Сообщения

Сообщения за июль, 2016

СОИБ. Анализ. Хорошие времена для исследователей безопасности российских СЗИ. Часть 2

Вводную часть вынес в отдельную статью чтобы не загружать читателей прописными истинами. Часть 2. К сути Так получилось, что каждая неожиданно опубликованная уязвимость в сертифицированном СЗИ обходится производителю достаточно дорого: ·          Если новая версия СЗИ находилась на сертификации (а это продолжительный процесс от 0.5 до 2х лет. Можно сказать, что у крупных производителей СЗИ всегда находятся на сертификации) и эта версия подвержена опубликованной уязвимости, то СЗИ автоматически снимается с сертификации и отправляется на доработку и потом на повторные испытания. В зависимости от сложности проблемы — это может отложить на 2-6 месяцев выход новой версии СЗИ на рынок. И время тут - деньги ·          Если СЗИ уже было сертифицировано, всё равно, после выпуска патча его надо отправить на инспекционный контроль, это дополнительные пара месяцев ожиданий и оплата услуг испытательной лаборатории от 100 до 500 тыс. руб. ·          Любое изменение в контрольных сумма

СОИБ. Анализ. Хорошие времена для исследователей безопасности российских СЗИ. Часть 1

Часть 1. Вводная (вынес сюда прописные истины, всем известные) До недавнего времени добропорядочные исследователи безопасности ( white hat ) фактически не занимались исследованиями безопасности российских средств защиты информации. Связано это было с рядом факторов: ·          важная часть нормативных документов (например, недавние требования к МЭ), требований регуляторов к СЗИ недоступна широкому кругу исследователей – доступ получают только разработчики СЗИ – лицензиаты ФСТЭК и ФСБ; а значит не заинтересованы в привлечении широкого круга лиц ·          испытательные лаборатории – только выполняют формальную проверку соответствия функций СЗИ – требованиям регулятора и в лучшем случае проходят сканнером уязвимостей. В детальном ручном поиске уязвимостей они не заинтересованы, так как основной показатель и критерий их работы (почему производители обращаются к данным ИЛ) это: быстрые сроки испытаний, качественно подготовленная документация (которая точно устроит орган сертиф

СОИБ. Анализ. Сертифицированные средства криптозащиты / кодирования не сертифицированные

Изображение
Вчерашнее Извещение ФСБ России «об использовании несертифицированных средств кодирования (шифрования) при передаче сообщений в информационно- телекоммуникационной сети «Интернет» понаделало немало шума. Высказывались даже идеи об отсутствии необходимости сертификации СКЗИ вообще. В свою очередь недавно я сталкивался с большим количеством проверок ФСБ России и хотел бы процитировать некоторые моменты из них по теме сертифицированных СКЗИ: Тут мы видим, что применение не прошедших оценку соответствия в форме сертификации СКЗИ ФСБ России определяет, как нарушение требований по защите ПДн (ст.19 152-ФЗ и пункт 13 ПП 1119). В следующем примере просроченные сертификаты на СКЗИ также приводят к нарушениям (ст. 19 152-ФЗ и п.10 ПКЗ 2005 – оба пункта про оценку соответствия СЗИ) и административному правонарушению по статье 13.12 ч.2 КоАП РФ. Плюс ещё пришлось приостановить эксплуатацию двух ИС. В следующем примере ФСБ России обнаружили уже отсутствующие сертификат

Общее. Результаты ИБ конкурса

Изображение
Когда задумывал конкурс розыгрыша билетов на Код ИБ Онлайн идея была следующая: беру в основном вопросы из истории ИБ, тогда опытные, но более ленивые ИБ специалисты могут на них легко ответить, ведь они начинали с этих тем, а молодые ИБ специалисты должны быть более прокачаны в поиске информации (гуглении) и для них тоже не составит найти нужный ответ. К моему удивлению, многие знакомые признались, что не смогли ответить и поэтому не стали участвовать. Другие сказали, что решили сразу купить билетик и не парится.  Но были и те которые ответили и победили. Краткий обзор ниже. 1.        Назовите самый старый из действующих федеральных законов в котором упомянута необходимость защиты информации, данных или тайн Тут я загадал ФЗ о Банках от 1990 г. Он действующий. В нем упомянута защита банковской тайны. И он самый старый из вариантов приведенных в ответе. Закон СССР не считаю, так как он не федеральный.  2.        Назовите единственный тип межсетевых экранов, который не м

Общее. Как получить качественный ИБ контент - Код ИБ онлайн (конкурс)

После череды ИБ мероприятий регулярно поднимается обсуждение о том, как же слушателям получить качественный контент? В случае, когда ИБ мероприятие организуется одной компанией – все доклады и выступления привязаны к области интереса / услуг этой компании. Если мероприятие проводится за деньги спонсоров, то не обойтись без прямой рекламы в большинстве докладов. Если же мероприятия проводится за деньги слушателей, то как правило стоимость получается весьма приличной (аренда помещений, питание, развлечения, конкурсы, оплата работы организаторов и т.п.) Ребята из Экспо-линк пытаются найти новый вариант – провести онлайн мероприятие с качественными докладами без рекламы, на за небольшую стоимость. Сокращение стоимости за счет онлайн и массовости участников. Как заявили организаторы “со спикеров требуем экспертный (то есть не рекламный) и уникальный (то есть не звучавший в таком виде на других мероприятиях) контент”. Идея довольно интересная - мы скидываемся, а эксперты в отве

СОИБ. Анализ. (UPDATE) Пакет изменений в законодательство от Яровой “антитеррористический” и ИБ

Изображение
Возможно многие уже слышали о ФЗ Яровой вносящем изменения в   Федеральный закон «О противодействии терроризму» и отдельные законодательные акты   Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности.   Текст   тут. Рекомендую ознакомится самостоятельно. Так как данные поправки касаются операторов связи и других ИТ компаний, а также вносят изменения в 149-ФЗ об информации, информатизации и защиты информации, то они всколыхнули ИТ сообщество и продвинутых пользователей. Была очень большая волна критики со стороны операторов связи, облачных операторов и западных диссидентов. Цитировать большого смысла не вижу. Видео ответ на эту критику от самой Ирины Яровой можно посмотреть  тут                                                    Далее кратко разберу пункты / требования, которые могут быть интересны и касаться информационной безопасности:   а) ФСБ России и СВР РФ имеет право запрашивать

СОИБ. Анализ. Безопасность NFC

Изображение
NFC технологии последнее время активно продвигаются в массы. Ещё бы, ведь это удобно -  использовать какую-нибудь одну маленькую штучку типа браслета, карты или даже телефона как универсальное платежное средство или средство идентификации, которые не нужно никуда вставлять, набирать пароли и тому подобное: поднес к считывателю, получил что нужно и идешь дальше: на крупных мероприятиях, в транспорте, отеле, на горнолыжном курорте, в банкоматах, машинах и т.п. Давайте посмотрим подробнее. Near field communication, NFC («коммуникация ближнего поля», «ближняя бесконтактная связь») — технология беспроводной высокочастотной связи малого радиуса действия, которая дает возможность обмена данными между устройствами, находящимися на расстоянии около 15 сантиметров. В отличие от такой технологии как Bluetooth позволяет быстрее обмениваться маленькими объемами информации и поддерживает пассивные устройства (метки, карты), дешевле в реализации – что существенно увеличивает область приме