Почем нынче фунт Родины?

Сегодня в очередной раз ознакомившись с содержимым отраслевого раздела CNews.ru, обратил внимание на новость, что мол "Евгений Касперский собирается разместить исходные коды своих продуктов в открытом доступе". Пройдя по заинтересовавшей ссылке обнаружил вот эту новость. Для тех, кому лениво читать, вкратце резюмирую:

• Касперский собирается открыть в США производство своих продуктов (не исследовательскую лабораторию и не центр продаж, которые там уже есть, а именно разработку) и продавать их американскому говернменту (то бишь правительству) для организации защиты в том числе госучреждений (для которых строго рекомендуется защита информации с использованием комплекса стандартов NIST-800, о котором поговорим позднее). Это новость не совсем свежая, ей около пары недель, и ссылка на нее есть внутри статьи.
• Касперский боится (и совершенно справедливо боится), что если он будет поставлять продукты на американский государственный рынок, он столкнется с недоверием и возможными обвинениями в шпионаже, аналогично тому, как с этим столкнулись китайские телеком-фирмы, в первую очередь Huawei. Поэтому, чтобы избежать этого недоверия, он хочет развернуть сервера для компиляции и сборки продуктов в пределах США (что перекликается с первой новостью) и дать к этим серверам открытый ознакомительный доступ.

При всем при этом остаются открытыми несколько вопросов, например, как именно он планирует дать "открытый" доступ к исходному коду продуктов, как он сам заявляет, американским гражданам? Вряд ли технологические сервера будут иметь выход в Интернет для подключения к ним всех подряд, иначе грош цена таким серверам и собираемым на них продуктам. Скорее всего речь идет о государственных контролирующих органах, АНБ и тому подобных. Также неясно, собирается ли он делать подобное в своей стране, или открытость исходного кода - прерогатива исключительно американской версии продуктов, чтобы обеспечить "доверие и взаимную открытость".
В любом случае, меня в этой новости заинтересовал только один аспект - информационная безопасность государства российского. Позволю себе вставить цитату из доктрины информационной безопасности РФ, которая представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации.

Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.
 
Информационная сфера представляет собой совокупность информационных ресурсов и информационной инфраструктуры объекта защиты.

Совокупность хранимой, обрабатываемой и передаваемой информации, используемой для обеспечения процессов управления, называют информационным ресурсом.
К информационным ресурсам относятся:

• информационные ресурсы предприятий оборонного комплекса, содержащие сведения об основных направлениях развития вооружения, о научно-техническом и производственном потенциале, об объемах поставок и запасах стратегических видов сырья и материалов;
• информационное обеспечение систем управления и связи;
• информация о фундаментальных и прикладных НИР, имеющих государственное значение и др.

Информационная инфраструктура – это совокупность информационных подсистем, центров управления, аппаратно-программных средств и технологий обеспечения сбора, хранения, обработки и передачи информации.
Информационная инфраструктура включает:

• информационную инфраструктуру центральных, местных органов государственного управления, научно-исследовательских учреждений;
• информационную инфраструктуру предприятий оборонного комплекса и научно-исследовательских учреждений, выполняющих государственные оборонные заказы либо занимающихся оборонной проблематикой;
• программно-технические  средства  автоматизированных  и автоматических систем управления и связи.

Ну и напоследок:
Информационная безопасность Российской Федерации является одной из составляющих национальной безопасности Российской Федерации и оказывает влияние на защищенность национальных интересов Российской Федерации в различных сферах жизнедеятельности общества и государства.

Надеюсь, взаимосвязь терминов и определений в приведенном мной отрывке прослеживается четкая. Информационная безопасность РФ базируется на безопасности информационных ресурсов государственных организаций, систем управления связью, инфраструктур органов государственного управления (вот оно!) и так далее, смотри выше.
Не секрет, что Лаборатория Касперского является официальным поставщиком средств антивирусной и (или) комплексной защиты в большинство государственных организаций, органов государственной и исполнительной власти и кучу ведомств. Степень "официальности" в данном случае оценивать не берусь, однако, так или иначе, средства Kaspersky Business Security и иже с ними устанавливались в государственные и окологосударственные информационные системы в том числе с моей подачи и не раз. Где-то это было связано с официальной позицией, где-то - с результатами обычного пресейл-анализа "цена-соответствие требованиям". Так или иначе, с использованием продуктов Касперского защищена если не большая, то уж точно не маленькая часть тех самых информационных ресурсов и информационных инфраструктур, о которых говорится в документе, процитированном выше. И при этом господин Касперский собирается разместить исходные коды этих (тех же самых или каких-то иных, новых, но практически одинаковых продуктов - из статей это неясно, но существенного значения не имеет, так как предполагать, что Касперский фактически откажется от всех своих нароботок и практического опыта, чтобы создать для американцев "принципиально новый продукт", по-моему, наивно) продуктов в открытом доступе фактически для представителей иностранной технической разведки.
Нет, я не сторонник теорий заговора и Вашингтонского обкома, я даже не полностью согласен с официальной позицией моего институского военного начальства, называвшего США явным стратегическим врагом. Но меня, как аналитика, слегка напрягает вышеописанная совокупность фактов. Это не пустые страхи и паника, а вполне явный разрез с официальными государственными документами и, в конце концов, здравым смыслом.
Посмотрим, как будут разворачиваться эти действия.

О сути интеграторов, поглощений и разделения труда в ИТ-индустрии (краткий очерк)

Судя по экономическим и околоэкономическим новостям в ИТ, этот год богат на различного рода поглощения одними компаниями других. Где-то это серьезные изменения, и они могут иметь существенные последствия для российской ИБ-действительности (например, как тут), где-то - небольшие и, на чей-то собственный экспертный взгляд, совсем незначительные изменения, последствия которых как минимум неочевидны. Не вдаваясь в подробности особенностей рынка, хотелось бы очень кратко обсудить, зачем это все и как на это реагировать.
Так например, на этой неделе состоялась покупка копанией Treolan, входящей в ГК "ЛАНИТ", компании SafeLine, ранее принадлежавшей ГК "ИНФОРМЗАЩИТА". Об некоторых возможных особенностях данного поглощения можно почитать и даже порассуждать здесь и здесь. Являясь в настоящий момент сотрудником ГК "ЛАНИТ", считаю некорректным обсуждать это публично и каким-то образом высказывать свое личное мнение на этот счет. Однако, если абстрагироваться от лишних сущностей и сосредоточиться на главном - некая организация, являющаяся крупным системным интегратором приобретает авторизованного дистрибьютора программных и аппаратных решений в области ИБ. Это, как и, к примеру, приобретение компанией McAfee небольшой финской компании Stonesoft - производителя средств сетевой безопасности (преимущественно, МСЭ с функциями защиты канала, в том числе - пожалуй, самого популярного в России VPN-решения) - по-моему в первую очередь говорит о желании консолидировать компентенции в различных (относительно различных, само собой, потому что в ИТ-управлении все очень тесно взаимосвязано) областях ИТ-деятельности. Что приведет к тому, что компания-выгодоприобретатель станет обладать возможностями по полному охвату ИТ заказчиков, построению комплексной ИТ-деятельности и, соответственно, более глобальным проектам.
По моему собственному опыту, заказчики сейчас более ориентированы на построение комплексной ИТ-деятельности по тем или иным направлениям (управление кадрами, управление клиентами, в общем - та или иная автоматизация бизнес-процессов). И использование решений специализированных производителей или поставщиков возможно исключительно в условиях  ограничений, таких как:

• необходимость соответствия законодательству (использование исключительно сертифицированных СЗИ, к примеру);
• необходимость соответствия рекомендациям (использование "строго рекомендованных" решений, к примеру);
• приверженность поставщику
• и т.д.

Также, вероятность того, что заказчик, закупая какое-нибудь CRM-решение у производителя, будет озадачиваться решением вопросов его защиты (или защиты инфраструктуры, в которой оно развертывается) и привлекать других исполнителей, крайне мала. Поэтому объединение активов и компетенций организаций, способных вместе создавать более комплексные продукты - это очень действенное решение по повышению конкурентоспособности и привлекательности организации для клиентов.

Закладку вам за воротник или к вопросу НДВ в документах по ПДн

С 1-го ноября прошлого года, с того самого дня, как было принято Постановление Правительства РФ №1119, специалисты и заинтересованные лица из числа операторов персональных данных наперебой задают себе, друг другу и регулятору несколько вопросов, касающихся угроз 1-го, 2-го и 3-го типа (если кто не помнит/не знает или вообще не понимает, о чем речь - даю ссылку на замечательную запись и дискуссию в комментариях тут). Вопросы вкратце следующие:

1. Как вообще можно, не проводя анализ используемого ПО, определить наличие НДВ и актуальность связанных с ними угроз?
2. Как можно защититься от угроз, связанных с НДВ, не влияя на код ПО или процесс его производства?
3. Зачем вообще регулятору надо было акцентировать внимание на НДВ?

Как вообще можно определить наличие НДВ и актуальность связанных с ними угроз.
Не вдаваясь в подробности терминологии, принятой в мире и РФ в отношении безопасности приложений, инфраструктуры и прочего, не вступая в грубые дискуссии с коллегами (пример дискуссии оживленной, но интеллигентной - по ссылке выше), попробую ответить на все эти вопросы, не общественности ради, а может быть даже больше для себя, чтобы утрясти эти спорные моменты в голове.
Под НДВ в системном или прикладном ПО понимается возможность, функциональная или иная, присутствующая в ПО, но не описанная в документации, не заявленная на этапе создания ПО и, возможно, даже не известная никому, за исключением разработчика или высококвалифицированного исследователя (тех, кто называется в Методических рекомендациях ФСБ нарушителями Н4-Н6).
В данном случае важно понимать, что уязвимость и НДВ - понятия не тождественные. Не всякая уязвимость объясняется наличием НДВ, и не всякая НДВ влечет за собой уязвимость. Однако тот факт, что во многих случаях эти ситуации совпадают, заставил экспертное сообщество, занимающееся разработкой НПА обратить на это внимание. И с этого момента принято считать, что любые НДВ создают уязвимость, которую теоретически может использовать злоумышленик для реализации угрозы. Угрозы, связанные с использованием НДВ в системном или прикладном ПО (в точной формулировке ПП РФ №1119), могут быть актуальны при весьма определенных условиях, специфических и крайне редко встречающихся. Это и ценность обрабатываемой информации, и технология обработки информации, и характер НДВ, и - на мой взгляд, самое главное - модель нарушителя. Сочетание этих факторов и приводит к тому, что в подавляющем большинстве случаев угрозы, связанные с НДВ, неактуальны для защищаемых ИСПДн (и тут я согласен с господином Лукацким, хотя и, как мне кажется, привожу более весомые аргументы :-)). Вступив недавно с одним коллегой-разработчиком в около-философский спор: он утверждал, что никакие СЗИ не способны защитить от недостатков ПО, т.е. от НДВ, я сформулировал два наглядных примера:
Пример 1: При разработке ПО, обрабатывающего персональные данные, разработчиком явно была создана защитая в код и не отображающаяся ни в каких списках и перечнях учетная запись, позволяющая получить полный доступ ко всем данным вполне легально (без обхода функций разграничения доступа, соответственно, без появления инцидента ИБ). Является ли данная учетная запись НДВ? Несомненно. Будет ли угроза, связанная с этой НДВ, актуальной для ИС, где будет использоваться это ПО? Вряд ли. Звучит странно, но это совершенно логично, потому что о существовании данной НДВ знает только разработчик либо лицо, обладающее возможностью изучить исходный код ПО (например, кто-то в сговоре с разработчиком). Очевидно, что данным лицам нет смысла проводить исследовательскую работу, изучение исходных кодов (для не-разработчика), или нарушать соглашения с заказчиком вплоть до нарушений законодательства и соответствующего наказания (для разработчика). Для получения несанкционированного доступа к персональным данным есть гораздо более простые способы, и нарушители, выполняющие подобные действия, гораздо более низкого уровня, чем те, которые могут использовать НДВ. Следовательно, в данном случае угрозы, связаные с НДВ, будут неактуальны. Конечно, данный вывод можно сделать только по итогам анализа и моделирования угроз, но в большинстве случаев, он будет именно таким.
Пример 2: В качестве системного ПО используется ОС семейства Microsoft Windows. НДВ, существующие в Windows, известны и даже описаны в соответствующей литературе (что, кстати, звучит крайне интересно - недекларированные возможности документированы..), поэтому использовать их может не только разработчик ПО (представить, что Microsoft, при взаимодействии с иностранной технической разведкой, будет взламывать ИСПДн ЖЭКа, очень сложно), но и любое лицо, обладающее навыками разработки средств атак. Будет ли угроза, связанная с НДВ в СПО, актуальной для этой ИСПДн? Далеко не факт. Только в данном случае неактуальность будет обусловлена не соответствующей моделью нарушителя (требуется более низкая квалификация и меньшая осведомленность о системе), а особенностями обработки информации. Прямого доступа к ОС сервера, обслуживающего пользователей (в том числе, потенциального злоумышленника), нет ни у кого, кроме администратора, а следовательно выполнить некий произвольный программный код, чтобы воспользоваться известной НДВ в ОС, будет невозможно. И вновь угрозы, связанные с НДВ, неактуальны, хотя уже и по другой причине. И снова, данный вывод можно сделать только по итогам анализа угроз, который должен делать специалист, умеющий строить правильные причинно-следственные связи, а не паникер-оператор, который считает, что именно его ИСПДн будет объектом атаки по всем возможным фронтам.

Как можно защититься от угроз, связанных с НДВ, не влияя на код ПО или процесс его производства.
Правильный ответ - никак. Если возможность использования НДВ является легальной для рассматриваемой ИСПДн (как в Примере 1), то никакие наложенные СЗИ не обеспечат защиты соответствующей угрозы. Ни МСЭ, ни шифрование, ни аутентификация не помогут в этом случае. В Примере 1, мы в качестве меры защиты (априорной, позволяющей нам сделать вывод о неактуальности угрозы) рассматриваем организационную меру - договоренность и ответственность разработчика за нераспространение любой информации о создаваемой им системе. В том случае, если эта НДВ будет использована (и в этот момент она перестанет быть неизвестной для оператора), можно будет однозначно сделать вывод о том, что виновное в атаке лицо связано с разработчиком ПО. Этот факт должен работать как сдерживающий в отношении противоправных действий со стороны разработчика.
Если же вы ехидно ухмыльнулись, услышав про сдерживание путем ответственности, то единственный рабочий для вас метод защиты - сертификация разработанного ПО на отсутствие НДВ в системе сертификации ФСТЭК. Этот процесс долгий и дорогой (по сравнению даже с сертификацией СЗИ), и думается, что его выполнение не оправдано защитой от ущерба, определенного при моделировании угроз.

Зачем вообще регулятору надо было акцентировать внимание на НДВ.
Кажется, что причина неочевидна, ведь ранее НДВ никак не выделялись на фоне угроз периметра, вирусов и т.д. (то, что сейчас называется угрозами 3-го типа). Однако, по-моему, этот момент стоило выделить отдельно именно из-за факторов, упоминающихся мной в тексте выше. Угрозы, связанные с НДВ, следует предполагать и иметь ввиду, так как нет гарантированных способов подтверждения их отсутствия в готовом ПО (за исключением сертификации, но и ее "ценность" мы знаем, с учетом того, что Windows была сертифицирована без исходных кодов). От актуальных угроз, связанных с НДВ, очень сложно, практически невозможно защититься, и никакие средства защиты периметра или инфраструктуры в данном случае не будут эффективными. Для принятия решения по этим угрозам требуется проведение полноценного моделирования угроз и глубокого анализа, что, на мой взгляд, отличается от принятой в последние годы практики брать типовой перечень угроз из документов ФСТЭК и заниматься простой математикой. К тому же акцент требований по защите ПДн, связанных с НДВ, позволяет санкционировать появление таких технологий как SDLC, защищенное программирование и тестирование на проникновение на законодательном уровне.

Врагу не сдается наш гордый...

Не так давно автор данного материала ознакомился с одним крайне неплохим продуктом для, как модно нынче выражаться, защиты от внутренних угроз, а в простонародье - DLP-мониторинга. Материал, конечно, имел рекламный характер (к которым я отношусь крайне насторожено, как уже писал тут), однако, рациональное зерно в нем присутствовало. В связи с этим, а также с некоторыми процессами в области регулирования ИБ в России (официальный выход 21-го приказа ФСТЭК, подготовка новых ДСПшных ГОСТ и т.д.), захотелось сказать два слова о так называемых комплексных системах информационной безопасности, которые некоторые вендоры громко называют "будущим корпоративной ИБ" (имея ввиду, конечно, в первую очередь продукты собственного производства).
До недавнего времени базовые подходы к защите ИС были заложены еще в далеком 92-ом году руководящим документом Гостехкомиссии: четыре технологии защиты (разграничение доступа, регистрация и учет, криптография и контроль целостности), реализованные в виде четырех подсистем (в 58-ом приказе ФСТЭК к ним добавились еще три подсистемы), классификация ИС (АС) по архитектуре и свойствам и весьма специфические организационные меры. В связи с этим у производителей и интеграторов в области ИБ сложилась, на мой взгляд, порочная практика по разработки типовых, "шаблонных" решений по защите ИС и АС (а позднее - и ИСПДн), не разбираясь ни в ценности обрабатываемой информации, ни в технологии обработки, ни в чем подобном. И, кажется, результатом именно такой практики и стало появление комплексных систем обеспечения информационной безопасности (назовем ее КСОИБ, но будем понимать, что речь идет исключительно о техническом, как правило, програмном средстве, а не о применении комплексного подхода к безопасности).
К достоинствам применения программных КСОИБ можно отнести следующее:

• сравнительно низкая стоимость комплексного решения по сравнению с комплектом подсистем, формируемым из отдельных навесных СЗИ
• централизованная система развертывания и эксплуатации, исключающая возможные конфликты компонентов
• единая система регистрации событий безопасности, удобство контроля и администрирования

К недостаткам таких систем можно отнести следующее:

• ограниченное число функций, предоставляемое комплексной системой, по сравнению с комплектом навесных СЗИ
• ограниченные возможности выбора функий подсистем при расширенных потребностях
• единый центр управления КСОИБ, следовательно - уязвимое место в системе защиты
• возможность взаимных влияний на функции защиты, относящиеся к разным технологиям, снижающих общую защищенность
• отсутствие специализации ПО, проблемы с сертификацией - как правило, комплексные системы защиты не могут быть сертифицированы, так как требуют отдельного профиля защиты, сложных критериев и т.д.

Из приведенных списков очевидно, что КСОИБ могут быть эффективным решением для небольших и средних коммерческих организаций (то, что называется на Западе Small and Medium Business), где:

1. малые масштабы автоматизированной системы 
2. небольшое число актуальных угроз информационной безопасности (или низкий уровень риска, если выражаться языком риск-менеджмента)
3. отсутствуют требования по использованию сертифицированных СЗИ в системе сертификации ФСТЭК и (или) ФСБ
4. отсутствует потребность в сложных организационных мерах по защите и малое число ИТ и ИБ персонала (возможно, совмещение ролей администратора ИС и администратора ИБ)

И вот тут мы возвращаемся к началу, то есть к системам защиты от внутренних угроз, которые, как правило, и представляют собой базу для разработки КСОИБ (например, DLP-системы, включающие управление инцидентами, антивирусную защиту, разграничение доступа и т.д.). Для небольших организаций, кроме определенных выше особенностей, свойственно также то, что большинство актуальных для них угроз являются именно внутренними, связанными со случайными или злоумышленными действиями сотрудников организации и (или) лиц, допущенных к компонентам ИС. Следовательно, для таких организаций подобные системы будут довольно востребованы, хотя определенные проблемы, связанные с регулированием (отсутствие явного регулирования DLP-систем, отсутствие сертификации у систем данного класса и т.п.), существенно ограничивают их применение.

О нелегком выборе артиста или к вопросам выбора информационных систем

В свое время, когда менял работу на более "информационно-безопасническую", в разговоре с рекрутером потенциального работодателя отвечал на вопрос, могу ли я участвовать в пресейл-анализе и выборе средств и систем, в данном случае, ИБ для заказчика. Тогда еще я был крайне далек от любой деятельности по пресейлу, но принцип понимал достаточно ясно: выявляем потребности заказчика; определяем требуемые функции системы; рассматриваем несколько систем; выбираем ту, которая подходит больше всего. Собственно, этот принцип лежит в основе, но со временем претерпел изрядные изменения, которые я ощутил на себе только недавно.
Один мой коллега, имея весьма специфическое восприятие около-профессиональной литературы, постоянно ругает ИТ и ИТ-журналы за отсутствие нормальной и объективной информации и наличие исключительно маркетинговых и рекламных материалов. В какой-то степени и мне это казалось странным, учитывая, что решение о выборе и, соответственно, закупке ПО или техсредства для построения системы (в том числе, защиты) осуществляется специалистами, как минимум, на основе экспертного сравнительного анализа функциональных возможностей, удовлетворяющих соответствующие функциональные требования к системе. Следовательно, информация, которая должна быть доступна для любого подобного продукта, должна включать прежде всего правильно сформулированные функциональные характеристики, а не конкурентные преимущества и фото с презентаций.
Однако, выполняя некоторое время назад разнородные работы по анализу требуемых программных средств на основе открытой информации на официальных сайтах производителей (весьма серьезных, надо заметить), я столкнулся с тем, что они не содержат адекватных спецификаций и характеристик, а в лучшем случае, скудное описание функционала, оформленное, опять же в форме рекламных слоганов.
На мой взгляд, это происходит по той причине, что в какой-то момент функционал у конкурирующих программных и технических средств, реализующих одинаковые или даже смежные задачи, перестал отличаться, как по факту существования, так и по способу реализации. Таким образом, сделать обоснованный выбор в пользу одного из них становится сложно даже специалисту. И на практике данный выбор обуславливается чем угодно, в том числе, ценовой политикой организации, предпочтениями лица, ответственного за выбор, рекомендациями посторонних лиц и, не в последнюю очередь - результатами маркетинговых воздействий, то есть рекламы, презентаций, семинаров.
Не сказал бы, что это положительная тенденция, особенно в области ИБ, там, где решение должно приниматься с особым тщанием, и оцениваться должны свойства СЗИ, а не мастерство продажников. Однако, судя по всему, пути назад нет, поэтому нам, специалистам, стоит привыкать отделять зерна от плевел и делать правильные выводы на основе даже той, достаточно ограниченной, информации, которую нам предоставляют производители.