№ 6, декабрь 2019 www.itsec.ru
Издание компании
XVI МеждунарОдная выставка
Осень 2020
Спецраздел
ИМПОртОЗаМеЩенИе
ОсОбеннОсТи применения GDPR
для рОссийских ОпераТОрОВ пд
Обмани меня,
если смОжешь:
прОВедение
сОциОТехническОгО
пенТесТа
недекларирОВанные
ВОзмОжнОсТи SIEM
и как их праВильнО
задейсТВОВаТь
DevSecOps
В услОВиях
дейсТВующегО
нОрмаТиВнО-
праВОВОгО пОля
Эйджизм В иб:
чТО О нем дОлжен
знаТь рабОТОдаТель
Виталий Терентьев
Однажды все пОймут,
чтО живут в “дОме сО стеклянными стенами”
От hard skills к helicopter view
февраль
2021
Реклама
www.itsec.ru
Совмещать, замещать и опережать (верное подчеркнуть) Амир Хафизов,
выпускающий
Импортозамещение в области информационной безопасности вступило в активную фазу всего
несколько лет назад. Сейчас подходящее время, чтобы посмотреть, как обстоят дела в этой сфере. редактор журнала
Сразу бросается в глаза, что фронт наступления отечественных решений очень неоднороден. “Информационная
Об одних его участках стоит говорить как об импортосовмещении, о других как об импортозамещении,
о третьих даже как об импортоопережении. Но, увы, есть место и для импортосамообмана. безопасность”
С мнением экспертов нашего журнала о сегодняшней ситуации в импортозамещении вы можете
познакомиться на стр. 4 и стр. 20–22.
А не так давно, в ноябре, Минкомсвязи исключила офисный пакет AlterOffice из списка
отечественного ПО, признав его нарушающим правила вхождения в реестр. По факту AlterOffice
является сборкой свободно распространяемого open-source-пакета LibreOffice. И сейчас в реестре
безальтернативно остался только один полноценный офисный пакет – МойОфис. На стр. 38 специа-
листы этой компании делятся своим видением организации процесса безопасной разработки.
Эта история, казалось бы, не имеет прямого отношения к ИБ, но она показательна. Инфраструктура
импортозамещения работает, но достаточно ли привлекательна сама идея, чтобы мотивировать на
переход под свои знамена? Увы, не всегда. В результате приходится искать компромиссы,
например в виде импортосовмещения.
Безусловно, импортозамещение – это коллективная отраслевая инвестиция, которая требует
дополнительных ресурсов и не может дать результаты немедленно. Но, кроме сложностей, о которых
говорят в этом номере эксперты, оно дает и преимущества.
Ведь импортозамещение, как ни парадоксально, имеет и экспортный потенциал, – скорее всего,
не в разрезе конкретных решений, а в целом, как инфраструктура. Проблемы, которые подтолкнули
Россию в сторону импортозамещения, актуальны и в других странах.
А между тем ветерану импортозамещения, криптографическому стандарту ГОСТ, исполнилось
30 лет. Ветеран он только по сравнению с остальными участниками, ведь жизнь его полна
и насыщенна. О юбиляре и пройденном им пути читайте в рубрике "Криптография" на стр. 41.
Любопытно, что магическая отметка "30 лет" еще раз появляется в этом номере. Дело в том, что
исследование проблемы эйджизма в ИБ идентифицировало возраст в 30 лет как своего рода рубеж,
не достигшие его специалисты воспринимают ИБ совершенно иначе, чем более старшие коллеги.
Читайте об этом интервью на стр. 12 и исследование на стр. 45.
А еще в этом году промежуточный 15-летний юбилей отметил наш журнал, первый номер которого
вышел в свет в 2005 году. Много воды утекло с тех пор. То была другая реальность, другие
технологии, другая информационная безопасность, другие тревоги. Только таксисты, наверное,
были те же – коллеги не дадут соврать. Кстати, читайте материал о социотехническом пентесте на
стр. 32.
А сейчас мы все вместе переживаем за импортозамещение. Но пройдет еще немного времени,
и оно начнет потихоньку возвращать вложенные в него инвестиции.
Приятного чтения!
•1
СОдЕРЖАНИЕ стр.
В ФОКУСЕ 4
Виктор Минин стр.
Закон о безопасности КИИ опоздал на десять лет . . . . . . . . . . . . . .4
12
Константин Саматов
Безопасность объектов КИИ: от целого к частному . . . . . . . . . . . . .5 стр.
Валерий Богдашов
Саммит субъектов КИИ: вопросы и ответы . . . . . . . . . . . . . . . . . . . .8 36
ПЕРСОНЫ стр.
Сергей Панов
О стандартах, о планах, о научно-техническом потенциале . . . . .10 32
Виталий Терентьев
Произойдет переломный момент, и все поймут,
что живут в "доме со стеклянными стенами".
От hard skills к helicopter view . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12
ПРАВО И НОРМАТИВЫ
Анастасия Заведенская
Законодательные итоги года. Ноябрь, декабрь 2019 г. . . . . . . . . .16
Андрей Прозоров
Особенности применения GDPR
для российских операторов персональных данных . . . . . . . . . . . .18
СПЕцРАздЕл. СдЕлАНО В РОССИИ
Тревога за импортозамещение . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20
Светлана Конявская
Перспективы развития технических средств
защиты информации в России . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23
УПРАВлЕНИЕ
Андрей Фёдоров
Утечки данных подорожали в 2019 году.
Статистика убытков . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26
Иван Лопатин
Недекларированные возможности SIEM . . . . . . . . . . . . . . . . . . . . . .30
2•
СОДЕРЖАНИЕ Журнал "Information
Security/Информационная
ТЕХНОЛОГИИ
безопасность" № 6, 2019
Павел Супрунюк Издание зарегистрировано
Обмани меня, если сможешь.
Особенности и проведение социотехнического пентеста . . . . . . .32 в Минпечати России
Ксения Головко Свидетельство о регистрации
Как системы класса DLP помогают выполнить требования GDPR . . .36 ПИ № 77-17607 от 9 марта 2004 г.
РАЗРАБОТКА
Александр Буравцов, Александр Мелихов Учредитель и издатель
Проблематика реализации концепции DevSecOps компания "Гротек"
в условиях действующего нормативно-правового поля . . . . . . . .38
КРИПТОГРАФИЯ Генеральный директор ООО "Гротек"
Григорий Маршалко, Дмитрий Ларин Андрей Мирошкин
К 30-летию стандарта шифрования ГОСТ . . . . . . . . . . . . . . . . . . . . .41
Издатель
JOB Владимир Вараксин
Александр Севостьянов Выпускающий редактор
Я, офицер информационной безопасности . . . . . . . . . . . . . . . . . . .44 Амир Хафизов
Дмитрий Богомолов
Эйджизм в ИБ. Возраст работе (не) помеха . . . . . . . . . . . . . . . . . . .45 Корректор
Александр Зубарев, Владимир Душкевич Галина Воронина
Дефицит кадров в сфере информационной безопасности
и подготовка молодых специалистов: пути решения проблемы .46 Дизайнер-верстальщик
Ольга Пирадова
НОВЫЕ ПРОДУКТЫ И НЬЮСМЕЙКЕРЫ
Группа управления заказами
Новые продукты и услуги . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48 Татьяна Мягкова
Ньюсмейкеры . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48
Юрисконсульт
Кирилл Сухов,
[email protected]
Департамент продажи рекламы
Зинаида Горелова, Ольга Терехова
Рекламная служба
Тел.: (495) 647-0442,
[email protected]
Отпечатано в типографии
ООО "Линтекст", Москва
Тираж 10 000. Цена свободная
Оформление подписки
Тел.: (495) 647-0442, www.itsec.ru
Департамент по распространению
Тел.: (495) 647-0442,
Для почты 123007, Москва, а/я 82
E-mail [email protected]
Web www.groteck.ru, www.itsec.ru
Перепечатка допускается только по
согласованию с редакцией
и со ссылкой на издание
За достоверность рекламных публикаций
и объявлений редакция ответственности
не несет
Мнения авторов не всегда отражают
точку зрения редакции
© "Гротек", 2019
•3
В ФОКУСЕ
Закон о безопасности КИИ опоздал на 10 лет
Виктор Минин, председатель правления АРСИБ (Ассоциация руководителей служб
информационной безопасности)
У же в 2005–2006 годах существовали предпосылки для
принятия закона о безопасности КИИ. Обсуждавшаяся
модель закона в целом была понятна в том числе благодаря
быстрому развитию ИТ-технологий. Но так сложилось,
что в России от момента осознания необходимости закона
до момента его принятия и реализации обычно проходит
от 10 до 15 лет.
Субъекты КИИ стараются Например, закон обмен честными данными об технологий, для которых отсут-
"оптимизировать" свои уси- о персональных данных обнаруженных уязвимостях ствуют отечественные аналоги,
лия по выполнению требова- прошел этот путь за между субъектами информа- в первую очередь это касается
ний закона. Не секрет, что 10 лет, закон о цифро- ционного взаимодействия микроэлектроники и опера-
"оптимизация" почти всегда вой (а затем и электрон- может существенно улучшить ционных систем. Уже лет пять
происходит на этапе катего- ной) подписи – тоже за ситуацию. Например, АРСИБ обсуждается вопрос появления
рирования объектов КИИ 10 лет. А теперь вот ведет такую работу с момента наших процессоров, но реаль-
путем искусственного зани- закон о безопасности КИИ своего создания. Время умал- ные продукты единичны, и в
жения их категории. принят с опозданием даже не чивания и выстраивания эше- массовом применении их нет.
в 10, а в 15 лет. лонированной защиты прошло. Соответственно, мы кричим
Лет пять-шесть назад на Почему так случается? Даже 10 лет назад типовой про- про импортозамещение, про
одной из конференций без- К сожалению, законодатель не ект по ИБ, который строился стимуляцию бизнеса, но ско-
опасники пришли к выводу, всегда достаточно осведомлен полтора-два года, терял акту- рость реализации этих идей
что в сфере ИТ есть импор- об ИТ-технологиях и уж тем альность на момент заверше- оказывается крайне медлен-
тозамещение, а в сфере ИБ более не всегда точно понимает ния. Сейчас эти сроки еще ной.
есть импортосовмещение. сопутствующие ИТ-технологиям сократились.
Это связано с большим риски. И это беда всего миро- Как это изменить? Ответ
количеством технологий, вого сообщества, зарубежные С учетом закона о безопас- прост и очевиден: нужно кон-
для которых отсутствуют страны сталкиваются с анало- ности КИИ на сегодняшний солидировать усилия и совмест-
отечественные аналоги, гичными проблемами. день необходимо наводить но создавать технологии, кото-
в первую очередь это каса- В итоге закон о безопасности элементарный порядок и рые сейчас выпадают из стека
ется микроэлектроники КИИ все же принят, идет его выстраивать обмен информа- импортозамещения. Нужно
и операционных систем. реализация, но идет, надо при- цией c центрами мониторинга обратить внимание на отече-
знаться, тяжело. Есть закон, (SOC/CERT/CSIRT). Начинать ственные процессоры "Эль-
4• есть подзаконные акты, но нет нужно уже сегодня, уже сей- брус" и мобильную операцион-
понимания важности самой про- час. ную систему "Аврора". Пока
блемы обеспечения безопасно- эти продукты находятся
сти КИИ! С точки зрения психо- Закон о безопасности КИИ в начальной стадии развития
логии это звучит так: то, чего стоит на двух столпах. Первый – и массово продаваться вряд
не понимаю, отрицаю. В резуль- мониторинг. Это прерогатива ли смогут. По сути, даже эти
тате субъекты КИИ стараются ФСБ России, для которой впер- продукты на настоящий момент
"оптимизировать" свои усилия вые за много лет предусмотрен нишевые, они ориентированы
по выполнению требований новый вид деятельности, вне- на использование в органах
закона. Не секрет, что "оптими- сены дополнительные измене- государственной власти, они
зация" почти всегда происходит ния в закон о ФСБ России. не массовые. Но когда будут
на этапе категорирования объ- созданы продукты с востребо-
ектов КИИ путем искусственно- Вторая составляющая – ванной на сегодняшний день
го занижения их категории. суметь правильно защитить функциональностью, вот тогда
Чтобы этого не происходило, объекты КИИ. Это связано с ситуация с импортозащением
ФСТЭК России, кроме прочего, деятельностью ФСТЭК России, начнет кардинально изменять-
нужно активнее работать которая готовит необходимые ся. Нам нужно научиться соз-
совместно с МЧС России, пото- нормативные акты, направлен- давать отечественые флагман-
му что в первую очередь ные на обеспечение безопас- ские продукты.
в защите нуждаются такие объ- ности. Тут же можно упомянуть
екты КИИ, как ядерные, хими- и огромное количество доку- И все же идея импортозаме-
ческие, относящиеся к обес- ментов по таким направлениям, щения – правильная, в том
печению жизнедеятельности как персональные данные, ГИС, числе и с точки зрения под-
населения. Порядок, связанный АСУ ТП. Отмечу, что сейчас держки промышлености. Но
с защитой такой значимой мы видим реинкарнацию закона пока, исходя из того, что мы
инфраструктуры, должен быть об АСУ ТП (КСИИ), только с видим в последние 10 лет, есть
наведен как можно скорее, ведь точки зрения КИИ. ощутимая тревога за успеш-
кризис может случиться ность ее реализации. l
в любой момент. Лет пять-шесть назад на
В этом процессе важна роль одной из конференций без- Ваше мнение и вопросы
и общественных организаций – опасники пришли к выводу, присылайте по адресу
что в сфере ИТ есть импорто-
замещение, а в сфере ИБ есть [email protected]
импортосовмещение. Это свя-
зано с большим количеством
КИИ www.itsec.ru
Безопасность объектов КИИ:
от целого к частному
Константин Саматов, руководитель направления Аналитического центра
Уральского центра систем безопасности, член Ассоциации руководителей служб
информационной безопасности, преподаватель дисциплин информационной
безопасности в УрГЭУ и УРТК им. А.С. Попова
В рамках данной статьи поговорим об алгоритме выполнения
требований Федерального закона от 26.07.2017 г. № 187-ФЗ
“О безопасности критической информационной инфраструктуры
Российской Федерации", этапах создания системы обеспечения
безопасности значимых объектов критической информационной
инфраструктуры и их особенностях.
С точки зрения значимости объекты КИИ подразделяются на два вида –
значимые и незначимые. Значимые имеют три категории значимости:
максимальная – первая, минимальная – третья. От категории значимости объекта
КИИ зависит набор мер по обеспечению безопасности.
Федеральный закон от 26.07.2017 г. и индивидуальные предприниматели). имеют три категории значимости: мак-
№ 187-ФЗ "О безопасности критической Сказанное означает, что на практике симальная – первая, минимальная –
информационной инфраструктуры Рос- обеспечение безопасности КИИ "опус- третья. От категории значимости объекта
сийской Федерации"1 сформулировал кается" на уровень обеспечения без- КИИ зависит набор мер по обеспечению
следующее понятие КИИ: это объекты опасности имеющихся у каждого из безопасности.
критической информационной инфра- субъектов КИИ объектов КИИ. Именно
структуры, а также сети электросвязи, с указанной позиции мы и будем гово- Что касается объектов КИИ, не отне-
используемые для организации взаимо- рить о безопасности КИИ в этой статье. сенных к значимым, то для них не тре-
действия таких объектов. Другими сло- буется построение дополнительной
вами, КИИ – это совокупность инфор- Дорожная карта по обеспечению системы безопасности. Состав и содер-
мационных и автоматизированных безопасности КИИ жание мер защиты информации для
систем, а также информационно-теле- указанных объектов регламентированы
коммуникационных сетей субъектов КИИ Весь процесс обеспечения безопас- в нормативно-правовых актах, регули-
и сетей электросвязи, обеспечивающих ности КИИ можно представить в виде рующих вопросы безопасности кон-
их взаимодействие. дорожной карты, изображенной на кретного вида систем: информационная
рис. 1. система персональных данных, авто-
Опускаясь на прикладной уровень, матизированная система управления,
можно сказать, что КИИ Российской Начальным этапом реализации мер автоматизированная банковская систе-
Федерации – это совокупность инфор- является категорирование, т.к. именно ма и т.п.
мационных инфраструктур всех субъ- на нем субъект КИИ определяет, какие
ектов КИИ (государственные органы, у него есть объекты КИИ. При этом, помимо требований по обес-
государственные учреждения, органи- печению безопасности значимых объ-
зации различных форм собственности С точки зрения значимости объекты ектов КИИ, действующее законодатель-
КИИ подразделяются на два вида – ство предусматривает права и обязан-
значимые и незначимые. Значимые ности субъектов КИИ (как владельцев
значимых, так и незначимых объектов
Рис. 1. Дорожная карта по обеспечению безопасности объектов КИИ КИИ), которые закреплены в ст. 9 закона
1 Далее по тексту – закон “О безопасности КИИ". "О безопасности КИИ". Не будем пере-
числять их в данной статье, т.к. с ними
можно подробно ознакомиться в тексте
закона, укажем лишь на практические
аспекты их реализации.
Реагирование на компьютерные
инциденты
С практической точки зрения для
выполнения возложенных на субъекта
КИИ (владельца как значимых, так
и незначимых объектов) ст. 9 закона
"О безопасности КИИ" обязанностей
необходимо разработать регламент
•5
В ФОКУСЕ
о Федеральной службе по техническому
и экспортному контролю, утвержденное
Указом Президента Российской Феде-
рации от 16 августа 2004 г. № 1085,
и определением ФСТЭК России феде-
ральным органом исполнительной вла-
сти, уполномоченным в области без-
опасности КИИ, с 1 января 2018 г.
ФСТЭК России утратила полномочия
в области обеспечения безопасности
информации в ключевых системах
Рис. 2. Состав сил обеспечения безопасности ЗОКИИ информационной инфраструктуры.
Общие требования по обеспечению без-
опасности информации в ключевых
реагирования на компьютерные инци- каждого ЗОКИИ, и формируется план системах информационной инфраструк-
денты (дополнить соответствующим раз- мероприятий. туры, утвержденные ФСТЭК России
делом уже имеющийся регламент реа- Требования к созданию СБ ЗОКИИ 18 мая 2007 г., и Рекомендации по обес-
гирования на инциденты информацион- установлены приказом ФСТЭК России печению безопасности информации
ной безопасности), в котором предусмот- от 21 декабря 2017 г. № 235, в котором в ключевых системах информационной
реть: определены состав сил обеспечения инфраструктуры, утвержденные ФСТЭК
l алгоритм действий в случае наруше- информационной безопасности, их России 19 ноября 2007 г., признаны
ния функционирования объекта КИИ структура и функции, требования к ним утратившими силу.
или безопасности обрабатываемой (рис. 2). При этом Базовая модель угроз без-
таким объектом информации; Приказом ФСТЭК России от 25 декаб- опасности информации в ключевых
l порядок информирования ФСБ России ря 2017 г. № 239 утверждены требования системах информационной инфраструк-
и (или) Центрального банка Российской по обеспечению безопасности ЗОКИИ. туры, утвержденная ФСТЭК России
Федерации, организацию взаимодей- Одним из ключевых и проблемных на 18 мая 2007 г., а также Методика опре-
ствия с государственной системой обна- практике требований, установленных деления актуальных угроз безопасности
ружения, предупреждения и ликвидации данным приказом, является моделиро- информации в ключевых системах
последствий компьютерных атак на вание угроз безопасности ЗОКИИ. Одна- информационной инфраструктуры, утвер-
информационные ресурсы Российской ко на сегодняшний день утвержденная жденная ФСТЭК России 18 мая 2007 г.,
Федерации (ГосСОПКА)2; методика моделирования угроз и дей- могут применяться субъектами КИИ:
l правила взаимодействия и оказания ствий нарушителей для объектов КИИ l для моделирования угроз безопасно-
содействия должностным лицам ФСБ отсутствует. сти информации на ЗОКИИ;
России в ходе расследования инцидента ФСТЭК России в информационном l до тех пор, пока ФСТЭК России не
и ликвидации его последствий; сообщении от 4 мая 2018 г. утверждены аналогичные методические
l план действий персонала в случае № 240/22/2339 сообщает, что в связи документы по безопасности объектов
возникновения компьютерного инциден- с внесением изменений в Положение КИИ.
та, в т.ч. направленных на ликвидацию
его последствий.
Кроме того, не лишним будет подго- Приказом ФСТЭК России от 25 декабря 2017 г. № 239 утверждены требования
товить план повышения осведомленно- по обеспечению безопасности ЗОКИИ. Одним из ключевых и проблемных на
сти и проведения киберучений, пример- практике требований, установленных данным приказом, является
ная структура которого может быть сле- моделирование угроз безопасности ЗОКИИ. Однако на сегодняшний день
дующей: утвержденная методика по моделированию угроз и действий нарушителей для
1) основные мероприятия по подго- объектов КИИ отсутствует.
товке учения;
2) очередность и сроки их исполне-
ния;
3) ответственные исполнители.
Система безопасности значимого
объекта КИИ
В соответствии со ст. 10 закона "О без-
опасности КИИ", в целях обеспечения
безопасности значимого объекта КИИ
субъект КИИ создает систему безопас-
ности такого объекта (СБ ЗОКИИ) и реа-
лизует ее функционирование.
Целью СБ ЗОКИИ является обеспече-
ние его устойчивой работы. Проект соз-
дания СБ ЗОКИИ, как правило, включает
в себя несколько этапов.
Этап 1. Планирование
На этом этапе устанавливаются тре-
бования, которые необходимо выпол-
нить для обеспечения безопасности
2Вопросы организации взаимодействия с ГосСОПКА подробно рассмотрены в статье “Проблемные вопросы взаимодействия
с ГосСОПКА" (журнал Information Security / “Информационная безопасность". – 2019. – № 4. – С. 4–6).
6•
КИИ www.itsec.ru
Следует отметить, что информацион- ЗОКИИ (пп. 29–31 приказа ФСТЭК Рос- •7Реклама
ные сообщения не являются норматив- сии от 21 декабря 2017 г. № 235),
но-правовыми актами и не имеют юри- начало реализации которого означает
дической силы. переход на следующий этап.
Приказом ФСТЭК России от Этап 2. Реализация
25.12.2017 г. №2 39 (п. 11.1) утверждены
требования к содержанию модели угроз На данном этапе осуществляется фак-
для ЗОКИИ, в соответствии с которыми тическое создание:
модель угроз безопасности информации l сил СБ ЗОКИИ, то есть формирование
должна содержать краткое описание структурных подразделений, указанных
архитектуры значимого объекта, харак- на рис. 1;
теристику источников угроз безопасно- l внедрение организационных и техни-
сти информации, в т.ч. модель наруши- ческих мер, реализация плана меро-
теля, и описание всех угроз безопасности приятий по обеспечению безопасности
информации, актуальных для значимого ЗОКИИ (п. 34 приказа ФСТЭК России
объекта. от 21 декабря 2017 г. № 235). Состав
организационных и технических мер по
В качестве исходных данных для ана- обеспечению безопасности ЗОКИИ при-
лиза угроз безопасности информации веден в приложении к приказу ФСТЭК
должен использоваться банк данных, России № 239 от 25 декабря 2017 г.;
ведение которого осуществляется l разработка организационно-распоря-
ФСТЭК России. дительных документов, регламентирую-
щих процессы управления информа-
По сути, п. 11.1 приказа ФСТЭК Рос- ционной безопасностью.
сии от 25.12.2017 г. № 239 устанавливает
требования и подходы, которыми необхо- Этап 3. Мониторинг и контроль
димо руководствоваться при моделиро-
вании угроз безопасности ЗОКИИ. Основная цель этого этапа – посто-
янное наблюдение за функционирова-
По мнению автора, опираться на мето- нием СБ ЗОКИИ, определение суще-
дики и базовые модели угроз, разрабо- ствующего положения дел в области
танные ФСТЭК России для ключевых обеспечения информационной безопас-
систем информационной инфраструкту- ности и дальнейших действий для улуч-
ры, на текущий момент стратегически шения системы защиты информации,
неверно, так как методические доку- т.е. ее совершенствования.
менты в части моделирования угроз
безопасности информации объектов Этап 4. Совершенствование
КИИ, которые планируются к утвержде-
нию ФСТЭК России (согласно инфор- Созданная система не является ста-
мационному сообщению от 4 мая 2018 г. тичной и нуждается в систематическом
№ 240/22/2339), явно будут опираться совершенствовании, чтобы противосто-
на требования действующего законода- ять новым угрозам. По результатам
тельства по безопасности КИИ, в част- мониторинга и контроля в рамках совер-
ности приказа ФСТЭК России от шенствования осуществляется (при
25.12.2017 г. № 239. необходимости) корректировка архитек-
туры объектов КИИ, обновление суще-
После определения актуальных угроз ствующих средств защиты ЗОКИИ,
перед проектированием СБ ЗОКИИ повышение зрелости процессов управ-
необходимо проведение так называе- ления информационной безопасностью
мого диагностического аудита (в общей и корректировка организационно-рас-
теории менеджмента более известного порядительных документов.
как GAP-анализ), целью которого
является определение тех мер по защи- Проектный подход
те информации, которые уже приняты
в отношении данного объекта КИИ, Со времени вступления в законную
и тех, которые необходимо будет реа- силу Федерального закона от
лизовать в процессе создания СБ 26.07.2017 г. № 187-ФЗ "О безопасности
ЗОКИИ. критической информационной инфра-
структуры Российской Федерации" про-
Результатом проведения диагности- шло уже около двух лет, многие субъ-
ческого аудита будет являться понима- екты КИИ провели процедуру категори-
ние того, какая часть обязательных мер рования и теперь приступают к созданию
по обеспечению безопасности ЗОКИИ СБ ЗОКИИ. Исходя из того, что создание
уже реализована, какая требует реали- СБ ЗОКИИ – это некий проект в области
зации в процессе создания СБ ЗОКИИ, обеспечения безопасности организации,
какая может быть "закрыта" встроенны- в этой статье и был предложен про-
ми средствами защиты, а для какой ектный подход с указанием этапов про-
потребуется применение наложенных екта и некоторых особенностей их реа-
средств. лизации. l
По итогам проведенного моделирова- Ваше мнение и вопросы
ния угроз, анализа текущего положения присылайте по адресу
дел и формирования требований к СБ
ЗОКИИ (на основании категории значи- [email protected]
мости) подготавливается и утверждается
руководителем субъекта КИИ план меро-
приятий по обеспечению безопасности
В ФОКУСЕ
Саммит субъектов КИИ: вопросы и ответы
Валерий Богдашов, директор Центра экспертизы R-Vision
26 сентября компания “Гротек” провела саммит субъектов
КИИ, в котором приняли участие представители ФСТЭК,
Совета Федерации и крупнейших организаций, являющихся
субъектами КИИ и уже имеющих практический опыт
категорирования объектов и реализации других требований
187-ФЗ. Среди участников были представители НЛМК,
“Норникеля”, СО ЕЭС, ЕВРАЗ, “Ростелекома”, Гринатома
и других крупных компаний. Специалисты Центра
экспертизы R-Vision также приняли участие в саммите.
Тема КИИ волнует многих. И если в откровенного завышения или заниже- Использование
2018 г., когда только-только появились ния классов акты возвращают на пере- сертифицированных СЗИ для
первые нормативные правовые акты, смотр. Насколько подробно нужно сег- обеспечения безопасности ОКИИ
связанные с 187-ФЗ "О безопасности ментировать системы при категориро-
критической информационной струк- вании, каждый субъект решает само- Вопрос об обязательном использова-
туры Российской Федерации", органи- стоятельно. нии сертифицированных СЗИ для обес-
зации в основном разбирались с тео- печения безопасности объектов КИИ
рией, то сейчас большинство субъектов Некоторые субъекты КИИ, в ведении регулярно поднимается субъектами КИИ.
КИИ приступило к практической реа- которых находится множество объектов, На саммите представитель регулятора
лизации требований закона, и в ходе поделились практикой проведения кате- подчеркнул, что можно использовать
этого процесса возникают новые вопро- горирования параллельно с процессами любую доступную форму оценки соот-
сы. Неудивительно, что в отрасли проектирования и реализации подси- ветствия, поскольку сертификация доб-
наблюдается интерес к круглым столам стемы информационной безопасности ровольная. Оценку соответствия СЗИ
и практическим сессиям с участием для самых критичных объектов КИИ. можно проводить самостоятельно в виде
регуляторов и более опытных коллег Они подготовили примерный перечень испытаний или приемки, по окончании
по цеху. ОКИИ, после чего начали проводить которой будет вынесено заключение
работы по категорированию и проекти- комиссии, созданной в организации.
В ходе мозговых штурмов и обсужде- рованию, в ходе которых состав ОКИИ
ний в группах участники мероприятия будет определен более точно. Через Сложности и проблемы по опыту
разбирали оптимальные управленческие год они направят во ФСТЭК уточненный субъектов КИИ
и технологические подходы к реализации перечень.
требований 187-ФЗ, а также делились Участники саммита, представляющие
своим опытом. Алексей Кубарев, пред- Моделирование угроз субъекты КИИ, одной из главных про-
ставляющий ФСТЭК, рассказывал о том, блем назвали отсутствие дополнитель-
что регулятор ожидает от субъектов На вопрос о том, какую методику ных ресурсов для деятельности по КИИ,
КИИ, а также о наиболее распростра- нужно использовать при моделировании что замедляет процесс категорирования.
ненных ошибках и заблуждениях, свя- угроз, Алексей Кубарев в очередной Многие сотрудники некомпетентны
занных с процессом категорирования раз подчеркнул, что любую. ФСТЭК не в этом вопросе, но дополнительных
объектов КИИ. обязывает использовать какую-то кон- средств для привлечения профессиона-
кретную методику. В информационном лов или дополнительного обучения имею-
По результатам предварительного письме говорилось о том, что можно щихся специалистов не выделяется.
опроса организаторы мероприятия сфор- использовать методику КСИИ, но это не
мировали пул наиболее волнующих означает, что нужно. Уже имеющиеся в Другая проблема заключается в том,
аудиторию вопросов для обсуждения. организации модели угроз, созданные что топ-менеджмент зачастую не видит
для ПДн, ГИС, КСИИ и пр., можно рисков в несоответствии требованиям
Участникам саммита удалось поде- использовать как основу и просто пере- по КИИ. Далеко не во всех организациях
литься своим видением и опытом по смотреть для ОКИИ. ведется оценка рисков информационной
части этих вопросов, обсудить различ- безопасности и применяется риск-ори-
ные точки зрения и получить коммента- При моделировании угроз необходи- ентированный подход к выделению
рии регулятора. Приводим короткое мо использовать Банк данных угроз ресурсов и бюджетов. Важно доносить
резюме основных моментов. безопасности информации ФСТЭК информацию о выявленных рисках до
и меры защиты из приказов ФСТЭК первых лиц и обязательно добиваться
Категорирование объектов КИИ № 21, 17, 235 и 239. БДУ при этом либо их принятия, либо выделения ресур-
можно дополнять как из указанных сов на их снижение. l
По словам Алексея Кубарева, 45% перечней, так и из других источников,
поданных форм возвращается на пере- а также своими мерами. Если в БДУ Полный текст статьи доступен на сайте
смотр. Почему это происходит и как вносятся изменения, то формально это журнала:
оценивается правильность категориро- повод для пересмотра МУ.
вания? Подход ФСТЭК очень прост: Ваше мнение и вопросы
они проверяют правильность заполне- Согласовывать модель угроз для присылайте по адресу
ния форм и оценивают адекватность объектов КИИ со ФСТЭК не нужно,
присвоения классов объектам КИИ, такого требования нигде нет. По сло- [email protected]
исходя из здравого смысла. В случае вам Алексея Кубарева, периодически
приходят запросы на согласование
8• модели угроз, но регулятор может пре-
доставить только неформальное оце-
ночное мнение, поскольку эта про-
цедура необязательна.
Реклама
В ФОКУСЕ
О стандартах, о планах,
о научно-техническом потенциале
Сергей Панов, заместитель генерального директора по производственной деятельности
АО “ЭЛВИС-ПЛЮС”
О текущих задачах, сложностях и, конечно, о достижениях
и планах компании ЭЛВИС-ПЛЮС в канун Нового года
рассказал Сергей Панов в интервью нашему журналу.
– Сергей, чем компания ЭЛВИС- токол SKIP (Simple Key management for Компания ЭЛВИС-ПЛЮС обладает
ПЛЮС отличается от конкурентов? Internet Protocol) – первый драфт стан-
дартов семейства протоколов IPsec. очень перспективным научно-
– Компания ЭЛВИС-ПЛЮС выступает И сейчас мы не останавливаемся в раз-
в двух ипостасях: в роли вендора про- витии – наши продукты VPN поддержи- техническим потенциалом.
дуктов и в роли системного интегратора вают все самые передовые специфика-
в области информационной безопасно- ции IPsec. Использует самые новые,
сти. Это первое, чем мы, несомненно,
отличаемся от многих других компаний – Расскажите о продуктах прорывные идеи, которые только
на рынке. В этом есть свои плюсы и ЗАСТАВА. Каким потребностям
свои минусы. С одной стороны, такая рынка они отвечают? Что в них появляются в ИТ-мире.
увязка позволяет нам быть ближе к про- уникального?
блемам и нуждам заказчика, знать их уже порядка пяти лет, и сейчас планиру-
досконально, быстрее реагировать на – Наша продукция под брендом ется, что в 2020 году выйдут рекоменда-
запросы. А с другой стороны – наклады- ЗАСТАВА продается с 1997 года и хоро- ции по использованию российских крип-
вает некоторые ограничения, например, шо известна на рынке. Это межсетевые тоалгоритмов в IPsec ESP, а в 2021 году –
на развитие партнерской сети, потому экраны и линейка продуктов VPN. Наши в протоколе IPsec IKEv2. Ожидается что
что в определенной степени может вли- продукты присутствуют во многих круп- Росстандартом будет запущен на согла-
ять на потенциальные рамки сотрудни- ных компаниях, корпорациях, ведом- сование проект этого стандарта.
чества. ствах. Уникальность продуктов заклю-
чается в том, что их разработка с самого Вы знаете, что государство как регу-
Что касается продуктового направле- начала базировалась на использовании лятор ставит перед нами определенные
ния деятельности нашей компании, то передовых технологий и тщательном задачи, стимулирует к развитию, и уже
в качестве ключевого отличия следует следовании спецификациям. длительное время идет процесс импор-
отметить наличие мощной и удобной тозамещения, появляются нормативные
системы управления нашими продуктами Перспективные технологии активно документы, которые призваны регули-
VPN, МЭ и IDS ЗАСТАВА: у нас нет стандартизируются, например, уже сей- ровать рынок в этом направлении. И оче-
ограничений по количеству поддержи- час обсуждается использование в IPsec видно, что далее правила будут только
ваемых агентов, по количеству сетей, так называемой постквантовой крипто- ужесточаться. Поэтому мы стараемся
защищаемых клиентов и т.п. Центр графии. ЭЛВИС-ПЛЮС принимает непо- идти в ногу со временем и работаем
управления ЗАСТАВА – очень гибкая средственное участие в разработке этих с отечественными производителями обо-
и удобная система управления, она стандартов в рамках международной рудования, в частности с зеленоградской
имеет понятный, дружественный поль- организации IETF. Сотрудник нашей компанией НПЦ "ЭЛВИС".
зователю интерфейс, позволяет под- компании Валерий Смыслов является
ключать к контуру управления продукты автором нескольких утвержденных – На ваш взгляд, удается ли
других производителей как для расши- и широко используемых в мире стан- отечественным производителям
рения его возможностей (например, дартов семейства IPsec. оборудования полностью заме-
управление правами доступа, аутенти- нить своей продукцией зарубеж-
фикация, мониторинг и пр.), так и для Мы реализуем и тестируем в своих ную?
расширения перечня типов управляемых продуктах все новейшие драфты прото-
агентов (устройств). колов IPsec, все самые передовые стан- – Российские компании – производи-
дарты. Это особенно важно, учитывая, тели компьютерного оборудования серь-
C момента создания в компании все- что и руководство нашей страны ставит езно занимаются созданием платформ
гда использовались самые новые, про- задачу в работах по импортозамещению на российской элементной базе, мы
рывные идеи, которые только появля- не отрываться от мировых тенденций тестируем совместные разработки
лись в ИТ-мире. В частности, ЭЛВИС- и стандартов. Например, проведенные с рядом компаний. В частности, как я
ПЛЮС – первая компания в России, исследования и тесты показывают про- уже отметил выше, плодотворно сотруд-
реализовавшая в своих продуктах про- токольную совместимость реализации ничаем с компанией НПЦ "ЭЛВИС" по
IPsec в продуктах ЗАСТАВА с широко разработке изделий СКЗИ.
10 • используемыми в России продуктами
Fortinet, CheckPoint и др. Пока что с точки зрения соотношения
цены и качества (если под качеством
Эксперты ЭЛВИС-ПЛЮС в составе ТК понимать функционал, производитель-
26 ведут активную работу по гармониза- ность и другие важные слагаемые) оте-
ции протокола IPSec и входящих в него чественное компьютерное оборудование
стандартов с российскими криптоалго- уступает зарубежному. Если рассмат-
ритмами. Наша компания является в ривать модели уровня малого и среднего
известной степени пионером в данном офиса, то можно оценить отставание по
направлении. Эта работа продолжается этому показателю в несколько раз. Если
для примера возьмем более мощные
системы, то там разрыв оказывается
еще заметнее, и в ближайшие несколько
лет его сложно будет преодолеть.
ПЕРСОНЫ www.itsec.ru
С другой стороны, мы прекрасно пони- большая, но обладает очень перспек- (например, модуля памяти), то в зависи-
маем, что вопрос повышения конкурен-
тоспособности изделий на российской тивным научно-техническим потенциа- мости от настроек загрузка устройства
элементной базе напрямую связан с рас-
ширением сферы их использования, что лом! может быть прервана и дальнейшее
будет влиять, например, на такой пока-
затель, как стоимость, в сторону его использование устройства заблокиро-
значительного снижения. В рамках
пилотных проектов с рядом ведомств – С какими проблемами и труд- вано как несоответствующее политике
специалисты ЭЛВИС-ПЛЮС прорабаты-
вают процесс модернизации с исполь- ностями вы сталкиваетесь, про- до вмешательства администратора без-
зованием российского оборудования.
В основном это модели уровня офиса: двигая свои решения? опасности.
рабочие места, серверы/шлюзы уровня
малых и средних офисов. – Компания хотела бы двигаться А третья функция – обеспечение шиф-
Эксперты ЭЛВИС-ПЛЮС активно уча- быстрее с точки зрения расширения рования диска. Каждый физический сек-
ствуют в работе по подготовке требова-
ний для отечественных изделий не толь- нашего продуктного ряда. Но в действи- тор диска шифруется своим ключом.
ко в составе технического комитета ТК
26, но и по линии Минпромторга в том, тельности есть объективные сложности, Все ключи практически невозможно
что касается вопросов импортозамеще-
ния. Там работает очень активная и некоторые из них я уже назвал. Сюда подобрать. Поэтому в случае кражи
профессиональная команда, которая
внимательно прислушивается к голосу же относятся требования, которые будут этого устройства невозможно получить
компаний, работающих на рынке, и нахо-
дится с ними в постоянном контакте. введены в ближайшее время Минпром- доступ к информации, хранящейся на
Как производители СКЗИ мы нахо- торгом, а также необходимость под- диске.
димся в еще более стесненных условиях,
чем, к примеру, ИТ-интегратор. Жиз- держки наших продуктов в трех системах Сейчас БДМ поддерживается
ненный цикл разработки, сертификации
и производства изделий СКЗИ и СЗИ в сертификации – ФСБ России, ФСТЭК ОС Windows, а в настоящее время
результате ужесточения требований
регулятора по импортозамещению ста- России, Минобороны. ведутся работы по расширению перечня
новится еще более сложным, в том
числе увеличиваются затраты и сроки В последнее время ФСТЭК России поддерживаемых ОС (поддержка Альт-
разработки. Поэтому эксперты ЭЛВИС-
ПЛЮС совместно с коллегами из других ввел большое количество изменений в линукс и Астралинукс).
компаний в настоящее время активно
вовлечены в работу над формированием требования и систему сертификации
предложений по гармонизации требо-
ваний регуляторов (Минпромторг, ФСБ СЗИ, однако пока не все они подкреп- – Какие цели компания ЭЛВИС-
России, ФСТЭК России).
лены достаточной методической базой, ПЛЮС ставит перед собой на бли-
– Пользуется ли популярностью
семейство продуктов ЗАСТАВА? что порождает сложности (пусть и вре- жайшее будущее?
– Продукция пользуется спросом менные), увеличивает сроки выхода на – Достичь целей, поставленных руко-
и заняла прочное место на рынке. В силу
нашей специализации ЗАСТАВА пока рынок новых продуктов. водством страны: решить задачи по
все-таки больше нишевой продукт.
Конечно, обязательно стоит упомянуть импортозамещению и конкурентоспо-
Аналогов продуктов ЗАСТАВА пока
на рынке нет, за исключением, может большую проблему дефицита профес- собности отечественной продукции
быть, нескольких компаний, которые
также используют стандарты IPSec сиональных кадров на рынке, когда на в части изделий компании ЭЛВИС-
в своих изделиях. Но мы продвинулись
гораздо дальше, поскольку тестируем десять вакансий приходится одно пред- ПЛЮС, используя при этом наиболее
перспективные технологии и дотошно
следуем всем утвержденным специ- ложение настоящего специалиста. продвинутые мировые технологии
фикациям. На сегодняшний день уже
реализовали стандарты (и некоторые Тем не менее, несмотря на все труд- и стандарты, гармонизированные при
драфты стандартов) по использованию
постквантовой криптографии в про- ности, нам удается решать проблемы нашем активном участии с российскими
дуктах ЗАСТАВА. Возможно, в 2019–
2020 годах это еще не покажется таким развития и сертификации нашей про- требованиями по криптографии и тре-
уж и актуальным достижением, но
время идет, а на отработку и отладку дукции. Компания ЭЛВИС-ПЛЮС уве- бованиями других руководящих доку-
новых функций потребуется время как
нам, так и нашим конкурентам. Так ренно движется вперед в разработке и ментов.
что в технологическом плане мы впе-
реди. поддержке стандартов. Для нас это Для этого необходимо, во-первых, пол-
Смело могу сказать, что компания важно, потому что это одно из наших ностью решить задачи соответствия
ЭЛВИС-ПЛЮС, может быть, и не такая
конкурентных преимуществ. А появление изделий настоящим и перспективным
российского гармонизированного стан- требованиям регуляторов (включая тре-
дарта IPsec поможет эффективнее про- бования по импортозамещению
двигать отечественные продукты, в том и использованию российской элементной
числе и для решения задач различных базы). Во-вторых, оптимизировать биз-
государственных программ по цифро- нес-процессы разработки, продажи
визации. и поддержки продуктов, чтобы поднять
интерес и укрепить уровень доверия
– Расскажите о других перспек- партнеров к нам; используя преимуще-
тивных проектах компании. ства нашей компании, быстро и эффек-
– Несомненно, стоит упомянуть тивно реагировать на внешние вызовы,
о линейке продуктов СКЗИ/СЗИ БДМ что присуще системному интегратору.
(Базовый Доверенный Модуль). В-третьих, расширить продуктовую
Она занимает более узкую нишу, чем линейку, функциональные возможности
ЗАСТАВА. СКЗИ/СЗИ БДМ обеспечи- изделий ЗАСТАВА, а также возможности
вают защиту от несанкционированного Центра управления ЗАСТАВА для под-
доступа, в том числе при утере/краже держки управления десятками и сотнями
мобильных устройств – ноутбуков, план- тысяч изделий VPN, МЭ, IDS в защи-
шетов, смартфонов. щенной сети. l
Первая функция продукта – обеспе-
чить аутентификацию
доступа к устройствам
еще до старта опера-
ционной системы.
Вторая функция продук-
та – контроль неизменно-
сти, целостности среды
как аппаратной, так и про-
граммной. То есть если NM Реклама
загрузчик определяет, что АДРЕСА И ТЕЛЕФОНЫ
произошел сбой, кто-то
внес изменения вплоть до АО "ЭЛВИС-ПЛЮС"
замены микросхемы см. стр. 48
• 11
В ФОКУСЕ
Произойдет переломный момент,
и все поймут, что живут
в "доме со стеклянными стенами"
От Hard Skills к Helicopter View
Виталий Терентьев, директор департамента специальных проектов HeadHunter
П очему цифровизация и приватность несовместимы? Как стать
настоящим профессионалом ИБ? Что самое важное в найме
сотрудника? Какое будущее ждет информационную
безопасность? На эти и другие вопросы редакции журнала
Information Security ответил Виталий Терентьев, директор
департамента специальных проектов HeadHunter.
– Виталий, как давно вы в дальше работал, так или иначе сопри- рамках информационной безопасности,
информационной безопасности? касался с вопросами безопасности, про- начиная с первого места работы, я про-
сто потому что был носителем опреде- шел мощнейшую школу силовых струк-
– В какой-то мере я в ней старожил. ленных знаний, подходов, видения. тур. В то время в безопасности специа-
Это карьера, которая длится уже больше И даже будучи коммерческим директо- листами были выходцы из разведки,
двадцати с лишним лет. Свой путь в ром или генеральным директором тогда еще советской школы КГБ. То есть
информационной безопасности я начал в каком-то бизнесе, я всегда замыкал в моем подчинении, например, когда
с четвертого курса университета. В то на себе вопросы безопасности. была экономическая безопасность, нахо-
время меня как одного из отличников дилось 40 человек в звании не ниже
среди перспективных студентов пригла- Есть такое выражение: очень хорошо, подполковника и выходцы из структур.
сили работать в банк, а диплом я писал, когда тебе платят за хобби. Я могу Естественно, с максимально прокачан-
уже будучи директором по безопасности похвастаться тем, что работаю ными навыками на тот момент. Они
крупнейшего регионального банка только в компаниях, в которых очень могли многое, начиная с навыков неин-
в Азии. То есть карьеру я начинал хочется идти на работу. струментальной детекции лжи и закан-
с самых основ, когда главная функция чивая знанием ИТ-подходов. Это были
информационной безопасности своди- – Можно сказать, что вы достиг- так называемые Hard Skills – база, кото-
лась к содействию айтишникам. Тогда у ли редкого сочетания, когда лич- рая дала знания и обучила правилам
нас было 200 филиалов, внушительная ные устремления совпадают управления. А потом, работая там же
инфраструктура. В рамках финансово- с карьерными возможностями? в банке, я познакомился с компанией
промышленной ассоциации в банке мне "Информзащита" и прошел у них одно
было подчинено все, начиная с инкасса- – Безусловно. Есть такое выражение: из своих первых обучений в рамках
ции и заканчивая секьюрити, информа- очень хорошо, когда тебе платят за информационной безопасности, ну
ционной безопасностью, экономической, хобби. Я могу похвастаться тем, что и многие другие, например сертифика-
внутренней безопасностью, и еще мно- работаю только в компаниях, в которых цию компании Cisco c разным классом
гое другое. Так что я выходил из струк- очень хочется идти на работу. В частно- продуктов. В дальнейшем на мое фор-
туры, уже создав крупное управление сти, и здесь. Безопасность – это не мирование в качестве безопасника, без-
информационной безопасности. Потом единственная моя задача в HeadHunter. условно, очень сильно повлияли знания,
карьера, конечно, складывалась по-раз- Я разносторонний человек. За мной связанные с управлением, потому что
ному. Но во всех компаниях, даже там, закреплено четыре направления. Первые управленческая школа у меня тоже
где я занимался коммерческими вопро- два – это Government Relations и без- очень специфичная. Я даже не в состоя-
сами, была цель – стать руководителем. опасность. Еще я управляющий партнер нии перечислить количество людей,
Это моя мечта детства, и таким было представительств компании в Централь- которые приняли участие в формирова-
желание моего отца, а именно он меня ной Азии и на Кавказе, это созданные нии меня как управленца. Однако отме-
воспитал. Это было сугубо мужское вос- мной детища, которые я вывел на рынок. чу, что очень многое во мне, именно
питание. Я должен был перерасти отца, К тому же я веду специальные проекты – как в управленце и безопаснике, сфор-
деда, и поэтому всю жизнь стремился НИОКР. К ним относятся специфические мировала Александра Игоревна Кочет-
стать руководителем. И поэтому прежде исследовательские задачи, иной раз кова, потому что она дает такой мате-
всего я – профессиональный управле- достаточно редкие и нетривиальные, риал, как "Теория управления в условиях
нец, а уже во вторую очередь – без- которые другим департаментам отдавать хаоса", в котором основным принципом
опасник. Во всех компаниях, в которых невыгодно, потому что они сфокусиро- является гибкий отклик на входящие
ваны на коммерческих проектах. изменения, а также бизнес-школа
12 • "Самолов" как школа регулярного
– Как вы формировали свой менеджмента. Для себя я просто вывел
стиль управления и подход к парадигму и верицифировал ее через
информационной безопасности? большое количество коллег из компа-
ний – лидеров отрасли. Они выстраи-
– Во-первых, по классике: у меня вают безопасность совершенно иначе,
были хорошие учителя. Во-вторых, в
ПЕРСОНЫ www.itsec.ru
уже не классически в виде "забора". – Достаточно часто обсуждают- вится. Как заявляют наши статистиче-
Разворачиваются лицом к бизнесу, ся в кулуарах вопросы нехватки ские ведомства, мы сейчас испытываем
помогая осуществлять бизнес-процессы специалистов в области инфор- последствия двух демографических ям:
с момента их старта. В конечном итоге мационной безопасности. Как вы послевоенную и девяностых. Людей
безопасность превращается в бизнес- оцениваете ситуацию? меньше – компенсации не происходит.
юнит, что-то вроде отдела управления "Мозги" какое-то время вымывались из
рисками, и занимается хеджированием, – Нехватка кадров актуальна не толь- страны. Это действительно был большой
управлением, митигацией, то есть сни- ко на рынке информационной безопас- отток, сейчас он, конечно, гораздо мень-
жением/увеличением разных вероятно- ности. Страна, если в качестве примера ше. Но это все вызывает все более
стей риска. Это такой достаточно инте- рассматривать Россию, очень быстро ощутимый голод на кадровом рынке.
ресный интеграционный подход, когда шагнула в следующее поколение тех- Да и само знание технологии не обес-
безопасность в какой-то мере канниба- нологических решений. Цифровизация печит компании эффективность и при-
лизирует процессы внутри компании уже наступила. На одной из конферен- быль. Во-первых, нужен профессиона-
или становится структурой, интегриро- ций я приводил простой пример. Однаж- лизм в этих технологиях. Во-вторых,
ванной в другие подразделения, и ее ды, возвращаясь из аэропорта, я сел в кроме Hard Skills, то есть практических
основной задачей уже являются не такси и водитель меня удивил вопросом: навыков и знаний, начали придавать
запрет, не ввод регламентов, правил, "Виталий Анатольевич, вы же только гораздо большее значение навыкам,
ограничений, а скорее поиск решений. что оттуда-то прилетели?" В свою оче- которые называются Soft Skills, потому
А чтобы бизнес был более эффектив- редь я решил поинтересоваться, откуда что многие знают технологии, но не
ным, более устойчивым к внештатным у него такая информация. Оказывается, знают, что с этими технологиями можно
ситуациям, используется предиктивная в рабочих целях ему установили про- придумать, и ценятся люди, у которых
аналитика. Самый простой пример: если грамму, которая нашла мое имя, подтя- есть это комплексное креативное виде-
мы какую-то информацию добыли рань- нула мои соцсети, а они открыты и там ние. Скоро мы дойдем до ситуации,
ше, так как мы обладаем каналами есть мои фотографии, он все это про- когда будет все больше сегментации в
связи, а бизнес на эту информацию смотрел, изучил, проанализировал плане отбора сотрудников. Например,
вовремя среагировал, то в процессе мы и говорит: "Вы устали, наверное, поэтому скоро на собеседованиях вас не будут
можем принять другое решение. Можно вот вам водичка". Сервис! Это и есть спрашивать, знаете ли вы английский,
рассмотреть на примере системы анти- цифровизация. Или где-то в Москве вас спросят, какой у вас уровень анг-
фрода, которую используем. Мы смот- покупаете яблоки у бабушки, а она про- лийского. И так во всем. Возможно,
рим на поведенческую аналитику поль- сит по номеру телефона на Сбербанк я скажу совсем нелицеприятную фразу,
зователя, если она каким-либо образом перевести ей оплату. Это тоже цифро- но... Очень мало профессионалов
отклоняется, тогда информируем соот- визация. То есть мы не заметили, как в информационной безопасности!
ветствующий департамент, и они начи- это произошло, но всем этим нужно Настоящих профессионалов, которые
нают создавать уже другие продукто- управлять, все это нужно защищать. бы переживали и болели за дело. Их
вые решения. То есть мы влияем непо- Многие не привыкли к тому, что мы единицы, и они часто не находятся
средственно на их работу. Не запре- живем в парадигме "дома со стеклян- у руля. Есть большой разрыв между
щаем, не говорим, что, мол, ребят, ными стенами". Профессионалу про вас знаниями про то, что такое безопас-
у вас тут плохо. Это неконструктивно известно все, что попало в Сеть, и мало ность, и реальным исполнением.
и бессмысленно. Мы все-таки не воен- кто с этим может смириться, осознать.
ная структура, а коммерческая и немно- Многие рядовые пользователи пытаются Мощнейших легендарных безопасни-
го иначе должны себя вести. Хотя опыт, защититься, закрывая аккаунты, напри- ков можно найти в крупных ИТ-компа-
в том числе силовых структур, он, без- мер. Но полностью скрыть информацию ниях. На них нужно равняться, у них
условно, ценен. Иногда нужно уметь о себе таким образом невозможно. нужно учиться, но в любом случае неко-
сказать нет, но стараться не бравиро- Нужно совершенно по-другому выстраи- торым из них не хватает Soft Skills,
вать этим. На мой взгляд, запреты – вать свое поведение, свои знания, внут- поэтому они не могут вырасти во что-то,
это второстепенная функция современ- реннюю ответственность и отношение кроме суперкрутого специалиста.
ных безопасников. к миру, принимая во внимание тот факт,
что анонимность отсутствует. Это, – Раз уж мы коснулись в нашей
Если они хотят выжить, чтобы их не в какой-то мере, философия безопас- беседе этого вопроса... На про-
заменил какой-нибудь искусственный ности. И, учитывая все это, бизнесы шедшей конференции BIS Summit
интеллект, то поддержу мнение, кото- продолжают свое развитие в области 2019 вы затронули тему, о которой
рое гласит, что те, кто сейчас стано- информационных технологий, иной раз все предпочитают молчать, цити-
вится операторами систем, то есть не очень удачно, но при этом бурно. рую: "Нанимаем мы специалистов
получают эти специализации, а имен- В наше время происходит много собы- по их Hard Skills, а увольняем мы
но операторы SIEM, операторы DLP тий. Если 20 лет назад все внедряли их по личным качествам". В вашей
и прочие, скоро станут не нужны. Раз- Microsoft Office, то сейчас все фирмы, практике были подобные случаи?
работки в области Artificial Intelligence даже производственные, внедряют
и Machine Learning подводят нас искусственный интеллект. Системы ста- – Одна из моих компетенций – про-
к выводу, что весь алгоритмизиро- новятся сложными, бизнес становится фессиональный рекрутер. То есть я
ванный труд будет заменен програм- более высокоинтеллектуальным и циф- учился нанимать людей, делать Research
мами. Человек будет не нужен, либо ровым, а талантов, которые могут с и грамотно проводить интервью. У меня
необходимость в людях снизится ради- этими задачами не только справиться, великолепные учителя! Я все-таки рабо-
кально. но и двигать вперед, больше не стано- таю в HeadHunter. Ситуация до баналь-
ности проста. В 90% случаев основной
Безопасность превращается в бизнес-юнит, что-то вроде отдела управления проблемой рекрутинга является отсут-
рисками, и занимается хеджированием, управлением, митигацией, то есть ствие понимания: а кого нужно найти?
снижением/увеличением разных вероятностей риска. Это такой достаточно И почему-то всегда умалчивается, что
интересный интеграционный подход, когда безопасность в какой-то мере личные качества иной раз важнее всего
каннибализирует процессы внутри компании или становится интегрированной остального. А они важнее, потому что
в другие подразделения структурой, и ее основной задачей уже является не научить человека техническим компе-
запрет, не ввод регламентов, правил, ограничений, а скорее поиск решений. тенциям, особенно с развитием совре-
менного онлайн-обучения и доступа кин-
формации, гораздо проще, чем научить
• 13
В ФОКУСЕ
человека быть человеком. Есть всего что именно они ищут в кандидате, как понимать и разбираться в том, с чем
три самых важных качества в человеке, правило, мне называют целый список постоянно взаимодействуют. Так или
на мой взгляд, и они не меняются в Hard Skills, но позже выясняется, что иначе, эти знания к людям все равно
течение жизни. Первое – ответствен- самое главное – все-таки личные каче- придут. Но роль информационной без-
ность. Если человек ответственный, то, ства. Чтобы у человека было чувство опасности будет многократно увеличена.
даже не обладая какими-то знаниями, юмора, в конце концов! Я, конечно, Появятся сервисные компании, которые
он найдет возможность их приобрести. упрощаю, но суть примерно такая. будут решать обывательские проблемы
Второе – целеустремленность. Человек и сокращать разрыв между технологиями
без цели как корабль без курса. Такой – Как вы относитесь к при- и знаниями человека. Например, придет
человек может быть только исполните- влечению временных сотрудни- человек и попросит проверить его циф-
лем, он не сможет руководить. И третье ков в компании? рового двойника. У всех он уже есть:
важное качество – удовольствие от это банковские карточки, профили в
выполняемой работы. Если ходить на – Если грамотно организовать процесс, соцсетях и т.д. Некий цифровой портрет.
нелюбимую работу, то невозможно то удаленный сотрудник – это скорее Вот представьте, что этот портрет кто-
достичь суперэффективности. Вот по выгодно, как некая новая реалия или то скопировал и действует от вашего
таким критериям я подбираю сотрудни- современный формат работы. Сейчас лица по своему усмотрению... Поэтому
ков. Во все свои команды, в том числе в выгодно следовать такому хайповому роль информационной безопасности и в
безопасность, я людей подбираю лично, лозунгу: мол, давайте все работать из бизнесе, и в личной жизни приобретает
как говорится, поштучно. Именно они дома! А исследования показали, что все большее значение.
делают уникальную работу в компании, рядовые сотрудники дома менее эффек-
именно они никогда не говорят мне: "Я тивны, чем на рабочем месте. Есть А еще я жду, когда произойдет пере-
не смогу вот это сделать". Потому что "звезды", которые могут работать из ломный момент и обыватели поймут,
это гиперответственные люди, которые дома, не снижая работоспособность, но что живут в "доме со стеклянными сте-
стараются найти решение несмотря ни это исключение. Если смотреть со сто- нами", и начнут привыкать к этому.
на что. Даже если способ решения про- роны безопасности, то накладывается В соцсети создается закрытый профиль,
блемы будет ошибочным, важно, что у дополнительная ответственность на якобы только для друзей. Серьезно?
них всегда есть посыл – решить задачу. работу с такими людьми и на работу Подскажу самый простой способ попасть
При найме я всегда фокусируюсь именно информационных систем, которые этих в закрытый профиль: завести профиль
на Soft Skills. Опять же, потому что орга- людей контролируют. Хотя решения есть, друга владельца этого закрытого аккаун-
низовать обучение любому из своих это немножко сложнее, но любой ком- та и спокойно к нему зайти. Рядовым
сотрудников для меня не проблема. Если петентный человек находит для себя пользователям стоит понимать и осо-
вы профессиональный рекрутер, то все- приемлемый вариант для минимизации знавать, какой цифровой контент они
гда будете подбирать людей с учетом их рисков. размещают в Сети, и понимать, что он
личных качеств. может стать доступен третьим лицам
– По вашему мнению, что ожи- для использования в своих целях. Все
Многие не привыкли к тому, дает рынок информационной без- это породит создание множества новых
опасности в ближайшие несколь- бизнесов в информационной безопас-
что мы живем в парадигме "дома ко лет? ности, работающих не только на корпо-
рации, но и на защиту персональных
со стеклянными стенами". – Однозначно будет усиливаться кад- цифровых двойников.
ровый голод. Особенно он будет заметен
Профессионалу про вас известно в информационной безопасности. Новых Важно понимать, что во всем мире
людей, которые бы исповедовали новые цифровизация стала одной из самых
все, что попало в Сеть, и мало кто подходы, обладали бы новыми знаниями, обсуждаемых тенденций, при этом
видением, пока еще мало. То есть про- появится огромное количество цифровых
с этим может смириться. рыва в этой области еще не произошло. сервисов, в том числе и государствен-
Но, мне кажется, он случится в ближай- ных, а также появится большое количе-
– А какой совет по подбору пер- шее время. Многие компании делают ство новых информационных систем.
сонала вы бы дали своим колле- курсы разработчиков, а вы где-нибудь Следовательно, количество инцидентов
гам? слышали про школу безопасников? увеличится. В свою очередь, из-за этого
изменится количество специалистов
– Совет самый простой: сходите на Любой безопасник, который хочет внутри систем, которые это обслужи-
курсы по рекрутменту. Потому что боль- вают, в том числе со стороны безопас-
шинство безопасников на интервью лидировать в своей области, ности. Все это нужно защищать, не соз-
выступает в роли цербера. Они не давая барьеров, делать удобным, понят-
пытаются понять человека, не пытаются должен уметь коммуницировать ным и безрисковым. Потому что лучше
включить эмоциональный интеллект и работать не с последствиями, когда уже
смотрят только со стороны недостатков. с бизнесом. сломано или утекло, а пытаться не
У меня есть очень интересный вопрос, допускать определенные рискованные
всегда задаю его на интервью и в бесе- – Нет. ситуации.
дах: а бывают ли идеальные сотрудники? – Вот это следующий шаг в борьбе с
Как правило, люди начинают перечис- кадровым голодом. Должен быть инстру- Если рассматривать корпоративную
лять различные качества: честный, ментарий, который бы помогал коллегам безопасность, то в ней трендом будет
исполнительный и прочее... А на самом решать эту задачу, потому что я считаю, то, что уже год обсуждается на конфе-
деле идеальный сотрудник – это эффек- что информационная безопасность про- ренциях, а именно: руководители без-
тивный сотрудник. И у каждого руково- никнет во все сферы и станет неотъем- опасности должны быть интегрированы
дителя свое представление об идеаль- лемой частью всех информационных в структуры правления компаний, советы
ном эффективном сотруднике. Именно процессов. Сейчас при слове "безопас- директоров компаний. Не для того, чтобы
поэтому стоит задача подобрать какие- ность" у многих из нас возникают не рассказывать о безопасности, а чтобы
то ценности, то есть Soft Skills. Если самые приятные ощущения. Я думаю, показывать, как те или иные решения
ценности совпали – вы одинаково пони- что в дальнейшем информационная без- по цифровизации и цифровой безопас-
маете ответственность, целеустремлен- опасность будет естественной частью ности могут влиять на бизнес. Например,
ность, удовольствие от работы, то ника- жизни. Многим людям, особенно обыва- любой уважающий себя безопасник дол-
кого отрицательного результата быть телям, нужно научиться соблюдать мини- жен уметь работать со СМИ. Часто
не может. Коллеги часто зовут меня на мальную цифровую гигиену. Научиться
собеседования, а когда я спрашиваю,
14 •
ПЕРСОНЫ www.itsec.ru
в СМИ выходит сомнительная инфор- Руководители безопасности должны быть интегрированы в структуры
мация, причем иногда из непроверенных правления компаний, советы директоров компаний. Не для того, чтобы
источников. Вот если уметь работать рассказывать о безопасности, а чтобы показывать, как те или иные решения по
с представителями СМИ, то можно не цифровизации и цифровой безопасности могут влиять на бизнес.
допустить появления такой информации.
А это подразумевает совершенно другой хочу достроить то, что строю здесь. са решений, который есть в каждой
подход к своей работе. В компании мне удалось с минимальным компании – Firewall, SIEM, DLP, антиви-
бюджетом выстроить уникальную рус – представьте, что вот это все без
– Какой совет можно дать моло- эффективную систему защиты. Поэтому участия человека начинает принимать
дым специалистам, которые толь- мне важно прежде всего исполнить свои самостоятельные решения, причем без-
ко выбирают себе направление обязательства перед компанией. Это ошибочные. И уже сейчас машины
дальнейшего развития? чувства долга и ответственности, важные умеют учиться. Как уживаться безопас-
для меня самого. Я не могу построить нику с этими системами? Тут же нужен
– Я считаю, что особенно безопаснику, кривую систему, я хочу построить иде- совершенно другой подход, другая ком-
кроме знаний технологий, нужно макси- альную в данных условиях. В ближайшем муникация. Специалист по безопасности
мально расширять кругозор. Поскольку будущем, естественно, хочу получить в этой ситуации должен подняться над
важны Soft Skills, то любой безопасник новые компетенции: в области инфор- этими системами в профессиональном
может обучиться на курсах по продажам, мационной безопасности мой взгляд плане, чтобы уметь находить стратеги-
курсах переговорного мастерства, курсах обращен на все, что связанно с анализом ческие решения. Что касается искус-
ораторского мастерства... Любой без- больших данных, появлением искус- ственного интеллекта, обладающего
опасник, который хочет лидировать в ственного интеллекта, с изменением самосознанием, то совсем недавно ком-
своей области, должен уметь коммуни- поведенческих характеристик пользо- пания Google объявила о создании кван-
цировать с бизнесом. А как он сможет вателей в рамках новой эпохи цифрови- тового компьютера. Так вот, эта машина
коммуницировать с бизнесом, если не зации. умудряется за 3–4 минуты обработать
может выступить хотя бы перед 10–15 алгоритмы, которые ранее при текущих
людьми и продать им свою идею? Это – А что вы связываете с поня- мощностях и наличии суперкомпьютеров
не значит, что Hard Skills неважны. Грубо тием "искусственный интел- обрабатывались бы 150–200 лет.
говоря, на первом этапе нужно хорошо лект"? Насколько жизнеспособна Я думаю, что тот момент, когда мы
изучить Hard Skills, а следующим этапом сама идея его создания? получим искусственный интеллект
будет так называемое Helicopter View, с самосознанием, очень близок по мер-
то есть широкое изучение всего осталь- – Я не могу дать здесь прогноз, но кам жизни человечества. Причем моя
ного. Переговоры и продажи – это тот я знаю, что есть такие понятия, как сла- позиция, как и моих учителей в этом
инструментарий, который должен быть бый и сильный искусственный интел- вопросе, очень простая: никакого "тер-
у людей, занимающихся безопасностью. лект. Чтобы оперировать этими поня- минатора" не будет. Представьте себе
Безусловно, более высокие требования тиями, я был вынужден пойти и обучить- сущность, которая обладает мощней-
безопасность будет также предъявлять ся. Продолжая обучение в этом направ- шим расчетным потенциалом, а между
к фундаментальным знаниям профес- лении, я ожидаю появления систем, прочим даже обычный компьютер и так
сионала, таким как математика, физика которые могут имитировать слабый считает лучше человека. Если действи-
и т.д., потому что многое сейчас завязано искусственный интеллект. Они пока еще тельно появится сильный искусственный
на искусственном интеллекте и матема- не будут обладать самосознанием, но интеллект, обладающий самосознанием,
тике этих процессов. Рано или поздно все-таки будут очень похожи по поведе- скорее всего мы в контакт с ним не вой-
произойдет изменение подходов. Мы нию на человека. Тест Тьюринга они дем. Мы будем ему неинтересны. Его
живем в переломный момент. Если вы к пройдут. Для бизнеса важным фактором мощность, умение обладать всем объе-
этому не готовы, то вам придется искать применения систем с искусственным мом накопленных знаний одномоментно,
новую профессию. Эксперт по безопас- интеллектом, как мне кажется, является и уровень задач и целей будут настолько
ности должен очень быстро реагировать умение системы автоматизировать при- далеки от человечества и наших мелких
на все изменения, понимать их и даже нятие решений, в том числе и тех, кото- забот, что ему просто неыгодно будет
пытаться предвидеть, он должен посто- рые человек не может принять вслед- с нами коммуницировать. l
янно обучаться. На своем примере могу ствие отсутствия технического видения.
показать, что успел получить четыре Вы представляете, как изменится ланд- Ваше мнение и вопросы
высших образования. Учусь до сих пор, шафт информационной безопасности, присылайте по адресу
регулярно, у меня этот процесс постав- когда появится целый класс систем,
лен на поток. Более того, я обучаю весь которые будут самостоятельно работать [email protected]
свой персонал. У нас проходят еже- и принимать решения? Если рассмот-
дневные тренинги по Soft Skills, по Hard реть на примере стандартного комплек- • 15
Skills, мы вникаем в системы, разбираем
кейсы. В связи с этим наши компетенции
постоянно растут. Причем я стараюсь
максимально быстро передать своим
сотрудникам все, что изучаю сам. Мы
тесно интегрированы в бизнес, поэтому
поддерживаем любой департамент, кото-
рый к нам обращается: находим реше-
ния, помогаем коллегам не совершать
ошибок. То есть становимся неким кон-
сультативным органом, который влияет
на бизнес-решения.
– Каковы ваши личные планы
на ближайшее будущее?
– О, это очень личный вопрос. Если
говорить именно о безопасности, то я
ПРАВО И НОРМАТИВЫ
Законодательные итоги года
Анастасия Заведенская, аналитик Аналитического центра Уральского центра систем безопасности
Ноябрь 2019 года
В ноябрьском обзоре за 2019 год рассмотрим обновленную
информацию от ФСТЭК России о том, соблюдение каких
требований по обеспечению безопасности КИИ будет
оцениваться при проведении проверок, а также несколько
новостей в области субсидирования различных направлений
информационной безопасности.
6 ноября 2019 г. на официальном связи и массовых коммуникаций Рос- количество баллов по оценкам конкурсной
сайте ФСТЭК России обновлен Перечень сийской Федерации субсидий из феде- комиссии4, стало ФГУП МНИИ "Интеграл".
нормативных правовых актов или их рального бюджета на создание отрас-
отдельных частей, оценка соблюдения левого центра Государственной системы Субсидирование киберполигонов
которых является предметом государст- обнаружения, предупреждения и ликви-
венного контроля в области обеспечения дации последствий компьютерных атак 14 ноября 2019 г. был опубликован
безопасности значимых объектов кри- (ГосСОПКА) и включение его в систему приказ Минкомсвязи России от
тической информационной инфраструк- автоматизированного обмена информа- 11 ноября 2019 г. № 705 "О конкурсной
туры1. Перечень утвержден приказом цией об актуальных киберугрозах"2. комиссии Министерства цифрового раз-
ФСТЭК России от 16.07.2019 г. № 135. вития, связи и массовых коммуникаций
Приказ № 629 подготовлен для реа- Российской Федерации по проведению
Надзорный орган указывает, соблю- лизации постановления Правительства РФ конкурсного отбора на предоставление
дение каких требований будет оцени- от 07 октября 2019 г. № 1285 о субсиди- Министерством цифрового развития,
ваться при проведении контролирующих ровании создания отраслевого центра связи и массовых коммуникаций Рос-
мероприятий (см. врезку). ГосСОПКА. Он инициирует образование сийской Федерации субсидий из феде-
конкурсной комиссии для рассмотрения рального бюджета на создание кибер-
Субсидирование отраслевого заявок на субсидирование, утверждает полигона для обучения и тренировки
центра ГосСОПКА положение, определяющее порядок специалистов и экспертов разного про-
и сроки деятельности конкурсной комис- филя, руководителей в области инфор-
13 ноября 2019 г. опубликован приказ сии, и устанавливает правила конкурс- мационной безопасности и информа-
Минкомсвязи России от 30 октября ного отбора. ционных технологий современным прак-
2019 г. № 629 "О конкурсной комиссии тикам обеспечения безопасности"5.
Министерства цифрового развития, Следом, 22 ноября 2019 г., на сайте
связи и массовых коммуникаций Рос- Минкомсвязи России опубликовано изве- Приказом № 705 создается конкурсная
сийской Федерации по предоставлению щение о проведении конкурсного отбора комиссия для проведения отбора по
Министерством цифрового развития, на предоставление субсидии на создание предоставлению субсидий на создание
отраслевого центра ГосСОПКА3. Заявки киберполигонов (постановление Прави-
на участие в открытом конкурсном отборе тельства РФ от 12 октября 2019 г.
принимались до 29 ноября. К участию № 1320), определяются порядок и сроки
заявились ФГУП МНИИ "Интеграл" и ООО деятельности конкурсной комиссии
"Центр информационной безопасности". и правила конкурсного отбора.
Победителем, набравшим наибольшее
Извещение о проведении конкурсного
Перечень нормативно-правовых актов или их отдельных частей, оценка отбора было опубликовано 25 ноября6
соблюдения которых является предметов государственного контроля в области на сайте Минкомсвязи России, а заявки
обеспечения безопасности значимых объектов критической информационной на участие принимались до 29 ноября
инфраструктуры: 2019 г. Победителем открытого конкурс-
l Федеральный закон "О безопасности критической информационной ного отбора, набравшим наибольшее
количество баллов по итогам оценки
инфраструктуры Российской Федерации" от 26.07.2017 N 187-ФЗ (части 1, 2, заявок, признано ПАО "Ростелеком".
4, 5, 12 статьи 7, статья 9, статья 10);
l постановление Правительства РФ от 8 февраля 2018 г. N 127 Субсидирование программы
"Об утверждении Правил категорирования объектов критической "Цифровая экономика Российской
информационной инфраструктуры Российской Федерации, а также перечня Федерации"
показателей критериев значимости объектов критической информационной
инфраструктуры Российской Федерации и их значений" (пункты 1–18, 20, 21); Опубликованным 25 ноября 2019 г.
l приказ ФСТЭК России от 21.12.2017 N 235; приказом Минкомсвязи России от
l приказ ФСТЭК России от 25.12.2017 N 239. 21 ноября 2019 г. № 755 "О конкурсной
комиссии Министерства цифрового раз-
1 https://fstec.ru/normotvorcheskaya/perechen-obyazatelnykh-trebovanij/1957- вития, связи и массовых коммуникаций
perechen-aktov-utverzhden-prikazom-fstek-rossii-ot-16-iyulya-2019-g-n-135 Российской Федерации по проведению
конкурсного отбора на предоставление
2 http://publication.pravo.gov.ru/Document/View/0001201911130010 Министерством цифрового развития,
3 https://digital.gov.ru/ru/documents/6866/ связи и массовых коммуникаций Рос-
4 https://digital.gov.ru/uploaded/files/protokol-p25-727pr.pdf сийской Федерации субсидий из феде-
5 http://publication.pravo.gov.ru/Document/View/0001201911140004 рального бюджета на достижение отдель-
6 https://digital.gov.ru/ru/documents/6898/#tdocumentcontent ных результатов федерального проекта
"Информационная безопасность" нацио-
16 •
ПРАВО И НОРМАТИВЫ www.itsec.ru
нальной программы "Цифровая эконо- информационного взаимодействия, l создание технологии обработки инци-
мика Российской Федерации"7 иниции- а также регистрации оборудования сетей дентов информационной безопасности
ровано создание соответствующей устройств Интернета вещей; с использованием искусственного интел-
комиссии. l разработка и принятие комплекса стан- лекта для повышения уровня автоматиза-
дартов информационной безопасности, ции процессов принятия решений и умень-
Субсидии предоставляются на финан- обеспечивающего минимизацию рисков шения времени реакции на инциденты;
совое обеспечение расходов, связанных и угроз безопасного функционирования l проведение мероприятий по развитию
с реализацией следующих групп меро- сетей связи общего пользования; отечественной инфраструктуры телера-
приятий: l проведение анализа существующих диовещания и обеспечению безопасно-
l разработка требований к операторам и перспективных средств защиты инфор- сти ее функционирования;
промышленного Интернета, проектов мации; l разработка информационно-справоч-
стандартов безопасности для киберфи- l разработка модели угроз информа- ной системы, позволяющей бизнесу
зических систем, включая устройства ционной безопасности для персональных определять свое соответствие требова-
Интернета вещей; устройств сбора биометрических данных ниям российского и международного
l создание системы отраслевого регу- и дорожной карты по обеспечению законодательства, а также отраслевым,
лирования использования киберфизи- информационной безопасности при национальным и международным стан-
ческих систем, включая устройства использовании гражданами указанного дартам в области информационной без-
Интернета вещей, и установление тре- класса технических средств; опасности. l
бований по идентификации участников
7 http://publication.pravo.gov.ru/Document/View/0001201911250056
Декабрь 2019 года
В декабре 2019 года был официально опубликован федеральный закон, вносящий
изменения в КоАП РФ относительно штрафов за правонарушения в обработке
персональных данных с использованием баз данных, находящихся вне территории РФ.
Департаментом информационной безопасности ЦБ РФ подготовлен проект изменений
к Положению Банка России № 382-П.
Невыполнение оператором при сборе персональных данных, в том числе жения, оператора услуг информацион-
ного обмена.
посредством информационно-телекоммуникационной сети "Интернет", пред-
Вместе с тем одной из заявленных
усмотренной законодательством Российской Федерации в области персональ- целей разработки проекта Положения
является применение единого подхода
ных данных обязанности по обеспечению записи, систематизации, накопления, к регулированию в отношении субъектов
национальной платежной системы,
хранения, уточнения (обновления, изменения) или извлечения персональных касающихся защиты информации при
осуществлении переводов денежных
данных граждан Российской Федерации с использованием баз данных, находя- средств.
щихся на территории Российской Федерации: К основным изменения стоит отнести
использование ГОСТ Р 57580.2–2018
l граждане от 30 тыс. руб. до 50 тыс. руб.; "Безопасность финансовых (банковских)
операций. Защита информации финан-
l должностные лица от 100 тыс. руб. до 200 тыс. руб.; совых организаций. Методика оценки
соответствия" при оценке соответствия
l юридические лица от 1 млн руб. до 6 млн руб. уровням защиты информации. Анало-
гичная форма оценки соответствия ранее
Повторное совершение вышеуказанного административного правонарушения: уже была введена в Положение Банка
России от 17.04.2019 № 683-П "Об уста-
l граждане от 50 тыс. руб. до 100 тыс. руб.; новлении обязательных для кредитных
организаций требований к обеспечению
l должностные лица от 500 тыс. руб. до 800 тыс. руб.; защиты информации при осуществлении
банковской деятельности в целях про-
l юридические лица от 6 млн руб. до 18 млн руб. тиводействия осуществлению переводов
денежных средств без согласия клиента"
Добавлены штрафы за нарушения ком России контроля за соблюдением и в Положение Банка России от
при обработке ПДн требований к обеспечению защиты 17.04.2019 № 684-П Об установлении
информации при осуществлении перево- обязательных для некредитных финан-
2 декабря опубликован Федеральный дов денежных средств"9 (далее – проект совых организаций требований к обес-
закон от 02.12.2019 № 405-ФЗ "О внесении Положения). Комментарии по проекту печению защиты информации при осу-
изменений в отдельные законодательные Положения в рамках публичного обсуж- ществлении деятельности в сфере
акты Российской Федерации"8 (далее – дения принимались до 26 декабря 2019 г. финансовых рынков в целях противо-
ФЗ № 405). Зтот закон, в частности, действия осуществлению незаконных
вносит поправки в КоАП относительно Хотя проекту Положения в явном виде финансовых операций". l
нарушений законодательства в области и не присвоен номер, однако понятно,
обработки персональных данных. что он несет изменения в Положение 8 http://publication.pravo.gov.ru/
Банка России от 09.06.2012 № 382-П
Административный штраф будет "О требованиях к обеспечению защиты Document/View/0001201912020045
накладываться в случае, если оператор информации при осуществлении пере-
ПДн при сборе персональных данных водов денежных средств и о порядке 9 http://cbr.ru/analytics/na_vr/
будет использовать базы данных, рас- осуществления Банком России контроля
Положенные вне территории РФ. Крат- за соблюдением требований к обеспече- project/?tab.current=t2#a_3043
кая сводка размеров штрафов пред- нию защиты информации при осуществ-
ставлена в врезке. лении переводов денежных средств". • 17
Проект изменений к Положению В проекте Положения установлены
Банка России № 382-П требования по защите информации при
осуществлении переводов денежных
В декабре 2019 г. опубликован проект средств в отношении недавно введенных
положения Банка России "О требованиях субъектов национальной платежной
к обеспечению защиты информации при системы, в частности платежного агре-
осуществлении переводов денежных гатора, поставщика платежного прило-
средств и о порядке осуществления Бан-
ПРАВО И НОРМАТИВЫ
Особенности применения GDPR
для российских операторов
персональных данных
Андрей Прозоров, менеджер по методологии ИБ, CISM,
автор блога “Жизнь 80 на 20” (www.80na20.blogspot.com)
К аждый российский оператор персональных данных,
спрашивая про Общий регламент по защите данных (General
Data Protection Regulation, GDPR), на самом деле хочет
знать ответы на три вопроса:
1. Попадает ли он под действие GDPR?
2. Какие есть риски?
3. Что еще нужно сделать для соответствия требованиям?
(При условии, что все требования 152-ФЗ уже выполнены.)
В этой статье попробуем кратко ответить на них.
Для начала напомню, что у GDPR рас- своими комментариями и примерами. 4. Расположен ли адрес Web-сайта на
ширена территориальная сфера приме- Так, в новой его версии появились европейском домене (например, .eu, .de)?
нения (ст. 3): дополнительные кейсы про иностранные
компании. В частности, пример № 8 5. Оказываете ли вы на постоянной
1. GDPR применяется к обработке говорит про то, что если услуга оказы- основе услуги для европейцев, например
персональных данных в контексте дея- вается только гражданам не из ЕС и для туристов?
тельности по учреждению контроллера она продолжает оказываться им при
или обработчика в ЕС, независимо от нахождении в ЕС (например, когда они 6. Представлены ли цены на услуги
того, осуществляется ли обработка в в качестве туриста в ЕС могут получить и продукты вашей компании в европей-
ЕС или нет. доступ к услуге), то эта деятельность ской валюте (например, EUR, SEK, CZK,
не подпадает под GDPR. EDPB также HUF, NOK, GBP)?
2. GDPR применяется к обработке подчеркивает, что единичные случаи
персональных данных субъектов персо- нахождения заказчиков-субъектов в ЕС 7. Организуете ли вы доставку товаров
нальных данных, находящихся в ЕС, еще не говорят о том, что компания в ЕС и об этом явно сказано в вашем
обработанных контроллером или обра- подпадает под GDPR по признаку ока- предложении?
ботчиком, которые не учреждены в Евро- зания услуг на территории ЕС. Еще из
союзе, когда деятельность по обработке важных комментариев стоит отметить, 8. Используете ли вы таргетированную
связана с: что если услуга оказывается не на тер- рекламу и другие маркетинговые актив-
ритории ЕС, а европейцы могут ей вос- ности, направленные на европейцев?
(а) предложением товаров или услуг, пользоваться, но основные потребители
вне зависимости от того, требуется ли не они, то такая деятельность тоже не 9. Мониторите ли вы поведение субъ-
оплата от этого субъекта данных в ЕС; подпадает под GDPR (это, к примеру, ектов персональных данных, находя-
относится к большинству локальных щихся в ЕС, составляете ли вы профили
или банков, гостиниц и медицинских цент- пользователей (например, получаете
(b) мониторингом их действий, ров). информацию о геолокации, используете
поскольку их действия совершаются на cookies)?
территории ЕС. К сожалению, универсальный ответ на
То есть интернет-магазин с доставкой вопрос "Подпадает ли российская компа- И если хоть на один из них вы ответили
товаров в ЕС и гостиница, которая в ния под GDPR?" дать не получится, надо да, то, скорее всего, вы подпадаете под
соцсетях показывает таргетированную рассматривать каждый случай отдельно. действие GDPR.
рекламу для европейцев, подпадают под Но я рекомендую ориентироваться вот на
область действия GDPR. Это частные эти вопросы: Какие есть риски?
случаи. На самом деле не каждая орга-
низация, обрабатывающая персональ- 1. Производится ли обработка персо- Консультанты очень любят пугать
ные данные европейцев (субъектов пер- нальных данных на территории ЕС огромными административными штра-
сональных данных, находящихся в ЕС), (например, в европейских ЦОД)? фами за нарушение требований GDPR
должна выполнять GDPR… ("до 20 млн или применительно к хозяй-
2. Есть ли у компании офисы и пред- ствующему субъекту в размере до 4%
Подпадаем ли мы ставительства в ЕС? Представлены ли
под GDPR? их европейские контакты (адреса и теле-
фоны) на сайте компании или в реклам-
EDPB (European Data Protection Board) ных материалах и брошюрах?
выпустила уже вторую редакцию разъ-
яснений по этому вопросу (Guidelines 3. Представлены ли Web-сайт компа-
3/2018 on the Territorial Scope of the нии, рекламные материалы и брошюры
GDPR). Документ крайне интересен на одном из европейских языков, помимо
английского? Предлагаете ли вы кон-
сультации и техническую поддержку на
одном из европейских языков, помимо
английского?
18 •
ПРАВО И НОРМАТИВЫ www.itsec.ru
В помощь приведу несколько полезных ссылок: • 19
1. Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April
2016 on the Protection of Natural Persons with Regard to the Processing of Personal
Data and on the Free Movement of Such Data, and Repealing Directive 95/46/EC
(General Data Protection Regulation) – https://eur-lex.europa.eu/eli/reg/2016/679/oj/.
2. European Data Protection Board (EDPB) – https://edpb.europa.eu.
3. Guidelines 3/2018 on the Territorial Scope of the GDPR (v.2.0, 12.11.2019, EDPB) –
https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_3_2018_territorial_sc
ope_after_public_consultation_en.pdf.
4. Article 29 Working Party Guideline: 31–10–2017, Guidelines on the Lead Superviso-
ry Authority (wp244rev.01) – https://ec.europa.eu/newsroom/article29/item-
detail.cfm?item_id=611235.
5. Article 29 Working Party Guideline: 30-10-2017, Guidelines on Data Protection Offi-
cers ('DPOs') (wp243rev.01) – https://ec.europa.eu/newsroom/article29/item-
detail.cfm?item_id=612048.
6. Article 29 Working Party Guideline: 13–10–2017, Guidelines on Data Protection
Impact Assessment (DPIA) (wp248rev.01) –
https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236.
7. Article 29 Working Party Guideline: 20–08–2018, Guidelines on Personal data
breach notification under Regulation 2016/679 (wp250rev.01) –
https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612052.
8. Article 29 Working Party Guideline: 06–07–2018, Guidelines on Consent under Reg-
ulation 2016/679 (wp259rev.01) - https://ec.europa.eu/newsroom/article29/item-
detail.cfm?item_id=623051.
9. Article 29 Working Party Guideline: 22–08–2018, Guidelines on Transparency under
Regulation 2016/679 (wp260rev.01) – https://ec.europa.eu/newsroom/article29/item-
detail.cfm?item_id=622227.
10. Guide to the General Data Protection Regulation (by ICO) – https://ico.org.uk/for-
organisations/guide-to-data-protection/guide-to-the-general-data-protection-regula-
tion-gdpr.
11. Блог “Жизнь 80 на 20” –. https://80na20.blogspot.com.
от "общестранового" годового оборота 4. Пересмотреть цели и основания Реклама
за весь предыдущий финансовый год"), для обработки персональных данных,
но почему-то не упоминают, что для а также сроки их хранения.
взымания таких штрафов у компании
должно быть юридическое лицо в ЕС, 5. Пересмотреть процессы трансгра-
иначе обязать выплатить их довольно ничной передачи данных и решить вопрос
сложно. с местом (страной) хранения данных.
На самом деле бизнесу, не представ- 6. Пересмотреть и доработать формы
ленному в ЕС, стоить опасаться скорее уведомлений и согласий на обработку
репутационных рисков и отказа ино- персональных данных.
странных компаний с ними работать
(вплоть до формального запрета над- 7. Назначить DPO (Data Protection Offi-
зорного органа). Я также не исключаю cer), при необходимости, и опубликовать
возможность блокировки Web-сайта на его контакты.
территории ЕС, если на нем произво-
дится обработка персональных данных 8. Провести DPIA (Data Protection
европейцев с нарушением GDPR, хотя Impact Assessment), при необходимости.
на практике я еще не встречал таких
примеров. 9. Выстроить процесс реагирования
на утечки персональных данных.
Что еще нужно сделать для
соответствия требованиям? 10. Задуматься о разработке кодексов
поведения (Codes of Conduct) и серти-
Положения 152-ФЗ и GDPR во многом фикации ISO 27001 и/или ISO 27701.
схожи, и если российский оператор пер-
сональных данных добросовестно выпол- Замечу, что некоторые организации
нил требования первого, то и со вторым разрабатывают отдельные комплекты
особых проблем не будет. Но вот что документов для 152-ФЗ и для GDPR.
еще надо сделать: Такое возможно, но говорит скорее о
том, что в компании не внедрены прин-
1. Определить основной, помимо РКН, ципы и процессы защиты персональных
надзорный орган (Lead Supervisory данных, а руководство хочет "прикрыться
Authority), изучить его требования и реко- бумажками".
мендации.
Вместо заключения отмечу, что тема
2. Пересмотреть политику обработки соответствия GDPR непростая. Чтобы
персональных данных, особенно ее разобраться в ней, необходимо изучить
общедоступную версию. очень много дополнительного материа-
ла, в т.ч. официальных разъяснений
3. Решить вопрос с cookies (отключить (например, от EDPB и Article 29 Working
или оформить политику и согласие субъ- Party). l
ектов).
Ваше мнение и вопросы
присылайте по адресу
[email protected]
СПЕЦПРОЕКТ
Тревога за импортозамещение
С воими мыслями о том, как процесс импортозамещения видится изнутри отрасли, а также
о его плюсах, минусах и подводных камнях поделились эксперты – представители ИБ-
компаний.
Дмитрий Горелов, коммерческий директор компании “Актив”
Руслан Рахметов, генеральный директор Security Vision, резидент “Сколково”
Евгений Куртуков, руководитель департамента продуктовой экспертизы компании Axoft
Сергей Панов, заместитель генерального директора ЭЛВИС-ПЛЮС
Дмитрий Пудов, заместитель генерального директора по технологиям и развитию Angara
Technologies Group
Какие преимущества вам импортозамещения, мы активно участву- Дмитрий Горелов
сейчас дает процесс ем в ее реализации, оказываем помощь
импортозамещения партнерам – пилоты, внедрение, кон- Хотелось бы, чтобы те,
в информационной сультации по продуктам и требованиям кто двигает крупные
безопасности? регуляторов; вендорам – донесение до проекты, более четко
рынка политики производителя, инфор- определяли, какие
Дмитрий Горелов мирование о новых решениях, обновле- решения точно можно
нии текущих продуктов; заказчикам – заменить на полностью
Сейчас крупный бизнес пресейл, обоснование необходимости российские, а какие
и государственные орга- использования того или иного решения, невозможно заменить в ближайшей
низации стали более проведение сравнительных пилотов. перспективе. Когда проект комплексный
уважительно относиться и все останавливается из-за одного не
к российским разработ- Сергей Панов самого критичного элемента, то стра-
чикам. Стало проще и дают все.
легче общаться с круп- Преимущества, с одной
ными потребителями средств информа- стороны, очевидны: Руслан Рахметов
ционной безопасности. Даже появилась рынок МЭ, IDS и СКЗИ,
некоторая мода на отечественные сред- где мы предлагаем свои В терминологии рынка
ства ИБ. решения, жестко регу- отечественное средство
Стало проще двигать проекты, нахо- лируется ФСБ и ФСТЭК, защиты информации –
дить точки входа к крупным заказчикам. и, видимо, в среднесроч- это не значит разрабо-
Когда клиенты уже тестируют в своих ной перспективе серьезные зарубежные танное нашими сооте-
проектах наши решения и решения игроки, как, например, CheckPoint, чественниками. Это
наших технологических партнеров, даль- Fortinet, могут покинуть рынок. значит, что оно входит
ше все становится легко и понятно. в реестр отечественного ПО и серти-
Потому что в том сегменте рынка инфор- Дмитрий Пудов фицировано как минимум по требова-
мационной безопасности, где мы рабо- ниям ФСТЭК. Процессы сертификации
таем, – средства аутентификации и элек- В системной интеграции продукта и его включения в реестр
тронной подписи – что российские реше- важно не просто предо- отечественного ПО длятся долго.
ния, что западные функционально мало ставить решение заказ- Например, чтобы производитель вклю-
чем отличаются друг от друга. чику, но и "приземлить" чил в реестр отечественного ПО новые
его в инфраструктуру продукты, нужно сделать минимум две-
Руслан Рахметов заказчика. И в этом три итерации, при том, что одна итера-
плане российские реше- ция занимает 5–6 месяцев.
Безусловно, импортоза- ния обладают набором практически уни- К моменту включения версии продук-
мещение для нас – это кальных конкурентных преимуществ: они та в реестр выходят его более новые
плюс, но я бы сказал, в большей степени ориентированы на версии. Даже если повезет осуществить
что скорее плюсик. Плю- потребности российских компаний, учи- его включение в реестр отечественного
сик в том, что есть хайп тывают требования регуляторов, более ПО с первой итерации, полгода в инфор-
вокруг этого процесса и отзывчивы к запросам клиентов. Для мационной безопасности – это уже
российские разработчи- системного интегратора это означает, большой срок, за который продукт "ста-
ки понемногу начали показывать себя. что мы получаем более отзывчивую реет" и рискует стать неконкурентоспо-
реакцию на возникающие вопросы в собным в сравнении с иностранными
Евгений Куртуков рамках внедрения, интеграции и адап- аналогами.
тации решения. Странно также, на мой взгляд, решен
Стратегия импортозаме- вопрос поддержки СУБД. ПО, поддер-
щения, безусловно, пра- Что в текущем процессе живающее и отечественные, и иностран-
вильная. Наша компания импортозамещения ные СУБД "в одном флаконе", воспри-
всегда с большим инте- создает для вас нимается как неотечественное и в реестр
ресом относилась к оте- сложности? Что стоит отечественного ПО не включается.
чественным производи- улучшить? Поэтому производитель вынужден
телям средств ИБ. поддерживать одну версию для между-
С 2014 г., с момента принятия концепции народного рынка (поддерживающую
и отечественные СУБД, и иностранные)
20 •
СДЕЛАНО В РОССИИ www.itsec.ru
и другую – для отечественного (поддер- Дмитрий Пудов Руслан Рахметов
живающую только отечественные
СУБД). Рынок инфромацион- Западные решения в
ной безопасности нашем сегменте, IRP, –
Аналогичная проблема с процессом является весьма значи- хорошие, но негибкие.
сертификации, только там сроки могут мым для государства А наш подход подразу-
быть по 2–3 года и дольше, в зависи- и его интересов, поэто- мевает большую зато-
мости от лаборатории и экспертизы. му не стоит удивляться ченность под заказчика
Вопрос сертификации – вообще требованиям примене- и его процессы. К при-
отдельная тема. Для меня странно, ния отечественных решений. Многие меру, западные конкуренты не будут
когда сертификатор имеет свои про- страны через национальные требова- подстраивать свои разработки под Рос-
дукты – средства защиты информации ния и системы сертификации сию. Но нашим клиентам важен инди-
и при этом сертифицирует продукты ограничивают данный рынок или его видуальный подход и правильная
конкурентов с доступом к их исходному отдельные сегменты для иностранных кастомизация, и в этом нам действи-
коду. компаний. При этом хотелось бы тельно удается обходить западные
видеть более открытую позицию регу- решения.
Евгений Куртуков ляторов и вовлечение участников
рынка в обсуждение инициатив, Евгений Куртуков
Несмотря на активное а может даже в систему принятия
обсуждение процесса решений. В сегменте ИБ отече-
импортозамещения, Большинству производителей тоже ственные решения за
динамика реализации есть к чему стремиться и что поза- последние пять лет
данной концепции пока имствовать у зарубежных компаний: значительно улучшили
отстает от наших ожи- необходимо больше внимания уде- свои позиции. В ряде
даний. На это есть лять созданию экосистемы, больше случаев продукты уже
несколько причин, и прежде всего – инвестировать в развитие продаж, не уступают западным
большой объем подготовительной рабо- в инфраструктуру поддержки кли- аналогам, а где-то и превосходят их.
ты, которую заказчики должны провести ентов и партнеров. Мы понимаем, На зрелость наших решений позитив-
до реализации самой концепции импор- что эти ограничения часто связаны но и сильно влияют жесткие правила
тозамещения. с отсутствием необходимых инве- регуляторов. В целом подход госу-
На рынке, безусловно, есть зрелые стиций, на текущий момент наша дарства к вопросам ИБ в России
игроки. Но если вести речь о молодых компания готова помогать разраба- более зрелый, чем даже в западных
разработчиках, то предлагаемые ими тывающим перспективные решения странах. К примеру, закон о персо-
решения пока не в полной мере отве- фирмам и инвестировать собствен- нальных данных в России был принят
чают ожиданиям заказчика. Это нор- ные ресурсы. на несколько лет раньше, чем анало-
мальный процесс, но он требует вре- гичный GDPR в Европе, и гораздо
мени на то, чтобы клиенты и постав- В вашем сегменте более детально проработан с точки
щики решений привыкли друг к другу и отечественные решения зрения подходов.
синхронизировали уровень ожиданий. и продукты опережают Не стоит также забывать и про эконо-
Сейчас мы видим, что для многих круп- иностранные аналоги или мику процесса. Практически во всех
ных заказчиков важны не столько теку- отстают? Как вы оцените сегментах решения из реестра отече-
щая функциональность того или иного временной разрыв? ственного ПО ниже по стоимости запад-
решения (она часто недостаточная), ных аналогов, при схожей функциональ-
сколько перспектива развития продук- Дмитрий Горелов ности.
та, дорожная карта. Вендоры должны Если говорить глобально, не только
уделять больше внимания перспекти- Средства аутентифика- про ИБ, а в целом про отечественные
вам развития продукта. ции и электронной под- программные продукты и смотреть на
Процесс запущен, динамика очевидна, писи Рутокен, которые процесс импортозамещения в рамках
и в перспективе 3–5 лет мы увидим мы разрабатываем и сравнения с иностранными решениями
результаты. производим, аналогич- по функциональности, то большинство
ны по своему функцио- вендоров предоставят рынку схожие
Сергей Панов налу иностранным ана- решения уже в ближайшие 3–5 лет.
логам. В них есть поддержка россий-
В настоящий момент ской криптографии – это ощутимое Сергей Панов
сложности создает сам преимущество.
процесс введения регу- Западные продукты в области В целом пока еще оте-
ляторных мер, который аутентификации более совместимы чественные решения
проходит в весьма сжа- с решениями западных вендоров. За существенно отстают.
тые сроки и чаще всего последние несколько лет мы сделали
не поддерживается так, что в основных сценариях, где Дмитрий Пудов
своевременным появлением необходи- используются средства аутентифи-
мой методической базы в системах сер- кации, все работает так же хорошо, Западные решения
тификации СЗИ, и пропускная способ- как и у наших уважаемых иностран- зачастую являются тех-
ность системы сертификации СЗИ весь- ных конкурентов. Поэтому временной нологическими лидера-
ма ограниченна. разрыв в данном сегменте есть, но ми. Вместе с тем есть
Кроме того, предстоящее ужесточе- он минимальный. Я не вижу суще- ниши, где российские
ние требований к использованию плат- ственных различий между нашими продукты чувствуют
форм на отечественной элементной продуктами и аналогами транснацио- себя достаточно уве-
базе, учитывая их крайний дефицит и нальных компаний, с которыми мы
пока еще довольно слабые показатели конкурируем в корпоративном сег- • 21
"цена/качество", усложняет нашу работу менте.
еще больше.
СПЕЦПРОЕКТ
рено. Приятно, что помимо тради- Руслан Рахметов Дмитрий Пудов
ционных – криптографии и решений
для защиты гостайны – мы видим В среднесрочной пер- Сам термин "импорто-
рост технологичности и функциональ- спективе качественных замещение" подразу-
ности в таких направлениях, как защи- российских продуктов мевает, что компании-
та БД, управление рисками, защита станет немного больше, производители должны
АСУ ТП и др. Не стоит забывать, что но не настолько, чтобы быть ориентированы на
есть российские компании (например, полностью заменить воспроизведение суще-
"Лаборатория Касперского"), решения импортные решения. ствующих решений, а
которых ничем не уступают зарубеж- Потому что есть проблемы, и не только не на создание новых решений/техно-
ным аналогам. Более того, не каждый с железом, а начиная с отсутствия воз- логий. Возможно, в этом есть логиче-
зарубежный производитель может им можности прямого участия без АНО ская ловушка и вызов для производи-
составить конкуренцию. в больших национальных программах телей и государства. Для нас как
импортозамещения и заканчивая инстру- системного интегратора это зачастую
Испытываете ли вы ментами прохождения сертификации и оборачивается тем, что мы получаем
тревогу за успешность добавления в реестр отечественного ПО. российские решения, которые, с уче-
импортозамещения Конечно, реализуя пожелания больших том цикла разработки, отстают от
в информационной заказчиков, отечественный производи- западных аналогов на несколько лет.
безопасности? тель будет повышать качество продукта, Второй момент, который внушает опа-
Почему? но кардинально ситуация по сравнению с сение, – ограниченная емкость рос-
нынешней, на мой взгляд, не изменится. сийского рынка. Компании, действи-
Дмитрий Горелов тельно нацеленной на создание пере-
Евгений Куртуков довых решений, рано или поздно при-
У нас все больше и дется выходить за пределы локального
больше появляется Импортозамещение – рынка, чтобы поддерживать приемле-
оборудования и про- это стратегическая и мый уровень инвестиций в развитие
граммного обеспече- долгосрочная задача. своих продуктов. И тут нас ожидает
ния, где ключевые Текущие тенденции другой сюрприз: многие преимущества
технологии контроли- и продолжение политики на зарубежных рынках девальвируют-
руют исключительно в этом направлении ся. В сухом остатке будет набор тех-
российские компании. Поэтому опти- дают уверенность, что нологий, ориентированных на реаль-
мизм есть. Тревогу вызывает то, процесс не будет заброшен, а поддержка ную безопасность. Более того, реше-
что российский рынок – это лишь со стороны государства только увели- ния необходимо будет адаптировать
единицы процентов от мирового и чится. Каких-либо глобальных тревож- под новые рынки сбыта, с учетом
инвестиции в новые разработки для ных тенденций нет, а временные труд- новых требований и специфики, обес-
компаний, работающих только на ности преодолимы. печить интеграцию с наиболее рас-
российском рынке, ограниченны. пространенными решениями этих рын-
Приходиться вкладываться точечно Сергей Панов кох, что в свою очередь требует еще
и угадывать тенденции. "Бить по больше вливаний в продукт, одновре-
площадям" российские разработчики Не испытываю тревоги менно утяжеляя его и делая менее
не могут. за импортозамещение. привлекательным для локального
Просто на все нужно рынка. l
время. В горизонте пла-
нирования пяти лет, уве- Ваше мнение и вопросы
рен, отрасль изменится присылайте по адресу
кардинально.
[email protected]
ФЕВРАЛЬ 2021 Реклама
22 •
СДЕЛАНО В РОССИИ www.itsec.ru
Перспективы развития технических
средств защиты информации в России
Светлана Конявская, заместитель генерального директора ЗАО “ОКБ САПР", к.ф.н.
Д ля того чтобы оценить перспективы развития технических
средств защиты информации, нужно понять, как развиваются
средства вычислительной техники (программные
и аппаратные), появились ли новые угрозы, и если да,
то какие.
Предпосылки му команд процессора, уве- ненный различным про- Резидентный компонент
личивать тактовую частоту. граммным обеспечени- безопасности – это встроен-
1. Развитие операционных Новые аппаратные ресурсы ем, выполняющим ный в технические средства
систем можно описать через позволяют все больше и боль- функции, связанные вычислительной системы
дихотомию "универсальная – ше усложнять ОС, и далее по с безопасностью. Обыч- объект, способный контро-
специализированная". Очевид- кругу. но это межсетевой лировать целостность техни-
на тенденция: универсальные экран, криптомаршру- ческих средств (здесь под
ОС (а несмотря на свои разли- Сложность уменьшает надеж- тизатор, сервер ЭЦП техническими понимаются
чия, прежде всего в доступно- ность, ОС становятся практи- и др. С функциональной и программные, и аппарат-
сти кода, и ОС Windows, и ОС чески неконтролируемыми, компьютерной систе- ные средства).
Linux позиционируются как уни- доверие к ним падает. Слож- мой HSM интегрируется через
версальные) со временем спе- ность операционной системы сетевые интерфейсы, в связи Ключевые характеристи-
циализировались для автома- становится новой, рукотворной с чем значительно упрощается ки РКБ:
тизации информационных опе- угрозой безопасности. аттестация системы. l это устройство памяти
раций и теперь могут приме- с очень высоким уровнем
няться преимущественно в 2. Новую ПЭВМ покупают В использовании HSM, одна- защищенности (его внутрен-
быту и офисе, как правило, в либо тогда, когда старая окон- ко, есть и проблемы. Прежде нее программное обеспече-
качестве пишущей машинки и чательно сломалась, либо когда всего это их ненадежность. ние должно быть немодифи-
терминала доступа к сети. При начинает сказываться нехватка Дело в том, что они зачастую цируемым);
этом практически полностью ресурсов: новые программы разрабатываются на базе l примитивное (иначе обес-
утрачена возможность приме- работают слишком медленно обычных ПЭВМ, которые, как печение его собственной
нения их, например, при или не работают вообще. Зна- известно, надежностью не защищенности эквивалент-
необходимости обеспечения чит, рынок обязательно будет отличаются. И если установить но задаче защиты компью-
работы в реальном масштабе организовываться так, чтобы такое изделие, например, для тера, который он защищает);
времени. ресурсов ПЭВМ всегда было обеспечения связи, то выхо- l встроенное в контроли-
"в обрез", иначе перестанут дить из строя оно будет значи- руемую систему и стартую-
Специализация для инфор- покупать либо новые програм- тельно чаще, чем связная аппа- щее до старта основной ОС
мационных операций застав- мы, либо новые компьютеры. ратура, которая делается по (иначе его функционирова-
ляет ОС "впитывать" в себя все В условиях ограниченных ресур- гораздо более высоким требо- ние будет бессмысленным);
больше и больше несвойствен- сов использовать значительную ваниям. Кроме того, HSM в их l не зависимое от контро-
ных ей ранее функций, упро- их часть для обеспечения функ- традиционном виде свойствен- лируемой системы (функ-
щающих прикладное ПО, но ций безопасности означает про- ны вообще все проблемы обыч- ционирующее автономно);
сильно перегружающих и ОС в сто вызвать раздражение поль- ных ПЭВМ с "универсальной" l перестраиваемое (то есть
целом, и даже ядро ОС. ОС зователей замедлением работы ОС, в том числе ненадежная предполагающее функцио-
становится "тяжелой", перестает системы и конфликтами ПО. архитектура, аппаратурная нирование в режиме
быть только операционной избыточность и неконтролируе- настроек и в пользователь-
системой, включая в себя прак- Следствия мый софт. ском режиме – режиме
тически все, что необходимо контроля).
для автоматизации информа- Напрашиваются два возмож- Альтернатива – реализация
ционных операций. ных решения – изоляция ресур- как можно более полного ком-
сов, затрачиваемых на обес- плекта защитных функций на
Широкое распространение печение безопасности, от основ- базе резидентного компонента
компьютеров с "тяжелыми" ОС ных вычислительных ресурсов безопасности – РКБ. В отличие
делает привлекательным их или создание систем, в которых от HSM, РКБ не объединяется с
использование в других сфе- не требуется установка допол- системой по внешним интер-
рах, например при проектиро- нительных средств защиты. фейсам, а включается в состав
вании (домов, микросхем, системы (является резидент-
радиоэлектронной аппарату- В первом случае, как бы ни ным) и становится неотъемле-
ры). Сложные вычислительные расходовались выделенные на мой ее частью. Об этой идео-
операции медленно и неохотно безопасность ресурсы, ника- логии мы уже не раз рассказы-
выполняются в таких системах, кого влияния на работу функ- вали, она была впервые реали-
и это заставляет наращивать циональной системы оказы- зована в отечественной системе
ресурсы компьютера: наращи- ваться не будет. Так делаются защиты от НСД "Аккорд" и в
вать оперативную память, аппаратные модули безопас- силу своих характеристик
усложнять и расширять систе- ности – HSM (Hardware Secu- быстро заняла лидирующие
rity Module). Как правило, это
отдельный компьютер, начи-
1 Подробно про РКБ, например, в: Конявский В. А., Конявская С. В. Доверенные информационные технологии:
от архитектуры к системам и средствам. М.: URSS. – 2019. – 264 с.
• 23
СПЕЦПРОЕКТ
позиции. Сейчас такие средства ности BIOS: Intell Boot Guard, их нельзя легально устранить
существуют для всех типов из СВТ, не должны использо-
ПЭВМ и, видимо, в ближайшем AMD Hardware Validated Boot, ваться и СВТ, в которые они
будущем их линейка будет раз- встроены на этапе производ-
Суть La Grande заключа- виваться параллельно развитию White List. Задача других ства.
лась в том, что как бы СВТ, несмотря на то, что они
"поверх" функциональных (и аналогичные СЗИ НСД с дру- средств защиты – обеспечить Intel Management Engine
операций за счет специ- гими названиями и от других
альных аппаратных средств разработчиков) дороги, сложны целостность и аутентичность Особняком в ряду встроен-
организуется выполнение в настройке и усложняют заку- ных средств стоит подсистема
контрольных процедур. почные процедуры. загружаемой операционной Intel Management Engine, кото-
Для этого основные функ- рая в пресс-релизах Intel объ-
циональные блоки компью- Кроме СДЗ, на платформе системы: Secure Boot, TPM, PCI является не предназначенной
тера должны снабжаться РКБ можно реализовывать именно для защиты. Казалось
резидентными компонента- (и уже есть примеры) и другие White List. бы, упомянутый выше запрет
ми безопасности, взаимо- защитные функции. на оснащенные ею компьюте-
действующими один с дру- Но здесь есть подводные ры формально не распростра-
гим и вырабатывающими Идеология РКБ воспринята няется. Действительно, при-
сигнал тревоги, если нор- многими мировыми производи- камни. Дело в том, что принятие обретать компьютеры с IME
мальное течение операций телями систем безопасности и можно, однако довольно пока-
нарушается. даже была стандартизована на решения в большинстве этих зательно, что их нельзя просто
Западе как специализирован- так ввозить в страну. Ввоз
Все РКБ взаимодей- ный модуль для доверенных систем осуществляется на осно- таких компьютеров оформ-
ствуют со специализирован- вычислений – TPM (Trusted Plat- ляется с учетом разрешитель-
ным доверенным модулем form Module). Представляется, ве проверки ЭП. Если ЭП про- ных процедур, которые сопро-
TPM, который и принимает что в дальнейшем системы на вождают ввоз зарубежной
решение, продолжить про- базе идеологии РКБ – TPM граммы верна, то она будет криптографии. Приобретение
цесс или прервать его. будут развиваться особенно уже ввезенных и легализован-
эффективно, воплощая второй выполняться. Таким образом, ных компьютеров – законно,
Встроенная во многие путь решения конфликта на но позиция государства выра-
платформы на основе набо- почве ресурсов. например, легко осуществлять жена вполне прозрачно и воз-
ров микросхем Intel® – это можность применения таких
небольшая, имеющая малое Этот путь – создание средств контроль легальности про- компьютеров в государствен-
энергопотребление компью- вычислительной техники, кото- ных ИС неочевидна.
терная подсистема, назы- рые изначально, без встраива- граммного обеспечения: пират-
ваемая Intel® Management ния дополнительных СЗИ, будут IME имеет не контролируемый
Engine (intel® ME). Intel® ME осуществлять контрольные ские копии просто не станут ни аппаратными, ни программ-
выполняет различные задачи, функции. Такой подход являет- ными средствами доступ к опе-
пока система находится ся естественным развитием исполняться. Однако заметим, ративной памяти компьютера,
в режиме сна, во время идеи РКБ – TPM для универ- встроенному сетевому адапте-
процесса загрузки и нор- сальных ПЭВМ с фон-Нейма- что если внутри контрольного ру, контроллерам PCI, PCIe,
мальной активности. Эта новской архитектурой: внедре- USB и прочей периферии4. На
подсистема должна функ- ние защитных механизмов все модуля по ошибке или по злому данный момент полностью
ционировать корректно глубже и глубже в состав аппа- исходный код IME недоступен
для достижения наивысшей ратных средств, вплоть до реа- умыслу окажется неправильный для независимых исследований
производительности и функ- лизации блока защиты в соста- и анализа. Энтузиастами пред-
циональности вашего ПК"3. ве процессора. О такой техно- ключ проверки подписи, то не принимаются попытки дизас-
логии впервые заговорили в семблирования кода IME и
2002 г., тогда она получила будут выполняться и легальные последующего анализа, кото-
название La Grande. Но она не рые даже приводят к нахожде-
получила развития и на сего- программы. При использовании нию недокументированных воз-
дняшний день уже совершенно можностей5, ошибок и уязви-
забыта, однако другие анало- такой уязвимости одномомент- мостей6. И компания Intel при-
гичные встроенные средства, знает эти уязвимости и даже
построенные на тех же самых но будут остановлены все ком- выпускает обновления, их
принципах, распространены уже устраняющие7.
достаточно широко, и все они пьютеры с процессором, под-
являются зарубежными. Они То есть компьютер с IME –
могут быть нацелены на обес- держивающим на аппаратном это компьютер, внутри которого
печение целостности и защиту есть еще один компьютер с
от вредоносного воздействия уровне эту технологию. Просто неизвестным функционалом,
на микропрограмму СВТ, в част- имеющий неограниченный
какая-то антиутопия!
Еще одна проблема, связан-
ная с такими механизмами,
заключается в том, что (и это
одна из их штатных задач) они
не позволяют встроить в это же
СВТ другие средства защиты.
Разумеется, специалистами раз-
рабатываются методики разной
степени легальности для обхода
этих ограничений (заметим, что
использовать эти методики смо-
гут, конечно, не только те, кто
хотят встроить в СВТ дополни-
тельные средства защиты).
Неудивительно, что отече-
ственными регуляторами уста-
новлены преграды применению
таких решений в государствен-
ных информационных систе-
мах: в них средства защиты,
не сертифицированные в рос-
сийских системах сертифика-
ции, использоваться не долж-
ны2. Не "должны дополняться
сертифицированными", а не
должны использоваться
совсем. И точка. А коль скоро
2 См., например, методический документ “Меры защиты информации в государственных информационных системах"
(утвержден ФСЭК России 11 февраля 2014 г., https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-
normativnye-dokumenty/805-metodicheskij-dokument) и многие другие нормативные методические документы.
3 Часто задаваемые вопросы об утилите проверки Intel® Management Engine. https://www.intel.ru/content/www/ru/ru/support/arti-
cles/000005974/software/chipset-software.html.
4 Kumar A. Active Platform Management Demystified: Unleashing the Power of Intel VPro (TM) Technology, 2009, Intel Press.
5 Горячий М., Ермолов М. Выключаем Intel ME 11, используя недокументированный режим.
https://habrahabr.ru/company/pt/blog/336242/.
6 Уязвимость Intel ME позволяет выполнять неподписанный код. https://habrahabr.ru/company/pt/blog/339292/.
7 Intel Q3’17 ME 6.x/7.x/8.x/9.x/10.x/11.x, SPS 4.0, and TXE 3.0 Security Review Cumulative Update. https://security-
center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr.
24 •
СДЕЛАНО В РОССИИ www.itsec.ru
доступ к ресурсам основного чем системный блок, и прила- РКБ будет правильным обра- А еще мир внезапно
компьютера. Это грозит: гаем немалые усилия, чтобы зом физически подключен по изменился – и все прежние
l получением несанкциониро- аутентифицировать абонента, всем интерфейсам и будет сам наработки в области техни-
ванного удаленного управле- находящегося на другом конце контролировать USB и Ether- ческой защиты информации
ния; Земли, не обращая внимания net-каналы. Формально это резко, более чем наполови-
l несанкционированной пере- на то, что ни клавиатура, ни будет единая материнская ну, потеряли свою актуаль-
дачей конфиденциальных дан- мышь, ни монитор не аутенти- плата, устанавливаемая внутрь ность. Корпоративные
ных из системы. фицируются и могут быть без- корпуса СВТ, но фактически – системы, конечно, остались,
болезненно подменены. физическое объединение двух но появились новые, откры-
Основные каналы для реали- компьютеров (РКБ и чипсета тые компьютерные системы
зации обеих угроз в современ- Экстраполировать на пери- от Intel). Даже, строго говоря, цифровой экономики. И они
ных компьютерах на базе чип- ферию логику защиты флешек трех, так как чипсет от Intel – немедленно стали важней-
сетов Intel – Ethernet и USB. (создавать системы, в которых это уже два компьютера шими, а методов защиты
Подключаемые к USB-портам периферия аутентифицируется (основной и IME). их нет. "Здесь и сейчас" –
устройства (флешки, клавиату- относительно СВТ или средства вот лозунг цифровой эконо-
ры, мыши, токены, сканеры, защиты) или выбрать другой Западный TPM в том или мики. Но как понять, "где"
принтеры, плоттеры, телефоны, подход – выбор у разработчиков ином своем виде – не един- и "когда", если на пути
фотоаппараты, жесткие диски) есть. ственное проявление решения к этому стоят полное отсут-
могут быть как каналом несанк- "растворения" защитных меха- ствие методов идентифика-
ционированного управления, Похожая ситуация с Ethernet- низмов в архитектуре компью- ции в открытой среде –
так и приемником для несанк- каналами. Так же существуют тера. Разработана и запатенто- а ведь нужно знать, кому мы
ционированной передачи дан- мощные средства контроля вана отечественная иннова- оказываем услугу. Как при-
ных. Причем выполнять эти дей- (программные межсетевые ционная архитектура компью- менять криптографию, если
ствия они могут в теневом режи- экраны), так же они оказывают- тера, получившая название пользовательские устрой-
ме, незаметно для пользовате- ся бесполезными в случае Новая гарвардская архитектура ства недоверенные? На
ля, параллельно с основным необходимости контроля IME. (потому что она основана на какую нормативную базу
функционалом8. Так же для качественной защи- Гарвардской архитектуре про- опираться, если для откры-
ты межсетевые экраны нужно цессора с разделением команд тых систем ее нет совсем?!
На первый взгляд (учитывая делать не зависимыми от основ- и данных, в отличие от фон-
многочисленные публикации о ного СВТ и устанавливать их Неймановской архитектуры на Если нельзя сделать
разнообразных DLP-системах), в разрыв соединения Ethernet- процессорах x86). Заложенные доверенными сразу все тех-
вопрос защиты от несанкциони- контроллера и локальной в нее защитные механизмы нические средства системы,
рованного использования USB- вычислительной сети (ЛВС), имеют совершенно другую при- то доверенными должны
устройств давно решен и его к которой подключается СВТ, роду, это изменение работы с стать информационные тех-
можно считать закрытым. Но не и уже внутри этих вычислителей памятью, дающее компьютеру нологии. Но это уже вопрос
в случае с IME. Нужно помнить, осуществлять контроль трафи- "вирусный иммунитет". не перспектив развития рос-
что IME имеет прямой доступ к ка, отфильтровывая нештатные сийских средств техниче-
периферии, минуя приложения нестандартные сетевые пакеты. Подводя итог, можно выде- ской защиты информации,
и драйверы ОС. Программные Да, существуют аппаратные лить главную, на наш взгляд, а, как говорится, совсем
агенты этих самых DLP-систем, межсетевые экраны, но по сло- тенденцию: развитие средств другая история. Очень инте-
функционирующие в ОС, могут жившейся практике применения защиты информации будет ресная. И ее, как и историю
определять наличие подключен- они устанавливаются на грани- идти по двум различным, но вообще, сегодня делаем мы.
ных к портам устройств с неко- це периметра ЛВС и защищают взаимодополняющим направ-
торой задержкой, необходимой сеть целиком, но не защищают лениям, а именно: • 25
ОС для проведения работ по СВТ в ЛВС друг от друга и от
инициализации стека драйверов подключенного нештатно сто- 1. Стандартные ПЭВМ про-
и извещения соответствующих роннего СВТ. Чтобы эта ситуа- должат все больше и больше
агентов о подключении ция изменилась, необходимы "впитывать" в себя лучшие
устройств к портам. И после- два условия: проблема должна достижения из области аппа-
дующий контроль за обменом быть осознана, а аппаратные ратной защиты. При этом
данными с устройством агенты межсетевые экраны – стоить дополнительно к новому уровню
DLP-систем могут проводить не разумных денег. "стандартности" понадобятся
ниже драйверов ОС. А IME лишь средства идентифика-
может взаимодействовать с под- Защитные механизмы ции/аутентификации, которые
ключенными USB-устройствами в архитектуре компьютера будут активными.
напрямую через Firmware USB-
контроллера. Альтернативный подход к 2. В областях, где требуется
защите от угроз уровня IME – высокий уровень защищенно-
Флешки, на Firmware которых это уже многократно упомяну- сти, будут использоваться
нельзя повлиять в рабочем тый резидентный компонент новые, специально спроектиро-
режиме, уже существуют (по безопасности. Но, в отличие ванные технические решения.
крайней мере, в номенклатуре от ситуации с традиционными Средства защиты начнут все
наших продуктов это защищен- исполнениями РКБ, использо- больше приобретать черты пол-
ные служебные носители и вать какую-либо системную ноценных компьютеров. Они
неперепрограммируемые шину при защите от угроз, свя- станут содержать все стандарт-
флешки), но опасность со сто- занных с IME, нельзя. Поэтому ные для компьютеров состав-
роны периферии до сих пор нужно отказываться от идеи ляющие и при этом сохранять
существенно недооценивается. защищать универсальные СВТ специализацию за счет ОС
Дело в том, что, защищая ком- и разрабатывать специализи- реального времени и аппарат-
пьютер (терминал), мы на рованные материнские платы. ных спецканалов. l
самом деле защищаем не более На этих материнских платах
Ваше мнение и вопросы
8 Кравец В. В. Клавиатура – устройство вывода? присылайте по адресу
https://habrahabr.ru/company/pm/blog/352868/.
[email protected]
УПРАВЛЕНИЕ
Утечки данных подорожали
в 2019 году
Статистика убытков
Андрей Фёдоров, независимый эксперт по ИБ
В рамках ежегодного исследования Cost of a Data Breach
Report 2019 эксперты Ponemon Institute опросили 3211 топ-
менеджеров и специалистов по безопасности
из 507 корпораций, ставших жертвами утечки данных
в минувшем году. Их в первую очередь интересовали
обстоятельства, приведшие к инциденту, а также действия,
предпринятые самими компаниями. Впервые в отчете 2019 года
подробно описан долгосрочный эффект от утечки данных:
компании продолжают нести убытки даже в течение
нескольких лет после инцидента.
На основании полу- ряд ключевых выводов. Рас- всего, это связано с тем, что
ченных результатов смотрим их в этой статье наряду именно в 2016 г. имело место
исследования специали- со спецификой российских уте- множество скандалов из-за
сты Ponemon сформулировали чек в 2019 г. нарушения конфиденциально-
сти данных пользователей
Рис. 1. Средняя стоимость утечки данных в мире (Ponemon Institute) Facebook, компании Cambridge
Analytics и проведения выборов
Рис. 2. Зависимость стоимости утечки от размера Малый бизнес президента США.
организации (Ponemon Institute) в зоне риска
Далее в отчете приводится
26 • Средние потери одной ком- соотношение размера компании
пании от утечки данных в 2018– и убытка, который она несет в
2019 гг. составили $3,92 млн. связи с утечкой. Вполне зако-
С 2014 г. эта сумма увеличилась номерно, что большие компании
почти на 12%. На рис. 1 приве- (более 50 тыс. сотрудников)
дены данные за последние пять несут почти в два раза более
лет. серьезные потери, в среднем
$5,11 млн.
Таким образом, прослежива-
ется тенденция увеличения Интересно вот что. В ряде
средней стоимости одной утеч- случаев утечки данных компа-
ки данных. Да, на графике ниям малого бизнеса (менее
видно, что в 2019 г. средние 500 сотрудников) обходятся
потери от утечки ниже, чем, дороже, чем средним компа-
например, в 2016-м, но, скорее ниям, и это не может не вызы-
вать беспокойство. Так, малому
бизнесу будет сложнее пере-
нести подобный удар по бюд-
жету и оправиться после него.
Данных о том, сколько
стоит утечка в России, кол-
леги из Ponemon не приводят,
не располагают сведениями
и российские аналитики.
Единственная оценка, кото-
рую удалось найти, принад-
лежит компании Zecurion,
занимающейся предотвраще-
нием утечек данных, и дати-
рована концом 2014 г. Это
$820 тыс. для российских
компаний, без учета малого
бизнеса, – сумма солидная,
но все равно заметно мень-
ше, чем за рубежом.
УПРАВЛЕНИЕ www.itsec.ru
По данным экспертов, Рис. 3. Средняя стоимость утечки данных в регионе (Ponemon Institute)
в зоне наибольшего риска назад в сеть утекли данные Рис. 4. Среднее количество скомпрометированных
1 млн российских клиентов записей (Ponemon Institute)
в России находятся страховой компании Zurich,
и уже через год ей пришлось становятся мишенью вымога- По данным аналитиков
финансовые данные, свернуть свой бизнес в России. телей. Финансовые данные, Ponemon Institute, в 2019 г.
несмотря на свою высокую важ- наибольшую ценность пред-
а в целом по миру – Однако исследования в обла- ность, продолжают уступать ставляли собой данные из
сти информационной безопас- и закрепились на втором месте. медицинского сектора.
медицинские. Очевидно, ности не ограничиваются одним Средняя стоимость одной
Ponemon Institute. Отчеты Стоимость утечки данных утечки медицинских данных
что клиенты перестают и исследования с фокусом на в организациях государствен- составила $6,45 млн. Здо-
российские реалии часто про- ного сектора традиционно более ровье для многих людей –
доверять компаниям, водят такие крупные консал- низкая, поскольку в результате более чувствительная тема,
тинговые агентства, как PwC, инцидентов они не теряли пла- нежели состояние банков-
допустившим любую и независимые аналитические тящих клиентов, в отличие от ского счета.
центры, например Zecurion бизнеса.
утечку, и уходят Analytics или Anti-Malware.
к конкурентам, тем самым Медицинские данные –
на вес золота
снижая доходы.
По данным аналитиков Pone-
Самые большие утечки – mon Institute, в 2019 г. наиболь-
на Ближнем Востоке, шую ценность представляли
самые дорогие – в США собой данные из медицинского
сектора (данные о пациентах,
Несмотря на то что средний врачах, диагнозах, лечении и
общемировой размер убытков т.д.). Средняя стоимость одной
от утечки составил $3,92 млн, утечки медицинских данных
аналитики Ponemon отметили, составила $6,45 млн. Здоровье
что лидером по стоимости одной для многих людей – более чув-
утечки конфиденциальных дан- ствительная тема, нежели
ных стали США. В среднем аме- состояние банковского счета.
риканская компания теряет на Например, имея на руках дан-
одном инциденте $8,2 млн, что ные и контакты людей, стра-
практически в два раза больше, дающих от тяжелых болезней,
чем в среднем по Европе, и мошенники могут попытаться
в 7,5 раз больше, чем в Индии обмануть их, предложив "деше-
или Бразилии, закрывающих вое и простое лечение". Или
список. Это связано с тем, что иногда люди пытаются скрыть
общество в США гораздо более какие-либо свои заболевания,
остро реагирует на утечки дан- например ЗППП, опасаясь того,
ных и, как следствие, потери что это станет общеизвестно, и
бизнеса гораздо выше из-за
отказа клиентов пользоваться
продуктами и услугами компа-
нии, допустившей утечку.
Если посмотреть на график,
демонстрирующий средний раз-
мер одной утечки данных
(рис. 4), то мы увидим практи-
чески обратную картину. Самые
большие утечки допускают ком-
пании Ближнего Востока, Индии
и Бразилии. В первую очередь
это связано с более слабой
защитой информации в разви-
вающихся странах, во вторую –
с количеством населения этих
регионов. Скандинавия, Япония
и Австралия, замыкающие спи-
сок, являются достаточно раз-
витыми странами с относитель-
но небольшим населением.
Примечательно, что ни на
одной из 76 страниц отчета не
фигурируют Россия и страны
постсоветского пространства.
Не совсем понятно, с чем это
может быть связано, ведь в
России также ежегодно про-
исходит достаточно большое
количество значимых утечек.
Чего стоят только утечки дан-
ных клиентов Альфа-Банка и
Бинбанка в этом году или,
например, утечка данных
сотрудников РЖД. И таких при-
меров с серьезными послед-
ствиями в российских реалиях
очень много. Несколько лет
• 27
УПРАВЛЕНИЕ Что касается России, то
ситуация немного другая.
Рис. 5. Средняя стоимость утечки данных по индустриям (Ponemon Institute) Поскольку уровень цифровиза-
Рис. 6. Вероятность повторной утечки в течение двух лет (Ponemon Institute) ции российской медицины по-
Рис. 7. Время на обнаружение и устранение утечки (Ponemon Institute) прежнему остается достаточно
низким, утечек данных в этой
28 • сфере происходит достаточно
мало. За последние несколько
лет стало известно лишь
о нескольких таких случаях.
В марте 2019 г., например,
в сеть попали данные пользо-
вателей сервиса телемедицины
Doc+, а чуть позже в открытом
доступе оказалась база данных
пациентов московских станций
скорой помощи. Известных слу-
чаев с утечками данных клиен-
тов финансовых учреждений
намного больше.
На стыке 2018–2019 гг. Рос-
сию захлестнула волна "бан-
ковского мошенничества", когда
злоумышленники, оперируя
реальными данными пользова-
телей, похищали у доверчивых
клиентов деньги, а у тех не
было основания не доверять
мошенникам, ведь такие данные
могли знать только сотрудники
банка. В основном злоумыш-
ленники получали информацию
от инсайдеров внутри банков,
они предоставляли им фотогра-
фии экрана с нужными данны-
ми, сделанными на смартфон.
Многие компании начали
бороться с подобным каналом
утечек, например Аэрофлот
в мае 2019 г. запретил сотруд-
никам пользоваться смартфо-
нами на территории офиса. Под-
строились под ситуацию и про-
изводители систем информа-
ционной безопасности, и в июле
российская компания Zecurion
первой на рынке выпустила
модуль контроля фотографиро-
вания экрана компьютера.
Вероятность повторных
инцидентов растет
Казалось бы, компания, допу-
стившая утечку данных один
раз, уже не должна повторять
своих ошибок. Но данные иссле-
дования говорят об обратном:
вероятность аналогичной утечки
из той же компании в течение
двух лет выросла и составила
уже 30%, продемонстрировав
рост почти на треть по сравне-
нию с 2014 г.
Почему так происходит? Дело
в том, что темпы внедрения
решений для предотвращения
утечек сильно отстают от роста
объема клиентских данных
у компаний и развития возмож-
ностей для их похищения. Ско-
рее всего, при грамотном под-
УПРАВЛЕНИЕ www.itsec.ru
ходе, повышении сознательно- Рис. 8. Соотношение "жизненного цикла" утечки и ее стоимости (Ponemon Institute)
сти крупных компаний в отно-
шении хранения данных и внед- Рис. 9. Ошибки сотрудников, которые приводят к утечкам информации (Zecurion
рении систем Data Loss Preven- Analytics)
tion эта цифра постепенно будет
снижаться. фактор (утечка по неосторож- ция тоже может быть испорче- Выводы Ponemon нагляд-
ности) составил лишь 24%. При- на. Компании хоть и стремятся но показывают, что если
В отчете фигурирует и такое мечательно, что здесь нет почти предотвращать утечки данных компания не планирует
понятие, как "средний срок никакой динамики с 2014 г. и внедрять профильные реше- выделять отдельные ресур-
жизни" утечки. Под этим тер- Ничего не меняется, мы по- ния, но данные копятся у них сы для борьбы с возможны-
мином эксперты понимают прежнему знаем, от чего стоит намного быстрее, и злоумыш- ми утечками данных, то ее
время с того момента, как про- защищаться в первую очередь. ленники быстрее адаптируются убытки могут быть гораздо
изошла утечка, до того момен- к новым условиям. выше и корпоративная репу-
та, как ее удалось локализо- 3. Автоматизация ИТ-безопас- тация тоже может быть
вать. По последним данным, ности набирает обороты. Коли- Ускорение реагирования на испорчена. Компании хоть
средний срок жизни утечки чество компаний, внедривших инциденты путем создания спе- и стремятся предотвращать
в 2019 г. составил приблизи- решения по ИТ-безопасности, циальных команд этого профи- утечки данных и внедрять
тельно 279 дней. Для сравнения: продолжает расти. Почти 52% ля и большая автоматизация профильные решения,
за аналогичный период в 2018 г. опрошенных компаний уже ИТ-безопасности, например но данные копятся у них
эта цифра составила 266 дней. имеют установленные профиль- внедрение DLP-систем, могут намного быстрее, и зло-
Найти и устранить инцидент ные системы. Это позволяет им помочь сократить потенциаль- умышленники быстрее адап-
становится сложнее. сократить издержки на защиту ные убытки от утечек данных. тируются к новым условиям.
от утечек данных и снизить Да, полностью искоренить
Исследователи отмечают, что вероятность их возникновения подобные инциденты в мире • 29
чем позже компания находит в целом. практически невозможно, как и
и устраняет утечку, тем большие свести убытки от них к нулю, но
убытки она несет в результате. Выводы Ponemon наглядно постараться минимизировать –
Устраненные более чем показывают, что если компания вполне. l
за 200 дней инциденты обхо- не планирует выделять отдель-
дятся компаниям в среднем на ные ресурсы для борьбы с воз- Ваше мнение и вопросы
30% дороже, чем устраненные можными утечками данных, то присылайте по адресу
менее чем за 200 дней. ее убытки могут быть гораздо
выше и корпоративная репута- [email protected]
Однако эксперты чаще гово-
рят о тех компаниях, в которых
не было технических решений
для предотвращения утечек.
Ведь при наличии таких систем
время на обнаружение и устра-
нение инцидента может легко
сократиться с 279 дней до одно-
го, что, конечно, значительно
снизит убытки.
Интересно, что в исследова-
нии Ponemon Institute не рас-
крывается подробно, какие
именно ошибки сотрудников
приводят к утечкам информа-
ции. Зато подобную статистику
собрал аналитический центр
Zecurion Analytics (рис. 9).
Куда смотреть
компаниям?
Помимо вышеприведенных
выводов, авторы отчета Cost of
a Data Breach Report 2019 при-
ходят еще к нескольким.
1. Почти треть убытков ком-
паний, связанных с утечками
данных, составляют прямые
бизнес-потери. Здесь специа-
листы имеют в виду уход кли-
ентов к конкурентам и снижение
продаж в результате утраты
доверия. И правда, будут ли
люди продолжать пользоваться
услугами компании, которая
допустила утечку крайне чув-
ствительных данных? Будут, но
гораздо менее охотно.
2. Более 50% утечек произош-
ли в результате злонамеренного
слива/взлома. Человеческий
УПРАВЛЕНИЕ
Недекларированные
возможности SIEM
Иван Лопатин, технический эксперт АО “ДиалогНаука”
О чень многие заказчики используют SIEM-системы для
выявления инцидентов информационной безопасности разной
степени сложности и зачастую даже не представляют себе все
возможности собственной системы мониторинга. Это связано
с тем, что из-за довольно большой загрузки отдела
информационной безопасности его сотрудникам
не приходится задумываться о дополнительных функциях
и возможностях, хотя эти знания могли бы существенно
помочь в автоматизации целого ряда процессов в отделе ИБ
или всей компании в целом.
Одним из кейсов, кото- В данной статье мы l сканирования хоста, на кото- систему для фиксации всей
рые можно реализовать постараемся подтолк- ром произошел инцидент полученной информации о поль-
на базе недекларированной нуть специалистов информационной безопасности; зователе или группе.
возможности, является к исследованию допол- l записи в сторонние средства
запуск сторонних или внеш- нительных свойств SIEM- и системы информации об инци- При такой реализации работа
них скриптов. систем, которые могут быть денте; правила становится максималь-
использованы без необходи- l исполнения команд на уда- но продуктивной. Но стоит учи-
Одним из инструментов, мости закупки и расширения ленной системе для произведе- тывать тот факт, что все прави-
которые можно использо- существующих лицензий. ния действий над пользовате- ла, которые производят запуски
вать для централизованного К основным таким недекла- лем или узлом, фигурирующим внешних команд, должны прой-
запуска скриптов, является рированным возможностям в инциденте ИБ. ти этапы тестирования и отлад-
Ansible. Можно заранее относятся: ки для минимизации ложных
настроить сценарии выпол- l запуск внешних скриптов Остановимся несколько под- срабатываний и оптимизации
нения команд и действий и программ; робнее на первом пункте (ска- загрузки системы. Для этого
для их более качественного l использование скоринговой нирование хоста) и рассмотрим в SIEM-системе создаются меха-
и бесперебойного исполне- модели; ситуацию, при которой происхо- низмы автоматической провер-
ния. l применение нейросетей для дит инцидент, связанный с ки корректности работы правил
выявления инцидентов ИБ. попытками нелегитимных дей- и частоты их срабатываний.
ствий в части очистки журнала
Запуск внешних скриптов аудита и/или создание админи- Вернемся к кейсу сканирования
и программ стративной группы на Linux- хоста. Если данный инцидент при-
системе. При выявлении прави- водит к его заведению в системе
Одним из кейсов, которые лом данного события запускает- управления инцидентами (Case
можно реализовать на базе ся скрипт сбора с узла дополни- Manager), то оператору и анали-
недекларированной возможно- тельных сведений, связанных с тику будет гораздо проще принять
сти, является запуск сторонних данным пользователем или груп- решение о критичности данного
или внешних скриптов, напри- пой. Результаты работы скрипта инцидента/кейса и необходимо-
мер для: направляются обратно в SIEM- сти его эскалации, если в кейсе
будут дополнительные признаки
инцидента.
Кейс: сканирование хоста Использование
скоринговой модели
Для принятия решения о критичности данного инцидента оператору или аналитику
значительно поможет следующая информация в кейсе: В обиходе словосочетание
1. ID пользователя в Linux-системе, который выполняет злонамеренные действия; "скоринговая модель" ассоции-
2. Список неудачных входов (команда #lastb), IP-адрес, время события. Данная руется с антифрод-системами
информация полезна в случае недостижения порога "неуспешных входов" для и борьбой с финансовыми
срабатывания инцидента Brute Force (попытка несанкционированного доступа методом мошенниками. Но реализация
перебора паролей): скоринговой модели в инфор-
support ssh:notty 103.138.109.76 Wed Dec 4 12:20 – 12:20 (00:00) мационной безопасности и в
tom ssh:notty 140.207.46.136 Wed Dec 4 12:51 – 12:51 (00:00) SIEM-системе уже является той
ubnt ssh:notty 185.43.209.8 Wed Dec 4 11:17 – 11:17 (00:00) необходимостью, без которой
user ssh:notty 185.43.209.8 Wed Dec 4 11:17 – 11:17 (00:00) полнота картины выявления
admin ssh:notty 185.43.209.8 Wed Dec 4 11:17 – 11:17 (00:00) инцидентов ИБ не будет доста-
ftpuser ssh:notty 5.238.245.53 Thu Dec 5 06:00 – 06:00 (00:00) точно исчерпывающей.
3. Список запущенных процессов (команда: #ps -eo pid, lstart, cmd)
4547 15:48:23 /bin/bash /tmp/<name>.py Для использования более
4. Другие команды, необходимые для более эффективного расследования инцидентов ИБ сложных корреляционных логик
в Linux-системах, такие как запуск сканеров, антивирусов, блокировка пользователей и выявления более сложных
и процессов (в случае необходимости). цепочек инцидентов необходи-
мо реализовывать скоринговую
модель для подсчета баллов по
30 •
УПРАВЛЕНИЕ www.itsec.ru
каждому пользователю и узлу, ствующих СЗИ. Перед крупны- корреляции на выявление
длины доменов третьего уровня,
участвующему в инцидентах ИБ. ми игроками, использующими в случае превышения длины
запроса список доменов поме-
Так, например, при срабаты- нейросети для предсказания тех щается в лист.
вании правила Brute Force про- или иных параметров и ситуа- 3. Лист отправляется на API
лингвистического анализа для
изводится занесение в список ций, встает проблема создания получения семантического
коэффициента распознания
подсчета скоринга как пользо- качественных наборов данных имени домена.
вателя, так и хоста, на котором (dataset), по которым могла бы 4. Как дополнительная мера
производится отправка запроса
происходит попытка подбора обучаться и переобучаться в платформу Threat Intelligence
для анализа доменного имени.
пароля. модель.
Таким образом, мы получаем
При фиксации ряда инциден- Подготовка набора данных многоуровневую систему ана-
лиза доменных имен и состав-
тов с пользователем или узлом, для модели – это кропотливый ления списков "нормальных"
и "ненормальных" имен для
находящимся в листе скоринга, труд специалистов в области дальнейшей загрузки в набор
данных (dataset).
суммарный балл повышается в сбора и анализа больших мас-
Основная идея данного при-
зависимости от критичности сивов данных (Data Science мера заключается в демонст-
рации необходимости примене-
инцидента. Таким образом, сум- и Data Mining). Обычно в неболь- ния автоматических интеграций
с сервисами, которые могут
мируя баллы за каждый инци- ших организациях со своим уменьшить время подготовки
набора данных для обучения
дент, мы наглядно видим кар- штатом сотрудников на сбор, модели и сэкономить ресурсы Для использования более
специалистов DS/DM. сложных корреляционных
тину происходящего, а также очистку и подготовку данных логик и выявления более
Хотелось бы сделать пометку, сложных цепочек инциден-
в случае реализации дополни- для обучения математических что приведенные выше приме- тов необходимо реализовы-
ры являются абстрактными вать скоринговую модель
тельных механизмов можно моделей уходит порядка 70% и недостаточными механизмами для подсчета баллов
для решения каких-либо задач. по каждому пользователю
контролировать происходящие времени. Выбор решений и путей всегда и узлу, участвующему
остается на стороне компании в инцидентах ИБ.
инциденты и накладывать на Использование заранее раз- и/или партнера, и компания
"ДиалогНаука" со своей стороны SIEM-система собирает
жизненный цикл кибератак Kill меченного набора данных с при- готова предоставить услуги огромное количество собы-
настройки интеграций с SIEM тий ИБ и производит их нор-
Chain с последующей класси- нудительным обучением (значе- системой, создания интегра- мализацию, агрегацию
ционных шин-данных, а также и корреляцию – данная
фикацией по MITRE. ние – реакция) является эффек- настройку и отладку контента информация и будет исполь-
любой сложности. зоваться в дальнейшем для
Приведем еще один абстракт- тивным способом обучения ней- обучения нейросети и мини-
Рост эффективности мизации трудозатрат спе-
ный пример. Создаем два спис- росети по предсказанию ано- циалистов по сбору и анали-
В данной статье на конкрет- зу данных.
ка (листа) с названиями User малий, но в то же время трудо- ных кейсах были продемонстри-
рованы недекларированные • 31
List и Host List: затратным. возможности, используемые
в SIEM-системах, и то, как они
l поля в User List – пользова- Предлагается использовать позволяют повысить эффектив-
ность ситуационного центра ИБ
тель, скоринг, дата; мощности SIEM-систем для в целом. Необходимость авто-
матизации процессов обработки
l поля в Host List – узел, ско- генерации части наборов дан- инцидентов ИБ является одним
из краеугольных камней в рабо-
ринг, дата. ных для обучения нейросети и те любого подразделения защи-
ты информации. Чтобы эффек-
Добавляем в правила, минимизации трудозатрат спе- тивно управлять системами
мониторинга событий ИБ,
выявляющие инциденты ИБ, циалистов по сбору и анализу необходимо перципировать
(воспринимать) и уметь задей-
действия по занесению пользо- данных. ствовать весь спектр возмож-
ностей SIEM-систем. l
вателя или хоста в соответ- SIEM-система собирает
Ваше мнение и вопросы
ствующий лист, а также ско- огромное количество событий присылайте по адресу
ринговое значение. ИБ и производит их нормализа- [email protected]
На выходе получаем, что при цию, агрегацию и корреляцию –
выявлении инцидентов в листы данная информация и будет
добавляется информация использоваться в дальнейшем.
о пользователях и хостах, фигу- Архитектура построения интег-
рирующих в инцидентах, рации заключается в настройке
а также подсчитывается скоринг SIEM-системы в части правил
по каждому пользователю корреляции, минимизации их
и хосту. ложных срабатываний и даль-
Такими действиями мы соз- нейшей выгрузке корреляцион-
даем дополнительный меха- ных событий в набор данных
низм анализа и возможности (dataset) через шину данных.
для изменения критичности Для наглядности приведем
выявления инцидентов, свя- следующий пример:
занных с тем или иным хостом 1. Мы хотим обучить матема-
или пользователем. В случае тическую модель для анализа
грамотно построенной модели доменов третьего уровня на
можно и активно реагировать предмет наличия ряда артефак-
на инциденты (например, осу- тов, которые могут быть
ществлять действия, описан- в запросе. Например, проверка
ные в начале статьи). длины доменного имени:
Применение нейросетей l длина доменного имени
Сейчас все больший оборот третьего уровня свыше 20 сим-
набирает использование мате-
матических моделей в области волов является подозрительной;
информационной безопасности,
одним из примеров которых l не человеко-читаемые слова
являются нейросети. Внедрение
нейросетей в ИБ пока носит в доменном имени представ-
скорее желательный характер,
чем обязательный, и они допол- ляют собой дополнительный
няют функционал уже суще-
признак аномалии;
l фиксация доменного имени
в репутационных базах – при-
знак инцидента ИБ.
2. Производим подключение
DNS к SIEM и настройку правил
ТЕХНОЛОГИИ
Обмани меня, если сможешь:
особенности проведения
социотехнического пентеста
Павел Супрунюк, технический руководитель Департамента аудита и консалтинга
компании Group-IB
В этой статье рассмотрим примеры социальной инженерии,
новые способы обхода защиты и варианты проверки
безопасности “самого слабого звена”.
Обыкновенный e-mail – Часть 1. он не хочет, и призывает на при таком тесте может приме-
наверное, основной транс- Why so serious? помощь Web-программиста – няться очень широкий спектр
порт для проведения соци- человека, который делал сайт атак из заранее согласованных,
альной инженерии, он при- Представьте себе и разбирается в нем, а сейчас в том числе социальная инже-
меняется уже пару десятков такую ситуацию. Холод- его администрирует. Програм- нерия. Понятно, что само раз-
лет и иногда приводит ное октябрьское утро, мист заходит на сайт, еще раз мещение кота не было конечной
к самым необычным послед- проектный институт в удаляет надоевшего кота, целью происходящего. А про-
ствиям. областном центре одно- выявляет, что его разместили изошло следующее:
го из регионов России. от имени самого отдела кадров,
Рис. 1. Кто-то из отдела кадров затем делает предположение, 1. Web-сайт института был
32 • заходит на одну из стра- что пароль отдела кадров утек размещен на сервере в самой
ниц вакансий на сайте к каким-то сетевым хулиганам, сети института, а не на сторон-
института, размещенную пару и меняет его. Кот больше них серверах.
дней назад, и видит примерно не появляется.
то, что изображено на рис. 1 2. Найдена утечка учетной
(снимки экрана здесь и далее Что произошло на самом записи отдела кадров (файл
немного заретушированы, деле? В отношении группы ком- журнала писем в корне сайта).
чтобы не раскрыть исходных паний, куда входил институт, Администрировать сайт с этой
имен). специалистами Group-IB прово- учетной записью было нельзя,
Утро быстро перестает быть дилось тестирование на про- но можно было редактировать
скучным: кто-то разместил на никновение в формате, близком страницы вакансий.
странице вакансий фотографию к Red Teaming (проще говоря,
кота. Через некоторое время это имитация целевых атак на 3. Изменяя страницы, можно
отдел кадров удаляет фото, но компанию с использованием было разместить свои скрипты
оно упорно возвращается, его самых продвинутых методов и на языке JavaScript. Обычно они
опять удаляют, и так происходит инструментов из арсенала делают страницы интерактив-
еще несколько раз. Отдел кад- хакерских группировок). О Red ными, но в данной ситуации
ров понимает, что намерения Teaming мы поговорим в отдель- этими же скриптами можно было
у кота самые серьезные, уходить ной статье, но важно знать, что похитить из браузера посетителя
то, что отличало отдел кадров
от программиста, а программи-
ста от простого посетителя, –
идентификатор сессии на сайте.
Кот был триггером атаки и кар-
тинкой для привлечения внима-
ния. На языке разметки сайтов
HTML это выглядело так: если
загрузилась картинка, JavaScript
уже исполнился, а идентифика-
тор сессии вместе с данными
о вашем браузере и IP-адресе
уже был похищен.
С похищенным идентифика-
тором сессии администратора
можно было бы получить пол-
ный доступ к сайту, размещать
исполняемые страницы на
языке PHP, а значит получить
выход в операционную систему
сервера, а затем уже и в саму
локальную сеть, что и было
важной промежуточной целью
проекта.
ТЕХНОЛОГИИ www.itsec.ru
Атака закончилась частичным Рис. 2. направлении: злоумышленник Злоумышленник может
успехом: идентификатор сессии может отправить письмо от отправить письмо от имени
администратора похитили, но тоже попадаются, довольно имени вашей компании кому- вашей компании кому-то
он был привязан к IP-адресу. частое явление. Для нас это то стороннему. Например, он стороннему. Например, он
Обойти это не удалось, мы не лучшая обратная связь по каче- может подделать счет на регу- может подделать счет на
смогли повысить привилегии на ству составления письма. лярную оплату от вашего имени, регулярную оплату от ваше-
сайте до администраторских, указав вместо ваших реквизи- го имени, указав вместо
зато повысили себе настроение. Такой успех атаки был вызван тов другие. Если не рассматри- ваших реквизитов другие.
Конечный результат в итоге тем, что при рассылке исполь- вать вопросы антифрода
получили на другом участке зовался ряд технических недо- и обналичивания средств, то В нашем отделе аудита
сетевого периметра. статков почтовой системы кли- это, вероятно, один из самых мы ради интереса считаем
ента. Она была настроена таким простых способов кражи денег приблизительную статистику
Часть 2. "Я к вам пишу – образом, что можно было при помощи социальной инже- по суммарной стоимости
чего же боле?" А еще отправлять любые письма от нерии. активов компаний, к кото-
звоню и топчусь у вас имени любого отправителя рым нами был получен
в офисе, роняя флешки самой организации без автори- Помимо похищения паролей доступ уровня "администра-
зации, даже из Интернета. через фишинг, классикой тор домена" в основном
То, что произошло в ситуации То есть было возможно притво- социотехнических атак является за счет фишинга и рассылки
с котом, – пример социальной риться CISO или начальником рассылка исполняемых вложе- исполняемых вложений.
инженерии, пусть и не совсем техподдержки, или еще кем- ний. Если эти вложения пре- В этом году она достигла
классической. На самом деле в нибудь. Более того, почтовый одолеют все средства защиты, приблизительно
этой истории событий было интерфейс, наблюдая за пись- которых у современных компа- 150 млрд евро.
больше: был и кот, и институт, мами из "своего" домена, забот- ний обычно много, образуется
и отдел кадров, и программист, ливо подставлял фотографию канал удаленного доступа • 33
но были еще и электронные из адресной книги, что добав- к компьютеру жертвы. Для
письма с уточняющими вопро- ляло натуральности отправите- демонстрации последствий
сами, которые писали якобы лю. атаки полученное удаленное
кандидаты в сам отдел кадров управление можно развивать
и лично программисту, чтобы По правде говоря, такая атака вплоть до доступа к особо важ-
спровоцировать их зайти на не относится к особо сложным ной, конфиденциальной инфор-
страницу сайта. технологиям, это удачная экс- мации. Примечательно, что
плуатация совсем базового подавляющее большинство
Кстати, о письмах. Обыкно- недочета настройки почты. Она атак, которыми всех пугают
венный e-mail – наверное, регулярно разбирается на про- СМИ, именно так и начинаются.
основной транспорт для прове- фильных ИТ- и ИБ-ресурсах, но В нашем отделе аудита мы ради
дения социальной инженерии, тем не менее до сих пор встре- интереса считаем приблизи-
он применяется уже пару десят- чаются компании, у которых все тельную статистику по суммар-
ков лет и иногда приводит к это присутствует. Поскольку ной стоимости активов компа-
самым необычным послед- никто не склонен досконально ний, к которым нами был полу-
ствиям. Следующую историю проверять служебные заголовки чен доступ уровня "администра-
мы часто рассказываем на почтового протокола SMTP, тор домена" в основном за счет
наших мероприятиях, так как письмо обычно проверяется на фишинга и рассылки исполняе-
она очень показательна. опасность по предупреждаю- мых вложений. В этом году
щим значкам интерфейса она достигла приблизительно
Обычно по результатам про- почты, которые не всегда ото- 150 млрд евро.
ектов с социальной инженерией бражают всю картину.
мы составляем статистику, кото-
рая, как известно, вещь сухая и Интересно, что подобная
скучная. Столько-то процентов уязвимость работает и в другом
получателей открыло вложение
из письма, столько-то перешло
по ссылке, а вот эти трое
вообще ввели свои логин и
пароль. В одном проекте мы
получили более 100% ввода
паролей, т.е. больше, чем разо-
слали. Произошло это так:
отправлялось фишинговое
письмо, якобы от CISO госкор-
порации, с требованием "срочно
протестировать изменения в
почтовом сервисе". Письмо
попало на руководителя круп-
ного подразделения, которое
занималось техподдержкой.
Руководитель был очень стара-
телен в исполнении поручений
от высокого начальства и пере-
слал его всем подчиненным.
Сам колл-центр оказался
довольно большим. В целом
ситуации, когда кто-то пересы-
лает "интересные" фишинговые
письма своим коллегам и те
ТЕХНОЛОГИИ
Рис. 3. Понятно, что рассылка про- опасности, такие как техниче- 1. Кто мой собеседник?
воцирующих электронных 2. Откуда возникли его пред-
В первую очередь важно писем и размещение фото- ские средства защиты инфор- ложение или просьба (никогда
обучить пользователя, объ- графий котов на сайтах – не ведь такого не было и вот
яснить, что даже в его единственные способы соци- мации, мониторинг, организа- появилось)?
рутинной работе могут воз- альной инженерии. На этих 3. Что необычного в этом
никнуть ситуации, связан- примерах мы пытались пока- ционно-правовое обеспечение запросе?
ные с социальной инжене- зать разнообразие форм Даже необычный тип шриф-
рией. атаки и их последствий. Поми- процессов, но основная часть, та письма или несвойственный
мо писем, потенциальный ата- отправителю стиль речи могут
Мы замечаем, что на кующий может звонить на наш взгляд, должна направ- запустить цепочку сомнений,
пользователей в качестве с целью получения нужной которая остановит атаку. Про-
легенд для социотехниче- информации, разбрасывать ляться на непосредственную писанные инструкции тоже
ской атаки всегда действуют носители (например, флешки) нужны, но они работают по-
темы, связанные с деньгами с исполняемыми файлами работу с сотрудниками как другому, при этом не могут
в той или иной форме, – в офисе целевой компании, конкретизировать все возмож-
обещание повышений, устраиваться на работу как самым слабым звеном. Ведь ные ситуации. Например, адми-
преференций, подарков, стажер, получать физический нистраторы ИБ пишут в них,
а также информация доступ к локальной сети под сколько ни укрепляй технику и что нельзя вводить свой
с якобы местными сплетня- видом монтажника камер пароль на сторонних ресурсах.
ми и интригами. видеонаблюдения. Все это, ни пиши суровые регламенты, А если пароль просит "свой",
кстати, примеры из наших "корпоративный" сетевой
34 • успешно завершенных про- всегда найдется пользователь, ресурс? Пользователь думает:
ектов. "В нашей компании и так есть
который откроет новый способ два десятка сервисов с единой
Часть 3. Учение – свет, учетной записью, почему бы
а неученых – тьма все сломать. Причем ни регла- не появиться еще одному?"
Отсюда вытекает еще одно
Возникает резонный вопрос: менты, ни техника не будут правило: хорошо выстроенный
ну хорошо, есть социальная рабочий процесс также прямо
инженерия, выглядит опасно, поспевать за полетом креа- влияет и на безопасность; если
а что со всем этим делать ком- соседний отдел может запро-
паниям? На помощь спешит тивности пользователя, осо- сить у вас информацию только
Капитан Очевидность: нужно письменно и только через
защищаться, причем комплекс- бенно если ему подсказывает вашего руководителя, человек
но. Некоторая часть защиты "от доверенного партнера ком-
будет направлена на уже став- квалифицированный злоумыш- пании" подавно не сможет ее
шие классическими меры без- запросить по телефону, для
ленник. вас это будет нонсенс. Осо-
бенно стоит насторожиться,
В первую очередь важно если ваш собеседник все тре-
бует все сделать прямо сейчас,
обучить пользователя, объ- или ASAP, как модно писать.
Даже в обычной работе такая
яснить, что даже в его рутин- ситуация часто не является
здоровой, а в условиях воз-
ной работе могут возникнуть можных атак – это сильный
триггер. Нет времени объ-
ситуации, связанные с соци- яснять, запускай мой файл!
Мы замечаем, что на поль-
альной инженерией. Для зователей в качестве легенд
для социотехнической атаки
наших клиентов мы часто про- всегда действуют темы, свя-
занные с деньгами в той или
водим курсы цифровой гигие- иной форме, – обещание повы-
шений, преференций, подар-
ны – мероприятие, обучающее ков, а также информация
с якобы местными сплетнями
базовым навыкам противодей- и интригами. Иначе говоря,
работают банальные "смерт-
ствия атакам в целом. Могу ные грехи": жажда наживы,
алчность и излишнее любо-
добавить, что одной из лучших пытство.
мер защиты будет вовсе не Часть 4. Проверка
на бдительность
заучивание правил информа-
Хорошее обучение всегда
ционной безопасности, должно включать практику.
Здесь на помощь могут прийти
а немного отстраненная оцен- специалисты по тестированию
на проникновение. Следующий
ка ситуации:
ТЕХНОЛОГИИ www.itsec.ru
вопрос: а что и как мы будем меется, чтобы атака не стала Эксперты компании Check Point опубликовали исто-
тестировать? Мы в Group-IB неприятным сюрпризом, ее рию хакера, который смог осуществить атаку типа
предлагаем следующий под- детали также согласуются MITM в отношении китайского венчурного фонда,
ход – сразу выбрать фокус с заказчиком. Получается пол- используя приемы социальной инженерии.
тестирования: либо оценивать ноценный тест на проникнове- Первоначально хакеру стало доступно начало пере-
готовность к атакам только ние, но в его основе будет про- писки об готовящихся инвестициях между венчур-
самих пользователей, либо же двинутая социальная инжене- ным фондом и израильским стартапом. После этого
проверять защищенность ком- рия. Логичная опция в таком хакер с помощью двух вновь зарегистрированных
пании в целом. А тестировать случае – развитие атаки внутри доменов, схожих по написанию с доменами сторон,
методами социальной инже- сети, вплоть до получения наи- смог стать посредником в их переписке.
нерии, имитируя реальные высших прав во внутренних В нужный момент хакер подменил банковские рекви-
атаки, т.е. теми же самыми системах. Кстати, схожим обра- зиты стартапа на свои, похитив таким образом
фишингом, рассылкой испол- зом мы применяем социотех- $ 1 млн.
няемых документов, звонками нические атаки и в Red Tea- Стороны направили друг другу в общей сложности
и другими техниками. ming, и в некоторых тестах на более 30 писем, но даже не заподозрили неладное.
проникновение. В результате Защититься от такой атаки можно было бы, исполь-
В первом случае атака тща- заказчик получит независимое зуя другие каналы коммуникации – звонки, личные
тельно готовится совместно комплексное видение своей встречи. И стороны в описываемой истории как раз
с представителями заказчика, защищенности от определен- пытались организовать очную встречу. Но хакер,
в основном с его ИТ- и ИБ- ного вида социотехнических редактируя проходящие через него письма, сумел
специалистами. Согласуются атак, а также демонстрацию найти убедительные доводы для отмены встречи.
легенды, инструменты и тех- эффективности (или, наоборот, Личность хакера так и осталась неизвестной.
ники атак. Заказчик сам пре- неэффективности) выстроенной
доставляет фокус-группы линии обороны от внешних в той или иной степени пренеб- Классические антивирус-
и списки пользователей для угроз. регают ради скорости работы. ные средства не будут
атаки, который включает все А некоторые настолько необхо- детектировать вредоносные
нужные контакты. Создаются Мы рекомендуем проводить димы, что без них ни одно сред- файлы при хорошо подго-
исключения на средствах такое обучение не реже двух ство защиты не спасет. товленной атаке. Наиболее
защиты, так как сообщения раз в год. Во-первых, в любой продвинутые продукты
и исполняемые нагрузки обя- компании есть текучка кадров 3. Хорошо выстроенная линия должны автоматически
зательно должны дойти до и предыдущий опыт постепенно фильтрации электронной почты. отслеживать совокупность
получателя, ведь в таком про- забывается сотрудниками. Во- Антиспам, тотальная проверка событий, происходящих
екте интерес представляет вторых, постоянно меняются вложений на наличие вредо- в сети, как на уровне
только реакция людей. Опцио- способы и техники атак, и это носного кода, в том числе дина- отдельного хоста, так и на
нально можно заложить приводит к необходимости мическое тестирование через уровне трафика внутри сети.
в атаку маркеры, по которым адаптации процессов безопас- песочницы. Хорошо подготов- В случае атак проявляются
пользователь может догадать- ности и средств защиты. ленная атака подразумевает, очень характерные цепочки
ся о том, что это и есть атака, что исполняемое вложение не событий, которые можно
например можно сделать пару Финал. Несколько будет детектироваться антиви- отследить и остановить,
орфографических ошибок спасительных лайфхаков русными средствами. Песочни- если иметь сфокусирован-
в сообщениях либо оставить ца же, наоборот, проверит все ный на события такого рода
неточности в копировании Если говорить про техниче- на себе, используя файлы так мониторинг.
фирменного стиля. По оконча- ские меры защиты от атак, то в же, как их использует человек.
нии проекта получается та наибольшей степени помогают В результате возможная вре-
самая "сухая статистика" – следующие: доносная составляющая будет
какие фокус-группы и в каком раскрыта по производимым
объеме среагировали на сце- 1. Наличие обязательной изменениям внутри песочницы.
нарии. двухфакторной аутентификации
на сервисах, которые разме- 4. Средства защиты от целе-
Во втором случае атака про- щены в Интернете. Выпускать направленных атак. Как уже
водится c нулевыми исходными в 2019 г. такие сервисы без отмечалось, классические анти-
знаниями, методом "черного систем Single Sign On, без защи- вирусные средства не будут
ящика". Мы самостоятельно ты от перебора паролей и без детектировать вредоносные
собираем информацию о ком- двухфакторной аутентификации файлы при хорошо подготов-
пании, ее сотрудниках, сетевом в компании размером от ленной атаке. Наиболее про-
периметре, формируем леген- несколько сотен человек рав- двинутые продукты должны
ды для атаки, выбираем мето- носильно открытому призыву автоматически отслеживать
ды, ищем возможные приме- "Сломай меня". Правильно совокупность событий, происхо-
няемые в целевой компании внедренная защита сделает дящих в сети, как на уровне
средства защиты, адаптируем быстрое применение похищен- отдельного хоста, так и на уров-
инструменты, составляем сце- ных паролей невозможным не трафика внутри сети. В слу-
нарии. Наши специалисты и даст время на устранение чае атак проявляются очень
используют как классические последствий фишинговой атаки. характерные цепочки событий,
методы разведки по открытым которые можно отследить
источникам (OSINT), так и про- 2. Контроль разграничения и остановить, если иметь сфо-
дукт собственной разработки доступа, минимизация прав кусированный на события тако-
Group-IB – Threat Intelligence, пользователей в системах го рода мониторинг. l
систему, которая при подготов- и соблюдение руководств по
ке к фишингу может высту- безопасной настройке продук- Ваше мнение и вопросы
пать агрегатором информации тов, которые выпускает каждый присылайте по адресу
о компании за длительный крупный производитель. Это
период, используя в том числе зачастую простые по своей [email protected]
и закрытую информацию. Разу- сути, но очень эффективные и
сложные в практической реа-
лизации меры, которыми все
• 35
ТЕХНОЛОГИИ
Как системы класса DLP помогают
выполнить требования GDPR
Ксения Головко, специалист по внешним коммуникациям Zecurion
Много сказано о соответствии общему регламенту по защите
персональных данных (GDPR), однако эта тема остается
актуальной и по сей день. Спустя год после вступления
закона в силу Европейский совет по защите данных выпустил
отчет, согласно которому было открыто более 200 тыс. дел
о нарушениях, связанных с персональными данными. Треть
всех дел связана с утечками информации, что неудивительно.
Наиболее эффективная технология борьбы с такой угрозой –
DLP-система.
Преимущество DLP- Три основные пробле- выявлять персональные данные, живать их маршрут и проводить
систем по сравнению с дру- мы, с которыми сталки- в частности персональные дан- их шифрование. Zecurion DLP
гими ИБ-решениями заклю- ваются организации: ные граждан Евросоюза. До сих использует уникальную техно-
чается в большем количе- l нет понимания, где пор многие организации не логию "криптопериметр", бла-
стве функциональных воз- хранятся конфиденци- выделяют персональные данные годаря которой файлы с персо-
можностей, позволяющих альные данные; клиентов среди другой инфор- нальными и другими конфиден-
соблюсти значительное l не установлены разграниче- мации и не всегда знают все циальными данными принуди-
число требований GDPR. ния между актуальными и уста- места их хранения. Для решения тельно шифруются, а значит
ревшими данными; этой проблемы DLP-система обеспечивается их полная
Отдельное внимание l отсутствуют возможности автоматически распознает кон- защита.
стоит уделить информации оперативного ответа на запрос фиденциальную формацию бла-
в графическом виде, осо- о данных. годаря глубокому анализу содер- Кроме того, GDPR предусмат-
бенно чувствительной С этими и другими пробле- жания пересылаемых и храни- ривает возможность передачи
к утечкам. По данным мами, вытекающими из необхо- мых файлов, это может быть персональных данных другому
Zecurion Analytics, около димости соблюдать требования и документ, отправленный по оператору, например если граж-
30% от общего числа утечек GDPR, поможет справиться электронной почте, и вложение данин запросит свои данные
приходятся на персональ- DLP-система. Ниже рассмотре- к сообщению в мессенджере, для дальнейшего обслуживания
ные данные в графическом ны ключевые требования рег- и сохраненный в облаке файл. в другой компании.
формате, это сканы паспор- ламента по защите персональ-
тов, СНИЛС, ИНН и прочих ных данных, которые можно Отдельное внимание стоит Для решения этой задачи
официальных документов. соблюсти с помощью системы уделить информации в графи- DLP-система может вести учет
защиты информации от утечек. ческом виде, особенно чувстви- всех данных, связанных с субъ-
36 • тельной к утечкам. По данным ектом. Используя архив и Web-
DLP vs другие ИБ-решения Zecurion Analytics, около 30% консоль современных DLP,
от общего числа утечек прихо- в любой момент можно узнать,
Из основных требований дятся на персональные данные кто и что именно делал с дан-
GDPR вытекает необходимость в графическом формате, это ными, где они сейчас находятся,
использования инструментов сканы паспортов, СНИЛС, ИНН а также загрузить их копию.
информационной безопасности и прочих официальных доку- Еще одно преимущество DLP –
и их глубокой интеграции ментов. В отличие от других централизованное управление
в инфраструктуру компании, как систем безопасности, DLP рас- администраторами системы,
на уровне потоков данных, так и познает текст на изображениях а не конечными пользователями
на уровне корпоративных биз- и позволяет идентифицировать или локальными администра-
нес-процессов. Преимущество их как личные данные. Все это торами из нескольких консолей.
DLP-систем по сравнению с дру- система умеет благодаря набо- Впрочем, стоит отметить, что
гими ИБ-решениями заключает- ру технологий детектирования. далеко не все DLP-системы
ся в большем количестве функ- Чем большее количество таких обладают единым Web-интер-
циональных возможностей, поз- технологий используется, тем фейсом для управления всеми
воляющих соблюсти значитель- точнее получается результат модулями.
ное число требований по работе идентификации.
с данными и их защите. Кроме Защита в режиме
того, DLP-системе не нужны Управление данными реального времени
дополнительные интеграцион- при их передаче
ные решения для полного соот- По требованию GDPR от ком-
ветствия требованиям GDPR. Данные постоянно переме- пании, работающей с данными
щаются не только в пределах граждан Евросоюза, требуется
Классификация данных компании, но и за пределами назначение DPO (Data Protection
и выявление объекта корпоративной сети, например Officer) – ответственного лица,
защиты отправляются письма партне- в обязанности которого входит
рам или поставщикам. Поэтому регулярный и систематический
Согласно GDPR необходимо в процессе перемещения пер- мониторинг действий с данными
категорировать информацию и сональных данных важно отсле- различных субъектов. Преиму-
щество DLP заключается в том,
ТЕХНОЛОГИИ www.itsec.ru
Как Zecurion DLP помогает выполнить требования GDPR
что в дополнение к непосред- Классификация данных Discovery-модуль, входящий в состав Zecurion DLP, позволяет
ственно ручной работе DPO или выявление объекта категорировать данные и выявлять места хранения конфиденциальной
система в режиме реального защиты информации в корпоративной среде
времени отслеживает передачу
данных и контролирует макси- Управление данными DLP-система Zecurion может вести учет всех данных, связанных
мальное количество каналов: и их передача с субъектом. Используя архив и Web-консоль DLP, в любой момент
конечные точки сети, в том Защита в режиме можно узнать, кто и что делал с данными и где они сейчас находятся
числе принтеры, сетевые кана- реального времени Zecurion DLP блокирует передачу конфиденциальных данных
лы и всевозможные хранилища Уведомление в режиме реального времени и уведомляет о нарушении политик ИБ
информации. И самое главное – об утечках В случае нарушения правил обработки данных Zecurion DLP
система не только помогает заблокирует нелегитимные действия и уведомит о них офицера
вести мониторинг действий, но Отчеты безопасности, останавливая потенциальную утечку на самом раннем
и реагирует на события различ- об использовании этапе. В случае возникновения инцидента администратор располагает
ными способами, начиная от подробной информацией о нем. Этого достаточно для информирования
блокировки и заканчивая тене- Право на забвение регулятора, а также для проведения расследований и выявления
вым копированием и оповеще- виновных в каждом конкретном случае
нием офицера безопасности. DLP-система позволяет отслеживать операции с данными на серверах,
рабочих станциях и ноутбуках, а также во время их передачи
Еще одной важной возмож- по каналам связи, обеспечивая защиту и пресекая попытки
ностью DLP является управле- нелегитимного использования. Архив и консоль Zecurion DLP
ние с использованием фильтра- позволяют быстро выстраивать цепочки событий, связанных
ции по атрибутам. То есть систе- с перемещением и обработкой данных
ма определяет наличие конфи- Во время хранения данные могут быть зашифрованы Zecurion Storage
денциальных данных не в Security, чтобы предотвратить несанкционированный доступ
результате анализа содержимо- к информации и безвозвратно удалить данные после окончания
го документа, а по формальным периода их обработки
признакам – отправитель, полу-
чатель, размер, тип файла или распространение. Согласно ноутбуках, а также во время их
периферийного устройства, ст. 17 данные следует удалить
время отправки или создания, также в случае, когда пропала передачи по каналам связи,
направление трафика и т.д. необходимость в их использо-
С помощью фильтрации по атри- вании. обеспечивая защиту и пресекая
бутам DLP может, например,
заблокировать переписку между DLP позволяет контролиро- попытки неправомерного
определенными сотрудниками, вать распространение персо-
передачу каких-либо типов доку- нальных данных, чтобы в случае использования. Архив и консоль
ментов или просто файлов боль- необходимости удалить их из
шого размера. Преимущество всех мест хранения. Используя DLP позволяют быстро выстраи-
такой возможности заключается DLP-систему, администратор
в прозрачности политик и про- может достаточно быстро уда- вать цепочки событий, связан-
стоте их конфигурации, в то лить данные, воспользовавшись
время как контентный анализ архивом, в котором сосредо- ных с перемещением и обра- С помощью фильтрации
является более ресурсозатрат- точена вся информация о субъ- по атрибутам DLP может,
ным процессом и может зани- екте. При этом некоторые вен- боткой данных. например, заблокировать
мать значительное время. доры DLP, в том числе Zecurion, переписку между опреде-
предоставляют возможность Заключение ленными сотрудниками,
Уведомление об утечках шифрования персональных дан- передачу каких-либо типов
ных на время их хранения, Меры по защите персональ- документов или просто фай-
По правилам GDPR быстрое чтобы предотвратить несанк- ных данных используют мно- лов большого размера.
реагирование на инциденты ционированный доступ к инфор- жество технологий, это и пред-
и уведомление об утечках ста- мации и безвозвратно удалить отвращение утечек, и шифро- DLP позволяет контроли-
новится обязательным, причем ее после окончания периода вание, и реагирование на инци- ровать распространение
оператору необходимо оценить обработки. денты, и другие. Но пока ни персональных данных,
возможные риски, связанные одно отдельно взятое решение чтобы в случае необходимо-
с "нарушением прав и свобод Отчеты об использовании не может полностью решить сти удалить их из всех мест
граждан". Сообщить об утечке задачу соответствия GDPR. Тем хранения.
необходимо и субъектам пер- Субъекты персональных дан- не менее DLP-системы обла-
сональных данных, и надзорным ных имеют право требовать от дают наиболее широким набо- • 37
органам. оператора информацию о том, ром функций, позволяющих
какие данные были им собраны, выполнить большинство требо-
В случае возникновения инци- а также где и для каких целей ваний по защите данных и рабо-
дента DLP-система заблокирует использованы. Современные те с ними. Выбирая DLP, ком-
неправомерные действия и уве- DLP-системы позволяют отсле- пания получает готовый инстру-
домит о них офицера безопас- живать операции с данными на мент для соответствия требо-
ности, останавливая таким серверах, компьютерах и ваниям регулятора, с удобным
образом потенциальную утечку интерфейсом, архивом собы-
на самом раннем этапе. тий, готовыми шаблонами
и простой настройкой. l
Удаление личных данных,
или право на забвение Ваше мнение и вопросы
присылайте по адресу
По первому обращению субъ-
екта или его представителя опе- [email protected]
ратор должен удалить данные
и предотвратить их дальнейшее
ТЕХНОЛОГИИ
Проблемы реализации концепции DevSecOps
в действующем нормативно-правовом поле
Александр Буравцов, руководитель службы информационной безопасности
компании “Новые Облачные Технологии”
Александр Мелихов, системный инженер службы информационной безопасности
компании “Новые Облачные Технологии”
В данной статье приводится анализ актуального среза
законодательно-правовых актов в сфере защиты информации
с точки зрения обеспечения безопасности процесса
непрерывной разработки и интеграции программных
продуктов в рамках реализации концепции DevOps.
В ней также рассмотрены актуальные законные акты,
проведена оценка их практический реализуемости и опреден
ряд критических вопросов, подлежащих дальнейшему анализу.
Основным фактором "дистрибуция"), а также обоб- ботка программных продуктов,
щенное понятие CI/CD. Концеп- также может стать объектом
бурного развития ция организации технологиче- исследования, а затем и атаки.
ского процесса, в которой
информационных реализуется CI/CD, получила По мере того как данное явле-
название DevOps (Development ние стало массовым, назрела
систем является опера- Operations). необходимость включить в спи-
сок объектов защиты среду не
тивное обновление про- От DevOps к DevSecOps только функционирования, но
и разработки. Так зародилась
граммного обеспечения. В основе DevOps лежит мето- концепция DevSecOps, которая
дология гибкой разработки про- основана на поддержке без-
В свою очередь, повы- граммных продуктов. Гибкость опасности системы с момента
предполагает жесткое разде- создания среды для ее разра-
шение оперативности ление полномочий между участ- ботки.
никами процесса при высокой
потребовало коренных степени автоматизации процес- В настоящий момент DevSec-
сов сборки, тестирования и раз- Ops стала трендом, набирающим
изменений в технологи- вертывания. Применение дан- все большую популярность –
ного подхода позволяет созда- проводятся семинары, конфе-
ческой цепочке про- вать масштабные программные ренции. Но полноценная реали-
продукты, делегируя задачи зация данной концепции невоз-
изводства программных производства и контроля каче- можна при противоречиях с дей-
ства сравнительно небольшим ствующим законодательством.
продуктов: темпы раз- командам специалистов, нара-
щивая по мере увеличения Актуальные
работки ускорились, уро- числа программных модулей законодательно-правовые
количество команд и перерас- акты в части защиты
вень технической осве- пределяя их полномочия. информации
домленности пользова- Основной (и на данный Прежде чем перейти к ана-
момент неразрешенной) про- лизу текущего правового поля,
теля за последние 20 лет блемой гибкой разработки следует сделать одно важное
является обеспечение безопас- замечание. Несмотря на внеш-
существенно вырос, ности производственного про- нюю новизну тренда DevSec-
цесса. Локус внимания экспер- Ops, схожие требования к про-
потребители стали тов по безопасности DevOps цессу разработки, отладки
направлен на то, чтобы не дать и развертывания программных
более ответственно потенциальному злоумышлен- продуктов применялись и ранее,
нику внести в работающую однако в основе мотивации к их
выбирать решения. При систему изменения, которые практической реализации была
приведут к изменениям в логике ненадежность аппаратного и
этом важным конкурент- обработки информации – повы- алгоритмического обеспечения.
шению привилегий доступа с Например, контроль четности
ным преимуществом последующим изменением, уда- создавался как механизм обес-
лением и/или разглашением печения гарантированной пере-
является наличие технической хранящихся в системе сведений дачи данных по каналам связи,
об объектах реального или вир- а логические ошибки в про-
поддержки и возможности туального мира. Однако сама граммном коде могли быть
среда предприятия, в рамках результатом не злого умысла,
устранять ошибки и расширять которой производится разра- но недоработкой конкретного
языка программирования (при-
функциональность программ-
ных систем в режиме непре-
рывного обновления. Возникли
такие понятия, как CI (Continu-
ous Integration – постоянная
интеграция, оперативное рас-
ширение функциональности) и
CD (Continuous Delivery – посто-
янная поставка, в значении
38 •
РАЗРАБОТКА www.itsec.ru
Реклама
мер – создание языка ADA, в правонарушениях (КоАП РФ) 1. Информационная система В настоящий момент
основе дизайна которого лежит предусмотрен перечень обще- и содержащаяся в ней инфор- DevSecOps стала трендом,
недопущение подобного рода ственно опасных деяний, свя- мация – различные сущности. набирающим все большую
ошибок). занных с разглашением либо популярность – проводятся
сокрытием информации: 2. Перечень нарушений, свя- семинары, конференции.
Законодательство, помимо l ст. 5.39. "Отказ в предостав- занных с информацией, не зави- Но полноценная реализация
основной своей функции, заклю- сит от вида ее материального данной концепции невоз-
чающейся в регулировании лении информации"; носителя, защите подлежит можна при противоречиях
общественных отношений, пред- l ст.13.11. "Нарушение законо- именно семантическая состав- с действующим законода-
ставляет собой репрезентатив- ляющая. тельством.
ный показатель зрелости того дательства Российской Феде-
или иного явления в обществе. рации в области персональ- 3. Государственная и коммер- С практической точки
В Российской Федерации зако- ных данных"; ческая тайна как объект защиты зрения наиболее удобной
нодательство в сфере защиты l ст. 13.11.1. "Распространение ассоциируются в первую оче- "точкой входа" в массив
информации стало интенсивно информации о свободных редь с организацией (государст- документации, посвященной
развиваться с середины 2000-х гг., рабочих местах или вакант- вом или частной компанией), проблематике защиты
когда многим явлениям в данной ных должностях, содержащей при этом нарушителем может информации в автоматизи-
сфере были даны определения, ограничения дискримина- стать как организация, так и рованных системах, являет-
на основе которых стало воз- ционного характера"; частное лицо. ся ГОСТ Р 57628–2017
можным вести регуляторную l ст. 13.12. "Нарушение правил "Информационная техноло-
деятельность. защиты информации"; 4. Частное лицо получило воз- гия (ИТ).
l ст.13.13. "Незаконная дея- можность отстаивать свои
Перечень основных статей тельность в области защиты права на доступ к информации, • 39
информации"; а также на защиту персональ-
На данный момент актуаль- l ст. 13.14. "Разглашение ных данных, т.е. фактически
ными и наиболее ярко обсуж- информации с ограниченным гражданин получил возмож-
даемыми стали дополнения доступом". ность быть не только защи-
о безопасности критической Виды нарушений, касающие- щающейся стороной в случае
информационной инфраструк- ся самой информации и средств конфликтов.
туры Российской Федерации, ее обработки, представлены в
фактически определяющие следующих статьях УК РФ: 5. Помимо транспортной, энер-
направление по обеспечению l ст. 272. "Неправомерный гетической и др., государство
безопасности государства в доступ к компьютерной признает существование инфор-
сфере, связанной с созданием, информации"; мационной инфраструктуры, т.е.
хранением, передачей и пре- l ст. 273. "Создание, исполь- защищаются не только физиче-
образованием информации: зование и распространение ские каналы хранения и переда-
l Федеральный закон от вредоносных компьютерных чи данных, но и семантическое
программ"; их наполнение, даже в случаях,
26 июля 2017 г. № 187-ФЗ l ст. 274. "Нарушение правил когда оно не является объектом
"О безопасности критической эксплуатации средств хране- государственной тайны.
информационной инфра- ния, обработки или передачи
структуры Российской Феде- компьютерной информации и Приведенные ранее законные
рации"; информационно-телекомму- акты представляют собой доста-
l приказ ФСТЭК России от никационных сетей"; точно общие по семантическому
25 декабря 2017 г. N 239 l ст. 274.1. "Неправомерное воз- наполнению документы, из кото-
"Об утверждении требований действие на критическую рых, однако, становится очевид-
по обеспечению безопасно- информационную инфраструк- ной их ориентация на "водопад-
сти значимых объектов кри- туру Российской Федерации". ную" модель разработки про-
тической информационной граммного обеспечения. При
инфраструктуры Российской Основные выводы этом можно условно выделить
Федерации" (в ред. приказа три группы сред, в которых суще-
ФСТЭК России от 26 марта С содержанием указанных ста- ствует программное изделие:
2019 г. № 60). тей (в актуальном состоянии)
Стоит отметить, что деятель- читателю предлагается ознако- 1) среда разработки (созда-
ность регулятора в данном кон- миться самостоятельно. Для ние, компиляция);
тексте не ограничивается – в краткости перечислим основные
Кодексе об административных выводы: 2) среда тестирования (тести-
рование и QA);
3) среда функционирования
(в которой продукт выполняет
непосредственные функции).
ТЕХНОЛОГИИ
развертывания, таких как Ansi- самое важное, негативно
ble и Puppet, позволяет с доста- влияет на производительность
точной степенью точности фик- труда.
сировать, а затем многократно
При этом в первом и втором тиражировать состояние про- Заключение
случае требования безопасно- граммно-аппаратной системы,
сти ориентированы на конкрет- что в теории должно давать В рамках статьи рассмотре-
ные виды инструментов разра- 100%-ную гарантию работоспо- ны ключевые проблемы внед-
ботчика и тестировщика без собности продукта. Предпола- рения методологии DevSecOps
учета особенностей конкретного гается также, что за счет опе- в условиях российского зако-
программного продукта. Фак- ративной массовой и центра- нодательства, при несовершен-
тически, согласно букве закона, лизованной конфигурации стве нормативно-правовой
угроза безопасности программ- будет решена проблема ухода базы и отсутствии большого
ному продукту появляется толь- компонентов системы в закри- числа прецедентов, не позво-
ко после того, как он развернут тические режимы работы и, как ляющем провести полный
в рамках программно-аппарат- следствие, исключено ложное системный анализ данного
ного комплекса. срабатывание СЗИ. Однако вида деятельности.
практика существенно отлича-
Фактически разработчик С чего начать? ется от теории. На деле, если В процессе подготовки дан-
при выборе инструментария разработка ведется разрознен- ного материала была выявлена
должен самостоятельно С практической точки зрения ными группами, возникает явная необходимость в изуче-
выстраивать модель угроз насущная проблема консоли- нии подходов к созданию кон-
таким образом, чтобы, наиболее удобной "точкой дации результатов их деятель- кретных программных продук-
с одной стороны, обеспечи- ности. тов с целью разработки типовых
вались требования DevOps входа" в массив документации, моделей угроз с учетом их
в части оперативности Еще одну существенную характерных особенностей.
внесения изменений посвященной проблематике сложность вызывает выработка
в программный продукт документации. При всех недо- При этом анализ динамики
и поставок обновлений, защиты информации в автома- статках ГОСТ и их аналогов развития индустрии позволяет
а с другой – чтобы сама грамотно выстроенный процесс с уверенностью сказать, что по
Production-система отвечала тизированных системах, являет- разработки позволяет порож- мере роста числа сотрудников,
требованиям защищенности. дать необходимую документа- занятых решением практиче-
ся ГОСТ Р 57628–2017 "Инфор- цию в процессе перехода от ских задач обеспечения без-
Еще одну существенную этапа к этапу. Причем для опасности разработки и внед-
сложность вызывает выра- мационная технология (ИТ). инженера, который только рения программных продуктов,
ботка документации. начинает знакомиться с систе- а также их общей компетенции
При всех недостатках ГОСТ Методы и средства обеспечения мой, сложность возрастает указанные проблемы будут раз-
и их аналогов грамотно линейно по мере погружения в решены.
выстроенный процесс раз- предмет исследования – от
работки позволяет порож- безопасности. Руководство по общих проблем к более част-
дать необходимую докумен- ным. К сожалению (и это под-
тацию в процессе перехода разработке профилей защиты тверждается в том числе и лич- Список литературы:
от этапа к этапу. ным опытом), в случае
и заданий по безопасности". с DevOps отсутствие формаль- 1. Вехен Дж. Безопасный
40 • ных и жестких требований
В разделе 2 "Нормативные ссыл- к оформлению документации DevOps. Эффективная эксплуа-
приводит к тому, что инженер
ки" содержится перечень ресур- получает несколько ссылок на тация систем. СПб.: Питер,
репозиторий проекта, базы зна-
сов, позволяющих разобраться ний от разработчиков, тести- 2020. – 432 с.
ровщиков, QA, техподдержки и
с установленной терминологи- маркетинга, а также трекеры 2. What is DevSecOps?
задач и ошибок, объемы печат-
ей, которая, в свою очередь, не ного текста в которых легко https://www.redhat.com/en/top-
превышают Большую Россий-
вступает в явные противоречия скую энциклопедию. При пер- ics/devops/what-is-devsecops.
вом приближении кажется, что
с принятой в индустрии. достижение максимальной пол- 3. Выписка из Примерного
ноты информации о производ-
Необходимо подчеркнуть, что ственном процессе должно спо- перечня измерительных прибо-
собствовать разностороннему
процесс разработки профилей пониманию технологического ров, испытательного оборудо-
процесса, однако на деле кон-
защиты рассматривается с точки солидация специалистов в схо- вания, программных (программ-
жих по сути, но в то же время
зрения эксплуатации системы. различных по подходам пред- но-аппаратных) средств,
метных областях (например,
Под "средой" в п. 9 "Специфика- тестирование и QA) требует необходимых для выполнения
привлечения экспертов по фор-
ция раздела "Определение про- мализации знаний. А это суще- работ в соответствующей обла-
ственно повышает стоимость
блемы безопасности" понима- процесса разработки и, что сти аккредитации в отношении
ется именно среда функциони- средств защиты информации
рования. Фактически разработ- от несанкционированного досту-
чик при выборе инструментария па и средств обеспечения без-
должен самостоятельно опасности информационных
выстраивать модель угроз таким технологий, утвержденного
образом, чтобы, с одной сторо- ФСТЭК России 10 февраля
ны, обеспечивались требования 2016 г. https://fstec.ru/compo-
DevOps в части оперативности nent/attachments/download/889.
внесения изменений в про- 4. ГОСТ Р 57628–2017 Инфор-
граммный продукт и поставок мационная технология (ИТ).
обновлений, а с другой – чтобы Методы и средства обеспечения
сама Production-система отвеча- безопасности. Руководство по
ла требованиям защищенности. разработке профилей защиты
Организация DevOps и заданий по безопасности. l
с точки зрения защиты
информации Ваше мнение и вопросы
присылайте по адресу
Применение различных
[email protected]
средств автоматизированного
КРИПТОГРАФИЯ www.itsec.ru
30 лет стандартизации
криптографических технологий в России
Григорий Маршалко, эксперт ТК 26
Дмитрий Ларин, историк криптографии
В 2019 году исполняется ровно 30 лет с момента публикации
первого российского (на тот момент советского) государственного
стандарта в области криптографической защиты информации –
ГОСТ 28147–89. В этой статье мы рассмотрим, как
за прошедшие годы изменились криптографические стандарты
в СССР, а затем в Российской Федерации.
Развитие каждой технологии мени привела к разработке оте- Криптографические
с точки зрения как ее функцио- чественного стандарта электрон- преобразования в новом
нального наполнения, так и прак- ной подписи3 ГОСТ Р 34.10-94 стандарте ГОСТ Р 34.10–
тического внедрения в опреде- и функции хеширования 2001 стали использовать
ленный момент приводит ГОСТ Р 34.11-94. операции в группе точек
к необходимости четкой форма- эллиптической кривой
лизации и нормативной фикса- Описанная в стандарте схема при сохранении общей
ции ее свойств, принципов подписи была основана на конструкции Эль-Гамаля.
и методов. В современном мире одном из вариантов широко С одной стороны, это
это делается с помощью различ- известной обобщенной схемы позволило обеспечить
ных документов нормативно-тех- Эль-Гамаля, реализованной в заданный уровень крип-
нического регулирования – стан- подгруппе мультипликативной тографической стойко-
дартов, которые могут прини- группы конечного простого поля. сти, а с другой – повы-
маться на отраслевом, государст- Характеристика поля имела раз- сить быстродействие по
венном, межгосударственном мер около 1 024 битов, порядок сравнению с преобразо-
и международном уровне. подгруппы – размер 256 бит. ваниями в конечном про-
Хеш-функция, описанная в стан- стом поле за счет исполь-
Три стандарта первого дарте ГОСТ Р 34.11-94, также зования более компакт-
поколения имела длину хеш-кода, равную ной алгебраической
256 битам. структуры. Соответствен-
Активное внедрение сетей но, в 2004 г. был обнов-
связи и необходимость органи- До начала 2000-х гг. эти три лен и межгосударствен-
зации информационного обме- стандарта первого поколения ный стандарт подписи.
на между государственными служили основой механизмов
органами потребовали в конце защиты отечественных сетей Переход на новый уровень
1980-х гг. создания соответ- связи, а также были приняты и создание ТК 26
ствующего стандарта крипто- Межгосударственным советом
графической защиты. по стандартизации, метрологии Несмотря на то что рассмот-
и сертификации в качестве ренных базовых механизмов
Разработанный документ межгосударственных стандар- достаточно для реализации
включал в себя описания блоч- тов СНГ (ГОСТ 34.310-95 защищенного взаимодействия
ного алгоритма шифрования и ГОСТ 34.311-95 соответствен- в подавляющем большинстве
с длиной входного блока но). Однако эволюция методов
64 бита и длиной ключа криптографического анализа
256 битов1, а также ряда режи- всегда требует переосмысления
мов работы данного алгоритма, используемых методов защиты
предназначенных для обеспече- и их обновления.
ния конфиденциальности и ими-
тозащиты данных2. Активное развитие методов
логарифмирования в полях
Начало 1990-х в нашей стране (прежде всего метода решета
охарактеризовалось появлени- числового поля) создавало потен-
ем рыночной экономики и раз- циальные угрозы безопасности
витием банковского сектора. схемам подписи, аналогичным
Необходимость обмена инфор- ГОСТ Р 34.10-94, что потребова-
мацией между финансовыми ло пересмотра этого стандарта.
организациями в скором вре- В 2001 г. произошла его замена.
1 ГОСТ Р 34.12–2015: чего ожидать от нового стандарта? // Information Рис. 1. Заголовок RFC 4357
Security / Информационная безопасность. – 2015. – № 4. – С. 48–50.
2 ГОСТ Р 34.13–2015: стандарт строгого режима // Information
Security / Информационная безопасность. – 2015. – № 5. – С. 36–39.
3 Российский стандарт цифровой подписи: эволюция,
современность и перспективы // Information Security /
Информационная безопасность. – 2015. – № 6. – С. 58–61.
• 41
ТЕХНОЛОГИИ
Рис. 2. Гистограмма числа наиболее значимых развитием методов криптогра- принятия в 2015 г. националь-
зарубежных публикаций по анализу алгоритма ГОСТ фического анализа привели ного стандарта ГОСТ Р 34.12–
28147-89, попытка международной стандартизации в начале второго десятилетия 2015, включающего в себя
которого была предпринята в 2010 г. ХХI века к необходимости блочный шифр из ГОСТ 28147-89
обновления сначала стандарта под новым названием "Магма"
Активное развитие мето- важных ситуаций, практические функции хеширования, а затем и вновь разработанный
дов логарифмирования в приложения требуют стандар- и блочного шифрования. 128-битный шифр "Кузнечик".
полях (прежде всего метода тизации алгоритмов и протоко- При этом режимы работы блоч-
решета числового поля) соз- лов более высоких уровней, Действительно, начало 2000-х гг. ных шифров были теперь опре-
давало потенциальные угро- в первую очередь для обеспече- ознаменовалось бурным разви- делены отдельным стандартом
зы безопасности схемам ния возможности взаимодей- тием методов криптографиче- ГОСТ Р 34.13–2015. Впослед-
подписи, аналогичным ствия различных информацион- ского анализа функций хеширо- ствии, в 2018 г., все четыре
ГОСТ Р 34.10-94, что потре- ных систем. вания: многие существовавшие новых стандарта были приняты
бовало пересмотра этого на тот момент решения, в том в качестве межгосударствен-
стандарта. В 2001 г. про- Работа по описанию крипто- числе стандарт США SHA-1, ных стандартов СНГ7.
изошла его замена. графических механизмов, были "сломаны". При этом атаки
использующих российские крип- зачастую, как в случае с MD5 и Модернизация
28 декабря 2007 г. прика- тографические стандарты, была той же SHA-1, впоследствии при- криптографических
зом Федерального агентства начата во второй половине вели к возможности построения механизмов
по техническому регулиро- 2000-х гг. рядом российских ком- практически реализуемых атак.
ванию и метрологии № 3825 паний, таких как "Крипто-Про" Одновременно экспертами
был создан Технический и "Криптоком", на площадке Не избежала успешного крип- технического комитета был про-
комитет по стандартизации Инженерного совета Интернета – тоанализа и отечественная веден большой объем работ по
"Криптографическая защита IETF. Разработанные рекомен- функция хеширования ГОСТ расширению перечня стандар-
информации" (ТК 26). дации (RFC 4357, 4490, 4491 34.11-944. И хотя предложенная тизированных криптографиче-
и т.д.) активно использовались атака, к счастью, была чисто ских механизмов. В частности,
российскими разработчиками теоретической, появилась были разработаны:
при создании СКЗИ. необходимость обновления l рекомендации
национального стандарта. Это Р 1323565.1.005–2017, описы-
Необходимость более тесного было вызвано в том числе и вающие границы на допусти-
взаимодействия разработчиков, потребностью стандартизации мый объем материала, обраба-
интеграторов и регулятора в более длинной 512-битной элек- тываемый на одном ключе, для
области криптографической тронной подписи. стандартизированных режимов
защиты информации в лице ФСБ работы блочных шифров;
России при разработке специ- В результате в 2012 г. были l рекомендации, описывающие
фикаций механизмов защищен- утверждены стандарты ГОСТ Р различные варианты функций
ного взаимодействия потребо- 34.11–2012 и ГОСТ Р 34.10– выработки производного ключа
вала создания отдельной пло- 2012, теперь включавшие в себя Р 1323565.1.022-2018 и
щадки. 28 декабря 2007 г. при- два варианта криптографиче- Р 1323565.1.017–2018;
казом Федерального агентства ских механизмов (256- и 512-бит- l функции выработки псевдо-
по техническому регулированию ные). Новая отечественная случайных последовательно-
и метрологии № 3825 был создан функция хеширования получила стей Р 1323565.1.006–2017;
Технический комитет по стан- название "Стрибог". l схемы выработки общего
дартизации "Криптографическая ключа с аутентификацией на
защита информации" (ТК 26). Проблемы алгоритма ГОСТ основе открытого ключа Р
1323565.1.004–2017, а также на
Функция хеширования: 28147-89 и принятие основе пароля Р 50.1.115–2016.
обновление национальной
и международной новых стандартов Комитетом были одобрены
стандартизации варианты представления эллип-
Чуть позже, в 2010 г., появи- тических кривых в форме
Увеличение объемов переда- Эдвардса Р 50.1.114–2016, что
ваемой информации наравне с лись теоретические атаки и на позволяет эффективнее реали-
зовывать схемы вычисления
алгоритм ГОСТ 28147-895, электронной подписи, в том
числе и на устройствах с ограни-
которые также показали опре- ченными ресурсами. Впервые
в отечественной истории были
деленную неидеальность опубликованы рекомендации
Р 1323565.1.012–2017, описы-
используемой в алгоритме кон- вающие принципы разработки
и модернизации шифровальных
струкции. При этом даже сами средств защиты информации.
Являясь аналогом широко
авторы предложенных атак известного стандарта FIPS 140-2,
эти рекомендации касаются
заявляли, что "не призывают вопросов безопасности практи-
ческих реализаций средств
пользователей алгоритма
немедленно отказываться от
его использования"6 в связи с
невозможностью построения
практических атак. Но все же
самые существенные пробле-
мы при резко возросших объе-
мах передаваемой информа-
ции представляла собой имен-
но короткая 64-битная длина
входного блока данного алго-
ритма. Это в наибольшей сте-
пени и послужило причиной
4 Mendel F., Pramstaller N., Rechberger C., Kontak M., Szmidt J. Cryptanalysis of the GOST Hash Function, 2008.
5 T. Isobe. A Single-Key Attack on the Full GOST Block Cipher, 2011.
6 I. Dinur, O. Dunkelman, A. Shamir. Improved Attacks on Full GOST.
7 ГОСТ 34.10–2018, ГОСТ 34.11–2018, ГОСТ 34.12–2018, ГОСТ 34.13–2018.
42 •
КРИПТОГРАФИЯ www.itsec.ru
защиты информации. В реко- ла вал научных публикаций
мендациях Р 1323565.1.026– с их анализом. К настоящему
2019 описан режим имитоза- моменту все основные крипто-
щищенного шифрования (т.е. графические механизмы опи-
режим шифрования, обеспечи- саны рекомендациями IETF, а
вающий одновременно конфи- два из них – схемы выработки
денциальность и имитозащиту электронной подписи и функции
данных) MGM. Без подобного хеширования – являются стан-
криптографического механизма дартами ИСО/МЭК (стандарты
невозможно представить функ- ISO/IEC 14888-3 и ISO/IEC
ционирование большинства 10118-3 соответственно).
современных криптографиче-
ских протоколов. Доказанная
эффективность российских
Вклад отечественных алгоритмов Рис. 3. Развитие национальных и
экспертов в межгосударственных стандартов в области
международную При стандартизации хеш- криптографической защиты информации
стандартизацию функции "Стрибог" Техниче-
ским комитетом по стандарти-
В 2018 г. были опубликованы зации ТК 26 при участии Ака-
демии криптографии Россий-
рекомендации Р 1323565.1.020– ской Федерации и организа-
ционной и финансовой под-
2018, описывающие отечествен- держке ОАО "ИнфоТеКС" впер- тельно короткий срок Техниче-
вые в истории российской крип- ским комитетом ТК 26 были
ный вариант протокола TLS 1.2. тографии был проведен меж- разработаны и одобрены реко-
дународный конкурс научных мендации Р 1323565.1.003–
При его создании был проана- работ по исследованию этой 2017, описывающие механизмы
хеш-функции10. Как результат, аутентификации абонентских
лизирован и учтен широкий только за первые три года устройств в сотовых сетях 3G,
появилось более 10 публика- и рекомендации по использо-
спектр угроз зарубежных вари- ций11 по ее анализу. Такое же ванию российских криптогра-
пристальное внимание привлек фических алгоритмов и прото-
антов этого протокола8, зача- и новый российский алгоритм колов в платежных системах,
блочного шифрования "Кузне- контрольно-кассовой технике и
стую приводящих к фатальным чик"12. тахографах.
уязвимостям информационных Несмотря на то что зачастую Отметим, что большая рабо- К настоящему моменту
авторы публикаций делали гро- та проводится в области стан- все основные криптографи-
систем. В этом же году органи- могласные и широко тиражи- дартизации Интернета вещей13: ческие механизмы описаны
руемые заявления о нестойко- на конец 2019 г. ТК 26 одобрил рекомендациями IETF, а два
зация IANA (Internet Assigned сти алгоритмов (как, например, три варианта низкоресурсных из них – схемы выработки
Николя Куртуа в отношении криптографических протоко- электронной подписи
Numbers Authority), управляющая ГОСТ 28147-89 или найденных лов, предназначенных для и функции хеширования –
зависимостей, которые, к слову использования в данной являются стандартами
идентификаторами и парамет- сказать, существуют в любом области. ИСО/МЭК (стандарты
криптографическом алгоритме, ISO/IEC 14888-3
рами протоколов сети Интернет, или как Лео Перрен в отноше- Задачи и перспективы и ISO/IEC 10118-3 соответ-
нии "Кузнечика"), никаких ственно).
одобрила по результатам экс- реальных уязвимостей найдено Таким образом, за 30 лет
не было, что подтвердило пра- своего существования россий- Несмотря на то что зача-
пертизы внесение российского вильность выбора принципов ские криптографические стан- стую авторы публикаций
синтеза российских алгорит- дарты претерпели множество делали громогласные
варианта данного протокола мов. изменений, подстраиваясь под и широко тиражируемые
требования рынка и реагируя заявления о нестойкости
в реестр идентификаторов9. Вызовы сегодняшнего дня на прогресс криптографической алгоритмов, никаких реаль-
науки. Сейчас перед эксперта- ных уязвимостей найдено
В этой связи нельзя не отме- В последние годы в связи с ми ТК 26 стоят новые перспек- не было, что подтвердило
массовой цифровизацией тивные направления: квантовая правильность выбора прин-
тить большую работу, прове- наступил, по всей видимости, и постквантовая криптография, ципов синтеза российских
очередной этап стандартизации защита систем искусственного алгоритмов.
денную отечественными экс- российских криптографических интеллекта и распределенных
технологий, а именно их внед- реестров. l
пертами в части международ- рение в конкретные приклад-
ные сервисы. Так, за сравни- Ваше мнение и вопросы
ной стандартизации. Кроме упо- присылайте по адресу
мянутого ранее IETF, такая дея- [email protected]
тельность идет в Международ-
ной организации по стандарти-
зации/Международной электро-
технической комиссии
(ИСО/МЭК). Это, с одной сто-
роны, позволяет создать усло-
вия по более простому взаимо-
действию отечественных
информационных систем с ино-
странными, а с другой (что
немаловажно) – обеспечивает
постоянный интерес мирового
криптографического сообще-
ства к проведению исследова-
ний российских криптографи-
ческих механизмов. Действи-
тельно, любая попытка между-
народной стандартизации алго-
ритмов автоматически вызыва-
8 См., например, Алексеев А.Е., Смышляев Е.С. Принципы построения отечественных криптонаборов для TLS 1.2.
9 https://www.iana.org/assignments/tls-parameters/tls-parameters.xhtml.
10 www.streebog.info.-
11 Лавриков И.В., Маршалко Г.Б., Рудскои В.И., Смышляев С.В., Шишкин В.А. Обзор результатов анализа хэш-функции
ГОСТ Р 34.11–2012.
12 Маршалко Г.Б., Бондаренко А.И., Агафонова А.В. Обзор результатов анализа шифра “Кузнечик".
13 Ноздрунов В.И., Семенов А.М. Подходы к криптографической защите коммуникаций в IoT и M2M // Information Security /
Информационная безопасность. –2019. – № 5. – С. 38–40.
• 43
JOB
Я, офицер информационной безопасности
Александр Севостьянов, начальник отдела защиты информации ПАО “ТМК”
Р аботник подразделения по защите информации на уровне как
рядового исполнителя, так и руководителя подразделения (он же –
офицер информационной безопасности) всегда играл ключевую
роль в защите интересов бизнеса еще со времен становления
информационной безопасности, в период 1993–2005 гг.
Конфигурация должности офицера ИБ везде разная: в наиболее
продвинутых компаниях прикладной уровень защиты информации
возлагают на сотрудника уровня специалиста, а общее управление
на начальника отдела, но встречаются случаи совмещения двух
функций в лице одного работника, что недопустимо и резко
снижает эффективность процесса.
В информационную безопасность 6. Организация противодействия втор- Пять напутствий из
попадают специалисты как из ИТ-под- жению в сетевую инфраструктуру. профессионального опыта
разделений, так и служб безопасности,
что накладывает свой отпечаток на каче- 7. Организация выявления утечек кон- Подводя итог, можно дать следующие
ство проводимой работы на местах. фиденциальной информации. рекомендации руководителям компаний,
В последнее время все чаще на рынке которые задумываются о создании про-
стали появляться готовые специалисты с 8. Администрирование средств защиты цесса информационной безопасности
дипломами и продуктовыми сертифика- информации. либо хотят его усовершенствовать:
тами (например, по SIEM-/DLP-системам)
в области информационной безопасности, 9. Выявление инцидентов информа- 1. Не стоит пытаться навешивать
однако не каждый работодатель готов ционной безопасности. дополнительный функционал по защите
обеспечить им хороший уровень оклада. информации на рядовых ИТ-сотрудни-
10. Организация проведения внутрен- ков, тем более из служб технической
"Джентельменский" набор них расследований. поддержки.
функций
11. Аналитика в области информа- 2. Разделяйте такие функции в инфор-
Несмотря на не очень высокий статус ционной безопасности. мационной безопасности, как админи-
должности, в руках офицера информа- стрирование средств защиты информа-
ционной безопасности до сих пор нахо- 12. Взаимодействие с пользователями, ции, сетевая безопасность (кибербезо-
дятся значимые по своей сути программ- в т.ч. Security awareness. пасность) и общее методологическое
ные средства защиты информационных управление процессом. Узкие специа-
систем организации, в связи с чем тре- 13. Профилактика в области инфор- листы должны отражать атаки и обес-
бования к его компетенциям постоянно мационной безопасности. печивать конфиденциальность крити-
растут не только в прикладном плане, ческой информации организации,
но и в области юриспруденции. Но этот 14. Администрирование специфических а работники в области методологии
рост не может быть бесконечным, ибо систем мониторинга событий, типа SIEM. (комплаенс) – расследовать и устранять
современное образование на уровне уязвимые места в ИТ-периметре, рабо-
прикладных наук не состоянии предо- 15. Администрирование СКЗИ. тать с персоналом и нарушителями.
ставить рынку достаточно квалифици- 16. Контроль оборота электронных
рованных специалистов, что является подписей. 3. Сначала обеспечьте подразделение
одной из основных проблем так назы- 17. Ведение отчетности. информационной безопасности самым
ваемого кадрового голода в области 18. Бюджетирование по линии инфор- необходимым комплектом программного
информационной безопасности. мационной безопасности. обеспечения и оборудования, а потом
требуйте значимого результата. Мини-
Если мы обратимся к существующему Новые акценты и компетенции мальный рекомендуемый набор – анти-
функционалу офицера ИБ, то наиболее вирусная система (включая Endpoint-
типичным будет выглядеть следующий Помимо прикладных навыков и обра- решения), ПО управления доступом,
набор выполняемых функций: зования в области ИТ, офицер ИБ дол- WAF (при необходимости), DLP-, IDS-
жен обладать достаточно развитым, как /IPS-системы, ПО инвентаризации, крип-
1. Общая методология информацион- сейчас модно говорить, эмоциональным тография, средства сетевой безопасно-
ной безопасности. интеллектом, т.е. уметь грамотно ком- сти и, разумеется, отдельное серверное
муницировать как с коллегами, так и с оборудование.
2. Организация защиты информации работниками организации независимо
специальных категорий: персональные от уровня занимаемой должности. Ведь 4. Реализуйте программы обучения и
данные, коммерческая тайна, защиты зачастую офицеру ИБ доверяется очень повышения квалификации для офицеров
объектов критической информационной чувствительная информация в части ИБ.
инфраструктуры, защита интеллекту- обеспечения ее безопасности, включая
альной собственности. коммерческую и бизнес-информацию, а 5. Наделите офицеров ИБ реальными
иногда и персональные данные вла- полномочиями по расследованию инци-
3. Защита баз данных. дельцев и акционеров. дентов с функциями пресечения право-
4. Организация антивирусной защиты нарушения. l
объекта, включая Endpoint-решения. При этом, как показывает практика,
5. Организация противодействия процесс защиты информации начинает Ваше мнение и вопросы
хакерским атакам и фишингу. постепенно встраиваться в другие, присылайте по адресу
смежные направления общей безопас-
44 • ности организации (экономическую, кад- [email protected]
ровую, объектовую), что обусловлено
высокой степенью проникновения ИТ-
сервисов и услуг во все аспекты хозяй-
ственной деятельности человека и
общества.
JOB www.itsec.ru
Эйджизм в ИБ.
Возраст работе (не) помеха
Дмитрий Богомолов, программный директор Международной школы
программирования CODDY
В озраст специалиста не является ключевым фактором для
работодателя при приеме на работу. Для любой должности
(исполнительной или руководящей) важны в первую очередь
Soft и Hard Skills кандидата, его прошлый опыт. Однако мы
можем делать некоторые прогнозы, опираясь на возраст
человека. Зачастую это приводит к возрастной
дискриминации, особенно в сфере ИТ. В данной статье мы
рассмотрим, что такое эйджизм, присутствует ли он в сфере
ИБ и какие общие представления должен иметь работодатель
о возрасте сотрудника.
Эйджизм – это возрастная дискрими- Малое количество молодых специа- Что касается специалистов ИБ, то чем
нация человека. За последние годы про- листов идет напрямую в сферу безопас- моложе специалист, тем больше он
блема эйджизма стала центральной и ности. Несмотря на то что сейчас тема будет считать, что работники организа-
затрагивает многих людей, работающих защиты данных является одной из самых ции недостаточно осведомлены в сфере
или ищущих работу в современной ИТ- актуальных, большая часть студентов информационной безопасности. Такой
индустрии. Но несмотря на то что боль- выбирают другие направления ИТ. При вывод сделала компания NTT, проведя
шой процент ИТ-специалистов считает этом пополняют сферу безопасности исследование "Как возраст влияет на
возрастную дискриминацию проблемой, специалисты другого профиля, где ИБ специалиста ИБ".
лидеры в технологической отрасли хва- является прикладным инструментом.
стаются своими предпочтениями в отно- К подобным направлениям относятся Как минимизировать возрастную
шении молодых работников. системное администрирование, адми- дискриминацию в сфере ИБ
нистрирование баз данных, тестирова-
Чем вызван высокий спрос на ние, юриспруденция. Ниже подобраны несколько практик,
более молодых членов команды? которые помогут нивелировать разницу
Таким образом, можем сделать вывод, в возрасте специалистов ИБ:
Одним из очевидных факторов является что сфера наполнена более опытными
заработная плата молодых сотрудников. специалистами с развитыми навыками 1. Предоставьте молодым сотрудникам
Более опытные специалисты, как правило, исполнения и управления. возможность высказывать свои идеи
требуют повышенной оплаты труда – они и предложения. Некоторые из них обя-
знают, чего стоят их знания. Это может Молодых сотрудников немного, но они зательно должны быть стоящими.
повлиять на выбор работодателя в пользу есть, поэтому работодателям необходи-
молодых и дешевых специалистов – мо помнить несколько фактов о про- 2. В случаях, когда молодое поколение
"голодных" выпускников и стажеров, кото- фессионалах разного возраста. не имеет достаточно навыков для выпол-
рые только начали свою карьеру либо нения тех или иных работ, проведите
имеют незначительный опыт. Расчет в Что должен знать работодатель мастер-классы или интенсивы, на кото-
данном случае идет на то, что обучение о специалистах по обе стороны рых более опытные сотрудники делятся
молодого специалиста может занять мень- возраста 30 лет своими навыками и знаниями.
ше времени, следовательно через сравни-
тельно небольшой срок он будет выпол- Как правило, молодые специалисты 3. Обеспечьте работникам возмож-
нять те же задачи дешевле. более амбициозны и проявляют большую ность иметь простую связь с руководи-
инициативу на рабочем месте. Связано телями посредством индивидуальных
Средний возраст ИТ-специалиста это прежде всего с высоким интересом взаимодействий или более официальных
в сферах программирования, тестиро- к профессии и большим желанием полу- мероприятий. Это позволит каждому
вания, эксплуатации и поддержки – чать новый опыт и знания. Таким обра- сотруднику ИБ понять вектор развития
29 лет. Как же обстоят дела в сфере ИБ зом, специалисты до 30 лет чаще пред- отдела и улучшит понимание политики
по этому вопросу? лагают внедрить в производство новые безопасности организации в целом.
системы и использовать для этого пере-
Возраст в ИБ довые инструменты. Какой вывод можно сделать о возрасте
специалиста в сфере информационной
Сфера информационной безопасности Молодые специалисты проще находят безопасности? Молодые специалисты –
не так сильно подвержена эйджизму. общий язык с коллективом, что обуслов- это в первую очередь Hi-Tech, внедрение
Здесь скорее наоборот – преобладающий ливает их ускоренную адаптацию в ком- сложных передовых систем и пентестинг.
возраст специалистов 35–40 лет. пании. При этом из-за своих убеждений Специалисты постарше – управление,
они чаще приносят деструктив при раз- обеспечение комплексной безопасности,
Согласно кадровому исследованию личных спорах и конфликтах, что может определение плана развития. l
ISC 2019 г., в области ИБ только 7% повлиять на продуктивность команды
опрошенных работников кибербезопас- в целом. И напротив, более опытные спе- Ваше мнение и вопросы
ности были моложе 29 лет, 13% – в воз- циалисты, хоть и вливаются в коллектив присылайте по адресу
расте от 30 до 34 лет, при этом средний немного дольше, ведут себя в нем адек-
возраст – 42 года. О чем могут говорить ватнее, повышая эффективность работы [email protected]
такие цифры? отдела.
• 45
JOB
Дефицит кадров в сфере ИБ
и подготовка молодых специалистов
Александр Зубарев, председатель цикловой комиссии информационной
безопасности инфокоммуникационных систем (ИБИС) АКТ (ф) СПбГУТ,
преподаватель высшей квалификационной категории
Владимир Душкевич, преподаватель факультета информационной безопасности
в GeekUniversity, образовательном портале GeekBrains, преподаватель цикловой
комиссии информационной безопасности инфокоммуникационных систем (ИБИС),
преподаватель первой квалификационной категории
В ИТ-отрасли постоянно ощущается дефицит
квалифицированных кадров – разработчиков, тестеров,
специалистов по информационной безопасности. Особенно
сильна потребность как раз в последних: по данным
исследований, около 45% российских компаний испытывают
нехватку экспертов по кибербезопасности. Это системная
проблема, которая возникла в условиях расширения фронта
кибератак на современные организации, как государственные,
так и коммерческие. В данной статье рассмотрим причины
дефицита кадров в ИБ и возможные решения этой проблемы.
Вопрос нехватки кадров актуален и является Федеральная служба по техни- ственно, студенты очень сильно зависят
для бизнеса, и для государственных ческому и экспортному контролю (ФСТЭК). от опыта и знаний преподавателя.
структур. Что касается коммерческих Она формирует контрольные цифры прие-
компаний, то, по результатам опросов, ма и передает эти данные в Министерство А здесь возникает еще одна проблема.
на большинстве предприятий над обес- просвещения и Министерство науки и выс- Дело в том, что хороший преподаватель
печением кибербезопасности работает шего образования. Текущая заявка – по ИБ должен быть экспертом в своей
1–5 человек, а 27% организаций малого 7183 вакантных бюджетных мест. области, это аксиома. Но зачем такому
и среднего бизнеса вообще не имеют в специалисту преподавать, ведь на пред-
штате экспертов этой отрасли. Более В целом дефицит кадров в ИБ обуслов- приятии он может получать гораздо
чем у половины компаний со штатом из лен не столько отсутствием специали- больше, чем в большинстве вузов или
500 сотрудников размер службы ИБ не стов по технологиям, сколько нехваткой колледжей. Получается, что в образо-
превышает пяти человек. При этом аут- узкопрофильных профессионалов. Гото- вательные учреждения идет работать
сорсинг используют лишь 20% опро- вить их как сложно, так и затратно. совсем немного профессионалов в обла-
шенных компаний, тогда как 67% не сти ИБ. В итоге страдает качество под-
задействуют внештатных специалистов Главные причины нехватки готовки студентов.
по ИБ. 81% опрошенных компаний ожи- специалистов
дает усиление кадрового голода в ИБ. Уровень подготовки
Лишь 16% считают, что спрос будет Сложность подготовки в образова- в образовательных учреждениях
удовлетворен в течение нескольких лет. тельном учреждении – одна из основных
причин нехватки специалистов по ИБ. В России программы подготовки ИБ-
В государственном секторе ситуация Студент, который учится на ИБ-специ- специалистов есть в 450 вузах и 95 кол-
также достаточно сложная. Основным альности, должен освоить большое коли- леджах, что очень немало. В большинстве
заказчиком ИБ-кадров в госсекторе чество разных технологий, которые при- случаев темы для обучения выбраны весь-
меняются для защиты компании или ма грамотно. Если открыть любой феде-
46 • государственной организации. А это ральный государственный образователь-
трудно, поскольку у образовательного ный стандарт среднего профессиональ-
учреждения далеко не всегда есть воз- ного образования в области ИБ, можно
можность приобрести необходимое обо- увидеть, что программа хорошая. Правда,
рудование и ПО, ведь бюджет большин- в стандартах не раскрываются некоторые
ства из них очень ограничен. особенности практической работы, напри-
мер обязательное к использованию про-
Кроме того, в России публикуется граммное и аппаратное обеспечение, обо-
мало хорошей обучающей технической рудование для лабораторий и т.д.
литературы по информационной без-
опасности. Образование – в первую С одной стороны, такой подход дает
очередь двусторонний процесс взаимо- колледжу или вузу возможность адап-
действия преподавателя и студента. тировать имеющееся в образовательном
Им нужно опираться на какую-то инфор- учреждении ПО и железо. Но насколько
мационную базу. Но в книгах и пособиях выбор средств для проведения занятий
постепенно упрощается подача мате- будет соответствовать требованиям
риала, в них рассматриваются макси- рынка? Здесь мы возвращаемся к вопро-
мально простые вопросы и темы. Нет и су наличия хороших преподавателей с
упора на практику: во многих случаях практическим опытом в сфере ИБ. Толь-
практических примеров в ходе теорети- ко такой специалист может справиться
ческой подготовки просто нет. Соответ- с этой задачей.
JOB www.itsec.ru
Соответственно, в тех колледжах и Третью позицию занимают техниче- образовательного процесса, если оно
вузах, где преподавателям обеспечены ские администраторы, которые защи- не очень высокое. К слову, уже сейчас
достойные условия работы (заработная щают рубежи госорганизаций и ком- реализуется распоряжение Правитель-
плата, материально-техническая база мерческих компаний в виртуальном про- ства Российской Федерации № 1632-р
и другие ресурсы), качество подготовки странстве. "Цифровая экономика Российской Феде-
специалистов можно назвать высоким. рации", которое напрямую связано
Но таких образовательных учреждений Если говорить о размере заработной с последствиями нехватки специалистов
не очень много, поэтому далеко не все платы, то он зависит от региона. В Моск- по информационной безопасности.
выпускники ИБ-специальностей имеют ве, например, это 50–150 тыс. руб.,
необходимую для работы подготовку. а в Архангельске – 30–50 тыс. руб. 2. Меры со стороны бизнеса и образо-
В среднем специалист по ИБ, работаю- вательных учреждений. Университетам
Еще один нюанс состоит в том, что щий в России, получает от 55 до стоит сотрудничать с Hi-Tech-компания-
кибербезопасность – всегда некая "над- 150 тыс. руб. ми, которые решают проблемы инфор-
стройка" над имеющимся базисом. А это мационной безопасности и связанные
справедливо и для образовательного Отрасли, которые нуждаются в хоро- с ними задачи. Уже сейчас Mail.ru Group,
учреждения. В качестве примера можно ших специалистах, – это прежде всего Яндекс, Orange, Сбербанк и другие ком-
привести направление "Сетевая без- финансовый сектор, нефтегаз, госу- пании приглашают студентов различных
опасность". Для того чтобы профессио- дарственные учреждения и телекомму- вузов на стажировку. Она заключается
нально заниматься решением вопросов никационная сфера. Спрос возникает в выполнении бизнес-задач, связанных
в этой сфере, нужно иметь четкие знания потому, что современному бизнесу и с ИБ, так что студенты получают не
о сетевых технологиях: как работает госсектору нужна защита от опасностей только теоретическую, но и практиче-
сеть, какие существуют протоколы пере- в киберпространстве, которых становит- скую подготовку.
дачи данных, какие уязвимости может ся все больше.
использовать злоумышленник и т.д. 3. Меры со стороны образовательных
Порог вхождения в кибербезопасность Дмитрий Волков, CTO компании учреждений и онлайн-курсов. Офлайн-
в значительной степени зависит от имею- Group-IB, так комментирует ситуацию: образование и онлайн-обучение стано-
щихся знаний о работе определенных "Активно используется так называемое вятся ближе друг к другу, причем формат
технологий и принципах управления ими. цифровое оружие, или кибероружие, онлайн более гибкий – здесь есть воз-
способное останавливать производ- можность актуализировать программу в
Если в колледже или вузе есть техни- ственные процессы и выводить из строя оперативном режиме. Колледжу или
ческая база, которая позволяет сети объектов критической инфраструк- вузу для этого нужно больше времени.
построить систему подготовки специа- туры и крупных коммерческих пред- Оптимальный режим обучения совре-
листов ИБ, то проблем нет. А вот если приятий. Это серьезная проблема. Арсе- менных студентов – смешанный, когда
колледж или вуз открывает новую для нал "прогосударственных" хакеров сей- академическое образование сочетается
себя специальность в этой сфере, не час периодически публикуется в откры- с практическими кейсами. В этом
имея хорошей базовой программы, тогда том доступе, и любой желающий может направлении тенденция положительная.
не стоит рассчитывать, что в таком все это скачать, настроить под себя и Все прекрасно понимают, что если не
учебном заведении студента научат начать использовать. Число кибератак внедрять передовой опыт в образова-
необходимым знаниям, умениям и навы- будет увеличиваться, и все сложнее тельный процесс, то качество подготовки
кам. К примеру, в ИБ очень многое будет атрибутировать эти атаки". не будет расти. А внедрять передовой
делается с использованием ОС Linux, опыт может исключительно преподава-
поэтому в учебном заведении должен Три способа утоления кадрового тель-практик, поэтому именно от уровня
быть серьезный специалист в данной голода в ИБ его знаний, умений и навыков в конечном
области. Если такого професисонала итоге и будет зависеть качество подго-
нет, то не нужно рассчитывать, что каче- Существует несколько путей к повы- товки специалистов.
ство подготовки будет высоким. шению уровня подготовки специалистов
в сфере кибербезопасности и одновре- Только совместные усилия государст-
В итоге складывается ситуация, когда менному снижению дефицита кадров в ва, образовательных учреждений, биз-
компаниям и госструктурам непросто этой отрасли: неса и онлайн-университетов позволят
найти хорошего претендента на вакан- повысить качество образования в сфере
сию по ИБ даже при условии большого 1. Меры со стороны государства. Воз- ИБ и сократить разрыв между потреб-
количества заявок. Например, HR-менед- можно, стоит усилить контроль за под- ностями рынка и наличными профес-
жерам "Лаборатории Касперского" для готовкой специалистов по кибербезо- сионалами. По оценкам экспертов, если
того, чтобы выявить подходящего кан- пасности в различных образовательных ситуацию не начать исправлять прямо
дидата на ИБ-должность, в некоторых учреждениях. Например, оценивать сейчас, то к 2024 г. общий дефицит ИТ-
случаях приходится проводить собесе- материально-техническую базу и новые специалистов на российском рынке
дования с 30–40 кандидатами. Анало- программы, которые собираются вводить труда достигнет 2 млн человек. l
гичная ситуация у Orange – HR-сотруд- или уже ввели. Если учебное заведение
никам этой компании необходимо про- слабо связано с высокими технологиями, Ваше мнение и вопросы
вести несколько десятков встреч с кан- то, скорее всего, оно будет выпускать присылайте по адресу
дидатами, прежде чем выбрать одного- не очень хорошо подготовленных спе-
двух. циалистов. Да и самим вузам и коллед- [email protected]
жам не помешает улучшить качество
Наиболее востребованные • 47
специальности
Самыми дефицитными на российском
рынке являются инженеры-безопасники –
специалисты, которые занимаются про-
ектированием, внедрением и настройкой
инструментов кибербезопасности.
На втором месте – аналитики, которые
изучают инструментарий злоумышлен-
ников, потенциальные и уже случив-
шиеся атаки.
НОВЫЕ ПРОДУКТЫ И УСЛУГИ
StaffCop Enterprise 4.6 l корреляция событий и перехваченных Подробная информация:
https://www.staffcop.ru/
Производитель: ООО "Атом Безопас- данных Фирма, предоставившая инфор-
ность" мацию: АТОМ БЕЗОПАСНОСТЬ, ООО
Сертификат: заявка на ФСТЭК l теневые копии файлов (StaffCop)
№ 5884 от 4 мая 2018 г.
Назначение: отправляемых/копируемых за пределы См. стр. 19
l защита от внутренних угроз инфор-
мационной безопасности, выявление компании Zecurion Camera Detector
инсайдеров и нелояльных сотрудников,
раннее обнаружение и предотвращение l мониторинг коммуникаций сотрудни- Производитель: Zecurion
угроз ИБ Назначение: модуль в рамках системы
l контроль дисциплины и продуктивно- ков для защиты информации от утечек
сти персонала, учет рабочего времени Zecurion DLP фиксирует фотографиро-
l удаленное администрирование рабо- l мониторинг и блокировка USB- вание экрана компьютера на смартфон
чих станций, аудит состояния ИТ Особенности: Zecurion Camera Detector
Особенности: устройств является уникальной разработкой
l Endpoint-решение для Windows и Возможности:
GNU/Linux в том числе Astra Linux, l мониторинг и блокировка сетевой l выявление: система выявляет фото-
macOS графирование экрана компьютера на
l поддерживает работу в любых сетевых активности смартфон за счет использования техно-
инфраструктурах, обеспечивающих под- логий машинного обучения на базе ней-
ключение от клиента к серверу, через l мониторинг и блокировка работы при- ронных сетей
VPN, NAT и другие каналы подключения l оповещение: при обнаружении
l обладает высокой скоростью анализа ложений подозрительных действий пользователя
данных и генерации отчетов Zecurion DLP позволяет своевременно
l кросс-платформенная Web-консоль l файловый мониторинг и блокировка оповестить службу информационной без-
администратора опасности о потенциальной угрозе
Возможности: файлов по цифровым меткам l архивирование: модуль фиксирует
l оповещения об утечках и инцидентах, факт фотографирования и сохраняет
нарушениях политик безопасности l функции DLP снимок в архив вместе с информацией,
l детектор аномалий поведения поль- когда и на каком компьютере были
зователей l контроль печати на принтерах обнаружены подозрительные действия
l мониторинг активности пользователей Время появления на российском
l запись с микрофонов и с колонок, рынке: июль 2019 г.
Подробная информация:
скриншоты экрана, снимки с Web- https://www.zecurion.ru/products/zgate/
camera-detector/description/
камеры Фирма, предоставившая инфор-
мацию: ZECURION
l удаленный рабочий стол, запись
См. стр. 7
видео рабочего стола на Windows
и GNU/Linux
Характеристики:
l полностью интегрированное решение,
не требует приобретения лицензий на
стороннее ПО
l серверная часть может устанавли-
ваться на Ubuntu Server 16.04 LTS на
физической, виртуальной машине или
выделенном сервере. Программа-
агент поддерживает операционные
системы: Windows 10/8/7/Vista/XP,
а также операционные системы на
базе GNU/Linux
l базы данных PostgreSQL, ClickHouse
l OLAP-технология обработки данных
Ориентировочная цена: до 4200 руб.
за 1 рабочее место
Время появления на российском
рынке: 2014 г. (первая версия StaffCop
Enterprise), ноябрь 2019 г. (StaffCop
Enterprise 4.6)
НЬЮС МЕЙКЕРЫ СПЛАЙН-ЦЕНТР, ЗАО www.zastava.ru
105005, Москва, См. ст. "О стандартах, о планах,
АТОМ БЕЗОПАСНОСТЬ, ООО (StaffCop) ул. Бауманская, 5, стр. 1 о научно-техническом потенциале"
630090, Новосибирск, просп. Коптюга, 4, Тел.: +7 (495) 580-2555 на стр. 10, 11
офис 158 E-mail: [email protected]
Тел.: +7 (499) 653-7152 www.debet.ru, сплайн.рф ZECURION
E-mail: [email protected] См. стр. 39 129164, Москва,
https://www.staffcop.ru/ Ракетный бульвар, 16
См. стр. 19 ЭЛВИС-ПЛЮС, АО Тел.: +7 (495) 221-2160
124527, Москва, Зеленоград, E-mail: [email protected]
ДИАЛОГНАУКА, АО Солнечная аллея, 6 www.zecurion.ru
117105, Москва, ул. Нагатинская, 1 Тел.: (495) 276-0211 См. стр. 7
Тел.: +7 (495) 980-6776 E-mail: [email protected]
E-mail: [email protected], www.elvis.ru
[email protected]
www.dialognauka.ru
См. cтр. 9
48 •
The words you are searching are inside this book. To get more targeted content, please make full-text search by clicking here.
infosecur-6-2019
Discover the best professional documents and content resources in AnyFlip Document Base.
Search