Небольшая ремарка к Стратегии национальной безопасности

"Такую-то безопасность" живой человек способен понимать трояко: то ли объекты защиты относятся к множеству таких-то, то ли такими являются угрозы, а то ли защитные меры. Вот экономическая безопасность - это первый пример, это когда бабло объект защиты. А пожарная - это второй, это объекты от пожаров защищают, а не пожары защищают. А третий... ну, пусть будет бумажная безопасность. Или та пожарная безопасность, которую завхозы всегда применяли при недостаче на складе.

С информационной безопасностью ситуация мутная. Можно ее трактовать и как защиту информации от нарушения конфиденциальности, целостности, доступности, etc. – тогда это «отобъектное» ее восприятие по первому типу. Если же обеспечение защищенности прав и интересов кого-то, связанных с информационной сферой – так это скорее «отугрозное», объект тут не информация, а чьи-то интересы. А добавь ведение наступательных информационных войн – так, пожалуй, и в «отмерный» вариант попадешь.

В чем практическое отличие? В границах поляны. Подразумевая защиту информации, не фиг заниматься безопасностью АСУТП - там объектом выступает насос электростанции, а подразумевая информационный характер угроз - сохранностью информации от физических.

Стратегию национальной безопасности Российской Федерации, которой сейчас все энтерпрайзники зачитываются, писали люди, традиционного догмата в отношении информационной безопасности лишенные, потому структурировали объекты большой безопасности так: защита оборонных интересов, общественных, экономических, интересов в научной области, в культурной и пр., а информационной безопасности вроде и нет – сначала в списке аффективных расстройств перечислена, а главкой своей обделена.

Но никуда-то она не теряется, просто имеет другой смысл. Вон же она:

• информационное давление на Россию - раздел II (окружающий контекст), пункт 12;
• мировое доминирование с помощью информационных инструментов - раздел II, пункт 13;
• противоборство в информационном пространстве - раздел II, пункт 21;
• использование для достижения геополитических целей информационных и коммуникационных технологий - раздел II, пункт 21;
• противоправная деятельность с использованием информационных и коммуникационных технологий - раздел II, пункт 23;
• деятельность террористических и экстремистских организаций, направленная на критическую информационную инфраструктуру - раздел IV (пошла декомпозиция по приоритетным областям), пункт 43;
• вредоносная пропаганда с использованием информационных и коммуникационных технологий - раздел IV, пункт 43;
• преступность в информационной сфере - раздел IV, пункт 44;
• угрозы в информационной сфере для государственной и общественной безопасности - раздел IV, пункт 47;
• уязвимость экономики со стороны информационной инфраструктуры - раздел IV, пункт 56;
• информационные диверсии в культуре - раздел IV, пункт 79;
• деструктивное информационное воздействие на систему ценностей - раздел IV, пункт 82;
• угрозы в информационной сфере для внешней политики- раздел IV, пункт 90.

Итог вообще хорош: информационная безопасность должна задействоваться всеми безопасностями (раздел V, пункт 113), раз на достижение их целей угрозы информационной безопасности способны влиять.

Но это обязано вызывать проблемы там, где информационная безопасность концептуально и оргштатно оформлена как отдельная равноправная область - в ряду с другими безопасностями, а не горизонтальным прострелом сквозь них. «Вот у нас островок экономической безопасности, вот внутренней, это по защите информации, это правовая защита, промбезопасность, пиар, все связи вертикально вверх».

Черные лебеди Алексея Навального

Конечно, событием года для отрасли информационной безопасности хочется признать курс на импортозамещение, но, вообще говоря, этот тренд обозначился уже давно. Даже если брать продуктово-технологические планы (в нашем случае - по радиоэлектронной промышленности), то провозвестили их еще года три назад. Агенты влияния склонны к программным публикациям и то ли не имели намерения это скрывать, то ли в большом материале чего только не выболтаешь, а только гнали они прямым текстом, что Олимпиада – это так, а вот потом самая настоящая реиндустриализация на повестке, перспективы постиндустриальных обществ нехороши, будем переориентироваться на воссоздание реальных производств. Что Сноуден утек NSA ANT catalog и NSA TAO, это лишь позволило переосмыслить цели еще под одним углом, а внешнеполитическое обострение, изменив валютные курсы и продемонстрировав пределы дружелюбия иностранных производителей, дало дополнительный мобилизационный импульс, экономическое обоснование затеи и патриотическое легендирование ее активации, отразившееся заодно в новом названии. Если же смотреть некую параллельную динамику – например, перенос баз данных или методические подвижки ФСТЭК (хвалил их, кстати, за это импортозамещение, если на начало 2014 года отмотаете), то и там все те же маячки задолго до кажущихся триггеров.

В отличие от этого детерминированного воздействия, фактор Алексея Навального сотоварищи интереснее. Не стану судить, является ли их деятельность просчитанной и последовательной в политическом поле, но побочные эффекты для ИБ неясны как по генерации событий, так и по реакции системы. Вчера, например, обнародовали концессионное соглашение по «Платону» - ограничится ли результат тем, что все безопасники кинутся на своих договорах наличие ограничительного грифа проверять, или госпорталы переймут практику сбора информации через защищенные веб-формы, или возникнет судебный прецедент по признанию режима установленным, т.к. Росавтодор письмом уведомил, что содержание конфиденциально, или закон «О коммерческой тайне» поправят, или примут «О служебной», или провайдерам/опсосам новые гайки закрутят, или кадровые решения по примеру Матиаса Руста? Это и из сегодняшнего дня неведомо, а что прозревалось до вчера? Сам генератор настолько пламенный оппозиционер, что и сам только медийные последствия видит, прямые и одноходовые, иначе ж надо было додуматься утекать документ вместе с подтверждением, что о присутствии сведений ограниченного распространения был осведомлен - уж формы вины-то юристам преподают.

Оставляя за скобками личные и гражданские симпатии, в ИБ такой источник, который спорадически вызывает отложенные реакции системы, трудно связываемые с причинным событием, не любим мы как объект учета и даже обезъяной с гранатой называем. Бросить все к чертям, заняться опять server hardening вместо оценки рисков.

Методика ФСТЭК по определению угроз: проделана большая работа

При всей симпатии к отечественному производителю, нечасто появляется от него документ, который приятно просто в руках подержать. Но удовольствие не мешает подметить пару багов, особенно если авторы о том специально спрашивают.

Во-первых, это клеймо исходной/проектной/эксплуатационной защищенности.
Чтобы не погружать читателя в изучение проекта, суть в том, что некоторые структурно-функциональные характеристики или условия эксплуатации информационных систем награждают их добавочным коэффициентом, который применяется к оценке всех угроз для этой информационной системы. Но почему всех-то? Вот, например, загнала виртуализация информационную систему из среднезащищенных в низкозащищенные – это сразу плюс одна ступень ко всем оценкам угроз, в т.ч. которые от виртуализации не зависят или даже зависят обратно: был, скажем, риск просмотра информации с дисплеев средним – станет почему-то высоким. Или выделили рабочие места администраторов в отдельный сегмент сети – защищенность из низкой стала средней – оценка угрозы отказа резервной ленты тоже упадет, хотя с чего бы. Это как клеймо «двоечника по жизни», не позволяющее получить пять за правильный ответ столицы Буркина Фасо, или отличника, который даже за неправильный меньше четырех с минусом не получит.
Чтобы исправить, нужно отказаться от «чохового» применения показателя защищенности ко всем угрозам и расписать, какие СФХ и УЭ какие конкретно угрозы поднимают, а какие вдруг наоборот. Если это сложно, тогда вообще снести эту тему в приложения (как это, например, обстоит с рекомендациями по формированию экспертной группы), озаглавив «СФХ и УЭ, которые должны рассматриваться как смягчающее/отягчающее обстоятельство при оценке связанных с ними (!) угроз».

Кстати, требование дотянуть показатель защищенности информационной системы до высокого к моменту ее ввода в эксплуатацию путем нейтрализации актуальных угроз – это какой-то казус, т.к. повторная его оценка будет зависеть опять только от архитектуры, и если ту не меняли, то и оценка не изменится, не взирая ни на какие нейтрализации. Такова таблица 3.

Кстати, ни одна система высокий показатель защищенности вообще получить не может, похоже, имея максимум 50% плюсов по второму столбцу (добавление их туда не предусмотрено).

Во-вторых, нет умножения на ноль. Обычный ноль, конструктивно схожий с колесом и учинивший сущий переворот в античной математике, сюда еще не докатился.
Представим, что мы находимся на этапе идентификации угроз (т.е. из базового набора мер кое-что удалось «адаптировать», но это уже в прошлом) и ищем сейчас не включенные в банк ФСТЭКа. Угроза – это комбинация из объекта, уязвимости, источника, способа воздействия и последствий. Иностранные спецслужбы (источник) уничтожат (последствие) кабельные сети (объект), имеющие неважнецкую твердость (уязвимость), путем пережевывания (способ) – это угроза. Как ни странно, нет оснований такую угрозу не идентифицировать: хоть мы и понимаем, что такая комбинация исключительно маловероятна (вот раскоммутировать, оборвать или перерезать еще могут, да и то нарушители вида 7-10), но ведь про вероятность же разговор еще не идет. И возьмем еще для нашего примера угрозу с очевидно смехотворным ущербом - потерю пакетов, например. Про ущерб ведь тоже разговора пока нет, так что обязаны взять.
Дальше оценка. Вот тут уже документ формально говорит, что для актуальности ущерб должен быть неприемлемым, а способ реальным, да только предоставляемый механизм учесть это не позволяет. Если у первой угрозы объективные предпосылки для реализации отсутствуют – это низкая вероятность реализации. Вкупе с огромным ущербом (а с каким же еще, если все сети в труху, и надо тянуть заново) первая угроза получится актуальной. И ущерб тоже нельзя оценивать ниже «низкого», так что и вторая наша угроза, реализующаяся ежеминутно, тоже актуальной будет. См. таблицу 8.
Как исправить: добавить к шкалам вероятности и ущерба значение «совсем нет». Либо перенести отсев угроз на почве практической невероятности/безущербности со стадии оценки актуальности УБИjа, где он работает неординарно, на этап идентификации угроз УБИj.

Кстати, документ просит указывать в модели только актуальные угрозы. Как я исхитрился увести в неактуальные все остальные, и как они вообще звучали, никого не интересует, что воодушевляет.

Кстати, если использовать не экспертную оценку, а статистику, то непонятно, по какой области: у меня в системах такого типа буфер год не переполнялся, а у коллег переполнялся, а по миру так вообще. Тоже поле для маневра.

Кстати, при использовании шкалы высокий-средний-низкий забавно выглядит отброс максимальных и минимальных экспертных оценок: это придется только ответы «средний» оставить? А если у меня абсолютно все эксперты дали только два соседних варианта (только низкий и средний или только средний и высокий), то что останется? А если они да-нет отвечали, что тоже разрешается, тогда как?

В-третьих, очеловечивание источников угроз.
Для живых нарушителей все удобно и логично: действительно, по части смертоносных пассов тряпкой потенциал простой уборщицы не идет ни в какое сравнение с хакерами, по части физической кражи сервера нет равных атлетически развитым грузчикам и охранникам, по части засорения кондиционера или попадания сверлом в силовой кабель рулят строительные рабочие, а по части облокотиться во сне на кнопку Delete легитимные пользователи. Потенциал их складывается из двух составляющих (может и хочет / может, но не хочет / не может, но хочет / не может и не хочет), соответствующему расчету посвящено в самом документе страниц 10 и еще в приложении штук 7 – коротенько так.
Эту же методику великодушно предлагается использовать для неантропогенных нарушителей. Живо воображаю, как операторы оценивают мотивацию микросхемы контроллера к перегоранию и знание ей проекта информационной системы. Оснащенность и техническую компетентность дождевой воды. Время, затрачиваемое программным сбоем на доступ к информационной системе.
Как исправить: зафиксировать, что неантропогенные источники идут не по алгоритму с возможностью, где участвует потенциал (с его 17-страничными выкладками), а по алгоритму с вероятностью.

Предваряя вопрос «Почему ты пишешь об этом здесь, а не во ФСТЭК?»: напишу (и всегда писал). Просто чем больше людей это им по-своему перескажут, тем больше шанс, что там поймут, оттого и приглашаю беззастенчиво заимствовать, не стесняя себя соображениями авторских и смежных. Со своей стороны обещаю посмотреть перед отправкой ваши блоги - будет потом обидно, что я у вас что-то содрал, а вы у меня нет.

Одна незадача: проделана слишком большая работа, чтобы ее согласились кромсать. Нет было сначала некую концепцию методики выложить или принципиальную логическую схему. А теперь: «К пуговицам претензии есть?». К пуговицам крайне мало.

О способах говорить "нет"

Информационный безопасник, даже вышедший уже из того счастливого возраста, когда сортировка явлений на два противоположных полюса (добро-зло, черное-белое, физики-лирики, экстраверты-интроверты, интеллигенты-биомасса и т.п.) обеспечивала важную функцию защиты мозга от скорости освоения окружающей действительности, все равно испытывает сильное влияние бинарного характера современных цифровых технологий. А может, ему нравится симулировать уставную четкость, оперируя "разрешаю" и "отставить". Так или иначе, но факт остается фактом: политики создают сущие роботы, мыслящие в категориях permit и deny. Это правильно интерпретируется техническими средствами, но вот досада – на предприятии есть и рудиментарные белковые формы, в просторечии именуемые юзерами.

Представьте, что попали в мир одноранговых запретов: "не убий", "по газонам не ходить", "на борту костры не разводить" и "дежурную по эскалатору не отвлекать" не имеют градации по тяжести нарушения. Это – именно то, что сейчас видят в инструкциях по ИБ те, кому их приходится читать. Или, если такой пример ближе, есть ПДД, но к ним нет КОАПа, только приписка о возможности ответственности. Через какое-то время приходит наблюдение, что железная длань работает весьма странно: то могут месяцами мышей не ловить, прикрывать глаза, неодобрительно коситься, предупреждать и отпускать, а то наоборот – драть штрафы, применять захват и порываться сдать в кутузку. За нарушения одной и той же инструкции, сволочи!

Если дать человеку достаточно времени для получения эмпирического знания, какие ваши запреты табу-табу, а какие "если нельзя, но очень хочется...", то закономерность он выстроит. Но за это время будут ошибки, которые обеим сторонам могут стоить. Вместо этого разделите сразу: "категорически запрещается а), б), в), г)", "крайне не рекомендуется а), б), в)", "является допустимой, но нежелательной практикой а, б)". Если нет сил на свой мини-кодекс о нарушениях, у супостатов иногда называемый формальным дисциплинарным процессом.

В конце концов, сможете хотя бы для себя определить, какие инциденты готовы спускать, а какие нельзя оставлять без жесткой реакции даже при самой дикой загруженности. Поверьте, что принципы неизбежности, своевременности, обоснованности наказания человечеством рождены не случайно, а необходимы для обеспечения эффективности системы, которая не столько для мести, как для удержания.

Единственные союзники ИБ

Сколько слежу за темой импортозамещения, столько поражает отсутствие хоть бы одной попытки предположить наличие у потребителей собственной доброй воли и благородных принципов. Все обсуждаемые и озвучиваемые варианты – это так или иначе принудить. Кому можно административно навязать, административно навяжем, а за неисполнение пригрозим отъемом лицензий и отключением от госпрограмм. Кому нельзя административно навязать, того так или иначе загоним в ситуацию, что ему придется выбрать отечественное – вздуем пошлины на импортное и продотируем свое (и на всякий случай опять же прорисуем мрачную перспективу, но на сей раз возможной подлянки западных спецслужб). Выйти же с простыми словами «Ребята, а давайте быть за своих, не потому что так выгоднее, а потому что наши» никому пока в голову не пришло: не может маленький пацак не быть меркантильным кю по определению.

Конечно, и первое надо, и второе надо, но вот эта вера в лучшие качества – когда и куда она делась? Это не наверху только произошло.

Лакмусовая бумажка: а у Вас внедрен почтовый дисклаймер, напоминающий, что сообщенная в письме информация сообщается именно тому, кому оно направлено, и если он хочет распространить дальше, то надо бы спросить отправителя? Нет, потому что злодею это не помешает, а простую несообразительность Вы не допускаете.

Ограничить, запретить, пугать дисциплинарной, административной и уголовной ответственностью, контролировать, выявлять и показательно пороть – обычный арсенал информационной безопасности. Но есть огромный резерв в вовлечении как своего, так и партнерского персонала на нормальной союзнической основе. Единственное, что нужно иметь в виду: люди будут добровольными помощниками ИБ, если она сама демонстрирует порядочность и взаимовыручку, пустые слова про содействие и общее дело только оттолкнут, если они очевидно расходятся с ее реальной практикой.

С Новым годом, и меняйте себя к лучшему!

Есть ли у вас CISO – простой тест

В обществах с дифференциацией штанов реальную принадлежность руководителя ИБ к когорте C (с-level или c-suite – высшее звено) легко проверить по наличию положенных ей привилегий: кабинета, приемной, служебной авто- и кофе-машины с водителем/водительницей, места на/в корпоративном паркинге, виповской страховки, длинного отпуска, права на идиотские капризы. Понятно, что блага, распределяемые среди шишек, в разных компаниях разные: где джип со снайперами, а где простая оплата анлима, и смотреть надо в сравнении с другими C** и C***.

Но допустим, что компания западной культуры (почему бы и нет, раз человек себя иностранными буквами пишет), и машина закрепляется за тем, кого среди ночи на работу дергают, страховка привязана к вредным производственным условиям, а приемные организуются где входящий поток большой и неэлектронный. В этом случае индикатором, участвует ли называющий себя CISO в большой игре, является наличие видения, которое приобретается в верхнем эшелоне.
По обычной ИБ-деятельности это не определить – она шаблонна: все ходы заранее написаны в том ISO, NIST, SANS, СТР или ИББС, который он намерен претворить (но, возможно, вслух ни разу не произносил), а кроме того остается только держать нос по ветру и покупать что всем сейчас впаривают.
Однако есть штук пять смежных областей, в которые смотрящий ширше будет ходить, а нет – нет.

Методически, обеспечение непрерывности бизнеса – простейшая штука!
Нужно сформировать бюрократическую машину: учредить координационную группу, которая будет оценивать и корректировать работу по обеспечению НБ, распределить в ней роли; регламентировать процедуры (анализа воздействия, оценки рисков, выбора ответных мер, разработки и тестирования планов) и замкнуть на эту группу; повесить на кого-то периодический аудит и представление результатов в группу; определить штаб управления кризисной ситуацией и схемы коммуникации; затвердить требования к ведению документации или сослаться на общие, и т.п. – все довольно стандартно.
Нужно провести т.н. BIA или анализ воздействия на бизнес – определить силу влияния от прерывания того или иного процесса на жизнеспособность организации в целом, как скоро оно на ней сказывается, и сколько времени требуется для восстановления того процесса.
Нужно идентифицировать события, вызывающие прерывания процессов, и, умножая вероятность на силу, получить родимую оценку рисков, выбрать и инициировать меры по снижению до допустимого уровня.
Несмотря на эти меры по предотвращению, нужно разработать планы действий в случае наступления: для критических процессов, восстанавливаемых быстрее, чем они трагически сказываются на бизнесе организации – планы восстановления, а для критических, восстанавливаемых дольше – еще и любимые киношниками «планы Б», т.е. альтернативные способы перекантоваться, пока тянется восстановление.
При этом нужно учитывать их приоритетность, ориентируясь на выявленную силу влияния, т.к. в аварийной ситуации ресурсов (электрической мощности, площадей, людей, денег, пропускной способности) заведомо меньше нормального, на все не хватит.
Эти планы надо тестировать и по результатам корректировать (или даже анализ воздействия с оценкой рисков исправлять по результатам), а еще обеспечивать достаточность и исправность того, что для осуществления планов необходимо.

Нiчого особливого, но подвох в уровне восприятия. Во-первых, нужно действительно знать бизнес организации, в котором внезапное бесследное исчезновение поставщика форсунок не будет критическим, т.к. остановка конвейера для перехода на форсунки конкурента займет 2 дня, а склад готовой продукции вмещает 6-дневный запас – отпуск получателям не прервется. Во-вторых, решения и в рамках обработки рисков, и в рамках запланированных ответов на инцидент – они в НБ тоже полководческие: усиление горизонтальной ротации персонала для разносторонних навыков и большей взаимозаменяемости, соглашение о взаимопомощи с дружественной фирмой о предоставлении части помещений, избавление от редкого и уникального оборудования и т.п.

Так что просто спросите CISO, как он занимается НБ. Вам либо озвучат подлинно печальное положение вещей («Постоянно мониторим доступность серверов и обязательно повесим гриф конфиденциальности на план, если его нам спустят, только не знаю кто»). Либо соврут про обеспечение в полный рост (мой любимый вариант: «У меня сотрудник всю НБ фигачит» - уж с уровня исполнителя рулить в НБ подавно невозможно). Либо тяжело вздохнут, и тогда действительно все сравнительно неплохо.

Я обычно скрываю, что после «Золотого ключика» что-то читал, но тут обязан подсластить пилюлю: непризнание CISO полноправным си-левелом (причем со стороны самого с-левела) – мировая норма. Что делать? Становиться! Вот лезть в ту же самую НБ или в corporate risks и через них потихоньку становиться.

Три буквы на двух заборах, всего шесть

Как нетрудно рассудить, средство защиты информации – это средство, применяемое для защиты информации. Составляет же нынче защиту информации перечисленное в приложениях к 17, 21 и 31 приказам ФСТЭК (если не попадаете, стоит ли дальше читать?). Вот и получается, что:

• средство, используемое для заведения учетных записей (УПД.1), ограничения неуспешных попыток входа (УПД.6), отключения по таймауту (УПД.10) – это СЗИ;
• софт для учета носителей (ЗНИ.1), стирания носителей (ЗНИ.8) – СЗИ;
• система сбора событий безопасности (РСБ.3) – СЗИ;
• ПО, реализующее синхронизацию времени (РСБ.6) – СЗИ;
• анализатор защищенности (АНЗ.1-АНЗ.3) – СЗИ;
• софтина для автоматической инвентаризации железа и ПО (АНЗ.4) – СЗИ;
• программа или система восстановления из резервных копий (ОЦЛ.3, ОДТ.4, ОДТ.5) – СЗИ;
• анти-спам (ОЦЛ.4) – СЗИ;
• агенты обновления (ОПО.1) – СЗИ;
• средство мониторинга доступности (ОДТ.3, ОДТ.7) – СЗИ;
• средство виртуализации (ЗСВ.1, ЗСВ.2, ЗСВ.6) – СЗИ;
• СКД в пропускной системе (ЗТС.3) – СЗИ;
• система осведомления пользователей (ИПО.1, ИПО.2) – СЗИ;
• ПО для оценки рисков (УБИ.2) – СЗИ;
• ПО или система для регистрации инцидентов (ИНЦ.2) – СЗИ;
• текстовые редакторы, применяемые для разработки правил и процедур (все ХХХ.0), регламентации (УПД.14, УПД.15, УКФ.5), документирования (ОБР.6, УКФ.4) – СЗИ.

Секундочку, а мы каким определением СЗИ оперируем? Конечно же, из ГОСТ 50922, ссылаясь всеми руками и ногами на 184-ФЗ! Вот когда доберемся до сертификации, что не факт, будем в специальное 608-ое Постановление глядеть. А пока - "техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации", так что не останавливаемся на программных и программно-технических, добавляются также:

• запоры и датчики (ЗТС.3) – СЗИ;
• оконные и кровельные материалы и конструкции (ЗТС.5) – СЗИ;
• отказоустойчивое железо (ОДТ.1), бесперебойники (ЗТС.5) – СЗИ;
• ЗИП и каналы (ОДТ.2, ДНС.4) – СЗИ;
• стриммеры и жесткие диски (ЗНИ.8, ОЦЛ.3, ОДТ.5) – СЗИ;
• бумага, используемая для правил и процедур (все ХХХ.0), регламентации (УПД.14, УПД.15, УКФ.5), документирования (ОБР.6, УКФ.4), а равно и принтеры – СЗИ;
• чернила или стикеры для маркировки машинных носителей (ЗНИ.1) – СЗИ.

Но, может быть, в таких пунктах приложений к 17/21/31 надо усматривать оргмеры: названия документов как бы предполагают?
Ну, во-первых, я не очень представляю, как они могут напрочь обойтись без материальных предметов. Не, я представляю: обеспечение отказоустойчивости в форме святого крещения, регламентация через устное предание, бэкап в голове, ограничение прохода наложением заклятий, но госинспектор при проверке не признает.
А потом, если брать персональные данные (21 приказ), там с оргмерами туго. Дело в том, что в 1119 Постановлении список задан закрытый:

• 13а. Организация режима безопасности помещений;
• 13б. Обеспечение сохранности носителей персданных;
• 13в. Утверждение перечня лиц, обрабатывающих персданные для выполнения трудовых обязанностей;
• 13г. Нейтрализация актуальных угроз СЗИ, прошедшими оценку соответствия;
• 14. Назначение ответственного за защиту;
• 15. Ограничение доступа к электронному журналу;
• 16а. Логирование изменения полномочий;
• 16б. Создание подразделения, ответственного за защиту.

Т.е. любая защитная мера (если не нашлось повода выкинуть ее при адаптации или не добавить при уточнении), не укладывающаяся в режим помещений, назначение лиц, сохранность носителей или управление журналом приложения – 13г., и другого не дано. Что-то, конечно, к другим пунктам притягивается (например, СКД к 13а), но большинство нет. Примечательно, кстати, что и компенсирующие меры (т.е. измышленные самостоятельно, а не взятые из фстэковского набора) тоже должны быть из позволенных Правительством.

Не хватает некоего элемента классики, не правда ли? Вы правы, еще МСЭ, VPN, разные прочие IDSы с антивирусами, глушилки, электронные замки, вот это вот всё. Но мы люди дисциплинированные: в ГОСТе "предназначенные или (!) используемые" - это означает, что СЗИ они являются только в коробке, а в работе нет.
Поэтому мы не только их не добавим, но еще и список наш имеем право ополовинить - стиралки носителей, например, явно сделаны для защиты информации, как и стикеры. Больше того, появляется прямой смысл заюзать специальный софт для регистрации инцидентов вместо простого журнала или специальный софт для управления аварийными планами вместо Эксэля - сразу бац, и не СЗИ.

В случае всех трех приказов СЗИ должны иметь оценку соответствия (не СЗИ не должны): по 17 - сертификацию, по двум другим – или иную, допускаемую законом о техрегулировании.

Вот теперь накладываем на наш список определение из Постановления 608. Для темы сертификации оно другое: "технические, программные и другие средства, предназначенные для защиты информации, составляющей гостайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации". Значит, ФСТЭК (ФСБ и Минобороны сейчас не трогаем) должна принимать на вход:

• средства контроля эффективности защиты информации;
• средства, предназначенные для защиты информации, составляющей гостайну.

Ищем таковые в нашем списке. И обнаруживаем разве что средство анализа защищенности: оно предназначено не для защиты, а для ее контроля - поэтому мы его и не вычеркнули (но при адаптации могли бы попробовать).

По факту, ФСТЭК хочет сертифицировать многое – см. перечень в приложении к ее Положению о сертификации, это и кабели, и ограждения, и любое, практически, ПО. Но нам-то что:

• специализированные СЗИ, которые у нас используются – это не СЗИ;
• неспециализированные СЗИ отечественная система сертификации "не ест" (согласно 608-му Постановлению не должна).

Так что защитники ИСПДн и АСУТП, отправленные самой ФСТЭК в сторону техрегулирования, уходят жить в его перевернутом мире, игнорируя требования к преднамеренным СЗИ, которые теперь не СЗИ, но оценивая то, что СЗИ до сих пор не было (завод ферросплавов систему дистанционного обучения по 34-ой серии, музыкальные школы и фермерские хозяйства свой пинг и бэкапные флешки).
При наличии свободного времени троллят ее вопросами, не предназначено ли случайно для защиты информации, составляющей гостайну, средство, не предназначенное для защиты информации.

Обороняющие ГИС интересуются у ФСТЭК тем же самым, но уже в обязательном порядке и по всем пунктам приложения к 17 приказу, прозрачно намекая, что готовы все это ей притаранить: написали «сертифицированные» - будьте любезны!
Для той, конечно, заманчиво сказать, что оно предназначено ее волей (даже если не создано изготовителем с такой целью), но в отсутствие соответствующих требований к классам и профилей начинает маячить невыполнение 8.13 Положения о службе (Указ 1085).
Поэтому не остается иного, как уговаривать операторов списывать в неактуальные угрозы, нейтрализуемые "неканоническими" СЗИ. Но, положа руку на сердце, одна программа предвзято риски анализирует, другая предвзято целостность проверяет, одна определенные инциденты не регистрирует, другая определенные уязвимости не видит – отчего же "здесь играем, здесь не играем, тут пятно – рыбу заворачивали"?

__________________
Пояснение для несведущих, с какого бока в тексте гостайна. Соответствующий пассаж из Постановления декодируется следующим образом: если есть такое средство для гостайны, средства этого типа сертифицируются.

В традициях завода «АвтоВАЗ»

Рассупонилось в очередной раз наше красно солнышко: изготовила Минкомсвязь законопроект о дополнении 149-го ФЗ («Об информации…») облачными технологиями, да не одна, а вместе с ФСБ, ФСО, ФСТЭК и МЭР изготовила.

"Услуги облачных вычислений – услуги по предоставлению вычислительных мощностей, включая технические средства и права использования программ для электронных вычислительных машин в целях обработки и хранения информации органов государственной власти, органов местного самоуправления, органов управления государственными внебюджетными фондами с использованием технических средств, взаимодействующих через информационно-телекоммуникационные сети."

Ишь, оно как: облачные вычисления – это когда для органов власти и самоуправления, а если для холопов каких, то и не облачные это.

Ну что ж, по крайней мере, мы теперь знаем, что дальше надо подставлять, встречая термин «услуги облачных вычислений». Почитаем.

«Организация предоставления услуг облачных вычислений органам государственной власти, органам местного самоуправления, органам управления государственными внебюджетными фондами» =
Организация предоставления услуг по предоставлению вычислительных мощностей в целях обработки и хранения информации органов государственной власти, органов местного самоуправления, органов управления государственными внебюджетными фондами органам государственной власти, органам местного самоуправления, органам управления государственными внебюджетными фондами.

«Предоставление услуг облачных вычислений органам государственной власти, органам местного самоуправления, органам управления государственными внебюджетными фондами осуществляется поставщиками услуг облачных вычислений» =
Предоставление услуг по предоставлению вычислительных мощностей в целях обработки и хранения информации органов государственной власти, органов местного самоуправления, органов управления государственными внебюджетными фондами органам государственной власти, органам местного самоуправления, органам управления государственными внебюджетными фондами осуществляется поставщиками услуг по предоставлению вычислительных мощностей в целях обработки и хранения информации органов государственной власти, органов местного самоуправления, органов управления государственными внебюджетными фондами.

Облака – они же кустистые в это холодное время. Особенно когда над заводом автомобильным Волжским автомобильным заводом.

5 проблем управления информационной безопасностью на основе оценки рисков

Увидел рекламные материалы к одному хорошему мероприятию по ИБ (одному из двух, на которые до сих пор хожу) и вспомнил, что давно риск-ориентированный подход не полоскал. Вообще, будь он хорош – давно бы стоял на службе человечества и имел десятки реализаций под Android: тут как с шилом в мешке из поговорки или какающими евреями из анекдота, которые иначе бы кого-нибудь наняли. Но все же по пунктам.

1. Это удивительно, но до недавнего времени ведущие практики, и исо27тыщ не исключение, предлагали разбирать всю область на т.н. активы, для каждого выявлять уязвимости и оценивать последствия/вероятности их использования – это, типа, и есть риски. Фигурально говоря, берем автомобиль и давай его декомпозировать на партнамберы: вот шпилька ступицы, есть опасность сломать, шансы самопроизвольного выпадения небольшие, перегореть не может, подмена неизвестным злоумышленником на неоригинальную маловероятна, а вот шина, вероятность прокола большая, и сверхнормативного износа тоже большая, и еще кражи тоже, но хоть коррозии нулевая; а вот бензонасос... и так до конца каталога. Очевидная проблема: вся эта огромная матрица принимать реальные решения (обгонять / не обгонять, страховать / не страховать, дополнительная противоугонка / сойдет заводская, ТО у официала / да ну его) не помогает потом совершенно. Ну, может, не совершенно, но обычная обывательская рассуждалка дает результаты точно не хуже.
Так что вот такая вот засада: системный подход работает, но "низенько-низенько" (хотите – убеждайтесь сами, года два-три на это уходит), а бессистемный – шаманство. Есть там всякие хинты (какие-то риски можно найти, определив цели и анализируя причины, влияющие на их недостижение, какие-то спрогнозировать из ожидаемой модели поведения нарушителей, какие-то взять с потолка ужасно мозговым штурмом и т.п.), но все же свободное творчество, сильно зависящее от мастерства и интуиции.

2. Ментальная ловушка безопасника – определить защищаемую информацию (или даже рассортировать каким-то образом) и назвать нарушения ее свойств рисками. А это не риски! Смотрите, события обычно собираются в цепочку: «Не стоят последние патчи» - «И что?» - «Может произойти ознакомление с персданными к ним не допущенных» - «Оно у нас каждый час происходит в той или иной форме, и что?» - «А субъект, если узнает, может нажаловаться» - «И что?» - «И придет проверка» - «И что?» - «И найдет нарушения» - «И что?» - «И мы не сможем их устранить в ходе проверки» - «И что?» - «И нам выпишут предписание» - «И что?» - «И мы его почему-то не выполним» - «Странно, и что?» - «И нам присудят штраф». Вот где здесь рисковое событие для организации? Его здесь вообще нет, пожалуй, оно на следующем шаге («И нам не хватит денег заплатить аренду»). А разглашение персданных – это не риск, а возможная причина причины причины причины возникновения, да вдобавок только одна из.
Цепочка может ветвиться. Например, от предписания может отходить ветка «и опубликует на сайте, что мы нарушаем», упирающаяся в падение имиджа и отток клиентов. Или, например, от проверки ответвляется «и заметит использование радиодиапазона без разрешительных документов». Или нарушение может сразу пойти в прокуратуру для принятия мер реагирования. В таких случаях тут несколько рисков напрашивается, но все равно не заключающихся в разглашении персданных, а связанных с.

3. Смысл всей возни с рисками – в их оценивании, оно нужно для принятия решений: этот слишком мал, чтобы вкладываться в противодействие, а этот так велик, что заберем деньги из договора на проведение работ по охране труда. Это только в легенде безопасности много не бывает, реальная организация всегда вынуждена делать какой-то выбор. Чтобы сравнивать риски, нужно, чтобы они были посчитаны (в одинаковых единицах), и считаются они произведением ущерба на вероятность наступления. С ущербом все не так плохо: чаще всего просто есть вариативность (коньяк vs штраф, потеря единичных клиентов vs массовая и пр.), и это всего лишь надо рассматривать как разные рисковые сценарии, а сами-то последствия вообразимы.
С вероятностью хуже. Даже если у вас или у соседа есть статистика подобных событий в прошлом (каковая далеко не по всем рискам есть), ее обычно нельзя взять «в лоб». Скажем, в мире отмечено 100 прецедентов Stuxnet, но это не в год, а всего, и чтобы прикинуть на следующий год, это уже надо что-то вычесть и разделить, и это что-то в доступных источниках отсутствует. Опять же, это не равномерно по миру, а тяготеет к одному региону, и для «в среднем» надо какой-то поправочный коэффициент взять – какой? Но учетом последней антироссийской волны Россия – тоже не средняя, и это еще один поправочный коэффициент надо как-то экспертным путем… А сколько событий вообще прежде не происходило! Представьте, что какой-то год назад Вас бы просили оценить вероятность введения вайфая по паспортам – прикидываете разброс в оценках? Беда в том, что приблизительно оцененный риск будет сравниваться – с другими вашими рисками, с рисками, поданными другими подразделениями, и погрешность принятых на основе этого решений «мама дорогая».

4. Но предстоит оценивать еще и остаточный риск – риск после принятия контрмеры (направленной на какую-то из причин или причин причин). Часто это происходит уже и при первичной оценке, чтобы сказать, достаточно ли такой контрмеры, как предложена, а при периодической переоценке всегда. И тут недостоверность возрастает еще больше.
Знаете, на сколько (цифра!) упадет вероятность НСД от разработки правил и процедур ограничения программной среды или от сбора и хранения информации о событиях безопасности в течение установленного времени хранения? Точно знаете? Попробуйте только сказать, что не знаете, и ни в жизнь не пропихнете меру, не обоснованную с точки зрения оценки рисков. Можно отмазаться и заявить, что это не совсем мера, а условие работы другой меры (например, обнаружение инцидентов и принятие мер по предотвращению повторного возникновения), но тогда ее влияние на вероятность будущих НСД оцените-ка.

5. Новости в этих ваших интернетах каждый день читаете? Надо читать даже псаки, если это может дать повод для внепланового обновления оценки рисков. Три свежие утечки баз паролей – прекрасный повод переоценить то, что связано с вирусной активностью или осведомленностью пользователей о фишинге и, возможно, усилить меры. Вот только аяяй: времени на это не было запланировано (оно никогда заранее не запланировано), только на чтение и хватает. И на связанные с бэкдорами в программном и аппаратном обеспечении западных вендоров им. тов. Сноудена в этом году уже не нашлось, и на связанные с прекращением поддержки иностранным производителем по независящим от него санкционным причинам не нашлось, и опять как назло не находится, да?

А так остальное легко. Я, правда, иной раз задумываюсь, а есть ли остальное-то, но как посмотришь очередную презентацию – до фига.

Через тернии

Недавно пристыдили, что бросил следить за сериалом «Гора продолжает рожать приказ о СКЗИ в ИСПДн». Ну, что: туча, конечно, сгустилась – это есть, но вообще страшное произошло не вчера, и ФСБ ситуацию только усугубила (а то прямо кто-то полагал, что она наоборот поступит?).

Обречен сам подход, при котором каждый оператор должен решить систему уравнений из 261-ФЗ, 1119-ПП, обоих приказов и пристегнутых к ним ПКЗ-2005 с Базовой моделью / Методикой ОАУ 2008. И не потому что он ее в массе своей правильно не решит, а потому что половина и решать не будет (а когда одни не будут, то и другие не будут – знаете же, как мусор бросают, где набросано, и на забитый перекресток выезжают). И вытянуть это порками нереально: тут не народ злонамеренный, а система чересчур мозголомная.

Шансы были бы, если все написать естественными парами «доступная для народа посылка – доступный для народа вывод», типа такого:

• обрабатываешь спецкатегории – защиту должен строить лицензиат;
• распределенная ИС – штатный специалист, прослушавший сто часов;
• не хочешь кормить отечественных авторов ПО – будешь кормить отечественных авторов СрЗИ;
• ходишь через Интернет – двойная аутентификация;
• пароль без звездочек – отдельное помещение;
• несертифицированная ось – плюс 2 класса к криптосредству;
• и т.п.

А вы как сделали? Вы ему саму науку отвалили фактически.

Представим, что повысилась в стране и мире сейсмическая опасность, и вообще маленько в этой теме от просвещенной Европы отстали – возникла задача поднять сейсмическую защиту общественных зданий. И падает на всех универсальный талмуд, по которому можно АЭС на Камчатке и небоскреб в Саянах проектировать, и приходит тот в сельский клуб с секцией пилатеса. Формально все хорошо: никто же не заставляет сельский клуб до уровня небоскреба демпфировать, нужно просто правильно оценить геологические условия и вообще понимать, что происходит при взаимодействии строительных объектов с трясущимся основанием - просто посчитайте на своих данных и все получится. Угу.

Для КСИИ/КВО это уместный подход: там операторы могут изыскать необходимые ресурсы, даже если не хочется, а в обработке персданных мелких операторов миллионы. По-хорошему, их надо было 1119-ым постановлением аккуратно в 4-ый уровень отсечь и прописать для того защиту практически по мироощущению, но нет. Больше того, сейчас серьезный оператор (свыше 100 тыс. не работников) обосновывает 3 тип актуальных угроз, ибо режимные меры, и купленная коробочка с российским софтом на полке лежит, и счастлив со своим 3 уровнем, а комп в турфирме (седьмая винда, приходящий админ, данные меньше 100 тыс. не работников шлются аутлуком гостиницам/авиаперевозчикам) начитавшиеся Сноудена запросто к 1 уровню относят. И печатают эти ваши ПКЗ с Базовой моделью, и осиливают несколько страниц, и понимают, что принимают риски проверки уполномоченным органом.

Работает система государственной защиты прав и свобод человека и гражданина при обработке его персональных данных? Смотря какой критерий использовать.

Если два слоя требований не были сформированы в постановлении (или постановлением и приказами), значит нужно было делать это в самих приказах. Один - для операторов, который они прочитают и поймут. Другой - для специалистов, которых тем придется вызвать, если придется. Документы для специалистов вижу. А для операторов где? А они же.