Любая система защиты, активно анализирующая поведение системы (антивирус, поведенческий анализатор, системы защиты от сетевых атак и т.д.) потребляют, и зачастую весьма активно, ресурсы защищаемой системы. Грубо говоря, защита подтормаживает работу приложений (и в случае неоптимальных настроек иногда весьма сильно). Естественно это не вызывает восторга и понятно стремление отказаться от такой защиты, заменив ее альтернативными мерами — ограничением прав, системой резервирования и т.д.

Нельзя объять необъятное. Поэтому поговорим исключительно о резервном копировании как альтернативе антивирусу.

Естественно, что крупные (и/или богатые компании) могут себе позволить многое, но в быту наиболее часто данные резервируются путем простого копирования по сети или на внешний носитель, синхронизации с хранилищем в облаке, использованием теневого копирования (что очень часто вообще преподносится как панацея) или путем использования NAS. Насколько это надежно в плане защиты от вирусов?

8-й Центр ФСБ выложил достаточно неожиданный документ. Документ описывает рекомендации в области разработки нормативно-правовых актов в области защиты ПДн. Но этим же документом рекомендуется пользоваться операторам ИСПДн при разработке частных моделей угроз.

Что же думает ФСБ о том, как и где нужно применять СКЗИ?

Наверно нет компании, к которой не было бы нареканий по работе технической поддержки. На Хабре достаточно много статей о том, как организовать работу этой важнейшей службы, оптимизировать обработку звонков и тикетов. Постоянно обсуждается, как сократить время реакции на обращение. А если посмотреть с другой стороны? Насколько пользователи, обращающиеся в техподдержку, способствуют тому, чтобы их проблему решили максимально быстро?

Даже если откинуть скажем несовместимость ПО, странные настройки и т.д… По вопросам, так или иначе, с шифровальщиками сталкивается до трети системных администраторов. Как вы думаете, какой процент пользователей сразу предоставляет всю необходимую для решения проблемы информацию? Или хотя бы готов конструктивно обсудить проблемы? Нередко до момента, когда дело доходит до конкретных рекомендаций, проходит 7-10 итераций! Диалог с клиентом идет, а шифровальщик в это время вполне может продолжать свою работу.

Все примеры для данной статьи взяты из реальных запросов. Орфография и пунктуация сохранены, мат и персональная информация убраны.

Майские праздники подарили нам не только весьма спорный проект Постановления Правительства от Роскомнадзора, но и документ, которого специалисты ждали очень давно. ФСТЭК России опубликовала на своем сайте проект документа «Методика определения угроз безопасности информации в ИС» и соответствующее ему информационное сообщение.

Документ после доработки и утверждения станет обязательным для исполнения государственными и муниципальными органами. Именно для них документ описывает методику определения угроз, актуальных для конкретной организации. Практика показывает, что в большинстве случаев изменения в документе не будут принципиальными, поэтому ознакомиться с ним нужно заранее. Теоретически для остальных организаций, включая и операторов ПДн, данная методика не является обязательной, но поскольку на практике альтернатив (которые к тому же нужно будет обосновывать Роскомнадзору) не будет, то использовать придется именно ее.

Послепраздничные дни мая ознаменовались выходом огромного количества новых документов. Пока, как правило, в виде проектов, но все же. Как ни странно, но видимо привыкшие ко всему жители Хабра не обратили на это внимания. А между прочим, зря.

За прошедший год интерес к вопросам защиты персональных данных существенно упал. Видимо, большинство компаний так или иначе оформили необходимые документы — с одной стороны. А с другой стороны, несмотря на большие ожидания, Роскомнадзор так и не развернул массовые проверки. Более того, не сумев решить проблемы с количеством экспертов, он сократил штат и зарплаты сотрудников.

Но вернемся к нормотворчеству. Если в прошлом году нас пугали ростом уровня штрафов, то в этом году Роскомнадзор решил зайти с иной стороны, разместив проект Постановления Правительства РФ «Об утверждении Положения о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации».

Думаю, большинство в курсе, что Роскомнадзор имеет так называемый Административный регламент, утвержденный Приказом Минкомсвязи России от 14.11.2011 N 312, в соответствии с которым, в частности, и должны проходить все проверки качества защиты персональных данных. На первый взгляд, проект Постановления Правительства очень напоминает этот регламент. Если бы не мелкие отличия.

Внимание! Публикация обсуждает элементы ужаса и мистики и не рекомендуется к чтению на ночь!

Финансовые учреждения на данный момент являются самыми зарегулированными с точки зрения безопасности. Наличие многочисленных приказов, писем и стандартов позволяет, казалось бы, ответить на любой вопрос в ходе разработки и реализации политики безопасности.

Но это только на первый взгляд, и на самом деле выполнение требований того же стандарта СТО БР РФ не обеспечит никакой антивирусной безопасности — разработчики стандарта находятся в плену традиционных представлений об антивирусах и антивирусной системе защиты. С другой стороны, наличие возможностей свободного толкования положений законов и стандартов позволяет недобросовестным поставщикам обосновывать свое «соответствие» букве требований.

На что же нужно обращать внимание при реализации антивирусной защиты в банковской сфере?

Как показывает практика, львиная доля вопросов и заблуждений связана с защитой банкоматов и терминалов. И вызываются они незнанием положений того же PCI-DSS. Поэтому и начнем мы обзор именно с них.

На Хабре, да и вообще в целом в Интернете, достаточно много статей, в которых авторы описывают свой опыт по созданию школьных сетей, организации системы предоставления услуг интернет-провайдера и т. д. Работу таких энтузиастов можно только приветствовать. Однако за рамками этих статей, как правило, остается юридическая сторона. Все предоставляемые услуги должны соответствовать действующим законам и указаниям регуляторов. Иначе рано или поздно грянет предписание по результатам проверки.

Наиболее проблемными для выполнения, как показывает статистика вопросов, оказываются требования Федерального закона № 436-ФЗ «О защите детей от информации, причиняющей вред их здоровью и развитию». О возможности реализации его требований (точнее о невозможности это сделать) и поговорим.

Данная статья была написана в связи с вопросами, заданными в ходе обсуждения публикации Интернет в российских школах: работа над ошибками.

Участие в различного рода мероприятиях приводит к грустному выводу: антивирус никому не интересен. Количество посетителей вендорских стендов стремится к нулю. Дошло до того, что уже не разбираются даже знаменитые подарки от Касперского. В основном подходят, чтобы сообщить о проблемах, вопросы «что нового?» и «а как?» отходят в область легенд…

И это на фоне того, что большинство (по моей статистике – примерно 19 из 20) администраторов даже не подозревает о том, что они не реализовали защиту от вредоносных программ – при полной уверенности в обратном. Пример? Да легко! Краткое содержимое статьи «CTB-Locker. Мы решили платить»:

1. Клиент поймал шифровальшика.
2. Антивирус плохой, поскольку пропустил его. Нужно сменить.
   

На самом деле это – типичная ситуация, с которой мы как вендоры сталкиваемся постоянно.

В комментариях, правда, указали, что все антивирусы пропускают. Естественно, развернулась дискуссия о методах защиты. Но что предлагали ее участники? За исключением одного (всего одного! — свой комментарий я не считаю, естественно) участника дискуссии – «Единственный способ борьбы с шифровальщиками — это бэкапы». Убиться и не встать.

Не буду повторять доказательства. Материалов в интернете много, из того, что находится в пределах Хабра, — серия статей «Как поймать то, чего нет». Здесь же опишем только тезисы – и да прочитают их те, кто уверен, что антивирус нужен для защиты от пропуска.

Как это ни грустно, и что бы мы ни думали о возможности неиспользования сертифицированных средств защиты, но ситуация практически полностью совпадает с известным подходом: «Вы не согласны с результатами проверки? Ваше право! А пока мы заблокируем ваши счета». Поэтому рано или поздно (а для государственных органов и компаний, которым требуется обеспечить защиту гостайны — всегда) приходится обращаться к вендорам за соответствующим ПО. И тут начинается самое интересное.

Как вы думаете, что у нас просят? Для тех, кто сталкивался, ответ загадкой не является: «Нам нужен сертифицированный продукт». Для тех, кто не в курсе, такой запрос фактически соответствует знаменитому анекдоту: «Петька, прибор! 45! Что 45? А что прибор?»

Но не будем жаловаться! Вашему вниманию предлагается список типичных граблей, на которые наступают заказчики, желающие использовать сертифицированные антивирусные средства.

За рамками предыдущей статьи, в которой мы рассматривали мифы в области защиты персональных данных ( habrahabr.ru/post/255595 ), остался интереснейший вопрос о необходимости использования сертифицированных продуктов. Традиционно, если компания хочет реализовать требования регуляторов, то она закупает (но не факт, что использует :-) ) сертифицированные продукты. Такова сложившаяся практика.

При этом большинство отлично понимает все проблемы, связанные с использованием таких продуктов — но покорно идет в общей массе. А что если заглянуть в законы и приказы и определить требования самостоятельно?

Многолетний труд регуляторов привел к появлению в нашей стране уже третьего поколения законов в этой области. Казалось бы, за долгие годы обсуждений в блогах и на конференциях все спорные моменты должны быть утрясены. Но нет. Практика показала, что (как минимум в нашей стране) компании интересуются защитой на бумаге. Возможно, именно поэтому больше обсуждаются вопросы, связанные с юридическими тонкостями, — что защищать, как получать согласие, где размещать сервера. А вот вопросы методики оценки угроз и выбора мер защиты не проработаны вовсе. Реализовать надежную систему защиты нереально в принципе.

Еще одна проблема — «не читал, но обсуждаю». Громадное количество запросов и комментариев делаются без прочтения документов, которые обсуждаются.

Не согласны? Два простых вопроса:

• Требуют ли законы и документы регуляторов в области персональных данных использования в качестве защиты антивируса?
• Можно ли использовать для защиты средства, имеющие зарубежные сертификаты?

Ответили? Давайте проверим ответы.

Достаточно часто, приходя к заказчикам, мне в той или иной форме приходится задавать вопрос: а зачем вам нужен антивирус? Как правило, на меня смотрят, как на идиота — это же всем известно! Но в большинстве случаев дальнейшая дискуссия показывает, что подавляющая часть заказчиков не знает ответа на детский вопрос. Если быть точным, за прошедший год правильно ответили всего в двух (двух!) компаниях. И кстати, по статистике, это беда не только России — ситуация за рубежом аналогична.

Данная часть не была изначально запланирована, но, видимо, насущно необходима. Ряд комментариев к предыдущим статьям показывают, что даже ИТ-специалисты не понимают разницы между понятиями «антивирус» и «антивирусная система защиты». Достаточно четко это проявляется в комментариях, когда вместо антивируса в форме вызова предлагают использовать иное ПО — как правило, системы ограничения прав, доступа и т. д.

Поэтому предлагаю вернуться к сказанному ранее. Давайте определим, есть ли у кого возражения против замены антивируса на альтернативные решения и отличается ли антивирус от антивирусной системы безопасности.

В прошлой статье было показано, что основной проблемой безопасности является то, что средства защиты (на примере антивирусов) пропускают наиболее опасные вредоносные файлы. И такое поведение является нормальным и ожидаемым. С другой стороны, имеются результаты многочисленных тестов, которые показывают вплоть до 100% обнаружения угроз (из последнего на Хабре можно заглянуть в публикацию «Как нас тестируют», особенно в комментарии).

О чем же умалчивают те, кто тестируют, и те, кто получают награды?

Часть первая была посвящена выбору определения для понятия «вредоносная программа» и, вполне логично, что статья привлекла мало внимания — ну в самом деле, кому какая разница, какого цвета крыса — главное, чтобы кошка исправно их душила.

Во второй части мы постараемся определить, чем же должен заниматься антивирус в локальной сети. Если кто-то еще думает, что антивирус должен ловить вирусы — просим под кат.

Поводом для написания данной статьи послужила статья «Сказки антивирусного леса». Честно сказать, сначала я хотел просто прокомментировать содержимое, но почитав комментарии решил, что лучше начать с азов, а разбор полетов убеждений оставить на закуску.

Для начала попробуем определиться, как точно называть, от чего мы должны защищаться. Почему это так важно — покажем на примерах ниже.