Архив метки: национальная платежная система

НСПК на крючке у АНБ?

Сижу я с утра, правлю резюме, и изучаю сайт потенциального работодателя Solar Security.

nsa-nspkЗацепился взгляд за последнюю новость (сохраненная копия):

Компания Solar Security, разработчик продуктов и сервисов для целевого мониторинга и оперативного управления информационной безопасностью, сообщает об успешном завершении основного этапа проекта, реализованного в АО «Национальная система платежных карт» (НСПК).

В ходе проекта сотрудники Solar Security и НСПК совместно подключили инфраструктуру компании к сервисам Solar JSOC, который обеспечил выявление и анализ событий ИБ, а также позволил предотвращать кибератаки в режиме реального времени 24/7. Параллельно в НСПК была развернута вся необходимая инфраструктура для построения внутреннего SOC, на которую постепенно были перенесены правила корреляции и выявления инцидентов, профили источников данных и другие наработки Solar JSOC.

Успешное функционирование национальной платежной системы является одной из задач национального значения. Поэтому с момента создания НСПК специалисты компании отводили ключевую роль формированию надежной системы кибербезопасности. Важной частью такой системы является мониторинг инцидентов ИБ.

Согласно мировой практике, создание системы мониторинга и реагирования на угрозы кибербезопасности может занять несколько лет, поэтому на период ее построения в НСПК было принято решение об использовании услуг ИБ-аутсорсинга. В качестве сервис-провайдера была выбрана российская компания Solar Security.

Я, честно сказать, порадовался, какой крупный проект. А потом, что-то мне показалось очень неправильным. Всем известно (да, и вендор этого не скрывает), что Solar строит свой SOC Solar inView и его аутсорсинговую версию JSOC на продуктах компании HP – ArcSight. Это, кстати единственный продукт из 4, который Solar не стал заявлять в реестр отечественного ПО (хотя мб и подали):

Все отечественные продукты Solar Security

Все отечественные продукты Solar Security

Т.е. это единственный не отечественный продукт в линейке компании. Я уже писал, что продажа услуг – легальный способ обхода ограничений на покупку иностранного ПО. Судя по новости, НСПК решил строить свою самую главную систему информационной безопасности на западном вендоре… И теперь, каждый сенсор ArcSight будет стоять на каждом ключевом узле НСПК, что бы передавать информацию в JSOC. Это просто особенности работы этой системы.

solar-jsoc-sec

Конечно, у нас на рынке есть более сведущие люди по закладкам АНБ в западных решениях, и об этом надо спрашивать Илью Медведовского. Но мне представляется, крайне плачевная ситуация. Ведь, что такое система SOC? К какой информации она может получить доступ?

Вероятная схема утечки данных из НСПК

Вероятная схема утечки данных из НСПК

Как минимум:

  • Настройки средств защиты;
  • Настройки сетевого оборудования;
  • Настройки серверов и рабочих станций;
  • Инциденты безопасности и многое другое.

Если предположить, что HP сотрудничает с Агентством национальной безопасности США, как и Cisco, то вся наша платежная система уже под колпаком.

Считайте меня параноиком, но я хотел бы задать вопрос – кто кого ввел в заблуждение, принимая решение ставить западное решение ArcSight под торговой маркой Solar Security?

В то время, когда основным драйвером для НСПК стало возвращение Крыма и попадание нашей страны под несправедливые санкции. Мы открываем всю нашу платежную информацию вероятному противнику… Фактически каждый житель России, теперь под колпаком у США. Так мало того, инфраструктура НСПК подвергается серьезному риску, если уже не взломана…. Все это крайне печально.

У меня, к сожалению, нет никаких твердых данных, и все выше изложенное всего лишь мнение человека со стороны, обывателя. Но в этой истории больше вопросов, чем ответов. Надеюсь официальные представители НСПК прокомментируют ситуацию.

Всего вам доброго.

Стандарты по ИБ – лучше ли книга?

Если вы хоть как-нибудь соприкасаетесь  с современной культурой, то должны были слышать выражение «книга лучше». В общем смысле ее применяют к экранизации книг в виде фильмов, реже мультфильмов, аниме и манги.

Тяга к знаниям

Корень этого феномена очень прост – гениальность источника. Что интересно, лучшие экранизации происходят по довольно средним и проходным книгам, в которых читателю не хватает собственной фантазии для визуализации. И, разумеется, кино как жанр имеет кучу ограничений. Основные из которых — время картины (как впихнуть 600 страниц в 2-3 часа?) и невозможность визуализации мыслей и текста рассказчика (конечно, можно заменить закадровым голосом… но будете ли вы это смотреть, если зачитаю 3 страницы вместо двух предложений?). Тему можно развивать и развивать, но пока этот блог об информационной безопасности. Поэтому перейдем к ней.

Что неудивительно, в нашей поибэ тоже есть место фразе «книга лучше». Смотрите, вся нормативка, по которой мы работаем – это «книги».  Когда книги объединяются в серию, у нас появляется стандарт или группа стандартов. Например, СТО БР или ISO.

В этом случае экранизацией будет конкретная реализация положений стандарта и совокупность подобных реализаций. Например, все проектов по PCI DSS.

Осталось разобраться с понятием «лучше». Тут все просто как и с обычными книгами. Если стандарт большой и красивый, а реализовывают его криво и косо – «книга лучше». Но если стандарт неказист, а из него делают конфетку (во всех смыслах – от полноты реализации до количества выделяемых денег), то – «книга хуже».

Самые внимательные из вас заметили, что есть еще и вариант равнозначности (одинаково плохо, или хорошо, или не очень хорошо). Эти варианты редки, и мы ими пренебрежем.

Смотрите, что у меня получилось:

  • PCI DSS. Книга лучше.
  • ISO 27001. Книга лучше.
  • ISO Книга лучше.
  • ITIL. Книга лучше.
  • СТО БР ИББС. Книга лучше.
  • 382-П. Книга хуже.
  • Персональные данные. Книга хуже.
  • Защита коммерческой тайны. Книга хуже.

Можно заметить, что большинство лучших книг довольно скрупулёзно прописаны. Остается всего делов-то — внедрить кучу шаблонных бумажек, как в ISO 9001. Другое дело – родной ЗПД. Две статьи и море творчества.

Удачи вам.

Что делать, если вы специалист по персональным данным, или услуги, вышедшие в тираж

Недавно я писал про средства защиты, вышедшие в тираж. Сегодня поговорим об услугах. Сподвиг меня на это Евгений Бабицкий, который подумал, что я «наехал» на его любимый PCI DSS, назвав его вышедшей в тираж услугой. О чем мне сразу и написал. Евгений, как бы это было не прискорбно, но это факт. И вы, и я в одинаковом положении. В чем суть?

Услуги вышедшие в тираж

В отличие от средств защиты, услуги, вышедшие в тираж, определяются несколько иначе:

1. Это услуги, которые предоставляют все.

2. Это услуги, на которых уже так просто не заработаешь. Т.е. можно, но сложно. В отличие от тех же антивирусов.

Как и Евгений, я тоже это прошел с персональными данными, но раньше. Когда-то я сделал методические рекомендации минздравсоцразвития, потом сразу – для образования и Росатома. Помогал проходить проверки, читал кучу лекций и обучений. Если переводить на язык денег, я обладал экспертными знаниями и опытом по теме, и это позволяло мне оказывать качественный сервис за хорошие деньги.

Но время шло, подтянулись новые игроки, открылось много небольших интеграторов – и на рынке стало много предложений по персональным данным. Например, сейчас можно найти конторки, которые сделают это за 100 тысяч рублей. Проблема усугубляется тем, что зачастую важна цена услуги, а не ее качество.

Помню, как-то в одном казанском банке наше предложение было на 200 тысяч дороже, но гораздо качественней. Функциональный заказчик это понимал, но он же знал и своего директора, которому надо было подешевле. В итоге я услышал – либо падаете на 200 тысяч, либо не работаем.

То же самое происходило и с PCI DSS. Я помню те благословенные времена, когда у нас было всего две компании со статусом PCI QSA (ох, какие они чудесные срачи устраивали между собой на форумах). Когда-то обследование по PCI DSS можно было продать за 400 тысяч долларов. И это не какой-то удачный случай, это поголовно так было. Именно с того времени тянется большинство внедрение ArcSight, который ставили в сегмент PCI DSS и больше не трогали. Сейчас эти времена прошли, ASV-сканирование сейчас можно взять за 100 тысяч рублей, внешний аудит и комплект документов за 500. Печалька :(

Назовем их всех

1. Персональные данные. Как уже говорил, сейчас только ленивый не занимается этим. На рынке полно небольших конторок и фрилансеров, которые готовы сделать проект за любые деньги.

<реклама>

Обратившись сегодня, вы получите исчерпывающую консультацию по защите персональных данных от профессионалов, съевших на этом стаю собак. Проекты любой сложности за вменяемые деньги. Пишите! :)

<реклама>

2. СТО БР и НПС. СТО БР был с самого начала мертворожденным. Отличный стандарт, огромная работа, но легкость присоединения к нему убила этот рынок. Плюс к этому узкая отрасль, на которой уже все сделано. НПС примерно такой же.

3. PCI DSS. Все крупное сделано, осталась лишь поддержка. Если вам это надо, обращайтесь в Compliance Control, они давно этим занимаются (Евгений, с тебя причитается :)).

4. Pen-test. Тут ситуация двоякая. Есть два вида: просканировать сканером (так называемый assessment) или реально поломать. Не знаю, как со вторым, а вот с первым просто швах. Помню, разговаривал с директором ИБ топ-3 банка, он рассказывал, как сделал запрос нескольким интеграторам на пентест, и один подмосковный интегратор ему предложил это сделать за 35 т.р. С поправкой на желание «зайти в клиента» это стоит те же 100-200 т.р.

5. Аттестации. Как по конфиденциалке и персональным данным, так и по гостайне. Лицензиатов много, ценники мизерные и зависят только от количества компьютеров.

Все так плохо?

Конечно, нет. На рынке с таким количеством игроков вступают в действие уже обычные законы любого потребительского рынка. Изменяется состав услуг и позиционирование. И это реально работает. В моей квоте персональные данные все еще занимают 60%, хотя многие интеграторы уже махнули на ЗПД рукой. Так что не отчаивайтесь, если ваши услуги вышли в тираж.

Всего вам доброго.

Пролез: НПС — Национальная платежная система

Пролез: Открытая безопасностьПодкаст посвящен информационной безопасности и защите информации. Обсуждаем интересные новости, события и даем рекомендации молодым специалистам.

Часть 2. НПС — что за зверь такой и как его защищать? На эти и другие вопросы мы попытались найти ответы вместе с Дмитрием Дудко, экспертом в области защиты персональных данных и Павлом Кирилловым, ведущим аналитиком компании Айти.