С Новым годом - годом обезьяны, коллеги!

Желаю, чтобы каждый безопасник чувствовал себя Львом в собственном лесу!

Парольная политика (в стихах)

Иван почистил в хроме кэш,

Стер сохраненные пароли.

Не смог войти потом в контакт

И стал умнее, чище, что ли.

Источник: Интернет

Админ Володя жестких правил,

Паролям дал короткий срок.

Раз в месяц их менять заставил...

А банк не выдержал и "лёг".

© Естехин Валерий, 2015

Фантазия подчас скудна,

Что может стать причиной тяжкой доли,

Когда админ, паскуда и подлец,

Хранит в AD историю паролей.

© Естехин Валерий, 2015

Не сделал действия в два клика,

Чуть глаз с экрана отведёшь

Он тут же гаснет, с...ка, типа,

Пока пароль свой не введёшь.

© Естехин Валерий, 2015

На память грех тебе сердиться,

Попытку трижды повтори.

С паролем можешь ошибиться

А дальше что? сиди-кури...

© Естехин Валерий, 2015

В чей разум мысль могла прийти,

Теорию не испытав на ложность,

Цинично, подло, "по пути"...

Проверить мой пароль на сложность?!

© Естехин Валерий, 2015

О том, что у кого-то алмазы мелкие, а у кого-то хлеб заплесневелый (продолжаем делиться впечатлениями о шестом ежегодном Форуме “AntiFraud RUSSIA 2015”)

Продолжение "Я за то, чтоб в Черном море...". В начало ,,,

Из сообщения на сайте: “О практике противодействия мошенничеству рассказал Управляющий директор – заместитель директора Департамента безопасности ПАО «Сбербанк» Сергей Бондарев”.

Я за то, чтоб в Черном море не тонули корабли (делимся впечатлениями о только что завершившемся шестом ежегодном Форуме “AntiFraud RUSSIA 2015”)

Итак, общие впечатления. К сожалению, от легкого чувства дежавю никуда не деться. Так как мне довелось быть участником всех шести форумов, могу сравнить. Напомню, что доклад А.М.Сычёва, тогда ещё начальника управления информационной безопасности Россельхозбанка, на Форуме – 2010 назывался “Практика взаимодействия с правоохранительными органами”. Поднималась эта тема и на нынешнем форуме. Отличия только в том, что сегодня инициаторами обсуждения проблем с “взаимодействием” выступают уже сами правоохранительные органы. Опять, как и шесть лет назад, говорилось о “специализации, координации и разделении ролевых функций у кибермошенников”. Говорилось, что “доходы киберпреступников стремительно растут и … (приближаются к доходам от оборота наркотиков -  вру, не говорилось - любимая фраза И.Сачкова, бывшего на нынешнем форуме и не выступившего, за что ему отдельная благодарность. Кстати, по нынешним мерками сравнение не в пользу наркотиков – они, то что - копейки). Говорилось о необходимости “максимального информирования клиентов об угрозах в системах ДБО, о необходимости страхования рисков”. Говорилось об оперативном “уведомлении ответственных в банках за информационную безопасность” и так далее.

Программа типовой проверки ИБ в филиале банка

В банке при выработке единых подходов к организации внутренних проверок (в том числе, аудита информационной безопасности) необходимо иметь типовую программу проверок, описывающую содержание и порядок проверки. Ниже привожу типовую программу проверки ИБ филиала банка (скачать).

Как нам всем стать ёжиками?

Цапли на болоте поедали лягушек. Лягушки скинулись и пригласили Ворону - консультанта по стратегическому управлению, помочь решить с рисками быть съеденными цаплями. Ворона, тщательно изучив бизнес-процессы обстановку на болоте, подготовила доклад "Оптимальные способы выживания в болотистой местности". Основной вывод Вороны гласил: "Чтобы не быть съеденными цаплями лягушки должны стать ёжиками...". Лягушки обрадовались и задали Вороне уточняющий вопрос: "Да, спасибо, мы поняли! Но как нам стать ёжиками?!!!"

"А с этим вопросом не ко мне. Я консультант по стратегическому, а не тактическому  управлению" - ответила Ворона.

Правила Директора по ИБ

Прочитав у Александра Бондаренко  материал про функциональную модель современного директора по информационной безопасности (далее – Директор по ИБ) “4 функции директора по информационной безопасности”, отметил для себя показавшуюся интересной градацию руководителей по ИБ на:

• Стратег. Адаптация стратегии обеспечения безопасности потребностям бизнеса, инициирование инновационных трансформаций с целью эффективного управления рисками и инвестициями в безопасность.

• Советник. Взаимодействие с бизнесом с целью обучения, консультирования и оказания влияния на реализацию бизнес-проектов в контексте имеющихся рисков. 

• Защитник. Защита бизнес-активов за счет понимания текущего профиля угроз и управления эффективностью текущей программы по безопасности.

• Технарь.  Оценка и внедрение новых технологий и стандартов с целью поддержания необходимого уровня безопасности.

Поэкземплярный учет OTP-токенов

В банках широко используются устройства для генерации одноразовых паролей - OTP-токены (OTP – от сокращения “One Time Password”). Требуется вести поэкземплярный учет OTP-токенов или не требуется? Оказывается, поэкземплярный учет подобных устройств не требуется, так как на эти устройства не распространяются требования Инструкции, утвержденной Приказом ФАПСИ от 13.06.2001 № 152 и Положения ПКЗ-2005 от 16 апреля 2012 из-за использования “слабой” криптографии (короткий ключ).

Ввоз устройств со “слабой” криптографией производится в упрощенном порядке по нотификации. Нотификацию о характеристиках товара (продукции), содержащего(щей) шифровальные (криптографические) средства, можно запросить у поставщиков услуг (продукции).

Передачу OTP-токенов можно осуществлять по обычному акту приема-передачи в обслуживающие подразделения банка и не требовать возврата устройств для уничтожения (как в случае с “полноценными” СКЗИ).

О попытках нагрузить информационную безопасность функционалом экономической безопасности

Анекдот

- А если у кого-то парашют не раскроется?!!!
- Укладчик парашютов не получит премию…

Итак, на волне кризиса бизнес принимает решение о частичном совмещении функций служб информационной безопасности и экономической безопасности, оставляя частично одних и увольняя частично других. Проводя аналогию ИБ с укладкой парашютов (работа без очевидных результатов при отсутствии ЧП) - укладчикам парашютов вменили в обязанность в свободное от парашютов время укладывать асфальт (работа с понятным всем результатом). Через какое-то время очень-очень высокое начальство высказало резкое недовольство качеством и темпами укладки асфальта. Пришлось виновников уволить и набрать новых. И вот бизнесу, в лице шефа, хочешь - не хочешь, пришла пора прыгать с парашютом. Вызывает шеф главного по кадрам:

- У нас кто парашюты укладывает?

- Укладчики асфальта.

- И что им можно доверять?

- Асфальт укладывают как боги, а парашюты - дело наживное...

Примерно также происходит в трудные для бизнеса времена при попытках руководства под лозунгом оптимизации численности пытаться нагрузить информационную безопасность функционалом экономической безопасности.

Не мните наши брюки!

Анекдот

- Аллочка, ви-таки согласитесь стать моей женой?
- Боря, немедленно поднимитесь с колен, не мните наши брюки!

При очередной проверке получил указание (в ультимативной форме) от представителей Рабочей группы регулятора:

1. Предоставить доступ к личным ноутбукам и собственным съемным носителям информации представителей регулятора.

2. Предоставить неограниченный доступ к сети Интернет и, в частности, к внешнему почтовому сервису “mail.ru”.

3. Предоставить доступ к АБС, к электронным базам данных организации в режиме просмотра и (или) выборки необходимой информации.

4. Очень удивились отсутствию Wi-Fi – доступа в организации. Комментарий одного из представителей регулятора: “Каменный век какой-то!”

И куда мне теперь со своей Политикой информационной безопасности, где, в частности, прописано, что “доступ к съемным носителям информации, предоставляется только ограниченному кругу лиц на основании служебной записки на имя начальника УБ за подписью руководителя структурного подразделения с подробным обоснованием служебной необходимости…”?

Я в курсе важности работы представителей регулятора, … только... не мните наши брюки!

Риска нет и точка!

Для бизнеса риска не существует, пока вы его ему не продемонстрировали на конкретных цифрах, а еще лучше – примерах. А то у нас ведь как?

Безопасность: “А если у кого-то парашют не раскроется?!!!”

Бизнес: “Укладчик парашютов не получит премию…”

Как выжить ИБ-безопаснику в свете РС БР ИББС-2.7-2015?

"И помни, что придёт пора, - и шею брей для топора…"

В.Ходасевич

"Один мальчик все время твердил, что подразделение ИБ самый ценный актив компании. Когда случился кризис его сократили в первую очередь..."

Е.Родыгин

Извлекаем практическую пользу из рекомендаций в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Ресурсное обеспечение информационной безопасности" (РС БР ИББС-2.7-2015).

Пишем Политику компании в отношении обработки персональных данных (Часть 4)

Меры по обеспечению безопасности при обработке персональных данных

(формулировки из ФЗ-152, главы 4, статьи 19, части 1)

При обработке персональных данных Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Пишем Политику компании в отношении обработки персональных данных (Часть 3)

Права и обязанности оператора персональных данных

Оператор, осуществляющий обработку персональных данных, вправе:

1.   отстаивать свои интересы в судебных органах;

2.  предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством Российской Федерации (правоохранительные, налоговые органы и др.), а также связано с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

3. отказывать в предоставлении персональных данных в случаях предусмотренных законодательством Российской Федерации;

4. использовать персональные данные субъекта без его согласия, в случаях предусмотренных законодательством Российской Федерации.

Пишем Политику компании в отношении обработки персональных данных (Часть 2)

Сроки обработки ПДн

(Описываем сроки обработки ПДн, частично основываясь, например,  на "Правилах обработки персональных данных в Министерстве труда и социальной защиты Российской Федерации", утвержденных приказом Министерства труда и социальной защиты РФ от 29 мая 2014г. №348н. В Правилах в разделе VII определены сроки обработки и хранения персональных данных, а в разделе VIII установлен порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований)

-для работников Оператора:

В соответствии с законодательством Российской Федерации Оператором определены и установлены следующие сроки обработки и хранения персональных данных:

Пишем Политику компании в отношении обработки персональных данных (Часть 1)

Обоснование необходимости Политики в отношении обработки персональных данных (ПДн):

-для всех:

- ФЗ-152 (ст. 18.1, ч. 1, п. 2);

-для банков дополнительно:

- Стандарт Банка России СТО БР ИББС-1.0-2014 “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения”, пункт 7.10.5.2.: “Организация БС РФ должна опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему ее политику в отношении обработки ПДн, а также к сведениям о реализуемых требованиях по обеспечению безопасности персональных данных.”

Оглавление Политики формируем, исходя из норм 152-ФЗ, а именно из главы 3, статьи 14, части 7:

В общем случае это может выглядеть так:

1. ОБЩИЕ ПОЛОЖЕНИЯ

2. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4. СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

7. ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА ПЕРСОНАЛЬНЫХ ДАННЫХ (например, Банка)

8. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

9. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ ФЕДЕРАЛЬНОГО ЗАКОНА «О ПЕРСОНАЛЬНЫХ ДАННЫХ»

10. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

IDC IT Security Roadshow 2015

18 марта в Москве прошла традиционная 13-я по счету международная конференция "IDC IT Security RoadShow 2015". Удивило количество народа – полный зал. И это несмотря на то, что количество бесплатных мест (VIP) проанонсированное организаторами - 250. Было гораздо  больше. Кроме привычных, за редким исключением, неплохих выступлений поставщиков решений по IT-безопасности (не люблю слово “вендоры”), несомненный интерес присутствующих привлекла панельная (надо в wiki посмотреть, почему “панельная”?) дискуссия “Целенаправленные атаки”. 

Образцы журналов по ИБ-безопасности

Часто, при проведении аудита информационной безопасности в филиалах банка, сталкиваешься с ситуацией, когда нет утвержденного необходимого и достаточного перечня журналов по ИБ-безопасности. А мы знаем, что разные регуляторы требуют при проверке разные журналы. Попробуем разобраться.

Чего мне не хватало на Уральском форуме "ИБ банков"?

Даже при самой жесткой нехватке времени на Форуме необходимы, на мой взгляд, организованные спортивные развлечения: без них как без витаминов. Мне возразят: кто хотел - катался на горных лыжах, досках и т.д. Отвечу так: не все катаются с гор. Я, например, всю жизнь занимаюсь спортом, но при этом обхожусь без посредников - досок, колес и т.д. Соревнования не обязательно должны быть массовыми: это может быть дартс, н.теннис, бильярд, да хоть покер (для полуночников). Игры в приятной, "семейной" обстановке с шуточными призами. На мой взгляд, дух соревновательности, вброс адреналина помогут участникам Форума узнать друг друга с разных сторон и лучше переносить многочасовые слушания докладов.

VII-ой Уральский форум. Итоги. Кратко и по делу.

Все хорошее когда-то заканчивается, закончился и VII-ой Уральский форум "Информационная безопасность банков". Что он мне дал как ИБ-безопаснику?

VII Уральский форум. Репортаж 4-й. 20 февраля

Хорошую форму продемонстрировал в самом начале заседания 20 февраля его ведущий Алексей Лукацкий, который обратился к участникам Форума с вопросом: "Позитив есть в зале?" (имелось в виду присутствие в зале представителей компании "Positive Technologies").

VII Уральский форум. Репортаж 3-й. 19 февраля.

Казалось бы на 4-й день Уральского форума присутствующих уже трудно чем-то удивить.

VII Уральский форум. Репортаж 2-ой, 18 февраля

18 февраля Уральский форум проходил под знаком "нагоняния жути".

VII Уральский форум. Репортаж 1-й. 16-17 февраля

Начну сразу с 17-ого, потому что, вспоминая 16-ое, кроме перелета и почему-то врезавшейся в память фразы, сказанной кем-то из участников в автобусе по дороге к самолету: "Демотиватор - это надпись на черном фоне с фотографией", могу только процитировать Высоцкого: "Ой, где был я вчера - не найду, хоть убей. Только помню, что..." должен - на Форуме...

Это Родина, сынок!

Звоню на днях в одну контору с гордым названием “Центр Защиты Информации”. Прошу прислать договор о сотрудничестве. Отвечают: “Сейчас выслать не можем, все компьютеры в офисе заблокировал вирус”. Как любит шутить один известный лектор из мира безопасности: “Это Родина, сынок!”.

АБВГДейка банковского безопасника

Вступление. Привыкшие к многочисленным сокращениям, советские люди привычно расшифровывали МОРГ как Место Окончательной Регистрации Граждан. Чтобы не ошибиться, привожу еще некоторые другие расшифровки сокращений из другой сферы - сферы финансов.

Плач безопасника по ИБ (наброски Манифеста VII-ого Уральского форума по безопасности)

Всю жизнь мы ищем нужные нам условия и цели. И так как не находим их, то вынуждены создавать их сами. Мы в постоянном поиске своей Полярной звезды, то есть той главной цели, которая не будет меняться во времени (152-ФЗ, План ОНиВД, 161-ФЗ, 242-ФЗ, Чёрте-Какое-ФЗ). После внесения изменений в ранее внесённые законодательные изменения мы не успеваем приводить в соответствие ни то, что системы и процессы, а хотя бы документы.

Мы всегда старались много читать и всем всё подробно объяснять, но наши руководители (из другой безопасности) переубеждали нас: чем меньше букв, тем ёмче слово. Наверное, они правы: в корпоративной среде умение ёмко говорить важнее, чем знания и интеллект.

Время экспериментов прошло. Бизнесу нужны результаты. Только-только худо-бедно приведя в соответствие свои технологии, инструменты, бизнес-процессы и сформулировав значимые цели, мы оказываемся у разбитого корыта после очередного: а) рывка технологического прогресса; б) изменения законодательства; в) невыполнимого требования регулятора (нужное подчеркнуть, остальное принять к сведению). Мы не знаем чего ждать. "В погоне за трендами мы не успеваем разгребать то, что есть" (А.Лукацкий).

Не хотелось бы выглядеть загнанным оленем в свете фар, обеспечивая требования законов, которые нельзя ни соблюдать, ни проводить в жизнь, ни объективно трактовать, но: с нас бесполезно требовать окупаемости.

Хотя в глубине души мы в постоянном ожидании, что вся эта суета не напрасна и наконец-то окупится.

Мы не знаем, что сказать нашим руководителям.

Мы не знаем, что можно сделать в текущей ситуации.

Мы не знаем, какие результаты оценивать и как это делать.

Нас призывают не заморачиваться, "плыть по течению и радоваться, что оно есть".

Так уж исторически сложилось, что для русских людей лучший способ сплотиться – это лишения. Убить дойных коров, создать себе трудности, загнать себя в тупик – это так по-нашенски. Лишения налицо, осталось сплотиться.