вторник, 30 декабря 2014 г.

Наш Оскар на Новый год

Автору, размещающему пост в блоге "поибэ" в предпоследний день уходящего года, рассчитывать на отличное от нуля число просмотров не приходится. Я и не рассчитываю - потому что пишу не для счетчиков, а для души. Но если ты, одинокий читатель, в погоне за шампанским и мандаринами вдруг нашел время кликнуть на свалившуюся тебе в RSS ссылку и читаешь эти строки - хочу сказать тебе спасибо. Тебе и таким, как ты. Потому что только читатели и слушатели заставляют душу автора трепетать, а сердце - вкачивать тонны адреналина в кровь, пока глаза читают комментарии или аудиторию и видят, что моя писанина и болтовня вас "задевает". Кому-то нравится, кому-то нет - но большинство из вас не остается безучастными и не стесняется выражать эмоции. И это лучшее признание для меня, как автора и исполнителя ИБ-произведений.

Как и везде, в нашей профессиональной "тусовке" модно устраивать рейтинги с целью выявить "лучших" среди равных. Вы знаете, как я к ним отношусь. Я их не люблю и не участвую. Но и в этом году я как-то попал в один из них - рейтинг BISA, а вы голосовали. И наголосовали на 1 место. Скромность не мое второе имя, скорее наоборот - но я НЕ считаю, что я "лучше" кого-то из тех, кто был в этом рейтинге или тех, кто голосовал. Этот рейтинг - еще один пинок мне, патологическому лентяю: нужно еще больше работать над собой чтобы соответствовать ожиданиям тех, кто голосовал.

Самое время вставить какой-то оскароносный текст. Я хочу поблагодарить своих подчиненных, коллег и руководителей. Потому что без вас я - просто специалист. Потому что во многом благодаря результатам вашего труда я пишу посты и статьи, рисую презентации и делаю доклады. Потому что вы не запрещаете заниматься этим и учите меня уму-разуму. Спасибо вам, дорогие читатели и слушатели. Это не моя награда - это наше общее достижение.

И теперь, когда весь пафос вышел, всех вас хочу поздравить с наступающим Новым годом. И пусть у каждого из вас в Новом году все будет хорошо. И обязательно будет - вот увидите.

понедельник, 29 сентября 2014 г.

Как купить безопасность

В прошлом году на конференции IT Security Forum в Казани я рассказывал о "внутренних продажах" информационной безопасности - навыках, которыми обязан владеть любой "безопасник", трудящийся на коммерческом предприятии реального сектора экономики. Отзывы были различные - и негативные, в основном от "сейлзов" интеграторско-вендорского сословья. Дескать, никакие это и не продажи - ни денег, ни товара: вот мы - реальные продавцы, на рынке работаем, безопасность продаем! Тогда я немного поулыбался - и все как-то быстро забылось, но улыбка от регулярного общения с "реальными продавцами" становилась все шире. Количество забавных историй постоянно увеличивалось, а тут еще друг подкинул идею написать что-то на тему рынка ИБ от лица заказчика. Я, опасаясь, что от улыбки "лицо заказчика" в конце концов треснет, принял эту идею к реализации и сегодня делюсь с вами результатом. Встречайте - памфлет "Как купить безопасность" в свежем номере журнала IT Manager №9 (2014). Читаем и улыбаемся, узнаем себя и не принимаем близко к сердцу. Любые случайные совпадения - всего лишь совпадения ;)

понедельник, 15 сентября 2014 г.

Про "вайфаи" и паспорта. Часть финальная.

Финальная потому, что больше нечего об этом писать - все уже написано: как совершенно справедливо заметил Михаил Емельянников, "гайки" существовали давно, и государство взялось их "докручивать". Алексей Лукацкий тоже внес свою лепту, рассмотрев проблему "писем счастья" операторов связи с точки зрения законодательства о персональных данных. Логика операторов связи, рассылающих такие "письма", не совсем понятна - согласно требований нормативных документов, к которым нас "отсылают" (ПП-758 и ПП-801) нужно не письма писать, а в договоры с абонентами изменения вносить. И мне, как абоненту, непонятно, как составлять "список лиц" и что такое "пользовательское (оконечное) оборудование". Точнее, было непонятно - до прошлой пятницы, пока я не получил ответ на этот вопрос из Минкомсвязи РФ.

вторник, 9 сентября 2014 г.

Торжество маразума

То, что туго и медленно сочиняли авторы, о чем много писали блогеры и чего мучительно долго ожидали операторы, наконец, почти произошло: 18 августа Минюст зарегистрировал приказ ФСБ от 10.07.2014 с длинным названием "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн с использованием средств криптографической защиты информации, необходимых для выполнения установленных правительством РФ требований к защите ПДн для каждого из уровней защищенности" и коротким номером 378. Осталось только подождать официальной публикации - и растянувшуюся на "стопицот" вариантов эпопею можно считать завершенной.

среда, 20 августа 2014 г.

Про "вайфаи" и паспорта. Часть вторая

Обсуждение предыдущей части "марлезонского балета", поставленного по сценарию "бешеного принтера", уперлось в слишком широкое определение пользовательского (оконечного) оборудования, приведенного в п. 10 ст. 2 126-ФЗ "О связи". В соответствии с ним, пользовательским (оконечным) оборудованием должно считаться абсолютно все, что есть у абонента и, соответственно, его пользователи должны "идентифицироваться". В результате я написал обращение в Минсвязи России, в котором попросил разъяснить, что именно нужно считать "пользовательским (оконечным) оборудованием" в рамках ПП-758 и, пока Минсвязи готовит ответ на вопрос, "паспортно-вайфайная" интрига получила продолжение. О нем уже написал Михаил Емельянников, но мне, как всегда, есть чем возразить.

четверг, 14 августа 2014 г.

Про "вайфаи" и паспорта

Граждане России очень не любят читать законы, зато очень любят смотреть телевизор и паниковать. Это нормально - далеко не все являются экспертами в области юриспруденции. Досадно, что экспертами не являются ни чиновники в основной массе, раздающие невнятные "толкования" законодательной инициативы, ни (поголовно) журналисты, которым лишь "жареные факты" подавай. Пример с запретом персональных данных - подтверждение тому, что и среди экспертов в области ИБ нет единого мнения относительно происходящего. Читатели могут возразить почти классической фразой: "не может быть, чтобы все вокруг были не правы, а ты, Волков, один прав". Чтож, в этот раз - я не один: вместе с Михаилом Емельянниковым мы обсудили "вайфай-истерию", внимательно прочитали постановление Правительства РФ №758 от 31.07.2014 и сопутствующие нормативные акты, и пришли к следующим выводам.

пятница, 4 июля 2014 г.

О "запрете хранения персональных данных россиян за границей"

Точнее, о новом законопроекте, принятом сегодня государственной думой в третьем чтении и якобы устанавливающем такой запрет, всю эту неделю не говорил только ленивый. Я - ленивый, поэтому не говорил и, в общем-то, писать тоже не собирался. Какой смысл марать электронную бумагу, если даже корифеи государственной "писанины" Алексей Лукацкий и Михаил Емельянников, скрежеща зубами от досады, лишь разводили руками: против "бешеного принтера" не попрешь. Однако, взглянув на лингвистически безупречно оформленную позицию РАЭК по указанному законопроекту, я изумился - действительно, что ли, настолько все плохо? И внимательно прочитал его текст.

понедельник, 28 апреля 2014 г.

Трудная дорога в "облака". Часть 4: вердикт.

"Давно пора, Волков - чего так долго?" - скажете вы, и будете правы. Я написал заключительную часть "облачного" сериала еще в начале марта и хотел тогда же ее опубликовать. Но любому плохому танцору что-то всегда мешает - и мне помешали "облачные" провайдеры, жестко спамившие почту призывами рассмотреть их предложения. Назвавшись ранее груздем, я залез в кузов электронной макулатуры и изучил около 20 памфлетов, местами смешных, местами - грустных. В какой-то момент мне даже показалось, что я нашел провайдера-"мечту", но в ходе сессии уточняющих вопросов и вопросов, уточняющих ответы на уточняющие вопросы оказалось, что провайдер безбожно врал, в том числе самому себе.

Отлынивая полтора месяца от блога, я посетил конференцию CISO Forum 2014 где, сидя за круглым столом по безопасности облачных вычислений, в который раз услышал мысль, произнесенную вслух представителем компании, предлагающей "облачные" услуги по безопасности: не размещайте в облаке данные, которые боитесь потерять. Фраза, достойная надгробной плиты любой идеи с публичными "облаками". Но если руководство стремится примерить ее на могилу собственного бизнеса, а дара убеждения безопаснику не хватает - придется сделать несколько шагов, дабы хоть как-то обезопасить и самого себя, и незадачливого работодателя.

вторник, 4 марта 2014 г.

Трудная дорога в "облака". Часть 3: доказательства.

Безопасность всегда субъективна. В ее основе лежат эмоции, ощущения того, что с защищаемым объектом ничего плохого не случится. Именно поэтому ее нельзя измерить никакими цифрами: любые меры, любая аналитика, статистика, расчеты и показатели предназначены лишь для того, чтобы снизить уровень внутренней паранойи до приемлемого. Любая оценка эффективности мер безопасности всегда субъективна потому, что вместо реального, прямого, предотвращенного ущерба, в ней присутствует условный, труднодоказуемый, прогнозируемый. Любой безопасник это прекрасно знает, и его без того зашкаливающее ощущение опасности в отношение чужих, но ставших ему такими родными информационных активов, при одной мысли о передаче их супостату-провайдеру в "облако" усиливается многократно.

В условиях, когда ущерб нельзя компенсировать, безопаснику, словно в страшном сне, самые плохие и невероятные варианты развития событий кажутся реальными и он, уже наяву, стремится контролировать провайдера "облака" больше, чем себя самого. Провайдер, взывая к разуму безопасника демонстрацией кипы маркетинговых материалов, портфолио с "историями успеха", сертификатов и толстых отчетов с результатами "независимых" аудитов, идет в эмоциональное контрнаступление с одной-единственной целью: вызвать у безопасника чувство доверия к "облаку". Всеми силами провайдер стремится доказать, что с данными, защищаемыми безопасником, ничего плохого никогда не случится, и поэтому никакого ущерба, никаких исков и судебных разбирательств не будет. Но слепо доверять народная мудрость не рекомендует: нужно еще и проверять и, учитывая необходимость сбора доказательств вины провайдера в нанесенном ущербе, делать это тщательно. А с этим у провайдеров имеются определенные проблемы.

среда, 19 февраля 2014 г.

Трудная дорога в "облака". Часть 2: ущерб.

Смысл любой безопасности, ее высшая и единственная цель заключается в предотвращении ущерба. Понятно, что эта цель недостижима в своем абсолютном выражении и тот, кто задумывается о безопасности, всегда идет на компромисс, защищая самое важное - то, на что хватает ресурсов. Ошибки выбора вектора приложения усилий и распределения ресурсов приводят к тому, что безопасность становится неэффективной: она не предотвращает ущерб, полностью или частично. Отношение предотвращенного ущерба к затратам на безопасность - единственный объективный критерий ее эффективности. Отношение предотвращенного ущерба к прогнозируемому - единственный объективный критерий эффективности "безопасников".

"Нематериальный" характер защищаемого объекта является причиной того, что в информационной безопасности и числитель, и знаменатель в последней дроби - величины почти всегда субъективные. Отсюда и трудности с подсчетом ущерба, особенно в результате разглашения или утечки чего-нибудь "конфиденциального", и с переводом размера ущерба в денежный эквивалент, и с его компенсацией. Эти вопросы регулируются законодательством и договором между обладателем информации и потенциальным "ущербоприносителем", поэтому, как вы помните из предыдущей части, тексты последних я и запросил.

четверг, 13 февраля 2014 г.

Трудная дорога в "облака". Часть 1: паранойя.

Об использовании "облачных технологий", о великом будущем давно известной старушки-виртуализации, одетой ИТ-маркетологами в новую обертку и распиаренную с оглушительным масштабом, о выгодах, benefits и value, которые чудесным образом появляются везде, где есть возможность приладить "облако" - обо всем этом не говорит сейчас только ленивый вендор или интегратор. Маркетинг напирает и, наверное, уже не осталось ни одного заказчика, который бы хоть раз не читал продактшит или вайтпапер с броским словом "cloud" в заголовке. "Заказчик" - понятие собирательное, и каждая элементарная частица этого "сборища" воспринимает и реагирует на входящую информацию по разному: практичный бизнес и прогрессивный ИТ считают value, а ретроград-"безопасник" со всей своей подозрительностью зарывается в детали и, как правило, в них же и погибает.

Не миновали "облака" и автора этого блога: только за последний год я участвовал в рассмотрении почти двух десятков практических кейсов, связанных с переносом различных частей ИТ-инфраструктуры из "внутреннего" облака во "внешнее", интеграцией "частного" облака с другими такими же или передачей некоторых ИТ-сервисов во внешнее "облако" с различными моделями обслуживания. Так же, как и многие из вас, я изучал маркетинговые материалы и вникал в детали предложений - долго и дотошно. Когда предложения стали расти словно грибы после дождя, а бизнес стал требовать немедленной их оценки - время на анализ резко сократилось и возникла острая необходимость выработки критериев, отработав которые можно было бы вынести вердикт. Оказалось, что задачка эта с большим "подвохом"...