• Непосредственно мастер-класс Hack the Lab

• Тестирование стенда Predator 4

Мастер-класс проходил в лаборатории, где 4 команды по 2 человека пытались добраться до «секретных» рецептов . Процесс сего действа я освещал (с фотографиями) в твиттере.

Мастер-класс моделировал ситуацию взлома сайта с целью поиска номеров кредитных карт клиентов и конфиденциальных документов. Нужно было проходить многоуровневую защиту, запускать различные эксплоиты и т.п. . Вся наша активность фиксировалась StoneGate’ом в реальном времени, логи выводились на экран. Не смотря на очевидную простоту задания, проблемы испытывали все участники. Как сказал один из коллег: «Хорошо, что никто из знакомых не видит какие глупости я сейчас делаю …». Но в результате с разной степенью успешности с заданием справились все.

По словам организаторов, такой мастер-класс рассчитан на руководителей ИБ, чтобы они вспомнили, техническую сторону вопроса.

Вторая часть мероприятия проходила уже на следующий день. Тестировать Predator 4 оказалось довольно занятно. В довольно дружественном интерфейсе можно выбрать конкретное оборудование, настройки и параметры для обхода IPS. В режиме реального времени можно отслеживать реакции IPS от разных вендоров на ту или иную сетевую активность. Удобство заключается в том, что этот стенд наглядно демонстрирует, как использование той или иной техники обхода помогает известным эксплоитам проходить IPS. Посмотрев все это на стенде мое представление о маркетинговой фишке под названием Динамические техники обхода (АЕТ – AdvancedEvasionTechniques) поменялось. Видимо маркетологи, которые 2 года назад начали продвигать эту идею, сами не понимали что это такое. От того и делали ролики непонятного содержания вроде этого, которые не разъясняют, а только запутывают.

AET – это техники, которые применяются совместно с сетевыми атаками, с целью обхода систем защиты. Идея заключается в том, что даже известные эксплоиты, которые легко ловятся всеми известными IPS, могут проходить эти же IPS при использования тех самых динамических техник обхода. AET основываются на комбинировании разных типов/тактик обхода, которые работают на разных сетевых уровнях и в разных протоколах. Хороший ролик с демонстрацией прошлой версии Predator есть тут:

Мне сложно оценивать насколько активно сейчас злоумышленники используют динамические техники обхода. Однако организаторы неоднократно давали понять, что громкие взломы последних лет происходили у компаний, которые крайне серьезно относятся к ИБ в целом, и сетевой безопасности в частности. Тем самым намекая, что, скорее всего именно такие техники использовались в этих случаях. Поэтому одним из своих конкурентных преимуществ Stonesoft видит именно в проработку AET.

Пользуясь случаем, я задал провокационный вопрос главе группы по анализу уязвимости Stonesoft Olli-Pekka Niemi, которые исследует техники обхода. Вопрос заключался в том, какие, по его экспертному мнению, IPS лучшие, а какие худшие в свете AET. Ответ был довольно интересный. Самыми худшими он назвал решения от McAfee, Palo Alto, и, в зависимости от настроек, Sourcefire. К средней категории он отнес решения Cisco, Juniper, Checkpoint, ну а самым хорошим естественно был назван StoneGate.

В целом мероприятие оказалось интересным и полезным. Всегда интересно поговорить с людьми, которые непосредственно своими руками создают современные продукты безопасности. Другие вендоры, по каким-то своим причинам пока показывают рынку только своих пресейлов и продавцов. Будем надеяться, что наш рынок продолжит свое «взросление», и такие мероприятия будут проводиться все чаще.

P.S. Помимо самой программы было интересно пообщаться с коллегами на отвлеченные темы. В частности обсудили опубликованное исследование IDC, в котором сообщается о росте рынка аппаратных решений ИБ на 73%. Во-первых непонятно, что понимается под аппаратными решениями. Софт, который продается к железу, учитывается в исследовании? Если да, то какой именно, если нет, то при чем тут «аппаратные» решения и как они смогли оценить рынок, ведь у некоторых вендоров софт включен в цену железа, а у некоторых продается отдельными лицензиями. Во-вторых, очень сомнительным выглядит перечень из пяти компаний, «которые контролируют более 70% рынка». Ну и, в-третьих, и самое главное, откуда взялась цифра в 73% роста рынка? Очевидно, что рост был, но 73%… это как? Откуда взялись внедренцы под практически двукратный рост рынка? Непонятно…

Другие записи

• Защита мобильных устройств по-русски. Часть 1
• Защита мобильных устройств по-русски. Часть 2
• Форум директоров по информационной безопасности 2012
• Безопасность виртуализации и облаков. Что мы имеем на сегодняшний день?
• Про НД ФСТЭК по IPS

© Царев Евгений for Информационная безопасность по-русски, 2012. | Permalink | No comment | Add to del.icio.us
Post tags: Advanced Evasion Techniques, AET, Checkpoint, Cisco, Hack the Lab, IDC, IPS, Juniper, McAfee, Palo Alto, Predator 4, Sourcefire, stonesoft, динамические техники обхода, мастер-класс, сетевая безопасность, эксплоит

Feed enhanced by Better Feed from Ozh

Системы дистанционного банковского обслуживания активно развиваются последние 10 лет. Системы Банк-Клиент, Интернет-Банк и набирающий обороты мобильный-банкинг стали неотъемлемым атрибутом любой серьезной кредитной организации. Однако вопросам безопасности в ДБО уделялось крайне мало внимания, как самими банками, так и их клиентами. В результате, по состоянию на сегодняшний день, оборот российского криминального бизнеса в системах ДБО по неофициальным оценкам составляет 500 миллионов $ в год. До настоящего момента, банки стремились решать проблемы в ДБО собственными силами, однако ежегодный рост ущерба от такого мошенничества говорит сам за себя. Как принято говорить «это создает угрозу для безопасности банковской системы РФ».

Законодатель со своей стороны решил вопрос очень просто. Федеральный Закон «О национальной платежной системе», в статья 9 гласит, что В СЛУЧАЕ ХИЩЕНИЯ ДЕНЕЖНЫХ СРЕДСТВ СО СЧЕТА КЛИЕНТА БАНК ОБЯЗАН ВОЗМЕСТИТЬ ПОЛНУЮ СУММУ ПОХИЩЕННЫХ СРЕДСТВ! Статья заработает с 1 января 2013 года. Если раньше банк перекладывал ответственность за несанкционированный платеж на клиента (физическое или юридическое лицо), то теперь закон обязует банк сначала возместить деньги на счет клиента, и только после этого приступать к разбирательству инцидента.

В связи с этим, некоторые банки перевели риски мошенничества ДБО в риски 1-го порядка (уже дважды сталкивался), т.е. непосредственно влияющие на выживание бизнеса. Еще бы. Формальной возможности остановить подозрительный, с точки зрения возможного мошенничества, платеж у банков до сих пор нет. Подводить это под 115-ФЗ (легализацию или терроризм) для банка чревато. Дискуссия об этом была недавно в твиттере.

Признаемся честно, банковская система, в настоящий момент, не готова к односторонней финансовой ответственности за мошенничество с платежами. Проблема усугубляется де-факто отсутствием широко применяемых и отработанных решений по обеспечению безопасности платежей.

Вспомним извечный вопрос – Что делать? Нужно реально защищать. Задача комплексная, но вполне выполнимая.

В зависимости от угроз для ДБО можно выбрать несколько направлений работы, например:

• Защита удаленного доступа
• Создание доверенной среды на стороне клиента (TrustScreen, Mac-токены и т.п.)
• Выстраивание процессов противодействия фроду
• Мониторинг транзакций
• И т.д.

Подробно остановимся на мониторинге транзакций, т.к. очевидно именно к таким решениям движется рынок.

В последние годы на рынке стали появляться качественные решения по мониторингу транзакций, которые позволяют среди сотен тысяч транзакций, проходящих через банк ежедневно, найти мошеннические, и остановить их еще до попадания в платежную систему.

Сейчас с разной популярностью пользуются решения от:

• HP\Arcsight
• Fiserv
• NICE
• RSA
• Norkom

Как обычно расклад сил между вендорами в России несколько отличается от общемирового. Например, Arcsight ESM, уже установленный во многих банках, является хорошим основанием для покупки Fraud View. Также привлекает большое число специалистов по Arcsight в России. Другие решения не могут похвастаться таким числом обученных внедренцев.

Система после запуска учитывает в среднем от 50 до 250 различных показателей, такие как:

• IP-адрес
• MAC-адрес
• Сумма платежа
• Имя получателя
• Назначение платежа
• Время платежа
• История платежей контрагенту
• И др.

В результате, каждый платеж оценивается по заранее заданным правилам и каждому платежу выставляется оценка (балл скоринга). На основании этой оценки система принимает решение о том, подозрительный это платеж или нет.

Далее оператор банка проверяет платеж и окончательно устанавливает мошеннический он или нет. Как показывает практика внедрения аналогичных систем, из десятков тысяч ежедневных платежей как подозрительные помечается не больше 100-200 транзакций, проверить которые под силу даже небольшому подразделению в банке. При желании можно организовать дополнительную авторизацию клиента без участия оператора.

Fiserv, Norkom, NICE – это глобальные конкуренты по антифрод системам. Даже продуктовые названия линейки либо совпадают, либо просто похожи. Решения рассчитаны не только на противодействие мошенничеству в ДБО, но и на анализ карточных транзакций, анализ внутреннего мошенничества и т.д. В отличие от того же Arcsight эти решения могут не только считать скоринг по каждой транзакции по заранее определенным правилам, но и использовать более сложный интеллектуальный анализ транзакций, например по заранее определенным профилям. Решения очень мощные и гибкие и подойдут тем, кто намерен серьезно работать в направлении противодействия фроду.

Приложение от RSA Transaction Monitoring требует меньше настроек, но в этом-то и проблема. В России признаки мошенничества заметно отличаются от тех же американских. Например, для большей части мошеннических переводов и получатель и плательщик находятся в России, и такое правило, как «метить подозрительным платеж в Нигерию» для нас неактуален. Зато быстро разворачивается.

Также на рынке есть уникальные разработки с самописными коннекторами и своими правилами. Как недорогая альтернатива – почему нет?

Более подробно по теме противодействия банковскому фроду в моем докладе на Positive Hack Days 2012.

Другие записи

• Форум директоров по информационной безопасности 2012
• AntiFraud Russia – 2011
• Риск нестабильности банковской системы или угроза безопасности созданная новым законом об электронной подписи
• Новая центровая тема ИБ. Какая?
• Каким я вижу 2012 год… если в 2-х словах…
• Большой пост о власти, регуляторах, персональных данных, стандартах и о будущем российской информационной безопасности

© Царев Евгений for Информационная безопасность по-русски, 2012. | Permalink | 3 comments | Add to del.icio.us
Post tags: Arcsight, Fraud, Positive Hack Days, Transaction Monitoring, антифрод, Банки, ДБО, доверенная среда, Интернет-банк, Информационная безопасность, мобильный банк, мошеннические транзакции, мошенничество, скорринг, удаленный доступ, фрод

Feed enhanced by Better Feed from Ozh

Дело в том, что ваш покорный слуга закончил Радиотехнический факультет ТУСУР (в прошлом ТИРиЭТ/ТИАСУР/ТАСУР) в Томске. 7 мая (День Радио) – я считаю своим профессиональным праздником.

Так уж сложилось, что День Радио в Томске – это по-настоящему большой праздник, не только в масштабах университета, но и всего города. Каждый год этот праздник проходит примерно одинаково с соблюдением всех многочисленных ритуалов. Вообще 7 мая – это один большой ритуал, о котором стОит рассказать поподробнее.

Например, сегодня во всей стране выходной, а для рядового студента ТУСУР 7 мая – всегда «неофициальный выходной» (хотя помню я одного преподавателя, который заставил половину курса сдавать курсовой в этот день… пусть это останется на его совести ).

Для рядового студента радиотехнического факультета этот день начинается (у многих и заканчивается) в общежитии №6 на площади Южная. Если вы живете не в общежитии и пойдете к нему утром или днем, то еще за километр вы будете слышать возгласы юных «радиолюбителей». Подойдя поближе, вы становитесь непосредственным участником мероприятия, правда, в качестве спонсора . Молодые люди будут подходить к вам и настойчиво просить дать денег на канифоль, припой, паяльник и т.п. В случае отказа последуют шутливые угрозы разрядить на вас какой-нибудь конденсатор . В любой случае, шансов не оставить монетку у вас не много . Они очень убедительны .

Наивно полагать, что деньги, брошенные в студенческую кепку, пойдут на необходимые для учебы материалы. Все они будут освоены в ближайшем магазине и вряд ли на что-то полезное.

По мере постепенного опустошения магазинов будет расти нахальство будущих инженеров, но миполиция будет вести себя сдержанно, они же все понимают .

К слову о сдержанности. Это вообще черта города. Когда я учился на 4-м курсе, мы с друзьями 7 мая набрались наглости и группой (человек в шесть) пошли на встречу к мэру (тогда был Макаров). А почему нет? Самого мэра на месте не было, но был его зам – Александр Мельников. Он был удивлен нашему неожиданному визиту, однако мило с нами пообщался, написал официальное поздравление ТУСУР от администрации города, и «дал на паяльник» , к слову целую 1000 руб. (огромные деньги для нас по тем временам)! Подчеркиваю, что мы зашли в мэрию без каких-либо препятствий, легко поговорили с кем хотели и ушли. Представляю, чтобы с нами сделали, приди мы так к московскому мэру…

Итак, продолжим о празднике. После обеда возле входа в общежитие появится микрофон, соберется народ, появятся флаги и будут произноситься речи. То же самое будет возле главного корпуса университета на Новособорной площади. Ближе к вечеру начнется подготовка к шествию. Это одна из ключевых традиций. Одетые в разноцветные майки активисты разных факультетов, а за ними и все остальные, пойдут по перекрытым заранее уважаемыми сотрудниками ГИБДД, улицам города. Декана радиотехнического факультета понесут на специальном троне (как в фильме Клеопатра ). Выглядит очень здОрово.

Само шествие занимает около часа и заканчивается там же где и начиналось – возле общежития №6. Здесь уже подготовлена площадка под «падающие телевизоры». Начинается очередной ритуал – с верхнего этажа общежития начинают сбрасывать старые телевизоры, мониторы, холодильники и прочую технику.

В начале 2000-х, было много старых телевизоров в деревянных корпусах, и сбрасывали в основном их. Потом к ним присоединились CRT-мониторы, но лучше всего, конечно, при падении взрываются именно старые телевизоры . Все это действо символизирует избавление от старых технологий.

Когда телевизоры заканчиваются у каждого студента начинаются свои планы. Кто-то пойдет на устроенный администрацией концерт, кто-то останется в общежитии, но основная часть студентов «растекается» по городу. На эту ночь все злачные места города переходят под наш контроль!

Всех с праздником! Попов воскрес!

Random Posts

• Как управление Роскомнадзора по республике Башкортостан получило такие результаты или чем помогает власть?
• Запускаем серию “Слухов”
• Как новые технологии меняют наш мир или что заставляет взрослых людей впасть в детство?
• Тезисы с челябинской конференции
• Сколько зарабатывают специалисты по информационной безопасности в США?
• Ресурсы по защите персональных данных

© Царев Евгений for Информационная безопасность по-русски, 2012. | Permalink | 5 comments | Add to del.icio.us
Post tags: День радио, ТУСУР

Feed enhanced by Better Feed from Ozh

Коррупциогенными факторами по документам проходят:

• «выборочное изменение объема прав – возможность необоснованного установления исключений из общего порядка для граждан и организаций по усмотрению органов государственной власти или органов местного самоуправления (их должностных лиц)»
• «наличие завышенных требований к лицу, предъявляемых для реализации принадлежащего ему права, – установление неопределенных, трудновыполнимых и обременительных требований к гражданам и организациям»
• «юридико-лингвистическая неопределенность – употребление неустоявшихся, двусмысленных терминов и категорий оценочного характера»
• «наличие завышенных требований к лицу, предъявляемых для реализации принадлежащего ему права, – установление неопределенных, трудновыполнимых и обременительных требований к гражданам и организациям»

Посмотрим, какой будет реакция со стороны ФСБ. Скорее всего, предложения будут приняты частично, только в тех частях, которые не меняют кочующие из одного документа в другой формулировки. В любом случае по обоим заключениям должен быть дан ответ. Посмотрим…

Что касается других развернутых замечаний по проектам постанвлений, то их можно посмотреть тут (Алексей Волков, Артем Аветян).

Другие записи

• Вышел репортаж на Первом канале с моим участием или сколько стоит база данных на рынке?
• Каким я вижу 2012 год… если в 2-х словах…
• Большой пост о власти, регуляторах, персональных данных, стандартах и о будущем российской информационной безопасности
• Новости из Ассоциации Российских Банков и Министерства Связи и массовых коммуникаций в части защиты персональных данных
• Как я использовал закон 152-ФЗ о персональных данных в реальной жизни или российский интернет-бизнес
• Открытое письмо президенту Д.А. Медведеву по закону о персональных данных

© Царев Евгений for Информационная безопасность по-русски, 2012. | Permalink | One comment | Add to del.icio.us
Post tags: антикоррупционная экспертиза, безопасность персональных данных, закон о персональных данных, Законодательство, защита персональных данных, Информационная безопасность, Классификация ИСПДн, обработка персональных данных, угрозы безопасности, уровни безопасности, ФСБ, экспертиза

Feed enhanced by Better Feed from Ozh

Тема сегодняшней заметки – MDM (Mobile Device Management). Именно «MDM-подход», как некий тренд, набирает популярность во всем мире. Но, как будет видно из заметки, на российском рынке у него есть принципиальная проблема, которую непонятно как решать.

Начнем с отечественной разработки от НИИ СОКБ. Это единственное известное решение класса MDM, произведенное в РФ. Основным заказчиком в настоящий момент является ОАО «Газпром». Учитывая, что мы традиционно отстаем от западного рынка на несколько лет, логичным является тот факт, что разработка НИИ СОКБ по своим свойствам напоминает первые западные MDM решения. В чем это проявляется? Во-первых, решение работает только под Symbian. Во-вторых, отсутствует гибкость в использовании устройства, в частности пользователь не может удалить приложение безопасности и получить полный контроль над устройством с потерей функционала по работе с внутренней сетью предприятия (уф… ). В-третьих, в решении не реализована российская криптография. Получается, что решение рассчитано на компании, которые выдают своим сотрудникам рабочие мобильные устройства Nokia и хотят их контролировать. Планируется версия решения под iOS. Версии под Android пока в планах нет. Планируется сертификация во ФСТЭК.

Теперь поговорим о 2-х западных решениях, которые уже продаются на нашем рынке:

• Mobile Iron (целый комплекс решений для контроля мобильных устройств)
• McAfee Enterprise Mobility Management

Что касается Mobile Iron и McAfee, то имеет смысл рассматривать их вместе, т.к. это глобальные конкуренты и в рамках столь короткого обзора детальные отличия значения не имеют.

Итак, эти решения – мировые лидеры в MDM-мире. Заточены под работу со всеми популярными платформами: iOS, Android, BlackBerry, webOS, WindowsPhone. Условно решения состоят из 3 частей (приложение на мобильном устройстве, приложение на стороне компании и облачный сервис от производителя).

При установке клиентского приложения, которое штатно скачивается из Android Market’а или Apple Store, на мобильном устройстве реализуются ряд политик, которые позволяют создать на устройстве некое подобие доверенной среды. Например, может быть закрыт доступ к некоторым приложениям и разделам. По факту установки клиентского приложения предоставляется доступ к корпоративным сервисам. Приложение на стороне компании получает заданные полномочия по контролю устройства. Не будем перечислять какие . Преимущество в том, что пользователь может в любой момент удалить приложение и восстановить полный контроль над своим устройством, при этом сервисы компании для него окажутся закрытыми.

В общем, решения современные и вполне отвечают современным задачам безопасности. Можно долго спорить о том, как работать с пользователями, чтобы они таки устанавливали приложения на свои устройства , но в целом решения более чем применимы.

И тут возникает ключевой вопрос, а как с сертификацией криптографии? А все очень просто – ее нет. Более того, в любом западном решении отсутствует даже возможность реализации российской криптографии. Проблема технологическая, и как ее решать пока непонятно.

В любом случае проблема по контролю мобильных устройств есть и с каждым днем становится все более и более острой. Поэтому логично предположить, что в ближайшее время участники рынка не будут обращать внимания на вопрос криптографии для защиты мобильных устройств. Свежо в памяти появление первых систем ДБО, долгие споры о реализации криптографии в УЭК и на сайте gosuslugi.ru.

Тут, как говорится, все покажет время, а пока каждый выбирает СВОЕ решение СВОЕЙ проблемы.

См. также Защита мобильных устройств по-русски. Часть 1

Другие записи

• Защита мобильных устройств по-русски. Часть 1
• Каким я вижу 2012 год… если в 2-х словах…
• Большой пост о власти, регуляторах, персональных данных, стандартах и о будущем российской информационной безопасности
• Форум директоров по информационной безопасности 2012
• 6 рекомендаций чтобы успешно пройти проверку Роскомнадзора
• Каковы шансы реформировать российскую ИБ?

© Царев Евгений for Информационная безопасность по-русски, 2012. | Permalink | 2 comments | Add to del.icio.us
Post tags: android, BlackBerry, iOS, McAfee, MDM, Mobile Device Management, Mobile Iron, Nokia, Symbian, VPN, webOS, WindowsPhone, защита мобильных устройств, Информационная безопасность, Коллеги, Криптография, Мобильная безопасность, мобильные устройства, угрозы безопасности, универсальная электронная карта, ФСБ, ФСТЭК

Feed enhanced by Better Feed from Ozh

Итак,

Первый день

Пленарка запомнилась выступлениями регуляторов ФСТЭК и ФСБ (Роскомнадзор отсутствовал).

ФСБ (Олег Залунин):

• Постановления Правительства в части ПДн уже подготовлены и согласованы с ФСБ (в общем-то, они их и разрабатывали). Эти документы мы скоро увидим. По словам представителя ФСБ в документах появился новый параметр, который вместе с уровнем защищенности влияет на требования по защите – это «категория нарушителя»
• По существующему плану сразу после опубликования Постановлений Правительства должны выйти новые ведомственные документы ФСБ по ПДн (примерно середина лета)

ФСТЭК (Виталий Лютиков):

• Подход, который был использован при подготовке документов по IPS, будет применяться и в дальнейшем, в частности при разработке документов по АВЗ, DLP и т.д.
• На вопрос, является ли сертификация СЗИ обязательной, был дан ответ: “Да, из-за 330 Постановления Правительства”. По словам докладчика, эту строчку в постановление вписали в Минобороны. Напомню, 330 постановление не опубликовано (имеет гриф ДСП) и не зарегистрировано в Минюсте, и согласно действующему законодательству считается не вступившим в законную силу
• На вопрос, нужна ли лицензия ФСТЭК на ТЗКИ для собственных нужд, был дан уклончивый ответ, что это решает руководитель организации

Далее Алексей Лукацкий рассказал про тенденции развития ИБ в России и мире. Свои презентации он уже выложил.

После кофе-брейка был доклад Александра Кириллова из Северстали о взаимодействии ИБ и бизнеса. Не всем оказался по душе подход к ИБ лишь как к инструменту борьбы с издержками, но лично я склонен согласиться с докладчиком. Примерно год назад я описывал похожий подход в заметке «Руководитель службы ИБ как бизнес-менеджер».

Запомнился доклад Дениса Персанова из АШАНа, особенно понравился его ответ на чей-то длинный и запутанный вопрос, суть которого сводилась к тому, есть ли в АШАНе проблемы с безопасностью. Ответ был четким и уверенным, что проблем нет .

После обеда, с очередным успешный кейсом о поимке киберпреступников выступил Илья Сачков, и, как всегда, это превратилось в занятное шоу . Если серьезно, то кейс действительно интересный новостное видео есть тут:

Понравился круглый стол про безопасность ЦОДов. Традиционно в таких секциях обсуждается не только безопасность «облаков» и виртуализации, но и долго выясняется что это вообще такое . Любопытный доклад был у Дмитрия Огородникова из Инлайна про консалтинговую часть проекта по защите виртуализированного ЦОДа. Особенно понравилась предложенная очень простая и реально применимая классификация активов. Как сказал сам Дмитрий: «…ничего особенного, просто кропотливая работа…».

Хорошая техническая презентация была у Максима Федотенко из «ЛУКОЙЛ-ИНФОРМ» про практику защиты виртуализации. К слову в ЛУКОЙЛ-ИНФОРМе был один из немногих больших и успешных проектов по защите виртуализации. Будет интересно еще раз посмотреть презентацию, после того как ее выложат на сайте форума.

Ну, а дальше были бразильские танцы с перьями…

Второй день

Во второй день я выбрал банковскую секцию. Может быть, потому что банковская безопасность мне ближе, большинство докладов показались слишком простыми, однако комментарии Светланы Беляловой были очень достойные. Главное, что в секции мы все сошлись во мнении, что безопасность ДБО крайне актуальный вопрос для банков. Это вопрос отдельного большого поста, который в ближайшее время планирую выложить.

Ну а после обеда, «зажигал» Алексей Волков про свой успешный опыт судебного разбирательства с Роскомнадзором. Про серию его заметок я уже говорил. Тонкостей в этом вопросе много, но основной «эксклюзив» заключается в том, что данное дело создало прецедент. (update 18.04) Суд подтвердил «главенство 18-й статьи над 19-й» в законе о персональных данных, другими словами оператор сам определяет состав и перечень мер по защите, а 19-я статья лишь рекомендуемый перечень. К слову, наши технические регуляторы с этим мнением не согласны и содержание их докладов от мероприятия к мероприятию это косвенно подтверждает.

ИТОГО

Примерно так я увидел форум директоров по ИБ в этот раз. В целом, мероприятие, в сравнении с прошлым годом, прибавило. Прогресс есть и это хорошо, хотя все предыдущие «болезни» видимо перешли в разряд «хронических». Интересно, что в этот раз меня больше интересовал вопрос, а зачем читались некоторые коммерческие доклады? Выступление на форуме стОит для спонсоров немалые деньги, поэтому странно наблюдать, как некоторые докладчики «за свои же деньги мямлят…». Мало того, что не продали, так еще и мнение о себе испортили…

Но все-таки не доклады главное. Главное – это возможность встретиться со многими коллегами и обсудить все накопившиеся вопросы в ОДНОМ месте и всего за 2 ДНЯ.

Другие записи

• Новости из Ассоциации Российских Банков и Министерства Связи и массовых коммуникаций в части защиты персональных данных
• Каким я вижу 2012 год… если в 2-х словах…
• Большой пост о власти, регуляторах, персональных данных, стандартах и о будущем российской информационной безопасности
• Вышел репортаж на Первом канале с моим участием или сколько стоит база данных на рынке?
• Парламентские слушания в Государственной думе по персональным данным
• Принципы защиты персональных данных на предприятии и подводные камни привлечения интегратора. Слайдкаст

© Царев Евгений for Информационная безопасность по-русски, 2012. | Permalink | 4 comments | Add to del.icio.us
Post tags: DLP, IPS, антифрод, Банки, Виртуализация, ДБО, ДСП, закон о персональных данных, Законодательство, Интеграторы, Информационная безопасность, киберпреступность, Коллеги, Консультация, Минобороны, Минюст, мошенничество, Новость, Проверки, Роскомнадзор, СЗИ, СМИ, СТО БР ИББС, Требования, форум, фрод, ФСБ, ФСТЭК, ЦОД, Экономика и бизнес

Feed enhanced by Better Feed from Ozh

В полной мере это справедливо и для мобильных устройств.

Не так давно службы ИТ выполняли задачу бизнеса по предоставлению доступа в локальные сети с мобильных устройств. И вот сегодня все начинают думать о секьюрности такого процесса. Причем в нашем случае под секьюрностью следует понимать еще и легитимность использования того или иного средства защиты. Не секрет, что в промышленные западные решения для защиты мобильных устройств плотно “вколочена” западная криптография. Поэтому вопрос легитимности для них остается открытым. Тем не менее, такие решения как Mobil Iron или McAfee Mobile Security находят своего клиента на нашем рынке. Об этих решениях мы еще поговорим, но сегодня мне бы хотелось остановиться о решениях для основных мобильных платформ Android и iOS, которые нацелены на получение одобрения ФСБ.

В настоящий момент можно выделить всего 3-х игроков, которые нацелились на рынок защиты мобильных устройств и используют сертификацию как конкурентное преимущество:

• Код Безопасности,
• Инфотекс,
• Stonesoft.

Итак,

Континет АП. Тут 2 решения – заявленный еще в прошлом году клиент под iOS и совсем недавно запущенный в разработку клиент под Android. Клиент под iOS, вроде как, выпущен, но отзывов пока никаких, поэтому у меня есть сомнения, что решение действительно работает. Функционал у обоих решений был заявлен широкий, но что окажется реализованным по факту пока неясно. Также неясно как там дела с сертификацией.

ViPNet Client. Инфотекс как и Код безопасности также заявил 2 решения – под iOS и Android. Но у Инфотекса дела идут лучше, т.к. есть информация, что к сертификации они заявлены и были пилотные внедрения. Информации по работоспособности пока нет, но думаю скоро появится.

Соревнование Кода Безопасности и Инфотекса не меняет того факта, что для iOS приходится делать jailbreak. Apple ревностно относится к такой процедуре, и за факт проведения снимает устройства с гарантии. Что касается российского законодательства, то здесь есть повод подискутировать. С одной стороны – это нарушение правил эксплуатации и, как следствие, нарушение прав Apple, с другой стороны jailbreak необходим для выполнения локальных требований по криптографии… Вопрос открыт, интересно выслушать ваше мнение в комментариях.

К слову, jailbreak не является нарушением авторских прав яблочной корпорации в США.

StoneGate SSL VPN. Тут совсем иной подход в предоставлении защищенного доступа. Решение бесклиентское, подразумевает предоставление удаленного доступа с использованием SSL VPN.

На днях StoneGate SSL VPN получил сертификат ФСБ как СКЗИ класса КС1 и КС2, что для нашего рынка безусловно событие. Решение понятное, тестировалось многими и сертифицированное, хотя и тут есть детали для проектировщиков, например, получение доступа через SSL в любом случае подразумевает наличие какого-то клиента на мобильном устройстве, которое теоретически тоже попадает в систему защиты. Одним словом нужно дискутировать и услышать мнение регуляторов.

Итого, лидеры «с сертификатами» определились. По всей видимости, именно между ними будут разворачиваться основные баталии на рынке мобильной безопасности в ближайшее время. Западные решения пока стоят обособленно, но о них нужно обязательно поговорить в следующей части.

См. также Защита мобильных устройств по-русски. Часть 2

Другие записи

• Защита мобильных устройств по-русски. Часть 2
• Каким я вижу 2012 год… если в 2-х словах…
• Большой пост о власти, регуляторах, персональных данных, стандартах и о будущем российской информационной безопасности
• 7 способов удалить свои данные из Google и Яндекс
• Форум директоров по информационной безопасности 2012
• Как посадили человека за отказ предоставить данные в расшифрованном виде…

© Царев Евгений for Информационная безопасность по-русски, 2012. | Permalink | 10 comments | Add to del.icio.us
Post tags: android, iOS, McAfee, Mobil Iron, stonesoft, Информационная безопасность, инфотекс, код безопасности, Криптография, Мобильная безопасность, Требования, ФСБ, шифрование

Feed enhanced by Better Feed from Ozh