среда, 14 июня 2017 г.

Тезисы мастер-класса по защите персональных данных

Добрый день, дорогие читатели! В прошлом посте я уже рассказывала вам о своем участии в питерской конференции "Безопасность платежей", сегодня вашему вниманию предлагается краткое содержание предстоящего мастер-класса (3 часа).

Часть 1. Законодательство в области персональных данных.
1. Краткая история защиты персональных данных в РФ.
2. Действующие НПА:
  • Федеральный закон РФ «О персональных данных» от 27.07.2006 № 152-ФЗ.
  • Постановление Правительства Российской Федерации[править «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012 № 1119. 
  • «Об утверждении требований и методов по обезличиванию персональных данных» приказ Роскомнадзора от 05.09.2013 № 996 (Зарегистрировано в Минюсте России 10.09.2013 N 29935). 
  • "Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных» утв. Роскомнадзором 13.12.2013. 
  • «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 15 февраля 2008 года. 
  • «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» утв. ФСТЭК РФ 14 февраля 2008 года. 
  • «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» приказ ФСТЭК России от 18.02.2013 № 21 (Зарегистрировано в Минюсте России 14.05.2013 № 28375). 
  • «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» приказ ФСБ России от 10.07.2014 № 378.

3. Что поменялось за 2015-2017 годы? 242-ФЗ: хранение в РФ. Штрафы повышены. Отменены 2 ФСБ документа. Пакет Яровой.
4. Что мы ждем в будущем?

Часть 2. Практическая защита.
1. Судебная практика (в том числе о банках).
2. Вопросы внедрения системы защиты ПДн в банках. Типичные ситуации и их разбор.

3. Вопросы слушателей.

Напоминаю, что всем желающим послушать мастер-класс нужно зарегистрироваться заранее: http://paymentsecurity.ru/.

https://vk.com/kshudrova - вступайте в группу, посвященную блогу, здесь можно найти новости мира ИБ, ссылки на свежие посты и интересные материалы других авторов.

четверг, 8 июня 2017 г.

Мое участие в конференции Безопасность платежей 2017

Добрый день, дорогие читатели! Спешу поделиться с вами радостной новостью о предстоящем выступлении на конференции: 29-30 июня в г. Санкт-Петербурге пройдет II ежегодная международная конференция на тему безопасности платежей "Безопасность платежей 2017". На конференции будут интереснейшие доклады Алексея Лукацкого, Андрея Прозорова, Моны Архиповой, Андрея Дроздова, также среди докладчиков: Джереми Кинг - международный директор Совета PCI SSC и Владимир Комлев - генеральный директор АО НСПК. и многих других. Для представителей платёжной индустрии: банков, платёжных сервисов, магазинов, ресторанов, отелей, предприятий электронной коммерции, регуляторов отрасли, а также производителей платёжных решений и членов НП АБИСС регистрация БЕСПЛАТНАЯ (ссылка), для представителей поставщиков услуг в области информационных технологий и информационной безопасности, а также всех прочих компаний, не являющихся участниками платежной индустрии участие платное - 10000 рублей (ссылка). Материалы прошлой конференции можно посмотреть здесь.
Пара слов о моем участии. Я проведу для вас трехчасовой мастер-класс "Защита персональных данных". О чем буду рассказывать? О законодательстве: пробежимся по основным документам, еще раз вспомним, что изменилось за последнее время. Об июльском повышении штрафов, о том как проходят проверки, какие нарушения выявляют. О перспективах в области персональных данных, что нас ждет, к чему стоит готовиться. Ну и, конечно, все это в привязке к основной теме конференции - безопасности платежей. Несколько лет назад я работала старшим специалистом по безопасности в банке, так что не опасайтесь излишней «теоретичности» доклада, будем рассуждать с практической точки зрения. А чтобы мое выступление было максимально полезным – отправляйте интересующие вас вопросы, для связи можете использовать социальные сети, группу блога ВК. Приходите, будет интересно! И не забывайте зарегистрироваться заранее, чтобы всем хватило места J

В лесах под Красноярском
https://vk.com/kshudrova - ссылки на свежие посты, новости из мира ИБ и ПДн, интересные материалы других авторов. 

среда, 7 июня 2017 г.

Изменения в 17 Приказе ФСТЭК

Добрый день, дорогие читатели! Сегодня хочу поделиться с вами шпаргалкой по изменениям в 17 Приказе ФСТЭК (Приказ ФСТЭК России от 15.02.2017 N 27 "О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. N 17").
1. Действие 17 Приказа теперь не распространяется на Высший Арбитражный Суд Российской Федерации.
2. Защита информации осуществляется не только в процессе эксплуатации, но и при выводе из эксплуатации.
3. Вместо 4 классов информационных систем - 3.
4. Угрозы берутся из bdu.fstec.ru.
5. Добавлены новые пункты в частное техническое задание:
  • стадии работ;
  • требования к поставляемым техническим средствам, программному обеспечению, средствам защиты информации;
  • функции заказчика и оператора по обеспечению ЗИ в ИС;
  • требования к защите средств и систем.
6. Для определения требований к системе защиты информации ИС учитываются положения политик обеспечения ИБ только если политики разработаны по ГОСТ Р ИСО/МЭК 27001 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».
7. При проектировании системы защиты информации - вместо параметров настройки указываются требования к параметрам.
8. При макетировании и тестировании системы защиты информации исключена корректировка проектной и эксплуатационной документации.
9. По результатам анализа нужно подтвердить, что уязвимости отсутствуют или их использование невозможно.
10. Должностные лица, которые проектировали и внедряли систему защиты информации, не могут ее аттестовывать.
11. Перечислены методы аттестационных испытаний:
  • экспертно-документальный;
  • анализ уязвимостей системы;
  • осуществление попыток НСД.
12. Срок действия аттестата не может превышать 5 лет.
13.  ИС, функционирующие на базе общей инфраструктуры, подлежат аттестации в составе указанной инфраструктуры. Если ИС создана на базе ЦОД, класс ЦОД должен быть не ниже класса ИС.
14. Формулировку "Нейтрализация и блокирование" заменили на "защиту".
15. 
Было:

1 класс
2 класс
3 класс
4 класс
СВТ
Не ниже 5 класса
СОВ
Не ниже 4 класса
1. С Интернетом – не ниже 4 класса
Не ниже 5 класса
2. Без Интернета – не ниже 5 класса
САВЗ
Не ниже 4 класса
1. С Интернетом – не ниже 4 класса
Не ниже 5 класса

2. Без Интернета – не ниже 5 класса
МЭ
1. С Интернетом – не ниже 3 класса
Не ниже 4 класса
2. Без Интернета – не ниже 4 класса
НДВ
Не ниже 4 уровня
-

Стало:

1 класс
2 класс
3 класс
СЗИ
Не ниже 4 класса
Не ниже 5 класса
Не ниже 6 класса
СВТ
Не ниже 5 класса
НДВ
Не ниже 4 уровня
-

16. Состав мер защиты информации. Изменены меры УПД3 и ЗСВ10.
Было:
УПД3
4
3
2
1
-
-
+
+

Стало:
УПД3
3
2
1
+
+
+

Было:
ЗСВ10:
4
3
2
1
-
-
+
+

Стало:
ЗСВ10:
3
2
1
+
+
+
О. Ренуар. Дворец Дожей. Источник
https://vk.com/kshudrova - ссылки на свежие посты и интересные материалы других авторов. Присоединяйтесь!

четверг, 1 июня 2017 г.

Отзыв читателя о Positive Hack Days 7

Добрый вечер, дорогие читатели! Сегодня я хочу поделиться с Вами заметкой инженера-программиста АО "ИСС", аспиранта СФУ - Павла Шипулина о Positive Hack Days. Форум проходил 23-24 мая, за это время успело произойти много всего интересного. Как это было читайте ниже.

Впечатления о Positive Hack Days 7

Positive Hack Days – это международный форум по информационной безопасности, который проходит каждую весну в Москве. Мероприятие организуется компанией Positive Technologies. Думаю, данная компания не нуждается в отдельном представлении для мира ИБ. Здесь на два дня собираются ведущие специалисты по ИБ нашей страны и дружественного зарубежья, представители госструктур, крупного бизнеса и молодые учёные. Как подсказывает сайт мероприятия (www.phdays.ru), главные принципы PHDays – это минимум рекламы и максимум полезных знаний в докладах и на семинарах, неформальное общение «пиджаков» и «футболок» на круглых столах, множество захватывающих конкурсов и энергичная атмосфера исследовательского полигона.
Ещё в студенческие годы возникла мечта посетить данное мероприятие, но судьба «улыбнулась» мне только сейчас (может раньше я был не готов?) и в качестве аспиранта Сибирского федерального университета при поддержке компании «Информационные спутниковые системы» я посетил эту «хакерскую сходку».


Чтобы понимать масштаб события, обратимся к статистике 2016 года: число участников достигло 4200 человек из разных стран. Не могу рационально оценить количество людей в этом году, но их было очень много. В общем схема точек интереса (мест, где что-то происходило) выглядела следующим образом: 7 залов различного масштаба для докладов и семинаров, главный зал, где развернулась основная кибербитва «Противостояние», всё свободное место в холлах заполнено выставкой достижений ИБ-индустрии, конкурсами от организаторов и точками «распространения» кофе и сока. Все точки интереса действуют параллельно: для того чтобы иметь хоть общее представление о происходящем, можно было спешно пробежаться по холлу со стаканчиком кофе в руках (или зубах), заглядывая через плечо других участников. А если хочешь посетить все интересные доклады, идущие в одно время, в голову пришла одна сумасшедшая идея: fork()-нуться и создать свои практически идентичные копии по числу докладов. Дальше расскажу обо всём по-маленьку. Сразу предупреждаю, что больше всего мне были интересны доклады, поэтому о них рассказ более подробный, и я оставлю его на конец заметки.


Противостояние
В центре большого зала расположилась модель города, в котором расположено множество объектов нападения/защиты: телеком-оператор, ТЭЦ, офисный центр, система управления автомагистралью, система регулировки движения поездов и так далее. Существуют три вида команд: атакующие, защитники и security operations centers (SOC), которые предоставляют защитникам информационную помощь. В каждой группе наличествовало от двух до девяти команд.

Необходимо отметить чрезвычайно детализированный макет, на котором соответствующие объекты движутся, крутятся, парят, перекачивают «нефть» и так далее. Рассматривать его было, действительно, очень интересно. Я припомнил детские годы, когда у меня была железная дорога, состоящая из кучи рельсов, одного паровоза (достаточно дорогая игрушка, поэтому один) и одного самодельного туннеля из папье-маше.


Само происходящее со стороны чем-то напоминало классический CTF, но больше красивого макета зрителю мало что сходу понятно, так как команды готовились к Противостоянию (вникали в суть систем) целый месяц, а зритель – считанные минуты.
Кроме того, мой интерес к Противостоянию охлаждался не самыми лестными отзывами о прошлогоднем Противостоянии, которое имело большие слабости с организационной точки зрения: отсутствие визуализации в режиме реального времени, наличие непонятной процедуры проверки решений (если я правильно понял, баллы зависели не от бинарного система сломана/устояла, а от методов, хода нападения и т. д.). Член одной из команд тогда сказал: «В результате у меня осталось такое впечатление – мы классно посидели-похакали, но что именно и сколько не понятно, «непонятно» – это самое частое, что я говорил всю игру». Если сами команды слабо понимают, что происходит на данный момент в игре, я не думаю, что зрителям это будет «виднее». Соглашусь, организаторы могли учесть этот недостаток и с 2016 года всё могло поменяться. Но большинство мне известных «сильных» CTF-команд в этом году участвовать отказались. Поэтому простите, «борьба» за моё внимание на этом форуме была приличная, и я пошёл дальше.

Выставка достижений ИБ-индустрии
Под выставкой достижений ИБ-индустрии понимается множество мини-локаций, расположенных в холле. В каждой мини-локации идёт презентация деятельности одного из представителей «мирового ИБ-сообщества» (другими словами, партнёра PHDays): Advantech, Axoft, IBM, ICL, Infotecs, Kaspersky Lab, Microsoft, Rostelecom, R-Vision, Solar Security, Wallarm, Web Control и другие.
Каждая презентация состояла из рассказа специалиста, печатной и маркетинговой продукции.
Лукавить не буду, я не проникся интересом к большинству из представителей «мирового ИБ-сообщества». Единственное «прихватил» Отчёт о текущей исследовательской деятельности Positive Technologis (пока не читал).


Конкурсы от организаторов и партнёров

Для развлечения публики, уставшей от докладов и семинаров (ни в коем случае не подумайте, что они были не интересными! Устать можно и от переизбытка интересной информации), организаторы приберегли с десяток конкурсов на площадке и пару конкурсов онлайн.
По причине моего крайнего интереса к докладам, я не успел вникнуть в конкурсы в достаточной мере. Могу сказать лишь, что выгладили технические средства весьма заманчиво и участники форума проявляли к ним интерес.
Достаточно эффектно выглядел стенд для конкурса «Automotive Village: CarPWN» – взлом системы защиты автомобиля.

Понаблюдать мне удалось за финалом конкурса «HackBattle». На отборочном этапе этого конкурса участникам нужно было выполнить несколько заданий (это происходило в первый день). На следующий день двое лучших хакеров сели за компьютеры, установленные на главной сцене друг напротив друга, чтобы сразиться в финальном поединке – взлом Web-сайта. Задание для участников было неожиданностью, поэтому в этом конкурсе была важна крепость нервов, скорость и умение искать решение новой задачи в режиме реального времени (ещё и на глазах у сотни человек, которые наблюдали за экранами проецируемыми на большой экран).
В сопровождении комментариев профессионалов конкурс стал самым популярным для зрителей.
Победу в баттле одержал Влад Росков (SpbCTF). Один из зрителей хорошо заметил: «Да я Ctr-C+Ctr-V дольше нажимаю, чем он вводит команды консоли...» Профессиональный уровень обоих участников вызывает глубокое уважение и стремление расти, развиваться, чтобы достигнуть хоть 10% «скила».

Доклады и семинары

Послушать доклады ведущих ИБ-специалистов было моей основной целью на этом форуме, поэтому в этой части мой рассказ будет красочнее и полнее. Как я уже говорил, количество докладов и принцип их проведения делали физически невозможным присутствие на всех и даже многих. Расскажу свои впечатления о лучших докладах, на мой взгляд (из тех, которые я слышал).

«Хакеры хотят ваш банк больше, чем ваших клиентов»

Дмитрий Волков (GroupIB) крайне любопытно рассказал об атаках на финансовую сферу: на банкоматы, платежные шлюзы, системы межбанковских переводов и так далее. Отметил изменение вектора атаки хакеров с клиентов банковской сферы на сами финансовые организации.


С его слов становились простыми и понятными ходы весьма продуманных бандитских организаций: на каком этапе деньги незаметно украсть, сколько денег украсть, чтобы получилось действительно «незаметно», где, как и кому обналичивать их потом.
Дмитрий рассказал грустно-весёлую историю про квалифицированного замученного работой специалиста по ИБ. Привожу рассказ с точностью до ключевых фактов.
Бывают совсем глупые до боли случаи. Например, штатный администратор не всегда может оценить вредоносность файла, но это и не его работа. Вот, антиспам «поймал» некоторый файл (троян, как оказалось в дальнейшем), администратор отправляет его безопаснику для более глубокого анализа. Безопасник сидит «по уши в работе», ему приходит письмо от администратора. «Адрес-то проверенный– видит безопасник и открывает приложение, не читая текста письма.
Вот так перегруженность работой сводит на нет и образование, и опыт.

«Анти-APT своими руками»

Доклад Данила БородавкинаИнформационные спутниковые системы») про средства борьбы с целевыми атаками слишком нахваливать мне зазорно, так как Данил является моим коллегой. Но промолчать тоже сложно.
Во-первых, возникает чувство большой гордости, когда среди докладчиков из-за рубежа и центральной России, среди профильных компаний, занимающихся ИБ, возникает докладчик из компании «Информационные спутниковые системы» (для большинства участников это где-то в глухой Сибири) и рассказывает участникам форума об опыте выявления целевых атак средствами «опенсорса, костылей и порядка».
Во-вторых, мне было приятно смотреть и слушать про мои любимые *nix-системы, которые можно успешно применять для реальной защиты информации. В силу немного другой области ИБ, которой я занимаюсь на работе, все Linux, Unix и прочие на -nix живут у меня исключительно в домашних компьютерах. У каждого настоящего юниксоида есть собственные большие или маленькие программные поделки, но далеко не все из них могут быть использованы для решения серьёзной коммерческой задачи – повод для уважения Данила и его команды!


Взлом учетных записей в WhatsApp и Telegram

Доклад Романа Заикина (Check Point), содержание которого очевидно из названия, по мнению очень многих не стоил того, чтобы его пропустить. Мало того, что не хватило сидячих мест, мест на ступеньках, мест стоя в проходах, так мы в принципе не смогли зайти в зал!
Участников форума спасло то, что организаторы предусмотрели такую ситуацию и вели прямую трансляцию на большие экраны в холе, где можно сидя на диване или на кресле-мешке (если вам повезло), или просто стоя со стаканчиком кофе послушать столь интересующий публику доклад.
Надо отметить, что доклад был на английском языке. Посетители, попавшие на доклад, могли воспользоваться «мобильными переводчиками» (не уверен в правильности термина), которые всем желающим выдавали на входе в зал. Трансляция в холле уже велась с синхронным переводом. Не уверен, что это лучшая идея, так как доклад технический и воспринимался на языке оригинала весьма не сложно. Однако, с точки зрения продуманности «очко» организаторам.

«Как разработать DBFW с нуля»

Денис Колегов и Арсений Реутов (Positive Technologies) рассказали о технических аспектах разработки с нуля прототипа межсетевого экрана уровня СУБД Database Firewall. Интересный, можно сказать «фундаментальный» доклад (в сравнении с крайне прикладными теми других выступлений).
Учитывая тот факт, что web application firewall (WAF) от PT «засветился» в квадрате Гартнера и родственную близость WAF и DBFW, слушать господ разработчиков было в двойне интересно.

«Анализ атак на исчерпание энергоресурсов на примере устройств беспроводных сетей»
Владислав Александров (Positive Technologies, студент Университета ИТМО) рассказал о своих исследованиях совместно с Василием Десницким (СПИИРАН) по исследованию атак, направленных на исчерпание энергоресурсов устройств, работающих от автономных источников питания. Были продемонстрированы различные подвиды подобных атак, приведены результаты моделирования для отдельных платформ.
Цель атаки очевидна, но задумывались ли вы когда-нибудь, что злоумышленники могут искусственно «разрядить» ваш телефон в своих преступных целях?

«Хакеро-машинный интерфейс»

Одно представление Брайана Горенка и Фрица Сэндса утверждает человека в необходимости посетить их доклад. Брайан является руководителем департамента исследования уязвимостей компании Trend Micro, руководит Zero Day Initiative (ZDI), самой масштабной независимой программой поиска ошибок в программном обеспечении. Фриц сейчас работает исследователем проблем безопасности в ZDI, до 2014 года работал в компании Microsoft, где в его задачи входила проверка кода Windows и разработка инструментов динамического анализа.



В этом докладе была представлена популярная тема атак на АСУ ТП и КСИИ, подвергая удару SCADA-системы. Была представлена статистика по видам уязвимостей таких знаменитых производителей, как Schneider Electric, Siemens, General Electric и Advantech. Авторы доклада представили тенденции развития атак на SCADA и своё мнение о будущем этой области.
Я мало знаком с проблемой защиты SCADA-систем, но о потраченном времени я точно не жалею.

«Ты, а не тебя. Армии умных ботов в руках хакера»

По предварительному опроснику на сайте PHDays, этот доклад должен был стать самым популярным на форуме. Действительно, пришедшие послушать Андрея Масаловича (гендир «Лавина Пульс», кандидат физ.-мат. наук, подполковник ФАПСИ в отставке), участники форума сидели даже на ступеньках зала. Между прочим вполне удобно, мне показалось.
Автор развивал тему противодействия в сети не отдельных людей, а ботнет сетей, управляемых злоумышленниками, спецслужбами и прочими заинтересованными людьми. Интересы людей, использующих это оружие может варьироваться от массового взлома паролей до влияния на ход выборов президента.
К сожалению, опаздывая на самолёт, я не смог дослушать доклад до конца. Поэтому очень жду видео, которые, я надуюсь, будут выложены на сайте форума, как это было сделано с выступлениями 2015 и 16 годов.

Прочее

Доклады, которые мне не понравились, перечислять не буду, дабы никого не обидеть. Докладчики занимали должности в видных компаниях ИБ, предлагали интересные идеи, расставляли интересные акценты на современной ситуации в мире ИБ, по большому счёту, я уверен, что мне стоило бы поучиться очень многому у них. Но злую роль играл принцип «что-то хорошо умеешь – умей и не хуже рассказать об этом». При достаточно сложной информации, которую ты рассказываешь, плохо поставленная речь сводит на нет большую часть рассказа: пока слушатель стремится не упустить нить рассуждений и перевести винегрет из перемешанных русских и английских слов, приправленных жаргонизмами, ты уже успел подойти к заключительным словам доклада.


Заключение

Жаль, что в студенчестве не выдалось шанса добраться сюда. Так как мотивационную составляющую нахождения в «гуще» умных, успешных, квалифицированных специалистов можно смело сравнить по ценности с информацией, полученной на докладах и семинарах.



Ещё хотел рассказать об одном моменте. Понятное дело, что хакерское мероприятие не могло обойтись без выше_рекомендованного_минздравом количества кофе, который был, действительно, хорош и помогал держать мозги в тонусе. Кроме кофе был свежевыжатый «SOC».


В целом мне приятно было находиться в этой «точке сгущения» лучших специалистов области ИБ, теперь есть целый год на «переваривание» информации и плодотворную работу.

Павел Шипулин - крайний справа (примечание К. Шудровой)

https://vk.com/kshudrova - ссылки на свежие посты и интересные материалы других авторов, а также новости мира ИБ.