Cover_01 5/20/20 6:08 PM Page Cov1
www.itsec.ru
№ 2, май 2020 Издание компании
XVI МеждунарОдная выставка
Осень 2020
Спецпроект
удаленный дОступ
ЕСли бы COVID-19 был КомпьютЕрным вируСом типовыЕ ошибКи в рЕализации заКона о бЕзопаСноСти Кии КибЕрбЕзопаСноСть объЕКтов транСпортной инфраСтруКтуры Ст. 274.1 уК рф: КратКий обзор СудЕбной праКтиКи СпЕцифиКа раССлЕдования инцидЕнтов при удалЕнном доСтупЕ СЕтЕвой фЕйСКонтроль, или роль NAC в эпоху ZerOTrusT оСновныЕ опаСноСти уСтройСтв в СоСтавЕ умного дома С точКи зрЕния потрЕбитЕлЕй автоматизация пЕнтЕСта: на шаг впЕрЕди хаКЕра выбор мЕтриК для измЕрЕния эффЕКтивноСти sOC
Кирилл Солодовников
Трансформация бизнеса в условиях кризиса
IB_Jornal 5/20/20 6:06 PM Page cov2
ВСЕГДА НА РАБОЧЕМ СТОЛЕ
ПОДПИСКА 2020 Подписное агентство:
Реклама
Редакция:
monitor@groteck.ru (495) 647-04-42 д. 22-82 УРАЛ-ПРЕСС (499) 700-05-07
Preview 5/20/20 6:07 PM Page 1
www.itsec.ru
Вместо вступления Весна принесла нам новую реальность с заметным налетом киберпанка. Дистанционное обучение, удаленные рабочие совещания, заседания судов, где судья удовлетворяет запрос журналистов на подключение к видеоконференции и выдает права на создание скриншотов.
Амир Хафизов, выпускающий редактор журнала “Информационная безопасность”
Пандемия вируса COVID-19 стала главной повесткой как минимум на весь 2020 год. Любопытно, что корона этого вируса, как и у других представителей семейства коронавирусов, имитирует обычные полезные для клетки молекулы1. Таким образом здоровая клетка надежно сцепляется с короной, и происходит заражение. К слову, в сфере информационной безопасности этот механизм прекрасно известен и называется фишингом. Иммунитет к коронавирусу, как сообщают эксперты2, формируется только у людей, переболевших в относительно легкой форме. То есть у тех, кто переболел слишком легко или настолько тяжело, что организм все силы бросил на поддержание жизни, иммунитет не образуется. И тут просматривается еще одна аналогия с информационной безопасностью: те, кто не заметил кибервторжения и его последствий, не примут никаких мер для защиты в будущем. С другой стороны, те, кто потерял в процессе эпидемии часть инфраструктуры, скорее всего лишились и значительной части информации для формирования знаний о защите. Подробнее об этой аналогии читайте в статье Михаила Кондрашина. Широкий фронт работ возник у всех нас и в связи с переводом большинства офисных сотрудников на удаленный режим работы. Данная тема с разных сторон освещается в нескольких разделах настоящего номера. А ведь при этом на повестке дня остаются вопросы безопасности критической информационной инфраструктуры, ФСТЭК выпустила проект новой методики моделирования угроз, отменились все офлайн-мероприятия и остро встал вопрос офлайнозамещения привычной профессиональной активности. И хотя работа многих отраслей в стране, несмотря на поверженных печенегов и половцев, практически остановилась, в сфере информационной безопасности активность только нарастает, задавая тренд развития на ближайшие несколько лет. Здоровья вам и вашим информационным и киберсистемам!
1 2
https://russian.rt.com/russia/article/730909-vrach-infekcionist-mehanizm-zarazhenie-covid-19 https://ria.ru/20200512/1571297791.html
• 1
Contents 5/20/20 7:22 PM Page 2
СОДЕРЖАНИЕ В ФОКУСЕ Михаил Кондрашин Если бы COVID-19 был компьютерным вирусом . . . . . . . . . . . . . . . .4 Светлана Конявская
стр.
4
Самоизоляция сотрудников не защитит от заражения информационную систему . . . . . . . . . . . . . . . . . . . . . .6
Новости . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7
КИИ Константин Саматов Типовые ошибки в реализации закона о безопасности КИИ . . . . .8
стр.
23
Алексей Подмарев Кибербезопасность объектов транспортной инфраструктуры . .12
ПЕрСоНы Кирилл Солодовников Трансформация бизнеса в условиях кризиса . . . . . . . . . . . . . . . . .16
ПРАВО И НОРМАТИВЫ стр.
Анастасия Заведенская
36
обзор законодательства. Март, апрель 2020 . . . . . . . . . . . . . . . . . .18 Алексей Подмарев Краткий обзор судебной практики по применению статьи 274.1 Уголовного кодекса рФ . . . . . . . . . . . . . . . . . . . . . . . . .22
УПРАВлЕНИЕ
Алексей Лукацкий
стр.
42
Измерение эффективности SOC. Часть 1 . . . . . . . . . . . . . . . . . . . . .23 2 •
Contents 5/20/20 7:22 PM Page 3
СоДерЖание Технологии Ильяс Киреев Расследование инцидентов при удаленном доступе . . . . . . . . . . .26 Андрей Рыбин Как обеспечить обмен конфиденциальной информацией между организациями для совместной работы без риска компрометации? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28 Валерий Филин, Павел Стеблянко, Виктор Сердюк Автоматизация пентеста: на шаг впереди хакера . . . . . . . . . . . . . .30 Александр Дворянский Повышение осведомленности: we can do it . . . . . . . . . . . . . . . . . . .32 Светлана Коняская Средства обеспечения контролируемой вычислительной среды удаленного пользователя . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34 Джим Филлипофф Основные опасности устройств в составе умного дома. С чем сталкиваются потребители? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36
Журнал "Information Security/Информационная безопасность" № 2, 2020 Издание зарегистрировано в Минпечати России Свидетельство о регистрации ПИ № 77-17607 от 9 марта 2004 г. Учредитель и издатель компания "ГРОТЕК" Генеральный директор ООО "Гротек" Андрей Мирошкин Издатель Владимир Вараксин Выпускающий редактор Амир Хафизов Редакторы Светлана Хафизова Анастасия Разбойникова Корректор Галина Воронина Дизайнер-верстальщик Ольга Пирадова Группа управления заказами Татьяна Мягкова Юрисконсульт Кирилл Сухов, lawyer@groteck.ru
ЗАщитА Сетей Дмитрий Мороз Защита удаленных подключений: всерьез и надолго . . . . . . . . . .38 Яков Гродзенский Сетевой фейсконтроль, или Роль NAC в эпоху Zero Trust . . . . . . .40 Колонка редактора . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .41 РАЗРАбОтКА Дарья Орешкина Простой автоматизацией в ит уже не обойтись . . . . . . . . . . . . . . . .42
СерТификация и измерения Андрей Кондратьев О положении дел в метрологии информационной безопасности . . . . . . . . . . . . . . . . . . . . . . . . . . . . .45
Департамент продажи рекламы Зинаида Горелова, Ольга Терехова Рекламная служба Тел.: +7 (495) 647-0442, gorelova@groteck.ru Отпечатано в типографии ИП Морозов, Москва, ул. Зорге, 15 Тираж 10 000. Цена свободная Оформление подписки Тел.: +7 (495) 647-0442, www.itsec.ru Департамент по распространению Тел.: +7 (495) 647-0442, Для почты 123007, Москва, а/я 82 E-mail is@groteck.ru Web www.groteck.ru, www.itsec.ru Перепечатка допускается только по согласованию с редакцией и со ссылкой на издание За достоверность рекламных публикаций и объявлений редакция ответственности не несет
ноВЫе ПроДУкТЫ и нЬЮСмеЙкерЫ Новые продукты и услуги . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .47 Ньюсмейкеры . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48
Мнения авторов не всегда отражают точку зрения редакции © "ГРОТЕК", 2020
• 3
Kondrashin 5/20/20 6:07 PM Page 4
В ФОКУСЕ
Если бы COVID-19 был компьютерным вирусом Михаил Кондрашин, технический директор компании Trend Micro в России и СНГ
В
этой статье мы рассмотрим сходства и различия компьютерных и реальных эпидемий, выясним, какие способы защиты в информационной безопасности схожи и эффективны в сравнении со средствами для борьбы с опасной инфекцией.
Пандемия COVID-19 показывает удивительное сходство с примерами массовых эпидемий компьютерных вирусов. Налицо близкие по смыслу способы распространения и заражения, а также печальные результаты. И хотя сравнивать человеческие жизни и работоспособность компьютерных систем напрямую – не совсем корректно, есть вероятность получения хорошего опыта в борьбе с цифровой заразой. Коронавирус – это как будто вредонос-шифровальщик, который эксплуатирует уязвимость нулевого дня в человеческом организме. И патча – вакцины от этой уязвимости – пока нет.
Контроль температуры тела и экспресс-тесты на коронавирус, которые планируют делать в аэропортах, можно рассматривать как систему глубокого анализа трафика (Deep Packet Inspection, DPI).
Распространение Если сравнивать с компьютерными вредоносами, то пандемия коронавируса больше всего напоминает эпидемии WannaCry и NotPetya: l распространяется случайным образом, "перепрыгивая" на ближайший доступный объект; l наиболее уязвимым оказывается старшее поколение систем. Для WannaCry это Windows XP и Windows Server 2000, а для COVID-19 – люди старше 65 лет; l для проникновения WannaCry эксплуатирует уязвимости в протоколе SMB, а коронавирус пользуется тем, что организм большинства людей не умеет сопротивляться ему, поскольку иммунитет незнаком с новой инфекцией.
кирует возможность работы и требует выкуп. Коронавирус же не требует ничего. Однако его жертвы также утрачивают возможность нормально функционировать. Проникая в клетки организма, вирус перепрограммирует их, заставляя воспроизводить себя. Таким образом, коронавирус – это как будто вредонос-шифровальщик, который эксплуатирует уязвимость нулевого дня в человеческом организме. И патча – вакцины от этой уязвимости – пока нет. Равно как и не написан расшифровщик для заблокированных вирусом данных: эффективного лекарства, гарантирующего выздоровление заболевших, пока не создали. А теперь давайте посмотрим на инструменты, которые позволяют остановить распространение компьютерных вредоносов, эксплуатирующих проблемы, и для которых нет патчей. Сравним их с мерами, которые принимаются в реальной жизни. По ИБ-опыту, наиболее эффективными в борьбе с массовыми инфекциями оказываются: l межсетевые экраны; l карантин; l антивирус; l навыки безопасного поведения.
Разберем каждый из инструментов подробнее
Вредоносное воздействие Зашифровав файлы на пораженной системе, WannaCry бло-
4 •
Межсетевые экраны Чтобы защитить сеть предприятия от проникновения вредоносов, на границах с внешним миром устанавливают межсетевые экраны, которые контролируют трафик и пропускают лишь те пакеты, которые разрешено. Во время эпидемии WannaCry компании, сети которых были защищены межсетевыми экранами, избежали заражения. Самая близкая аналогия с межсетевыми экранами в реальном мире – это закрытие границ. Сокращение до мини-
мума всех видов пассажирских перевозок, ограничение въезда-выезда в населенных пунктах – чем не закрытие портов? Контроль температуры тела и экспресс-тесты на коронавирус, которые планируют делать в аэропортах, можно рассматривать как систему глубокого анализа трафика (Deep Packet Inspection, DPI). Процесс установки межсетевых экранов для защиты от пандемии сейчас происходит по всему миру. Страны закрывают границы, чтобы свести к минимуму проникновение инфекции, оставляя тонкий, полностью контролируемый коридор для граждан, которые не успели вернуться до установки новых правил. А чтобы в страну не проник коронавирус, их отправляют на карантин.
Карантин Если компьютерный вирус каким-то образом проникает внутрь сети, все попавшие под удар или подозрение системы отключают, чтобы вредонос не распространялся. Это позволяет спокойно разобраться с ситуацией, выяснить подробности инцидента и принять меры, чтобы защитить остальные компьютеры и серверы. Карантин в реальном мире позволяет остановить распространение инфекции путем изоляции больных и тех, кто находился с ними в контакте. Учитывая длительный инкубационный период COVID-19, несколько недель – не самая большая плата за безопасность общества.
Антивирус От заражения известными вирусами спасает установленный на устройство антивирус. Выявить и заблокировать неизвестные инфекции в некоторых случаях помогает эвристический анализатор. Однако 100% гарантии от заражения ни один разработчик антивирусов, конечно, не даст.
Kondrashin 5/20/20 6:07 PM Page 5
www.itsec.ru
В ФОКУСЕ
В каком-то смысле антивирус можно рассматривать как аналог средств индивидуальной защиты. Маска, перчатки, антисептик и мытье рук тоже снижают вероятность заразиться коронавирусом, но абсолютной гарантии не дают.
Человеческий фактор Сходство компьютерной и обычной эпидемии еще более очевидно, если изучить влияние человеческого фактора на распространение инфекции. Сравните: l беспечный сотрудник открывает вредоносное вложение в фишинговом письме, и компания Norsk Hydro лишается доступа к своим файлам, которые зашифровал вредонос LockerGoga. Убытки от атаки оцениваются в $41 млн; l 68-летний москвич c диагностированным коронавирусом приходит в Лобненскую центральную больницу, проходит по зданию, сидит в общей очереди на рентген. Вся больница и поликлиника, через которую он прошел, закрывается на карантин, а все, кто там находился вместе с больным, уходят на двухнедельную изоляцию. Легкомыслие и невнимательность во время массовых эпидемий, будь то компьютерная угроза или настоящая инфекция, – преступная небрежность, потому что слишком дорого обходятся. Необдуманный клик по фишинговому документу создает многомиллионные убытки для компании. Необдуманный визит больного в медицинское учреждение останавливает его работу, а десятки людей подвергаются риску заражения. Когда люди верят во что-то, они следуют за этой идеей. Поэтому, если социальный инжиниринг сработал, жертва послушно выполняет указания мошенника – устанавливает "обновление", открывает "важный документ" или вводит пароль на фишинговом сайте. Точно так же, поверив так называемым ковид-диссидентам или сторонникам теории заговора, люди игнорируют предупреждения вирусологов о методах предосторожности. Люди считают, что их иммунитет достаточно силен, чтобы противостоять любой заразе. А иногда и вовсе уверены, что никакой инфекции нет и вся пандемия – это заговор каких-то мировых сил.
Как остановить пандемию? Пока патч для уязвимости недоступен, а работы над расшифровщиком всё еще ведутся, то вариантов для противостояния инфекции не так много. Отказаться от использования уязвимых систем в случае реальной эпидемии невозможно, поскольку в роли систем выступают сами люди. Если "отключить всех от сети", устроив тотальный карантин, – остановится не только работа, но и сама жизнь. Обеспечить приемлемый уровень безопасности и сохранить работоспособность помогают более жесткие правила: белые списки, ограничения количества запущенных программ и разрешение на установку только тех приложений, которые имеют цифровую подпись. В переносе на реальную жизнь эти правила превращаются в пропуска для работающих, QR-коды, контроль с помощью системы распознавания лиц и штрафы для нарушителей режима. Такие непопулярные меры затрудняют привычную жизнь, но ограничивают скорость распространения инфекции, дают дополнительное время, чтобы вылечить заболевших и уменьшить количество новых заражений. Ведь в отличие от компьютеров людям недоступна такая замечательная функция, как восстановление из резервной копии. Поэтому, пока не будет разработано лекарство, нужно сдерживать рост числа заболевших. Во время компьютерных эпидемий фактором, обеспечивающим быструю победу над вирусом, обычно становится объединение усилий вендора уязвимой системы, ведущих ИБ-компаний и экспертов. К сожалению, с пандемией коронавируса каждая страна борется в одиночку. Это увеличивает сроки разработки вакцин и лекарств и приводит к тому, что итоговое количество пострадавших от болезни окажется значительно выше. Серьезная проблема как для компьютерных, так и для реальных эпидемий – это человеческий фактор. По статистике, компании, которые систематически обучают сотрудников навыкам безопасного поведения и проводят тренировки по этим навыкам, значительно реже становятся жертвами
успешных атак. Очевидно, что в новых условиях жителям всех стран придется менять свои привычки и вырабатывать навыки безопасного поведения в соответствии с рекомендациями Всемирной организации здравоохранения.
Легкомыслие и невнимательность во время массовых эпидемий, будь то ком-
Подведем итоги Если бы COVID-19 был компьютерным вирусом, остановить его распространение помог бы следующий комплекс мер: 1. Межсетевые экраны с набором строгих правил. 2. Карантин для зараженных и потенциально зараженных устройств. 3. Установка антивируса на все устройства. 4. Локальные ограничения на запуск неизвестных программ, разрешение установки только подписанных приложений, ограничение количества одновременно работающих программ. 5. Тренировка людей по навыкам безопасного поведения. 6. Объединение усилий вендора и ИБ-компаний в разработке патчей и расшифровщика для заблокированных файлов. И если первые пять пунктов в борьбе с коронавирусом вполне соответствуют лучшим ИБ-практикам, то в части координации усилий всех стран по разработке вакцин и поиску лекарств дела обстоят не лучшим образом. Возможно, объединение исследовательских лабораторий ведущих мировых держав под эгидой ВОЗ и обмен наработками позволят победить общую угрозу значительно быстрее и эффективнее. Однако данная инициатива уже не относится к сфере информационной безопасности. l
пьютерная угроза или настоящая инфекция, – преступная небрежность, потому что слишком дорого обходятся.
Во время компьютерных эпидемий фактором, обеспечивающим быструю победу над вирусом, обычно становится объединение усилий вендора уязвимой
системы, ведущих ИБком паний и экспертов. К сожалению, с пандемией коронавируса каждая страна борется в одиночку.
Серьезная проблема как для компьютерных, так и для реальных эпидемий – это человеческий фактор. По статистике, компании, которые систематически обучают сотрудников навыкам безопасного поведения и проводят тренировки по этим навыкам, значительно реже становятся жертвами успешных атак.
Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
• 5
sapr_red 5/20/20 6:07 PM Page 6
В ФОКУСЕ
САМОИЗОЛЯЦИЯ НЕ ЗАЩИТИТ ОТ ЗАРАЖЕНИЯ информационную систему Светлана Конявская, заместитель генерального директора ЗАО “ОКБ САПР", к.ф.н.
Ж
изнь давно научила нас гибко реагировать на изменения ситуации. Поэтому, как только возникла необходимость удаленной работы в системах, в которых это было до сих пор не предусмотрено, в специализированных журналах и сетевых СМИ сразу появилась масса предложений по организации удаленной работы, в том числе защищенной. Это целый новый рынок, и, хотя все надеются, что просуществует он недолго, было бы нерационально не обратить на него внимание.
К счастью, почти все понимают, что удаленная работа сотрудников с ресурсами системы, если она производится с использованием их домашних компьютеров, ноутбуков, личных планшетов и смартфонов, несет в себе угрозы безопасности системы. Но в качестве решения этой проблемы предлагаются практически исключительно средства защиты канала и средства идентификации и аутентификации пользователей (в формфакторах, позволяющих использовать их, например, на iPad). Применение этих средств при организации доступа к ресурсам информационной системы (ИС) с неконтролируемых устройств сотрудника дает только один эффект – безосновательной самоуспокоенности. Защитного эффекта они не дают, если не защищено СВТ, с которого осуществляется доступ.
Мобильные рабочие места Наиболее остро вопрос необходимости защиты клиентского СВТ стоит для органов государственной власти и местного самоуправления, которым необходимо обеспечить защищенный удаленный доступ сотрудников к ресурсам государственных и ведомственных ИС, в том числе для выполнения операций, связанных с применением криптографических средств. Планшеты, на которых не установлено средство доверенной загрузки, сертифицированное ФСБ России как АПМДЗ, нельзя использовать для этих операций – это прямо противоречит требованиям регулятора. Но в стандартные планшеты зарубежного производства невозможно установить АПМДЗ, это объективное ограничение их конструкции. Эффективность работы сотрудников среднего и высшего звена при использовании таких планшетов существенно снижается. Однако существует отечественный планшет с хорошими характеристиками и встроенным АПМДЗ класса 1Б1. Для органов государственной власти и местного самоуправления нормальным решением является оснащение сотрудников такими
мобильными рабочими местами. Но оно не может считаться приемлемым для всех без исключения организаций, вынужденных сейчас перейти на удаленную работу: приобрести защищенные планшеты для сотрудников могут далеко не все.
Домашние компьютеры В то же время ограничиться установкой VPN-клиента на домашние компьютеры сотрудников – значит создать защищенный канал доставки в ИС организации как минимум вирусов. А ведь незащищенный компьютер на входе в систему – это еще и гостеприимно раскрытая дверь для хакера: он тоже сможет войти в вашу систему по защищенному каналу, ведь взять под контроль домашний компьютер абсолютного большинства пользователей совсем несложно. Умалчивать об этом неприемлемо, однако это происходит. Причина не только в недобросовестности, но еще и в том, что защиту личных устройств принято считать нерешаемой проблемой. Оснастить домашние компьютеры комплектом всех необходимых средств защиты, с одной стороны, непомерно дорого, а с другой – это наложит на пользователя огромное количество ограничений, с которыми на своем собственном личном устройстве никто, как правило, не намерен мириться. Более того, совершенно невозможно ожидать, что средства защиты информации на домашних компьютерах, даже если они там окажутся, будут как следует настроены, да еще и постоянно.
Доверенный сеанс связи Уже много лет существует технология, позволяющая использовать недоверенный компьютер для удаленного доступа к защищенной ИС. Технология называется "доверенный сеанс связи"2 (ДСС) и базируется на том, что для случаев, когда компьютер постоянно работает в незащищенном режиме и только периодически должен использоваться в защищенном (но защи-
щенном надежно), загрузка среды для доступа к защищенной ИС должна производиться из физически изолированной от основного компьютера памяти, недоступной для изменения. Если в составе загружаемой среды есть преднастроенные средства защиты (МЭ, VPN, средство разграничения доступа), загрузка производится из защищенной от записи памяти, жесткий диск компьютера не используется, конфигурация загруженной ОС максимально ограничивает свободу пользователя (ему недоступны органы управления ОС, рабочая среда полностью изолирована от посторонних сетевых соединений, открытый трафик отсутствует, а после завершения работы в браузере сеанс связи завершается, не давая пользователю делать ничего лишнего), то создаются все предпосылки для безопасной для ИС удаленной работы с ее ресурсами. По завершении работы в ИС организации пользователь отключает средство обеспечения доверенного сеанса связи, перезагружает компьютер и без ограничений пользуется всеми небезопасными ресурсами, которыми хочет и привык.
Когда плюсы перевешивают минусы Технология ДСС создает пользователю некоторое неудобство: нужно перезагружаться для смены сеанса. Однако это несравнимо с неудобствами, накладываемыми полным комплектом защиты, создающим такой же уровень защищенности для ПК. И столь же существенно различие их стоимости: средство обеспечения ДСС стоит ориентировочно в два раза меньше, чем комплект стационарной защиты, и в пять раз меньше, чем защищенный планшет. Цены, конечно, нужно уточнять у поставщика, и зависят они от конкретной ОС, СКЗИ и многого другого, но это уже не предмет данной статьи. l Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
1 Конявская С.В. “Очевидное-невероятное” версии 2020 года: планшет “СКЗИ ready”// Information Security (Информационная безопасность). 2020. № 1. С. 33. 2 Конявский В.А. Серебряная пуля для хакера // Защита информации. INSIDE. 2013. № 4. С. 54–56. Конявский В.А. Серебряная пуля для хакера (Окончание) // Защита информации. INSIDE. 2013. № 5. С. 69–73.
6 •
Dialognauka_news 5/20/20 6:07 PM Page 7
www.itsec.ru
НОВОСТИ
"ДиалогНаука" завершила для ГУП "Москоллектор" серию проектов в области информационной безопасности ГУП "Москоллектор" – специализированное предприятие топливно-энергетического хозяйства города Москвы по эксплуатации коммуникационных коллекторов. С марта 2017 г. ГУП "Москоллектор" подчиняется Департаменту жилищно-коммунального хозяйства города Москвы. Соответствие всем требованиям законодательства РФ для компании такого уровня, как ГУП "Москоллектор", является одной из первостепенных задач. "ДиалогНаука" реализовала целый комплекс проектов, направленных на повышение уровня информационной безопасности ГУП "Москоллектор". Для получения независимой и объективной оценки текущего состояния защиты предприятия от угроз со стороны потенциальных злоумышленников было проведено тестирование на проникновение по моделям внешнего и внутреннего нарушителя. Были смоделированы атаки, направленные на выявление организационных, эксплуатационных и технологических уязвимостей в инфраструктуре ГУП "Москоллектор". По результатам тестов на проникновение консультанты "ДиалогНауки" подготовили отчеты, включающие в себя описание границ аудита, использованных методов и средств, перечень выявленных уязвимостей и недостатков, ранжированных по уровню риска их использования потенциальными злоумышленниками. Были описаны предпринятые сценарии проникновения и достигнутые результаты, проведена оценка рисков ИБ и процессов обеспечения ИБ предприятия. Специалисты "ДиалогНауки" дали рекомендации по устранению выявленных уязвимостей и совершенствованию процессов обеспечения ИБ. Был выполнен анализ в соответствии с требованиями ФЗ "О персональных данных" внутренних организационно-распо-
рядительных документов предприятия, регламентирующих порядок обработки и защиты ПДн, определен перечень ПДн и подсистем ИСПДн, подлежащих защите, определены используемые средства защиты информации (СЗИ) и степени участия персонала в обработке ПДн, а также характер взаимодействия с персоналом, ответственным за обеспечение безопасности ПДн. По итогам проекта был составлен подробный отчет о результатах обследования. Для оценки текущего состояния системы обеспечения информационной безопасности (СОИБ) предприятия и формирования рекомендаций по дальнейшему развитию СОИБ специалисты "ДиалогНауки" проанализировали процессы управления и обеспечения информационной безопасности. В рамках этого проекта они провели независимую объективную оценку текущего уровня СОИБ, анализ существующих процессов обеспечения ИБ и оценку текущего уровня зрелости СОИБ. В завершение консультанты разработали рекомендации по повышению уровня ИБ предприятия и достижению целевого уровня ИБ. В рамках работ по предварительному категорированию объектов критической информационной инфраструктуры ГУП "Москоллектор" в соответствии с требованиями 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" было проведено установление принадлежности предприятия к субъектам критической информационной инфраструктуры, а также уточнение перечня объектов КИИ, подлежащих категорированию. После обоснования необходимости присвоения объектам КИИ одной из категорий значимости (или подтверждения отсутствия необходимости присвоения им одной из таких категорий) было проведено предварительное категорирование объектов КИИ. l
Skolkovo Cybersecurity Challenge
S
kolkovo Cybersecurity Challenge – это международный конкурс инновационных проектов, направленных на защиту мира от киберугроз. Участие в конкурсе позволяет стартапам и коллективам разработчиков получить финансирование для реализации технологии, воспользоваться рекомендациями ведущих экспертов отрасли, найти партнеров, клиентов, создать компанию, которая может стать будущим лидером отрасли. На вопросы нашего журнала ответил Михаил Стюгин, руководитель направления Информационная безопасность кластера информационных технологий Фонда "Сколково".
– Михаил, стартапов по тематике ИБ в России становится больше? – ИБ-стартапов, как и в целом ИТ-стартапов, становится больше. За три года проведения конкурса количество заявок росло в прогрессии 60–80–120. Сложно прогнозировать количество участников в этом году, так как пандемия отчасти повлияла и на сам конкурс, и на приоритеты в деятельности компаний. – Как увязывается тематика стартапов с глобальными трендами: есть соответствие или расхождение, опережение или отставание? – В целом есть соответствие. Я бы даже сказал, что тематика именно тех стартапов, которые находятся в стадии до MVP (минимально жизнеспособный продукт), соответствует глобальным трендам, а проекты в стадии MVP+ (продукты,
вышедшие на рынок) – уже не соответствуют. Среди новых, еще не представленных на рынке решений мы видим больше соответствия мировым трендам: поведенческая аналитика, искусственные иммунные системы, защита блокчейн-решений (или на основе блокчейн-решений), различные решения сегментации и разделения ресурсов, процессов, потоков и пр. – Рискованно ли заказчикам строить долгосрочные отношения со стартапами? Как это зависит от этапа их развития? – Смотря для кого и в каких решениях. К примеру, банк из топ-10, конечно, не будет покупать решение без большого количества референсов – для него это риски. Но если решение представляет собой дополнительный сервис для снижения рисков и издержек или позиционируется как новая бизнесмодель, то сотрудничество возможно. l
• 7
Samatov 5/20/20 6:07 PM Page 8
В ФОКУСЕ
Практические рекомендации для реализации требований 187-ФЗ Константин Саматов, эксперт по кибербезопасности Уральского центра систем безопасности, член правления Ассоциации руководителей служб информационной безопасности, преподаватель дисциплин информационной безопасности в УрГЭУ и УРТК им. А.С. Попова
П
Приступать к реализации 187-ФЗ необходимо с анализа учредительных доку-
рошло более двух лет с момента вступления в силу Федерального закона от 26.07.2017 № 187-ФЗ “О безопасности критической информационной инфраструктуры Российской Федерации" 1 (01.01.2018), но до сих пор далеко не все организации могут похвастаться успешным исполнением его требований. Почему так происходит, что нужно делать и какие возникают ошибки, – об этом пойдет речь в данной статье.
Первое, что сразу бросается в глаза при анализе дорожной карты, – это разделение категорирования объектов КИИ на два самостоятельных этапа. На самом деле большинство субъектов КИИ действительно так и делают: создают комиссию, начинают процедуру категорирования, а затем выясняют, что к субъектам КИИ они не относятся.
нирует ли организация (государственный орган, учреждение) в одной из перечисленных в законе сферах. Иными словами, первым этапом является не категорирование, а "самоидентификация" в качестве субъекта КИИ, после которой далее будет логичным шагом создание комиссии и проведение процедуры категорирования. Если в ходе "самоидентификации" установлено, что организация функционирует в одной из 122 сфер, целесообразно разработать дорожную карту по реализации в организации требований 187-ФЗ3 . Следует отметить, что дорожная карта не является планом проекта, а представляет собой некий прогноз действий, которые могут привести к достижению цели, следовательно разрабатывается именно в начале пути, а не в середине, как указано на рис. 1. После проведения процедуры категорирования нужно разработать план проекта создания системы обеспечения информационной безопасности (СОИБ) объектов (значимых объектов) КИИ с указанием результата, сроков и ресурсов.
Не забывайте про самоидентификацию
Не торопитесь с разработкой моделей угроз
Приступать к реализации 187-ФЗ необходимо с анализа учредительных документов и определения, функцио-
Еще одной характерной ошибкой является разработка моделей угроз на этапе категорирования. На этом этапе нужно
На практике специалисты, занимающиеся обеспечением безопасности объектов критической информационной инфраструктуры, рисуют приблизительно следующую картину (дорожную карту) по выполнению требований действующего законодательства в указанной сфере (см. рис. 1). Пример взят из практической деятельности автора, в связи с чем и предлагается рассмотреть ошибки в реализации требований 187-ФЗ, взяв за основу данный кейс.
ментов и определения, функционирует ли организация в одной из перечисленных в законе сферах.
Следует отметить, что дорожная карта не является планом проекта, а представляет собой некий прогноз действий, которые могут привести к достижению цели, следовательно разра-
Типовые ошибки и основные этапы в реализации дорожной карты
батывается именно в начале пути.
выполнить анализ угроз безопасности и возможных действий нарушителей (см. пп. "г", "д" п. 14 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации (утв. постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127), результаты которого отражаются в разд. 6 Сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости, либо об отсутствии необходимости присвоения ему одной из таких категорий. Разработка моделей угроз осуществляется на этапе создания СОИБ объектов (значимых объектов) КИИ (см. п. 11 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации (утв. приказом ФСТЭК России от 25 декабря 2017 г. № 239), который начинается с установления требований к обеспечению безопасности объекта (значимого объекта) КИИ (см. п. 10 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации) и формирования технического задания. На основе технического задания, с учетом моделей угроз и нарушителей, про-
1 Далее по тексту вместо полного названия – Федеральный закон от 26.07.2017 № 187-ФЗ “О безопасности критической информационной инфраструктуры Российской Федерации" – используется сокращение “187-ФЗ", вместо “критическая информационная инфраструктура" используется сокращение “КИИ". 2 Порядок ведения реестра значимых объектов КИИ (утв. приказом ФСТЭК России от 6 декабря 2017 г. № 227) выделяет 12 сфер. 3 С учетом принятых во исполнение данного федерального закона подзаконных нормативно-правовых актов.
8 •
Samatov 5/20/20 6:07 PM Page 9
www.itsec.ru
КИИ
Таблица 1. Процессы обеспечения функционирования СОИБ изводится проектирование СОИБ (технический проект), а также разработка рабочей (эксплуатационной) документации. На этом заканчивается техническое проектирование и начинается внедрение организационных и технических мер СОИБ: установка и настройка средств защиты информации; разработка организационнораспорядительных документов; предварительные, опытные и приемочные испытания; ввод в эксплуатацию.
Взаимодействие с ГосСОПКА Отдельным этапом следует выделить взаимодействие с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информа-
Наименование процесса
Описание основных действий
Планирование
Ежегодное планирование мероприятий по обеспечению информационной безопасности. Отдельное планирование мероприятий по повышению осведомленности персонала (рекомендация автора)
Осуществление
Реализация мероприятий в соответствии с планом
Проверка
Мониторинг состояния информационной безопасности (постоянный)
(мониторинг и контроль)
Периодические аудиты (не реже чем раз в три года, лучше раз в год)
Действие
Совершенствование процессов обеспечения информационной
(совершенствование)
безопасности, повышение их зрелости
ционные ресурсы Российской Федерации (ГосСОПКА), так как: l его обязаны осуществлять в том числе и те субъекты, у которых нет значимых объектов КИИ и которые приняли решение не создавать СОИБ (субъект КИИ
может принять решение о создании СОИБ в том числе и для объектов КИИ, не имеющих категории значимости); l оно может осуществляться и без интеграции с технической инфраструктурой Национального координационного центра по
Рис. 1. Дорожная карта глазами субъекта КИИ
• 9
Samatov 5/20/20 6:07 PM Page 10
В ФОКУСЕ
Таблица 2. Этапы реализации требований 187-ФЗ №
Название
п/п
этапа
1
Идентификация
Разрабатываемые документы Дорожная карта реализации требований 187-ФЗ
в качестве субъекта КИИ 2
Категорирование
Приказ о создании постоянно действующей комиссии по категорированию Перечень объектов КИИ, подлежащих категорированию Акты по результатам категорирования Сведения о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий
3
Создание СОИБ
План проекта создания СОИБ (рекомендация автора)
объектов
Техническое задание на создание СОИБ
(значимых
Модели угроз и нарушителей
объектов) КИИ
Технический проект СОИБ Рабочая (эксплуатационная) документация Организационно-распорядительные документы (так называемые нулевые меры) Состава мер по обеспечению безопасности для значимого объекта соответствующей категории значимости) Акты установки и настройки средств защиты информации Акты о приемке в опытную эксплуатацию, о завершении опытной эксплуатации, о приемке в постоянную эксплуатацию
Взаимодействие
Регламент правил и процедур реагирования на компьютерные инциденты
с ГосСОПКА
Положение о корпоративном ведомственном центре ГосСОПКА Соглашение о взаимодействии с ФСБ России (ФинЦЕРТ) Иные организационно-распорядительные документы, регламентирующие деятельность ведомственного (корпоративного) центра ГосСОПКА
4
Обеспечение
План мероприятий (годовой) по обеспечению информационной безопасности
безопасности
Планы мероприятий по повышению осведомленности персонала
объекта
(рекомендация автора)
(значимого
Отчеты об аудитах и проделанных работах (включая рекомендации)
объекта) КИИ в ходе его эксплуатации 5
компьютерным инцидентам (на сегодняшний день); l набор мероприятий может быть различным: от простого внесения изменений в регламент по реагированию на инциденты информационной безопасности до создания целой структуры – корпоративного (ведомственного) центра ГосСОПКА. Поэтому взаимодействие с ГосСОПКА необходимо рассматривать как отдельный этап, идущий параллельно созданию СОИБ4.
Обеспечение
Акты передачи носителей информации на архивное хранение
безопасности
Акты уничтожения информации и носителей информации
объекта (значимого
Планирование (Plan) – Осуществление (Do) – Проверка (Check) – Действие (Act) Следующим этапом в реализации требований 187-ФЗ является обеспечение безопасности объекта (значимого объекта) КИИ в ходе его эксплуатации. На данном этапе заканчивается проект создания СОИБ и начинаются процессы обеспечения ее функционирования, а соответственно меняются и подходы. Так, Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации обязуют субъекта КИИ применять модель "Планирование (Plan) – Осуществление (Do) – Проверка (Check) – Действие (Act)" (PDCA) для обеспечения безопасности в ходе эксплуатации. Иными словами, субъект КИИ должен внедрить (интегрировать в бизнес-процессы организации) данные процессы в соответствии с требованиями, утвержденными приказами ФСТЭК России от 21 декабря 2017 г. № 235 и от 25 декабря 2017 г. № 239. Ну и нельзя не отметить, что на рис. 1 полностью отсутствует этап вывода объекта КИИ из эксплуатации. На первый взгляд, это очевидно: стоит задача что-то создать (построить), а не ликвидировать. Но для целостного видения картины учесть данный этап все же необходимо.
объекта) КИИ при выводе
Выводы
его из
Подводя итоги, можно выделить следующие этапы в реализации требований 187-ФЗ (см. табл. 2). l
эксплуатации
4
Подробнее об организации взаимодействия с ГосСОПКА можно прочитать в статье автора: “Проблемные вопросы взаимодействия с ГосСОПКА" // Information Security/Информационная безопасность.2019. №4.
10 •
Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
Реклама
Dialognauka 5/20/20 6:06 PM Page 11
Podmarev 5/20/20 6:07 PM Page 12
В ФОКУСЕ
Почему субъекты транспортной инфраструктуры задерживают исполнение закона о КИИ Алексей Подмарев, CISO Сирена-Трэвел
А
Система может быть классической ИС и не выполнять специализированных функций, явно относящихся к данной сфере, но при этом обеспечивать реализацию критических для рассматриваемой сферы процессов. Примерами могут служить системы контроля и управления доступом (СКУД) или видеонаблюдения в аэропорту.
ктуальность и своевременность вопросов защиты информационной инфраструктуры в сфере транспорта ускорили процесс принятия закона о безопасности критической информационной инфраструктуры. Сбой в работе или выход из-под контроля ПО, управляющего, например, работой железной дороги или авиалиний, может привести к трагическим последствиям. Руководитель организации в случае серьезного инцидента, который повлек за собой причинение вреда здоровью людей, может быть привлечен не только к административной, но и к уголовной ответственности.
Все участники транспортной инфраструктуры потенциально являются субъектами критической информационной инфраструктуры, поскольку подпадают под действие Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" от 26.07.2017 г. № 187-ФЗ (далее – 187-ФЗ) на основании принадлежности к сфере деятельности. Закон определил понятие термина – критическая информационная инфраструктура (КИИ), выделил ее субъекты, значимые объекты и способы их защиты. Объекты КИИ – это информационные системы (ИС), информационно-телекоммуникационные сети (ИТКС) и автоматизированные системы управления (АСУ) субъектов КИИ. Требования к проведению инвентаризации и категорирование систем в соответствии с 187-ФЗ содержатся в постановлении Правительства РФ от 08.02.2018 г. № 127 "Об утвер1
ждении показателей критериев значимости объектов КИИ РФ и их значений, а также порядка и сроков осуществления их категорирования" (127-ПП). Согласно базовым документам, в отношении принадлежащих субъектам КИИ на праве собственности, аренды или ином законном основании объектов КИИ должны проводиться следующие работы: 1. Создание комиссии по категорированию, составление перечня объектов КИИ и его согласование, категорирование объектов КИИ и информирование ФСТЭК1. 2. Разработка мероприятий по взаимодействию с ФСБ России. Организация взаимодействия с ФСБ России (НКЦКИ). Разработка плана реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак2. 3. Создание системы безопасности значимых объектов КИИ3. 4. Обеспечение безопасности значимого объекта КИИ в ходе его эксплуатации4.
127-ПП, п. 11. 187-ФЗ (ст. 9, ч. 2, п. 1), Приказ ФСБ России № 367, Приказ ФСБ России №282, п. 6, 7, 8, 9, Приказ ФСБ России № 367, Приказ ФСБ России № 368. 3 187-ФЗ (ст. 10, ч. 1), Приказ ФСТЭК России № 235 (раздел II, п. 8, 9, 10), Приказ ФСТЭК России № 239, раздел II, п. 10 и 11.1, Приказ ФСТЭК России № 235, п. 25. 4 Приказ ФСТЭК России № 239, раздел II, п. 13. 2
12 •
Если организация явно относится к сфере деятельности из перечня, который приведен в 187-ФЗ, она считается субъектом КИИ и составляет перечень своих объектов КИИ. Далее, уже в процессе категорирования, каждый объект (ИС, ИТКС или АСУ), если он явно или косвенно обеспечивает реализацию функций, относящихся к деятельности организации в рамках рассматриваемой сферы, должен быть отнесен к той или иной категории значимости. В этом случае система может быть классической ИС и не выполнять специализированных функций, явно относящихся к данной сфере, но при этом обеспечивать реализацию критических для рассматриваемой сферы процессов. Примерами могут служить системы контроля и управления доступом (СКУД) или видеонаблюдения в аэропорту. Так или иначе, но всем предприятиям, функционирующим в сфере транспорта, нужно создавать и поддерживать эффективные системы безопасности, а также
Podmarev 5/20/20 6:07 PM Page 13
www.itsec.ru
КИИ
провести некоторое количество дорогостоящих и продолжительных по времени мероприятий. Помимо основных регуляторов, указанных в федеральном законе, есть еще отраслевой регулятор – Минтранс России. Поэтому процесс согласования критериев, объектов и результатов категорирования будет многоэтапным. Минтрансом создана комиссия по согласованию перечней объектов у подведомственных организаций. Представители отрасли обязаны провести инвентаризацию ИС, ИТКС и АСУ, составить перечень объектов КИИ, подлежащих категорированию, и направить в Минтранс. Принятое комиссией решение о согласовании перечней объектов КИИ, подведомственных Минтрансу России служб, агентств, предприятий, учреждений и организаций, направляется соответствующему субъекту критической информационной инфраструктуры. Согласно 127-ПП, категории присваиваются объекту (ИС, АСУ, ИТКС), если он задействован в автоматизации процесса, нарушение или прекращение которого может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка. Однако часто владелец процесса и владелец ИС – разные юридические лица. Инвенторные системы бронирования, системы регистрации пассажиров и багажа, автоматизированные распределительные (дистрибутивные) системы, системы взаиморасчетов, да и простые, привычные уже для всех облачные сервисы не передаются клиенту даже на правах аренды, но обеспечивают ему функционирование процессов. Предусмотрена совместная оценка лишь в случае зависимости одного объекта КИИ от другого: "оценка проводится по совокупному масштабу возможных последствий от нарушения или прекращения функционирования всех взаимозависимых процессов". Границы объекта КИИ просто не позволяют оценивать ущерб, который может быть нанесен инфраструктуре или процессам других компаний. Соответственно, оценка масштаба возможных последствий, предусмот-
ренная пп. "е" п. 14 Правил категорирования (127-ПП), которая проводится исходя из предположения о прекращении или нарушении функционирования вследствие компьютерной атаки на объект критической информационной инфраструктуры, от которого зависит оцениваемый объект, не может быть выполнена в полном объеме. Типовые варианты комбинаций для категорирования: l организация осуществляет деятельность в сфере транспорта, но ее процессы вообще не автоматизированы, и организация не имеет свои ИС; l организация осуществляет деятельность в сфере транспорта, но не имеет свои ИС и пользуется услугами подрядчика; l организация осуществляет деятельность в сфере транспорта и имеет собственные ИС либо использует чужие на законных основаниях; l организация не осуществляет деятельность в сфере транспорта, но имеет ИС, функционирующие в сфере транспорта. Прямое попадание под требования в настоящий момент есть только для третьего варианта. Остальные три просто не смогут выполнить все требования и будут иметь законные основания, чтобы их не выполнять. Поскольку обсуждаемые задачи – не самые простые и стоят на пересечении зон ответственности кибербезопасности, информационных технологий и промышленной автоматизации, перевозчики совершенно разумно используют все возможные способы, чтобы не попасть под требования 187-ФЗ. Если такой возможности нет, субъекты всяческими способами пытаются признать свои объекты незначимыми и минимизировать количество оборудования, входящего в состав объекта КИИ. По планам ФСТЭК России процесс присвоения категорий объектам критической информационной инфраструктуры должен был завершиться в 2019 г., после чего предполагалось начать построение системы безопасности, однако на текущий момент далеко не все субъекты транспортной инфраструктуры провели категорирование. Давайте рассмотрим причины, которые позволяют перевозчикам и субъектам транспортной инфраструктуры задер-
живать исполнение закона о безопасности критической информационной инфраструктуры.
Избыточность и сложность процедур Одной из серьезнейших проблем в области воздушного транспорта, влекущей за собой значительные финансовые расходы перевозчиков и субъектов транспортной инфраструктуры, является выполнение требований обеспечения безопасности в сфере транспорта и авиационной безопасности. Активно обсуждаемые в сообществе работы по гармонизации законодательства, которые направлены на исключение избыточных и дублирующих норм, еще не завершены. Появление дополнительных требований по обеспечению безопасности объектов КИИ необходимо для дальнейшего повышения транспортной безопасности как объектов транспортной инфраструктуры, так и транспортных средств по видам транспорта. Транспортной отрасли и до появления требований к КИИ не хватало четкой и разумной законодательной базы, которая учитывала бы интересы как государства, так и субъектов транспортной инфраструктуры. Нестабильность, очевидная перегруженность и избыточность требований 127-ПП и приказов ФСТЭК России приводят к тому, что основной упор делается на организационные меры, позволяющие обеспечить противодействие кибератакам. Подобный подход в отдельных случаях может оказаться малоэффективным с точки зрения реальной информационной без-
Помимо основных регуляторов, указанных в федеральном законе, есть еще отраслевой регулятор – Минтранс России. Поэтому процесс согласования критериев, объектов и результатов категорирования будет многоэтапным.
Поскольку обсуждаемые задачи – не самые простые и стоят на пересечении зон ответственности кибербезопасности, информационных технологий и промышленной автоматизации, перевозчики совершенно разумно используют все возможные способы, чтобы не попасть под требования 187-ФЗ.
• 13
Podmarev 5/20/20 6:07 PM Page 14
В ФОКУСЕ Таблица Стандарт
Год принятия
Название
Описание
ARINC 811
2005
Commercial aircraft information security concepts of operation and process framework
Общее понимание концепций информационной безопасности. Основа для оценки безопасности бортовых сетевых систем
ARINC 664
2005–2009
Aircraft data network
Методы построения детерминированной бортовой сети Определены домены информационной безопасности на борту ВС
DO-178C
2011
Software considerations in airborne systems and equipment certification
Стандарт в области безопасности программного обеспечения в авиационной отрасли
ED-202 /DO-326
2014
ED-202A /DO-326A
2018
Airworthiness security process specification
Руководящие принципы процесса обеспечения информационной безопасности
ED-203 /DO-356
2014
ED-203A /DO-356А
2018
Airworthiness security methods and considerations
Методы и инструменты для достижения целей процесса обеспечения безопасности
ED-204 /DO-355
2014
Information security guidance for continuing airworthiness
Руководство по обеспечению информационной безопасности для поддержания летной годности
ATA Spec 42
2017
Aviation industry standards for digital information security
Требования к взаимной идентификации и управлению доступом между отдельными узлами и агрегатами самолета
HLCAS/2-WP/27
2018
Aircraft digital protection – an integrated approach
Комплексный подход к управлению рисками для авиационных систем
Возникают ситуации, когда реализовать какую-то из базовых мер безопасности на отдельном объекте КИИ невозможно. Например, так случается на воздушном судне (ВС) в силу запрета установки на него дополнительного программного обеспечения, в том числе антивирусов.
Жизненно необходимы российские технологии и технические средства, предназначенные для детектирования и предотвращения компьютерных атак на бортовые информационные системы.
опасности, но реализованные с его использованием меры защиты будут соответствовать требованиям приказа Федеральной службы по техническому и экспортному контролю от 25.12.2017 г. № 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации" (239-П). Возникают ситуации, когда реализовать какую-то из базовых мер безопасности на отдельном объекте КИИ невозможно. Например, так случается на воздушном судне (ВС) в силу запрета установки на него дополнительного программного обеспечения, в том числе антивирусов. В этом случае субъект вправе отказаться от такой меры безопасности, но при этом он должен оценить, реализация каких угроз становится при этом возможна, и принять какие-то иные меры для защиты от них. Приказ ФСТЭК № 239 это разрешает и называет адаптацией базового набора мер безопасности. Очевидно, что такой адаптированный набор мер не позволяет нейтрализовать все угрозы. Но расширить этот набор дополнительными мерами, в том числе разработать дополнительные меры само-
стоятельно, в большинстве случаев будет означать нарушение условий эксплуатации ВС, которые предписаны производителем.
Отсутствие стандартов ИБ и импортозамещение Необходимо формирование единого отраслевого механизма непрерывного мониторинга кибербезопасности в сфере транспорта и обмен информацией со всеми заинтересованными участниками. Не хватает специфического методического сопровождения организаций сферы транспорта как в целом по вопросам информационной безопасности, так и в части исполнения 187-ФЗ. О проблемах взаимосвязанности действий государственных структур РФ и отсутствии собственных стандартов информационной безопасности в гражданской авиации и плохой связанности с иностранным и международным законодательством в авиации я уже писал ранее5. Для примера возьмем ситуацию в гражданской авиации (ГА). По сути, ИС каждого ВС – цель для кибератаки и рассматривается как объект КИИ. Зарубежные стандарты и их краткое описание приведены в таблице.
В России, к сожалению, нет стандартов информационной безопасности в ГА. Совершенно очевидно, что государству необходимо развитие отечественных отраслевых ИС, которые обеспечивают полный цикл коммерческой деятельности, связанной с продажей авиаперевозок, от систем, обеспечивающих хранение и реализацию ресурса мест, до регистрации пассажиров и багажа в аэропорту. Развитие этого направления невозможно в отрыве от кибербезопасности и принятия собственных стандартов. Это потребует много сил, времени и средств, но станет настоящим шагом вперед в деле минимизации рисков угроз национальной безопасности. Особое внимание должно быть уделено отечественным ИС и системам защиты. Для этого необходимо создание и развитие отечественных внутриотраслевых стандартов ИБ и правил сертификации технических решений защиты, которые можно было бы применить в ГА. Жизненно необходимы российские технологии и технические средства, предназначенные для детектирования и предотвращения компьютерных атак на бортовые информационные системы. Должны быть не только программные, но и пра-
5 Подробнее см. Подмарев А.В. ИБ в гражданской авиации: некоторые вопросы обработки ПД и безопасности КИИ // Information Security/ Информационная безопасность. 2020. № 1 . С. 6–7.
14 •
Podmarev 5/20/20 6:07 PM Page 15
www.itsec.ru
КИИ
вовые, организационные средства, средства сбора и анализа информации, поддержки принятия управленческих решений (ситуационные центры), предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак на транспорте и объектах транспортной инфраструктуры. Постановлением Правительства РФ от 21 декабря 2019 г. № 1746 в целях обеспечения безопасности КИИ на два года введен запрет на допуск к закупкам иностранных программно-аппаратных комплексов систем хранения данных. Много ли известно отечественных систем хранения данных, которые могли бы быть использованы для хранения логов? Вопрос риторический. Выполнить требования 239-П в части выстраивания процесса автоматизированного обнаружения инцидентов ИБ, который, в свою очередь, требует обеспечить централизованный сбор, обработку, хранение и анализ событий ИБ с использованием исключительно отечественных решений – задача не очень реальная. Прежде всего это связано с запретом производителя на установку собственных технических средств защиты. Это касается и бортовых систем ВС, и так называемых платформ фронтальной интеграции, которые позволяют совместное использование аэропортовых стоек различными авиакомпаниями и системами регистрации. Импортозамещение – хорошее дело, но оно не должно реализовываться ценой тотального ухудшения реальной безопасности из-за невозможности использовать современные инновационные или проверенные временем средства защиты. Для множества технологий защиты просто не существует отечественных аналогов ПО и устройств. Если в условиях отсутствия стандартов запрещать ввоз средств защиты, мы получим то, что уже имеем: те же импортные устройства с переклеенными шильдиками и немногочисленные отечественные аналоги плохого качества. Ни то, ни другое повышению уровня ИБ не способствует.
Уголовная ответственность Следующим серьезным препятствием для честной категоризации часто является ответ-
ственность по ст. 274.1 Уголовного кодекса Российской Федерации, которая появляется после признания объекта КИИ. Статьей предусмотрена ответственность за нарушения в сфере КИИ вплоть до лишения свободы сроком на 10 лет в случае нарушений, повлекших тяжкие последствия. В законе о КИИ дается недвусмысленная трактовка: в случае, если объект КИИ не был защищен должным образом и ему был нанесен вред, должностные лица могут понести ответственность в рамках УК РФ. Надо обратить внимание, что нанесение вреда именно "критической инфраструктуре РФ", а не "компьютерной информации". В данном случае размер вреда легко рассчитывается следователем и доказывается в суде. Создание системы безопасности по требованиям ФСТЭК России только усугубляет ситуацию для субъекта КИИ, так как в случае нанесения вреда может квалифицироваться как нарушение правил эксплуатации на оборудовании – это все та же статья 274.1 УК РФ. Для минимизации этих рисков имеет смысл провести классификацию информационных систем и документально зафиксировать, что каждая конкретная информационная система не является объектом КИИ. Очень осторожно следует подходить к проведению внутренних служебных расследований инфраструктурных инцидентов и инцидентов информационной безопасности. Необходимо понимать, что отчетные документы по результатам таких проверок могут использоваться правоохранительными органами для возбуждения уголовного дела в течение последующих 10 лет.
Обязательность проведения аудита ИБ В основе Плана транспортной безопасности, составить и реализовать который предписывает Федеральный закон от 09.02.2007 г. N 16-ФЗ "О транспортной безопасности", лежит оценка уязвимостей объектов транспортной инфраструктуры. Результаты направляют на утверждение в компетентные органы в области обеспечения транспортной безопасности. Перевозчики привыкли к значительным затратам на
аудиты, сертификацию, аттестацию и мероприятия, которые необходимы для обеспечения транспортной безопасности. Анализ показывает, что эти меры слабо увязаны с информационной безопасностью, а затраты не всегда оправданы. Теперь, согласно п. 35 и п. 36 Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры РФ и обеспечению их функционирования (утв. приказом ФСТЭК России от 21 декабря 2017 г. № 235) в рамках контроля состояния безопасности значимых объектов КИИ должен осуществляться внутренний контроль организации работ по обеспечению их безопасности и эффективности принимаемых организационных и технических мер защиты. К этому добавляются требования по анализу уязвимостей на этапе создания, до ввода в эксплуатацию и в ходе его эксплуатации (п. 12.6., п.13, п. 13.2., п. 13.8 239-П). Введение новых требований по обеспечению безопасности объектов КИИ предполагает новые для транспортников подходы к обеспечению соответствия и прохождению аудита. Появляется дополнительная финансовая и административная нагрузка на отрасль, которая обязательно отражается на пассажирах. l
Выполнить требования 239-П в части выстраивания процесса автоматизированного обнаружения инцидентов ИБ, который, в свою очередь, требует обеспечить централизованный сбор, обработку, хранение и анализ событий ИБ с использованием исключительно отечественных решений – задача не очень реальная.
Очень осторожно следует подходить к проведению внутренних служебных расследований инфраструктурных инцидентов и инцидентов информационной безопасности. Необходимо понимать, что отчетные документы по результатам таких проверок могут использоваться правоохранительными органами для возбуждения уголовного дела в течение последующих 10 лет.
Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
• 15
Solodovnikov 5/20/20 6:07 PM Page 16
В ФОКУСЕ
Трансформация бизнеса в условиях кризиса Кирилл Солодовников, генеральный директор Инфосекьюрити (входит в ГК Softline)
К – Кирилл, как изменился бизнес компании за последние три года? – Конечно, смена ориентации с одного крупного заказчика на работу со всем внешним бизнесом стала для компании серьезным вызовом, предполагающим существенные изменения в бизнес-модели. За это время произошли серьезные изменения, не все из них в лучшую сторону, но компания сохранила основной костяк сотрудников и бизнес. Назову несколько самых значимых. Инфосекьюрити стала частью Группы компаний Softline, трансформировались услуги, предоставляемые заказчикам: на смену классическим ИБ-услугам пришли унифицированные пакетные сервисы по модели MSSP. Это позволило сделать наши услуги еще более доступными для заказчиков с разным уровнем зрелости процессов информационной безопасности, независимо от отрасли, размера компании, территориальной принадлежности и специфики бизнеса. В результате мы получили кардинальные изменения в портфеле клиентов. На смену узкоспециализированной направленности на банковский сектор пришло присутствие практически во всех системообразующих отраслях бизнеса нашей страны, а также на внешнем рынке. Оглядываясь назад и подводя итоги трансформации, можно с уверенностью сказать: сегодня Инфосекьюрити – один из игроков не только на российском рынке, но и на рынке ближнего зарубежья. Постепенно мы выходим и на международный рынок.
16 •
ирилл Солодовников рассказал нашему журналу, как меняется мир информационной безопасности, как увидеть и использовать новые возможности для развития бизнеса, возникающие в условиях кризиса.
– С какими проблемами и вызовами пришлось столкнуться в первый период при трансформации бизнеса? – До 2018 года ряд сервисов и услуг компании, таких как контроль за использованием конфиденциальной информации и информации, составляющей коммерческую тайну, информационная аналитика, расследование инцидентов и т.д., были закрытыми и нетиражируемыми ввиду специфического отношения рынка к вопросу обеспечения ИБ. Поэтому ключевой, жизненно важной задачей стал процесс вывода на рынок, а также поддержка таких сервисов, со всеми сопутствующими операциями: анализом рынка, созданием поддерживающих материалов, разработкой политик мотивации и ценообразования, работой с отраслевыми средствами массовой информации. Конечно, все эти активности нужно было запустить и адаптировать в крайне сжатые сроки. Второй задачей стало построение полноценного направления Pre-Sale, так как помимо унифицированных MSSP-сервисов, которые мы предлагали, мы стали реализовывать больше проектов, в том числе и комплексных. Все они требовали подключения системных архитекторов для проектирования и интеграции нескольких решений, как правило, от нескольких разработчиков. Пришлось также перестроить работу и проектного офиса с внутренних проектов на работу с клиентами. Конечно, все эти задачи удалось реализовать далеко не сразу, был пройден большой путь, набито много шишек, но мы учились на своих ошибках и делали соответствующие выводы. В результате могу сказать, что мы успешно прошли этот тернистый путь, а компания поменяла свою бизнес-модель в соответствии с жесткими требованиями рынка и его ритмом. – Какие направления бизнеса неожиданно выстрелили? – Сложно сказать, были ли у нас такие направления. Могу рассказать про построение собственного Security
Operation Center, который мы стали строить с 2014 года. Первое время его задачи были ориентированы на противодействие хакерским атакам в финансовом секторе, однако спустя несколько лет мы предположили, что со временем мошенники сменят свой фокус интереса и услуги круглосуточного мониторинга инцидентов ИБ будут актуальны для всех отраслей бизнеса. Наши предположения оправдались. А потом был принят федеральный закон о КИИ и создана государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Сейчас мы предвидим рост цифровых угроз в связи с digital-трансформацией бизнеса в целом и в том числе из-за вынужденного, незапланированного перехода компаний "на удаленку". Таким образом, у нас появился сервис ETHIC – система комплексного контроля и выявления цифровых угроз бизнесу, действующая за пределами защищенного периметра компании. – Пришлось ли отказаться от каких-то услуг или продуктов в связи с изменившейся конъюнктурой рынка? – Да, действительно, от ряда вспомогательных услуг и сервисов пришлось отказаться, хотя правильнее сказать, что часть компетенций мы трансформировали под потребности рынка. – Назовите топ-3 основных достижений, ключевых проектов компании с 2018 года по настоящее время. – Первое и основное – это сохранение бизнеса, экспертизы и продолжение работы на рынке. Второе – развитие и перестроение одного из наших флагманских проектов – Security Operations Center (SOC), теперь мы его предоставляем в трех моделях: Cloud, On-Premise, Hybrid (на базе сертифицированных SIEM). Третье – вывод на рынок продуктов ETHIC, DLP as a Service.
Solodovnikov 5/20/20 6:07 PM Page 17
www.itsec.ru
ПЕРСОНЫ
– Какие, на ваш взгляд, три ключевые тенденции/направления кибербезопасности станут актуальными в ближайшей перспективе? – Первое и основное, в связи с отсутствием достаточного числа специалистов ИБ в мире, – увеличение спроса на продукты облачной безопасности, а также аутсорсинга и MSSP, и такой запрос виден в РФ. Три года назад подобные сервисы требовалось долго рекламировать и объяснять, зачем они нужны, сейчас рынок уже понимает особенности аутсорсинга и его плюсы. Облачные сервисы и MSSP в перспективе выгодны: l во-первых, это сокращение расходов, поскольку нет необходимости покупать специализированное ПО и оборудование, кроме того, оплата происходит исключительно за фактически оказанные услуги клиенту; l во-вторых, услуги оказываются профессионалами, которые, основываясь на собственном опыте, помогут вам быстро и грамотно реагировать на инциденты и справляться с другими трудностями. Заказчику, в свою очередь, остается сосредоточиться на основном бизнесе и забыть об ИБ, ну или же только контролировать и оптимизировать услуги, оказываемые сервис-провайдером. В России облачные сервисы и MSSP сейчас начинают набирать обороты. Хотя до мировых показателей, конечно, еще далековато, но с каждым годом все больше заказчиков начинают доверять сервис провайдерам, передавая на аутсорсинг ключевые ИT- и ИБ-процессы.
Преимуществом такой модели является то, что заказчик может выбрать требуемый ему уровень сервиса, исходя из собственной оценки рисков в сфере ИБ и своих финансовых возможностей.
Второе – это увеличение регуляторных требований со стороны государств, как законодательство (187-ФЗ, ГосСОПКА, GDPR), так и политические решения в части суверенитизации Интернета. Это актуально и для России, и для других стран, например Евросоюза. Третьим и одним из вечных трендов информационной безопасности считаю повышение осведомленности персонала в вопросах обеспечения ИБ. Если компания не обучает своих сотрудников правилам ИБ, то нарушение этих правил – просто дело времени: нельзя соблюдать то, чего не знаешь. В качестве внешней угрозы выступают мошенники – социальные инженеры. Чтобы заполучить ценные данные, они паразитируют на человеческих слабостях – любопытстве, доверчивости, боязни санкций со стороны начальства. Сложные технические решения стано-
вятся не нужны: зачем создавать вирус, троян или шпионскую программу, если вам могут поднести информацию на блюдечке с голубой каемочкой? Из всего этого вытекает, что обучение сотрудников – незаменимое средство защиты активов любой компании. Чтобы обучение было эффективным, нужно проводить его регулярно и сделать как можно более интересным. С первым все обычно неплохо, а вот о втором часто забывают. – Как вы оцениваете уровень зрелости российского бизнеса в области информационной безопасности в сравнении с другими странами? – Российский рынок информационной безопасности, независимо от отрасли, достаточно консервативен, и потому пока речь идет про аутсорсинг; выбирая между собственным контролем за системами и качеством процесса, отдают предпочтение первому. Но мы видим, что мир в целом все же "мигрирует в облака", особенно очевидным это становится при работе с западными партнерами. А поскольку Россия по многим вопросам следует за ними с небольшим запозданием, то я уверен, что и на российском рынке будет превалировать такой подход. А вот в банковском и финансовом секторах за счет строгого контроля со стороны отраслевых регуляторов уровень зрелости процессов обеспечения информационной безопасности уже может посоперничать с развитыми странами. – Каковы планы компании на ближайшее время? Планируется ли выходить с услугами на международные рынки? Какие услуги будут актуальны, а также какие страны интересны в первую очередь? – Отмечу, что, оценивая потенциал наших сервисов, мы руководствовались степенью их востребованности не только на российском рынке, но и на международном уровне. Инфосекьюрити входит в международную группу компаний Softline, что позволило нам не останавливаться на России и странах СНГ, а полноценно проработать и реализовать экс-
пансию на зарубежные рынки. Например, сейчас построен полноценный центр мониторинга инцидентов в сфере ИБ в азиатском регионе. В 2019 году реализованы сервисные проекты в Европе, проекты в Латинской Америке и Азии. Информационная безопасность давно уже стала общей проблемой, поэтому мы уверены, что наши решения будут востребованы и в других странах. – Как работает ваша команда в период кризиса, который развивается на фоне пандемии? Что стало самым сложным для вас и для ваших клиентов? – Инфосекьюрити относится к числу компаний, осуществляющих непрерывную деятельность, в связи с чем весь персонал перешел на дистанционную работу. Более того, в текущих условиях все сервисы компании оказываются в штатном режиме, SLA выполняется, рабочий режим функционирования компании никак не нарушен. Безусловно, в нестабильные времена единственный способ двигаться вперед – это меняться и адаптироваться. Мы оказываем нашим клиентам всяческую поддержку и консультации, так как многие заказчики сейчас работают удаленно, а также запустили комплекс мероприятий, позволяющих обеспечить дополнительную безопасность и стабильность работы при использовании удаленного доступа. Но не стоит забывать про необходимость нахождения "в контакте" с заказчиками и партнерами, поэтому мы переориентировали многие наши публичные мероприятия в онлайн-формат. – Какие возможности открыл для вас нынешний кризис? – Безусловно, текущая ситуация испытывает всех нас на прочность. Но я уверен, что любой кризис – это в первую очередь возможности, нужно только их видеть и реализовывать. Сейчас наша самая главная задача – протянуть руку помощи нашим клиентам и партнерам. l Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
• 17
Zavedenskaya 5/20/20 6:07 PM Page 18
ПРАВО И
НОРМАТИВЫ
Изменения в законодательстве на фоне пандемии COVID-19 Анастасия Заведенская, аналитик Аналитического центра Уральского центра систем безопасности
Март-2020
В Перечень сокращений и обозначений АСУ – автоматизированные системы управления ГИС – государственные
мартовском обзоре 2020 года рассмотрим рекомендации регуляторов в области информационной безопасности в условиях пандемии коронавируса. Поговорим также о выдержках из давно ожидаемых требований к уровням доверия средств защиты информации ФСТЭК России и немного об СКЗИ, используемых в платежных системах.
В связи с пандемией коронавируса в марте 2020 г. регуляторы провели активную разъяснительную работу по предотвращению угроз информационной безопасности. Далее представлена краткая сводка рекомендаций по деятельности в условиях пандемии от надзорных органов.
информационные системы ИСПДн – информационные системы персональных данных КИИ – критическая информационная инфраструктура НДВ – недекларированные возможности ПДн – персональные данные УЗ – уровень защищенности
Роскомнадзор Роскомнадзор разъяснил особенности использования тепловизоров работодателями – операторами персональных данных (далее – ПДн) с целью предотвращения распространения коронавируса1. Необходимо обратить внимание на то, что температура тела относится к специальным категориям ПДн, что накладывает дополнительные обязанности по обработке такой информации. Поскольку
меры по выявлению заболевания связаны с определением возможности выполнения трудовых функций, согласие работника на измерение температуры не требуется.
ФСТЭК России ФСТЭК России разработала для субъектов критической информационной инфраструктуры (далее – КИИ) рекомендации по обеспечению безопасности объектов КИИ при реализации дистанционного режима исполнения работниками должностных обязанностей2. Отмечается, что предоставление удаленного доступа для управления режимами функционирования оборудования, входящего в состав автоматизированных систем управления, являющихся значимыми объектами КИИ, запрещено. В рекомендациях также приводится ряд мер по минимизации рисков возникновения угроз безопасности информации, обрабатываемой объектами КИИ при осуществлении удаленного доступа. Руководствоваться рекомендованными мерами можно и не только во время пандемии.
Национальный координационный центр по компьютерным инцидентам (НКЦКИ) НКЦКИ опубликовал уведомление об угрозах безопасности информации, связанных с пандемией коронавируса3. НКЦКИ 1 2 3 4
18 •
предупреждает об активном использовании злоумышленниками ситуации вокруг пандемии для осуществления широкого спектра вредоносной деятельности и публикует рекомендации по противодействию угрозам информационной безопасности. Специалисты НКЦКИ выделяют два типа вероятных угроз: 1. Мошенничество. 2. Угрозы, связанные с удаленным режимом работы. Стоит отметить, что данные угрозы актуальны не только в обстоятельствах пандемии, а значит руководствоваться рекомендациями НКЦКИ можно и нужно не только в ее условиях.
Банк России Банк России разработал и рекомендовал финансовым организациям меры по обеспечению киберустойчивости и информационной безопасности в условиях распространения коронавируса4. Кредитным и некредитным финансовым организациям при реализации удаленного доступа с использованием мобильных устройств рекомендовано: l применять технологии виртуальных частных сетей; l применять многофакторную аутентификацию; l применять терминальный доступ (по возможности); l обеспечить мониторинг и контроль действий пользователей удаленного доступа.
https://rkn.gov.ru/news/rsoc/news72206.htm https://fstec.ru/component/attachments/download/2713 https://safe-surf.ru/specialists/news/645362/ https://www.cbr.ru/StaticHtml/File/59420/20200320_in-014-56_17.pdf
Zavedenskaya 5/20/20 6:07 PM Page 19
www.itsec.ru
ПРАВО И НОРМАТИВЫ
При реализации рекомендаций необходимо использовать ГОСТ Р 57580.1–2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер" (далее – ГОСТ Р 57580.1–2017). В частности, в ГОСТ Р 57580.1–2017 выделен целый блок под описание мер по защите информации при осуществлении удаленного логического доступа работников финансовой организации с использованием мобильных (переносных) устройств. В информационном сообщении Банк России также устанавливает временные регуляторные послабления в отношении финансовых организаций, допустивших нарушение требований нормативных актов Банка России.
Таблица.
Требования доверия
Информация о том, в каких случаях необходимо применение СрЗИ, соответствующих 4, 5 и 6 уровням доверия, приведена в таблице.
ФСТЭК России 5 марта 2020 г. разместила для общего доступа выписку из Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвержденных приказом ФСТЭК России от 30 июля 2018 г. № 1315 (далее – Требования к уровням доверия). Выполнение Требований к уровням доверия является обязательным при проведении работ по оценке соответствия (включая работы по сертификации) средств защиты информации (далее – СрЗИ). Требования к уровням доверия носят гриф "для служебного пользования", а СрЗИ, соответствующие 1, 2 и 3 уровням доверия, должны применяться в информационных (автоматизированных) системах, обрабатывающих информацию, содержащую сведения, составляющие государственную тайну. Поэтому опубликованная выписка содержит лишь информацию о требованиях, предъявляемых к 4, 5 и 6 уровням доверия.
СрЗИ,
Класс систем, требующий применения
Уровни контроля
соответствующие
соответствующих СрЗИ
по выявлению
уровню доверия 6 уровень доверия
уязвимостей и НДВ Значимые объекты КИИ 3 категории
6 уровень контроля
ГИС 3 класса защищенности АСУ производственными и технологическими процессами 3 класса защищенности ИСПДн при 3 и 4 УЗ ПДн 5 уровень доверия
Значимые объекты КИИ 2 категории
5 уровень контроля
ГИС 2 класса защищенности АСУ производственными и технологическими процессами 2 класса защищенности ИСПДн при 2 УЗ ПДн 4 уровень доверия
Значимые объекты КИИ 1 категории
4 уровень контроля
ГИС 1 класса защищенности АСУ производственными и технологическими процессами 1 класса защищенности ИСПДн при 1 УЗ ПДн Информационные системы общего пользования 2 класса
СКЗИ и 382-П Банком России совместно с ФСБ России разработаны и опубликованы требования к средствам криптографической защиты информации (далее – СКЗИ), которые указаны в п. 2.20 положения Банка России от 9 июня 2012 г. № 382-П. Напомним, что с 1 января 2024 г. указанием Банка России от 07.05.2018 г. № 4793-У положение № 382-П дополняется новым п. 2.20. Абзацы третий – пятый указанного пункта вступают в силу с 1 января 2031 г. К СКЗИ, в частности, относятся: l аппаратный модуль (HSMмодуль); l платежные устройства с терминальным ядром; l платежные карты. Перечень документов, устанавливающих требования к вышеуказанным СКЗИ, приведен ниже: l требования к средствам криптографической защиты
информации в платежных устройствах с терминальным ядром, серверных компонентах платежных систем (HSMмодулях), платежных картах и иных технических средствах информационной инфраструктуры платежной системы, используемых при осуществлении переводов денежных средств, указанных в п. 2.20 положения Банка России от 9 июня 2012 г. № 382-П6; l функционально-технические требования к техническим средствам и программному обеспечению, реализующим СКЗИ в платежных устройствах с терминальным ядром7; l функционально-технические требования к платежным картам (криптомодуль, приложение)8; l функционально-технические требования к аппаратному модулю безопасности (HSMмодуль)9; l порядок взаимодействия участников процесса поддержания актуального состояния функционально-технических требований к средствам криптографической защиты информации10.
ФСТЭК России разработала для субъектов критической информационной инфраструктуры рекомендации по обеспечению безопасности объектов КИИ при реализации дистанционного режима исполнения работниками должностных обязанностей.
ФСТЭК России 5 марта 2020 г. разместила для общего доступа выписку из Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий.
Банком России совместно с ФСБ России разработаны и опубликованы требования к средствам криптографической защиты информа-
5
https://fstec.ru/127-lenta-novostej/2051-informatsionnoe-soobshchenie-24 6 https://www.cbr.ru/Content/Document/File/104752/FT_32.pdf 7 https://www.cbr.ru/Content/Document/File/104753/FT_33.pdf 8 https://www.cbr.ru/Content/Document/File/104754/FT_34.pdf 9 https://www.cbr.ru/Content/Document/File/104755/FT_35.pdf 10 https://www.cbr.ru/Content/Document/File/104756/FT_36.pdf
ции.
• 19
Zavedenskaya 5/20/20 6:07 PM Page 20
ПРАВО И
НОРМАТИВЫ
Апрель-2020 Лицензирование деятельности по технической защите конфиденциальной информации.
В
Вносятся изменения в
апрельском обзоре за 2020 год рассмотрим предложения по сдвигу сроков обязательного использования средств защиты информации, сертифицированных по требованиям к уровням доверия, в государственных информационных системах и информационных системах персональных данных. Поговорим о рекомендациях ФСТЭК России к документарному сопровождению обязательных процедур в рамках категорирования объектов КИИ и немного о новой, всеми ожидаемой Методике моделирования угроз безопасности информации.
регламент предоставления государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации. В частности, в перечень предоставляемых государственных услуг добавлена возможность исправления, по запросу от лицензиата, допущенных опечаток и (или) ошибок в выданных лицензиях на ТЗКИ.
В информационном сообщении ФСТЭК России от 17 апреля 2020 г. N 240/84/611 рассматриваются вопросы представления перечней объектов критической информационной инфраструктуры (далее – КИИ), подлежащих категорированию, и направления сведений о результатах категорирования объектов КИИ.
СрЗИ, соответствующие уровням доверия 8 апреля 2020 г. ФСТЭК России опубликовала проект приказа "О внесении изменения в приказ ФСТЭК России от 28 мая 2019 г. № 106 "О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. № 17"11 (далее – проект приказа). Согласно пояснительной записке к проекту приказа проводимые разработчиками и производителями сертифицированных средств защиты информации (далее – СрЗИ) работы по оценке соответствия СрЗИ, применяемых в государственных информационных системах (далее – ГИС), Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасно-
сти информационных технологий, утвержденным приказом ФСТЭК России от 30 июля 2018 г. № 131, приостановлены. В связи с этим проект приказа предусматривает сдвиг срока вступления в силу требования по применению в ГИС сертифицированных СрЗИ, соответствующих уровням доверия, до 1 января 2021 г. 23 апреля 2020 г. ФСТЭК России опубликовала для общественных обсуждений проект приказа "О внесении изменений в Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21"12 (далее – проект приказа). Обсуждения по проекту приказа продлятся до 7 мая 2020 г. Проект приказа предусматривает внесение изменений в отношении требований, предъявляемых к сертифицированным СрЗИ, используемым для защиты в информационных системах персональных данных (далее – ИСПДн). В ИСПДн, как и в ГИС, необходимо будет применять СрЗИ, соответствующие уровням доверия, с 1 января 2021 г.
Лицензирование деятельности по технической защите конфиденциальной информации Приказ ФСТЭК России от 17.12.2019 г. № 240 "О внесении изменений в Административный 11
регламент Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации, утвержденный приказом ФСТЭК России от 17 июля 2017 г. № 134"13 официально опубликован 13 апреля 2020 г., вступил в силу 24 апреля 2020 г. Данным приказом вносятся изменения в регламент предоставления государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации (далее – ТЗКИ). В частности, в перечень предоставляемых государственных услуг добавлена возможность исправления, по запросу от лицензиата, допущенных опечаток и (или) ошибок в выданных лицензиях на ТЗКИ. Вводится также форма заявления на предоставление услуг.
Вопросы категорирования объектов КИИ В информационном сообщении ФСТЭК России от 17 апреля 2020 г. N 240/84/61114 рассматриваются вопросы представления перечней объектов критической информационной инфраструктуры (далее – КИИ), подлежащих категорированию, и направления сведений о результатах категорирования объектов КИИ. Основные тезисы информационного сообщения: 1. Направляемый во ФСТЭК России перечень объектов КИИ, подлежащих категорированию, рекомендовано оформить в соответствии с предлагаемой формой.
https://regulation.gov.ru/projects#npa=101028 https://regulation.gov.ru/projects#npa=101410 13 http://publication.pravo.gov.ru/Document/View/0001202004130048?index=12&rangeSize=1 14 https://fstec.ru/tekhnicheskaya-zashchita-informatsii/obespechenie-bezopasnosti-kriticheskoj-informatsionnoj-infrastruktury/290-inye/2076-informatsionnoe-soobshchenie-fstek-rossii-ot-17-aprelya-2020-g-n-24084-612 12
20 •
Zavedenskaya 5/20/20 6:07 PM Page 21
www.itsec.ru
ПРАВО И НОРМАТИВЫ
2. Перечень объектов КИИ, подлежащих категорированию, необходимо направлять в печатном и электронном виде (формат .ods и (или) . odt). 3. Уведомлять ФСТЭК России об отсутствии объектов КИИ или о том, что организация не является субъектом КИИ, не нужно. 4. Сведения о результатах категорирования необходимо направлять во ФСТЭК России в бумажном виде с приложением электронных копий в формате файлов электронных таблиц (формат .ods). 5. Обязательный для государственных организаций срок (для иных субъектов КИИ срок носит рекомендательный характер) по утверждению перечней объектов КИИ, подлежащих категорированию, истек 1 сентября 2019 г. Как следствие, категорирование объектов КИИ должно быть завершено к 1 сентября 2020 г.
Изменения в законе "О персональных данных" Федеральный закон от 24.04.2020 г. № 123-ФЗ "О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации – городе федерального значения Москве – и внесении изменений в статьи 6 и 10 Федерального закона "О персональных данных"15 (далее – 123-ФЗ) опубликован 24 апреля 2020 г. Согласно 123-ФЗ в Федеральный закон от 27.07.2006 г. № 152-ФЗ "О персональных данных" вносятся изменения, вступающие в силу с 1 июля 2020 г. Обработка персональных данных (далее – ПДн), в том числе касающихся состояния здоровья, что является специальной категорий ПДн, которые получены в результате обезличивания ПДн в целях исполнения 123-ФЗ, будет разрешена без получения согласия субъекта ПДн. 15
Проект Методики моделирования угроз безопасности информации ФСТЭК России информирует16 о разработке методического документа "Методика моделирования угроз безопасности информации"17. Предложения и замечания по проекту Методики моделирования угроз безопасности информации (далее – УБИ) принимались до 30 апреля 2020 г. Для того чтобы новую Методику моделирования УБИ можно было применять, планируется модернизация раздела "Угрозы" банка данных угроз безопасности информации ФСТЭК России (далее – БДУ ФСТЭК России). Как видно из текста проекта Методики, как минимум планируется добавить в БДУ ФСТЭК России тактики и соответствующие им техники (способы), использование которых возможно нарушителем при реализации УБИ. Из основных моментов также стоит отметить, что Методику необходимо будет применять для моделирования УБИ в ИСПДн, информационных системах, автоматизированных системах управления, информационно-телекоммуникационных сетях, в том числе отнесенных к объектам КИИ, в информационно-телекоммуникационных инфраструктурах центров обработки данных и облачных инфраструктурах, защита информации в которых или безопасность которых обеспечивается в соответствии с требованиями по защите информации (обеспечению безопасности), утвержденными ФСТЭК России в пределах своей компетенции.
http://publication.pravo.gov.ru/Document/View/ 0001202004240030 16 https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2071-informatsionnoe-soobshchenie-fstek-rossii-ot-9aprelya-2020-g-n-240-22-1534 17 https://fstec.ru/component/attachments/download/2727/
При этом Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн (ФСТЭК России, 2008 г.) и Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры (ФСТЭК России, 2007 г.) в случае утверждения рассматриваемого проекта Методики будут отменены. Важные моменты рассматриваемого проекта Методики моделирования УБИ: 1. Моделирование УБИ должно проводиться с учетом применяемых в системах и сетях СрЗИ. Однако при этом необходимо учитывать возможность наличия в организации работ и применяемых СрЗИ уязвимостей, которые могут использоваться для реализации УБИ. 2. Для моделирования УБИ возможно привлечение организаций, имеющих лицензию ФСТЭК России на деятельность по ТЗКИ. 3. Ведение модели угроз и поддержание ее в актуальном состоянии может осуществляться в электронном виде. 4. Негативные последствия необходимо будет определять на основе оценки ущерба (рисков) от нарушения основных критических процессов. 5. Предусмотрены рекомендации по формированию экспертной группы (состоящей минимум из трех экспертов) и проведению экспертной оценки. 6. При моделировании УБИ на этапе эксплуатации систем и сетей возможность идентификации и использования уязвимостей оценивается по результатам контроля защищенности систем и сетей (тестирований на проникновение). l
Обработка персональных данных, которые получены в результате обезличивания ПДн в целях исполнения 123-ФЗ, будет разрешена без получения согласия субъекта ПДн.
ФСТЭК России информирует о разработке методического документа "Методика моделирования угроз безопасности информации". Предложения и замечания по проекту Методики моделирования угроз безопасности информации принимались до 30 апреля 2020 г.
Из основных моментов также стоит отметить, что Методику необходимо будет применять для моделирования УБИ в ИСПДн, информационных системах, автоматизированных системах управления, информационно-телекоммуникационных сетях, в том числе отнесенных к объектам КИИ, в информационно-телекоммуникационных инфраструктурах центров обработки данных и облачных инфраструктурах.
Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
• 21
Podmarev2 5/20/20 6:07 PM Page 22
ПРАВО И НОРМАТИВЫ
Краткий обзор судебной практики по применению статьи 274.1 Уголовного кодекса РФ Алексей Подмарев, Ассоциация руководителей служб информационной безопасности (АРСИБ), Комитет по безопасности критической информационной инфраструктуры
В
ст. 274.1 УК РФ предусмотрена уголовная ответственность за неправомерное воздействие на КИИ РФ с помощью создания, распространения или использования компьютерных программ. Статистически значимой судебной практики по применению ст. 274.1 УК РФ пока нет, ниже приведен краткий обзор нескольких судебных дел.
ПетропавловскКамчатский Первое дело (№ 1345/2019), где появилось обвинение по этой статье, было рассмотрено в Петропавловске-Камчатском 31 мая 2019 г. Пострадавшие объекты КИИ – два сайта Роскомнадзора, для неправомерного воздействия на них использовалось специальное
программное обеспечение, выполняющее функции нагрузочного тестирования интернетресурсов. Саму такую функциональность суд определил как "заведомо предназначенную для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, в том числе для блокирования информации, содержащейся в ней". В результате доступ к сайтам был затруднен в общей сложности примерно на 25 мин. Подсудимый раскаялся и был полностью освобожден от уголовной ответственности.
Волгоград Чуть позже та же ч. 1 ст. 274.1 УК РФ фигурировала в деле № 1-337/2019 от 16.08.2019 г. в Волгограде. Подробности уголовного дела неизвестны, но оно было прекращено в ходе Следует отметить, что под правилами эксплуатации, упоминаемыми в судебных процессах, понимаются не только внутренние нормативные акты организации, которой принадлежит информационная система, но и правила, определяющие порядок работы с ЭВМ, – нормативные акты, государственные стандарты, инструкции, правила, техническое описание, положение, приказы и т.д., установленные изготовителями оборудования, разработчиками ПО, а также компетентными государственными органами. Мнение, что только субъект КИИ (владелец информационной системы) может устанавливать правила эксплуатации объекта КИИ, является ошибочным. Приказ № 239 ФСТЭК требует от субъекта КИИ проводить анализ уязвимостей на периодической основе и выполнять управление обновлениями. Когда (и если будет) реализована успешная атака на объект КИИ с причинением существенного вреда, невыполнение этих требований будет квалифицировано как уголовное преступление, ответственность за которое лежит на субъекте КИИ. Понятие "существенный вред" – оценочное. Эта неоднозначность в сочетании с большим сроком давности может сделает статью удобной для оказания давления со стороны следствия. Владельцы объекта информационной инфраструктуры, понимая, что самостоятельно должны определить, относятся ли они к субъектам КИИ, предпочитают указать, что таковыми не являются, или пытаются передать сервисное обслуживание имеющихся информационных ресурсов другому юридическому лицу. Оператор, которому передан на эксплуатацию информационный ресурс, может не попадать под действия 187-ФЗ и не знать, для обеспечения каких процессов используется инфраструктура. Была ли присвоена правильная категория значимости или категорирование вообще не проводилось, для уголовной ответственности не играет никакой роли. Ст. 274.1 УК РФ распространяется даже на тех владельцев систем, которые не провели категорирование и не считают себя субъектами КИИ.
22 •
первого заседания, подсудимый получил судебный штраф, согласился на полное возмещение ущерба и был освобожден от уголовной ответственности.
Владивосток Следующие два дела были рассмотрены в сентябре того же 2019 г. во Владивостоке. Оба они связаны с осуществлением неправомерного доступа к охраняемой компьютерной информации. По делу № 1-376/2019 было выявлено причинение имущественного вреда оборонному предприятию – субъекту КИИ. Группа из трех лиц с помощью специализированного ПО проникла через протокол RDP в компьютеры оборонного предприятия, зашифровала данные на жестком диске и потребовала выкуп, судя по сумме в рублях, в размере одного биткойна. Суд принял во внимание явку с повинной и добровольное возмещение ущерба и в особом порядке назначил наказание – по два года условно каждому из подсудимых. В деле № 1-368/2019 от 25.09.2019 г. выявлены нарушения правил эксплуатации и предъявлены обвинения по ч. 4 ст. 274.1 УК РФ (служебное положение) работнику субъекта КИИ. Сотрудница отдела продаж компании связи в день увольнения скопировала из автоматизированной системы персональные данные абонентов и отправила по электронной почте своему знакомому. Подсудимая признала вину, судебное рассмотрение прошло в особом порядке, вынесено наказание – три года лишения свободы условно. l Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
Lukatskiy 5/20/20 6:07 PM Page 23
www.itsec.ru
УПРАВЛЕНИЕ
Измерение эффективности SOC Часть 1 Алексей Лукацкий, консультант по информационной безопасности
В
конце прошлого года в России прошел SOC Forum, собравший на своей площадке более 2 тыс. человек, интересующихся темой мониторинга информационной безопасности. Во время подготовки к этому мероприятию на сайте форума был запущен опрос среди владельцев центров мониторинга ИБ (Security Operations Center, SOC), им задали более тридцати вопросов, в том числе и об оценке своей эффективности.
Если мы посмотрим на результаты этого опроса, то увидим, что число SOC, использующих метрики для измерения своей эффективности, очень невелико: ее измеряют всего 15% SOC, работающих в России. В мире ситуация тоже не идеальна: далеко не все центры мониторинга занимаются оценкой эффективности своей деятельности. Хотя надо признать, что уровень зрелости зарубежных SOC выше, чем у нас, как и число тех, кто измеряет себя и применяет для этого различные метрики. Какие же метрики можно использовать для того, чтобы показать себе и руководству, что инвестиции, сделанные в SOC, сделаны не зря? Давайте попробуем посмотреть на распространенные примеры.
Время По названным выше причинам измерение числа инцидентов – это не единственная метрика, которая должна оцениваться SOC. Ее необходимо всегда сопровождать вторым значимым показателем. Это время! Это критический фактор, который очень важен при оценке того, насколько эффективно работают специалисты, технологии или процессы SOC. Чем быстрее мы обнаруживаем инцидент, чем быстрее мы реагируем на него, тем меньше ущерб. Это очевидный факт, который лежит в основе измерения эффективности многих центров мониторинга безопасности. Именно поэтому число инцидентов, а также временные параметры, связанные с ними, являются наиболее часто используемыми метриками при
оценке эффективности современного SOC. Если мы посмотрим на временную шкалу любого инцидента, то увидим, что ее можно разбить на несколько ключевых так называемых реперных точек, характеризующих инцидент. Начинаем мы с момента реализации угрозы, затем переходим к факту обнаружения инцидента или угрозы с помощью используемых нами решений или за счет обращения пользователя и отправки в SOC соответствующего сигнала тревоги. Продолжая, мы переходим к моменту начала приоритизации инцидента, позволяющего нам приоритизировать и усилия по реагированию, не размениваясь по мелочам и не тратя время и иные ресурсы на борьбу с ветряными мельницами в ущерб
Чем быстрее мы обнаруживаем инцидент, чем быстрее мы реагируем на него, тем меньше ущерб. Это очевидный факт, который лежит в основе измерения эффективности многих центров мониторинга безопасности.
Число инцидентов Число инцидентов – самая простая метрика. Ее легко посчитать и показать динамику изменения. Но за ее простотой скрывается и ряд сложностей. Если в прошлом месяце у меня был 21 инцидент, а в этом – 33, то с чем связан такой 50%-ный рост? Нас стали больше атаковать? Или мы покрыли мониторингом большее число систем? Или мы улучшили качество мониторинга? А может, мы изменили понятие инцидента или провели обучение аналитиков SOC? Причин такого явления может быть множество, и без их разбора использовать такую метрику нельзя, так как мы можем сделать неверные выводы, которые приведут нас к неверным управленческим решениям.
Рис. 1.
• 23
Lukatskiy 5/20/20 6:07 PM Page 24
УПРАВЛЕНИЕ Средние значения
Рис. 2.
Рис. 3.
Большинство SOC, к сожалению, очень хорошо умеет вычислять число инцидентов событий с течением времени, но очень плохо занимается измерением непосредственно временных метрик.
Число временных метрик, в зависимости от этапа проведения анализа и расследования инцидента, может быть разным. Например, если свести все этапы работы с инцидентом в таблицу и визуализировать их, то мы поймем, что измерять мы можем любые временные интервалы между всеми указанными этапами, выявляя слабые места в наших процессах реагирования на инциденты.
24 •
более серьезным для бизнеса инцидентам. Завершается временная шкала фактом закрытия инцидента и устранением причин, повлекших за собой появление инцидента, попавшего в центр мониторинга. Большинство SOC, к сожалению, очень хорошо умеет вычислять число инцидентов событий с течением времени, но очень плохо занимается измерением непосредственно временных метрик, а точнее конкретных показателей на показанной временной шкале. Указанные три основные временные метрики (Time-to-Detect, Time-to-Triage, Time-to-Contain) на самом деле представляют только верхушку айсберга. Число временных метрик, в зависимости от этапа проведения анализа и расследования инцидента, может быть разным. Например, если свести все этапы работы с инцидентом в таблицу и визуализировать их, то мы поймем, что измерять мы можем любые временные интервалы между всеми указанными этапами, выявляя слабые места в наших процессах реагирования на инциденты. Такая декомпозиция временных параметров будет полезна
и на нижележащих уровнях, например при оценке эффективности работы по конкретному Рlaybook (руководству по конкретному типу инцидента). Допустим, у вас есть Рlaybook для анализа подозрительной активности пользователя и среднее время реагирования на нее (от момента получения сигнала в SIEM и до замораживания учетной записи в AD, помещения узла в карантинный VLAN и поиска других узлов и пользователей, которые могли быть связаны с пострадавшим) у вас – около 28 мин. Вы смотрите статистику по отработанным инцидентам и видите, что этот показатель немного скачет в диапазоне от 19 до 37 мин., но в среднем составляет те же 28 мин. Вроде все в порядке. Но если бы у вас была возможность мониторить все отдельные шаги/задачи Рlaybook, то вы бы увидели, что вместо традиционных 1–3 мин. на выявление индикаторов, 1–3 мин. их проверки в TI-платформе, 1–2 мин. на принятие решения, 3 мин. на замораживание учетной записи в AD и т.п. ваш аналитик сразу после получения сигнала тревоги помещает пользователя и его узел в карантин, а то и вовсе без проверки передает инцидент на следующий уровень, аналитикам второй линии (L2). И вообще непонятно что аналитик делал оставшиеся 9–10 мин. То ли он пошел на кухню налить себе кофе, то ли он решил посмотреть новости на смартфоне, а может он просто отправился проветриться или посмотреть на солнце после нескольких часов "самоизоляции" в душном помещении. Но имеющаяся у вас метрика по конкретному инциденту соблюдена. Поэтому так важно оценивать не процесс целиком, а его отдельные этапы, проводя декомпозицию.
Кстати, вы заметили, что аббревиатуры, описывающие метрики, начинаются с буквы M? Это сокращение от Median, то есть не среднее арифметическое, а медиана, которая гораздо лучше покажет, насколько часто параметры выходят за средний показатель. Почему мы говорим о медианных значениях, а не о среднем арифметическом? Этот показатель лучше отражает временные показатели в больших выборках с широким разбросом значений. Именно он, а не среднее арифметическое, которым так часто манипулируют. Например, вы встречаете в каком-нибудь отчете тезис, что средняя сумма инцидента ИБ составляет 11 млн руб. (цифра взята с потолка). Авторы отчета умалчивают, что они имели в виду под средним, но чаще всего они, недолго думая, просто делят сумму по всем инцидентам на число инцидентов. Является ли это действительно средним? Увы. В данной ситуации средним должна быть медиана – именно она наиболее точно показывает среднестатистическую компанию. Давайте проиллюстрирую. Представим, что у нас 10 компаний сообщили об инцидентах ИБ. У девяти компаний размер ущерба составил 1 млн руб., а у десятой – 100 млн руб. Среднее арифметическое будет равно 10,9 млн, а вот медиана – одному миллиону. И именно медиана отражает реальную картину размера ущерба (медиана может совпадать со средним арифметическим при симметричном распределении сумм ущерба у компаний). Другой пример. Мы измеряем среднее время обнаружения инцидента, то есть метрику Time-To-Detect (TTD). Среднее арифметическое для данного графика будет 8,81 часа. Но значит ли это, что оно действительно среднее? Нет. Медиана, то есть типичное значение TTD, будет в данном примере равно двум часам. При этом худший показатель TTD будет равен 42, а лучший – 0,1 часа на обнаружение. Но стоит помнить, что для разных угроз/инцидентов эти значения будут разные (хотя их и можно свести к некому единому показателю). Это по требованиям ФСБ в ГосСОПКA данные передаются в течение
Lukatskiy 5/20/20 6:07 PM Page 25
www.itsec.ru
УПРАВЛЕНИЕ
24 часов с момента обнаружения (хотя правильнее говорить регистрации) инцидента независимо от его природы. Но мы с вами прекрасно понимаем, что время обнаружения спама, время обнаружения группировки Cobalt и время обнаружения соединения с командными серверами ботнетов могут сильно различаться. Поэтому временные метрики обычно имеет смысл еще разделять по дополнительным атрибутам, о чем мы поговорим дальше.
Примеры временных метрик Давайте посмотрим на примеры временных метрик. Первая и самая очевидная метрика – это медианное время для обнаружения инцидента, которое я уже упоминал выше. Это наиболее типичный временной интервал, в течение которого SOC начинает реагировать на инцидент. Более длительное значение этой метрики указывает на более высокие уровни ущерба (дольше не видим – больше теряем). Отслеживание этого показателя поможет нам настроить ИБ-инструментарий, улучшить возможности обнаружения инцидентов или увеличить охват сбора данных. Целью измерения данной метрики у нас является минимизация времени на обнаружение. Иными словами, чем быстрее мы обнаруживаем инцидент, тем быстрее, как минимум в теории, мы на него начинаем реагировать и тем быстрее его закрываем и, соответственно, тем меньше ущерб, наносимый компании.
Время приоритизации Следующая интересная метрика, которая может быть использована в SOC, – это медианное время на приоритизацию инцидента. Это среднее время, необходимое центру мониторинга для начала реагирования на инциденты с момента получения сигнала тревоги. Более длинный показатель указывает на более высокие уровни ущерба и неспособность аналитиков своевременно включаться в работу. Иными словами, я получаю сигнал тревоги, но проходит слишком много времени, прежде чем я пойму, что означает для моей компании этот сигнал тревоги. Причиной может служить отсутствие у меня соответствующих
Рlaybook, и мне их надо будет разработать. Возможно, у меня отсутствуют соответствующие правила приоритизации и классификации тех или иных инцидентов по важности, срочности, серьезности или по каким-то иным параметрам. В любом случае это очень важный параметр для измерения эффективности SOC.
Время локализации Наконец, еще одна важная временная метрика, связанная с SOC, – это среднее время, в течение которого SOC локализует инцидент. Разумеется, он отсчитывается с момента своего начала. Более длинные значения метрики указывают на более высокие уровни ущерба, которые несет наша компания. В идеале нам надо смотреть еще глубже и оценивать не просто время реагирования, время приоритизации, время локали-
Рис. 4.
Выигрыш от автоматизации Еще одна интересная метрика – это число часов, сохраненных инструментами автоматизации. Она показывает ценность автоматизации,
Рис. 5. зации и т.п., а делать это применительно к разным типам инцидентов, да еще и для разных аналитиков (новичок и бывалый должны иметь разные временные показатели: второй должен работать быстрее).
Число инцидентов Идем дальше. Следующей интересной метрикой является число инцидентов, обнаруженных с помощью Threat Intelligence. Отслеживание этого показателя показывает ценность применяемых нами фидов, а также провайдеров Threat Intelligence, которыми мы пользуемся и за работу которых мы платим деньги. Эта метрика также может показать, насколько интегрированы подразделения TI и мониторинга в SOC. Может оказаться так, что и фиды у нас качественные, и провайдеры не зря получают от нас деньги, но полученная от них информация не используется при обогащении инцидентов в SIEM, не используется в рамках Threat Hunting, не применяется при расследовании.
Рис. 6. а также дает представление о том, какие инструменты автоматизации дают эффект, а какие не дают. Ну и конечно, она показывает, насколько данные инструменты эффективно используются разными аналитиками SOC, что позволяет выстроить для них личные планы обучения и повышения квалификации. Читайте продолжение в следующем номере журнала. l
Интересной метрикой является число инцидентов, обнаруженных с помощью Threat Intelligence. Отслеживание этого показателя показывает ценность применяемых нами фидов, а также провайдеров Threat Intelligence, которыми мы пользуемся и за работу которых мы платим деньги.
Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
• 25
Kireev 5/20/20 6:07 PM Page 26
ТЕХНОЛОГИИ
Особенности расследования инцидентов, связанных с удаленным доступом Ильяс Киреев, ведущий менеджер по продвижению CrossTech Solutions Group
П При увеличении количества хакерских атак возрастает нагрузка на офицеров информационной безопасности, а при отсутствии автоматизированного сбора артефактов на личных устройствах конечных пользователей серьезно снижается время реакции в случае киберинцидента. Именно поэтому при удаленном доступе важной задачей является использование технологий цифрового паспорта пользователя. Паспорт пользователя позволяет с помощью цифровых меток проводить контроль, управление и аудит прав доступа к электронным документам Microsoft Office (Word, Excel, Visio, PowerPoint). Эта технология ориентирована на выполнение нормативных требований Федерального закона от 29.07.2004 г. № 98-ФЗ "О коммерческой тайне" и является хорошим дополнением к существующим решениям обеспечения информационной безопасности в организации, а также контроля потоков чувствительной информации. При утечке информации такой подход позволяет персонализировать работников компании, которые вносили последние правки в документ, и идентифицировать нарушителя.
40 минут Инцидент-менеджмент подразумевает выстроенный процесс реагирования по регламентированным сценариям (Рlaybook), а также процесс расследования киберинцидентов и порядок сбора информации на скомпрометированной системе. Многие компании при расследовании инцидентов используют разнородные решения в части ручного сбора артефактов и следов компрометации целевой системы. Отсутствие бесшовного процесса расследования и единой платформы значительно снижает время ответа группы ИБ-реагирования, и это, в свою очередь, позволяет злоумышленникам своевременно скрыть следы компрометации.
26 •
ервые итоги перехода в режим самоизоляции показывают, что многие компании оказались неподготовленными к защите своих конфиденциальных данных и интеллектуальной собственности в новых условиях. Отдельные документы и целые базы данных то и дело всплывают у партнеров, конкурентов, на внешних интернет-ресурсах и тем более на черном рынке DarkNet/DeepWeb. Расследование таких инцидентов при дистанционной работе сотрудников заметно осложняется.
Сбор артефактов и доказательной базы в автоматизированном режиме при срабатывании решающего правила средства защиты информации позволяет уменьшить время реакции команды в среднем на 40 мин. при выполнении рутинных работ сбора дампов оперативной памяти, ключей реестров, жестких дисков, файлов и полного образа операционной системы. При организации удаленного доступа сотрудника компании задача сбора следов компрометации стоит особенно остро, так как требуется осуществлять удаленное управление, проводить скрытое расследование, выполнять постанализ инцидента в конечной точке, осуществлять внутреннее управление и сквозное обнаружение информации.
Проблема выбора При выборе средств автоматизированного сбора данных скомпрометированной системы следует придерживаться решений, которые используют единую базу данных расследований и создают четкую картину событий. Технологический стек решения должен основываться на следующих принципах: l доказательная база должна приниматься судами; l база данных должна обеспечивать скорость и отказоустойчивость; l должна быть широкая поддержка шифрования. Масштабируемость решения должна обеспечивать глубокое погружение в данные для расследования нарушений и выполнения нормативных требований при территориально распределенной структуре офисов, наличии крупных пулов и удаленных сотрудников. Это позволит быстро и скрыто реагировать на инциденты в дистанционном режиме, сохраняя при этом непрерывную цепочку событий. Использование такого подхода обеспечит: l агентную инфраструктуру сотрудников удаленного доступа; l скрытые расследования и сбор информации со множества удаленных точек;
l широкую ролевую модель доступа для сотрудников службы информационной безопасности и зональную ответственность; l криминалистически корректный (значимый) аудит. Построение единого решения для улучшения качества расследований в масштабах всего предприятия, кроме прочего, улучшит оперативный сбор данных на удаленном рабочем месте, а фильтрация по любым атрибутам в единой базе данных и извлечение только важной для исследования информации позволит оперативно реагировать на инцидент при расследовании.
Заключение Таким образом, с помощью автоматизации и использования централизованных инструментов анализа данных от скомпрометированной системы можно исследовать неизвестную активность во временном хранилище. Это позволит собрать доказательную базу в едином месте, оперативно использовать данные при расследовании компьютерного инцидента и подготовке доказательной базы в рамках уголовного дела. При использовании технологий определения цифрового паспорта пользователя и компонентов автоматизированного сбора информации для расследования инцидентов в случае утечки информации у удаленного сотрудника офицер ИБ оперативно сможет идентифицировать злоумышленника. Компоненты автоматизированного сбора информации при расследовании инцидентов позволят своевременно собрать доказательную базу в дистанционном режиме. Единая база данных артефактов позволит определить хронологию действий злоумышленника, а при интеграции с решениями типа SIEM/SOAR и DLP значительно уменьшит время реакции при расследовании, когда используется режим удаленного доступа в компании. l Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
All_Over_ip_2020 5/20/20 6:06 PM Page 27
Реклама
Москва 25–27 ноября 2020
13 Организатор
Больше Бизнеса www.all-over-ip 13-й Международный форум
Генеральный спонсор
perimetrix 5/20/20 6:07 PM Page 28
ТЕХНОЛОГИИ
Как обеспечить обмен конфиденциальной информацией между организациями для совместной работы без риска компрометации? Андрей Рыбин, директор по развитию компании Perimetrix
К
оличество обрабатываемых электронных данных конфиденциального характера стремительно увеличивается. По этой причине возрастает потребность рынка в решениях, позволяющих безопасно передавать по открытым каналам конфиденциальную информацию между контрагентами, компаниями одной группы и не допускать ее утечки у получателя, одновременно с этим минимизируя затраты участников обмена на покупку специализированного ПО, выделение отдельных рабочих станций и наращивание серверных мощностей.
Специалистам по информационной безопасности хорошо известно, что для передачи конфиденциальной (защищаемой) информации вовне (вне периметра) по незащищенным каналам связи существует два основных варианта: 1. Передача данных в криптоконтейнере, позволяющая безопасно передать информацию и обеспечить доступ к ней определенному лицу (ID рабочей станции, пароль и т.д.). При получении доступа к данным (их расшифровке) пользователь волен поступать с ними по своему усмотрению. Вердикт: небезопасно!
2. Передача данных в закрытом формате, позволяющем только просмотр данных (электронные книги и др.). Отсутствует возможность работы (редактирования и т.д.) с такими данными. Вердикт: нет доступа (полноценного). Существует также много средств, позволяющих записать экран в момент просмотра данных и распорядиться этой записью по своему усмотрению. Вердикт: также небезопасно. Очевидно, ни тот, ни другой вариант не обеспечивают адекватный уровень безопасности и доступ для обработки конфиденциальных данных одновременно.
Механизм классификации данных и применения ограничительных политик
28 •
Необходимый технический функционал Нужен новый подход, который позволит вести обмен конфиденциальной шифрованной информацией между организациями с учетом ее ценности и даст возможность ее обработки без риска компрометации, исключив недостатки, описанные выше, в том числе без доступа к внутренней корпоративной сети отправителя, при условии наличия подключения к сети Интернет. Для этого нужно реализовать следующие технические решения: l "компактный" агент, легко загружаемый из сети Интернет;
perimetrix 5/20/20 6:07 PM Page 29
www.itsec.ru
ТЕХНОЛОГИИ
Главные выгоды для пользователя Основными техникоэкономическими преимуществами такого решения для потребителя должны стать: l обеспечение безопасного обмена конфиденциальными данными с подрядчиками, партнерами либо в рамках группы компаний; l сокращение временных затрат и трудозатрат на классификацию данных; l повышение эффективности работы с данными в электронном виде (упорядочивание, четкая фиксация мест хранения и используемых приложений, контроль доступа); l улучшение работы комплексной системы защиты информации; l определение минимального набора политик, которые обеспечат необходимый уровень защищенности данных; l обеспечение безопасного обмена конфиденциальными данными с подрядчиками, партнерами либо в рамках группы компаний.
6 принципов целевого продукта Защищенный периметр для хранения конфиденциальной информации при использовании целевого продукта может включать в себя публичное или частное облако, файловый сервер, персональный компьютер или рабочую станцию сотрудника и базу данных. При прохождении конфиденциального документа через серверный компонент получателя данных должен происходить анализ атрибутов документов, их доопределение и анализ на предмет соответствия политикам безопасности, доступным получателю, и присвоение меток. Основные принципы, заложенные в целевой продукт, можно определить следующим образом:
Требуется новый подход, который должен обеспечить возможность обмена конфиденциальной шифрованной информацией между организациями с учетом ее ценности и возможностью ее обработки без риска компрометации, исключив недостатки, в том числе без доступа к внутренней корпоративной сети отправителя, при условии наличия подключения к сети Интернет.
1. Все создаваемые конфиденциальные документы на рабочих местах обогащаются дополнительными атрибутами. 2. Обеспечивается возможность использования как частных, так и глобальных политик всех серверов в рамках единой системы. 3. На основании дополнительных атрибутов, в том числе искусственно присваиваемых в процессе ручной классификации, осуществляется применение политик безопасности – совокупности правил работы с классифицированными объектами. 4. Информация о правах конкретного пользователя хранится на одном или более связанных серверах. 5. Любое обращение к конфиденциальному документу сопровождается проверкой соответствия прав доступа к документу, основываясь на ограничениях обращающегося, установленных на объекте в соответствии с политиками, за счет обращения к серверной компоненте. 6. При проверке соответствия прав доступа к документу и политик производится поиск наличия разрешения по всем связанным серверам в рамках единой системы.
Адаптация к цифровым условиям Окружающая нас документальная и, можно сказать, общая информационная составляющая имеет в подавляющем большинстве цифровой вид, а значит средства владения, хранения, трансформации и передачи данных нужно адаптировать к новым цифровым условиям. Можно с большой уверенностью предположить, что для оперирования цифровой информацией необходима возможность классифицировать ее по самым широким и многочисленным признакам и поддержать эту классификацию программным продуктом, который обеспечит соблюдение классификационных правил взаимодействия с информацией и гарантирует ее конфиденциальность. l
Реклама
l механизм прозрачного шифрования (шифрация и дешифрация "на лету" – в процессе работы с документами); l передача политик безопасности вместе с конфиденциальным документом; l предоставление доступа к конфиденциальным данным, ограниченного по времени; l универсальная классификационная метка (конфиденциальные данные должны помечаться вне зависимости от формата, приложений для работы с ними или файловой системы на рабочей станции); l автоматическая классификация данных в зависимости от информационной системы – источника данных. По имеющейся у нас информации, перечисленный функционал отсутствует у представленных на рынке решений.
Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
• 29
dialognauka 5/20/20 6:07 PM Page 30
ТЕХНОЛОГИИ
Автоматизация пентеста: на шаг впереди хакера Валерий Филин, технический директор CITUM Павел Стеблянко, генеральный директор CITUM Виктор Сердюк, генеральный директор АО “ДиалогНаука"
Э
ффективная защита от угроз информационной безопасности возможна только при комплексном подходе. Одним из его ключевых элементов является своевременное обнаружение и устранение уязвимостей. Традиционно решение этих задач осуществляется двумя способами: с использованием специализированных средств для сканирования уязвимостей (так называемых сканеров безопасности) или посредством тестирования на проникновение (пентеста) с привлечением высококвалифицированных специалистов, которые могут взглянуть на систему защиты организации “глазами хакеров". Однако, помимо очевидных преимуществ, традиционные методы имеют и ряд ограничений.
и дорого стоят. При этом они дают заказчику "текущий срез", актуальный только в один момент времени. Для устранения ограничений традиционных методов анализа защищенности на рынке информационной безопасности появился новый класс решений для автоматизации тестирования на проникновение. В этой статье мы детально раскроем описанные проблемы и расскажем о платформе автоматизации пентеста – Pcysys PenTera.
Установка патчей – не панацея от угроз
Сканеры безопасности, например, обычно генерируют отчеты, насчитывающие сотни страниц с информацией о выявленных уязвимостях, среди которых практически невозможно выделить те, которые действительно представляют наибольшую опасность для организации. Услуги по тестированию на проникновение обычно занимают много времени 1 2
https://nvd.nist.gov/ https://www.first.org/cvss/
30 •
Вслед за тем как компании внедряют новые информационные системы, количество потенциальных уязвимостей, которым они подвержены, растет с экспоненциальной скоростью. Беглый взгляд на базу данных уязвимостей National Vulnerability Database1 показывает, что в последние годы произошел резкий всплеск их количества, особенно в приложениях с открытым исходным кодом. Публично доступные эксплойты для этих уязвимостей – лишь наиболее простые из инструментов хакера. Приоритизация и закрытие уязвимостей для крупной компании может оказаться титанически сложной задачей. В организациях, где серьезно относятся к вопросам ИБ, обычно есть выделенная команда, специализирующаяся на выявлении и устранении уязвимостей, однако высоки шансы того, что сотрудники не успеют охватить их все. Установка патчей, как правило, приоритизирована: большинство организаций фокусируют внимание на устранении уязвимостей, имеющих наивысший теоретический уровень критичности. Даже если вы успеваете ликвидировать уязвимости с уровнем опасности "критичная" и "высокая", скорее всего
вы отталкиваетесь от статистической шкалы CVSS (Common Vulnerability Scoring System2). Эта универсальная шкала по умолчанию не учитывает контекст вашей сети, приложений и массивов данных, поэтому оценка степени критичности статичных уязвимостей на основе CVSS, как правило, не является полностью релевантной для конкретного окружения и носит теоретический характер. Нет сомнений, что обнаружение уязвимостей и установка патчей – жизненно необходимые задачи для сокращения поверхности атаки. Но даже после установки всех обновлений вы все еще можете быть взломаны.
Неочевидные точки входа Существует ряд значимых аспектов, которые остаются без внимания систем управления уязвимостями. К ним относятся так называемые динамические уязвимости, связанные с небезопасным пользовательским поведением, небезопасной конфигурацией инфраструктуры, ошибками в настройках внедренных средств защиты, нестойкими паролями и недостаточным контролем за привилегированным доступом. Как правило, хакерская атака начинается через эксплуатацию динамических уязвимостей. Точкой входа в сеть может служить рабочая станция, куда злоумышленник успешно проникает, например, с использованием техник социальной инженерии. Попав внутрь сети, атакующий изучает и оценивает ее, выполняет горизонтальное продвижение, используя доступные средства для достижения конечной цели своей атаки. Для борьбы с наиболее сложными целенаправленными атаками целесообразно прибегать к методу оценки эффективности применяемых средств защиты
dialognauka 5/20/20 6:07 PM Page 31
www.itsec.ru
ТЕХНОЛОГИИ
с позиции злоумышленника. Во время атаки необязательно использовать критические уязвимости, выявляемые сканерами. Терпеливо изучив сеть и средства защиты, злоумышленники могут прибегнуть к инструментам, специально разработанным для эксплуатации уязвимостей со средней или даже низкой критичностью по шкале CVSS. Важно отметить, что возможности атакующих довольно обширны: наиболее известная отраслевая база знаний по техникам атак MITRE ATT&CK Matrix3 описывает сотни различных приемов, сгруппированные в 12 категорий. Атакующие постоянно совершенствуют и развивают свои навыки и пополняют арсенал используемых средств. Как только становится известно о новых эффективных техниках реализации атак, они мгновенно получают распространение через "теневой Интернет" (Dark Web4) и специализированные хакерские сообщества.
Зачем автоматизировать пентест? Попытка защитить себя без понимания точки зрения злоумышленника – невероятно сложная задача. Традиционный подход к тестированию на проникновение дает вам статичный снимок того, как атакующий может взломать сеть в конкретный момент времени. В большинстве случаев пентест – это недостаточно регулярная процедура, выполняемая один или два раза в год. Современные сети меняются динамично, из-за чего результаты пентеста устаревают за считанные дни. Ответить на этот вызов позволяет машинный пентест, который обходит названные ограничения и дает вам возможность круглосуточного наблюдения за состоянием защиты, предоставляя выводы и рекомендации, релевантные именно вашим информационным системам. Преобразование пентеста в доступный ежедневный метод проверки позволяет защищающейся стороне первой узнавать об эксплуатируемых уязвимостях и исправлять их до того, как злоумышленник сможет найти и использовать их в атаке. Кроме того, автоматизированный пентест дает возможность сфокусироваться на исправлении именно тех уязвимостей, которые в реальной жизни могут эксплуатировать хакеры. Злоумышленники уже давно автоматизируют свою деятельность и применяют для атак специализированные комплексные решения. Команды безопасности в организациях продолжают использовать классический набор отдельных инструментов для ручного тестирования защиты, который зачастую отстает от соответствующего инструментария хакеров. Таким образом, автоматизация пентеста дает возможность существенно упростить и повысить эффективность предотвращения атак. 3 4
5 преимуществ автоматизации пентеста Автоматизация пентестов дает службе ИБ множество уникальных преимуществ: 1. Позволяет выполнять тестирование на проникновение с беспрецедентной скоростью, демонстрируя общую картину реальных рисков в течение нескольких часов вместо дней или даже недель. 2. Благодаря высокой скорости работы тестирование защищенности можно выполнять в полном масштабе инфраструктуры. 3. Вы можете проверять свою сеть как угодно часто – ежемесячно, еженедельно или даже ежедневно, получая непрерывную оценку, недостижимую в случае ручного пентеста. 4. Непрерывный анализ защищенности позволяет выявлять редкие или "плавающие" уязвимости, равно как векторы атак, доступные в течение непродолжительного времени. 5. Автоматизация позволяет протестировать сценарий скрытного терпеливого злоумышленника, который неделями находится в сети, никак себя не обнаруживает и ждет удачного момента для взлома. Такой сценарий практически невозможно воспроизвести по запросу в рамках обычного пентеста, выполняемого приглашенным подрядчиком.
PCYSYS PenTera – новый подход к кибербезопасности Большинство служб информационной безопасности сталкиваются с проблемами наличия бюджета и квалифицированных кадров. Именно поэтому для оптимизации затрат и повышения эффективности работы автоматизируются процессы кибербезопасности, включая оценку рисков, установку обновлений, обнаружение и предотвращение вторжений и др. В сфере автоматизации процессов тестирования на проникновение лидирует компания Pcysys. Автоматизированный пентест дает глубокое понимание контекста слабых мест и уязвимостей в сети, а также позволяет оптимизировать процесс установки патчей. Вместо применения традиционного подхода к устранению уязвимостей на основе шкалы CVSS вы можете начать с исправления того, что действительно несет максимальный риск для вашей организации. После устранения наиболее критичных проблем можно немедленно запустить повторную проверку сценария атаки, чтобы убедиться в эффективности принятых мер. Таким образом, вы всегда остаетесь на шаг впереди атакующего.
Анализ защищенности со всех сторон Pcysys PenTera – это программная платформа, предназначенная для автоматизации пентеста. Простым нажатием кнопки вы сможете проверить, защищена
https://attack.mitre.org/matrices/enterprise/ https://en.wikipedia.org/wiki/Dark_web
ли ваша ИТ-инфраструктура, и выявить проблемы разной степени критичности, которые необходимо устранить для предотвращения потенциального взлома сети. Эта система имеет целый ряд плюсов: 1. Pcysys PenTera может непрерывно выполнять оценку защищенности сети. Вместо ежеквартального или ежегодного пентеста вы можете оценивать уровень защищенности постоянно, и все это без дополнительных инвестиций или существенных затрат ресурсов. Вы можете запустить задачу проверки и заняться повседневными делами, а по завершении тестирования получить от системы отчет с рекомендациями по устранению слабых мест. 2. PenTera показывает модель реального хакера. Это не симуляция, а реальный взлом организации, выполняемый безопасным способом с применением этических вредоносных инъекций и хакерских приемов. Система покажет объективную оценку защищенности сети организации в условиях, максимально близких к реальному взлому, и продемонстрирует пошаговые векторы атак с подробным описанием каждого этапа. При этом эксплуатация выполняется безопасным образом, не приводя к прерыванию критичных сервисов и бизнеспроцессов. 3. PenTera помогает приоритизировать устранение уязвимостей и слабых мест в сети организации, выводя процесс на новый, экономически эффективный уровень. Сканеры анализа защищенности показывают десятки тысяч уязвимостей (есть даже сети с более чем миллионом уязвимостей), что сильно усложняет процесс их устранения. PenTera фокусирует процесс устранения в первую очередь на фактически подтвержденных и опасных векторах атак.
Эффективное решение для любой отрасли Технология Pcysys PenTera не привязана к какой-либо конкретной отрасли. Сеть – везде сеть, будь то в финансовой, производственной или другой организации. В числе заказчиков Pcysys есть банки, фонды, инвестиционные и страховые компании, телеком-операторы, ИТ-компании, юридические организации, ритейл, образовательные учреждения, организации из сферы здравоохранения и др. Pcysys PenTera позволяет существенно повысить уровень защищенности компании за счет обеспечения непрерывной оценки текущего уровня безопасности с позиции реального злоумышленника. Система дополняет существующие средства защиты, такие как SIEM или решения по управлению привилегиями, и успешно интегрируется с ними. l Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
• 31
in4security 5/20/20 6:07 PM Page 32
ТЕХНОЛОГИИ
Повышение осведомленности сотрудников: We Can Do It Александр Дворянский, директор по маркетингу компании “Инфосекьюрити" (ГК “Софтлайн")
П
Почти во всех инцидентах информационной безопасности присутствует
овышение осведомленности сотрудников в сфере ИБ – один из вечных трендов информационной безопасности. И, к сожалению, один из тех, которым зачастую пренебрегают, согласно ежегодно публикуемой статистике. Надежды на “русский авось" или убеждение в том, что защитить ценные данные получится с помощью одних только технических средств и систем, способны привести к серьезным последствиям. Финансовые потери, операционные сбои, утрата партнеров и клиентов и, как следствие, ухудшение делового имиджа случаются гораздо чаще, чем это можно себе представить. Если я вас достаточно напугал, значит мы можем переходить к основной части статьи.
Скажу об отрасли, в которой я долгое время работаю, чтобы вы поняли, почему мне интересна эта тема. Компания "Инфосекьюрити" оказывает услуги в сфере информационной безопасности, системной интеграции и консалтинга. Нам важно показать, что мы можем защитить не только данные, которые нам доверяют клиенты, но и свои собственные активы. И здесь повышение осведомленности играет весьма и весьма значительную роль.
человеческий фактор. Конечно, причиной бывают и неосторожность, и злой умысел, и действия мошенников. Но в большинстве случаев дело в том, что сотрудники компаний попросту не знают – а потому не соблюдают – правила ИБ.
32 •
Зачем это нужно В любой уважающей себя компании существуют внутренние регламенты, политики и методики, посвященные правилам хранения и обработки конфиденциальной информации. Увы, само по себе наличие этих документов не дает ровным счетом ничего. Реальную защиту обеспечивают сотрудники, которые точно следуют прописанным в документах требованиям. Но где найти таких идеальных защитников? Хитрость в том, что их нужно не искать, а, скажем так, выращивать. Комплекс мероприятий и материалов, направленных на повышение осведомленности в сфере ИБ, позволяет сформировать в компании культуру работы с ценными данными. Если все подобрано верно, сотрудники начинают соблю-
дать правила информационной безопасности на рефлекторном уровне, и вам уже не придется заботиться о том, что кто-то из них не заблокирует экран компьютера, потеряет токен или забудет квартальный отчет в лотке принтера.
Очное vs дистанционное Не секрет, что большинство российских компаний предпочитает проводить обучение своих сотрудников – если вообще его проводит– по старинке, в очном формате. Чаще всего это вводные инструктажи по информационной безопасности для новичков. Реже инструктажи дополняются почтовыми рассылками с выдержками из уже упомянутых регламентов и политик конфиденциальной информации. Та же статистика показывает, что такой подход больше не работает. Во всем мире очное обучение достаточно быстро уступает место обучению дистанционному. И на это есть ряд причин. Самая приятная – снижение затрат: электронные материалы разрабатываются и покупаются один раз, а используются столько, сколько необходимо. Еще одна причина выбрать e-learning – удобство: интерактивные курсы, видеоролики и браузерные игры можно просматривать на разных видах устройств – компьютере, планшете или смартфоне – в любое время. Немаловажно и то, что при выборе дистанционного
обучения мероприятия проводятся для любого количества сотрудников, в разных регионах страны – без затрат на выезд тренеров и решение организационных вопросов. Есть и такое, неочевидное на первый взгляд, преимущество: все давно знают, чего можно ожидать от очного обучения. Грубо говоря, оно не способно удивить сотрудника, по-настоящему вовлечь его в процесс повышения осведомленности. В то же время дистанционное обучение каждый год демонстрирует появление новых методов и технологий. Онлайн-тренажеры, симуляторы бизнес-процессов, VRкейсы, многопользовательские игры – все эти форматы доказывают, что своего "потолка" e-learning достигнет еще очень нескоро.
С чего начать Конечно, с целевой аудитории. Проще говоря, разделите ваших сотрудников на группы и определите темы, актуальные для каждой группы. Топ-менеджерам вряд ли будет интересно изучать актуальные уязвимости программного обеспечения, а для разработчиков это один из главных аспектов ИБ. Когда темы определены, подумайте о форматах обучающих материалов – их тоже нужно персонализировать. Например, у сотрудников frontофиса не так много свободного времени, а иногда и нет личного
in4security 5/20/20 6:07 PM Page 33
www.itsec.ru
ТЕХНОЛОГИИ
Тренды дистанционного обучения Собственно, об одном из трендов я уже упомянул – это персонализация, разработка материалов с учетом потребностей целевой аудитории. Если сотрудник понимает, что обучение создано именно для него, процесс становится более приятным и менее стрессовым, а значит приносит лучшие результаты. Кстати, персонализации можно достигнуть не только за счет подбора разных форматов, но и с помощью вариативности внутри одного формата, например, создавая несколько траекторий прохождения электронного курса или давая возможность повторить пройденный материал. Следующий тренд e-learning – геймификация. Помимо собственно игр, геймификация также активно используется в электронных курсах. Она предполагает добавление игровых элементов – персонажей, анимацию, увлекательный сюжет, постепенное усложнение заданий. Геймификация – это вообще интересная история, потому что она может быть полностью электронной, а может "перетекать" в реальную жизнь. Допустим, за успешное прохождение курсов по информационной безопасности сотрудника можно наградить одним дополнительным днем отпуска. Такие вещи, конечно, согласовываются с HR. Наконец, еще один тренд – микрообучение. Оно предполагает подачу теоретического материала небольшими блоками и закрепление каждого блока практическими заданиями. Например, посмотрел пять слайдов курса – ответь на тестовый вопрос или выполни простое упражнение. Если речь идет о видеороликах, то они должны быть длиной не более двух минут. Лучше сделать серию коротких роликов (их можно объединить одним забавным сюжетом), чем застав-
лять сотрудника смотреть тягомотную, пусть и крайне полезную, 7-минутную проповедь. Но и дробить обучение до бесконечности не стоит – так легко потерять логику повествования.
Проверка знаний В качестве проверки знаний чаще всего выступают тестирования, упражнения и кейсы в рамках электронных курсов, а также тренажеры и бизнессимуляторы, направленные на отработку четкой последовательности действий. В любом случае они эффективны главным образом тогда, когда вы можете отслеживать, насколько успешно сотрудники компании их проходят. А это значит, что вам очень желательно обзавестись системой дистанционного обучения (СДО) и загружать материалы уже в нее. Рынок предлагает достаточно вариантов, подобрать нужный не составит труда. Ранее я упоминал о рассылках, имитирующих вредоносные письма. Учебные фишинговые рассылки хорошо использовать и для периодической проверки знаний. Например, если ваш сотрудник "поддался на провокацию" и открыл такое письмо, его можно повторно направить на изучение курса, посвященного социальной инженерии. В некоторые СДО входит учебный фишинговый модуль, с их помощью вы совместите приятное с полезным.
Печать в помощь Электронные обучающие материалы принято дополнять печатными материалами – памятками, буклетами, плакатами, стикерами. Они отлично справляются с задачей сделать обучение разнообразным и запоминающимся. Не бойтесь привлекать к их оформлению профессиональных дизайнеров и иллюстраторов, экономить на внешнем виде в данном случае не стоит. Кстати, именно памятки и буклеты имеет смысл "внедрять" в обучающий процесс первыми. Если разработанные для них концепции и персонажи понравятся и запомнятся сотрудникам, их вполне можно будет применять и в других материалах.
Реклама
рабочего компьютера. Им подойдут короткие анимационные видеоролики и яркие плакаты, иллюстрирующие главные правила информационной безопасности. Их можно размещать и демонстрировать и в рабочих помещениях, и в комнатах отдыха. Сотрудники backофиса могут уделить обучению больше внимания, поэтому им лучше адресовать электронные курсы с включенной проверкой знаний и периодические почтовые рассылки. Еще одна хорошая практика – перед тем, как проводить обучение по информационной безопасности, проверить, что ваши сотрудники уже знают. Самый простой способ это сделать – провести тестирование, даже небольшое, и разослать письма, имитирующие настоящие вредоносные послания. Так вы поймете, на каких темах нужно сделать основной акцент.
Подведем итоги Заставить человека учить то, что ему неинтересно, и соблюдать то, что ему непонятно, невозможно. Создавая для сотрудников комплексные программы повышения осведомленности, излагая материал простым и доступным языком и облекая его в игровую форму, вы делаете вклад в безопасность – вашу, вашей компании и ваших клиентов. И если все сделано "по науке", эти вложения непременно окупятся. l Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
• 33
sapr 5/20/20 6:07 PM Page 34
ТЕХНОЛОГИИ
Средства обеспечения контролируемой вычислительной среды удаленного пользователя Светлана Конявская, заместитель генерального директора ЗАО “ОКБ САПР”, к.ф.н.
Т
е, кто не считает, что хоть какая-то защита лучше, чем никакой, а понимает всю опасность безосновательной самоуспокоенности, отдает себе отчет в том, какие меры на самом деле должны приниматься при переводе сотрудников на удаленную работу.
Пример серьезного отношения к защите информации, как обычно, подал Банк России, сформулировав в информационном письме1 рекомендации по организации мобильного удаленного доступа: "...применение технологий виртуальных частных сетей; применение многофакторной аутентификации; применение
Характеристики планшета "ПКЗ 2020" Форм-фактор: планшет-трансформер (планшет + клавиатура) Размер экрана: 11,6 дюйма Разрешение экрана: 1920x1080 пкс Автоповорот: да Аккумулятор: 9600 мАч, Li-Ion, что обеспечивает работу без подзарядки в течение всего дня Процессор: Intel® Celeron® N3450 Видеоускоритель: Intel® HD Graphics 500 ОЗУ: 8 Гбайт Встроенная память: 64 Гбайт Сенсорный экран: да, 10 точек Основная камера: 8 Мпкс Дополнительная камера: 6 Мпкс Динамики: встроенные, стерео Микрофон: встроенный Встроенный модем: 3G + LTE (передача данных) Wi-Fi: 802.11 a/b/g/n/ac Bluetooth: 4.0 Разъем карты памяти: microSD, не более 64 Гбайт USB: 2 x USB3.0 Разъем гарнитуры: 3,5 мм ОС: Windows x64 8.1 и выше, Linux x86-64 с версией ядра выше 4.0
терминального доступа (по возможности); мониторинг и контроль действий пользователей удаленного мобильного доступа. Организационные и технические меры, необходимые для реализации указанных рекомендаций при осуществлении удаленного мобильного доступа, содержатся в национальном стандарте Российской Федерации ГОСТ Р 57580.1–2017 “ Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер” , утвержденном приказом Федерального агентства по техническому регулированию и метрологии от 08.08.2017 № 822-ст.". Две последние рекомендации – как раз о том, чтобы минимизировать потенциальное негативное влияние персональной вычислительной среды пользователя, которая, во-первых, не защищена должным образом, во-вторых, предоставляет ему слишком много возможностей.
Мобильный доступ: планшет "ПКЗ 2020" Несмотря на то что хорошо понятно, как оборудовать личные компьютеры сотрудников так, чтобы их можно было безболезненно включить в корпоративную ИT-инфраструктуру,
эти действия представляются мало реальными. В то же время для ряда операций работа в доверенной вычислительной среде является абсолютно необходимой. Апеллируя к уже упомянутым финансовым организациям, это выполнение криптографических операций, которые допускается выполнять только с использованием СКЗИ не ниже КС22. В таких условиях наиболее приемлемым способом организации удаленной работы сотрудников является выдача им устройств, с которых они будут получать удаленный доступ к информационной системе. Если доступ должен быть не только удаленным, но и мобильным, то это, очевидно, должен быть планшет. Единственный планшет с установленным СДЗ уровня платы расширения, сертифицированным ФСБ России как АПМДЗ класса 1Б, – это планшет разработки ОКБ САПР "ПКЗ 2020"3. В его специально предусмотренный для этого слот (а не на место какого-либо другого устройства) установлен "Аккорд-АМДЗ" (сертификат СФ/527-3214 от 10.10.2017 г.). Это позволяет использовать на планшете любое СКЗИ класса КС2 и КС3, в формуляре которого в качестве АПМДЗ указан "Аккорд-АМДЗ" (это большин-
1 Письмо Банка России от 20.03.2020 г. № ИН-014-56/17 “Информационное письмо о мерах по обеспечению киберустойчивости и информационной безопасности в условиях распространения новой коронавирусной инфекции (COVID-19)". https://www.cbr.ru/ StaticHtml/File/59420/20200320_in-014-56_17.pdf?utm_source=sendpulse&utm_medium=email&utm_campaign=aktualnie-ugrozi-priorganizat&spush=ZHVnYXJvdkBva2JzYXByLnJ1 2 Положение Банка России от 17.04.2019 г. № 683-П “Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента". ГОСТ Р 57580.1–2017 “Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер”. Методические рекомендации Банка России от 14 февраля 2019 г. № 4-МР по нейтрализации банками угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации. https://www.garant.ru/products/ipo/prime/doc/72075160/ 3 Планшет СКЗИ Ready “ПКЗ 2020". https://www.okbsapr.ru/products/accord/planshetSKZIreadyPKZ2020/
34 •
sapr 5/20/20 6:07 PM Page 35
www.itsec.ru
ТЕХНОЛОГИИ
ство российских СКЗИ). Планшет может приобретаться с предустановленным СКЗИ, или оно может устанавливаться самостоятельно. Необходимо подчеркнуть, что уникальность "ПКЗ 2020" определяется не только тем, что это единственное уже интегрированное решение, под ключ. Установить СДЗ уровня платы расширения в распространенные сегодня планшеты без ущерба для функциональности планшета невозможно в принципе. Даже если в них есть для этого свободный слот m.2 (обычно единственный m.2 занят Wi-Fi-модулем), то он имеет выход не на PCI, а на SSD, то есть для установки АПМДЗ он не годится. Если даже есть свободный слот подходящего вида (с ключами А-Е), то особенности питания планшетов делают невозможным выполнение функции сторожевого таймера – разрыва питания – так, как они реализованы во всех остальных АПМДЗ, кроме "Аккорда". В "АккордеАМДЗ" сторожевой таймер сделан с учетом особенностей применения на планшетах. Поэтому предложения от поставщиков "защищенных планшетов" нуждаются в тщательном осмыслении: в каком отношении этот планшет защищенный, в том ли, которое требуется.
Стационарный доступ: АРМ на базе m-TrusT Однако не всегда удаленная работа должна быть непременно мобильной. В сложившихся условиях она достаточно часто может быть стационарной, но из дома. В этом случае возможно применение менее дорогих решений, чем индивидуальные планшеты для каждого сотрудника. Как правило, у сотрудников дома есть какой-никакой компьютер и периферия к нему. К этой периферии можно подключить защищенный АРМ на базе специализированного микрокомпьютера с аппаратной защитой данных m-TrusT4. Он обладает "вирусным иммунитетом" благодаря Новой гарвардской архитектуре, а состав его ПО формируется при заказе и пользователем самостоятельно быть изменен не может, то есть 4 5
сотрудник не сможет реализовать попытку расширить свои возможности путем установки какого-то дополнительного ПО, пользуясь тем, что средство вычислительной техники находится в его распоряжении. В состав m-TrusT входит резидентный компонент безопасности, в котором реализовано СДЗ, физический ДСЧ, установлено сертифицированное средство разграничения доступа. Все это создает предпосылки для использования на нем СКЗИ классов КС2 и КС3. Так, недавно с положительным результатом завершены исследования соответствия СКЗИ Dcrypt 1.0 v.2 классу КС2 (вариант исполнения 29) и КС3 (вариант исполнения 30) при исполнении на специализированном компьютере с аппаратной защитой данных m-TrusT. Для работы с АРМ на базе m-TrusT в режиме терминального доступа надо указать при заказе, что в ОС микрокомпьютера должно быть установлено ПО терминального клиента. После завершения работы можно перекоммутировать периферию обратно к домашнему ПК.
Работа с домашнего ПК: доверенный сеанс связи "МАРШ!" Наконец, самый бюджетный вариант для работы сотрудника со своего домашнего компьютера, но исключающий влияние этого компьютера на ИС, к которой сотрудник получает удаленный доступ, – это средство обеспечения доверенного сеанса связи (СОДС) "МАРШ!"5. При начале доверенного сеанса связи пользователь загружается с "МАРШ!", обеспечивая тем самым доверенную среду. Далее стартует терминальный клиент (или виртуальный клиент, или браузер – смотря как именно организована удаленная работа в ИС) и начинается сессия. Загрузка производится из защищенной от записи памяти, жесткий диск компьютера не используется. Конфигурация загруженной операционной системы максимально ограничивает свободу пользователя: ему недоступны органы управления операционной системы, рабочая среда полностью изолирована
M-TrusT. https://www.okbsapr.ru/products/newharvard/m-trust/ СОДС. https://www.okbsapr.ru/products/storage/compute/sods/
от посторонних сетевых соединений, открытый трафик отсутствует, а после завершения работы в терминальной сессии (или в браузере и т.д.) сеанс связи завершается, не давая пользователю делать что-то лишнее. После загрузки ОС с "МАРШ!" на произвольный домашний компьютер сотрудника и старта браузера устанавливается доверенный сеанс связи с VPNшлюзом центральной ИС, закрытые ключи и сертификаты для которого хранятся в защищенной памяти "МАРШ!". Доступ к ним возможен только из ОС "МАРШ!", поэтому подключиться к ИС со своего компьютера, загруженного не с "МАРШ!", а с жесткого диска, и использовать ключи VPN, хранящиеся на "МАРШ!", пользователь не сможет. В случае если работать планируется в режиме веб-доступа, через браузер, МЭ из состава ПО в загружаемой ОС позволит задать единственно возможный адрес соединения, чтобы пользователь по ошибке не зашел в рамках доверенного сеанса связи на какой-то небезопасный ресурс. Плюс решения еще и в том, что пользователю не придется вообще никак менять привычный уклад жизни: отключил "МАРШ!", перезагрузился и используешь домашний компьютер по его прямому назначению.
Удобно, безопасно, без стресса Перечисленные в этой статье средства обеспечения удаленной работы в ИС объединяют три ключевых момента: 1) они делают удаленную работу сотрудника безопасной для ИС; 2) они не требуют внесения существенных изменений в саму ИС; 3) их использование несложно и не накладывает ограничения на использование сотрудником его личных устройств, что предельно важно. В стрессовой ситуации необходимо стараться снижать уровень переживаний, а не усиливать его дополнительными усложнениями жизни. И так хватает. l NM АДРЕСА И ТЕЛЕФОНЫ ОКБ САПР см. стр. 48
• 35
irdeto 5/20/20 6:08 PM Page 36
ТЕХНОЛОГИИ
Основные опасности устройств в составе умного дома С чем сталкиваются потребители? Джим Филлипофф (Jim Phillipoff), руководитель отдела развития бизнеса, средств массовой информации и развлечений компании Irdeto
В
се многочисленные и разнообразные возможности, связанные с подключаемыми устройствами и Интернетом вещей (IoT), до конца еще не изучены. По сегодняшним общемировым оценкам, в среднем на один дом приходятся девять подключенных устройств, а в некоторых странах это количество достигает 23. Потребители все больше зависят от качественного подключения к глобальной сети. Бизнес тоже получает массу преимуществ, связанных с IoT. С другой стороны, быстрое распространение поддерживающих IoTустройств создает для хакеров небывалые возможности для пиратских действий и вторжения в домашние сети. Если, конечно, защита этих устройств недостаточно надежна.
По результатам исследования, проведенного Sonicwall1 в 2019 г., количество кибератак на устройства IoT по сравнению с 2017– 2018 гг. повысилось на 215%. Сегодня опасность еще более возрастает, поскольку неожиданно резко увеличилось количество людей, практически постоянно работающих из дома. Многие из них, когда работали из офиса, были защищены корпоративными межсетевыми экранами, однако этих экранов практически нет в домах. Ваш "Домашний офис" – это всего лишь еще одно устрой-
ство подключенного дома (ноутбук или планшет), поэтому риск злонамеренного внедрения в домашнюю сеть растет экспоненциально. Более того, когда вы работаете из дома, атака на дом может развиться в атаку на корпоративную сеть вашего работодателя. При этом домохозяйства неспособны сами обеспечить свою безопасность. Проведенное Broadband Genie исследование показало, что 86% потребителей никогда не обновляли встроенное ПО своего маршрутизатора. Но если поль-
зователи ничего не делают, это не значит, что они не знают об угрозах. В 2018 г. отделение Market Intelligence компании Microsoft опубликовало обзор, в котором особое внимание уделялось опасениям потребителей относительно их цифровых помощников, и основной проблемой было признано отсутствие должной защищенности персональной информации и данных. Цифровые помощники, как и другие подключенные устройства в доме, следует оценивать с точки зрения не только функциональности и цены, но также и безопасности. Скорее всего, хакеры будут уделять цифровым помощникам больше "внимания", чем любым другим устройствам, поскольку помощники могут играть роль центрального элемента, контролирующего все остальные элементы домашней сети. Это же применимо и к маршрутизаторам, выступающим в качестве ее шлюзов.
Кто несет ответственность за безопасность IoTустройств и всего умного дома – поставщик услуг, производитель устройств или потребитель? Несомненно, потребители и поставщики услуг не могут 1
36 •
https://irdeto.sharepoint.com/:b:/s/d_mi/EdiRtYpvXG5FosIu7fQSmdIBvyXgX8zn86ehQ_zHbkCfDA
irdeto 5/20/20 6:08 PM Page 37
www.itsec.ru
ТЕХНОЛОГИИ
На что должны обращать внимание поставщики услуг? При защите услуг умного дома операторам связи нужно удовлетворить как запросы своих заказчиков, так и требования текущего и будущего законодательства. Помимо повышения уязвимости, обусловленного быстрым распространением поддерживающих IoT-устройств, операторы связи и потребители сталкиваются с проблемами управления умным домом. Когда у абонентов возникает вопрос с безопасностью или соединением, они обращаются за содействием к своему поставщику услуг широкополосной связи. Однако операторы связи неспособны заглянуть за шлюз, чтобы проверить работу устройств и получить сведения о них с целью решения возникших проблем. Поэтому операторам связи необходимы инструменты, повышающие эффективность решения проблем с безопасностью и качество предоставляемых потребителям услуг. Важнейшей частью любого решения является технология Fingerprinting в IoT. Она обеспечивает получение потребителем и его поставщиком услуг полной и достоверной информации о подключенных к домашней сети устройствах. 2
https://irdeto.com/video-entertainment/smart-home-security-wifi-management/
Связанное с рассматриваемыми вопросами законодательство находится на ранней стадии развития, при этом важным шагом следует считать новую систему маркирования устройств IoT, обсуждение которой включено в план работы правительства Великобритании. Поставщики услуг должны рассматривать проблемы, возникающие при революционном развитии умного дома, как возможности роста, использование которых позволит им достичь основных целей их бизнеса.
Новые технологии для обеспечения безопасности умного дома Чтобы решить описанные проблемы, операторам связи необходимо найти технологию для обеспечения безопасности, защищающую подключенный дом целиком, включая маршрутизатор. Передовые решения должны обеспечивать блокирование входящего и исходящего злонамеренного трафика, включать в себя устройства обработки Fingerprinting и обнаруживать аномальное поведение с помощью искусственного интеллекта. Помимо обеспечения безопасности, наилучшие решения, претендующие на самое качественное обслуживание абонента, должны обеспечивать родительский контроль, управление и оптимизацию Wi-Fi. Безусловно, важнейшим дополнением к управлению Wi-Fi является обеспечение его безопасности, и для операторов важны все аспекты, позволяющие повысить продажи и сократить текучесть абонентской базы.
Роль искусственного интеллекта в защите от угроз Искусственный интеллект может стать для умного дома основным средством обнаружения угроз и нестандартного поведения в режиме реального времени. Исключительно важно найти решение, в котором применяется технология Fingerprinting, не нарушающая конфиденциальность потребителя и использующая такие инструменты, как углубленная проверка пакетов (DPI). Благодаря автоматическому обнаружению устройств и распознаванию отклонений от стандартного функционирования это решение способно выделять уязвимости, предлагать способы устранения угроз и даже решать проблемы с соединением при минимальных усилиях со стороны потребителя и его поставщика услуг. Дополнительную информацию о решении Irdeto Trusted Home для обеспечения безопасности и управления соединениями можно получить на сайте www.irdeto.com2. l
Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
Реклама
отдать обеспечение безопасной и надежной работы своих сетей на откуп производителям устройств IoT. Если можно говорить о какой-то ответственности поставщика услуг, когда речь идет о маршрутизаторе, то оператор связи зачастую неспособен заглянуть за шлюз, чтобы проверить работу устройств и получить сведения о них с целью решения возникающих проблем. Но не все так плохо. Поскольку на рынке присутствует множество производителей устройств, поставщики услуг способны предложить потребителям новое прекрасное решение, которое защитит весь дом и принесет желаемое спокойствие. Операторы связи просто должны найти решение, благодаря которому они смогут получать информацию о происходящем в домашней сети. Имеется достаточно большое количество исследований, показывающих, что потребители согласны платить за защиту своих устройств и данных. Так, в проведенном ранее в этом году исследовании Blackberry утверждается, что 58% потребителей готовы платить больше за подключенные устройства, если они уверены в том, что их данные и конфиденциальность защищены. Предоставляя действительно затребованные потребителями услуги обеспечения безопасности и управления Wi-Fi, операторы связи могут повысить ARPU и сократить основные затраты.
• 37
Moroz 5/20/20 6:08 PM Page 38
ТЕХНОЛОГИИ
Защита удаленных подключений: всерьез и надолго Дмитрий Мороз, менеджер по развитию бизнеса департамента ИБ, компания INLINE Technologies
2020 год становится, пожалуй, самым знаковым за последние два десятилетия для нашей страны и мира в целом. В условиях пандемии перевод сотрудников предприятий и организаций на удаленный режим работы приобрел небывалые масштабы и затронул даже те отрасли, где работа вне офиса ранее не приветствовалась, например банки. С учетом того, что обеспечение безопасности является ключевым аспектом дистанционных коммуникаций, особую актуальность для организаций приобретает выбор тактики корпоративной ИБ в новых условиях.
Временные меры – не выход Многие организации стали широко использовать ИБ-продукты по схеме Try & Buy, рассчитывая сейчас защититься массовым ПО по бесплатной лицензии, а потом отказаться от этого и продолжить работать как раньше.
Очевидно, что минимально необходимой мерой обеспечения безопасного сеанса пользователя в рамках BYOD должна быть защита подключения устройства к корпоративной сети с помощью VPN. Однако VPN не решает исходную проблему включения в сеть непроверенного домашнего устройства.
38 •
Массовый переход на работу в удаленном и зачастую незащищенном режиме открывает для злоумышленников гораздо более богатые возможности, чем это было до сих пор. И, как показывает практика, далеко не все организации оказываются готовыми к масштабам этих угроз. Взаимодействуя с нашими заказчиками, мы нередко убеждаемся, что те срочные меры, которые предпринимаются в режиме "здесь и сейчас", скорее всего не могут быть жизнеспособными в долгосрочной перспективе. Так, многие организации даже вопреки внутренним стандартам стали широко использовать ИБ-продукты по схеме Try & Buy, по большей части рассчитывая сейчас защититься массовым ПО по бесплатной лицензии, а потом отказаться
от этого и продолжить работать как раньше. Между тем есть основания полагать, что после первой волны социальных ограничений вполне может последовать и вторая, и третья – хотя бы вслед за волнами активности того же коронавируса. И соответственно, в ближайшем будущем все временные решения необходимо будет превращать в комплексные системы.
Основные уязвимости При защите удаленных участков инфраструктуры, которые наиболее доступны для внешних атак, первостепенное внимание, на наш взгляд, должно быть уделено мониторингу подключений и аудиту пользователей. Безусловно, наиболее благоприятной можно считать ситуацию, когда у организации есть возможность раздать сотрудникам рабочие ноутбуки для выполнения служебных обязанностей из дома. Эта схема работы называется COBO (Corporate-Owned, Business Only). Она, как и ее более открытая разновидность COPE (Corporate-Owned, Personal Enable), позволяет ИТ-службе обеспечить максимальную защищенность систем и каналов связи в условиях территориально распределенного расположения корпоративных оконечных устройств. Однако такой вариант не везде и не всегда удается реализовать. Как минимум в организации для этого заранее должны быть детально смоделированы соответствующие ИБ-
угрозы, настроены политики безопасности и реализованы механизмы автоматического применения этих политик. Кроме того, в нашей стране рабочие места в силу разных обстоятельств в большинстве своем оборудованы настольными ПК, а не ноутбуками, а их зачастую сложно унести домой. Соответственно, сегодня в российских организациях в основном реализована другая известная концепция, BYOD (Bring Your Own Device), которая предполагает использование сотрудниками собственных устройств для удаленной работы с корпоративными информационными системами. И это порождает дополнительные риски, поскольку ИТ-службы в общем случае не имеют представления о том, что это за устройства, кто имеет к ним доступ и что вообще через них может попасть во внутреннюю сеть. Очевидно, что минимально необходимой мерой обеспечения безопасного сеанса пользователя в рамках BYOD должна быть защита подключения устройства к корпоративной сети с помощью VPN. Однако VPN не решает исходную проблему включения в сеть непроверенного домашнего устройства. А таким устройством, например, может стать игровой ПК ребенка, антивирусные базы в котором не обновлялись с нужной регулярностью или же просто отсутствовали ввиду того, что ценной информации на данном устройстве до сих
Moroz 5/20/20 6:08 PM Page 39
www.itsec.ru
ЗАЩИТА СЕТЕЙ
пор не было. В результате такой компьютер может быть уже неоднократно заражен зловредным ПО, что делает его потенциальной точкой входа для проникновений с целью компрометации конфиденциальной информации.
Умная защита для BYOD Для того чтобы корректно минимизировать эти и другие риски BYOD, в ИБ-инфраструктуре организации должна быть в полной мере реализована функциональность интеллектуального управления доступом к сети (Network Access Control, NAC). Такое ПО предлагают сейчас все крупные производители средств сетевой защиты: Cisco, Juniper, Microsoft, Symantec, Trend Micro. В свое время эти системы создавались именно для облегчения перевода бизнес-процессов на схему BYOD. Но в какой-то момент заказчики все чаще стали внедрять и перепрофилировать их под более перспективные задачи, такие как Интернет вещей. В результате, хотя в большинстве компаний и реализованы так называемые AAA-процессы (аутентификация, авторизация и аудит), относящиеся к ИБ, не у всех до сих пор задействуется рабочий инструментарий, который позволял бы аутентифицировать профили безопасности конечных устройств. В нынешних условиях ИТслужбам следует по максимуму использовать системы управления сетевым доступом в соответствии с их первоначальным назначением. В NAC предусмотрены механизмы контроля и проверки любого устройства, которое пытается получить доступ к корпоративной сети, на соответствие политикам безопасности. В случае несоответствия система автоматически запустит на нем определенные процедуры нормализации параметров доступа в соответствии с внутренними требованиями ИБ. Если же такое согласование осуществить не удастся, то NAC заблокирует для данного устройства доступ к корпоративной сети. Возможен и другой вариант: устройство, не полностью соответствующее политикам ИБ, получит ограниченный доступ к сети, например к изолированным областям, не содержащим критически значимой информации. Правда, для этого корпо-
ративная сеть должна быть сегментирована по подразделениям или уровням доступа, либо в рамках традиционных подходов с использованием виртуальных сетей (VLAN) и данных из каталога Active Directory, либо с помощью программно определяемых методов, например на основе технологии Cisco TrustSec. Стоит отметить, что, выбирая решение NAC, необходимо в том числе быть уверенным в возможности его полноценной интеграции с существующим ИТ-окружением. Между тем такая проверка – довольно трудоемкий процесс, и если ее провести некорректно, то можно не получить от NAC нужной эффективности из-за функциональных ограничений. Поэтому для внедрения систем интеллектуального управления доступом к сети лучше привлекать специализированные компании, которые обладают необходимой квалификацией и опытом в сфере информационной безопасности.
Дополнительные меры Помимо NAC организациям также следует обратить внимание еще на два класса решений, нацеленных на контроль действий пользователей: это системы управления мобильными устройствами (Mobile Device Management, MDM) и защиты от информационных утечек (Data Leak Prevention, DLP). Так, MDM-функциональность позволяет обеспечить безопасность и защищенность самих переносных устройств удаленных пользователей, например предотвращая потерю данных при
краже смартфона, планшета или ноутбука. В свою очередь, DLP-системы дают организации возможность анализировать поведение своих работников: куда отправляется конфиденциальная информация, не нарушает ли пользователь предписанные правила информационного обмена. С их помощью можно даже проанализировать, на что тратится рабочее время сотрудников. Конечно, данные меры вряд ли являются первостепенными, однако их можно рассматривать как вторую ступень ИБ после четко отстроенного каркаса безопасности при организации удаленной работы сотрудников. И безусловно, технические процедуры будут максимально результативными, только если их подкреплять организационными действиями: вводить внутрикорпоративные регламенты и инструкции по работе в удаленном режиме, оформлять дополнительные соглашения с работниками об использовании конфиденциальной информации, проводить общие мероприятия по разъяснению ответственности при работе с корпоративными ресурсами, сервисами и данными вне офиса. Таким образом, именно комплексный подход и скрупулезный учет всех деталей позволяет организации оптимальным образом выстроить модель безопасной "удаленки" не только на краткосрочную перспективу, но и на более долгий период. l
Для того чтобы корректно минимизировать риски BYOD, в ИБ-инфраструктуре организации должна быть в полной мере реализована функциональность интеллектуального управления доступом к сети (Network Access Control, NAC).
Стоит отметить, что, выбирая решение NAC, необходимо в том числе быть уверенным в возможности его полноценной интеграции с существующим ИТ-окружением.
Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
• 39
Grodzenskiy 5/20/20 6:08 PM Page 40
ТЕХНОЛОГИИ
Сетевой фейсконтроль, или Роль NAC в эпоху Zero Trust Яков Гродзенский, директор департамента информационной безопасности компании “Системный софт”
В
режиме самоизоляции бизнес активно переводит сотрудников на удаленную работу и получает дополнительные проблемы с информационной безопасностью. Когда большое количество пользователей обращается к корпоративным ресурсам с домашних компьютеров, к привычным уже трудностям с бюджетированием и нехваткой кадров добавляются дополнительные риски.
Проще всего защититься от угроз тем заказчикам, которые заранее начали внедрять концепцию нулевого доверия (Zero Trust). В условиях, когда дистанционная работа стала долговременным трендом, ее значение для сферы ИБ возрастает многократно. За 10 лет концепция Zero Trust развилась в целостный подход к кибербезопасности, защищающий компании от известных и еще неизвестных угроз.
Несмотря на то что трафик шифруется с помощью VPN, компьютеры могут быть заражены клавиатурными агентами и другим шпионским ПО, шифровальщиками, вымогателями и прочими опасными зловредами, и VPN здесь не поможет.
Концепция Zero Trust Модель безопасности с нулевым доверием была разработана бывшим аналитиком Forrester Джоном Киндервагом в 2010 г. и с тех пор стала одной из основных отраслевых концепций. Преимущество Zero Trust заключается в отсутствии необходимости строить детальную модель угроз, поскольку угроза может исходить откуда угодно: от каналов передачи данных, от активного сетевого оборудования, от внешних сервисов и корпоративных информационных систем, от сотрудников и контрагентов. За 10 лет концепция Zero Trust развилась в целостный подход к кибербезопасности, защищающий компании от известных и еще неизвестных угроз. Для реализации модели используются различные инструменты и технологии, включая межсетевые экраны, системы DLP и MDM, поведенческий анализ и многое другое.
Новые угрозы в режиме самоизоляции Бытует мнение, будто для организации доступа в корпоративную сеть извне достаточно организовать VPN, а дальше
40 •
будут работать внедренные ранее решения. На самом деле виртуальная частная сеть – не панацея, а имеющиеся продукты не рассчитаны на большое количество удаленных пользователей. Внутри защищенного периметра эти средства работают, но сотрудники подключаются с личных устройств, для которых корпоративные политики безопасности ничего не значат. Несмотря на то что трафик шифруется с помощью VPN, компьютеры могут быть заражены клавиатурными агентами и другим шпионским ПО, шифровальщиками, вымогателями и прочими опасными зловредами, и VPN здесь не поможет. Трафик в сетях общего пользования может быть перехвачен с использованием атак типа Man in the Middle (человек посередине), особенно если пользователь подключился к публичному Wi-Fi, а ведь данные для входа в VPN также могут быть скомпрометированы. Иными словами, даже если в компании практикуется модель безопасности с нулевым доверием, для обеспечения дистанционной работы в нынешних условиях потребуются специальные средства контроля.
Решаем проблему малой кровью Небольшой компании достаточно выдать сотрудникам корпоративные ноутбуки или развернуть сервис терминалов (Remote Desktop Services, или RDS) и перейти на тонкие клиенты. Его нетрудно запустить как внутри защищенного пери-
метра, так и на арендованных площадях или даже на VDS. При этом не придется платить за клиентские терминальные лицензии Windows: корпорация Microsoft позволяет использовать RDS в ознакомительном режиме в течение 120 дней (скорее всего, этого хватит на время действия режима самоизоляции). Обеспечить безопасность в таком варианте намного проще, поскольку личные компьютеры будут работать только с одной машиной и только по протоколу RDP, а доступ к защищенным корпоративным ресурсам придется контролировать только с одного сервера. У клиентов в их виртуальных рабочих столах будет унифицированный софт, то есть проблемы с различными аппаратно-программными конфигурациями также уходят. Для нескольких десятков пользователей такое решение годится, но в крупных компаниях счет пользователей часто идет на тысячи, а потому простейшие решения оказываются довольно сложными и/или затратными.
Внедряем NAC Использование личных машин сотрудников для удаленного доступа – суровая необходимость для среднего и крупного бизнеса. Иногда в этом случае департамент ИБ пытается прописать некие политики безопасности на бумаге, скажем корпоративные информационные системы нельзя использовать с компьютера без установленного антивируса. Но даже если раздать всем корпоративные лицензии, нет никакой гарантии, что
Grodzenskiy 5/20/20 6:08 PM Page 41
www.itsec.ru
Реклама
ЗАЩИТА СЕТЕЙ
сотрудники выполнят это требование. Без специального решения невозможно проверить соответствие домашних машин корпоративной политике безопасности, для этого стоит внедрить агентское или безагентское решение класса NAC. Система будет анализировать каждый пытающийся подключиться к сети компьютер или мобильное устройство и вычислять для него определенный рейтинг безопасности. Отслеживаться могут самые разные показатели: версия операционной системы, наличие установленных обновлений, наличие антивирусных программ с актуальными базами или агентов MDM и DLP, настройки межсетевого экрана и многое другое. Для клиентского устройства рассчитываются индикаторы риска, а затем к нему применяются политики безопасности. Можно, например, поместить его в отдельный VLAN с ограниченными правами доступа к корпоративным информационным системам.
Связь NAC и Zero Trust В рамках концепции нулевого доверия необходимо отслеживать все попытки обращения пользователя к корпоративным ресурсам и принимать решения об их правомерности. NAC делать этого не может, но он интегрируется с большим количеством различных решений, включая такие корпоративные системы безопасности, как DLP и межсетевые экраны. В зависимости от рассчитанных для компьютера показателей риска NAC определяет используемые для него политики безопасности и, например, дает файрволу команду ограничить доступ к определенным информационным системам. У NAC есть два вида проверок – Preconnection и Postconnection. Если он разрешил устройству доступ в сеть или к корпоративным ресурсам, это вовсе не означает, что доступ открыт на неограниченный срок. Соответствие компьютера политикам безопасности будет периодически проверяться по заданному
алгоритму. NAC позволяет задать, например, правило, требующее установки DLP-агента или агента MDM для мобильного устройства. В случае отсутствия нужного ПО критичные ИТсистемы будут недоступны пользователю, а офицер безопасности получит уведомление о произошедшем событии. Zero Trust – это концепция, реализовать которую можно с помощью разнообразных средств обеспечения информационной безопасности. Когда персонал находится в офисе, особых проблем с проверкой рабочих компьютеров не возникает. Как только внутри защищенного периметра появляется большое количество подключенных через сети общего пользования личных устройств, ситуация меняется. В условиях самоизоляции NAC становится обязательным инструментом для реализации модели безопасности с нулевым доверием. l Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
Без специального решения невозможно проверить соответствие домашних машин корпоративной политике безопасности, для этого стоит внедрить агентское или безагентское решение класса NAC.
В зависимости от рассчитанных для компьютера показателей риска NAC определяет используемые для него политики безопасности и, например, дает файрволу команду ограничить доступ к определенным информационным системам.
Колонка редактора В предвкушении работы над ошибками 2020 год в самом разгаре, мы все строили на него большие планы. Но теперь фокус внимания сосредоточен на совсем других вызовах, их диктует общемировая повестка в связи с пандемией коронавируса. Пандемия заставила нас всех взглянуть на свою инфраструктуру под новым углом. Именно сейчас у нас появилась редкая возможность проверить в стрессовых условиях эффективность проведенной работы по планированию и проектированию сетевого периметра. Ведь все мы так долго и упорно Сергей Рысин, его выстраивали, имея роскошь находиться на рабочем месте в уютном офисе. эксперт по Отсюда следующий логический шаг связан информационной с самым уязвимым местом даже в самой надежной инфраструктуре – пользователем. безопасности Мы проходим хорошее испытание, экстренно переводя наших пользователей на удаленную работу:
кто-то оказался к этому в большей степени готов, кому-то пришлось спешно приводить себя в такую готовность, пока бизнес-процессы не прекратили функционировать. Но, несмотря на в целом успешное выполнение этой задачи, многие из нас смогли выявить серьезные проблемы в своем периметре, взглянув на него под новым углом. И далее нам всем предстоит увлекательная работа над ошибками, направленная на приведение своих систем в соответствие с потребностями, диктуемыми новыми реалиями жизни. Из положительных моментов можно отметить то, что теперь руководство, пожалуй, не будет так скептически смотреть на затраты, идущие на решение задач информационной безопасности, защиты периметра, обучения персонала основам ИБ. Сейчас бизнес как никогда зависим от нашего правильного выбора дальнейшей стратегии развития информационных систем и инфраструктуры. l
• 41
webcontrol 5/20/20 6:08 PM Page 42
ТЕХНОЛОГИИ
Простой автоматизацией в ИТ уже не обойтись Дарья Орешкина, директор по развитию бизнеса компании Web Control
Ж Сама по себе цифровая трансформация тесно связана с разработкой программного обеспечения и своевременностью его создания. Все уже слышали про DevOps и его преимущества, многие компании создали DevOpsкоманды, но по-прежнему используют ручные механизмы управления процессами с сопутствующим человеческим фактором. В сложившейся ситуации нужны современные решения для оркестрации процессов разработки. Без четкой оркестрации бесчисленного набора инструментов разработки "островки скорости" в "магистраль" не превратятся. Кроме того, это требует применения новых подходов к обеспечению безопасности создаваемого кода. Цифровая трансформация подразумевает появление все более сложных программных продуктов, для разработки которых нужны сотни, тысячи и даже сотни тысяч человеко-часов. Она требует новых подходов и методологий, таких как DevOps, использующих средства автоматизации на всех этапах и уровнях процесса разработки. Применение современной методологии оркестрации процессов и средств автоматизации – это единственный путь к тому, чтобы быть в авангарде постоянных изменений среды разработки и обеспечить конкурентоспособность бизнеса.
Основные понятия DevOps DevOps – это, по сути, философия и бизнес-ориентированный подход к поставке программных решений. DevOps стремится разрушить барьеры недопонимания, которые традиционно существовали между разработчиками и инженерами, бизнесом и технологиями, и помогает организовать взаимодей-
42 •
изнь ускоряется, и без цифровой трансформации компании обречены на отставание. В отдельных организациях уже созданы автоматизированные “островки скорости", но для качественного рывка требуются “магистрали".
ствие всех членов команды. Основной целью DevOps является формирование культуры и создание среды разработки, в которой команды работают совместно, чтобы быстро и качественно выпускать программное обеспечение. Компании, внедрившие DevOps сегодня, способны делать сотни, а то и тысячи релизов в день. Но DevOps – это концептуальное понятие, которое предполагает существенное изменение технологий и процессов при поставке корпоративных программных продуктов, и все эти изменения породили новый инструментарий. Прежде чем говорить о нем, давайте договоримся о нескольких базовых определениях DevOps.
Release Orchestration – оркестрация релизов Оркестрация релизов помогает предприятиям эффективно управлять и оптимизировать свои конвейеры релизов. Она необходима для организаций, которые хотят воспользоваться преимуществами непрерывной поставки и DevOps. Корпоративно-ориентированные решения оркестрации релизов предоставляют важную информацию о состоянии релизов в реальном времени. Кроме того, благодаря подробным отчетам и аналитике они поставляют сведения, необходимые для принятия лучших решений. Инструменты оркестрации релизов обеспечивают контроль над процессом подготовки релизов, соблюдение требований регуляторов, а также позволяют легко изменять планы релизов в контролируемой форме. Они управляют комбинацией ручных и автоматизированных задач, выполняемых различными бизнеси техническими командами. Для реализации этого функционала используются инструменты Application Release Orchestration (ARO, оркестрация релизов приложений), называемые также Application Release Automation (ARA, автоматизация выпуска приложений) или Continuous Delivery and Release Automation (CDRA, автоматизация непрерывной доставки и выпуска).
Continuous Delivery – непрерывная поставка Continuous Delivery – это набор процессов и методов, необходимых для обеспечения непрерывности процесса создания ПО, скорейшей поставки клиенту нового функционала и получения обратной связи от рынка как можно раньше.
Deployment Automation – автоматизация развертывания Непрерывная поставка невозможна без автоматизированного развертывания в различных средах, используемых в цикле разработки (SDLC). Использование решения для автоматизации развертывания гарантирует наличие у команд безопасных возможностей самообслуживания для непрерывной интеграции, получения нужной среды и организации тестирования. С помощью решения автоматизированного развертывания можно добиться более частого и надежного развертывания приложений и существенного снижения числа неудачных попыток. Развитый механизм автоматизации развертывания является фундаментом процесса непрерывной поставки.
Everything as Code – "что угодно как код" Использование подхода Everything as Code упрощает процессы автоматизации всех этапов создания ПО. При использовании этого подхода все компоненты, необходимые для сборки и поставки приложения (пакеты развертывания, инфраструктура, среды, шаблоны релизов, панели управления), реализуются в виде кода. Представление конвейера поставки в виде кода дает возможность стандартизировать, автоматизировать и полностью контролировать вложенные проекты, приложения и команды.
Feedback Loops – петли обратной связи Петли обратной связи критически необходимы для повышения управляемости процесса создания ПО. Быстрая и непрерывная обратная связь между разработчиками и службами эксплуата-
webcontrol 5/20/20 6:08 PM Page 43
ции на ранних этапах процесса поставки программного обеспечения является одним из основных принципов DevOps. Обратная связь не только помогает гарантировать, что вы даете клиентам то, что они на самом деле хотят, но и в конечном итоге снижает нагрузку на команды разработки.
Governance – управляемость Под управляемостью понимают набор метрик и критериев, с помощью которых компании оценивают процесс разработки ПО и получают гарантии, что отдача от инвестиций в технологии соответствует ожиданиям. Кроме соответствия бизнес-целям также обеспечивается выполнение требований общих стандартов, OWASP, PCI 3.2 и др.
NoOps Тип организации управления процессом создания систем, при котором все управление процессом создания продукта отдано внешним командам (возможно, внешним провайдерам продуктов автоматизации) или полностью автоматизировано внутри компании. Такая организация ставит своей целью минимизировать или исключить внутренние позиции управления разработкой или создать выделенные роли.
Shifting Left – "сдвиг влево" к самым ранним этапам цикла SDLC С увеличением скорости создания продуктов возрастают риски безопасности кода и проблемы с соответствием требованиям в различных приложениях, группах и средах, так как проверка безопасности существенно замедляет процесс выпуска новых сборок продукта. Сдвиг влево предполагает интеграцию процессов оценки рисков, тестирования безопасности и оценки соответствия на ранних этапах конвейера поставки. Он делает процессы создания продукта и контроля его качества и безопасности параллельными. Это позволяет обнаруживать потенциальные риски безопасности и связанные с ними задержки в выпуске релизов на более ранних стадиях разработки, что значительно снижает затраты на исправление ошибок, ускоряет выпуск новых версий и упрощает решение проблем безопасности и надежности ПО.
Общий язык, единый репозиторий инструментов и обратная связь – основы автоматизации В любой компании есть множество ролей, которые сильно влияют на успешность цифровой трансформации, и автоматизация процессов должна отвечать интересам каждой роли. Разработчики, пытающиеся ускорить релизы, системные администраторы, запускающие скрипты для рутинных задач, менеджеры, устанавливающие расписание на автогене-
рацию отчетов, – всем нужно что-то, что автоматизирует их работу, и это что-то должно уметь гибко и просто подстраиваться под непрерывные изменения. Компаниям нужен общий язык автоматизации на уровне всего бизнес-процесса и всех пользователей. Это не значит, что должен быть некий единый продукт, автоматизирующий все процессы и инструменты, это значит, что не должно быть перекоса, когда "слабое звено" тормозит процессы или создает излишние риски, связанные с человеческим фактором. Если разработчики используют передовые решения для автоматизации разработки, но потом сталкиваются с многодневным ручным согласованием развертывания релиза в производственной среде или тестированием безопасности кода, то, очевидно, возникнет желание оптимизировать и автоматизировать и эти процессы. И для каждого из них, как правило, выбирается свой инструмент автоматизации. В какой-то мере быстрое развитие автоматизации и легкость цифровизации зависит от имеющихся технологических партнерств различных производителей, обеспечивающих интеграцию технологий и упрощение их совместного использования. Для этого нужно четко понимать производственную нишу каждого инструмента. Ярким примером такой классификации по нишам является периодическая таблица инструментов DevOps от XebiaLabs. Но это только часть проблем. Современная компания, как правило, имеет большое количество команд, вовлеченных в процесс разработки, причем эти команды не всегда имеют одинаковый уровень зрелости. Как же с этим бороться? Создание единого методологического и инструментального репозитория, а также формирование сообщества энтузиастов-новаторов, способных реализовывать инновационные подходы, методологии и инструментарий, позволяют другим командам быстро достигать высокого уровня зрелости. Такое сообщество может объединять членов различных команд, помогает понять их потребности, способствует развитию совместной работы и обмену практиками автоматизации, специфичными конкретно для этой компании. Группа новаторов создает место для формирования новых связей, о необходимости которых многие даже не подозревали. Для успешного масштабирования автоматизации требуются как технологии, так и пользователи, которые хотят и могут воспользоваться преимуществами автоматизации. Для повышения эффективности автоматизации бизнес-процессов компании необходимо найти платформу автоматизации всего процесса разработки, которая имеет необходимую аналитику для создания эффективной обратной связи в управлении процессами разработки. Особенно важна аналитика, которая может сказать, как используется авто-
Реклама
www.itsec.ru
РАЗРАБОТКИ
• 43
webcontrol 5/20/20 6:08 PM Page 44
ТЕХНОЛОГИИ
Периодическая таблица инструментов DevOps от XebiaLabs1 матизация, где и насколько эффективно. Как гласит пословица, знание – сила. Чем больше вы знаете о процессе, тем лучше он работает. Автоматизация – это не самоцель, она нужна ради повышения эффективности и замены рутинных процессов автоматическими. Если вы пытаетесь сделать процессы автоматическими (не зависящими от человека), аналитика позволит вам отслеживать, насколько эффективно это работает. Она помогает вам лучше понять, что работает хорошо, а где требуются улучшения. Наличие петель обратной связи является неотъемлемым условием успеха автоматизации. В целом успешная автоматизация требует наличия поддерживающей платформы оркестрации релизов, которая обеспечит координацию и совместную работу различных групп и автоматических инструментов. Не все процессы можно полностью автоматизировать. Всегда останутся операции, требующие человеческого участия. Платформы оркестрации дают возможность органично сопрягать и автоматические, и ручные операции. Платформа XebiaLabs, например, позволяет не только органично вплетать ручные операции в процесс непрерывной поставки ПО, но и значительно повысить эффективность операций, требующих внимания человека, и отслеживать их реактивность. А наличие обратной связи DevOps Intellegence, предоставляемой платформой XebiaLabs, обеспечивает производительность всех операций в процессе непрерывной поставки.
"Сдвиг влево" процессов безопасности релизов Автоматизация дает ускорение разработки продукта, но сама по себе она не гарантирует его безопасность. При этом безопасность кода сегодня – один из основных критериев качества разрабаты1
ваемого продукта. Чтобы выпускать релизы часто и не жертвовать безопасностью, необходимо встроить в конвейер разработки ПО инструменты проверки качества кода, такие как SAST, DAST, SCA. Инструменты SCA2 интегрируются с репозиториями, инструментами сборки, серверами непрерывной интеграции и позволяют обнаруживать проблемы с безопасностью в компонентах Open Source на самых ранних этапах разработки, реализуя таким образом принцип Shift Left, когда исправления можно делать быстрее и проще. И здесь опять же требуется платформа оркестрации, которая позволит видеть состояние каждого программного компонента и проекта в целом, находить наиболее влияющие на скорость разработки задачи, запускать проверки безопасности насколько возможно раньше, чтобы не тормозить выпуски и иметь полную прозрачность конвейера разработки.
Совет от XebiaLabs в 2020 году: дайте свободу разработчикам Критично важно предоставлять разработчикам свободу и одновременно контролировать их. И это возможно. Оставьте разработчикам свободу выбора инструментов и сред. При этом XebiaLabs может предоставить платформу, которая даст руководству компании уверенность, что они получают то, что нужно. Баланс между свободой и контролем достигнут. Крупные компании годами инвестировали значительные средства в инструменты, подобные Jenkins и Jira, и они стали основой для их работы. Эти компании не хотят их менять, да им и не нужно этого делать. XebiaLabs интегрирует существующие инструменты и предлагает корпоративные функции, которые способствуют масштабируемости, соответствию требованиям и скорости разработки. Разработка ПО очень важна для успеха, она является частью любой организации,
https://xebialabs.com/periodic-table-of-devops-tools/ Орешкина Д. Методы анализа исходного кода // Information Security (Информационная безопасность). 2020. № 1. С. 44. 2
44 •
потому что сегодня большинство крупных компаний стали разработчиками программного обеспечения. Без разработки нет бизнеса, поэтому она должна быть продуктивной, а для этого нужно предоставить разработчикам возможность использовать любимые инструменты. Однако очень часто конвейер разработки довольно сегментирован и не всегда дает прозрачность ситуации. Использование платформы оркестрации релизов, например XebiaLabs DevOps Platform, добавляет необходимую ясность и управляемость, не мешая командам разработчиков, какие бы инструменты и среды они ни использовали – Microsoft Azure, AWS, Kubernetes или другие решения. И бизнес, и разработчики получают то, что хотят. Вам не нужно вносить серьезные изменения, чтобы быстро повысить эффективность процесса доставки программного обеспечения.
Поддержка "быстрых команд" будет мейнстримом Скорость релизов имеет все большее значение. Во многих компаниях уже существуют "островки скорости", часто порожденные тремя типами команд: 1. Инноваторы. Это команды, которые переносят современные микросервисные приложения в облако. Они используют инструменты непрерывной интеграции и имеют возможность выпускать приложения в любое время. Простая среда приложения и возможность самостоятельно выпускать релизы – два подхода, которые можно применять практически во всех случаях. Такие принципы, как GitOps и NoOps, являются для них двумя принципиально важными компонентами, которыми они живут днем и ночью. 2. Автоматизаторы. Эти команды очень серьезно относятся к автоматизации и автоматизируют весь конвейер. Они выстроили тестирование GUI, приемочное тестирование, еще какие-то процессы. Но даже при полной автоматизации и подключении всех инструментов все равно остаются узкие места и задержки из-за зависимостей от других задач, сопровождающих разработку. 3. Оптимизаторы. Эти команды бросают вызов существующим правилам и руководствам, которые существовали десятилетиями, критически обдумывают и пересматривают их с целью упрощения и экономии времени и сил. Присмотритесь к этим ребятам. Организация выиграет, когда найдет все три такие команды и объединит их практики. Инноваторы, автоматизаторы и оптимизаторы, работающие вместе, являются золотым фондом компании. Упрощенные, автоматизированные процессы позволят вам освоить инновации и ускориться в целом, а "островки скорости" превратить в"магистрали". l Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
Kondratiev 5/20/20 7:22 PM Page 45
www.itsec.ru
Сертификация и измерения
О положении дел в метрологии информационной безопасности Андрей Кондратьев, эксперт по ТЗИ
А
нализ законодательства показывает, что задачи ТЗИ, относящиеся к области обороноспособности государства, несмотря на ряд прямых указаний (закон 102-ФЗ от 26.06.2008 г., постановление Правительства РФ № 780 от 02.10.2009 г., постановление Правительства РФ № 1567 от 30.12.2016 г. и т.д.) по-прежнему выпадают из сферы обеспечения единства измерений.
Крайне сложно понять, на основании каких именно документов и какие именно государственные структуры ответственны за исполнение и контроль исполнения законодательной метрологии в области ТЗИ и защиты информации в целом. Отсутствие метрологического контроля как со стороны Минобороны России, так и Ростехрегулирования приводит к невозможности оценки объективности результатов измерений (аттестационных испытаний). Причем во всех документах, регламентирующих работу аттестационных центров, нет ни одного упоминания (не говоря уже о требованиях) области метрологии, включая требования по аккредитации таких центров. В настоящее время это особенно сказывается в связи с общим снижением уровня подготовки инженерного корпуса. К сожалению, даже с учетом рабочих обсуждений в центральном аппарате ФСТЭК и письменных отзывов на проекты нормативно-методических документов (НМД) разработка таких НМД продолжает вестись без упоминания в ТЗ на работы задач обеспечения единства измерений. Результатам НИР, проводимых по тематике по заказу ФСТЭК, в том числе с участием ведущих лицензиатов, в части предложений по приближению, хотя бы по форме, разрабатываемых проектов НМД к требованиям действующих стандартов уделяется незаслуженно мало внимания.
Какой должна быть методика В Государственной системе измерений (ГСИ) есть одинединственный стандарт, определяющий состав, содержание разделов и форму методики измерений – ГОСТ Р 8.563– 2009 "Государственная система обеспечения единства измерений. Методики (методы) измерений". В соответствии с п. 5.2.2 указанного стандарта обязательными составляющими (разделами) любой методики измерения являются: l наименование методики измерений; l назначение методики измерений; l область применения; l условия выполнения измерений; l метод (методы) измерений; l допускаемая и (или) приписанная неопределенность измерений или норма погрешности и (или) приписанные характеристики погрешности измерений; l применяемые средства измерений, стандартные образцы, их метрологические характеристики и сведения об утверждении их типов. В случае использования аттестованных смесей документ по методике измерений должен содержать методики их приготовления, ГОСТ Р 8.563–2009 – требования к вспомогательным устройствам, материалам и реактивам (приводят их технические характеристики и обозначение документов, в соответствии с которыми их выпускают);
l операции при подготовке к выполнению измерений, в том числе отбор проб; l операции при выполнении измерений; l операции обработки результатов измерений; l требования к оформлению результатов измерений; l процедуры и периодичность контроля точности получаемых результатов измерений; l требования к квалификации операторов; l требования к обеспечению безопасности выполняемых работ; l требования к обеспечению экологической безопасности; l другие требования и операции (при необходимости). Глядя на этот перечень глазами специалиста в области измерений в ТЗИ, не просто знающего содержание дей-
• 45
Kondratiev 5/20/20 7:22 PM Page 46
Сертификация и измерения Комментарий эксперта Александр Цым, начальник научной лаборатории ФГУП ЦНИИС, д.т.н., с.н.с., профессор кафедры “Перспективные технологии и услуги" МТУСИ, заслуженный работник связи Российской Федерации Сложным является состояние системы сертификации РОСС RU.0001.01БИ00, созданной и поддерживаемой ФСТЭК. Отсутствие требований по обеспечению единства измерений в Положении о системе сертификации средств защиты информации (приказ ФСТЭК № 55 от 03.04.2018 г.), Положении об аккредитации… от 25.11.1994 г.и др. приводят к тому, что подготовка специалистов, методическое и иное обеспечение испытательных лабораторий не смогут обеспечить полноту и точность сертификационных испытаний. Единые, прошедшие процедуру метрологической аттестации (метрологической экспертизы) методики сертификационных испытаний, как и все предусмотренные законом функции контроля работы ИЛ, отсутствуют. В результате этого возникает риск, что не все образцы сертифицированных средств защиты смогут обеспечить необходимый уровень защищенности информации. Это может привести в конечном итоге к снижению защищенности информационной инфраструктуры страны.
ствующих методик сертификационных испытаний, но и имеющего опыт работы с ними, вынужден отметить, что у этих методик практически нет шанса получить свидетельства о метрологической аттестации.
Хотя бы потому, что ни один проект таких методик даже по структуре не совпадает с вышеприведенными требованиями. В 2011 г. автор участвовал в разработке и официальной
Комментарий эксперта Александр Прелов, в прошлом главный специалист специального отдела НИИ “Квант"; преподаватель (с 1994 г.) факультета информационной безопасности МИФИ В советский период Гостехкомиссия СССР всячески тормозила утверждение единых для всей страны методик контроля защищенности, а их соответствие метрологическим нормам и требованиям даже не рассматривалось. Ситуация с тех пор не ухудшилась, но и не сильно улучшилась. Несомненно, что такая область знаний, как ТЗИ, обязательно должна быть в фокусе внимания 102-ФЗ. Поднятая тема тем более актуальна, что развитие техники вообще и вычислительной техники (в области защиты которой НИИ "Квант" многие годы выполнял роль головного предприятия страны) в частности также требуют глубокого пересмотра руководящих документов, начиная с норм защищенности, методик контроля и т.д. Независимая (метрологическая) экспертиза методик, несомненно, повысит их качество и позволит избежать многих сегодняшних к ним претензий.
46 •
метрологической аттестации классической МВИ "Методика измерений затухания электромагнитного поля на специальных объектах". Автор в то время написал некий текст, как полагал, вполне адекватный, поскольку составлялся он на базе уже действовавших методик, с учетом вышеприведенного стандарта, с учетом "МИ 1967-89 ГСИ. Выбор методов и средств измерений при разработке методик выполнения измерений. Общие положения" и с учетом ряда иных стандартов. И тем не менее специализированный институт Минобороны России полгода тщательно отрабатывал каждую формулировку, пока документ не был реально доведен до ума. Школа была непростая, но крайне эффективная: она дала бесценное понимание того, как именно должен видеть метролог (а не просто радиоинженер) процедуру измерения, на чем, как процедурно, так и по сути он обязан сосредоточить свое внимание при разработке МВИ. Именно инженер-практик, ТЗИ-шник, СИ-шник понимает, что именно нужно измерять и, главное, для чего. А метролог должен точно и четко описать, как именно это нужно выполнять. И если оба аспекта данной задачи может в достаточной степени сформулировать один и тот же человек, результат будет достигнут с минимальными затратами любых ресурсов и он неизбежно будет близок к оптимуму. Более того, после окончания работ на реальном объекте автору совместно с коллегами из Минобороны России пришлось еще по этой методике и реально работать. Не буду утверждать, что применение документа на практике прошло "без сучка и задоринки", все же это был первый наш опыт. Шероховатости проявились, но тем не менее методика показала себя вполне рабочей и исполнимой. Этот пример показывает, что для того, чтобы разрабатывать и, главное, реализовывать правильные методики измерений, имеются все возможности. l Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
NEW_PROD 5/20/20 6:08 PM Page 47
НОВЫЕ ПРОДУКТЫ И УСЛУГИ
НОВЫЕ ПРОДУКТЫ
ETHIC – сервис выявления угроз для бизнеса
PenTera
Производитель: Pcysys Сертификат: изделие не подлежит сертификации Назначение: автоматизированная платформа для тестирования на проникновение Особенности: преимущество платформы PenTera заключается в автоматизированном использовании широкого набора хакерских технологий при проверке информационной инфраструктуры. Уровень кибербезопасности можно проверять так часто, как это необходимо. При этом процессы тестирования на проникновение основаны на самых новейших хакерских методиках Возможности: проведение непрерывных автоматизированных тестов на проникновение, укрепляющих защиту корпоративных сетей от кибератак l ориентируясь на внутреннюю инфраструктуру, PenTera имитирует хакерскую атаку: автоматизирует обнаружение уязвимостей и выполняет их безопасную эксплуатацию, обеспечивая при этом бесперебойную работу сети l в результате тестирования формируются подробные отчеты с перечнем предлагаемых исправлений, на шаг опережая потенциальных злоумышленников Характеристики: l не требует установки агентов и сложного конфигурирования сети l автоматизирует сценарий тестирования по расписанию или по требованию l как и пентестер, выполняет этичное вторжение, не допуская сбоев в системе l подробно отражает в отчете каждый шаг работы в рамках вектора атаки l позволяет выборочно контролировать отдельные этапы сложных атак l приоритизирует информацию для точечного устранения уязвимостей l включает новые методы пентестов l позволяет установить любую начальную точку в сети и цель для атак, чтобы протестировать отдельные векторы проникновения или устойчивость конкретных активов к атакам Ориентировочная цена: зависит от размера компании, количества защищаемых устройств, векторов атак и т.д. Время появления на российском рынке: декабрь 2019 г. Подробная информация: http://www.dialognauka.ru/about/vendors/21 789/ Фирма, предоставившая информацию: ДИАЛОГНАУКА, АО См. стр. 11
Производитель: ООО "ИНФОСЕКЬЮРИТИ" Сертификат: сертификат отсутствует Назначение: мониторинг сети Интернет и выявление информационных событий Особенности: предоставляется как веб-сервис Возможности: l мониторинг широкого круга источников, как в открытом сегменте сети Интернет, так и в Darknet, а также Telegramканалах l автоматическая классификация выявленных сведений и уведомление заказчика о событиях Подробная информация: https://in4security.com/?do=ethic Фирма, предоставившая информацию: ИНФОСЕКЬЮРИТИ См. стр. 33
DARVVIN – сервис выявления социальных угроз в подростковой среде
Производитель: ООО "ИНФОСЕКЬЮРИТИ" Сертификат: сертификат отсутствует Назначение: мониторинг сети Интернет и выявление социальных угроз для подростков, а также деструктивных интернет-ресурсов, угрожающих подростковой среде Особенности: предоставляется как веб-сервис Возможности: сервис DARVVIN предназначен для выявления на ранних стадиях подростков, находящихся в зоне риска или уже попавших под влияние деструктивных интернет-ресурсов и про-
www.itsec.ru
вокаторов. Своевременное выявление угроз позволяет принять необходимые меры до того, как подростками будут совершены необдуманные и опасные для общества поступки Время появления на российском рынке: апрель 2020 г. Подробная информация: для получения дополнительной информации по продукту обращайтесь по адресу darvvin@in4security.com Фирма, предоставившая информацию: ИНФОСЕКЬЮРИТИ См. стр. 33
Digital.ai (XebiaLabs DevOps Platform)
Производитель: XebiaLabs, Inc Сертификат: изделие не подлежит сертификации Назначение: оркестрация инструментов и процессов DevOps, автоматизация развертывания релизов Особенности: l XebiaLabs предоставляет единую платформу для всех инструментов в вашем конвейере l встроенные средства интеграции с распространенными (250+) инструментами DevOps l простота и легкость развертывания, использования и масштабирования инфраструктуры выпуска ПО Возможности: l ускоренный выпуск релизов l оркестрация всех DevOps инструментов и процессов, в том числе включая ручной режим l автоматизация и "самообслуживание" развертывания l обнаружение узких мест и предупреждение срыва сроков выпусков Характеристики: l самостоятельный быстрый запуск кода в тестовой и производственной среде l архитектура системы построена на основе templates и blueprints l гибкая настройка процессов l предназначено для средних и крупных компаний, которые управляют множеством релизов различных приложений в разных средах и инфраструктурах Время появления на российском рынке: февраль 2020 г. Подробная информация: https://xebialabs.com/ Фирма, предоставившая информацию: WEB CONTROL (официальный дистрибьютор в России) См. стр. 43
• 47
NEW_PROD 5/20/20 6:08 PM Page 48
НОВЫЕ
ПРОДУКТЫ И УСЛУГИ
УСЛУГИ Программа профессиональной переподготовки "Информационная безопасность. Техническая защита конфиденциальной информации"
вида деятельности по ТЗКИ, установленных Положением о лицензировании деятельности по ТЗКИ, утвержденным постановлением Правительства РФ от 3 февраля 2012 г. N 79 (с изменениями, внесенными постановлением Правительства РФ от 15 июня 2016 г. N 541). Фирма, предоставившая информацию: ОКБ САПР, ЗАО (совместно с Центром дополнительного профессионального образования МФТИ) См. стр. 34, 35
шении квалификации установленного образца. Фирма, предоставившая информацию: ОКБ САПР, ЗАО (совместно с Центром дополнительного профессионального образования МФТИ) См. стр. 34, 35
Программа повышения квалификации "Современные технологии: цифровая экономика"
Программа повышения квалификации "Защита информации в ИСПДн, ГИС и значимых объектах КИИ" Отрасль: информационная безопасность, техническая защита конфиденциальной информации, профессиональная переподготовка Регион: РФ Описание: продолжительность 470 ак. ч., включая практические занятия, самостоятельную работу слушателей под руководством преподавателей, итоговую аттестацию, написание и защиту квалификационной работы. Форма обучения: очная или дистанционно-заочная (с двумя короткими очными сессиями). По окончании курса слушателям выдаются дипломы МФТИ о профессиональной переподготовке установленного образца. Программа согласована со ФСТЭК России. Обучение по программе обеспечивает выполнение требования, предъявляемого к соискателям лицензии (лицензиатам) на осуществление лицензируемого
Отрасль: техническая защита информации, повышение квалификации Регион: РФ Описание: продолжительность 72 ак. ч., включая практические занятия, самостоятельную работу слушателей под руководством преподавателей и итоговую аттестацию. Форма обучения: дистанционнозаочная (с одной короткой очной сессией). По окончании курса слушателям выдаются удостоверения МФТИ о повы-
Отрасль: цифровая экономика, повышение квалификации Регион: РФ Описание: продолжительность 80 ак. ч., включая практические занятия, самостоятельную работу слушателей под руководством преподавателей и итоговую аттестацию. Форма обучения: дистанционнозаочная (с одной короткой очной сессией). По окончании курса слушателям выдаются удостоверения МФТИ о повышении квалификации установленного образца. Фирма, предоставившая информацию: ОКБ САПР, ЗАО (совместно с Центром дополнительного профессионального образования МФТИ) См. стр. 34, 35
НЬЮС МЕЙКЕРЫ ДИАЛОГНАУКА, АО 117105, Москва, ул. Нагатинская, 1 Тел.: +7 (495) 980-6776 E-mail: info@dialognauka.ru, marketing@dialognauka.ru www.dialognauka.ru См. cтр. 11
ИРДЕТО, ООО 125284, Москва, Ленинградский просп., 31А, стр. 1 E-mail: nromanova@irdeto.com www.irdeto.com См. стр. 37
ОКБ САПР ИНФОСЕКЬЮРИТИ 107140, Москва, ул. Русаковская, 13, этаж/офис 10/10-01 Тел.: +7 (499) 677-1000 E-mail: iss@in4security.com www.in4security.com См. стр. 33 48 •
СПЛАЙН-ЦЕНТР, ЗАО 105005, Москва, ул. Бауманская, 5, стр. 1 Тел.: +7 (495) 580-2555 E-mail: cons@debet.ru www.debet.ru, сплайн.рф См. стр. 41
115114, Москва, 2-й Кожевнический пер., 12 Тел.: +7 (495) 994-7262 E-mail: okbsapr@okbsapr.ru http://www.okbsapr.ru/ См. ст. "Средства обеспечения контролируемой вычислительной среды удаленного пользователя" на стр. 34, 35
PERIMETRIX 119607, Москва, Мичуринский просп., 45 Тел.: +7 (495) 011-0039 E-mail: info@perimetrix.com http://www.perimetrix.com См. стр. 29 WEB CONTROL 107023, Москва, ул. Электрозаводская, 24 Тел.: +7 (495) 925-7794 E-mail: info@web-control.ru http://web-control.ru/ См. стр. 43
Реклама
IB_Monitor 5/20/20 6:06 PM Page cov3
TB_Forum 5/20/20 6:06 PM Page cov4
2021
Реклама
9–11