пятница, 16 ноября 2012 г.

Постановление 1119


Постановление не однозначно... Комментировать без документов ФСТЭК и ФСБ не вижу смысла. Но ожидания самые не радужные, особенно учитывая, что документы обещают уже к началу декабря.
Коллеги уже высказались о новом документа, для подтверждения неоднозначности сошлюсь на Алексея Лукацкого и Михаила Емельянникова.
От себя добавлю картинку, которая говорит о многом, почти как «Квадрат Малевича».

четверг, 13 сентября 2012 г.

Что такое конфиденциальность?


С коллегой, в ходе дискуссии на тему защиты коммерческой тайны и принципов патентования решили раскопать понятие конфиденциальности.

Оттолкнулись от того, очевидно слово заимствованное (конфиденциальность от лат. confdentia – доверие) и посмотрели в Dictionary of Contemporary English от Longman, который определяет конфиденциальность как «a situation in which you trust someone not to tell secret or private information to anyone else» (ситуацию в которой вы доверяете кому либо  не рассказывать секрет или частную информацию  кому-то еще). 
Так же было обнаружено не внятное определение у Ожегова подразумевающее доверие секрета.

Далее мы обратились к терминам и определениям коллег из США: Assurance that information is not disclosed to unauthorized entities or processes; an Information Exchange characteristic (Уверенность, что информация не раскрыта неавторизированным лицам или процессам; характеристика информационного обмена). 

И здесь, из определения пропала ссылка на секрет. Т.е. при проведении мероприятий по обеспечению информационной безопасности мы можем установить требования по конфиденциальности к любой информации, даже если она в соседнем здании нарисована на стене. Понятно, что при составлении определения авторы исходили из предположения, что трактовать его будут нормальные люди, для которых очевидно, что не раскрывать надо именно секретную информацию. Но не надо забывать, что у нас ещё есть и юристы. Кстати коллеги в США разделяют понятия обязательной конфиденциальности (Secrecy) и добровольной  (Privacy).

Есть ФЗ «Об информации, информационных технологиях и о защите информации»: конфиденциальность определяется как обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.  

Ну и для полноты картины посмотрим  статью 7 ФЗ-152 «Конфиденциальность персональных данных»:
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Как видим, определения вполне тождественны, но  «уверенность» сменилась обязанностью, а объект защиты стал произвольным. В результате этой занимательной эволюции мы сейчас защищаем паспортные данные от не разглашения и нераспространения, указывая их везде, начиная от Банков и Налоговой и заканчивая трудоустройством и  заявлениями в ЖЭК.

И здесь мне чудится еще одна возможная проблема: Поскольку на уровне Закона паспортные данные защищены и конфиденциальны, то почему бы нам не использовать для удаленной авторизации знание клиента своих паспортных данных, как это делает, например МТС при обращении в службу поддержки. Или еще, как ни будь

Думаю, надо помнить, что свойство секретности не восстановимо и став известно неограниченному кругу лиц информация уже никогда не станет секретной снова.

понедельник, 10 сентября 2012 г.

Понятие системы в ИБ и IT


Когда я на лекции в очередной раз произнес конструкцию вида: «защищая информационную систему мы строим систему защиты информации, включающую в себя систему авторизации, систему криптографической защиты информации…» я понял, что с этими системами что-то надо делать.
В принципе количество систем находящихся в непонятных взаимоотношениях друг  с другом с точки зрения системотехника говорит об одном давно известном факте: мы имеем дело со сложной системой со всеми вытекающими последствиями:

  • Наиболее вероятный отклик на единичное воздействие – хаотический.
  • Обладает новыми свойствами, по сравнению  с совокупностью элементов.
  • Отклик на воздействие не является линейным [взято отсюда].

Однако с системами разобрались до меня в этом в книге Security Engineering: A Guide to Building Dependable Distributed Systems.

Поэтому далее вольный перевод

понедельник, 3 сентября 2012 г.

Проблема персональных данных.


По следам высказываний коллег на тему значительного повышения штрафов  за нарушения в области персональных данных: Лукацкий, Волков, Царев.
В целом разделяя мнение коллег, что увеличение штрафов за не соблюдение требований закона «О персональных данных» не улучшит защищенность этих самых персональных данных. Среди неразрешенных проблем препятствующих оздоровлению ситуации называется, в основном:

  • практически полное отсутствие разъяснений регуляторов по сотням спорных вопросов и как следствие непрозрачность требований к защите ИСДПН
  • отсутствие взаимосвязи вреда нанесенному субъекту ПД и наказания.

пятница, 15 июня 2012 г.

16 проблем безопасности, больших, чем Flame


Сегодня благодаря @abeshkov прочитал статью Roger A. Grimes "16 проблем безопасности, больших, чем Flame".  Статья вызвала не однозначное отношение, но решил таки все же перевести, в основном для студентов не знакомых с языком оригинала. Остальных отсылаю к оригиналу.
Есть несколько занимательных размышлений:
1. Не смотря на отсутствие чуткого глаза ФСТЭК/ФСБ/РКН "там" примерно такие же проблемы, что и у нас – системные. Различия в частностях. Да, я под частностями понимаю и то, что творится в законодательном поле…  Рецепта "волшебной пилюли" ни у кого нет. 
2. Это взгляд Principal Security Architect из Microsoft. Что само по себе интересно...
3. Да и просто приятно встретить коллегу по паранойи.
Итак…

среда, 23 мая 2012 г.

Непрерывность ЗИ во времени и пространстве...




Защита информации вопрос комплексный и требует обеспечения непрерывности защитного контура во времени и пространстве... Когда я начинал заниматься ИБ, а брандмауэры были панацеей от всех проблем, похожие мантры я читал практически в каждой книге или статье, и звучали они, в лучшем случае, через выступающего на конференциях. Времена прошли, проблема осталась. Недавно, в ходе общения с сотрудником одной очень известной московской компании специализирующейся в области ИБ, услышал несколько фраз, после чего возникло желание вернуть мантру в обиход специалистов. Собственно вот избранное:
"Linux система надежна, поэтому firewall мы не рекомендуем ставить..."
"Вы поймите, это сложная система и если мы накатим обновления на ОС, она может перестать работать, поэтому я рекомендую, не ставить обновления...”
“Не вижу причин, почему нельзя работать под root`ом, за всю мою практику у меня не было  проблем из-за того что я работал под root..."
 Я так подозреваю, что такой сервер это "sweet dream" хакера, учитывая, что задачи решаемые сервером напрямую связаны с безопасностью.


 Поэтому хочется напомнить базу:
1. Принцип минимальных привилегий.
2. Непрерывность защиты.
3. И внимательно читаем "Шесть требований Керкгоффса" сформулированные в 1883 году.


4. Ну и мантру по утрам: Защита информации вопрос комплексный и требует обеспечения непрерывности защитного контура во времени и пространстве...


пятница, 13 апреля 2012 г.

Так как же прочитать


В казарму заходит прапорщик и обращается к солдатам:

- Товарищи солдаты, кто может починить рацию на бронетранспортере?
- Товарищ прапорщик, а рация на лампах или на полупроводниках ? 
-Для особо тупых повторяю: рация на бронетранспортере. 

(анекдот)

Такое впечатление, что в IT сообществе есть легенда, о том что мы на самом деле живем в матрице и если правильно составить документ локально можно переопределить переменные, наследуемые от родительских структур. Эксперименты пока ведутся на правовом поле, но так я думаю не за горами попытки локально переопределить базовые физические константы. Это выражается в изобретении системными администраторами различного рода писем и расписок о контрафактном софте. По некоторым данным, с точки зрения следствия, эти расписки служат отличным доказательством наличия преступного сговора между начальством и сисадмином. А  в безопасности уже просто традицией стало желание отменить Конституцию. 
Как я уже говорил, не существует волшебной бумажки, подписав которую с работником, можно отменить Конституцию. Все последующие обсуждения и вопросы, в частом порядке ко мне, сильно напоминают этот шедевр. Приведу избранные высказывания:

четверг, 5 апреля 2012 г.

Стоит ли открывать письма сотрудников?


Очень хотелось отделаться глубокомысленным молчанием о выдающимся пресс-релизе компании SearchInform, но не дали…

Ну, для начала, то, что там описано, IMHO, незаконно. Обоснование здесь и здесь. Ну, нет такой бумаги отменяющей конституцию. Не получается в отдельно взятой организации ввести рабство…

Опустим юридическую сторону вопроса и попробуем рассмотреть, как все это влияет на безопасность компании в целом? Я, до разумных пределов, являюсь сторонником теории разбитых окон, да простят меня психологи.

воскресенье, 11 марта 2012 г.

О высшем образовании.


Я преподаю предметы, связанные с защитой информации в нескольких ВУЗах г. Новосибирска. Очевидно, что у нас существуют учебные планы и программа курса, которые включают в себя в том числе обязательный и дополнительный списки литературы.

И тут в рамках борьбы за мир во всем мире за программы третьего тысячелетия, мне приходит требования к оформлению списка литературы:

понедельник, 27 февраля 2012 г.

Безопасность в современном Internet?


На хабре идет обсуждение, возможно ли защитить передачу конфиденциальныхданных через облако механизмом коротких ссылок вида cl.ly/abcd (взято из публикации).  В ходе обсуждения народ приходит к выводу, что «короткие» не обеспечивают должного уровня приватности, в то время как «длинные» обеспечивают, т.к. их сложнее подобрать.

суббота, 25 февраля 2012 г.

Трудности перевода и формирование образа противника


Наткнулся на забавный документ от United Nations Institute for Disarmament Research (UNIDIR)  под говорящим названием «Cybersecurity and Cyberwarfare. Preliminary Assessment of National Doctrine and Organization»
Прочитал… Вернулся к разделу про Россию, и прочитал еще раз. Решил перевести для публики не очень хорошо знающей английский язык.

вторник, 14 февраля 2012 г.

Эффективен ли «воздушный зазор»



Мы все знаем, что одним из рекомендованных способов защиты информационных сетей определенных организаций, до сих пор остаётся "воздушный зазор". Не рассматривая применимость "воздушного зазора" в географически распределенных сетях завязанных друг с другом VPN попробуем разобраться в действенности этого метода на сегодняшний момент. Для простоты попытаюсь остаться в рамках РД контролирующих органов. 

среда, 25 января 2012 г.

Сложные системы. Проблема сохранения знаний.


Натолкнулся на заметку «Institutional memory and reverse smuggling» определяющую следующую проблему сложной системы на примере химического завода:
Есть сложная система, созданная десятилетия назад. За это время команда создававшая систему распалась, часть людей вообще ушли из бизнеса. Само предприятие, являющееся заказчиком, пережило ряд структурных изменений, в том числе поглощение. Далее можно представить все отягчающие последствия. 

На фоне этих процессов сама сложная система частями модернизировалась, при этом модернизированное оборудование относится к разным поколениям. Разные поколения оборудования определяют используемые технологические, инженерные решения, а так же решения по оформлению документации и записок.

С результатом этих процессов каждый аналитик сталкивался, задавая вопрос: Есть кто-либо, (человек, команда, отдел) имеющий представление о системе в целом?
Особенностью данной проблемы будет то, что любая попытка улучшить состояние дел путем фиксации в документации решений и шагов не улучшает ситуацию. При приведении документации написанной в прошлые периоды к современным стандартам представления информации, и перенос ее на современные носители и современные платформы обработки возникают определенные трудности, которые порождают неточности и ошибки.

P.S. Неплохой перевод можно найти здесь.

воскресенье, 15 января 2012 г.

Фишинг в livejournal


Вы будете таки смеяться, но в livejournal опять проблемы.
При попытке вызова френд-ленты  пользователь попадает на страницу ввода пароля. Далее независимо от того, что введено, идет переход на страницу с адресом  ohtoenequ1.getenjoyment.net. Очень похоже на фишинг. Если Вы ввели логин-пароль рекомендуется немедленно заменить.

Картинка взята у Экслера.


UPD: СУП зашевелился. Появилось сообщение:
"There is currently a phishing scam attack which will attempt to mislead you into providing your username & password to a third party".


Или в Рунете:
Предупреждение! В LiveJournal замечена фишинговая атака с целью получения паролей от аккаунтов LiveJournal. Подробнее

четверг, 5 января 2012 г.

План проверок на 2012 год

Прокуратура опубликовала сводный план проверок субъектов предпринимательства на 2012 год.
Если зайти на сайт прокуратуры субъекта федерации можно найти планы проверок проверяющих органов, коих аж 47 шт. Смотрим и планируем финансовый и календарный год, сообщаем друзьям, коллегам и конкурентам. Что называется с Новым годом.