я все-таки получил. И, честно говоря, он меня вполне удовлетворил:

Какую суть можно вынести из этого ответа и на что обратить внимание? 

Если значительное количество процессов обработки ПДн автоматизировано, то некоторые неавтоматизированные процессы не делают всю обработку ПДн неавтоматизированной. 

Ну, могу сказать, в этом и была суть моего вопроса.

Также регулятор говорит: практика показывает, что если при обработке ПДн имеет место хоть какой-то автоматизированный процесс, то эта обработка уже считается автоматизированной. Что тоже важно, так как в конечном итоге если нас не устроит решение регулятора, мы идем выше по инстанциям. Хотя здесь каждый волен решать сам, как поступать и что доказывать.

Также в последнем абзаце РКН дал понять, что автоматизированная обработка не равно обработке при помощи средств вычислительной техники. Понятно, что автоматизация - понятие гораздо более широкое, но из моего свободомыслия по тексту можно было прийти к такому выводу.

Теперь каждый сам может делать свои выводы.

Опять персональные данные

Читая ленту блогов на DLP-Expert наткнулся на интересную статью про то, как компания покупает персональные данные саратовцев. И внимание мое привлекло больше не то, что многие саратовцы получили SMS (откуда у компании-риелтора телефоны многих саратовцев), и не то, что они (компания-риэлтор) готовы выдать 500 рублей каждому, кто назовет “координаты” саратовца, желающего сдать квартиру (ну на каком основании тут идет торговля ПДн. Хотя, конечно, может "продавец" возьмет разрешение на передачу его ПДн третьим лицам).

Что заинтересовало? Вот цитата из обсуждаемого сообщения. Слова представителя Роскомнадзора по данному вопросу:

Само по себе проведение такой SMS-рассылки не запрещается, однако каждый, кто примет участие в акции, нарушит закон. Федеральный закон №152 “О персональных данных” не предусматривает передачу контактных данных человека третьим лицам. В данном случае нарушителями будут являться и тот, кто передал информацию риелторам, и тот, кто получит эти сведения”.

И вот комментарии:

На самом деле, нет. ФЗ «О персональных данных» регулирует лишь автоматизированную обработку персональных данных. Это указано прямо в первой части статьи 1 закона. 

Что получится, если внимательно прочитать 1-ю часть 1-й статьи ФЗ 152?

Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, иными муниципальными органами (далее - муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным. 

Ну, сама фраза от том, что ФЗ-152 регулирует лишь автоматизированную обработку ПДн, ошибочна.

Дальше тоже интересно:

Если дальше так пойдёт, чиновники и телефонные номера в блокнот записывать запретят. 

То, чего не касается 152-ФЗ, описано во 2-й части 1-й статьи ФЗ-152:

Действие настоящего Федерального закона не распространяется на отношения, возникающие при:

1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

3) утратил силу с 1 июля 2011 г.;

4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;

5) предоставлении уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22 декабря 2008 года N 262-ФЗ "Об обеспечении доступа к информации о деятельности судов в Российской Федерации".

Является ли то, что просит агенство, персональными данными? Недавно писал в Роскомнадзор по похожему вопросу. И вот, что мне ответили:

Телефон владельца недвижимости является персональными данными. И он попадает под действие ФЗ-152.