Cover_1 12/26/16 3:37 PM Page Cov1

www.itsec.ru
№ 6, декабрь 2016
Издание компании

XIV Международная выставка

сентябрь 2017

Спецпроект
таргетированные
атаки

Почему киБерзащиты
уже неДостаточно?

AdvAnced Persistent
threAt

ПроБлемы Правового
регулирования
трансграничной
ПереДачи Данных

через тернии
маркетинга

Джеффри Баер
(Geoffrey Baehr)

Современные тренды
компьютерной безопаСноСти
InfoSec_2017 12/21/16 4:24 PM Page Cov2

ГЛАВНОЕ СОБЫТИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В РОССИИ

InfoSecurity Russia
. .
Сентябрь
5817 профессиональных посетителей 2017
3985 участников деловой программы
более 15 000 предварительно назначенных встреч

более 500 продуктов и решений, представленных в экспозиции

213 мероприятия на стендах экспонентов и в конференц-залах

196 спикеров из числа ведущих мировых и российских
экспертов, выступающих в четырех параллельных
конференционных потоках.

.ru
:
ыт
sia
та R ик ую
аи ть в ечи rity откр

ен ии азч ьн
s
л
OI а
по ос за ма
u
u е
r
зн бе ec сти

кс в Р я си
я э й дл ак
os уча

н с к
дл ши та т м
inf к на

е
вы из ва
Вы w. яво

и
а

и н ос сп
ww м з
ие

ле о

с
по вка
Пр

а
ст
Preview 12/21/16 4:22 PM Page 1

PREVIEW www.itsec.ru

Наталья
Конец года – это то время, когда люди заняты подведением итогов и выбором Рохмистрова,
новогодних подарков для бизнес-партнеров и членов семьи, а кто-то продумывает
руководитель
маршрут путешествия. Рабочие моменты уходят на второй план. Отличное время для
проекта
злоумышленников, чтобы вторгнуться в ваш бизнес.
С каждым годом организации совершенствуют инструменты ведения бизнеса, внедряя “Информационная
все новые решения, одновременно усложняя ИT-инфраструктуру. Из-за малейшей непо- безопасность/
ладки в информационных системах бизнес-процессы просто останавливаются. Осознавая Information
растущую зависимость от автоматизированных систем, бизнес также готов все больше Security"
заботиться об обеспечении информационной безопасности и вкладывать в нее средства.
Но, несмотря на все усилия, количество успешных, то есть достигающих своей цели атак
на ИT-инфраструктуры не уменьшается, и ущерб от них растет. За счет чего же удается
злоумышленникам преодолевать сложные системы безопасности, как правило, уникальные
по своему составу и структуре?
Для ответа на этот вопрос редакция посвятила заключительный номер года теме "Тарге-
тированные атаки". В спецпроекте мы опубликовали статьи от ведущих компаний
в данном вопросе – "Лаборатории Касперского", Fortinet, Positive Technologies и других.
Как отмечают эксперты нашего номера, несмотря на бесконечно трансформирующиеся
угрозы, сегодня для обеспечения безопасности бизнеса есть масса возможностей – от
предупреждающих действий зарождающихся угроз до расследования компьютерных
преступлений. На чем остановить свой выбор, решать вам, но, к сожалению, единственным
способом полностью обезопасить свой бизнес можно, лишь полностью отказавшись от
Интернета и прочих благ современного мира. Сомневаюсь, что какой-то бизнес решится Екатерина
на это, ведь понятие "технологии" сегодня равняется понятию "конкурентоспособность".
Данилина,
Но будьте внимательны при выборе решений и продуктов защиты, чтобы не попасться
выпускающий
на удочку "продавцов страха", которые "самым важным направлением своей работы
редактор журнала
видят защиту информационной безопасности". Как не стать жертвой маркетологов, вы
узнаете на стр. 42. “Информационная
Но, конечно, нельзя во всем видеть происки хакеров, которых нынче обвиняют во всех безопасность/
неприятностях бизнеса: не работает сайт – атака хакеров; по невнимательности потеряли Information
или разгласили конфиденциальную информацию – снова виноваты хакеры. Конечно, Security"
бизнес нужно защищать, но и людям нельзя переставать верить. Бизнес – это всегда
риск. Но, как говорится, кто не рискует – тот не пьет шампанского. А как же без него
в Новый год?

Редакция журнала "Информационная безопасность/Information Security" поздравляет вас

с Новым годом и желает успешного и безопасного бизнеса! А как его сделать таковым –
вы узнаете на страницах нашего издания.

До встречи в 2017 году!

Приглашаем экспертов, чьи интересы и практическая деятельность находятся по обе Бронируйте участие
стороны решения отраслевых задач. Делитесь накопленным опытом, информируйте в InfoSecurity
о своих продуктах и передовых технологиях на страницах журнала Russia'2017
"Информационная безопасность/Information Security". на лучших условиях

• 1
Contents 12/21/16 4:22 PM Page 2

СОДЕРЖАНИЕ
В ФОКУСЕ
ПЕРСОНЫ

Джеффри Баер (Geoffrey Baehr)

Машина станет лучшим сотрудником

безопасности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4 стр.

СОБЫТИЯ
Персональные данные миллионов россиян
уже на черном рынке . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10

Компания "ЭЛВИС-ПЛЮС" отметила 25-летний юбилей . . . . . . . .11

Куда идет ИТ-аутсорсинг? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11

ПРАВО И НОРМАТИВЫ стр.

12
Павел Манык
Проблемы правового регулирования
трансграничной передачи данных . . . . . . . . . . . . . . . . . . . . . . . . . . .12

Ильдар Бегишев
Федеральная служба информационной безопасности
Российской Федерации: миф или реальность? . . . . . . . . . . . . . . . .14

СПЕЦПРОЕКТ ТАРГЕТИРОВАННЫЕ АТАКИ

Майкл Се (Michael Xie) стр.

26
Система безопасности, способная решить 5 основных проблем
руководителя по информационной безопасности . . . . . . . . . . . . .16

Вениамин Левцов, Николай Демидов

Анатомия таргетированной атаки. Часть 4 . . . . . . . . . . . . . . . . . . . .18

Евгения Красавина
Advanced Persistent Threat – расставляем точки на "i" . . . . . . . . . .24

Андрей Абашев стр.

Активная защита как метод противодействия продвинутым 42

киберугрозам . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26
2 •
Contents 12/21/16 4:22 PM Page 3

СОДЕРЖАНИЕ Журнал "Information

Security/Информационная
безопасность" № 6, 2016
Издание зарегистрировано
в Минпечати России
Владимир Кремер Свидетельство о регистрации
ПИ № 77-17607 от 9 марта 2004 г.
Как онлайн-риски переходят в офлайн
Учредитель и издатель
и почему киберзащиты недостаточно . . . . . . . . . . . . . . . . . . . . . . . .30
компания "Гротек"

Генеральный директор ООО "Гротек"

Андрей Мирошкин
ТЕХНОЛОГИИ
Издатель
Сергей Добрушский Владимир Вараксин

Технология больших данных для защиты СУБД . . . . . . . . . . . . . . .32 Руководитель проекта

Наталья Рохмистрова,
rohmistrova@groteck.ru

Алексей Сизов Выпускающий редактор

Екатерина Данилина, danilina@groteck.ru
Слагаемые защиты ДБО . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34
Корректор
Ольга Михайлова
ЗАЩИТА СЕТЕЙ
Дизайнеры-верстальщики
Владимир Воротников Анастасия Иванова, Ольга Пирадова

Тет-а-тет с Интернетом . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36 Группа управления заказами

Татьяна Мягкова

Юрисконсульт
Сергей Вахонин Кирилл Сухов, lawyer@groteck.ru
Банк России поднимает требования по борьбе с утечками
Департамент продажи рекламы
информации на уровень отраслевого стандарта . . . . . . . . . . . . . . .39 Наталья Рохмистрова

Рекламная служба
КРИПТОГРАФИЯ Тел.: (495) 647-0442,
rohmistrova@groteck.ru
Александр Бондаренко, Григорий Маршалко, Василий Шишкин
Отпечатано в типографии
Развитие средств криптографической защиты информации Линтекст, Россия
в условиях современных киберугроз . . . . . . . . . . . . . . . . . . . . . . . . .40 Тираж 10 000. Цена свободная

Оформление подписки
Тел.: (495) 647-0442, www.itsec.ru
УПРАВЛЕНИЕ
Департамент по распространению
Тел.: (495) 647-0442,
Лев Палей факс: (495) 221-0864
Через тернии маркетинга . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .42 Для почты 123007, Москва, а/я 82
E-mail groteck@groteck.ru
Web www.groteck.ru, www.itsec.ru

Константин Саматов Перепечатка допускается только по

согласованию с редакцией
Как подготовиться к проверке регулятора и со ссылкой на издание
по персональным данным (пошаговая инструкция) . . . . . . . . . . . .45
За достоверность рекламных публикаций
и объявлений редакция ответственности
не несет
НОВЫЕ ПРОДУКТЫ И НЬЮСМЕЙКЕРЫ
Мнения авторов не всегда отражают
НОВЫЕ ПРОДУКТЫ И УСЛУГИ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48 точку зрения редакции
© "Гротек", 2016
НЬЮСМЕЙКЕРЫ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48
• 3
Baehr_blank 12/26/16 3:37 PM Page 4

В ФОКУСЕ

Машина станет
лучшим сотрудником
безопасности
Джеффри Баер (Geoffrey Baehr), генеральный партнер Almaz Capital

4 •
Baehr_blank 12/26/16 3:37 PM Page 5

ПЕРСОНЫ www.itsec.ru

Джеффри Баер – генеральный партнер фонда Almaz Capital, Нужны лучшие человеческие
специализирующегося на инвестициях в различных областях: ресурсы, но все действия долж-
безопасность, системы связи, аналитика и большие данные. ны быть спланированы заранее:
В настоящее время Джеффри работает над программно- какие меры предпринять, когда
конфигурируемыми платформами, сетями и анализом данных; что-то происходит, кто за что
занимается моделированием, управлением и контролем отвечает, что, в случае возник-
за виртуализированной инфраструктурой. Член Института новения неприятностей, должны
инженеров электротехники и электроники (IEEE) и Ассоциации делать юристы, финансисты,
вычислительной техники (ACM). инженеры, операторы и вообще –
все отделы и службы компании
(а они непременно будут дей-
– Джеффри, вы работае- Когда я ушел из "Сан" в ствовать).
те в сфере информацион- 2000 году, стал генеральный
ных технологий с 1980-х гг. партнером в US Venture Part- – Каковы основные тре-
Расскажите, пожалуйста, ners. В фондах компании в ту бования к программному
как развивалась ваша пору было несколько миллиар- обеспечению, используе-
карьера. дов долларов. Мы инвестиро- мому для безопасности
– В конце 70-х я создавал вали в такие компании, как корпоративных сетей?
сети инженерно-технического "Сан", "Чекпоинт", "Бокс", "Онко- – Понимание того, что много-
обеспечения для отделений Мед", "Зерто", "Имперва", уровневая защита состоит из раз-
интенсивной терапии, затем GoPro, "Мелланокс", "СанДиск", личных пакетов, каждый из кото-
стал главой отдела проектиро- "Вонту" и "Яммер". рых работает на высшем уровне
вания систем жизнеобеспече- в своем классе, а также понима-
ния крупной сети медицинских – Какие явления и люди ние того, что эти инструменты
предприятий, после – в начале повлияли на вас в про- должны эволюционировать вме-
восьмидесятых – обслуживал фессиональном плане? сте с угрозой, которой они про-
транспортные системы с при- Кого бы вы назвали своим тивостоят. Неправильно думать,
менением набора протоколов учителем и почему? что можно установить пакет А и
XNS для ОС VMS/System V в – Именно нетворкинг привнес потом два года ничего не делать.
"Юниксе"; работал на TRW – в мир фундаментальные изме-
для них я разрабатывал очень нения. Я рано научился молчать – Многие люди до сих
крупные сети. В середине 80-х и слушать людей, которые пор не доверяю IoT. Тем Первый провайдер
я присоединился к Sun Microsys- умнее меня, а здесь таких не менее, эта технология облачной среды, которому
tems ["Сан Майкросистемс"]. До людей много! продолжает развиваться. удастся додуматься до того,
2000 года был старшим сотруд- Ее внедряют крупные про- как заставить систему рабо-
ником по обслуживанию сетей – С 1988 по 2000 гг. вы мышленные предприятия. тать, и добиться непрерыв-
(техническим директором по управляли сетевыми тех- По результатам исследо- ной непроницаемости
сетям). Основал форум АТМ, нологиями в "Сан Майкро- вания, проведенного отде- облачной среды, практиче-
работал приглашенным редак- системс". Как, по-вашему, лением по изучению ски захватит рынок.
тором сетевого журнала, посвя- какие угрозы для безопас- общественного мнения
щенного спецификациям IEEE. ности корпоративных поль- Международного институ-
У меня 15 патентов в области зователей в корпоратив- та маркетинговых и социо-
компьютерной техники, в том ных сетях самые сильные? логических исследований,
числе на брандмауэры с отсле- – Тут безоговорочно лидируют рост угрозы кибератак на
живанием состояния соедине- люди. Гораздо важнее установки такие учреждения являет-
ния. и применения всяких устройств ся одним из наиболее ост-
Мы первыми создали такой и машин для компании является рых вопросов. Что можно
межсетевой экран. Я очень рано задача привития правил без- предпринять для того,
начал работать в сети Интернет. опасности, если угодно – вжив- чтобы повысить уровень
Ребята у нас в "Сан" впослед- ление этих правил в ДНК. Без безопасности промышлен-
ствии работали над такими про- поддержки со стороны общества ных предприятий, не тор-
ектами, как ранний набор стан- и руководящих кадров, без пла- мозя при этом их про-
дартов 802.11, автошифраторы нирования и обратной связи все гресс?
(IKE/SKIP/Oakley/IPSec), прото- прочее попросту напрасно. – Становится ясно, что этого
кол IPv6, IP для мобильных можно добиться, пропуская тра-
устройств, обнаружение серви- – Из каких элементов фик IoT через специальную
сов и прочее. Еще я работал должна состоять эффек- сеть, разработанную для защи-
в "Ферст Персон" (java) в "Сан" тивная система сетевой ты данных. Никогда, ни за что
и вместе с Джеймсом Гослингом безопасности компании? не удастся полностью модер-
выиграл первую награду прези- – В нашей среде есть такая низировать ни один объект
дента для инженеров сетей. шутка: как известно, лучшим Интернета вещей. Недавние
Я еще дважды получал эту работникам в области сетевой DoS-атаки на IP-видеокамеры,
награду, а потом еще и награду безопасности, невозможно основанные на уязвимости
за особый вклад от генерально- найти стеки сетевых протоко- самих камер, будут наблюдать-
го директора за реализацию лов, разработать ОС, создать ся еще как минимум два года.
различных технических про- язык, написать компилятор, А когда вы обновляли про-
ектов. Несколько десятилетий пишущий сценарий, узнать граммно-аппаратное обеспече-
я работал в области организа- архитектуру Web-сервиса, знать ние своей стиральной машины,
ции сетей и безопасности – это современные методы и инстру- подключенной к Интернету?
было частью моей специализа- менты кодировки, векторы В том-то и проблема. Поэтому
ции в вычислительных сетях. атаки... а все это необходимо. возникает необходимость

• 5
Baehr_blank 12/26/16 3:37 PM Page 6
В ФОКУСЕ
в наличии интеллектуальной
сети, проводящей и изучающей
трафик, с функцией оценки
качества услуги и формирова-
ния трафика, и так далее.
– Может ли быть так,
что Интернет вещей повы-
шает уязвимость промыш-
ленных компаний, снижа-
ет их уровень безопасно-
сти?
– Совершенно верно. В систе-
мах, охватывающих целые кон-
тиненты, – возьмем, к примеру,
линии электропередач, – очень
сложно даже проверить нали-
чие оборудования в системе.
Самая серьезная угроза для корпоративной сети –
люди. Для компании гораздо важнее, чем установка
и применение различных устройств и машин, –
привить правила безопасности персоналу, если
угодно – вживление этих правил в ДНК. Без
поддержки со стороны общества и руководящих
кадров, без планирования и обратной связи все
прочее попросту напрасно.
Вот что приводит меня в ярость:
раньше были отдельные, вне-
полосные цепи для обеспечения
резервного интернет-соедине-
ния, на случай неисправностей.
Но их убрали. Сейчас все соеди-
нения – внутриполосные, аль-
тернативных путей доступа нет.
А убрали эти выделенные цепи
для снижения затрат.
– Говоря о новых техно-
логиях, применяемых про-
мышленными предприя-
тиями, важно упомянуть
облачные технологии.
Большинство экспертов
полагает, что идея ввести
общественную облачную
среду в некоторых ключе-
вых компаниях является
абсурдной. Однако рынок
развивается, и многие
системы управления начи-
нают работать в облачной
среде. С одной стороны,
это позволяет снизить
затраты, а с другой – ошиб-
ки и неисправности могут
иметь катастрофические
последствия. Видите ли вы
какие-либо альтернатив-
ные способы обеспечения
безопасности сторонних
сервисов, отличные от тех,
что используются сейчас?
– Ну, довольно популярным
является гибридный подход,
объединяющий частные облака
в центры данных, но при этом
придется смириться с разделе-
6 •
нием данных в конкретном
облаке от данных других поль-
зователей, невозможностью
перехода от одной виртуальной
машины к другой, и вообще –
во многом придется действо-
вать наобум. Я думаю, что пер-
вый провайдер облачной среды,
которому удастся додуматься
до того, как заставить систему
работать, и добиться непрерыв-
ной непроницаемости облачной
среды, практически захватит
рынок. Кроме того, есть ряд
групп, занимающихся проекта-
ми вроде зашифрованных баз
данных с возможностью поиска
(без дешифровки результатов).
Такие проекты кажутся мне
многообещающими. Но необхо-
димо очень тщательно следить
за тем, как, кому и куда направ-
ляются те или иные данные, –
даже при таком подходе.
– Мировые эксперты
отмечают следующие тен-
денции: распространение
политики BYOD и выход
за пределы корпоратив-
ной безопасности. Что вы
думаете об этой техноло-
гии?
– Хм-м-м... Весь ряд компа-
ний – очень хороших компа-
ний, – применяющих схему
BYOD, можно распределить на
2 категории: они либо сносят
операционную систему с аппа-
ратных средств и так получают
над ними контроль, либо запус-
кают операционную систему
устройства на виртуальной
машине и так отсекают ее от
"железа". Организация распре-
деления приложений и контроль
за таким распределением – вот
что важно. Нужно иметь воз-
можность уничтожать или изо-
лировать вредоносные прило-
жения, подтверждать хорошие
приложения и иметь возмож-
ность контролировать все про-
цессы: кто чем когда и с помо-
щью каких данных руководит.
Это серьезный вопрос для ком-
паний со штатом в сто тысяч
сотрудников. Изоляция личной
области работника на устрой-
стве от области предприятия,
содержащей принадлежащие
предприятию приложения и дан-
ные, – это очень важная задача.
При наличии приложений собст-
венной разработки решить ее
становится сложно. Скажем,
людям могут в любое время
потребоваться корпоративные
данные и все в таком духе.
Малейшая огреха в системе – и
все летит в трубу.
– Как снизить риски для
предприятий при исполь-
зовании политики BYOD?
– Эта тема невероятно
обширная, дискутировать по ней
можно часами. Но ответ все
равно один: нужно взращивать
в компаниях культуру безопас-
ности, вводить правила приме-
нения техники безопасности и
прежде всего – быть готовыми
к тому или иному инциденту.
– Каковы, по-вашему,
самые многообещающие
тенденции в области
информационной безопас-
ности?
– Микросервисы с зависи-
мостью от пользователя и вне-
серверная обработка данных.
К чему знать что-то еще об
устройстве или операционной
системе, кроме того, что это
хранилище? Нужно просто пре-
доставить пользователям услу-
гу, чтобы они могли вставлять
необходимые данные в серви-
сы, из которых складывается
приложение в другие и даже
продавать "вставные" сервисы
друг другу. Здесь возникает
множество вопросов к безопас-
ности, но идея осуществима.
Внесерверная обработка дан-
ных – это практически то же
самое, но подход в ней иной:
"Знать ничего не желаю, но мне
нужно, чтобы при совмещении
восьми приложений в одно мое
была бы предоставлена такая и
такая услуга". Разумеется, тут
возникают обычные вопросы о
взаимозависимости, в том слу-
чае, если возникает отказ при
выполнении одного приложения,
но этими вопросами занимается
несколько экспертных групп.
– Как вы можете оце-
нить современные сред-
ства безопасности? За
какими технологиями
будущее?
– Во-первых, при современ-
ном состоянии уровня безопас-
ности в мире используемые в
настоящее время инструменты
больше не работают. Пример
технологии из прошлого деся-
тилетия – антивирусные про-
граммы. Во-вторых, угрозы
делаются с точным прицелом
на каждую конкретную цель.
В-третьих, атаки проводятся
высокообразованными людьми,
во многих случаях – при финан-
совой поддержке государства.
И наконец, непрекращающееся
совершенствование угроз для
всех уровней операционной
Baehr_blank 12/26/16 3:37 PM Page 7
ПЕРСОНЫ
системы, языка, сети и аппа-
ратного обеспечения. Все
вышесказанное приводит нас к
нескольким выводам:
l для изучения трафика необхо-
димо большое количество аппа-
ратных средств слежения по
всему Интернету. То же самое
необходимо в пределах корпо-
раций;
l собираются обширные мас-
сивы данных о параметрах тра-
фика, их сдвигах и изменениях;
l результаты приносит только
подход, рассматривающий круп-
ные объемы данных и пред-
усматривающий обучаемость
машины.
В настоящее время ведется
разработка процессоров, кото-
рые позволят проводить обуче-
ние машины, объем работы в
направлении обучения машин
обширен и все возрастает.
В мире безопасности изуче-
ние закономерностей и особен-
ностей того, что является "нор-
мальным", а что – нет, будет
играть ключевую роль. Слож-
ные атаки во многих отноше-
ниях очень утонченные и могут
таиться месяцами перед непо-
средственным началом атаки.
План заключается в том, чтобы
создать машину, способную
постоянно следить и учиться
тому, что нормально, а что нет.
Обучение машины может
также быть динамическим,
чтобы отражать атаки в реаль-
ном времени. Это очень при-
влекательная область работы,
в ней задействованы многочис-
ленные проекты. К ним отно-
сится изоляция угроз путем соз-
дания виртуальной среды, раз-
деление сети, карантин в конеч-
ной точке и прочее. Речь здесь
идет не о виртуальных выде-
ленных сетях.
Но самой увлекательной
новой областью является без-
опасность Интернета вещей.
Стало ясно, что нельзя ожидать
наличия самых современных
аппаратных средств у каждого
устройства, подключенного к
сети Интернет. Новые стартапы
работают над тем, чтобы сама
сеть стала устройством, обес-
печивающим безопасность. Это
означает что-то вроде этого:
подсоединяем сеть с устрой-
ствами IoT к выделенной внеш-
ней сети через специализиро-
ванное устройство "маршрути-
зации безопасности", передаем
весь трафик IoT через это
устройство в специальную
внешнюю сервисную сеть, кото-
рая имеет обширные ресурсы
www.itsec.ru
для обучения машины, изучаем На нашем попечении нахо-
и очищаем трафик в этой сети дятся несколько перспективных
и затем снова передаем его на стартапов, например в области
устройство. автоматизации проверки доб-
Нам известно как минимум о росовестности действий работ-
трех стартапах, соревнующихся ников, слежение за перемеще-
между собой за возможность нием информации и встраива-
устанавливать такие сети на ние информации в потоки дан-
предприятиях. ных. Все это намного превосхо-
С этим подходом связано дит защиту от утечки данных,
множество вопросов, но он так сказать, по старинке. Здесь
весьма перспективен. Кроме речь идет о том, что машина
того, он активно продвигается обучается поступать с инфор-
как средство сетевой безопас- мацией так, как поступает чело-
ности для дома/личной безопас- век, а также учиться тому, что Идеальной экосистемы
ности частных абонентов. делать, если допущена ошиб- информационной безопас-
Тем не менее, сам по себе ка. ности не бывает. Необходи-
Интернет остается уязвимым. Если вы не осознаете мас- мо все планировать зара-
Прошло почти 30 лет, а мы так штаб обучения машины, то нее. Тестирование, провер-
и не поумнели: входящий конт- мы, как правило, рассматри- ка достоверности, обратная
роль трафика не выполняется, ваем 1 миллион CPU-часов, связь, оперативное противо-
не ограничивается ширина затраченных на обработку действие и т.д. Одной точ-
полосы по ее географическому данных при запущенном ной подготовки к эксплуата-
происхождению, система интерфейсе. Вот для этого и ции недостаточно.
доменных имен до сих пор создаются специализирован-
неустойчива, сложна и подвер- ные процессоры. А я помню
жена атакам. Протоколы марш- времена, когда 1 CPU-час –
рутизации также уязвимы. Нам было очень много!
над многим предстоит работать.
Когда работа над этими задача- – Что может стать сти-
ми велась много десятков лет мулом на рынке информа-
назад, мы и заикнуться не ционной безопасности в
могли о том, что многие вопро- таких сложных условиях?
сы безопасности были остав- – Страх!
лены без внимания нарочно.
Людям нужно понять: воз- – Какова идеальная эко-
можно, нет способа гарантиро- система информационной
вать полную безопасность. безопасности предприя-
Нужно зарождать и развивать тия?
культуру безопасности на пред- – Позвольте процитировать
приятиях, разрабатывать ответ- одного моего друга: он в свое
ные меры на случай атак, время был начальником отде-
Нет способа гарантировать полную безопасность. Нужно зарож-
дать и развивать культуру безопасности на предприятиях, раз-
рабатывать ответные меры на случай атак, назначить команду
на случай чрезвычайной ситуации, создать меры юридического
отпора, противодействия в области связей с общественностью
и принимать прочие подобные меры, так как чрезвычайная
ситуация возникнет с вероятностью 100%.
назначить команду на случай ла информационной безопас-
чрезвычайной ситуации, соз- ности в PayPal и E-bay. Он
дать меры юридического отпо- всегда говорит, что одной точ-
ра, противодействия в области ной подготовки к эксплуата-
связей с общественностью и ции недостаточно, необходи-
принимать прочие подобные мо все планировать заранее.
меры, так как чрезвычайная Тестирование, проверка
ситуация возникнет с веро- достоверности, обратная
ятностью 100%. Роль началь- связь, оперативное противо-
ника службы безопасности, по действие и т.д.
большому счету, заключается
в том, чтобы создать, испытать, – С 2009 года вы рабо-
привить и заставить работать таете консультантом в
культуру безопасности, а не Almaz Capital Partners и с
просто приобретать новейшие 2012 стали генеральным
устройства и заявлять, что про- партнером фонда. Сколько
блема решена. стартапов в год вы рас-
• 7
Baehr_blank 12/26/16 3:37 PM Page 8
В ФОКУСЕ
сматриваете и сколько
получают вашу поддерж-
ку?
– До своей работы в Almaz
Capital Partners, я был генераль-
ным партнером в US Venture Part-
ners, и в год мы рассматривали
от 3 до 5 тысяч стартапов. Здесь
же в год поступает до 3 тысяч
заявок, из которых мы выбираем,
пожалуй, 5.
Изоляция личной области работни-
ка на устройстве от области пред-
приятия, содержащей принадлежа-
щие предприятию приложения и дан-
ные, – это очень важная задача.
– Есть какие-либо пока-
затели, по которым можно
определить успешный
стартап?
– Да. Во-первых, это команда.
Если у вас хорошая идея, но
плохая команда, вас ждет
неудача. То же самое, если
команда не соответствует миро-
вым требованиям или же члены
команды не могут работать вме-
сте в гармонии и доверии друг
к другу. Я видел, как среднень-
кие идеи венчались огромным
успехом, поскольку над ними
работала отличная команда, и
видел, как тонут отличные идеи
из-за скверно подобранной
команды. Все остальное –
решительно все остальное –
вторично.
– Что должен предоста-
вить стартапер, чтобы
заинтересовать инвесто-
ра?
– Ладно, вот вам шпаргалка
(смеется). Пункты выполняются
по порядку:
1. Команда. Соответствуют
ли все участники мировым тре-
бованиям, занимались ли они
чем-то подобным раньше, смо-
гут ли сработать лучше, чем от
них ожидается.
2. Технология. Намечается ли
что-то сложное, решает ли эта
технология какую-либо фунда-
ментальную проблему, для
решения которой она и вводит-
ся. Сколько времени уйдет у
конкурентов на такой же про-
ект? Сможете ли вы сохранять
лидирующие позиции?
3. Рынок. Будет ли пользо-
ваться эта технология широким
спросом на рынке? Если нет, то
как его инициировать? (Вен-
чурные компании не любят
8 •
ждать, пока разовьется рынок.)
Во сколько обойдется получить
долю Х% рынка и где будет
этот рынок? Как и кому про-
дать? Если модель продаж для
рынка выбрана неверно, то
заработать будет очень слож-
но.
4. Финансы, как ни странно,
всегда упоминаются в послед-
нюю очередь. С финансиро-
ванием мы разберемся. Про-
ект должен доказать, что он
сможет достичь конкретной
намеченной цели, например
создать резерв в 6 млн дол-
ларов. На самом деле нас
больше интересует логика
того, как данная команда
дошла до вывода, что им
нужна именно такая сумма, и
как они смогут это доказать.
Но снова и снова мы видим
одну и ту же ошибку: инициатор
идеи полагает, будто нам
известно, что значат все их
акронимы и прочее. Лучшие
планы составляются так: вот
проблема, которую мы решаем,
спрос на мировом рынке на
решение вот такой (у нас есть
данные, чтобы это подтвердить),
вот столько-то мы заработаем
на каждой копии, вот доказа-
тельство наличия интереса. А
вот тут – стоп! Нечего рассусо-
ливать после того, как вы нам
продали! Я видел, как продажи
идут прахом из-за пустой бол-
товни.
– Обязательно ли стар-
тап должен привлекать
венчурные инвестиции?
Нельзя ли развиваться за
свой счет или на заемные
средства, но без передачи
кому-то части своего биз-
неса?
– Конечно можно. Это личный
выбор каждого. Подлинная
задача денег венчурных ком-
паний – предоставить "топливо"
для увеличения продаж, или
загрузок. Этого можно добиться
собственными силами, но это
займет больше времени, а
поскольку большинство компа-
ний оправдывают свою стои-
мость благодаря темпам роста,
а не только чистой прибыли, то
приходится использовать день-
ги венчурных компаний, чтобы
давить на газ и не останавли-
ваться.
– Должен ли стартап
выбирать фонд или при-
нимать первое сделанное
предложение о финанси-
ровании?
– О, отличный вопрос! Мы
заставляем все компании, с
которыми ведем переговоры,
проводить комплексную про-
верку нашей компании! Конечно
же, и мы их проверяем: нам
нужно узнать людей, которых
мы снабжаем деньгами. Но мы
всегда интересуемся, был ли
контрагент доволен результа-
том, помогли ли мы ему добить-
ся этого результата и так далее.
Можно найти, как мы это назы-
ваем, дурные деньги, но ведь
хочется, чтобы люди помогли
тебе преуспеть, создать перво-
классную команду и дать выход
на нужных тебе людей.
– Что делать проекту,
если венчурная компания
откажется от предложе-
ния?
– Задаться вопросом, почему
отказали. Что не так с предло-
жением? Идея? Команда?
Рынок? Не забывайте, некото-
рые идеи проходят через 30–40
венчурных компаний, прежде
чем получают финансирование.
Хотя если все компании говорят
одно и то же, например: "Нет,
здесь на рынке спроса нет" или
"Вы продаете местным прави-
тельственным учреждениям, а
они покупают долго и нудно",
то, возможно, финансовое
сообщество пытается передать
вам некое послание, и к нему
стоит прислушаться.
– Можете вспомнить
какой-нибудь проект, об
отказе которому вы потом
пожалели?
– А, вы о "Скайпе"? Или о
"Тесле"? (смеется)
– Какие тенденции вен-
чурного инвестирования в
области информационных
технологий вы бы назвали
наиболее многообещаю-
щими?
– Думаю, очень важна воз-
можность иметь команды, рас-
средоточенные по 10 часовым
поясам, работающие как одна
команда, без необходимости
физического контакта между
собой. Адаптивное кодирова-
ние, управление командой,
использование инструментов
вроде "Канбан" и "Атлассиан" в
корне меняют процесс написа-
ния кода командами. l
Ваше мнение и вопросы
присылайте по адресу
is@groteck.ru
fortinet 12/21/16 4:24 PM Page 9
mfi_issled 12/21/16 6:57 PM Page 10

В ФОКУСЕ

Персональные данные миллионов россиян уже на черном рынке

П
о результатам исследования “Черный рынок баз данных" аналитического центра
“МФИ Софт" за ноябрь 2016 года, объем рынка нелегальных баз данных в России –
больше 30 млн рублей, если перевести на количество записей частных лиц – получает-
ся больше 1,2 млрд. Всего за несколько часов поиска в Интернете можно найти базы
данных клиентов крупных банков, страховых компаний и онлайн-казино.

Как оказалось, на пиратских форумах и порталах особенно
распространены данные клиентов финансовых организаций –
34%, а также заказчиков крупных интернет-магазинов – 19%,
брокеров – 18% и операторов связи – 6%.
В рамках исследования были обнаружены базы клиентов 18
крупных российских банков – среди них есть представители
ТОП 10 крупнейших российских банков, а также базы популярных
микрофинансовых организаций. К таким базам высокий уровень
интереса у различного рода мошенников, в том случае если
база обогащена информацией по счетам. В продаваемой базе
можно найти полные контактные данные лица, с его паспортными
данными, текущим местом проживания, выпиской по банковским
счетам и перечислением имущества, информацией о налогах и
штрафах.
Сколько стоят персональные данные на черном
рынке?
В последние годы стоимость персональных данных сильно
обесценилась. Как показало исследование 134 баз данных,
находящихся в свободной продаже на черном рынке, средняя
стоимость одного контакта для баз рассылок составляет
2 копейки. Наибольшей ценностью обладают базы страховых
компаний – цена записи достигает 10 рублей при средней цене
в 2,73 рубля, данные клиентов банков оцениваются в среднем
по 0,28 рубля за запись. По сути, каждый пользователь Интер-
нета может купить такую базу, одни из праздного любопытства,
другие – для наживы.
Что содержится в серых базах данных и чем это грозит?
Базы данных могут содержать не только имена и контакты
пользователей услуг, но и все документы, от паспортных
данных и водительского удостоверения до номеров банковских
карт и счетов с указанием сумм депозитов. Есть даже базы по
направлениям деятельности, например базы руководителей
служб безопасности, базы директоров по регионам и другие
не менее интересные варианты.
В лучшем случае такие базы покупают для спам-рассылок и
обзвона с предложениями услуг. Чуть менее часто базы
данных на черном рынке скупают мошенники в целях совер-
шения финансовых махинаций. По паспортным данным с
помощью социальной инженерии можно получить доступ к
карточным счетам пользователя и выводить с них средства, а
также шантажировать владельцев этих данных или оформить
на них кредит в микрофинансовой организации.
Источники утечки баз данных
В ответе за утечку данных пользователей – владельцы баз,
так как это прямое нарушение ФЗ-152 "О персональных
данных". Но часто они сами даже не подозревают, что их базы
были украдены, и узнают об этом только после громких инци-
дентов. Согласно выборке "МФИ Софт", базы данных попадают
на черный рынок четырьмя путями: злонамеренный инсайд –
78%, взлом – 2%, недобросовестность (целенаправленное
распространение данных клиентов на коммерческой основе) –
13%, парсинг (сбор и структурирование данных из открытых
источников) – 7%. Из чего следует, что главная проблема рос-
сийских компаний – это утечка баз данных через сотрудников.
Выводы
Чтобы получить персональные данные любого интересующего
человека, по статистике потребуется потратить от 1500 до
30 000 рублей на несколько баз данных из различных секторов.
Потратив несколько часов на изучение сайтов по продаже баз
данных, можно найти любую нужную информацию – включая
состояние банковских счетов, имя и возраст ребенка, место
работы и должность... Конечно, поступление баз на открытый
рынок обычно задерживается на год–два, но как часто вы
меняете банковские счета? l

Таблица. Сценарии использования информации

Отрасль Типы данных Последствия

Электронная торговля Контактные данные, информация о покупках Снижение доверия покупателей
Финансовая Контактные данные, личные документы, l Отток клиенов.
информация по счетам l Хищение средств.
l Подделка кредитных документов
Азартные игры Контактные данные, редко – l Получение нежелательной рекламы.
информация о выигрышах l Мошеннические схемы для вывода денежных средств
Брокерская Контактные данные, l Получение нежелательной рекламы.
описание трейдерской деятельности l Переход к другому брокеру.
l Хищение средств
Оператор связи Контактные данные, l Переход к другому оператору.
данные об услугах, балансе l Мошеннические схемы с балансом.
l Социальная инженерия
Данные автовладельцев Контактные данные, данные по имуществу, l Получение нежелательной рекламы.
данные по страховке l Угон автомобиля.
l Мошенничество со страховкой
"Личные" базы данных Контактные данные, l Получение нежелательной рекламы.
информация об имуществе, l Преступления, связанные с хищением финансовых
социальном статусе, интересах средств и имущества.
l Мошеннические схемы

10 •
jet_news 12/21/16 6:57 PM Page 11
СОБЫТИЯ
Компания «ЭЛВИС-ПЛЮС» отметила 25-летний юбилей
С
егодня ЭЛВИС-ПЛЮС – это профессиональный системный интегратор в сфере построе-
ния информационных систем с обеспечением информационной безопасности, а также раз-
работчик и производитель собственных продуктов ИБ.
На пресс-конференции, посвященной юбилею, первые лица компании провели для журна-
листов ведущих отраслевых изданий экскурс в историю компании, рассказали о текущих
проектах, дали собственную оценку состояния рынка и основных трендов в сфере ИБ.
Несмотря на кризисные явления и в стране, и на рынке ИТ ком-
пании удалось сохранить прежнюю численность – около 150
сотрудников, из которых 120 являются специалистами по инфор-
мационной безопасности. Однако этого штата ЭЛВИС-ПЛЮС, как
отметил генеральный директор Юрий Ивашков, уже не хватает.
Юрий Витальевич также отметил, что кадровая проблема является
главным сдерживающим фактором развития компания. Решение
данной проблемы руководство видит в партнерской программе с
альма-матер генерального директора – Московским институтом
электронной техники (МИЭТ), – хотя не все его выпускники стано-
вятся в дальнейшем сотрудниками компании.
Президент и основатель ЭЛВИС-ПЛЮС Александр Галицкий
считает, что наиболее правильной с точки зрения бизнес-
эффективности моделью развития компании является ориен-
тация на разработку продуктов. Что, впрочем, не исключает
интереса к интеграционным проектам.
Флагманским продуктом компании по-прежнему остается
VPN/FW/IDS "ЗАСТАВА", которой, по оценке ЭЛВИС-ПЛЮС,
принадлежит 15–25% соответствующего сегмента рынка.
Основными клиентами компании все так же являются ЦБ РФ,
Федеральная налоговая служба России, Федеральная служба
по техническому и экспортному контролю России и другие
государственные и коммерческие организации
Куда идет ИТ-аутсорсинг?
В рамках круглого стола "ИТ-аутсорсинг – 2020" эксперты сер-
висного центра компании "Инфосистемы Джет" рассказали о теку-
щих тенденциях и дали прогнозы развития комплексного ИТ-аут-
сорсинга. Именно эта модель к 2020 г. получит активное развитие
на корпоративном рынке. ИТ-аутсорсер будет предоставлять заказ-
чику любые ИТ-сервисы по принципу "единого окна". CIO в новой
парадигме станет для своей организации бизнес-партнером по
ИТ, т.е. заказчиком ИТ-услуг, несущих прямую выгоду бизнесу. В
портфеле компании "Инфосистемы Джет" уже есть подобные про-
екты, реализованные для банковской отрасли.
Один из них выполняется для крупного российского банка,
входящего в ТОП 50. Начав активно развиваться, банк присту-
пил к развертыванию филиальной сети по всей стране. В тече-
ние двух лет было открыто более 450 клиентских центров,
организовано порядка 5000 рабочих мест. При этом решались
вопросы телекоммуникаций, масштабирования ИТ-инфраструк-
туры и прикладных систем, ИБ, документооборота и др. Интег-
ратор не только внедрял ИТ-решения, но и разрабатывал кор-
поративные процедуры и стандарты и сейчас продолжает под-
держивать работу всей ИТ-инфраструктуры. При этом собст-
венная ИТ-служба заказчика на момент старта проекта была
представлена всего одним человеком.
Другой пример – комплексная поддержка интернет-магазина
бытовой электроники, входящего в ТОП 10 E-Commerce-пло-
щадок России. Все изменения бизнес-логики в работе магазина
исходят от бизнеса.
Эволюция ИТ-аутсорсинга
Сделав экскурс в историю развития услуг сервисной поддержки
в ИТ, эксперты компании показали, как российский рынок посте-
пенно двигался от мелких разрозненных ИТ-сервисов к комплекс-
ному ИТ-аутсорсингу. Если во второй половине 1990-х связь
www.itsec.ru
Сегодня в числе перспективных направлений разработки,
которые поддерживаются в ЭЛВИС-ПЛЮС, заместитель гене-
рального директора компании по производственной деятельности
Сергей Панов назвал технологию Blockchain, аутентификацию в
облачных инфраструктурах и технологии для защиты Интернета
вещей. И важнейшим вопросом остается защита АСУ ТП.
Вот с такими результатами компания ЭЛВИС-ПЛЮС встре-
тила свое 25-летие.
Редакция журнала Information Security присоединяется к
поздравлениям и желает коллективу ЭЛВИС-ПЛЮС новых
интересных проектов и достижений! l
между ИТ и бизнесом была незначительной, то к 2000-м она
существенно окрепла. Организации начали активнее пользоваться
услугами внешних сервисных центров, что потребовало большего
внимания к стандартизации. Во второй половине 2000-х в составе
некоторых крупных компаний-заказчиков появились новые струк-
турные единицы – инсорсинг-интеграторы, которые обеспечили
всю вертикаль сервисов, в том числе покупая их у внешних ИТ-
провайдеров. В то же время новые организации уровня Large
Enterprise, основанные в 2014–2016 гг., предпочли полностью
сосредоточиться на своем бизнесе, поручив решение непрофиль-
ных для них ИТ-задач внешнему провайдеру ИТ-сервисов.
В отличие от собственной ИТ-службы заказчика ИТ-аутсорсер
имеет опыт работы со множеством компаний и обладает глу-
бокой отраслевой экспертизой. Инсорсинговая структура, буду-
чи частью вертикально интегрированной организации, является
менее гибкой. Ряд крупных, особенно молодых, компаний-
заказчиков это понимают и переосмысливают модель развития
ИТ. В ведение внешних провайдеров ИТ-сервисов они передают
не только внедрение ИТ-систем и разработку ПО, но и измене-
ние процессов, создание корпоративных стандартов, управление
проектами, управление изменениями и т.д.
При комплексном ИТ-аутсорсинге все параметры и регла-
менты ИТ-сервисов четко описаны, поэтому если ИТ-аутсорсер
не может предоставить тот или иной сервис своими силами, он
может привлечь своего партнера на условиях симметричного
SLA. Для заказчика же аутсорсер остается "единым окном"
доступа ко всем ИТ-сервисам и единой точкой ответственности
за их стабильное функционирование.
Среди преимуществ целевой модели ИТ-аутсорсинга – про-
зрачность расходов на ИТ-услуги, привязанные к уровню SLA,
а также возможность варьировать их объем в зависимости от
текущих потребностей. l
• 11
manyk 12/21/16 4:23 PM Page 12

ПРАВО И НОРМАТИВЫ

Проблемы правового регулирования

трансграничной передачи данных
Павел Манык, управляющий партнер,
ООО “Юридическая компания “БЕЛЫЙ КВАДРАТ"

П
ри подготовке материала для данной статьи были подведе-
ны итоги некоторых наблюдений о том, что современные
технологии словно стирают границы между государствами.
И на это есть причины. Стоит вспомнить недавние обсужде-
ния отказа компании WhatsApp предоставлять данные
о пользователях на фоне ужесточения законодательства РФ
в связи с принятием “Пакета Яровой", принятого Госдумой
24 июня.

Если предположить, однако храниться они должны ст. 12 Федерального закона

что иностранные компа-
нии откажутся от соблю-
дения закона или же
ограничат свое присут-
ствие на рынке, российские
пользователи иностранных сер-
висов могут лишиться доступа
к ним, что, возможно, отразится
на развитии интернет-отрасли
в России.
Законодательное
регулирование
С 1 сентября 2015 г. вступили
в силу поправки к закону
"О персональных данных", тре-
бующие локализации персо-
нальных данных граждан РФ
на территории России. Любая
российская или зарубежная
152-ФЗ определяет поня- компания, ориентированная на
тие трансграничной переда- работу с российскими пользо-
чи персональных данных как вателями, должна обеспечи-
"передачу персональных вать запись, систематизацию,
данных на территорию ино- накопление, хранение, уточне-
странного государства, ние персональных данных рос-
органу власти иностранного сиян с использованием баз дан-
государства, иностранному ных, находящихся на террито-
физическому лицу или ино- рии РФ.
странному юридическому Тем не менее, в ряде случаев
лицу". обновленный закон разрешил
обработку персональных дан-
ных россиян на территории дру-
гих государств: в целях испол-
нения правосудия, исполнения
полномочий органов госвласти
и местного самоуправления,
а также для достижения целей,
предусмотренных международ-
ным договором. Закон не будет
распространяться на выдачу
виз, продажу авиабилетов, дея-
тельность СМИ и судов. Транс-
граничная передача данных
россиян законом разрешена,
на территории РФ. Вместе с
тем, возможно временное хра-
нение дубликата данных за
рубежом, но только на срок,
необходимый для выполнения
действий, для которых они пере-
давались за границу. Например,
данные гражданина РФ могут
быть переданы в заграничный
отель или клинику, но после
того, как отдых или лечение
закончится, данные клиента на
зарубежных серверах должны
быть аннулированы, объяснял
Жаров.
Определения,
содержащиеся в законе
В соответствии с действую-
щим законодательством опе-
ратором признается госу-
дарственный орган, муници-
пальный орган, юридическое
или физическое лицо, само-
стоятельно или совместно с
другими лицами организую-
щее и (или) осуществляющее
обработку ПДн, а также опре-
деляющее цели обработки
персональных данных, состав
ПДн, подлежащих обработке,
действия (операции), совер-
шаемые с персональными дан-
ными. При этом под обработ-
кой понимается любое дей-
ствие с ПДн: сбор, запись,
систематизация, накопление,
хранение, уточнение (обнов-
ление, изменение), извлече-
ние, использование, передача
(распространение, предостав-
ление, доступ), обезличива-
ние, блокирование, удаление,
уничтожение персональных
данных. В соответствии со
№ 152-ФЗ "О персональных
данных" от 27.07.2006 опера-
тор обязан убедиться в том,
что иностранным государст-
вом, на территорию которого
осуществляется передача пер-
сональных данных, обеспечи-
вается адекватная защита
прав субъектов ПДн, до нача-
ла осуществления трансгра-
ничной передачи персональ-
ных данных.
Стоит отметить, что действую-
щая редакция закона не содер-
жит перечня мер для определе-
ния такой адекватности, а также
критериев для ее оценки, одна-
ко в п. 1 ст. 12 закона указыва-
ется, что трансграничная пере-
дача персональных данных на
территории иностранных госу-
дарств, являющихся сторонами
Конвенции Совета Европы1 о
защите физических лиц при
автоматизированной обработке
персональных данных, а также
иных иностранных государств,
обеспечивающих адекватную
защиту прав субъектов персо-
нальных данных, возможна.
Таким образом, можно сделать
обоснованный вывод о том, что
иностранные государства, рати-
фицировавшие Конвенцию
Совета Европы от 28.01.1981 г.
о защите физических лиц при
автоматизированной обработке
ПДн, или, как ее еще называют
Convention for the Protection of
Individuals with regard to Auto-
matic Processing of Personal Data
CETS No.: 108, точно обеспечи-
вают необходимую защиту.
Некоторые издания отмечают,
что список состоит из 63 стран,

1
http://www.consultant.ru/document/cons_doc_LAW_121499.

12 •
manyk 12/21/16 4:23 PM Page 13
ПРАВО И НОРМАТИВЫ
принявших 108 конвенцию сове-
та Европы, однако большинство
экспертов едины во мнении,
что стран в списке 46, поскольку
Турция не ратифицировала кон-
венцию после подписания.
Таким образом, список стран
следующий: Россия, Албания,
Андорра, Армения, Австрия,
Азербайджан, Бельгия, Босния
и Герцеговина, Болгария, Хор-
ватия, Кипр, Чехия, Дания, Эсто-
ния, Финляндия, Франция, Гру-
зия, Германия, Греция, Венгрия,
Исландия, Ирландия, Италия,
Латвия, Лихтенштейн, Литва,
Люксембург, Мальта, Молдова,
Монако, Черногория, Голлан-
дия, Норвегия, Польша, Порту-
галия, Румыния, Сан-Марино,
Сербия, Словакия, Словения,
Испания, Швеция, Швейцария,
Македония, Турция, Украина,
Великобритания. В соответ-
ствии с пунктом 2 ст. 12 закона
государство, не являющееся
стороной Конвенции Совета
Европы о защите физических
лиц при автоматизированной
обработке ПДн, может быть
включено в перечень иностран-
ных государств, обеспечиваю-
щих адекватную защиту прав
субъектов персональных дан-
ных, при условии соответствия
положениям указанной Конвен-
ции, действующих в соответ-
ствующем государстве норм
права и применяемых мер без-
опасности ПДн.
В соответствии со ст. 4 закона
трансграничная передача пер-
сональных данных на террито-
рии иностранных государств, не
обеспечивающих адекватной
защиты прав субъектов ПДн,
может осуществляться в слу-
чаях:
1) наличия согласия в пись-
менной форме субъекта персо-
нальных данных на трансгра-
ничную передачу его персо-
нальных данных;
2) предусмотренных между-
народными договорами Россий-
ской Федерации;
3) предусмотренных феде-
ральными законами, если это
необходимо в целях защиты
основ конституционного строя
Российской Федерации, обес-
печения обороны страны и без-
опасности государства, а также
обеспечения безопасности
устойчивого и безопасного
функционирования транспорт-
ного комплекса, защиты инте-
ресов личности, общества и
государства в сфере транспорт-
ного комплекса от актов неза-
конного вмешательства;
4) исполнения договора, сто-
роной которого является субъ-
ект персональных данных;
5) защиты жизни, здоровья,
иных жизненно важных интере-
сов субъекта персональных дан-
ных или других лиц при невоз-
можности получения согласия
в письменной форме субъекта
персональных данных.
Таким образом, при наличии
письменного согласия субъекта
или договора с субъектом ПДн
закон 152-ФЗ разрешает пере-
давать персональные данные в
любую страну.
Однако, несмотря на всю эту
неразбериху и ужесточение тре-
бований, число российских ком-
паний, ведущих деятельность с
иностранными контрагентами,
растет год от года.
Но работает ли 152-ФЗ на
практике?
Прощай, LinkedIn
152-ФЗ, несомненно, рабо-
тает.
Впервые в России заблоки-
рован иностранный интернет-
сервис, не выполнивший тре-
бования регулятора. В августе
этого года Таганский суд удов-
летворил требование Роском-
надзора о блокировке соцсети
www.itsec.ru
LinkedIn. 10 ноября 2016 г. Мос-
горсуд признал законным реше-
ние Таганского суда Москвы о
блокировке. По мнению Рос-
комнадзора, соцсеть нарушает
закон о неприкосновенности
личных данных, что меня лично
насторожило в первую очередь,
поскольку перечень получаемых
данных выходит за рамки В соответствии с пунктом
целей, для которых эти персо- 2 ст. 12 закона государство,
нальные данные используются. не являющееся стороной
Также интернет-сервис не хра- Конвенции Совета Европы о
нит эти данные на территории защите физических лиц при
России, как того требует автоматизированной обра-
152-ФЗ. ботке ПДн, может быть
Другая компания – Viber, не включено в перечень ино-
дожидаясь карательных санк- странных государств, обес-
ций, уже исполнила требования печивающих адекватную
закона. Компания перенесла защиту прав субъектов пер-
серверы с персональными дан- сональных данных, при
ными россиян на территорию условии соответствия поло-
РФ. На очереди другие интер- жениям указанной Конвен-
нет-сервисы, которым пред- ции, действующих в соот-
стоит сделать выбор – испол- ветствующем государстве
нить требования закона или норм права и применяемых
быть заблокированными. Воз- мер безопасности ПДн.
можно, в скором будущем,
когда на территории России все
интернет-сервисы будут соблю-
дать требования закона, оче-
редь дойдет и до детальной
проверки той самой "адекватной
защиты" прав субъектов ПДн
на территории иностранных
государств. l
Ваше мнение и вопросы
присылайте по адресу
is@groteck.ru
• 13
begishev 12/21/16 4:23 PM Page 14

ПРАВО И НОРМАТИВЫ

Федеральная служба информационной безопасности

Российской Федерации: миф или реальность?
Ильдар Бегишев, институт экономики, управления и права (г. Казань)

С
егодня наиболее опасными считаются атаки на информацион-
ные инфраструктуры критически важных для функционирова-
ния государства и особо опасных для населения объектов.
Опасность таких действий заключается в возможной дестаби-
лизации не только отдельного предприятия, но и субъекта
федерации, федерального округа или страны в целом,
поскольку они могут привести к существенным повреждениям
объектов жизнеобеспечения, транспорта и связи, энергетики и
промышленности, экологическим катастрофам и гибели
людей. Во многих случаях положение усугубляется недоста-
точной защищенностью указанных объектов.

Особое внимание со В качестве информацион- рых входит противодействие

В полной мере осознавая
высокую степень опасности
умышленных воздействий в
информационно-телекомму-
никационной среде, многие
страны старательно пытают-
ся закрыть существующие
ныне бреши в кибероборо-
не, создавая специальные
правоохранительные органы
и их подразделения, в зада-
чи которых входит противо-
действие посягательствам
на информационные инфра-
структуры своих объектов.
стороны государства должно
быть сосредоточено на пред-
отвращении действий, направ-
ленных на развязывание про-
тив него информационных
войн, нацеленных на дестаби-
лизацию системы националь-
ной безопасности.
Обычно под информацион-
ной войной понимают целе-
направленные действия,
предпринятые для достиже-
ния информационного пре-
восходства путем нанесения
ущерба информации, инфор-
мационным процессам и
информационным системам
противника при одновремен-
ной защите собственной
информации, информацион-
ных процессов и информа-
ционных систем.
Основной из них являются
незначительные затраты на
разработку и применение
информационного оружия, т.к.
стоимость разработки высо-
кокачественных средств веде-
ния информационной войны
относительно невелика и
доступна широкому кругу ее
участников, повышение роли
управления восприятием. Раз-
рабатываемые средства
«информационной войны»
могут стать совершенно
новым мощным инструментом
манипуляции восприятием.
ного оружия могут выступать
совершенно различные сред-
ства: высокоточное оружие
для поражения органов управ-
ления или отдельных радио-
электронных средств, сред-
ства радиоэлектронной борь-
бы, источники мощного элек-
тромагнитного импульса, вре-
доносные программы и др.
Критерием отнесения к раз-
ряду информационного ору-
жия может рассматриваться
только эффективность того
или иного устройства при
решении задач информацион-
ной войны.
Представляется, что в ботчиками
основном силы и средства
противника, применяющего
информационное оружие,
направлены в первую очередь
на дестабилизацию критиче-
ски важных и потенциально
опасных объектов информа-
ционной инфраструктуры Рос-
сийской Федерации.
В полной мере осознавая
высокую степень опасности
умышленных воздействий в
информационно-телекоммуни-
кационной среде, многие стра-
ны старательно пытаются
закрыть существующие ныне
бреши в киберобороне, соз-
давая специальные право-
охранительные органы и их
подразделения, в задачи кото-
посягательствам на информа-
ционные инфраструктуры
своих объектов.
Так, администрация Соеди-
ненных Штатов Америки дала
старт программе по укомплек-
тованию Управления нацио-
нальной безопасности новыми
сотрудниками, которые зай-
мутся обеспечением безопас-
ности высокотехнологичных
систем в США. По официаль-
ным данным, в течение пред-
стоящих трех лет в эти кибер-
войска будет принято около
тысячи человек. Почти все эти
вакансии будут заняты разра-
программного
обеспечения, ИТ-аналитиками
и инженерами, имеющими
опыт расследования взломов
и отслеживания кибератак.
Одновременно Агентство
национальной безопасности
США приступает к строитель-
ству центра, который станет
одним из главных узлов обще-
государственной системы ком-
пьютерной безопасности.
Кроме того министерство обо-
роны Соединенных Штатов
Америки вместе с его зару-
бежными партнерами собира-
ется направить усилия на соз-
дание средств защиты сетей,
их функциональных возмож-
ностей и обеспечения надеж-
ности в киберпространстве.

1
Левин В.И. История информационных технологий. – М.: Бином. Лаборатория Знаний, 2009. – 336 с.
2
Генштаб предупреждает об опасности информационных войн // Ежедневная электронная газета
www.utro.ru URL: http://www.utro.ru/news/2009/02/25/799705.shtml (дата обращения: 15.08.2016).
3
В США начат набор в кибервойска управления национальной безопасности / Агентство
национальных новостей. URL: http://www.annews.ru/news/detail.php?ID=197292
(дата обращения: 15.08.2016).
4
Конышев В.Н., Сергунин А.А. Новая военная доктрина Барака Обамы и национальные интересы
России // Национальные интересы: приоритеты и безопасность. – 2012. – № 14. – С. 6.

14 •
begishev 12/21/16 4:23 PM Page 15

ПРАВО И НОРМАТИВЫ www.itsec.ru

В свою очередь, власти Гер- кационных систем в условиях тенденций. Возможно созда-
мании намерены создать цент- войны или вооруженных кон- ние единого отечественного
ральное федеральное управ- фликтов. специального федерального
ление по борьбе с киберпре- А.И. Маляров пришел к ана- органа исполнительной вла-
ступностью. Планируется, что логичным выводам в своем сти, занимающегося вопроса-
в управление будут поступать исследовании. Он также ука- ми борьбы с преступлениями
данные от земельных и феде- зывает на важность суще- в информационной сфере,
ральных властей. Кроме ствующей проблемы и отме- включая обеспечение безопас-
сотрудников правопорядка в чает, что в США в рамках спе- ности информационной
новом учреждении также циальной программы был соз- инфраструктуры критически
будут работать ИТ-специали- дан самый крупный в мире важных и особо опасных объ-
сты. отряд программистов- хакеров – ектов, а также воздействие
Вместе с тем армия оборо- Объединенное функциональ- на информационные инфра-
ны Израиля также создает ное подразделение для веде- структуры противника, тоже
подразделение киберспецна- ния сетевой войны (JFCCNW). имело бы смысл.
за. В свете участившихся атак Основным предназначением Такое ведомство могло бы
хакеров на израильские этого подразделения является носить название, например,
интернет–сайты, включая ведение бесконтактной сете- Федеральной службы инфор-
попытки взлома правитель- вой войны (проведение кибе- мационной безопасности Рос-
ственных ресурсов, армейское ратак) против информацион- сийской Федерации и объеди-
командование приняло реше- ной составляющей противо- нять имеющийся на сегодня
ние о создании нового под- борствующего государства. интеллектуальный и кадровый
разделения специального В Китае военным ведомством потенциал специальных служб
назначения. Израильский также ведется подготовка пер- и правоохранительных орга-
киберспецназ будет входить сонала по боевому примене- нов России, связанных с обес-
в структуру подразделения нию информационно-телеком- печением информационной
военной разведки, занимаю- муникационным систем. безопасности, главным обра-
щегося радиоперехватом и В частности, в настоящее зом таких, как Федеральная
радиоэлектронной разведкой время в Народно-освободи- служба безопасности, Феде-
в интересах всех израильских тельной армии Китая уже соз- ральная служба охраны, Феде-
специальных служб. Предпо- даны специальные резервные ральная служба по техниче-
лагается, что в задачу под- полки, а также спецбатальоны, скому и экспортному контро- Особое внимание со сто-
разделения будет также вхо- укомплектованные указанны- лю, Служба внешней развед- роны государства должно
дить защита жизненно важ- ми специалистами. Подготов- ки, Министерство внутренних быть сосредоточено на
ных узлов израильского кой персонала по боевому дел и Министерство обороны предотвращении действий,
киберпространства, включая применению ИТКС также Российской Федерации. направленных на развязы-
правительственные сайты, занимаются КНДР и Иран. Так, Между тем, в настоящее вание против него информа-
базы данных, системы связи в КНДР уже более 600 спе- время в действующей системе ционных войн, нацеленных
и инфраструктурные системы. циалистов прошли специ- правоохранительных органов на дестабилизацию системы
В то же время подразделение альную подготовку по ведению России в сфере обеспечения национальной безопасности.
будет ориентировано не толь- сетевой информационной ИБ имеется ряд пробелов,
ко на оборону, но и на атаку войны. таких как разрозненность и
вражеских объектов в кибер- Мы солидарны с С.М. Ива- дублирование функций, бес-
пространстве и захват конт- новым и О.Г. Томило, которые системность и несогласован-
роля над стратегическими считают, что для успешного ность правоприменительных
объектами противника. противодействия кибертерро- органов, различный внутриве-
Проблема усугубляется не ризму необходимо создание домственный подход каждого
только тем, что многие страны национальных подразделений правоохранительного органа,
начали создавать подразде- по борьбе с киберпреступ- частое затягивание решений
ления, отражающие возмож- ностью и международного кон- проблем ввиду необходимости
ные преднамеренные посяга- тактного пункта по оказанию согласования и т.д.
тельства на их критическую помощи для реагирования на Анализ актуальности рас-
информационную инфраструк- транснациональные компью- сматриваемой в работе про-
туру, но и тем, что они начали терные инциденты. блемы показывает, что суще-
активно готовить специали- Представляется, что Россий- ственной профилактической
стов по боевому применению ская Федерация не должна мерой улучшения сложившей-
информационно-телекоммуни- оставаться в стороне от этих ся ситуации по аналогии с
развитием подобных структур
5
В ФРГ будет создано центральное управление по борьбе с в развитых странах, является
киберпреступностью. URL: http://www.securitylab.ru/news/ объединение сил и средств
394252.php (дата обращения: 15.08.2016). специальных служб в целях
6
ЦАХАЛ создает подразделение киберспецназа для отражения комплексного обеспечения
атак хакеров. URL: http://www.newsru.co.il/israel/23jun2010/ необходимого уровня защи-
cyber301.html (дата обращения: 15.08.2016). щенности информационных
7
Маляров А.И. Уголовно-правовые и криминологические аспекты инфраструктур. l
международного сотрудничества в сфере защиты электронно-
цифровой информации: Автореф. дис. … канд. юрид. наук / А.И.
Маляров. – Краснодар, 2008. – С. 15.
8
Иванов С.М., Томило О.Г. Международно-правовое регулирование Ваше мнение и вопросы
присылайте по адресу
борьбы с кибертерроризмом // Право и безопасность. – 2013. –
is@groteck.ru
№ 3–4. – С. 85.

• 15
Xie 12/21/16 4:23 PM Page 16
СПЕЦПРОЕКТ
Система безопасности, способная решить
5 основных проблем руководителя
по информационной безопасности
Майкл Се (Michael Xie), основатель, президент и технический директор компании
Fortinet
М
оя должность предусматривает встречи со многими
руководителями по информационной безопасности со всего
мира. Можно подумать, что ввиду большого разнообразия
сред, находящихся под их управлением, эти руководители
сталкиваются с совершенно разными проблемами.
Однако на самом деле
все эти проблемы можно
свести к пяти описанным
ниже категориям.
Защита облачных
приложений
Организации про-
должают переходить к
использованию облач-
ных вычислений. Все большее
количество сотрудников исполь-
зует общедоступные облачные
приложения для обсуждения
рабочих вопросов. В число этих
приложений входят службы
электронной почты, например
Gmail, общедоступные храни-
лища, такие как Dropbox, и про-
граммное обеспечение для
общения, например WhatsApp
Организации не могут для мобильных устройств.
полностью отказаться от Таким образом, организации
таких приложений как служ- не могут полностью отказаться
бы электронной почты, от этих приложений, поэтому
например Gmail, общедо- одной из самых актуальных
ступные хранилища, такие задач, стоящих перед руково-
как Dropbox, и программное дителями по информационной
обеспечение для общения, безопасности, является управ-
например Whatsapp для ление облачными приложения-
мобильных устройств, ми и устранение угрожающих
поэтому одной из самых им опасностей.
актуальных задач, стоящих
перед руководителями по Продвинутые постоянные
информационной безопас- угрозы (APT)
ности, является управление Пожалуй, ни один из множе-
облачными приложениями и ства типов существующих угроз
устранение угрожающих им безопасности не вызывает
опасностей. столько опасений, как продви-
нутые постоянные угрозы, или
APT. Эти угрозы выступают
в самых разных обличиях, но
в целом они отличаются изощ-
ренностью, комплексным харак-
тером, скрытностью и настой-
чивостью в попытках проник-
нуть в корпоративную сеть.
Продвинутые постоянные
угрозы нередко успешно обхо-
дят стандартные средства защи-
ты. Как правило, их целью
является хищение конфиденци-
16 •
По данным исследовательской фирмы MarketsandMarkets
к 2019 г. объем рынка достигнет $4,54 млрд (по сравнению
с $2,47 млрд в 2014 г.)
альной деловой информации
и личных данных, например дан-
ных кредитных карт. Это озна-
чает, что целью атаки может
стать кто угодно, от крупнейших
организаций до отдельных лиц.
Управление событиями
На моей памяти в круг обя-
занностей системных админи-
страторов всегда входили
регистрация данных, составле-
ние отчетов и управление собы-
тиями. В условиях увеличения
объема сетевого трафика в
связи с такими тенденциями,
как "интеллектуальные города",
Интернет вещей (IoT) и большие
данные, эти традиционные обя-
занности сохранятся за адми-
нистраторами, но в то же время
приобретут еще большее значе-
ние в составе стратегии защиты
от сложных угроз, например
продвинутых постоянных угроз.
Показателем важности этих
обязанностей служит прирост
рынка технологий управления
информационной безопас-
ностью и событиями (SIEM). По
данным исследовательской
фирмы MarketsandMarkets, к
2019 г. объем рынка достигнет
$4,54 млрд (по сравнению с
$2,47 млрд в 2014 г.).
С точки зрения руководителя
по информационной безопас-
ности большое количество раз-
розненных данных об атаке
ничуть не лучше полного отсут-
ствия сведений. Практически
невозможно найти какую-либо
логику в потоке журналов собы-
тий, поступающих из всех сетей,
от серверов и устройств без-
опасности, а затем сопоставить
все эти данные, чтобы выявить
реальные угрозы. Поиск этих
угроз среди на первый взгляд
никак не связанных попыток
проникнуть в сеть, являющихся
частью стратегии продвинутой
атаки, можно сравнить с
поиском иголки в стоге сена.
Соблюдение нормативов
Нормативные требования
и отраслевые стандарты, напри-
мер стандарт безопасности дан-
ных индустрии платежных карт
(Payment Card Industry Data
Security Standard, PCI DSS),
Закон об унификации и учете в
области медицинского страхо-
вания (Health Insurance Portability
and Accountability Act, HIPAA),
Закон Сарбейнза-Оксли (Sar-
banes-Oxley, SOX) и другие
локальные нормативные акты
в настоящее время являются
общепринятыми в сфере ком-
мерческой деятельности.
Соблюдение нормативов
упрощает проверку состояния
бизнеса и способствует уста-
новлению доверительных
рыночных отношений. Однако
обеспечение и поддержание
соответствия нормативам
может быть дорогостоящим
и трудоемким процессом.
Например, обеспечение соот-
ветствия стандарту PCI требует
выполнения требований, изло-
женных в списке из 12 пунктов
и касающихся межсетевого
экрана, шифрования, антиви-
русной программы, проверки
подлинности, ведения журналов
и мониторинга, испытаний
систем и т.д. Кроме того, с выхо-
дом новых редакций стандартов
Xie 12/21/16 4:23 PM Page 17
ТАРГЕТИРОВАННЫЕ АТАКИ
организации вновь сталкивают-
ся со сложностями.
Я часто слышу, как руково-
дители по информационной без-
опасности жалуются на трудо-
затратность обеспечения соот-
ветствия требованиям. Нередко
временные, трудовые и денеж-
ные ресурсы, затраченные на
обеспечение соответствия нор-
мативам, можно направить на
решение более важных для
организации стратегических
задач. Каким образом руково-
дитель по информационной без-
опасности может выйти из поло-
жения?
Средство решения
всех проблем
Все четыре описанные про-
блемы свидетельствуют о
потребности организаций
в адаптивной системе сетевой
безопасности, которая в рам-
ках одной архитектуры объ-
единяет аппаратные и про-
граммные средства защиты,
протоколы связи и современ-
ную технологию внутренней
сегментации. Такая система
безопасности обеспечивает
комплексную защиту от посто-
янно появляющихся угроз, свя-
занных с облаком и IoT.
Облако, в частности, должно
входить в область охвата систе-
мы безопасности на правах про-
должения корпоративной сети.
Необходимо внедрить страте-
гию безопасности, которая
обеспечивает отслеживание
и управление крупными объе-
мами данных, циркулирующими
в лишенной границ сети. Такая
сеть включает в себя проводные
и беспроводные точки доступа,
общедоступные и частные сети,
традиционные и облачные
инфраструктуры.
В целях эффективного про-
тиводействия продвинутым
постоянным угрозам организа-
ции должны задействовать не
только традиционные погранич-
ные межсетевые экраны и стан-
дартные многоуровневые меры
защиты.
Создание эффективной
инфраструктуры защиты от про-
двинутых постоянных угроз тре-
бует развертывания архитекту-
ры межсетевых экранов внут-
ренней сегментации (ISFW).
Принцип работы межсетевого
экрана ISFW заключается
в ограничении перемещения
вредоносного ПО между раз-
ными сегментами корпоратив-
ной сети. Использование этого
решения одновременно с при-
менением данных об угрозах,
собранных в реальном времени,
и средств обнаружения продви-
нутых постоянных угроз, напри-
мер "песочниц" и решений,
обеспечивающих безопасность
конечных точек, позволяет
заблаговременно выявлять
угрозы и помещать их в каран-
тин.
Другой фактор успешного
выявления продвинутой посто-
янной угрозы – это наличие
эффективного механизма веде-
ния журнала, который охваты-
вает весь сетевой трафик, как
внешний, так и внутренний,
и устанавливает логику собы-
тий. В этом случае на помощь
опять же придет адаптивная
система сетевой безопасности,
которая позволяет отслеживать
состояние устройств, пользова-
телей, содержимого, входящих
и исходящих потоков данных,
а также анализировать шабло-
ны трафика.
Кроме того, такая система
безопасности может функцио-
нировать на основе единой
политики совместной работы,
что оптимизирует процесс веде-
ния журнала за счет однократ-
ной регистрации каждого сеан-
са. Повторно записи в журнал
не вносятся. Это упрощает ана-
лиз журналов, определение
шаблонов трафика и выявление
реальных угроз.
Что касается соблюдения нор-
мативов, большинство руково-
дителей по информационной
безопасности в процессе
выявления рисков следуют
определенной методике (напри-
мер, PCI, ISO 27001/2 или NIST
Cybersecurity Framework). Адап-
тивная система сетевой без-
опасности при использовании
совместно с межсетевым экра-
ном ISFW обеспечивает полу-
чение более подробного пред-
ставления о соответствии тре-
бованиям и эффективности
системы безопасности на осно-
ве данных, полученных от всех
развернутых межсетевых экра-
нов. Благодаря этому руково-
дитель по информационной без-
опасности может определить,
каким областям сети угрожает
наибольшая опасность по
сравнению с другими, и принять
меры по устранению этих уязви-
мостей.
Для руководителя по инфор-
мационной безопасности очень
важно знать, какие расположе-
ния подключены к сети в опре-
деленный момент времени. Это
необходимо для формирования
www.itsec.ru
представления об эффективно-
сти системы безопасности кор-
поративной сети, политик и про-
цессов. Адаптивная система
сетевой безопасности выявляет
все сетевые ресурсы, поддер-
живает установку администра- Соблюдение нормативов
тором целей безопасности и упрощает проверку состоя-
проверку реализации политики ния бизнеса и способствует
на всех узлах системы. Таким установлению доверитель-
образом, администратор всегда ных рыночных отношений.
может узнать, обеспечена ли Однако обеспечение и под-
надлежащая защита каждого держание соответствия нор-
ресурса. мативам может быть доро-
Также адаптивная система гостоящим и трудоемким
сетевой безопасности в неко- процессом. Например, обес-
торой степени решает 5 про- печение соответствия стан-
блему, с которой сталкиваются дарту PCI требует выполне-
многие руководители по инфор- ния требований, изложен-
мационной безопасности, – про- ных в списке из 12 пунктов
блему защиты инвестиций и касающихся межсетевого
в обеспечение информационной экрана, шифрования, анти-
безопасности. вирусной программы, про-
Данная архитектура поддер- верки подлинности, ведения
живает работу с важнейшими журналов и мониторинга,
компонентами сети, что надеж- испытаний систем и т.д.
но защищает ее от устаревания. Кроме того, с выходом
Со временем как отдельные новых редакций стандартов
компоненты сети, так и киберу- организации вновь сталки-
грозы претерпевают изменения, ваются со сложностями.
Нормативные требования и отраслевые стандарты,
например стандарт безопасности данных индустрии
платежных карт (Payment Card Industry Data Security
Standard, PCI DSS), Закон об унификации и учете в
области медицинского страхования (Health Insurance
Portability and Accountability Act, HIPAA), Закон Сар-
бейнза-Оксли (Sarbanes-Oxley, SOX) и другие локаль-
ные нормативные акты в настоящее время являются
общепринятыми в сфере коммерческой деятельности
однако устойчивая платформа,
лежащая в основе системы без-
опасности, останется актуаль-
ной и будет на протяжении мно-
гих лет обеспечивать защиту
вашей корпоративной сети. l
Ваше мнение и вопросы
присылайте по адресу
is@groteck.ru
• 17
levtsov 12/21/16 4:22 PM Page 18

СПЕЦПРОЕКТ

Анатомия таргетированной атаки.

Часть 4
Вениамин Левцов, вице-президент, глава корпоративного дивизиона
“Лаборатории Касперского"
Николай Демидов, технический консультант по информационной безопасности
“Лаборатории Касперского"

Э
то заключительная статья цикла публикаций, посвященных
природе таргетированных атак, их особенностям и методам
противодействия. В предыдущей, третьей части мы рассмотрели
адаптивную стратегию (Adaptive Security Approach), направ-
ленную на профилактику целевой атаки, с учетом использова-
ния технических решений и обучения персонала основам гра-
мотности в ИБ. Были приведены и две важнейших технологии,
без которых сложно представить эффективную систему обнару-
жения следов таргетированной атаки:
l Анализ аномалий – технология, основанная на статистиче-
ском анализе информации и учитывающая частоту событий
и их последовательность. В процессе работы технологии фор-
мируется поведенческая модель, отклонение от которой может
быть признаком вредоносной активности.
l Динамический анализ объектов (песочница) – технология
обнаружения подозрительного поведения объекта в виртуаль-
ной изолированной среде.
Пришло время перейти непосредственно к архитектуре системы
обнаружения следов целевой атаки, уделить внимание ее функ-
ционалу, рассмотреть ряд технологий более подробно.

Так что же должна l Накапливать историческую ния, создаваемых методами

уметь современная
система выявления
следов
таргетированной
атаки?
l Собирать информацию
о событиях на разных уровнях
инфраструктуры в режиме 24/7.
l Быстро обнаруживать следы
целевой атаки.
l Уведомлять об инцидентах
информационной безопасности.
l Детально протоколировать
выявленные инциденты.
l Передавать события об инци-
дентах в систему корреляции
событий SIEM и другие решения.
l Получать статистику угроз
через облачную инфраструкту-
ру.
На протяжении более чем 20 лет "Лаборатория
Касперского" занимается защитой от угроз
информационной безопасности, создавая
инновационные продукты. На вызов
таргетированных атак компания ответила
специализированным решением, получившим
название Kaspersky Anti Targeted Attack (KATA) Plat-
form. Статью мы посвятим обзору применяемых в
решении технологий детектирования, с помощью
которых достигается высокая эффективность
обнаружения угроз.
информацию об инцидентах.
Рассмотрим, за счет каких тех-
нологий удается достичь резуль-
тата в обнаружении таргетиро-
ванной атаки.
Важно отметить
Часть основополагающих тех-
нологий детектирования были
заимствованы и адаптированы с
учетом потребностей продукта
из внутреннего инкубатора ком-
пании. В частности, технологии
обнаружения аномалий, подо-
зрительных объектов и поведе-
ния более 10 лет успешно при-
меняются для автоматического
детектирования неизвестных
угроз в аналитическом сердце
компании.
Напомним, что процесс детек-
тирования таргетированной
атаки требует использования
специализированных средств с
достаточным объемом ресурсов,
позволяющих осуществлять рас-
пределенный сбор информации
о событиях, происходящих на
разных уровнях инфраструктуры,
анализировать получаемую
информацию, выявлять нетипич-
ное поведение, основываясь на
собственных шаблонах поведе-
самообучения. Ответим на основ-
ные вопросы, позволяющие полу-
чить представление о решении.
Целью является непрерывный
анализ большого количества
событий с применением различ-
ных технологий детектирования,
что в итоге позволяет решению
выявлять инциденты, непосред-
ственно связанные и указываю-
щие на следы таргетированной
атаки. Предоставлять высоко-
уровневую информацию с воз-
можностью глубокой детализа-
ции посредством интерактивных
визуализированных консолей
(Dashboard).
Решение осуществляет рас-
пределенный мониторинг в
реальном времени ключевых
точек коммутации ИТ-инфра-
структуры компании, а также
персональных рабочих станций
сотрудников, анализирует обя-
зательные данные и накапливает
статистическую информацию,
необходимую для построения
общей модели поведения ИТ-
инфраструктуры. В работе при-
меняется целый класс различных
технологий детектирования, а
также методы машинного обуче-
ния. Решение представлено в

18 •
levtsov 12/21/16 4:22 PM Page 19
ТАРГЕТИРОВАННЫЕ АТАКИ
виде многоуровневой структуры,
где каждый уровень отвечает за
свой круг задач по анализу
информации на основе одной
или нескольких технологий
детектирования. Система имеет
единую точку принятия решений
Targeted Attack Analyzer (TAA),
который основывается на резуль-
татах анализа каждой технологии
в отдельности и заводит инци-
денты с соответствующим уров-
нем критичности. TAA способен
выдавать задания на анализ кон-
кретных подозрительных объ-
ектов разным уровням решения.
Тем самым TAA объединяет в
себе статистический центр и
систему контроля процесса ана-
лиза.
Какая информация
считается обязательной
для анализа?
В целях обеспечения комплекс-
ного мониторинга решение ана-
лизирует следующую информа-
цию:
l Посещаемые URL.
l Файлы различных форматов
в том числе исполняемые.
l Электронные сообщения и вло-
жения.
l Метаданные трафика.
l Метаданные рабочих станций.
Далее мы подробней расска-
жем про архитектуру решения и
опишем функциональное
назначение каждого уровня в
отдельности.
Как строится
взаимодействие
в многоуровневой
структуре?
Итак, решение включает четы-
ре уровня анализа, обеспечи-
вающих детектирование угроз.
Каждый из уровней является
самостоятельной единицей.
В ходе работы уровни "делятся"
анализируемой информацией
между собой. Вердикты пере-
даются в Targeted Attack Analyzer,
который, в свою очередь, осу-
ществляет глобальный контроль
над логикой процессов анализа
и заведением инцидентов инфор-
мационной безопасности.
l Уровень сбора информации.
l Статический анализ.
l Динамический анализ объ-
ектов.
1
Отчет “Финансовые аспекты информационной безопасности в российских компаниях, B2B Interna-
tional для “Лаборатории Касперского", 2016.
2
С детальным анализом
https://securelist.ru/analysis/obzor/28983/faq-the-projectsauron-apt/.
3
С детальным анализом
https://securelist.ru/blog/issledovaniya/25888/duqu-2-0-moshhnaya-kibershpionskaya-gruppirovka-snova-
v-igre/.
l Статистический анализ.
Рассмотрим применяемые тех-
нологии на каждом из уровней
решения (см. рисунок).
Уровень 1 –
Сбор информации
Первый уровень отвечает за
сбор информации с ключевых
точек ИТ-инфраструктуры,
необходимой для выполнения
процесса непрерывного монито-
ринга. Ключевыми точками
являются основные места ИТ-
коммутации компании (погранич-
ные маршрутизаторы, серверы
электронной почты), а также
рабочие станции сотрудников.
Таким образом собирается наи-
более полный набор данных для
эффективного анализа. На этом
же уровне расположена система
обнаружения вторжений, обес-
печивающая контроль сетевых
соединений.
Сбор данных
на уровне сети
Для сбора сетевых данных при-
меняются следующие техноло-
гии:
l Сбор URL – из сетевого тра-
фика выделяются посещаемые
URL, которые передаются для
проверки верхними уровнями
системы.
l Сбор файлов – благодаря тех-
нологии File Recognition, приме-
няющей множество критериев к
объектам, из сетевого потока
выделяются только обязательные
файлы, попадающие на второй
и третий уровень анализа. Это
позволяет решению не тратить
время и производительность на
анализ каждого проходящего
объекта в сети.
l Сбор E-mail – электронная
почта продолжает оставаться
одним из основных каналов рас-
пространения целевых атак.
Каждое входящее электронное
письмо вначале отправляется
на проверку второго уровня ста-
тического анализа – антивиру-
сом.
l Сбор метаданных трафика –
генерируется подробная инфор-
мация по сетевому трафику,
необходимая для работы четвер-
того уровня системы, где распо-
ложен Targeted Attack Analyzer.
Информация накапливается и
атаки вы можете
атаки вы можете
www.itsec.ru
применяется для выполнения ста-
тистического анализа.
l Система обнаружения втор-
жений (ID System).
Технология сигнатурного
детектирования, применяемая на
первом уровне, основана на тех-
нологии SNORT и отвечает за
проверку сетевого трафика. При-
ведем несколько примеров обна-
ружения данной технологией:
l Активное сканирование пор-
тов.
l Переполнение буфера.
l Атаки на Web-приложения, Средняя стоимость вос-
базы данных и Web-порталы становления после инциден-
(например, инжектирование та, связанного с таргетиро-
кода). ванной атакой, составляет
l Сетевая коммуникация с примерно 11 млн руб. для
командным центром (определяя крупного бизнеса.1
основные известные команды,
применяемые в управлении).
l RAT – Remote Admin Tool
(инструменты удаленного управ-
ления) и др.
l Вердикты IDS-системы пере-
даются непосредственно в
общую базу четвертого уровня, Сигнатура – описанный
Targeted Attack Analyzer. фрагмент кода, однозначно
идентифицирующий зло-
Сбор данных с рабочих вредный объект.
станций
Со всех контролируемых рабо-
чих станций сотрудников компа-
нии ведется сбор различной
информации, который включа-
ет:
l метаданные сети, содержащие
подробную информацию (вре- Эвристический анализа-
менные интервалы, типы прото- тор (эвристик) – технология
колов, IP-соединения т.д.); обнаружения угроз, не опре-
l информация о процессах опе- деляемых с помощью анти-
рационной системы (наименова- вирусных баз. Позволяет
ние, время работы и т.д.); находить объекты, которые
l информация об изменениях в подозреваются в заражении
реестре (тип записи, время изме- неизвестным вирусом или
нений); новой модификацией
l информация об установленных известного. Файлы, обнару-
программах (наименование, женные с помощью эвристи-
когда установлена, частота ческого анализатора, при-
использования); знаются возможно заражен-
l информация об учетных дан- ными.
ных в системе (вход в систему,
время, от имени кого выполняет-
ся программа и др.);
l метаданные файлов (для
работы репутационной базы вто-
рого уровня статического ана-
лиза);
l дамп оперативной памяти (по
запросу уровня статистического
анализа (TAA)) и некоторые дру-
гие параметры.
ознакомиться по адресу
ознакомиться по адресу:
• 19
levtsov 12/21/16 4:23 PM Page 20

СПЕЦПРОЕКТ

Результаты, о которых стоит сказать тывает получаемые apk-файлы

За короткий промежуток времени решение Kaspersky Anti Targeted Attack Platform с уровня сбора информации,
продемонстрировало свою эффективность в детектировании целевых атак. также присутствует возможность
l В сентябре 2015 года система по защите от таргетированных атак "Лаборатории ручной загрузки файла.
Касперского", развернутая в сети одного из корпоративных клиентов компании, в процессе Вердикты работы второго уров-
мониторинга ИТ-инфраструктуры выявила аномальное поведение, порожденное динамической ня становятся доступны сразу
библиотекой на одном из серверов домена2. Последующий глубокий анализ команды реверс- всем верхним уровням решения.
инженеров и аналитиков позволил обнаружить признаки активности ранее неизвестной
кибергруппировки, осуществлявшей таргетированную атаку ProjectSauron. Атака была Уровень 3 –
направлена против государственных организаций разных стран, целью которой являлась Динамический анализ
кража закрытой информации. Основная задача третьего
l Ранней весной 2015 года в процессе тестирования прототипа решения внутри ИТ- уровня заключается в анализе
инфраструктуры "Лаборатории Касперского" были обнаружены признаки таргетированной поведения каждого неизвестного
атаки. Детальное исследование выявило факт применения уязвимости нулевого дня в ядре объекта или URL. Абсолютно
операционной системы Windows, а целью атаки киберпреступников являлся шпионаж за неважно, каким путем файл был
новыми технологиями3. Часть применяемых инструментов была схожа с таргетированной доставлен, загружен пользова-
атакой Duqu, впервые обнаруженной в 2011 году и, по некоторым свидетельствам, созданной телем или прислан вложением в
для шпионажа за Иранской ядерной программой. Главное отличие обнаруженной атаки Duqu электронном письме, он с оди-
2.0 заключалось в том, что вредоносный код содержался только в оперативной памяти наковым результатом будет
операционной системы. Благодаря своевременному обнаружению следов решением Kaspersky доставлен на третий уровень для
Anti Targeted Attack Platform, ни продукты, ни сервисы не были скомпрометированы. прохождения динамического ана-
лиза в песочнице. То же самое
Уровень 2 – ным адресам в сети Интернет, касается URL-адресов, после
Статический анализ которые могут предоставлять прохождения репутационной
Второй уровень приведенной угрозу безопасности пользова- базы они будут переданы на уро-
выше общей схемы решения отве- телей. Также контроль распро- вень динамического анализа.
чает за анализ данных, используя страняется и на электронные Песочница (Sandbox) – техно-
классические технологии детек- письма, в которых могут содер- логия обнаружения подозритель-
тирования и репутационные спис- жаться опасные URL-ссылки. ного поведения объекта в вирту-
ки, что позволяет ему оперативно Категории Web-адресов, альной изолированной среде.
выносить вердикты. содержащиеся в репутационной Представляет набор виртуали-
Рассмотрим некоторые реали- базе данных: зированных сред, на которых
зованные на этом уровне техно- l Вредоносный, несет опасность запущены три версии самых
логии: заражения. популярных операционных
l Антивирусный движок (Anti- l Фишинговый, используется в систем, контролируемые техно-
Malware Engine) – выполняет про- целях хищения личной инфор- логиями анализа исполнения.
верку файлов. В движке приме- мации. l Windows XP.
няется сигнатурный анализ, а l Адреса, связанные с таргети- l Windows 7 32Bit.
также структурная и эмуляторная рованной атакой, либо ранее l Windows 7 64 Bit.
эвристика. замеченные в ней.
Помимо файлов, из трафика – База репутации файлов Техники, препятствующие
Постоянно обновляемые производится проверка вложений использует для работы снятые динамическому анализу,
аналитическими службами электронной почты, перед тем как контрольные суммы файлов и методы борьбы с ними
"Лаборатории Касперского" они будут переданы на динами- выносит вердикт по опасным Технология динамического
базы данных обеспечивают ческий анализ. В случаях, когда объектам, в том числе обнару- анализа присутствует на рынке
высокую скорость вынесе- вложение представляет из себя женным ранее в таргетированных достаточно давно, и киберпре-
ния вердиктов. запароленный архив, происходит атаках. ступники не перестают изобре-
поиск возможного указанного Помимо репутационных баз, тать все новые техники ее обхода
пароля в теле письма (как тексто- сервис имеет обновляемый (Sandbox Evasion). Приведем
вого, так и графического). Распо- набор справочников типичной лишь некоторые из числа извест-
знанный пароль вместе с архивом активности различных комбина- ных техник обхода:
передается на третий уровень ций объектов и событий, связан- l задержка исполнения кода;
динамического анализа. ных с ними. Такие справочники l проверка количества ядер про-
l YARA-правила – реализована могут содержать информацию о цессора;
работа с открытым языком сиг- популярности объекта, времени l проверка имени машины;
натурного описания, что позво- жизни, поведении и т.п. Спра- l проверка программного окру-
ляет применять собственный вочники необходимы для работы жения;
набор детектирующих правил. верхнего уровня решения. l трекинг активности мыши/
Например, идентифицировать и Каждый вердикт сопровожда- клавиатуры.
классифицировать семплы на ется дополненной статистической В связи с этим песочница
текстовых или бинарных шабло- информацией и передается на "Лаборатории Касперского" обла-
нах. верхний уровень статистического дает большим набором посто-
l Облачное детектирование – анализа. янно пополняемых (Anti-Evasion)
облачный сервис, предоставляю- – Risk Score Engine – анализ технологий, позволяющих про-
щий оперативный доступ к базам apk-файлов мобильной опера- тивостоять техникам обхода,
знаний компании, в которых ционной системы Android. среди которых:
содержится информация по сле- Дополнительный функционал l эмуляция работы пользователя
дующим категориям: выполнен в виде репутационной (движения мышью, работа на
– База URL-репутации прове- базы данных, позволяющей опре- клавиатуре);
ряет посещаемые URL, выносит делить вредоносный объект. Тех- l распознавание диалоговых
вердикт по опасным и ненадеж- нология автоматически отраба- окон, автоматическое действие;

20 •
dialog 12/21/16 4:24 PM Page 21
levtsov 12/21/16 4:23 PM Page 22
СПЕЦПРОЕКТ
Что делать, когда приме-
нение облачных технологий
запрещено регламентом
безопасности?
Предусмотрена возмож-
ность применения KSN-сер-
виса в закрытом контуре
предприятия с соответ-
ствующим регламентом без-
опасности. В таком случае
локально разворачивается
аналог облачного сервиса,
именуемый Kaspersky Priva-
te Security Network (KPSN).
В этом варианте решение не
будет отправлять запросы
за периметр сети, а будет
работать с локальными
репутационными базами
автономно.
22 •
Уровни анализа
l выполнение прокрутки доку-
мента (Scroll);
l настройка окружения, макси-
мально похожего на реального
пользователя;
l эмуляция работы пользовате-
ля, включая реакцию на диало-
говые окна.
Также песочница использует
уникальную запатентованную тех-
нологию, осуществляющую внеш-
нее протоколирование активности
образцов на уровне гипервизора,
а не на уровне отдельного модуля
ОС, что серьезно снижает веро-
ятность идентификации песочницы
зловредным ПО.
Необходимо отметить две
дополнительные задачи, решае-
мые песочницей:
1. Проверка неизвестных URL-
адресов.
Дело в том, что в реализации
второй фазы таргетированной
атаки ("проникновение") киберпре-
ступники могут скомпрометиро-
вать доверенный сторонний Web-
ресурс, разместив на нем URL,
состоящую из цепочки ссылок,
в конечном итоге приводящих к
инструменту первичного проник-
новения в инфраструктуру компа-
нии (Downloader, Dropper или
Exploit). После проверки репута-
ционной базой KSN второго уровня
анализа песочница выполняет
переход по ссылкам для получения
объекта.
2. Проверка вложений элек-
тронной почты.
Не всегда вложение в письме
находится в открытом виде,
встречаются архивы, защищен-
ные паролем. В таких случаях
антивирус, расположенный на
втором уровне статического ана-
лиза, проверяя входящее письмо,
распознает указанный пароль в
теле письма, который может быть
представлен в текстовом, либо
графическом виде. Песочница,
получив на входе архив с прило-
женным паролем, выполняет рас-
паковку и динамический анализ
содержащихся в нем объектов.
Итак, результатом работы
песочницы является отчет о
выполнении проверки внутри
изолированной операционной
системы с присвоенным уровнем
критичности. Детали анализа и
уровень критичности передаются
в Targeted Attack Analyzer.
Уровень 4 –
Статистический анализ
На четвертом уровне распола-
гаются технологии принятия реше-
ний. Это заключительная эксперт-
ная ступень решения, отвечающая
на главный вопрос – какая актив-
ность является опасной и отно-
сится ли она к таргетированной
атаке. Система автоматически
приоритизирует инциденты по
уровню угрозы, тем самым спо-
собствует оперативному принятию
решения по реагированию на
самые критичные (опасный – Крас-
ный, средний – Желтый, незначи-
тельный – Серый).
Targeted Attack Analyzer – ана-
лизатор таргетированных атак.
Представляет собой аналитиче-
ский центр решения Kaspersky Anti
Targeted Attack Platform. Анализа-
тор отвечает за множество задач,
связанных с анализом получаемой
информации разными методами,
в том числе с помощью машинного
обучения. Также анализатор отве-
чает за группировку инцидентов,
основываясь на взаимосвязях
между ними.
Рассмотрим функционал ана-
лизатора подробней, перечислив
выполняемые им задачи:
1. Накопительный ретроспек-
тивный анализ и поиск аномалий.
Анализатор непрерывно накап-
ливает статистическую информа-
цию, получаемую от технологий
первого уровня, в том числе рабо-
чих станций, формируя базу зна-
ний активности ИТ-инфраструкту-
ры. Обучаясь на накопленных
исторических данных, анализатор
строит актуальную модель пове-
дения ИТ-инфраструктуры, с помо-
щью которой он оценивает теку-
щую активность.
Оперируя собранной статисти-
кой активности внутри ИТ-инфра-
структуры и глобальной статисти-
кой "Лаборатории Касперского"
(распространенность, время жизни
объектов, репутация, категориза-
ция доменов и файлов и другие
статистические данные), Targeted
Attack Analyzer способен выявлять
подозрительную активность, учи-
тывая особенности конкретной ИТ-
инфраструктуры, в том числе опре-
делять нетипичный характер пове-
дения неизвестного программного
обеспечения.
Пример накопительного рет-
роспективного анализа:
l детектирование всплесков
сетевой активности на узлах в
нетипичное для работы время;
l запуск программного обес-
печения/системных утилит, рабо-
та которых была не характерна
ранее;
l активность на машине под
учетной записью пользователя,
ранее не работавшего на ней.
Часто в таргетированных ата-
ках применяются легальные
инструменты, которые ничем не
привлекают к себе внимание со
стороны систем безопасности.
Поведенческая модель позволяет
выявлять несвойственную актив-
ность, в том числе легальных
программ и утилит.
1. Связь в хронологическом
порядке подозрительной актив-
ности, относящейся к атаке.
Каждый инцидент, заведенный
любой из детектирующих техно-
логий, помещается в общую базу
данных анализатора. Обогаща-
ясь информацией, полученной с
рабочих станций, TAA выделяет
связанные инциденты в хронло-
гическом порядке. В результате
заводится итоговый инцидент,
который отражает более полную
картину атаки.
Приведем пример перечня дан-
ных, на базе которых выстраи-
вается хронологическая связь:
l статистика активности рабочих
станций;
l статистика сетевой активности
ИТ-инфраструктуры компании;
l инциденты, заведенные детек-
тирующими технологиями каж-
дого из уровней.
2. Сбор объектов с рабочих
машин пользователей.
Используя базу знаний, анали-
затор выбирает подозрительные
объекты с рабочих машин пользо-
вателей и запрашивает их для
levtsov 12/21/16 4:23 PM Page 23
ТАРГЕТИРОВАННЫЕ АТАКИ
дополнительного анализа. Напри-
мер, для отправки в песочницу
либо статического анализа.
Поддерживается сбор следую-
щих типов объектов:
l исполняемые файлы;
l дампа оперативной памяти; из
общей тенденции развития тар-
гетированных атак все больше
случаев, когда следы можно
обнаружить только в оператив-
ной памяти.
Таким образом, анализатор
имеет широкий спектр возмож-
ностей для надежного монито-
ринга.
Регулярные обновления
технологий детектирования
В целях обеспечения качества
анализа в решении реализован
механизм регулярных обновле-
ний для каждой из используемых
детектирующих технологий.
Обновления позволяют адапти-
ровать каждую технологию
детектирования к новым видам
угроз, обеспечивая их необходи-
мыми экспертными данными.
1. Уровень сбора информа-
ции – обновление сигнатур для
технологии обнаружения вторже-
ний.
2. Статический анализ – обнов-
ление компонентов антивирус-
ного движка; обновление мето-
дов анализа электронной почты.
3. Динамический анализ объ-
ектов – обновление логики опре-
деления подозрительности пове-
дения в том числе Anti-Evasion-
техник.
4. Статистический анализ –
обновление логики анализа и
выявления аномалий; правила
заведения групповых инцидентов.
Задачу динамических обнов-
лений решает специализирован-
ный сервис "Лаборатории Кас-
перского", обеспечивающий
непрерывный контроль актуаль-
ности всех технологий много-
уровневой структуры решения.
В случаях использования
решения в закрытом контуре
предусмотрен режим ручного
обновления, требующий наличие
развернутого локально сервиса
Kaspersky Private Security Network,
особенности которого мы рас-
сматривали, описывая второй
уровень статического анализа.
Экспертная поддержка
Важно понимать, что решение
по обнаружению таргетирован-
ных атак является мощным
инструментом, позволяющим
выявлять сложные угрозы. Рабо-
та над решением заведенного
системой инцидента возложена
на эксплуатирующий персонал,
инженеров безопасности. Пер-
сонал обязан обладать доста-
точной квалификацией для
эффективной работы с решени-
ем и его функциональными воз-
можностями в полном объеме, а
также выполнять непосредствен-
но анализ инцидентов.
Поддержка продукта учитыва-
ет эти факторы и предоставляет
необходимый набор услуг:
l Обучающий курс по работе с
решением, включающий обуче-
ние с погружением в анализ
инцидентов. Прохождение курса
позволит инженерам безопасно-
сти, значительно эффективней
работать с системой и обладать
необходимой экспертизой для
анализа инцидентов.
l Внешний экспертный сервис
"Расследование инцидентов"
полезен в сложных случаях,
когда собственных сил на реше-
ние инцидента не хватает. При-
сутствует риск финансовых и
репутационных потерь компании.
Сервис предоставляет индиви-
дуальную помощь в расследова-
нии инцидентов при помощи
команды аналитиков информа-
ционной безопасности. Позво-
ляет значительно ускорить время
решения инцидента и исправле-
ние сложившийся ситуации.
Задачи, решаемые эксперт-
ным сервисом:
l предотвращение возможной
утечки конфиденциальной
информации;
l снижение затрат, связанных с
инцидентом;
l снижение репутационных рис-
ков с учетом выявленного инци-
дента;
l восстановлению нормальной
работоспособности скомпроме-
тированных узлов включая
дополнительные рекомендации;
l выработка рекомендаций по
защите информации на базе
выявленного инцидента, чтобы
избежать подобных инцидентов
в будущем;
Threat Deception как
дополнительный источник
данных о целевых атаках
Технология является продолже-
нием развития специализирован-
ных решений, именуемых Honey-
pot, – предварительно имплемен-
тированных в корпоративную сеть
ресурсов или, проще говоря, лову-
шек (рабочие станции, серверы),
основной целью которых является
привлечение внимания атакующе-
го и получение данных о любом
его взаимодействии с данным
ресурсом.
www.itsec.ru
Однако зачастую решения
класса Honeypot не только успеш-
но определяются хакерами и бла-
гополучно обходятся стороной,
но и зачастую служат входной
точкой в корпоративную инфра-
структуру из-за некорректной
имплементации внутри корпора-
тивной сети.
Threat Deception подразумевает
более тщательный подход к раз-
работке сценариев обнаружения
целевых атак, нежели те, что пред-
лагают современные решения
класса Honeypot. Threat Deception
предусматривает не только раз-
вертывание ловушек на реальных
ресурсах (например, рабочих стан-
циях сотрудников или серверах)
защищаемой инфраструктуры
компании, но также размещение
данных ловушек таким образом,
чтобы хакер не смог определить,
какие ресурсы (рабочие станции,
файлы на рабочих станциях и сер-
верах и т.д.) являются ловушками,
а какие нет, на базе анализа, про-
водимого экспертом ИБ. Для этого С картой, демонстрирую-
в процессе имплементации реше- щей эволюцию таргетиро-
ния защищающаяся сторона долж- ванных атак на примере
на представлять потенциальные ранее обнаруженных, можно
точки присутствия злоумышлен- ознакомиться здесь:
ника в его инфраструктуре. https://apt.securelist.com.
Внутри ловушки повторяют Данная динамическая карта
основной набор бизнес-приложе- специально создана "Лабо-
ний и содержат специальные раторией Касперского" для
файлы-приманки, выдающие себя информирования о дей-
за документы word, pdf и т.д. В слу- ствующих кибергрупировках
чае открытия файла-приманки и позволяет узнать геогра-
происходит определение основных фию атак, количество
параметров машины, с которой жертв, способы распростра-
было произведено открытие доку- нения, цели, функции и мно-
мента, и автоматическая передача гое другое.
собранной информации в центр
Threat Deception. Таким образом,
инженер безопасности будет
информирован об инциденте,
в котором будет содержаться
основная информация о злоумыш-
леннике (IP-адрес, время, наиме-
нование ловушки).
Threat Deception является
дополнительным источником
в борьбе с таргетированной ата-
кой, позволяющий выявить слу-
чаи неправомерной активности
внутри ИТ-инфраструктуры ком-
пании.
На этом наш цикл статей
завершен, мы надеемся, что он
помог детальней погрузиться
в проблематику таргетированных
атак и способов ее профилакти-
ки. Хочется пожелать всем нам
как можно реже сталкиваться
с подобным злом и быть всегда
готовыми к отражению атаки! l
Ваше мнение и вопросы
присылайте по адресу
is@groteck.ru
• 23
krasavina 12/21/16 4:23 PM Page 24

СПЕЦПРОЕКТ

Advanced Persistent Threat –

расставляем точки над "i"
Евгения Красавина, руководитель направления защиты от целенаправленных
угроз, Positive Technologies

С
уществует огромное количество трактовок термина APT
(Advanced Persistent Threat). Как правило, эксперты одно-
значно сходятся лишь в слове Тhreat, именуя APT угрозой.
В остальном активно используются и часто звучат следующие
формулировки: “расширенные постоянные угрозы", “продви-
нутые устойчивые угрозы", "развитые комплексные угрозы",
“сложные", “изощренные", “долговременные", “целенаправ-
ленные", “таргетированные" и т.д. И в этом нет ничего уди-
вительного. Появившись более 10 лет назад, термин АРТ
наделал огромное количество шума. Пожалуй, это один из
немногих buzzword`ов (модных словечек) в ИБ, который не
только не теряет актуальности, но и проходит через итератив-
ное осмысление, обретая раз за разом новую жизнь. Более
того, по эволюции осмысления АРТ можно оценивать разви-
тие зрелости ИБ-отрасли в России и мире.

Зачастую эксперты ставят восходит годовой бюджет Характеристики и этапы

Для массовых АРТ харак-
терна высокая степень авто-
матизации. Зачастую при
реализации атак такого типа
существует жертва-посред-
ник, помогающая принять
атаке поистине массовые
масштабы. Это могут быть,
например, Web-сайты
средств массовой информа-
ции и медиа, порталы пра-
вительственных учрежде-
ний, банковские системы,
социальные сети и др.
знак равенства между целена-
правленными атаками (Targeted
Attack) и APT. С нашей точки
зрения, это не совсем коррект-
ное определение. Термин АРТ
определяет в первую очередь
характер, а не направленность
угрозы. При этом такая атака
вполне может быть и массовой,
направленной практически на
всех без разбора или же какую-
то отрасль. Но оставим точный
перевод для филологов: что
действительно важно понимать,
так это то, что АРТ – это не
просто угроза, это – угроза,
которая многие годы находится
среди нас. С учетом существую-
щей геополитической ситуации
можно смело утверждать, что
ТОП-100 банков, государствен-
ных, промышленных, оборон-
ных, телекоммуникационных
компаний условно можно раз-
делить на два типа: тех, кто
уже расследует АРТ в своей
инфраструктуре, и тех, кто пока
еще нет.
Как правило, массовая АРТ
направлена в первую очередь
на получение финансовой выго-
ды. Это атаки на клиентов бан-
ков и финансовые организации,
нацеленные на сбор персональ-
ных данных и их дальнейшую
монетизацию, и т.п. Но хуже
всего, когда злоумышленников
не очень интересуют деньги, и
их целью является информация,
технологии, а их бюджет пре-
маленького государства. И, к
сожалению, подобные исто-
рии – это не эпизоды фильма,
а реальность. Ярким примером
является Equation Group, часть
инструментария которых ока-
залась в публичном доступе
благодаря данным, опублико-
ванным хакерской группиров-
кой Shadow Brokers. Архив
содержал данные за 2014 г.
и включал в себя импланты
для сетевых устройств, экс-
плойты для уязвимостей и раз-
личные модули обеспечения
скрытого присутствия. Стои-
мость подобного арсенала
исчисляется миллионами дол-
ларов. А качество исполнения
зачастую соответствует уровню
промышленной разработки.
Или же APT RemSec, поразив-
ший в 2016 г. более 20 россий-
ских ведомств и государствен-
ных компаний и, по оценке ана-
литиков, имеющий явные связи
с Equation Group.
В принципе, к осознанию того,
кем и чем являются АРТ, инду-
стрия плотно подошла только в
последние годы. И сейчас экс-
перты начинают более или
менее синхронно говорить о
методах обнаружения, включая
аномалии, песочницы, индика-
торы компрометации, тактики,
техники и процедуры атакую-
щих, модно именуемые Kill Cha-
ins, или "убийственными цепоч-
ками".
атаки
В массовых АРТ большое
значение имеет широта охвата
и время раскрытия операции.
Классификация жертв и соот-
ветствие профилю атакуемых
происходит уже после взлома
системы. В подобного рода ата-
ках особое внимание уделяется
механизмам обеспечения живу-
чести, которые позволяют
успешно дирижировать орке-
стром даже при широкой
известности фактов заражения,
потере компаниями-жертвами
контроля над критичными систе-
мами или раскрытии протоко-
лов взаимодействия с команд-
ным центром. Для массовых
АРТ характерна высокая сте-
пень автоматизации. Зачастую
при реализации атак такого
типа существует жертва-
посредник, помогающая при-
нять атаке поистине массовые
масштабы. Это могут быть,
например, Web-сайты средств
массовой информации и медиа,
порталы правительственных
учреждений, банковские систе-
мы, социальные сети и др.
Таргетированные атаки в пер-
вую очередь характеризуются
тщательным этапом сбора
информации о жертве. То есть
классификация и соответствие
профилю атакуемых происходит
строго до момента атаки и
может включать в себя атаки
на партнеров или сотрудников

24 •
krasavina 12/21/16 4:23 PM Page 25
ТАРГЕТИРОВАННЫЕ АТАКИ
компании с целью получения
максимального количества све-
дений о жертве. Сбор инфор-
мации включает в себя работу
с OSINT, включая популярные
поисковики (Google, Yandex,
Yahoo), Domain Tools (Whois,
Lookup, Reputation) сервисы
Shodan и Virus Total, социальные
сети, публикации СМИ, данные
об опубликованных вакансиях,
пресс-релизы, референсы, дан-
ные о закупках, уже имеющиеся
сведения о ранее существовав-
ших утечках или инцидентах
ИБ.
Следующий этап – это под-
готовка инструментария.
В зависимости от уровня под-
готовки группировки инстру-
ментарий может быть поистине
уникальным и содержать
в себе эксплойты для ранее
неизвестных уязвимостей
(в том числе в системах ИБ),
модули обхода средств защи-
ты, механизмы работы в изо-
лированных сетях, уникальные
модули вывода информации
за периметр организации.
Подобные инструменты часто
остаются незамеченными по
пять и более лет!
После создания инструмен-
тария идут этапы доставки, экс-
плуатации, закрепления в
инфраструктуре и т.д. Все они
неоднократно описаны и с
незначительными вариациями
присутствуют во множестве ста-
тей.
Оценка противника
Представьте, что вы столк-
нулись с АРТ лицом к лицу.
Согласитесь, не самый при-
ятный факт. Тем более, стати-
стика Mandiant показывает, что
лишь 31% продвинутых атак
рано или поздно выявляет
сама организация, а 69% ста-
новятся нам известными бла-
годаря бдительным соседям и
сторонним организациям (а то
и вовсе из новостей в СМИ).
Так или иначе, мы обнаружили,
что наша сеть нам больше не
принадлежит. Что дальше?
Необходимо собрать максимум
информации о противнике,
составить его портрет и отве-
тить себе на несколько вопро-
сов:
l Кто цель: является ли атака
массовой или целенаправлен-
ной, кто еще является или
может являться жертвой, какой
принцип выбора жертв (страна
без разора, отрасль, группа
компаний, конкретная компа-
ния)?
l Как: каков канал проникно-
вения злоумышленника в артефакты злоумышленника,
инфраструктуру, какие следы
он оставил в системе, как орга-
низованы канал управления
и канал выхода за периметр
компании?
l Когда: когда началась атака,
был получен доступ к чувстви-
тельным данным, пользовались
привилегиями Х, каков подтвер-
жденный временной интервал
присутствия злоумышленника –
недели, месяцы, годы?
l Чем: следы какого инстру-
ментария присутствуют и чем
еще могли пользоваться зло-
умышленники?
l Кто: каковы уровень техни-
ческого оснащения, квалифи-
кации, стоимости реализации,
масштабируемости атаки, воз-
можная страна и потенциально
имеющиеся ресурсы?
l Что: что теперь доступно зло-
умышленнику: какие данные
получили, а что еще не ском-
прометировано?
l Зачем: мотивация атакую-
щего – что хотел, что получил,
что не успел получить?
Ответы на эти вопросы поз-
волят качественно классифи-
цировать атакующих и сфор-
мировать план устранения
последствий и минимизации
возникновения аналогичных
угроз в будущем. Однако на
практике поиск ответов на них
бывает достаточно затруднен.
Как показывает опыт, уровень
зрелости компании в вопросах
противодействия и расследова-
ния инцидентов, связанных с
АРТ, растет не пропорциональ-
но лучшим мировым практикам,
а пропорционально количеству
лично собранных грабель.
Сложности экспертизы
Как правило, техническая экс-
пертиза затруднена нескольки-
ми факторами. Во-первых, это
отсутствие или некорректные
настройки журналов событий:
пробелы централизованного
сбора и хранения, настройки
журналирования "по умолча-
нию" или низкая информатив-
ность самих событий (особенно
в кастомных ИТ- и бизнес-систе-
мах).
Во-вторых, недостаточное
обогащение и подтверждение
логов данными из сетевого тра-
фика: необходим контроль не
только за трафиком внешнего
периметра, но и за внутренней
сетью, метаданные которой поз-
воляют восстановить картину
на момент инцидента и получить
www.itsec.ru
ценные данные (в том числе и
которые могут быть уже уни-
чтожены или самоуничтожены
на рабочих станциях и серве-
рах).
В-третьих, отсутствие пра-
вильных инструментов для
определения сетевых и хосто-
вых аномалий, а также отсут-
ствие аналитики угроз и бумаж-
ный Threat Intelligence, который
на практике бывает часто не
применим ввиду отсутствия
точек глубокой интеграции
в инфраструктуру компании.
А еще не принято делиться
информацией об инцидентах и
информацией, да и принципы
Information Sharing и назначение
TLP смогут объяснить далеко
не многие эксперты.
Еще один вопрос: как часто
бизнес готов тратить ресурсы
компании на подготовку к отра- APT – это не вредонос-
жению, устранению послед- ное ПО, не уязвимости нуле-
ствий и/или расследованию вого дня и не эксплойты.
APT? Зачастую руководители Это – парадигма атаки,
думают, что "наша компания не которая характеризуется
интересна", "нам нечего пря- продвинутостью, разновек-
тать", "мы слишком маленькие", торностью, устойчивостью
"все, что имеет цену, не под- и скрытостью. Тем не менее,
ключено к Интернету", "наша вопреки устоявшейся ассо-
ГИС имеет кучу сертификатов" циации АРТ с вредоносным
и т.д. Безусловно, стоимость ПО на практике только
ущерба достаточно тяжело в 54% обследованных ском-
посчитать, и мы здесь не гово- прометированных хостов
рим о выводе из строя конкрет- присутствуют вредоносы.
ного сервиса, а речь идет об После проникновения в
информации – кибершпионаже вашу инфраструктуру АРТ
и краже данных. При подобного вам предстоит иметь дело
рода атаках оказывается ском- в первую очередь с челове-
прометированной вся инфра- ком. Человеком, имеющим
структура – и зачастую, чтобы опыт проведения аналогич-
излечиться полностью, необхо- ных операций, располагаю-
димо полное восстановление щим первоклассным инстру-
всех ИТ-систем. ментарием и знающим о вас
Таким образом, на одной куда больше, чем вы о нем.
чаше весов лежит стоимость
восстановления безопасного
функционирования систем
(начиная от заливки операцион-
ных систем и прошивок и до
замены аппаратных составляю-
щих в том случае, когда речь
идет о руткитах). На другой –
бдительность, предусмотритель-
ность и готовность защищать
свой бизнес от киберугроз.
Эффективность такого баланса
и окно потенциальных возмож-
ностей злоумышленника будут
напрямую зависеть от того,
насколько серьезно организа-
ция подойдет к той или иной
угрозе уже сейчас. l
Ваше мнение и вопросы
присылайте по адресу
is@groteck.ru
• 25
abashev 12/21/16 4:23 PM Page 26
СПЕЦПРОЕКТ
Активная защита как метод противодействия
продвинутым киберугрозам
Андрей Абашев, старший менеджер EY
Н
е секрет, что киберпреступники постоянно модифицируют
свои инструменты и совершенствуют используемые подходы
для повышения эффективности кибератак. Сегодня история
с APT (Advanced Persistent Threat) и целевыми атаками
является наиболее устрашающей для большинства компаний.
APT обычно приписы-
вают следующие харак-
теристики:
l за атакой стоит груп-
па высокопрофессио-
нальных программи-
стов;
l атака является растя-
нутой во времени;
l многоэтапность выпол-
нения атаки;
l используются сложные меха-
низмы противодействия сред-
ствам защиты;
l используются неизвестные
или малораспространенные
механизмы сокрытия присут-
ствия злоумышленника;
l возможно использование
неизвестных уязвимостей, для
которых нет доступных измене-
ний.
Сложность противодействия
подобным угрозам связана
именно c описанными выше
характеристиками. В таблице
приведены примеры того,
какие методы и подходы
используются злоумышленни-
ками при проведении атак при
обходе традиционных средств
защиты.
Рис. 1. Характеристики атак разных типов
26 •
Активная защита предусматривает своевременный анализ
угроз в совокупности с планированием и принятием мер
противодействия конкретным сценариям реализации подобных
угроз. Активная защита означает не отказ от традиционных
функций службы ИБ, а их совершенствование в рамках
существующей системы управления информационной
безопасностью
Эффективное Таким образом, для противо-
противодействие действия такому роду атак
Прежде чем ответить на дан- необходимы инструменты, поз-
ный вопрос, необходимо ввести воляющие выявить и, по воз-
еще один термин – Kill Chain. можности, остановить актив-
Если кратко – это цепочка дей- ность киберпреступника. Так
ствий, необходимых к выпол- как Kill Chain – это цепочка
нению киберпреступником для действий, то вмешательство на
достижения поставленной любом из этапов реализации
цели. APT способно остановить ход
Если поверхностно рассмотреть атаки (Break the Kill Chain).
жизненный цикл подобной атаки, Чем раньше произойдет раз-
то последовательность действий рыв цепочки, тем более про-
злоумышленника следующая: активным становится механизм
l сбор данных о цели кибера- защиты. Если используемые
таки; механизмы защиты способны
l начальная эксплуатация/зара- эффективно противодейство-
жение; вать на всех этапах реализации
l выполнение команд; целевой атаки – значит, система
l повышение привилегий; противодействия выстроена с
l вывод данных/вредоносные использованием концепции
действия. эшелонированной защиты.
Сама по себе активная защи-
та предусматривает своевре-
менный анализ угроз в сово-
купности с планированием
и принятием мер противодей-
ствия конкретным сценариям
реализации подобных угроз.
Активная защита означает не
отказ от традиционных функций
службы ИБ, а их совершенство-
вание в рамках существующей
системы управления информа-
ционной безопасностью.
Для эффективного построения
системы сотрудники службы ИБ
должны удостовериться в том,
что они имеют четкое представ-
ление о тех активах, которые
являются наиболее вероятными
целями потенциальной атаки.
На следующем этапе специа-
листы в области ИБ должны
получить представление о нор-
мальном состоянии сети. Опре-
IB_Monitor 12/21/16 4:24 PM Page 27
abashev 12/21/16 4:23 PM Page 28

СПЕЦПРОЕКТ

Таблица. Примеры методов и подходов, используемых злоумышленниками при
проведении атак при обходе традиционных средств защиты
Примеры традиционных
средства защиты
Контроль трафика
на пограничных маршрутизаторах
Пограничное межсетевое
экранирование и оценка
метаданных трафика
Межсетевой экран на рабочей
станции и оценка метаданных
локального трафика
Системы обнаружения
и предотвращения вторжений
Антивирусное обеспечение
на серверах и рабочих станциях
l аппаратное или программное
обеспечение, чаще всего
используемое злоумышленни-
Примеры используемых методов ками;
и подходов киберпреступниками l аппаратное или программное
Использование SSL, собственных алгоритмов шифрования, обеспечение, которое чаще
защищенных контейнеров/файлов, методов стеганографии всего подвергается атакам зло-
умышленников;
Использование для коммуникаций разрешенных l типичные диапазоны времени
протоколов (HTTP, SMTP, DNS и т.д.), скрытых каналов проведения атак.
связи В отношении каждого защи-
При начальной эксплуатации проводится изменение щаемого актива специалисты
по безопасности также опреде-
правил локального межсетевого экранирования ляют:
l аппаратное или программное
Использование стандартных/разрешенных протоколов, обеспечение, используемое для
использование кодирования и скрытых каналов связи доступа к чувствительным дан-
ным и бизнес-процессам;
Компиляция вредоносного ПО осуществляется
l версионность и график уста-
непосредственно перед атакой, проверка на популярных новки патчей для определенно-
антивирусах с последними обновлениями, использование го аппаратного и программного
обеспечения;
l сведения о предыдущих атаках;
методик противодействия отладке и декомпиляции;

Ежемесячная/ежеквартальная
оценка уязвимостей
Использование двухфакторной
аутентификации
l подробную информацию об
использование легитимного программного обеспечения
Атаки осуществляются не только на операционные учетных записях и уровнях
системы, но и на приложения. Используются неизвестные доступа к ресурсу.
уязвимости, а также методики, требующие взаимодействия Собранная информация под-
крепляется данными о текущих
с пользователями (социальная инженерия)
событиях в отрасли, в которой
Заражение происходит с правами аутентифицированного функционирует организация.
пользователя Указанные данные позволяют

деление и понимание базового

состояния важно для повыше-
ния эффективности службы
информационной безопасности,
так как активная защита пред-
полагает последующее его при-
менение для анализа аномаль-
ной активности, отклонений
от базового состояния
и поиска/идентификации зло-
умышленников. Ранее упоми-
налось, что действия киберпре-
ступников не попадают в кате-
горию общеизвестных, так как
методы и механизмы заражения
постоянно совершенствуются,
а в ходе атаки маскируются.
Тем не менее, при наличии
Рис. 2. Жизненный цикл целевой атаки
Суть анализа аномалий сводится к выявлению артефактов и
отклонений от базового состояния на определенных участках и
узлах сети, включая выявление отклонений в сетевом трафике.
При том, что организация может располагать масштабной и
эффективной системой средств мониторинга безопасности
сетевых сегментов и конечных устройств
модели нормального поведения определить, кто совершает
в сети существует возможность атаки на подобные организации
распознать подобную вредонос- и с какими целями. Бизнес-
ную активность. партнеры по отрасли – пре-
красный источник для получе-
Компоненты активной ния самой актуальной инфор-
защиты мации о последних тактиках,
Основу для ее реализации процедурах и инструментах,
закладывает киберразведка используемых злоумышленни-
(Cyber Threat Intelligence, CTI). ками.
Результаты этой аналитической Другими немаловажными
деятельности определяют кон- компонентами активной защиты
текст и направление остальной являются:
работы. Так, например, свое-
временно выполненный анализ Превентивное исследование
используемых киберпреступни- сети
ками подходов и инструментов, Превентивное исследование
сценариев их действий позво- сети является набором актив-
ляет превентивно разработать ностей, связанных как с иден-
свои сценарии действий на слу- тификацией различного рода
чай реальной атаки. уязвимостей, так и c отработ-
Помимо известных тактик, кой сценариев возможной
собирается и сопоставляется с атаки на информационные
моделью актуальных злоумыш- активы с анализом эффектив-
ленников такая информация, ности принятых мер противо-
как: действия. Данные активности
l диапазоны IP-адресов, с кото- помогают организации понять,
рых производятся атаки; насколько она в действитель-
l метаданные вредоносного ности уязвима перед конкрет-
ПО; ными нарушителями в случае

28 •
abashev 12/21/16 4:23 PM Page 29
ТАРГЕТИРОВАННЫЕ АТАКИ
реализации того или иного сце-
нария атаки. Как правило, дан-
ные активности более сложны,
нежели простое сканирование
на уязвимости. Данные актив-
ности могут включать прове-
дение ложных атак и модели-
рование действий злоумыш-
ленника. Так, например, в рам-
ках подобных мероприятий
может быть продолжительная
проверка имеющихся средств
мониторинга безопасности на
предмет возможности выявить
использование конкретного
примера вредоносного про-
граммного обеспечения в сети.
Анализ аномалий
Суть анализа аномалий сво-
дится к выявлению артефактов
и отклонений от базового
состояния на определенных
участках и узлах сети, включая
выявление отклонений в сете-
вом трафике. При том, что
организация может распола-
гать масштабной и эффектив-
ной системой средств монито-
ринга безопасности сетевых
сегментов и конечных
устройств, существует множе-
ство видов вредоносной дея-
тельности, которые не под-
даются обнаружению автома-
тизированными средствами,
однако легко определяются
при анализе аномалий в сете-
вой активности.
Способность к обнаружению
аномальной деятельности
является одним из ключевых
факторов успешной реализа-
ции программы активной
защиты. Аномальной счита-
ется любая активность, кото-
рая является странной, выхо-
дящей за определение "нор-
мальной" или не относящейся
к контексту, в котором она
обнаружена. Контекст вклю-
чает пользователя, осуществ-
ляющего активные действия,
время, в которое это происхо-
дит, частоту, с которой это
повторяется, и прочие пара-
метры. Кроме поиска анома-
лий в текущих потоках собы-
тий, специалистам ИБ следует
изучить исторические данные.
Момент начала осуществле-
ния вредоносных действий
всегда предшествует моменту
их выявления специалистами
по безопасности: значит,
чтобы удостовериться в том,
что несанкционированный
доступ еще не был осуществ-
лен, необходимо искать его
следы в данных за предыду-
щие периоды времени.
Рис. 3. Компоненты защиты
Ловушки и провокаци
Данные инструменты направ-
лены на создание условий, при
которых скрытый злоумышлен-
ник вынужден совершать дей-
ствия, которые приведут к его
обнаружению. Получив доступ
к сети с привилегированными
правами и установив стабиль-
ное присутствие, взломщик
вряд ли начнет совершать
явные вредоносные действия.
Преимущества активной
защиты
l Для команды специалистов
ИБ программа активной защиты
помогает разработать четкий
набор мероприятий по улучше-
нию системы безопасности на
основании полученных данных
о киберугрозах и анализа резуль-
татов мониторинга, а затем свя-
зать их с конкретными целями.
Так, команда специалистов раз-
рабатывает меры противодей-
ствия угрозам, выискивает скры-
тых нарушителей, получающих
доступ к сети, и точечно усили-
вает защиту на основании акту-
альных отчетов о поведении
реальных взломщиков.
l Для руководства преимуще-
ство активной защиты заклю-
чается в возможности распре-
делять ресурсы с использова-
нием более практичных инди-
каторов эффективности кибер-
безопасности. Вместо таких
показателей, как количество
примененных патчей или закры-
тых заявок, об эффективности
www.itsec.ru
деятельности можно судить,
например, по увеличению числа
выявленных и остановленных
целевых атак на организацию
или по сокращению времени,
требуемого для обнаружения и
устранения последствий про-
никновений.
Интеллектуальная собствен-
ность и данные, обрабатывае-
мые в ключевых бизнес-систе-
мах сегодняшних организаций,
характеризуются существенной
стоимостью в денежном выра- Способность к обнаруже-
жении. Поэтому руководители нию аномальной деятельно-
компаний ожидают, что прово- сти является одним из
димые в организации программы ключевых факторов успеш-
безопасности обеспечивают ной реализации программы
надежную защиту данных и спо- активной защиты. Аномаль-
собны предотвратить киберата- ной считается любая актив-
ки. Программа активной защиты ность, которая является
способна значительно повысить странной, выходящей за
эффективность мер по обес- определение "нормальной"
печению безопасности благода- или не относящейся к кон-
ря целенаправленному плани- тексту, в котором она обна-
рованию, четкой стратегии и сле- ружена.
дованию принципу противодей-
ствия нарушителям. Активная
защита помогает упорядочить
существующие в организации
операции по обеспечению без-
опасности, объединяя их в еди-
ное целое и тем самым способ-
ствуя снижению числа успешных
целевых атак, а также сокраще-
нию времени, которое взлом-
щики могут проводить в сети до
момента их устранения. l
Ваше мнение и вопросы
присылайте по адресу
is@groteck.ru
• 29
kremer 12/21/16 4:23 PM Page 30

СПЕЦПРОЕКТ

Как онлайн-риски переходят в офлайн

и почему киберзащиты недостаточно
Владимир Кремер, руководитель отдела страхования финансовых рисков AIG в России

Р
астущий уровень угрозы хакерских атак, как и рост частоты
утечки данных третьих лиц, при все большем проникновении
феномена Интернета вещей сегодня не являются ни для кого
секретом. Если разнообразие киберрисков с каждым годом
только увеличивается, то методы борьбы с этими угрозами
остаются более или менее однотипными – это попытка пред-
отвратить угрозу в онлайн-среде или же урегулирование
ситуации в офлайн-поле после того, как инцидент произошел.
При этом границы между онлайн-пространством и офлайн-
средой постепенно размываются.

Согласно данным венными сотрудниками компа- ности или взлома систем, а

опроса Cyberedge group
в 2016 г., по итогам про-
шлого года были взломаны
системы 76% опрошенных ком-
паний. В мае 2016 г. Hold Secu-
rity сообщил об утечке данных
более 272 млн пользователей
почтовых сервисов, из них было
взломано 57 млн почтовых ящи-
ков Mail.ru, 40 млн – Yahoo, а
также 24 млн ящиков Google.
Среди пострадавших пользова-
По данным международ- телей числились тысячи сотруд-
ной сети компаний Pricewa- ников крупных финансовых
terhouseCoopers, 91% миро- организаций и торговых ком-
вых компаний имеют корпо- паний.
ративную политику борьбы с Годом ранее Symantec обна-
киберугрозами. У 46% миро- ружила более 430 млн новых
вых компаний, принявших вредоносных программ, число
участие в исследовании, которых по отношению к пре-
совет директоров принимает дыдущему периоду выросло на
непосредственное участие в 36%. А количество Zero-day
формировании бюджета на уязвимостей, т.е. уязвимостей,
цели защиты от кибератак. о которых ранее не было
А сегмент страхования известно, и против которых (на
подобных рисков растет момент выявления) не суще-
ежегодно – в 2014 г. 45% ствует защитных механизмов,
мировых компаний приобре- увеличилось на 125%. Иными
ли продукты страхования от словами, новые угрозы, против
киберугроз, в 2015 г. дан- которых еще не существует
ный показатель составил механизмов борьбы, появляют-
51%, а в 2016 г. уже 56% ся каждую неделю.
компаний во всем мире
застраховали данные риски. Страхование киберрисков –
быстрорастущий
мировой тренд
Какими бы совершенными ни
были системы защиты, как
быстро бы они не развивались,
злоумышленники всегда будут
на шаг впереди. К тому же, при
анализе угроз утечки данных
компаний нельзя исключать
очень существенные офлайн-
факторы, такие как банальные
ошибки сотрудников, корпора-
тивный шпионаж и преднаме-
ренный "слив" данных собст-
ний. Поскольку предотвратить
успешную кибератаку или утеч-
ку данных крайне сложно,
а стоимость урегулирования
ущерба от успешной атаки
может достигать миллиардов
долларов США, наиболее
эффективным методом борьбы
против киберугроз является
страхование подобных рисков,
поскольку оно покрывает нане-
сенный в результате атаки
ущерб, а страховая компания
берет на себя урегулирование
ситуации.
Осознавая рост угрозы, в осо-
бенности с развитием Интерне-
та вещей, компании все больше
внимания уделяют серьезности
киберугроз. По данным между-
народной сети компаний Price-
waterhouseCoopers, 91% миро-
вых компаний имеют корпора-
тивную политику борьбы с кибе-
ругрозами. У 46% мировых ком-
паний, принявших участие в
исследовании, совет директо-
ров принимает непосредствен-
ное участие в формировании
бюджета на цели защиты от
кибератак. А сегмент страхова-
ния подобных рисков растет
ежегодно – в 2014 г. 45% миро-
вых компаний приобрели про-
дукты страхования от киберу-
гроз, в 2015 г. данный показа-
тель составил 51%, а в 2016 г.
уже 56% компаний во всем
мире застраховали данные
риски.
Как онлайн-риски
переходят в офлайн
Дискуссии о кибербезопас-
ности, как правило, сосредо-
точены на риске нанесения
ущерба репутации компании в
результате нарушения безопас-
также утечки данных третьих
лиц. Однако существует и дру-
гой, гораздо более серьезный
риск – риск реального физиче-
ского повреждения. В декабре
2014 г. хакеры получили доступ
к сети немецкого сталеплавиль-
ного завода. Им удалось нару-
шить функции управления так,
что доменную печь невозможно
было выключить. Данный инци-
дент привел к значительным
повреждениям объекта, подверг
опасности жизнь и здоровье
работников, а также ударил по
бюджету компании.
Этот тип атаки впервые попал
в заголовки в 2010 г., когда
червь Stuxnet, который, как
полагают многие, был разрабо-
тан США и Израилем, нарушил
работу иранских ядерных объ-
ектов. Оба примера подчерки-
вают опасности, которые хаке-
ры представляют для ключевых
объектов инфраструктуры и их
способность вызывать реаль-
ные повреждения.
Но 2014 г. и тем более 2010 г.
еще не были столь пронизаны
повсеместным явлением Интер-
нета вещей, как год нынешний
и каковыми будут последую-
щие. К тому же, развивающийся
феномен дополненной реаль-
ности также может таить в себе
риски, которые способны перей-
ти из киберсреды в реальный
мир. А поскольку промышлен-
ные системы становятся все
более сложными и взаимосвя-
занными, существует опасение
роста количества подобных
инцидентов. l
Ваше мнение и вопросы
присылайте по адресу
is@groteck.ru

30 •
IB_Jornal 12/21/16 4:24 PM Page 31

ПоДПиСКА нА ЖУрнАЛЫ:
ВО ВСЕХ ОТДЕЛЕНИЯХ ПОЧТЫ РОССИИ
изДАниЯ
оФиСнАЯ ПоДПиСКА:
По инФормАционной E-mail: monitor@groteck.ru
Тел.: (495) 647-0442, доб. 22-82
безоПАСноСти –
вСегДА нА рАбочем Информационное агентство
монитор
СтоЛе
ПОДПИСКА
dobrushskij 12/21/16 4:23 PM Page 32

ТЕХНОЛОГИИ

Технология больших данных

для защиты СУБД
Сергей Добрушский, менеджер по разработке системы защиты баз данных
“Гарда БД", МФИ Софт

Н
Необходимость защиты баз данных рано или поздно возни-
кает в любой компании. Для одних ради соблюдения требова-
ний регуляторов, для других – с целью решения внутренних
задач информационной безопасности. Каждая информацион-
ная система, банковская АБС, система управления складом
и остатками, включая документацию и номенклатуру изделий,
или же CRM-система, через которую проходит регистрация
всех сделок торговой компании, содержит конфиденциальную
информацию, обладающую высокой ценностью. Вопрос без-
опасности этих баз данных возникает по разным причинам
и сводится к снижению репутационных и финансовых рисков.

Причем если задачу l негативная – служба без- дефицита информации в виде

Многие компании отказы-
ваются от возможностей
записи всего трафика, так
как это приводит к удорожа-
нию систем информацион-
ной безопасности. Но совре-
менные технологии, активно
используемые в ряде суще-
ствующих решений по
информационной безопас-
ности, позволяют применять
для хранения больших объе-
мов информации обычные
жесткие диски и не требуют
дополнительного лицензиро-
вания.
удовлетворения отрас-
левых стандартов и требований
регуляторов можно попробовать
решить штатными (нативными)
средствами аудита доступа к
СУБД, то для решения задач
безопасности таких инструмен-
тов недостаточно.
Именно поэтому разработаны
автоматизированные системы
по защите баз данных и Web-
приложений, основной задачей
которых является непрерывный
аудит доступа к СУБД. То есть
системы, которые разбирают
протоколы доступа к СУБД и в
структурированном виде ото-
бражают их в своем интерфейсе
для дальнейшего анализа.
Черный ящик для службы
безопасности
Рассмотрим, как работают
подобные системы и каких
настроек они требуют, чтобы
решать задачи защиты баз дан-
ных.
Первый подход основан на руч-
ной настройке системы под задачи
компании. Как и во многих других
системах ИБ, основополагающим
термином в решениях класса DAM
(Database Activity Monitoring), а
именно так называются системы
защиты баз данных, являются
политики безопасности.
Они строятся на двух основ-
ных моделях взаимодействия:
l позитивная – когда служба
безопасности знает, как должны
работать сотрудники и какими
правами доступа к базам они
обладают;
опасности знает, каких дей-
ствий в процессе взаимодей-
ствия с базами данных быть не
должно.
Но возникает проблема:
использование стандартных
политик безопасности при боль-
ших объемах информации не
представляется возможным,
потому что служба безопасно-
сти не может с высокой точ-
ностью отнести все взаимодей-
ствия пользователей с БД ни к
позитивной, ни к негативной
модели.
В итоге в системе настраи-
ваются только базовые полити-
ки, как, например, доступ к дан-
ным VIP-клиентов банка или
использование учетных записей
СУБД, выделенных для серве-
ров приложений и других
системных учетных записей, в
личных целях. Как результат,
служба безопасности узнает об
инциденте, только когда он уже
произошел. Более того, в этом
случае нет никакой доказатель-
ной базы для проведения рас-
следования и последующего
учета инцидента в политиках
безопасности.
Еще хуже, если из-за нехват-
ки информации (непонимание
архитектуры защищаемых
систем и способов взаимодей-
ствия с ними) купленные систе-
мы попросту остаются стоять в
серверных стойках и "мигать
лампочками" без целевого при-
менения.
Стандартный подход пред-
полагает решение проблемы
сбора данных из разных источ-
ников для формирования поли-
тик безопасности. К источни-
кам относятся: сами пользова-
тели – кто именно, за что он
отвечает в компании, к каким
базам имеет доступ, а к каким
нет; базы данных и бизнес-
приложения, требующие защи-
ты, и ответственные за них
администраторы; внешние под-
рядчики, обслуживающие
системы.
Такой подход длительный и
трудоемкий, требует ежеднев-
ного контроля со стороны служ-
бы безопасности. Более того,
минусы настройки позитивно-
негативной модели политик без-
опасности в любом случае нику-
да не уйдут.
Необходимы более продви-
нутые инструменты – машинное
обучение, динамическое про-
филирование действий пользо-
вателей и возможность
выявлять отклонения от типич-
ной работы сотрудником в авто-
матическом режиме. Давайте
рассмотрим их подробнее.
Альтернативный
механизм защиты –
динамическое
профилирование
В последнее время многие
системы защиты баз данных
начали работать с динамиче-
ским профилированием. Алго-
ритм позволяет построить порт-
рет пользователя по взаимо-
действию с информацией. Это
делается, чтобы в автоматиче-

32 •
dobrushskij 12/21/16 4:23 PM Page 33
ТЕХНОЛОГИИ
Аномалия по количеству запросов к критичной для банка базе данных
ском режиме контролировать
отклонения от профилей, то
есть фиксировать нестандарт-
ное поведение и оповещать об
этом службу безопасности.
Главный плюс такого подхода
в том, что система насыщается
достаточным количеством
информации и строит полно-
ценные профили всех пользо-
вателей. Система обучается
автоматически и не требует руч-
ного вмешательства.
Несмотря на все плюсы,
важно понимать, что алгоритм
динамического профилирова-
ния не универсален и действует
по статистической модели,
а учитывать отклонения он
начинает только после периода
обучения.
Как правило, в компаниях,
где работают тысячи сотрудни-
ков, статистические профили
начинают функционировать
некорректно. Систему прихо-
дится переобучать. Бывают
ситуации, когда инсайдерские
действия происходят на этапе
обучения, вследствие чего все
последующие инсайды от кон-
кретного человека система
будет считать нормой.
Кроме того, профили строятся
на статистических данных и не
обладают возможностью кон-
тентного анализа, то есть рабо-
тают только с цифрами без кон-
текста.
Новые возможности
защиты на основе
технологий больших
данных
В практике российских раз-
работчиков появилось новое
комбинированное решение,
сочетающее в себе режим
выявления аномалий по стати-
стическим профилям с тоталь-
ной записью всех взаимодей-
ствий с базами данных. Систе-
мы безопасности, основанные
на таком принципе, собирают
информацию обо всех пользо-
вателях баз данных и Web-при-
ложений в автоматическом
режиме, не тратя времени на
обучение. Даже если инцидент
происходит сразу после внед-
рения, информация о нем уже
будет в архиве событий. Благо-
даря контентному анализу про-
филь пользователя в такой
системе строится не только по
статистической модели, но и по
доступу к определенным типам
данных.
Многие компании отказы-
ваются от возможностей записи
всего трафика, так как это при-
водит к удорожанию систем
информационной безопасности.
Но современные технологии,
активно используемые в ряде
существующих решений по
информационной безопасности,
позволяют применять для хра-
нения больших объемов инфор-
мации обычные жесткие диски
и не требуют дополнительного
лицензирования.
Все это экономит ресурсы на
ввод системы в эксплуатацию.
Комбинированное решение
перехватывает все данные
сразу, т.е. фиксирует все инци-
денты, хранит в себе доказа-
тельную базу для расследова-
ния с помощью ретроспектив-
ного анализа. Такая система
не просто способна выявлять
инциденты, как в динамическом
профилировании, но и является
инструментом расследования
ранее неизвестных инцидентов.
С усложнением информа-
ционных систем, расширением
возможностей передачи инфор-
мации и активным использова-
нием Web-приложений построе-
ние статистических профилей
и учет отклонений может быть
эффективен, но только в
небольших организациях. В
связи со слабой адаптацией к
изменениям неточность
построения профиля может
www.itsec.ru
вести к утечкам, о которых орга-
низация узнает постфактум.
В системах с комбинирован-
ным вариантом динамического
профилирования с возмож-
ностью записи всего трафика
снимаются статистические
ограничения, профили стано-
вятся более гибкими и пере-
страиваются в зависимости от
изменений в архитектуре баз
данных. Хранение архива собы-
тий не даст упустить инцидент,
даже если не настроены соот- Использование стандарт-
ветствующие политики безопас- ных политик безопасности
ности, и позволит получить при больших объемах
доказательную базу для рас- информации не представ-
следования за любой период ляется возможным, потому
времени. что служба безопасности не
может с высокой точностью
Практика расследования отнести все взаимодействия
инцидентов пользователей с БД ни к
с комбинированной позитивной, ни к негативной
системой защиты модели.
баз данных
Сотрудник устроился на рабо-
ту в банк и буквально с первой
недели работы начал выкачи-
вать из СУБД информацию о
высокодоходных клиентах:
суммы на счетах, паспортные
данные. Этим же он занимался
и на предыдущей работе,
сотрудничая с мошенниками.
Система защиты баз данных,
обладая возможностью сохра-
нять все запросы и ответы в
СУБД с помощью нескольких
real-time отчетов, вывела этого
сотрудника в топ по количеству
данных операций с клиентски-
ми базами, на что сразу же
обратил внимание сотрудник
отдела ИБ. При стандартном
динамическом профилирова-
нии инцидент был бы упущен,
так как еще не прошло доста-
точного времени обучения для
составления профиля сотруд-
ника (см. рисунок). l
Ваше мнение и вопросы
присылайте по адресу
is@groteck.ru
• 33
jet 12/21/16 4:23 PM Page 34

ТЕХНОЛОГИИ

Слагаемые защиты ДБО

Алексей Сизов, руководитель направления противодействия мошенничеству
Центра информационной безопасности компании “Инфосистемы Джет"

З
ащищенность ДБО сегодня складывается из множества поня-
тий: это и защита кода приложения от закладок или непро-
извольных ошибок программистов; и обеспечение надежности
идентификационной и аутентификационной политики доступа
к сервису, включая вопросы двухфакторной или адаптивной
аутентификации, биометрии; и построение банковских процес-
сов, устойчивых к действиям злоумышленников.

Как показывает прак- Социальная инженерия – клиентов", и сам пользователь

Синтетический
тест в одной
из ИТ-компаний
В дождливую и ветреную
погоду на адрес корпоратив-
ной почтовой рассылки
направляется письмо с
архивом и следующим текс-
том: "На машину во дворе
упало дерево. Просьба вла-
дельца подойти к машине".
Результат теста: 83% откры-
ли архив, из них 35% дей-
ствительно приехали в офис
на своем авто, а у 15%
машина была запаркована
на подземном паркинге.
тика, ключевой пробле-
мой использования сер-
висов ДБО является
уязвимость клиента.
Любая схема защиты напря-
мую связана с действиями или
знанием клиента. А значит,
какое бы средство защиты или
подтверждение операций мы
не предоставляли клиенту, оно
может быть скомпрометирова-
но как извне, так и самим
пользователем. Именно отно-
сительная легкость воздей-
ствия на клиента, его доверчи-
вость, неосведомленность,
халатность в обращении со
средствами ИБ позволяет зло-
умышленникам обходить
самые совершенные средства
защиты.
Использование мобильных
платформ только снижает
устойчивость продуктов и кана-
лов обслуживания к мошенни-
честву. Если, используя ПК
и мобильный телефон для про-
ведения операций (формаль-
но – это два независимых
канала), мы обеспечиваем
некоторую степень информа-
ционной безопасности, то
совмещая в одну точку и про-
грамму, и методы аутентифи-
кации, и подтверждение пла-
тежа – этот порог мы снижаем.
Кто-то решает эту проблему
снижением типов допустимых
операций, установкой лимитов
на такие платформы. Но боль-
шинство не различают с точки
зрения рисков классический
интернет-банкинг и мобиль-
ный. К сожалению, это приво-
дит к тому, что сегодня именно
в сегменте мобильных плат-
форм фиксируется наиболь-
ший рост атак.
опасное оружие в руках
злоумышленников
Рассматривать текущие про-
блемы ДБО неправильно только
относительно технологий, про-
блематика всего ДБО – единый
аспект, есть лишь нюансы реа-
лизации.
Есть простой пример синте-
тического теста в одной из ИТ-
компаний. В дождливую и вет-
реную погоду на адрес корпо-
ративной почтовой рассылки
направляется письмо с архивом
и следующим текстом: "На
машину во дворе упало дерево.
Просьба владельца подойти к
машине". Результат теста: 83%
открыли архив, из них 35% дей-
ствительно приехали в офис на
своем авто, а у 15% машина
была запаркована на подзем-
ном паркинге.
О чем нам говорит этот при-
мер? Ключевая проблема – это
ненадежность пароля или неза-
щищенность канала передачи
OTP (хотя эти аспекты
и являются значимыми). Зада-
ча поважнее – внедрение мето-
дик защиты от мошенничества,
которые были бы стойкими
к социальной инженерии. Доля
использования социальной
инженерии со стороны зло-
умышленников в схемах атак
на клиентов лишь растет.
И, с одной стороны, это свиде-
тельствует о повышении защи-
щенности технических аспек-
тов банковских сервисов, а с
другой – показывает простоту
и уязвимость именно клиент-
ской стороны. И если вчера
"социалка" использовалась
исключительно для получения
части данных клиента, а атака
проводилась в режиме "без
не способствовал совершению
неправомерной операции, то
сегодня фраз от клиентов
"А что же я наделал" становит-
ся все больше. Социальная
инженерия в современном
мире – это не только возмож-
ность провести одну нелеги-
тимную операцию, но и способ
получить полный доступ к счету
или платежному инструменту,
который сводит на нет многие
технические аспекты защиты
от злоумышленников.
Вина ли это только клиента?
Конечно, нет. Правда, отчасти…
Добрая половина таких случа-
ев – это уязвимость бизнес-
процессов банка, риски для
которого не были просчитаны
в достаточном объеме.
Можно ли предупредить
мошенничество?
С большой долей вероятности
можно ответить "да".
Известные банку схемы атак
уже десятилетиями детекти-
руются правилами, описываю-
щими подобные противоправ-
ные действия. Правила эти
заложены в системах антифро-
да. С развитием, а точнее, по
инициативе ряда "болеющих"
за безопасность специалистов
и сотрудников, эти методы пре-
образовались в сложные моде-
ли контроля поведения. Но оста-
ется неразрешимым вопрос –
как поступать в двух простых
случаях. Первый случай – опе-
ративное создание контроль-
ного механизма при обнару-
жении новой схемы. Второй –
выстраивание защиты от дей-
ствий злоумышленников, кото-
рые не входят в текущую
модель контроля.

34 •
jet 12/21/16 4:23 PM Page 35
ТЕХНОЛОГИИ
Сегодня для решения этих
задач применяются полноцен-
ные математические модели,
обладающие функциями обуче-
ния и контроля аномалий. Эти
функции являются именно меха-
низмами контроля неизвестного
(выявления аномалий) или
механизмами оперативного сни-
жения риска только что обна-
руженной схемы.
Применяемые алгоритмы
способны за короткое время
обучиться на новых фактах
(и не раз в сутки, как было при-
нято раньше, а за десятки минут
с момента фиксации мошенни-
чества). С другой стороны,
практически при любом рас-
следовании нового свершив-
шегося инцидента хищения
средств клиента можно впо-
следствии сказать: "А вот если
бы мы смотрели вот на эти
характеристики операций, то
факт мошенничества мог быть
обнаружен сразу". Предугадать,
куда заранее смотреть, очень
сложно и равносильно деталь-
нейшему аудиту информацион-
ных технологий, банковских
сервисов и особенностей рабо-
ты клиентов банка. Методы ана-
лиза аномалий частично
решают задачу обнаружения
нового инцидента, исходя из
оценки ранее неактуальных
признаков операций. На базе
действий клиентов и общей
картины платежной активности
строится модель нормального
поведения и выявляются откло-
нения. В большинстве случаев
при реализации мошенничества
эти методы фиксируют
"выброс" по части параметров
или их совокупности, исходя из
сформированной статистики.
Еще одним довольно инте-
ресным, но пока почти не
используемым методом являет-
ся подход анализа событий на
предмет соблюдения некоторо-
го эталонного процесса, исходя
из контроля последовательно-
сти действий клиентов, сотруд-
ников или всех вместе.
Приведем пример. Выпол-
няется стандартная операция
по привязке новой банковской
карты к счету клиента. При этом
в системе банка фиксируется
несколько просмотров карточки
клиента, остатков и истории
операций по карте со стороны
операциониста или сотрудника
call-центра. В таком случае
выдача карты становится уже
подозрительным событием.
Другими словами, в процессе
выпуска карты событие "про-
смотр остатков" влияет на уро-
вень риска конечной операции.
На самом деле этот простой
пример дает первое представ-
ление о возможности контроля
банковских операций не стати-
стическими механизмами,
а методами контроля допусти-
мых операций в рамках того
или иного банковского процес-
са: выпуска карт, смены пароля
и т.д. Статистика в данном слу-
чае может помочь построить
представление о сложившемся
банковском процессе (если он
давно существует). Но сформи-
ровать описание этого процесса
с позиции безопасности той или
иной последовательности дей-
ствий может только человек –
владелец процесса или лицо,
ответственное за обеспечение
защиты такого процесса. И если
подобное описание было дано,
то любое действие клиента или
сотрудника уже может быть про-
анализировано на предмет
"схожести" совершенных дей-
ствий относительно эталонных.
А величина схожести по группе
параметров может говорить об
уровне риска конечной после-
довательности действий.
Сегодня данная теория
успешно применяется нами в
областях контроля рисков
мошенничества и злоупотреб-
лений на промышленных пред-
приятиях, где процессы зача-
стую жестко формализованы и
регламентированы. Но при этом
и банковское сообщество дела-
ет заметные шаги, чтобы обес-
печить техническую базу для
осуществления подобного конт-
роля формирования методоло-
гической базы. Другими слова-
ми, все стремятся к формали-
зации процессов работы кли-
ентов и сотрудников с банков-
скими сервисами и системами.
Как ни удивительно, но схо-
жая технология применяется
и в современных методах
контроля защищенности для
мобильных приложений. Совре-
менные SDK способствуют ана-
лизу окружения исполнения
мобильного приложения: от
контроля прав на устройстве
(Jailbreak и иных настроек ОС)
до контроля исполняемых про-
цессов, их действий как в рам-
ках мобильного приложения,
так и вокруг. Еще полшага, и
подобные SDK будут реализо-
ваны на контроль действий
пользователя, последователь-
ности событий в ОС и устрой-
стве в целом, что и является
достаточно сильной контроль-
www.itsec.ru
ной функцией для защиты от
мошенничества.
***
За время подготовки данной
статьи ЦБ РФ выпустил "Обзор
финансовой стабильности", в
котором была озвучена пробле-
ма безопасности интернет-,
мобильного и прочих видов дис-
танционного банкинга. Начиная
с 2017 г., качество платежных
сервисов будет проверяться гос-
регуляторами с точки зрения
защищенности от киберугроз.
ЦБ РФ также планирует вводить
сертификацию дистанционных
сервисов "на соответствие тре-
бованиям информационной без-
опасности". Сейчас каждый банк
самостоятельно обеспечивает
безопасность клиентских опе-
раций на том уровне, который
может обеспечить. И, к сожале-
нию, этого недостаточно. По
статистике ЦБ, только в янва- Методы анализа анома-
ре–сентябре 2016 г. хакеры лий частично решают зада-
пытались совершить с помощью чу обнаружения нового
платежных сервисов 102,7 тыс. инцидента, исходя из оценки
несанкционированных операций ранее неактуальных призна-
со счетами физлиц, тогда как ков операций. На базе дей-
за аналогичный период 2015 г. ствий клиентов и общей
таких попыток было зафикси- картины платежной активно-
ровано всего 16 тыс. При этом сти строится модель нор-
ущерб частным клиентам от мального поведения
действий мошенников за три и выявляются отклонения.
квартала этого года составил В большинстве случаев при
около 1,25 млрд руб. реализации мошенничества
Скорее всего, требования по эти методы фиксируют
сертификации затронут не толь- "выброс" по части парамет-
ко новые, но и существующие ров или их совокупности,
системы, как минимум, они исходя из сформированной
также должны будут удовле- статистики.
творять новым условиям. При
этом очевидно, что сертифика-
ция даст чуть больше обосно-
ванности требованиям ИБ перед
бизнесом. Сейчас инициативы
по повышению защищенности
банковских сервисов наталки-
ваются на ультиматумы со сто-
роны бизнеса: "клиенту неудоб-
но", "можно потерять наиболее
активных". Требования регуля-
тора позволят определить ниж-
нюю границу защиты, ниже
которой опуститься у банка не
получится. Также следует отме-
тить то, что "сложности", скорее,
возникнут у небольших банков,
где на безопасности принято
экономить. Крупные игроки,
скорее всего, пройдут серти-
фикацию довольно безболез-
ненно. l
NM
АДРЕСА И ТЕЛЕФОНЫ
компании "ИНФОСИСТЕМЫ ДЖЕТ"
см. стр.48
• 35
Vorotnikov 12/21/16 4:23 PM Page 36
ТЕХНОЛОГИИ
Тет-а-тет с Интернетом
Архитектурно возможно
построить защиту удаленно-
го доступа и другими спосо-
бами. Если нам необходимо
защитить только HTTP-тра-
фик, идущий на определен-
ный портал, или данные от
другого определенного при-
ложения, то нам достаточно
осуществлять перехват на
более высоких уровнях
модели OSI.
36 •
Владимир Воротников, руководитель отдела интеграционных решений,
ООО “С-Терра СиЭсПи"
Фулл-тайм онлайн
Развитие техники в
последние десять-пятна-
дцать лет приучило нас
к тому, что мы всегда
"на связи" и всегда
и везде можем получить
доступ к информации.
Мы читаем почту по
дороге на работу, рецен-
зируем важный доку-
мент вечером дома,
отвечаем на срочное
сообщение из кафе за
обедом, продолжаем
работать с корпоратив-
ными ресурсами из
гостиницы, находясь в коман-
дировке.
При этом мы выходим на
связь не со стационарного ПК,
а с ноутбука, планшета или
смартфона. Да что там смарт-
фон, многие читают почту уже
с умных часов. Кроме того, уда-
ленная работа происходит из
самых разных мест, через раз-
ные каналы связи и провайде-
ров. Где-то есть ограничения
по скорости доступа, где-то
закрыты большинство портов,
где-то все данные проходят
через прокси-сервер. Во-пер-
вых, совершенно очевидно, что
при такой схеме нужна защита
передаваемых данных. Наде-
яться на безопасность непод-
контрольной вам инфраструк-
туры, настроенной, быть может,
не слишком квалифицирован-
ным администратором, катего-
рически нельзя. Во-вторых,
широкий спектр используемых
устройств и каналов связи
накладывает ограничение на
технологии, которые можно при-
менять.
Старый добрый IPsec
Так, например, технология
IPsec хорошо зарекомендова-
ла себя на рынке защиты кана-
лов связи. Она универсально
защищает любые приложения
на устройстве, не требуя их
модификации. Часто в состав
IPsec-продуктов входят и функ-
ции межсетевого экранирова-
ния, что повышает общий уро-
вень защищенности системы.
Однако работу через провай-
деров с сильно ограниченным
диапазоном открытых портов
и прокси-серверами нельзя
отнести к сильным сторонам
IPsec-технологии. Поскольку
IPsec-продукты могут защитить
весь трафик и работают на
сетевом уровне модели OSI,
чаще всего они требуют прав
администратора устройства и
зависят от платформы. Есть
ряд продуктов для защиты
канала, в которых такие про-
блемы решены, но иногда за
это приходится платить слож-
ностью в распространении и
эксплуатации.
Одним из важных преиму-
ществ IPsec является возмож-
ность защиты трафика от всех
приложений на устройстве по
всем сетевым протоколам при-
кладного и транспортного уров-
ней. Но всегда ли это нужно?
История из моего опыта.
Недавно я перешел на домаш-
нем ПК с Windows на Linux.
Примерно через две недели
я осознал, что вообще не ощу-
тил разницы по одной простой
причине: все две недели един-
ственным приложением, кото-
рым я пользовался, был Web-
браузер. Возможно, это
несколько частный случай,
однако общая тенденция тако-
ва: все больший и больший
процент времени пользователи
проводят именно в Web-брау-
зерах, протокол HTTP является
доминирующим в Интернете,
и его защита позволяет решить
очень широкий спектр задач.
В России TLS нет?
Если смотреть на западный
опыт, то хорошо видно, что рабо-
та в этом направлении идет
давно и плодотворно. Серьезные
Web-порталы, которые работают
по протоколу HTTP (не HTTPS),
можно пересчитать по пальцам,
и, вероятно, их скоро вообще не
останется. Все необходимые ком-
поненты для использования про-
токола TLS (или ранее – SSL)
уже встроены в современные
ОС, браузеры, Web-серверы.
Инфраструктура для работы по
HTTPS прошла долгий путь и сей-
час работает отлично и практи-
чески абсолютно прозрачно для
конечного пользователя.
Однако если вы хотите (или
вам необходимо в соответствии
с требованиями законодатель-
ства) защищать передаваемые
данные с использованием рос-
сийских сертифицированных
средств – все не так радужно.
И тому есть несколько объектив-
ных причин. Во-первых, распро-
странение сильной криптогра-
фии – регулируемая деятель-
ность, и этот вопрос требует
определенной юридической про-
работки, особенно в случае,
если продукт, содержащий крип-
тографию, может быть скачан и
использован за пределами РФ.
Во-вторых, для лидирующих
мировых ИT-компаний (Apple,
Google и др.) российский рынок
зачастую не настолько важен,
чтобы они легко шли на парт-
нерские отношения и вносили
изменения в свои флагманские
продукты. Да если они и решат-
ся на тесное партнерство – еще
непонятно, как к этому отнесутся
российские регуляторы.
Компаниям, производящим
отечественные средства защи-
ты, можно пойти по пути коопе-
рации с российскими произво-
дителями, такими, например, как
"Яндекс". Так или иначе, это не
решает всех проблем: нужно
обеспечить поддержку россий-
ских криптоалгоритмов на сер-
верной части, не все пользова-
тели готовы пользоваться
"Яндекс.Браузером", остается
проблема с необходимостью
установки дополнительного ПО
и, в целом, такое решение не
является универсальным.
All-Over_IP_2017_A4 12/21/16 4:24 PM Page 37

www.all-over-ip.ru

ИТ-ИНФРАСТРУКТУРА И СЕТИ
УПРАВЛЕНИЕ ИДЕНТИФИКАЦИЕЙ
УМНЫЙ ГОРОД. ИНТЕРНЕТ ВЕЩЕЙ
НЕЙРОННЫЕ СЕТИ
МАШИННОЕ ЗРЕНИЕ
ВИДЕОНАБЛЮДЕНИЕ
КОНТРОЛЬ ДОСТУПА

www.all-over-ip.ru

№ 4 (130)

The Next
Big Thing 10 22–23.11.2017

ТОЛЬКО БИЗНЕС –
НИЧЕГО ЛИШНЕГО
Генеральный спонсор:

www.all-over-ip.ru
Vorotnikov 12/21/16 4:23 PM Page 38
ТЕХНОЛОГИИ
Если смотреть на запад-
ный опыт использования
протокола TLS, то хорошо
видно, что работа в этом
направлении идет давно и
плодотворно.
Однако если вы хотите
защищать передаваемые
данные с использованием
российских сертифициро-
ванных средств – все не так
радужно. Во-первых, распро-
странение сильной крипто-
графии – регулируемая дея-
тельность, и этот вопрос тре-
бует определенной юридиче-
ской проработки, особенно в
случае, если продукт, содер-
жащий криптографию,
может быть скачан и исполь-
зован за пределами РФ. Во-
вторых, для лидирующих
мировых ИT-компаний рос-
сийский рынок зачастую не
настолько важен, чтобы они
легко шли на партнерские
отношения и вносили изме-
нения в свои флагманские
продукты. Да если они и
решатся на тесное парт-
нерство – еще непонятно,
как к этому отнесутся рос-
сийские регуляторы.
38 •
В сторону от мейнстрима
Стоит отметить, что исполь-
зование HTTPS (TLS, в частно-
сти) не является единственным
возможным решением пробле-
мы удаленного доступа к Web-
порталу. И тем более оно не
позволяет защитить передачу
данных для других протоколов
и приложений.
В то же время для корректной
работы IPsec-клиента требуется
доступ ко всем передаваемым
на устройстве данным (т.е.
доступ к 3 уровню модели OSI).
Чаще всего для получения тако-
го доступа требуется установка
специального драйвера в систе-
му. Это ведет сразу к ряду про-
блем: необходимость установки
в систему (зачастую для при-
менения параметров требуется
еще и перезагрузка), сложность
разработки для широкого спек-
тра операционных систем (кон-
кретная версия ОС имеет суще-
ственное значение). Понятно,
что при этих ограничениях слож-
но говорить о простоте распро-
странения и использования, а
также прозрачности работы
программного средства для
конечного пользователя.
Архитектурно возможно
построить защиту удаленного
доступа и другими способами.
Если нам необходимо защитить
только HTTP-трафик, идущий
на определенный портал, или
данные от другого определен-
ного приложения, то нам доста-
точно осуществлять перехват
на более высоких уровнях моде-
ли OSI.
Рассмотрим вариант, когда
программа для защиты данных
может открывать TCP-порт и
пассивно ожидать поступления
данных, подлежащих защите.
Открытие TCP-порта не требует
слишком больших привилегий
на устройстве. Кроме того, эта
операция является относитель-
но платформонезависимой. Это
значит, что такой программный
продукт не будет требовать
установки, административных
прав и будет работать на широ-
ком спектре аппаратных плат-
форм и семействах ОС.
Разумеется, за подобную про-
стоту приходится платить.
Необходимо обеспечить пере-
направление конфиденциаль-
ных данных в программу защи-
ты. Схема похожа на наличие
локального прокси, и в боль-
шинстве случаев это возможно.
Однако это справедливо не для
всех приложений. Важно также
проработать и вопрос первич-
ной доверенной доставки про-
граммного средства и защиты
от фишинга. Из других минусов
можно отметить, что продукт,
построенный по такой архитек-
туре, не сможет выполнять меж-
сетевое экранирование (впро-
чем, и от HTTPS этого тоже
никто не ждет).
Тем не менее, данная архи-
тектура имеет преимущества
перед TLS. Способность защи-
щать более широкий спектр
приложений и протоколов поз-
воляет, например, защитить
различные банковские прило-
жения или клиенты удаленного
присутствия (как rdesktop). А в
случае защиты Web-трафика
преимуществом является еще
и независимость от используе-
мого браузера. Кроме того, в
такую архитектуру отлично впи-
сывается предварительный ана-
лиз передаваемых данных
(например, антивирусными про-
дуктами или системами обна-
ружения вторжений).
Может защитить само
приложение, не трогая
ничего…
Еще одним вариантом защи-
ты данных при удаленной рабо-
те является встраивание меха-
низмов защиты непосредствен-
но в целевое приложение. Оче-
видным плюсом такого подхода
является прозрачность для
конечного пользователя. Напри-
мер, о том, что в мессенджер
встроен механизм шифрования
передаваемых данных, пользо-
ватель может даже и не дога-
дываться. Но и минусов у такого
подхода предостаточно. Если
защищать данные требуется
сертифицированным сред-
ством, то сертификация конеч-
ного приложения ставит крест
на его частых релизах. О еже-
недельном обновлении и улуч-
шении приложения можно
забыть, сертифицированная
версия будет выходить в луч-
шем случае раз в год. Кроме
того, команды разработчиков
специализированных продуктов
для обеспечения безопасности
зачастую обладают большей
экспертизой в области ИБ, чем
их коллеги, фокусирующиеся в
первую очередь на развитии
основной функциональности
пользовательского продукта.
…или же изменить вообще
всё?
Нельзя не упомянуть, что в
противовес многим рассмотрен-
ным выше вариантам удален-
ного доступа с минимальным
вмешательством в систему
существуют радикально отли-
чающиеся решения. Для случа-
ев, когда безопасность переда-
ваемых данных является без-
апелляционным приоритетом
номер один, существуют меха-
низмы создания доверенного
сеанса, когда пользователь
загружает на своем устройстве
специальную ОС с аппаратно-
защищенного носителя инфор-
мации. Это зачастую ограничи-
вает его в возможности выбора
используемых устройств и при-
кладных программ, но предо-
ставляет высочайший уровень
безопасности.
В целом – "хэппи",
но не совсем "энд"
Все рассмотренные варианты
организации защиты мульти-
платформенного удаленного
доступа имеют право на жизнь.
Все зависит от задач конкрет-
ного пользователя и его готов-
ности жертвовать некоторыми
удобствами в работе. Как и при
решении любой другой техни-
ческой задачи, важно соблюсти
баланс между требованиями
бизнеса по функциональности
и защищенности, с одной сто-
роны, и комфортом пользова-
теля – с другой. l
Ваше мнение и вопросы
присылайте по адресу
is@groteck.ru
smart 12/21/16 6:57 PM Page 39

ЗАЩИТА СЕТЕЙ www.itsec.ru

Банк России поднимает требования по борьбе с утечками

информации на уровень отраслевого стандарта
Сергей Вахонин, директор по решениям АО “Смарт Лайн Инк"

З
ащита информации в банковском бизнесе регулируется целым
рядом нормативных актов и надзорных органов. Наиболее
важными нормативами, регулирующими информационную
безопасность в российской банковской отрасли, являются
стандарты Банка России группы “Обеспечение
информационной безопасности организаций банковской
системы Российской Федерации".

Несмотря на то, что стандар- и каналов электронных (сете- дачи информации, а не

ты Банка России группы СТО
БР ИББС носят рекомендатель-
ный характер, де-факто многи-
ми действующими в России бан-
ками они рассматриваются как
обязательные. Некоторые
финансовые организации уже
реализовали соответствие тре-
бованиям стандартов, другие –
находятся в начале этого пути.
Весной 2016 г. Банк России
выпустил новый ключевой доку-
мент, также имеющий рекомен-
дательный характер, – "Обес-
печение информационной без-
опасности организаций банков-
ской системы Российской Феде-
рации. Предотвращение утечек
информации" (РС БР ИББС-2.9-
2016), где прямо указано, что
организациям банковской
системы РФ следует принимать
меры по обеспечению конфи-
денциальности обрабатываемой
информации. Наибольшими
возможностями для нанесения
ущерба, в том числе неумыш-
ленного, организации и ее кли-
ентам в части возможного нару-
шения конфиденциальности
обрабатываемой информации
обладают работники организа-
ции БС РФ и иные лица, обла-
дающие легальным доступом
к информации.
Рекомендации по
предотвращению утечек
Особая ценность рекоменда-
ций заключается в том, что,
помимо перечисления катего-
рий нарушителей и указания
потенциальных каналов утечки
информации, Банк России при-
водит также широкий перечень
действий, рекомендуемых для
обеспечения необходимого
и достаточного уровня пред-
отвращения утечек информа-
ции. В частности, организациям
рекомендуется обеспечить
мониторинг и контроль исполь-
зования различных сервисов
вых) коммуникаций, канала
печати, а также мониторинг,
контроль, блокирование копи-
рования информации на пере-
носные носители информации.
Особо отмечается, что режим
блокирования возможности
использования потенциальных
каналов утечки информации
или режим их непрерывного
мониторинга и контроля реко-
мендуется определять в зави-
симости от правил доступа для
различных категорий потенци-
альных внутренних нарушите-
лей. При этом применение
режима блокирования возмож-
ности использования потенци-
альных каналов утечки инфор-
мации не отменяет целесооб-
разность проведения службой
информационной безопасности
организации БС РФ регулярного
контроля, направленного на
корректность реализации про-
цессов мониторинга и контроля
потенциальных каналов утечки
информации.
Кроме того, рекомендации
указывают, что для большей
эффективности в решении
задачи предотвращения утечки
информации рекомендуется
реализация автоматизирован-
ного протоколирования и (или)
блокирования передачи
информации на основе кон-
тентного анализа передавае-
мой (переносимой) информа-
ции – в частности, при переда-
че информации на внешние
адреса электронной почты,
публикации в сети Интернет,
включая социальные сети и
форумы; при печати, сохране-
нии на переносные носители
информации и др. Что важно,
контентный анализ рекомен-
дуется использовать именно и
непосредственно для реализа-
ции процессов мониторинга,
контроля, блокирования
использования каналов пере-
только для анализа
архива электронных
сообщений и файлов.
Инструмент
предотвращения
утечек
Программный комплекс
DeviceLock DLP прежде всего
ориентирован на предотвраще-
ние утечек данных, связанных
с нарушениями со стороны
именно внутренних пользова-
телей корпоративных ИС, и
потому является необходимым
инструментом обеспечения
информационной безопасности
организаций, желающих
успешно реализовать требова-
ния и пройти аудит соответ-
ствия стандартам Банка Рос-
сии. DeviceLock DLP контроли-
рует перемещение (передачу)
данных через локальные порты
рабочей станции, съемные
носители и каналы сетевых
коммуникаций на основе гиб-
ких, персонализированных
политик с использованием тех-
нологий контентной фильтра-
ции. Каждый раз решение о
том, чтобы разрешить или
запретить доступ к устройству
или сетевому протоколу, чтобы
разрешить, запретить или сде-
лать теневую копию переда-
ваемого файла или документа,
принимается автоматически
в реальном времени на осно-
вании контекстных параметров
и при необходимости – анализа
содержимого перемещаемых
данных. l
NM
АДРЕСА И ТЕЛЕФОНЫ
АО "СМАРТ ЛАЙН ИНК"
см. стр. 48
Стандарт Банка России
СТО БР ИББС-1.0-2014
совершенно справедливо
обращает внимание на про-
блему инсайдеров. Некото-
рые банки пытаются
не замечать угрозы со сто-
роны внутренних нарушите-
лей, однако игнорирование
риска утечки персональных
и/или финансовых сведений
клиентов или злоупотребле-
ние ими могут привести
к многомиллионным потерям
и испорченной репутации.
Утечка информации
является одной из наиболее
актуальных угроз наруше-
ния информационной без-
опасности, которую могут
реализовать внутренние
нарушители ИБ.
Защитой информации
от утечек признается дея-
тельность, направленная на
предотвращение неконтро-
лируемого предоставления
или распространения
информации конфиденци-
ального характера.
* На правах рекламы

• 39
marshalko 12/21/16 4:23 PM Page 40

ТЕХНОЛОГИИ

Развитие средств криптографической защиты

информации в условиях современных киберугроз
Александр Бондаренко, эксперт технического комитета по стандартизации ТК 26
Григорий Маршалко, эксперт технического комитета по стандартизации ТК 26,
эксперт ISO/IEC JTC1/SC 27
Василий Шишкин, эксперт технического комитета по стандартизации ТК 26,
эксперт ISO/IEC JTC1/SC 27, к.ф.-м.н.

П
Повсеместное распространение информационно-телекоммуни-
кационных технологий привело к тому, что средства крипто-
графической защиты информации широко используются в
настоящее время не только государственными, военными и
финансовыми организациями, но в том или ином виде и
обычными пользователями. Это связано и с хранением лич-
ной информации (переписка, фотографии, документы и т.п.)
на имеющихся вычислительных средствах, зачастую подклю-
ченных к сети Интернет, или на общедоступных информа-
ционных ресурсах (облачные технологии и т.п.), общением
(сети сотовой связи, мессенджеры) и т.д.

В настоящее время торов атаки. Неадекватный нического комитета по стан-

сложно найти человека,
информация о котором
не фигурировала бы в
каких-либо государст-
венных или коммерче-
ских информационных
системах, например
информационных систе-
мах налоговых органов,
пенсионного фонда, бан-
ковских базах данных.
Однако, как показывает
практика, зачастую при
создании информацион-
ных ресурсов в первую
очередь прорабатывает-
ся вопрос всестороннего
функционального напол-
нения разрабатываемых
сервисов, а вопросы
реализации необходи-
мых мер защиты инфор-
мации оставляются без
должного внимания.
Вместе с тем, в
настоящий момент обес-
печение защиты инфор-
мации является сложной
и многогранной задачей,
которая требует ком-
плексного подхода к
своему решению.
В этой ситуации нару-
шитель обладает крайне
обширными возможностями по
формированию различных век-
выбор механизмов защиты
информации для использования
в разрабатываемых информа-
ционных системах и сервисах,
а также их неправильная реа-
лизация приводят к значитель-
ному числу потенциальных
уязвимостей в создаваемом
программном обеспечении.
Стоит заметить, что в Россий-
ской Федерации существуют
нормативные документы, в кото-
рых систематизирована инфор-
мация о различных угрозах при
использовании СКЗИ. Несмотря
на то, что эти документы носят
обязательный характер в доста-
точно узких ситуациях исполь-
зования СКЗИ, общая методо-
логия оценки угроз, представ-
ленная в них, может быть
использована для оценки без-
опасности произвольной систе-
мы защиты, использующей
криптографические механизмы.
В целом безопасность СКЗИ
определяется:
l используемыми в СКЗИ базо-
выми криптографическими
механизмами;
l алгоритмами и протоколами,
определяющими функциониро-
вание СКЗИ в целом;
l особенностями конкретной
реализации СКЗИ.
Разработанные в рамках Тех-
дартизации "Криптографиче-
ская защита информации" (ТК
26) базовые криптографические
механизмы (электронная под-
пись, функции хеширования,
блочные шифры и режимы их
работы) к настоящему моменту
прошли всесторонний анализ и
подтвердили свои высокие
криптографические свойства, о
чем мы рассказывали в преды-
дущих выпусках журнала. Осо-
бенностью действующей в
настоящее время системы
национальных криптографиче-
ских стандартов является
использование алгоритмов
только высокого уровня без-
опасности (256 бит или 128 бит
при использовании короткого
варианта электронной подписи)
и отсутствие алгоритмов с низ-
ким уровнем безопасности
(таких, например, как "экспорт-
ный" вариант RSA). Такой под-
ход делает принципиально
невозможным для протоколов,
использующих отечественные
криптографические механизмы,
проведение атак, связанных с
понижением уровня безопасно-
сти используемых в протоколах
алгоритмов (атаки Logjam,
FREAK, POODLE и др.).
Если говорить о криптографи-
ческих механизмах более высо-

1
Требования к средствам электронной подписи и требования к средствам удостоверяющего центра.
2
Состав и содержание организационных и технических мер по обеспечению безопасности
персональных данных при их обработке в информационных системах персональных данных с
использованием средств криптографической защиты информации, необходимых для выполнения
установленных Правительством Российской Федерации требований к защите персональных
данных для каждого из уровней защищенности.

40 •
marshalko 12/21/16 4:23 PM Page 41

КРИПТОГРАФИЯ www.itsec.ru

кого уровня, с помощью которых
фактически и реализуются непо-
средственно пользовательские
функции СКЗИ, то в рамках дея-
тельности ТК 26 к настоящему
моменту разработан ряд мето-
дических рекомендаций и тех-
нических спецификаций опре-
деляющих использование базо-
вых криптографических меха-
низмов в широко используемых
протоколах информационного
взаимодействия:
l парольная защита с исполь-
зованием алгоритмов ГОСТ
(дополнения к PKCS#5);
l транспортный ключевой кон-
тейнер (дополнения к PKCS#8
и PKCS#12);
l ключевой контейнер (допол-
нение к PKCS#15);
l использование криптографи-
ческих алгоритмов, сопутствую-
щих применению стандартов
ГОСТ Р 34.10–2012 и ГОСТ Р
34.11–2012;
l использование наборов алго-
ритмов шифрования на основе
ГОСТ 28147–89 для протокола
безопасности транспортного
уровня (TLS);
l использование алгоритмов
ГОСТ 28147–89, ГОСТ Р 34.11
и ГОСТ Р 34.10 в криптографи-
ческих сообщениях формата
CMS;
l протокол выработки общего
ключа с аутентификацией на
основе пароля и ряд других.
Следует отметить, что даже
использование криптографиче-
ски безопасных механизмов в
протоколах высокого уровня не
всегда приводит к ожидаемому
результату – построению без-
опасной системы. Так, напри-
мер, в опубликованной в конце
августа 2016 г. работе K. Бхар-
гавана и Г. Лерента показана
практическая возможность
атаки на HTTPS и OpenVPN при
использовании шифра с длиной
блока 64 бит (авторы рассмат-
ривают алгоритмы 3DES и Blow-
fish). Вместе с тем, при грамот-
ном построении СКЗИ эта уязви-
мость может быть легко устра-
нена. Так, например, опреде-
ляемый методическими реко-
мендациями ТК 26 механизм
CryptoPro Key Meshing позволяет
эффективно противодейство-
вать атакам подобного рода.
Но лидерами по количеству
потенциальных уязвимостей,
безусловно, являются конкрет-
ные реализации СКЗИ. Боль-
шинство угроз безопасности
являются следствием ошибок,
допущенных именно на этапе .
Даже не принимая во внима-
ние такие банальные ситуации,
как использование зависимого
от времени программного кода
или некорректная работа с
памятью, важно отметить, что
уязвимости могут порождаться
самим инструментарием разра-
ботчика. Например, использо-
вание при программировании
архитектурно-зависимых функ-
ций может приводить к тому,
что критические участки кода
исполняются на различных
архитектурах и различных опе-
рационных системах по разно-
му. Другой проблемой является
то, что современные компиля-
торы обладают широчайшими
возможностями по оптимизации
программного кода, что может
приводить к нарушению зало-
женной разработчиком логики
работы СКЗИ и разработанных
мер защиты.
Таким образом, разработка
СКЗИ в настоящее время – это
технологически сложный и нау-
коемкий процесс, существен-
ным образом зависящий от осо-
бенностей использования соз-
даваемого средства.
В большинстве случаев раз-
работчикам приходится проти-
водействовать не "чистому
криптоанализу", а атакам, суще-
ственным образом использую-
щим свойства конкретной тех-
нической реализации, ошибки
использования, методам соци-
альной инженерии.
В ближайшее время эта про-
блема будет иметь тенденцию
к ухудшению, связанную в том
числе с активным развитием
т.н. технологий Интернета
вещей. В этой области даже на
мировом уровне вопросы защи-
ты информации серьезно
отстают от общего развития
области. При этом массовое
внедрение устройств Интернета
вещей, передающих в том числе
конфиденциальную информа-
цию, зачастую может приводить
к ситуациям, когда нарушитель
имеет существенно большие
возможности по сравнению с
"классическим" случаем. l
С точки зрения разработ-
чика средств криптографи-
ческой защиты информации
(далее – СКЗИ) основным
источником угроз является,
в первую очередь, крайне
сложная иерархическая
структура современных
информационно-телекомму-
никационных систем.
Стоит заметить, что в
Российской Федерации
существуют нормативные
документы, в которых систе-
матизирована информация
о различных угрозах при
использовании СКЗИ.
Несмотря на то, что эти
документы носят обязатель-
ный характер в достаточно
узких ситуациях использова-
ния СКЗИ, общая методоло-
гия оценки угроз, представ-
ленная в них, может быть
использована для оценки
безопасности произвольной
системы защиты, исполь-
зующей криптографические
механизмы.

3
K. Bhargavan, G. Leurent, On the Practical (In-)Security of 64-bit Ваше мнение и вопросы
Block Ciphers, http://eprint.iacr.org/2016/798 присылайте по адресу
4
https://cryptocoding.net/index.php/Cryptography_Coding_Standard. is@groteck.ru

Хотите подписаться?
Заканчивается подписка?
Изменился адрес?
Заполните анкету на нашем интернет-сайте:

http://www.itsec.ru
Теперь, заполнив одну анкету, Вы можете стать подписчиком
журналов и тематических каталогов издательства «Гротек»
ПРИМЕЧАНИЯ:
1. Заполненная анкета дает право на бесплатную квалифицированную подписку на территории России.
2. Издательство оставляет за собой право присвоения квалификации подписчика на издания.
Анкета действительна при условии заполнения всех полей.

• 41
paley 12/21/16 4:23 PM Page 42

УПРАВЛЕНИЕ

Через тернии маркетинга

Лев Палей, начальник отдела защиты информации, ОАО “СО ЕЭС"

Н
едавно в “единое инновационное окно" нашей компании посту-
пило “уникальное" предложение, касающееся построения ком-
плексной системы информационной безопасности. В соответ-
ствии с анонсом, некая компания предлагала решить все зада-
чи информационной безопасности совершенно бесплатно в рам-
ках пилотирования одной системы. Понятно, что это сухая
выжимка тех общих дифирамбов, которые были приведены
в предложении. Там и контроль конфиденциальной информации,
и защита от утечек, и защита периметра, обнаружение таргети-
рованных атак и прочие общие словеса. Странно, но совершен-
но ничего не было сказано о защите АСУТП. Но это упущение
заполнил директор по продажам компании (далее директор),
значившийся в контактах “предложения".

Не то чтобы у меня действи- безусловно, построенный по представление, задумка может

тельно было много времени для
разбора подобных предложе-
ний, но уж слишком заманчиво
смотрелась перспектива все
бесплатно защитить в рамках
одной системы. "Заинтересо-
ванный", я позвонил контактно-
му лицу и спросил про возмож-
ности мифической системы.
А в ответ совершенно неожи-
данно для себя получил сум-
бурное описание некой само-
писной системы, объединяющей
Тренды – это полезный все на свете по непонятному
двигатель прогресса в принципу. А еще директор
информационной безопас- обмолвился, что самым важным
ности. И обращать внима- направлением своей работы
ние на них нужно. Но надо они [сотрудники компании]
понимать природу вызывае- видят защиту информационной
мого резонанса: это или безопасности (надо сказать, я
наличие интереса и предло- переспросил его на этот счет
жений, которые могут дан- раза три и получил утверди-
ный интерес удовлетворить, тельный ответ – формулировка
или грамотно смоделиро- верная). Пораженный до глуби-
ванное "вирусное" зараже- ны души, я полез в "Википедию",
ние специалистов ИБ одной "Луркоморье", стал звонить зна-
идеей. комым специалистам и колле-
гам, т.к., к моему удивлению,
термина "защита информацион-
ной безопасности" я пока нигде
не встречал. Впоследствии
я написал письмо, где запросил
еще одно письменное подтвер-
ждение на тему данного терми-
на, и коллега сослался на ого-
ворку.
Вся эта долгая преамбула о
том, что маркетинг решения,
Маркетинг решения, безусловно, построенный по
канонам, но немного безвкусно и без должной
проработки, не дал потенциальному заказчику (при
наличии контакта с продавцом) проникнуться идеей
продукта/компании. А все из-за того, что контактное
лицо не понимает, что и кому предлагает. Хотя, как
мне кажется, он заглянул немного вперед
канонам, но немного безвкусно
и без должной проработки, не
дал потенциальному заказчику
(при наличии контакта с про-
давцом) проникнуться идеей
продукта/компании. А все из-за
того, что контактное лицо не
понимает, что и кому предлага-
ет. Хотя, как мне кажется, он
заглянул немного вперед. Если
подобные "атаки предложения-
ми" будут массовыми, то услуга
по защите информационной
безопасности от них будет
очень востребованной.
Краткое описание
процесса выбора
Условно процесс выбора
решения со стороны заказчика
можно разделить на несколько
этапов:
1. Возникновение потребности.
Условный этап, но задающий
тон всему процессу, т.к. в его
основе стоят причины появления
тех или иных задач. Стартом
может быть инцидент в самой
компании или в компании из той
же отрасли, слухи, дошедшие
до главы компании или других
высоких руководителей, и на
последнем месте – подготовлен-
ные и согласованные планы по
развитию инфраструктуры (ИТ
или ИБ – роли не играет).
2. Определение постановки
задачи. На этом этапе потреб-
ность сформирована и требует
декомпозиции до отдельных
задач, с последующим описа-
нием эффекта их реализации.
Здесь большую роль играет
понимание таких задач на каж-
дом из уровней принятия реше-
ний, потому как первоначальное
вполне превратиться либо в
неуправляемого монстра, либо
в ненужный придаток. Допу-
стим, удалось избежать такого
развития событий.
3. Анализ рынка. Это как раз
про маркетинг. Чтение описа-
ний, сравнение отзывов, рефе-
ренсы, пилотирование – те
самые технические мероприя-
тия (организационного харак-
тера), которые часто уходят на
откуп именно техническим спе-
циалистам. Как раз они и высту-
пают тем "ситом сомнений",
которое позволяет отсеять
"шелуху" маркетинга.
И тут (в рамках процесса)
очень важно, на каком из этапов
выбора начинает присутство-
вать продавец (именно прода-
вец, а не технический консуль-
тант). Чем раньше, глубже и
детальнее проникает предста-
витель интегратора/вендора,
тем сильнее его влияние при
приоритизации заказчиком кри-
териев выбора, подходящего
для решения задач комплекса
мероприятий.
Критерии выбора
Тут как со звездами: как сой-
дутся, так и определится судьба
будущего проекта. Приоритизация
критериев выбора может быть
произведена всеми участниками
процесса и сильно зависит от
причин старта процесса. К чему
такое подробное описание? Это
понятные метрики, на которые
влияет продавец-маркетолог.
Как критерии рассматри-
ваются:
1. Функциональность реше-
ния. Стоит первым, но на самом

42 •
paley 12/21/16 4:23 PM Page 43
УПРАВЛЕНИЕ
деле первым не является, давно
прошли времена "освоения"
бюджетов, критериев добави-
лось, и ситуация на рынке изме-
нилась – все подросли (как
и следующий критерий).
2. Цена. Деньги. Бюджеты
меньше, цена выше. Теперь мы
решаем задачи, которые дей-
ствительно являются насущны-
ми для бизнеса. Поэтому выве-
дение эффективности в деньгах
– разумный итог, с учетом стои-
мости решения, конечно.
3. Страна-производитель.
Новый критерий, теперь идет
как повышающий приоритет для
выбираемого решения (а при
решении задач обеспечения
соответствия – как определяю-
щий).
4. Соответствие задачам. По
сути, насколько маркетинговый
анонс соответствует текущей
форме постановки задачи.
И, конечно, насколько набор
функций соответствует тем
задачам, которые стоят перед
заказчиком.
5. Надежность решения/каче-
ство. Последний в списке, но
не последний по значению. Вес
критерия также подрос с учетом
необходимости обеспечения
эффективности, рассматрива-
ется в комплекте с ценой.
Нюансы правят балом –
кто нам продает?
Итак, перед нами решения
разных компаний, каждая из
которых показывает, насколько
по одному или нескольким кри-
териям опережает остальных.
Понятно, что в последнее время
уже не звучит "выбрали лучшее
на рынке", а только скромное
"соответствует нашим потреб-
ностям", и это закономерное
развитие событий. Что же мы
выберем?
Давайте разберем для начала
сами компании и их отношение
к жизни1:
1. Компания "К". Крупная рос-
сийская, а возможно, и не только,
известная и с многолетней исто-
рией. Игрок, которому можно
верить. Но можно ли доверять?
На форумах и прочих "около-ИT-
сообществах" нареканий доста-
точно много, есть комментарии к
оказываемым услугам.
2. Компания "У". Американ-
ский игрок, зарекомендовавший
себя на рынке. В меру успешно
внедренный в нескольких стра-
нах (международник), но вот к
1
Любые совпадения с реальной жизнью случайны, при написании текста ни один продавец/вендор не
пострадал
пожеланиям в развитии продук-
та не прислушивается, россий-
ский рынок не приоритетный.
3. Компания "С". Опять Рос-
сия. Развивающийся новый
игрок, который готов вам все
предоставить бесплатно на пер-
вых порах. Будет работать по
вашим замечаниям и смотреть
на вас "влюбленными глазами"
(до того момента, пока не
появится заказчик помощнее).
Кого же выбрать? Все модели
жизнеспособны и будут востре-
бованы в зависимости от задач.
В кратком описании выделил
несколько плюсов и минусов,
которые как раз играют роль
при выборе решения и придают
маркетинговый окрас описанию,
как пример:
1. "К". Мы давно на рынке,
у нас много опыта и мы извест-
ны всем. Умеем работать
и доказали это. P.S.: Мы из
России ("для тех, кто в танке":
включены в список отечествен-
ного ПО). Если у вас есть пре-
тензии к качеству или сервису –
это не к нам;
2. "У". Мы надежны, внедрены
везде, учитываем мировые
практики, но не учите нас рабо-
тать. У нас тут локальное про-
изводство открывается...
вроде… или нет, а может, в сле-
дующем году.
3. "С". Мы готовы работать
для вас и на вас, стоим недоро-
го. Ура импортозамещению!
Иногда ошибаемся, бывает.
На мой взгляд, кроме общей
направленности и истории ком-
пании, стоит отметить идеоло-
гию, ведь именно она опреде-
ляет дальнейшее развитие про-
дуктов, экосистем и, соответ-
ственно, окажет влияние на про-
цесс эксплуатации выбранного
решения. Тут все согласно
известному квадратику: визио-
неры, практики, середнячки.
www.itsec.ru
А далее пускаемся в свободное
плавание: читаем описание про-
дуктов и ищем зерно истины.
Нюансы-2. Критерии выбора
Что нам продают?
Что нам говорят уважаемые l функциональность реше-
представители вендоров после ния;
информации о компании, l цена/деньги/бюджеты;
в зависимости от типа продви- l страна-производитель;
гаемого решения? По сути – l соответствие задачам;
это аргументы по соответствию l надежность решения/
известным (описанным ранее) качество.
критериям выбора. Причем
в большинстве случаев отно-
шение к критериям берется
усредненное, исходя из сферы
компании (к примеру, ТЭК или
финансовый сектор).
Такой подход вполне оправ-
дан, но многие двигаются по Основные
выбранному пути вслепую, не методы анализа.
снижая скорости, не обращая Сито сомнений
внимание на нюансы, характер- l референс-визит;
ные каждой компании. Как при- l поиск информации по
мер: всеобщий интерес к импор- околопродуктовым фору-
тозамещению действительно мам;
характерен для госзаказчиков l пилотирование с при-
или компаний с госучастием, влечением всех задейство-
однако для коммерческих бан- ванных подразделений;
ков, скорее, важна надежность l сравнение по метрикам
решения в привязке к решае- продуктовых линеек (цена,
мым задачам, если, конечно, связанность экосистемы);
цель не только соответствовать, l выбор решения не по
но и являться. Один и тот же функциональности, а исходя
критерий рассматривается из задач.
с двух, если не с трех сторон.
Во многом итог взаимодей-
ствия определяется отношени-
ем к задачам заказчика со сто-
роны вендора. Взгляд вендора:
1. Масштабирование систе-
мы. С точки зрения вендора
(и монетизации решения) этот
фактор является важным, пото-
му как говорит о гибкости архи-
тектуры решения.
2. Функциональность реше-
ния. Чем больше функций –
тем лучше. С точки зрения вен-
дора это показатель развития
решения и качества.
• 43
paley 12/21/16 4:23 PM Page 44
УПРАВЛЕНИЕ
3. Обновление ПО. Говорит
о предоставлении обновлений
в случае уязвимостей, актуаль-
ных угроз (косвенно намекает
о заинтересованности вендора
в линейке решений).
И, соответственно, восприя-
тия таких задач самим заказ-
чиком:
1. Вместо масштабирования
системы зачастую на первый
план выходит возможность
Тренды по ИБ быстрой установки/внедрения
l APT – целенаправленные решения. К тому же, не всегда
атаки. Существовали все- комплексность и интеграция –
гда, масштабируются про- единственно верный ответ.
порционально автоматиза- 2. Функциональность со сто-
ции. Подаются как "возник- роны заказчика играет вторую
шая" проблема. роль и важна только при соот-
l Утечки конфиденциаль- ветствии задачам. А излишняя
ной информации. Плаваю- функциональность обычно вле-
щий тренд, вспоминается чет за собой доплату и воспри-
периодически при возникно- нимается заказчиком как допол-
вении инцидента. нительная финансовая обуза.
l NGFW. История о том как 3. Обновление ПО и баз дан-
сделать комбо-решение ных обычно поставляется вкупе
отдельным направлением. с технической поддержкой, и тут
l ИБ АСУ ТП и КВО. Тренд со стороны заказчика отношение
на волне политэкономситуа- формируется в первую очередь
ции. в зависимости от качества пре-
доставляемых услуг (быстродей-
ствие и отзывчивость специали-
стов ТП, частота и необходимость
обновления ПО). Как таковой,
без очевидной полезности, – сер-
вис не интересен.
Про что рассказывают и
что есть на самом деле.
Как нам продают?
Недавно был приятный пилот,
завершившийся действительно
выявившимися недостатками со
стороны инфраструктуры, т.е.
тестируемый продукт показал
себя с лучшей стороны, постав-
ленные задачи были частично
решены. Неприятно поразил
отчет, предоставленный вендо-
ром, – зачем-то включили много
всяких статистических данных по
отработке всех компонентов
решения, не являющихся пока-
зательными для среды проведе-
ния пилота и в дополнение оття-
44 •
гивали оглашение цены за
устройство. Как итог – негативное
впечатление. Причем понимание,
что один из компонентов устрой-
ства работает действительно так,
как анонсируют, смазалось.
Любую кашу можно пересла-
стить, недосластить или подать
не вовремя, а дальше следует
эмоциональная привязка
к результату. Часто, как и в
преамбуле, впечатление от про-
дукта зависит во многом от
профессионализма продавца
и маркетинговых специалистов.
Недавно общался с одним из
продавцов, так он приводил ана-
логию про тележку для BMW X6.
Суть проста: очень сложно продать
стандартную тележку-прицеп для
машины элитной марки, не учи-
тывая контекст и потребности
обладателя. И даже если устрой-
ство правда будет ему полезно
и аналогов нет – именно об этом и
надо ему сказать, но также описать
тележку с другой стороны, пока-
зать, как это устройство сможет
стать презентабельным дополне-
нием к элитному автомобилю.
Задача непростая, но решаемая.
Про тренды
А еще периодически для про-
движения того или иного реше-
ния поднимается яркий инци-
дент информационной безопас-
ности и на его примере разби-
раются преимущества исполь-
зования рекламируемого реше-
ния. В зависимости от частоты
упоминания и твердокаменно-
сти аргументации – или вызы-
ваемого в ходе их озвучивания
резонанса – возникает тренд.
Сейчас на разных стадиях
жизненного цикла находятся
следующие тренды:
1. APT – целенаправленные
атаки. Существовали всегда,
масштабируются пропорцио-
нально автоматизации. Подают-
ся как "возникшая" проблема.
2. Утечки конфиденциальной
информации. Плавающий тренд,
вспоминается периодически при
возникновении инцидента.
3. NGFW – межсетевые экра-
ны нового поколения. История
о том, как сделать комбо-реше-
ние отдельным направлением.
4. Информационная безопас-
ность АСУ ТП и КВО. Тренд на
волне политическо-экономиче-
ской ситуации и общим интере-
сом к кибербезопасности.
Тренды – это полезный дви-
гатель прогресса в информа-
ционной безопасности. И обра-
щать внимание на них нужно.
Но надо понимать природу
вызываемого резонанса: это
или наличие интереса и пред-
ложений, которые могут данный
интерес удовлетворить, или гра-
мотно смоделированное "вирус-
ное" заражение специалистов
ИБ одной идеей.
Выводы.
Качество маркетинга как
движущая сила трендов
Качество маркетинга (и соот-
ветствие действительности)
свидетельствует о степени раз-
вития вендора и его отношения
к заказчику и зачастую играет
роль эмоционального якоря,
необходимого для продолжения
взаимодействия по другим
направлениям.
Подтверждается качество
маркетинга следующими пара-
метрами:
1. Профессионализмом про-
давцов. Измеряется знаниями
продукта и умением адаптиро-
вать образ продукта под задачи
заказчика.
2. Внимание к деталям
и понимание проблем заказчика
(а не бравирование примерами
решаемых другими заказчика-
ми задач).
3. Не правилом "Первой про-
дажи", а полного цикла каче-
ственной поддержки.
4. Умение признать минусы
продукта (превратить их
в плюсы) и конструктивно обсу-
дить возможности компенсации
данных минусов другими тех-
ническими и/или организацион-
ными решениями.
И, соответственно, если все
эти параметры сошлись воеди-
но, клиент доволен и рассказы-
вает об этом. А дальше – сара-
фанное радио и рождение трен-
да на фоне готовности заказ-
чика делиться своими пробле-
мами с вендором. Profit! l
Ваше мнение и вопросы
присылайте по адресу
is@groteck.ru
samatov 12/21/16 4:23 PM Page 45

УПРАВЛЕНИЕ www.itsec.ru

Как подготовиться к проверке регулятора

по персональным данным
(пошаговая инструкция)
Константин Саматов, начальник отдела по защите информации ТФОМС Свердловской области, член
АРСИБ (Ассоциация руководителей служб информационной безопасности), преподаватель
информационной безопасности УРТК им. А.С. Попова

то проверяют регуляторы по персональным данным? Как под-

Ч готовиться к проверке? Как пройти проверку с наименьшими

потерями? Такие вопросы возникают перед руководителями
службы безопасности (служб информационной безопасности),
когда они узнают о предстоящей проверке. В данной статье
речь пойдет о том, как самостоятельно успешно пройти провер-
ку регуляторов, не прибегая к помощи сторонних организаций.

Кто такие регуляторы на официальном сайте Генераль- l Провести ревизию

и что они проверяют?
Основных контрольно-над-
зорных органов, уполномочен-
ных проводить проверки в
части соблюдения законода-
тельства о персональных дан-
ных (т.н. "регуляторов"), три:
l Федеральная служба по над-
зору в сфере связи, информа-
ционных технологий и массовых
коммуникаций (Роскомандзор)
России;
l Федеральная служба по тех-
ническому и экспортному конт-
ролю (ФСТЭК) России;
l Федеральная служба без-
опасности (ФСБ) России.
Кто из них
что проверяет?
Роскомнадзор является упол-
номоченным органом по защите
прав субъектов персональных
данных, на него возлагается
обеспечение контроля и надзо-
ра за соответствием обработки
персональных данных требова-
ниям Федерального закона
"О персональных данных". По
сути – проверка организацион-
ных мер защиты персональных
данных.
ФСТЭК и ФСБ осуществляет
функции по контролю за соблю-
дением оператором государст-
венных информационных систем
организационных и технических
мер по защите персональных
данных (функции ФСБ ограниче-
ны порядком пользования
средств криптографической
защиты информации).
Как узнать, что вас
собираются проверять?
Планы проверок практически
всех организаций публикуются
ной прокуратуры РФ в начале
года. Здесь любая организация
по своему ИНН или ОГРН может
узнать о предстоящих в текущем
году проверках, их длительности
и периоде проведения (указыва-
ется только месяц). Также регу-
ляторы обязаны осуществлять
размещение планов своих конт-
рольно-надзорных мероприятий
на официальных сайтах.
Что делать, если вас
включили в план
(пошаговая инструкция)?
Шаг 1. Соберите информацию
Поинтересуйтесь у коллег,
посмотрите планы проверок за
прошедшие годы, подумайте, с
кем из тех, кто уже проходил
проверку, у вас есть возмож-
ность проконсультироваться.
Посетите семинары (конферен-
ции) с участием представителей
регуляторов.
Шаг 2. Проведите внутренний
аудит
Тут два момента: во-первых,
поймете, где вы сейчас. Во-
вторых, результаты внутреннего
аудита понадобятся вам для
предоставления регулятору.
На что смотреть в первую оче-
редь:
l Анализ уведомления в Рос-
комнадзор. Если проверяющий
орган Роскомнадзор, то уве-
домление желательно обновить
за 1–2 месяца до проверки
(если, конечно, позволяют
сроки).
l Проанализировать политику
в области обработки персональ-
ных данных. Сделать скриншот
с сайта, где она размещена.
сертификатов соответ-
ствия на средства защи-
ты информации: прове-
рить, чтобы они были
действующими и надле-
жащим образом заве-
ренными.
l Составить перечень имею-
щихся локальных нормативных
актов по защите информации
(инструкции, регламенты, при-
казы, распоряжения).
Шаг 3. Подготовка к проверке
Для всех регуляторов подго-
тавливаются следующие доку-
менты:
l Учредительные документы Основных контрольно-
юридического лица: выписка из надзорных органов, уполно-
ЕГРЮЛ, Устав (Положение), моченных проводить про-
приказ о назначении руководи- верки в части соблюдения
теля. Копия документа, удосто- законодательства о персо-
веряющего полномочия физи- нальных данных (т.н. "регу-
ческого лица, которое будет ляторов"), три:
представлять интересы юриди- l Федеральная служба по
ческого лица при проведении надзору в сфере связи,
проверки. Организационно- информационных техноло-
штатная структура юридическо- гий и массовых коммуника-
го лица (штатное расписание, ций (Роскомандзор) России;
положение), журнал учета про- l Федеральная служба по
верок юридического лица. техническому и экспортному
l Документы, в которых зафик- контролю (ФСТЭК) России;
сировано, какие категории пер- l Федеральная служба без-
сональных данных вы обраба- опасности (ФСБ) России.
тываете, например: "Политика
в области обеспечения безопас-
ности персональных данных",
"Положение о порядке органи-
зации и проведения работ по
обеспечению безопасности пер-
сональных данных".
l Перечень информационных
систем персональных данных.
Как правило, их несколько, так
как законодательство не допус-
кает объединение информа-
ционных систем персональных

• 45
samatov 12/21/16 4:23 PM Page 46
УПРАВЛЕНИЕ
Роскомнадзор является
уполномоченным органом
по защите прав субъектов
персональных данных, на
него возлагается обеспече-
ние контроля и надзора за
соответствием обработки
персональных данных тре-
бованиям Федерального
закона "О персональных
данных". По сути – проверка
организационных мер защи-
ты персональных данных.
ФСТЭК и ФСБ осуществ-
ляют функции по контролю
за соблюдением оператором
государственных информа-
ционных систем организа-
ционных и технических мер
по защите персональных
данных (функции ФСБ
ограничены порядком поль-
зования средств криптогра-
фической защиты информа-
ции).
46 •
данных, созданных в различных
целях. Например, информа-
ционные системы персональных
данных, обрабатывающие дан-
ные о клиентах и сведения о
сотрудниках, необходимо раз-
делять.
l Модели угроз, акты опреде-
ления уровня защищенности,
формуляры и сертификаты на
средства защиты информации.
l Документы о назначении
ответственного или структурно-
го подразделения, ответствен-
ного за обеспечение обработки
персональных данных.
l Перечень лиц, доступ которых
к персональным данным, обра-
батываемым в информацион-
ных системах, необходим для
выполнения ими служебных
(трудовых) обязанностей.
l Документы, регламентирую-
щие режимные мероприятия.
Например, "Инструкция по
режиму безопасности". Журнал
(реестр, книга), содержащий
персональные данные, необхо-
димые для однократного про-
пуска субъекта персональных
данных на территорию или в
иных аналогичных целях.
l Документ, устанавливающий
процедуры, направленные на
предотвращение и выявление
нарушений законодательства РФ,
устранение таких последствий:
"Инструкция по реагированию на
инциденты информационной без-
опасности", "Инструкции по внут-
реннему контролю (аудиту)", акты
внутренних проверок.
l Документы, подтверждающие
ознакомление сотрудников
с внутренними регламентами по
обеспечению безопасности пер-
сональных данных (листы озна-
комления). Также рекомендуется
сделать листы ознакомления
с Федеральным законом от
27.07.2006 № 152-ФЗ "О персо-
нальных данных", Постановле-
нием Правительства РФ от
15.09.2008 № 687 "Об утвержде-
нии Положения об особенностях
обработки персональных данных,
осуществляемой без использо-
вания средств автоматизации" и
иными подзаконными актами,
которыми вы руководствуетесь
при проведении мероприятий по
защите персональных данных.
Выше был представлен обоб-
щенный перечень документов,
необходимых для предоставле-
ния всем регуляторам.
Для Роскомнадзора
В случае проверки Роском-
надзором этот перечень необхо-
димо дополнить:
l Договоры, одной из сторон
которых является субъект пер-
сональных данных. Например,
трудовой договор: желательно,
чтобы в нем было согласие на
обработку персональных дан-
ных.
l Письменное согласие субъ-
ектов персональных данных, в
том числе работников, на обра-
ботку их персональных данных
(резюме, анкета, трудовой дого-
вор).
l Письменное согласие на
обработку биометрических и
(или) специальных персональ-
ных данных (если они обраба-
тываются).
l Наличие письменного согла-
сия на трансграничную переда-
чу данных (если передаются).
l Согласие субъекта на пере-
дачу его данных третьему лицу
(если оператор поручает обра-
ботку третьему лицу).
l Документы, устанавливаю-
щие порядок уничтожения и
обезличивания персональных
данных. Например, "Инструкция
по делопроизводству", "Инструк-
ция по конфиденциальному
делопроизводству".
l Типовые формы документов,
характер которых предполагает
включение в них персональных
данных (бланки согласий, блан-
ки трудовых договоров, анкеты
сотрудников, клиентов и т.п.).
l Документы, устанавливающие
места хранения материальных
носителей персональных данных
и порядок их хранения
("Инструкция по конфиденци-
альному делопроизводству" или
"Инструкция по режиму безопас-
ности в организации").
l Локальные документы, рег-
ламентирующие порядок и усло-
вия обработки персональных
данных работников, кандидатов
на замещение вакантных долж-
ностей, ведение кадрового
резерва (при наличии), а также
документы, подтверждающие
факт ознакомления работника
с локальными документами,
регламентирующими порядок и
условия обработки его персо-
нальных данных. Например,
"Положение о защите персо-
нальных данных сотрудников с
листами ознакомления".
Для ФСТЭКа
l Сведения о наличии лицензий
на осуществление работ по
защите информации.
l Приказ о постоянно действую-
щей технической комиссии по
защите информации.
l Сведения о сотрудниках под-
разделения (штатном специа-
листе) по защите информации:
приказ о назначении, штатная
и фактическая численность,
стаж в области защиты инфор-
мации, копии дипломов об
обучении, сведения о повыше-
нии квалификации, сведения о
согласовании кандидатуры
руководителя с Управлением
ФСТЭК России по региону.
l Сведения об аттестованных
объектах информатизации
(аттестат) и планируемых к атте-
стации.
l Сведения о проведении
инструментального контроля на
объектах информатизации.
l Сведения о наличии аппара-
туры контроля эффективности
мер по защите информации.
Для ФСБ
l Документы, определяющие
выбор криптосредства в соот-
ветствии с определенными
уровнями защищенности.
Например, модель нарушителя
(может быть совмещена с моде-
лью угроз), акт определения
уровня защищенности.
l Документы по поставке
средств криптографической
защиты (СКЗИ). Например,
договор купли-продажи со спе-
цификацией.
l Эксплуатационная докумен-
тация на криптосредства: фор-
муляры, руководства оператора,
сертификаты и т.п.
l Документы определяющие
порядок учета СКЗИ: акты уста-
новки СКЗИ, перечень поме-
щений с СКЗИ, журналы учета,
журналы передачи СКЗИ.
l Документы, подтверждающие
наличие функциональных обязан-
ностей ответственных пользова-
телей СКЗИ. Например, долж-
ностные инструкции сотрудников.
l Организация процесса обуче-
ния лиц, использующих СКЗИ,
правилам работы с ними и дру-
гим нормативным документам
по организации работ с исполь-
зованием СКЗИ: листы озна-
комления, копии свидетельств
о повышении квалификации
сотрудников, занятых на рабо-
тах с СКЗИ, листы проведенных
инструктажей, приказы (планы)
обучения сотрудников правилам
работы с СКЗИ и т.п.
l Инструкция по восстановле-
нию связи в случае компромета-
ции криптографических ключей.
Шаг 4. Непосредственно
участие в самой проверке
Если проверка документарная,
в адрес организации направляет-
samatov 12/21/16 4:23 PM Page 47

УПРАВЛЕНИЕ www.itsec.ru

ся приказ, в котором указывается
перечень документов, необходи-
мых для предоставления регуля-
тору и срок. В указанный в нем
срок вам необходимо предоста-
вить регулятору запрашиваемые
документы любым доступным
способом: либо направить по
почте, либо нарочно с отметкой
о получении. Регулятор примет
эти документы, проведет их ана-
лиз и по его результатам соста-
вит и направит (также либо поч-
той, либо нарочно) акт и, воз-
можно, предписание.
Выездная проверка (как пла-
новая, так и внеплановая) про-
водится по месту нахождения
юридического лица, месту осу-
ществления деятельности инди-
видуального предпринимателя
и (или) по месту фактического
осуществления их деятельно-
сти. Обычно за 10 дней или
месяц до начала проверки
направляется по факсу или при-
носится сотрудником контроль-
но-надзорного ведомства при-
каз о проведении проверки.
Затем за 1–2 дня обговарива-
ется время, когда комиссия при-
ходит в организацию.
Проверка начинается с озна-
комления руководителя органи-
зации с документами, удостове-
ряющими личности и принад-
лежность к государственному
органу членов комиссии, затем
вручается приказ о проведении
проверки с перечнем вопросов
и необходимых для предостав-
ления документов, обговарива-
ется срок их предоставления.
Когда документы подготовлены
и вручены проверяющим, комис-
сия приступает к их анализу.
Работа с документами в случае
выездной проверки может про-
ходить как на территории орга-
низации, так и на территории
самого регулятора (члены комис-
сии могут забрать их с собой).
По итогам проверки подготавли-
вается акт, который вручается
под роспись руководителю орга-
низации. К акту может быть при-
ложено предписание об устране-
нии выявленных нарушений.
Что делать, если проверка
внеплановая?
Внеплановая проверка про-
водится в форме документар-
ной проверки и (или) выездной
проверки.
О проведении внеплановой
выездной проверки юридиче-
ское лицо (индивидуальный
предприниматель) уведомляет-
ся органом государственного
контроля (надзора) не менее
чем за двадцать четыре часа
до начала ее проведения
любым доступным способом.
На практике при проведении
проверки по тематике персо-
нальных данных срок уведом-
ления больше (от 10 дней до
1 месяца).
К уведомлению, как правило,
прикрепляется приказ о прове-
дении проверки, перечень доку-
ментов, необходимых для пре-
доставления регулятору, уста-
Что делать, если
навливается срок. Во всем
вас включили
остальном порядок проведения
в план?
проверки и ее форма (докумен- l Шаг 1. Соберите инфор-
тарная либо выездная) схожи мацию.
с плановой. Иными словами, l Шаг 2. Проведите внут-
отличие заключается только ренний аудит.
в сроке и порядке уведомления l Шаг 3. Подготовка к про-
о контрольно-надзорном меро- верке.
приятии, а соответственно, l Шаг 4. Непосредственно
основной проблемой будет под- участие в самой проверке.
готовка недостающих докумен-
тов и отсутствие времени на
сбор необходимой информации
и консультации с экспертами,
имеющими опыт прохождения
подобных проверок.
При этом следует отметить,
что выполнение хотя бы части
вышеперечисленных требова-
ний существенно увеличивает
вероятность пройти все регла-
ментные процедуры без пред-
писания и (или) штрафа. l
Ваше мнение и вопросы
присылайте по адресу
is@groteck.ru

ГЛАВНОЕ СОБЫТИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В РОССИИ

Деловая программа
Информационная безопасность критически важных объектов
Защита от современных угроз и целенаправленных атак
Противодействие мошенничеству
Карты: Платежи. Идентификация. Мобильность
Информационная безопасность на предприятиях ритейла Сентябрь
Современные подходы к обеспечению ИБ в банковской сфере
Интернет вещей и информационная безопасность 2017
Импортозамещение на практике
Безопасность виртуальной среды
Экономическая безопасность

Прием заявок на участие открыт:

www.infosecurityrussia.ru
• 47
NEW_PROD 12/21/16 4:23 PM Page 48

НОВЫЕ ПРОДУКТЫ И УСЛУГИ

Приложение для динамической Межсетевой экран нового Подробная информация:

защиты конечных хостов FortiClient
Производитель: Fortinet
Сертификат: изделие подлежит сер-
тификации
Назначение:
l защита конечных хостов
l является комплексным решением,
которое расширяет возможности Forti-
Gate Unified Threat Management и обес-
печивает защиту конечных хостов сети
Особенности:
l улучшенная защита конечных хостов
за счет использования корпоративных
политик безопасности у удаленных
пользователей
l полная защита со встроенным конт-
ролем конечного хоста, использова-
нием политик и централизованным
управлением и мониторингом
l встроенные функции защиты в одном
приложении, что делает внедрение
решения низкозатратным
Возможности:
l продукт FortiClient Endpoint Security
предоставляет всестороннюю, дина-
мическую защиту для конечных хостов
l решение FortiClient предоставляет функ-
циональность для защиты настольных
ПК и мобильных компьютеров
l совместно с устройствами FortiGate,
FortiClient использует функции IPsec и
SSL-шифрования, WAN-оптимизацию,
соответствия конечных хостов поли-
тикам безопасности и двухфакторную
аутентификацию
Характеристики: обеспечивает SSL
и IPSec VPN, межсетевой экран, антиви-
рус и антишпионский сканер, сканер
уязвимостей, WAN-оптимизацию и другие
функции, интегрирован с FortiGate и For-
tiAnalyzer для централизованного управ-
ления и отчетности
Ориентировочная цена: бесплатное
решение
Время появления на российском
рынке: 2016 г.
Подробная информация:
http://www.fortinet.com/sites/default/files/
productdatasheets/FortiClient.pdf
Фирма, предоставившая инфор-
мацию: FORTINET
См. стр. 9
поколения FortiGate 6040Е
Производитель: Fortinet
Сертификат: изделие подлежит сер-
тификации
Назначение: для крупных распреде-
ленных сетей
Особенности: доступны 6 различных
наборов интерфейсов (10GbE, 40GbE,
100GbE) для соответствия требованиям
клиентов
Возможности:
l первый продукт в серии 6000, в кото-
рую впоследствии войдут другие
высокопроизводительные корпора-
тивные межсетевые экраны
l обладает беспрецедентной производи-
тельностью, поддерживает масштабиро-
вание и обеспечивает защиту высочай-
шего уровня, благодаря чему крупные
организации получают возможность задей-
ствовать функции безопасности без сни-
жения пропускной способности сети
l разработан специально для защиты
огромных потоков мобильного и
облачного трафика, проходящего
через сети крупнейших организаций
l новые специализированные процессо-
ры обработки трафика FortiASIC Content
Processor 9 поколения. Процессоры
CP9 повышают производительность
устройства при обработке трафика на
уровне L7, требующей большого объема
вычислений, например при выполнении
функций антивирусной защиты, работе
системы предотвращения вторжений
(IPS), анализе приложений, а также
при обработке SSL-трафика
Характеристики: пропускная спо-
собность МСЭ: до 320 Гбит/с; пропускная
способность NGFW – 80 Гбит/с
Время появления на российском
рынке: II квартал 2016 г.
https://www.fortinet.com/products-services/
products/firewall/fortigate-high-end-
firewall.html
Фирма, предоставившая инфор-
мацию: FORTINET
См. стр. 9
FortiSandbox 3000D
Производитель: Fortinet
Сертификат: изделие подлежит сер-
тификации
Назначение: решение по борьбе с
изощренными вредоносными програм-
мами и целенаправленными устойчи-
выми угрозами
Особенности: динамическая защита от
вредоносных программ на основе облачного
сервиса обновлений, эмуляция кода, полная
виртуальная среда, расширенная наблю-
даемость, обнаружение обратных сетевых
обращений, анализ вручную, дополнитель-
ный доступ к услугам FortiGuard
Возможности:
l функционирует вместе с межсетевыми
экранами Fortinet FortiGate (NGFW) и
шлюзом для защиты электронной
почты FortiMail, сочетая в одном устрой-
стве сервис двухуровневой песочницы,
динамический анализ угроз, приборный
интерфейс в реальном времени и под-
робную отчетность
l при использовании с FortiSandbox спо-
собны выявлять и проверять подозри-
тельные файлы, а затем устанавливать
обновленный уровень защиты на осно-
ве полного жизненного цикла угрозы
l большинство обнаружений происхо-
дит в течение трех или менее минут
Время появления на российском
рынке: 2016 г.
Подробная информация:
http://www.fortinet.com/press_releases/2014/
fortinet-earns-recommended-rating-
fortisandbox-nss-labs.html
Фирма, предоставившая инфор-
мацию: FORTINET
См. стр. 9

НЬЮС МЕЙКЕРЫ
ДИАЛОГНАУКА, АО Тел.: (495) 411-7601, 411-7603 СМАРТ ЛАЙН ИНК, АО СПЛАЙН-ЦЕНТР, ЗАО
117105 Москва, Факс: (495) 411-7602 107140 Москва, 105005 Москва,
ул. Нагатинская, 1 E-mail: info@jet.msk.su 1-й Красносельский пер., 3, ул. Бауманская, 5, стр. 1
Тел.: (495) 980-6776 www.jet.msk.su Тел.: (495) 580-2555
пом. 1, ком. 17
Факс: (495) 980-6775 См. ст. "Слагаемые защиты ДБО" E-mail: cons@debet.ru
E-mail: info@dialognauka.ru, Тел.: (495) 647-9937 www.debet.ru, сплайн.рф
на стр. 34, 35
marketing@dialognauka.ru Факс: (495) 647-9938 См. стр. 13
www.dialognauka.ru ЛАБОРАТОРИЯ КАСПЕРСКОГО E-mail: ru.sales@devicelock.com
См. стр. 21 125212 Москва, devicelock.com/ru FORTINET
Ленинградское ш., 39А, стр. 3, www.smartline.ru 121099 Москва,
ИНФОСИСТЕМЫ ДЖЕТ, БЦ "Олимпия Парк" Смоленская пл., 3, Регус, офис 610
См. ст. "Банк России поднимает
КОМПАНИЯ Тел.: (495) 797-8700 Тел/факс: (499) 955-2499
127015 Москва, Факс: (495) 797-8709 требования по борьбе с утечками E-mail: russia@fortinet.com
ул. Большая Новодмитровская, 14, www.kaspersky.ru информации на уровень отраслево- www.fortinet.com
стр. 1 См. 4-ю обл. го стандарта" на стр. 39 См. стр. 9

48 •
TB_Forum 12/21/16 4:24 PM Page Cov3
kaspersky 12/21/16 4:24 PM Page Cov4