Постановление Правительства об "ускорении" аттестации ГИСов [проект]

МинЦифра РФ выложила на regulation.gov проект Постановления Правительства с как обычно длинным наименованием "О некоторых вопросах...", приведя которое все равно смысл читается с трудом.

А вся суть данного НПА, пожалуй, вот в этой фразе: "...на выполнение установленных законодательством Российской Федерации требований о защите информации, содержащейся в государственных информационных системах, операторами которых они являются, включая проведение мероприятий по аттестации государственных информационных систем по требованиям защиты информации...". Очень похоже, что стандартный ответ госорганов на всевозможные приказы "купить что-то во исполнение того-то", в духе "денег нет, ну, вы поняли..." перестал устраивать отдельных чиновников и лиц, им сочувствующих. Обратите внимание на указание "Министерству финансов Российской Федерации...обеспечивать приоритетное выделение средств федерального бюджета на реализацию мероприятий по информатизации по обеспечению защиты информации, содержащейся в государственных информационных системах...". Подчеркну, что отдельно выделены работы по самой защите и отдельно - по аттестации. Видимо, чтобы никто не забыл про ее обязательность.

О тайных смыслах рассматриваемого документа можно только догадываться, но мы будем считать, что основная цель - это наведение порядка в ГИСах, защищенность которых оставляет желать лучшего и, например, утечки данных из которых происходят с завидной периодичностью.

Оставайтесь на светлой стороне.

Новый и довольно простой в использовании менеджер паролей passwork.me (внутри - купон на скидку 10%)

Тема огромного количество паролей от многочисленных сервисов и что со всем этим делать лично для меня всплывает периодически. Совершенно очевидно, что их количество будет только расти, именно поэтому мы так радуемся приятным мелочам вроде «вход по отпечатку пальца» на смартфонах. Но пока что похороны традиционной связки «логин-пароль» явно откладываются. Я, например, крайне скептичен в отношении быстрого взлета таких проектов, как ЕБС (биометрическая аутентификация клиентов для совершения банковских операций), которые, казалось бы, имеют неограниченные возможности для продвижения, но до сих пор о реальной массовости которых говорить не приходится.

Я в разное время пытался подступиться к различным парольным менеджерам, но ни один из них в итоге не остался в моем личном «портфеле продуктов». Это происходило по разным причинам, возможно, просто надо было «дожать» и чуть дольше тестировать. Сегодня поделюсь своим эксперсс-впечатлением от первого взгляда на сервис passwork.me. Насколько я понял, разрабатывает продукт интернациональная команда, в том числе русскоязычные ребята, но штаб-квартирой числится адрес Pasilankatu 2, 00240 Helsinki, Finland.

Первый вопрос, который встает, когда отдаешь кому-то чувствительные данные, это «А как вы их защищаете?». Ответ от passwork.me в трех тезисах: мастер-пароль не передается на сервер и уж тем более не хранится там, используется шифрование AES256 и RSA, сервера физически расположены в защищенном во всех планах надежном дата-центре.

Сам сервис доступен аж на 6 языков, набор которых не является классическим: русский, английский, немецкий, финский и шведский. Регистрация в нем максимальна привычна, кроме прочего нужно придумать мастер-пароль, который не восстанавливается, даже под дулом пистолета.

В довольно классическом web-интерфейсе можно создавать иерархию сохраненных учетных данных, группируя их по Сейфам, папкам внутри них, а также помечая цветовыми и текстовыми тегами.

В карточке каждой сохраненной «учетки» минимальный, но самый необходимый набор параметров. Из самого полезного – можно скопировать пароль в буфер обмена, не открывая его из под «звездочек», а также расшарить его двумя способами: отправить по почте или сгенерировать ссылку с одноразовым паролем. Удобно, если речь идет о доступе к одной общей учетной записи (например, админ-панели сайта). В последствии настройками доступа таких ссылок можно управлять или вовсе их удалить.

Из абсолютно обязательных удобств – доступность сервиса passwork.me в качестве расширений для популярных браузеров, что дает возможность залогиниться в 1 клик на нужном сайте.

Есть и мобильное приложение, которое крайне лаконично, но свою функцию – «подсветить» логин/пароль исправно выполняет.

Passwork.me предоставляет еще большое число дополнительных функций, таких как командное использование (с распределением по ролям), двухфакторная аутентификация (с помощью Google Authenticator), партнерская программа для получения доп. дохода. Интересной фишкой является встроенный анализатор безопасности паролей, позволяющий провести некий риск-скоринг.

Пару слов стоит сказать про стоимость и варианты поставок, которые предлагаются исходя из двух схем. Первая – облачная, параметры подписки выбираются сразу же на сайте, возможна помесячная оплата.

Вторая предполагает покупку софта и разворачивание его в инфраструктуре своей компании.

Резюме

Какие-либо далеко идущие выводы делать пока рано, по моим личным ощущениям сервис скорее будет востребован обычными пользователями, ведь стоимость стартует с 50р в месяц без каких-либо ограничений по функционалу. Недостаток разного рода «фишек» объясняется тем, что продукт молодой, ему, безусловно, есть куда расти. Хотя уже сейчас свои основные задачи он выполняет, кроме того, видится неплохой потенциал для дальнейшего развития.

P.s: Кстати, для осиливших дочитать до конца, делюсь приятными мелочами - купоном на скидку 10% покупателю сервиса:
euv9h26ihplycvge9044

Оставайтесь на светлой стороне.

Хорошая корреляция сразу двух «лучших практик» в ИБ (от CIS и от NIST)

Мы привыкли говорить, что в процессе построения системы (процесса) обеспечения информационной безопасности предприятия применяем так называемые «лучшие мировые практики». Соглашусь с коллегами, которые частично пишут в Facebook и блогах о том, что настоящий полезный контент лучше впитывать, изучая иностранные источники на английском по причине, банально, быстрейшего появления, да и переводы в итоге случаются далеко не всегда.

На днях CIS (Center for Internet Security - некоммерческая организация из США, разрабатывающая стандарты и инструменты в области информационной безопасности) выложил очень занятный маппинг своих CIS Controls свежей версии V7.1 на контроли от NIST (The National Institute of Standards and Technology – Национальное бюро стандартов США) – Cybersecurity Framework. Примечательно, что в отличие от официальных Приказов отечественных регуляторов, у CIS, как это всегда и было, максимально удобное представление: сразу в xls. ЗА 3 секунды сразу фильтруется по нужным параметрам (например, Asset Type), и сравнивается с аналогичным контролем из NIST CSF.

Уважаемые коллеги-интеграторы не дадут соврать, сколько кулуарных кастомных инструментов приходится писать самостоятельно, чтобы просто составить банальные чек-листы выполнения нашей нормативки. Не говоря уже о кросс-регуляторном анализе, когда нужно скрестить ужа с носорогом требования разных регуляторов под разные ветки законодательства.

Когда-то и мы доживем до понедельника светлых дней, когда подобного рода инструменты будут держаться не за семью печатями в недрах компаний-консультантов, но выкладываться аж самими регуляторами.

  

Оставайтесь на светлой стороне.