суббота, 28 апреля 2012 г.

Международная конференция «ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ: ПРАВО, ПРАКТИКА, НАДЗОР»

В конце мая, а именно 21-го, в Киеве планируется проведение конференции, посвященной вопросам защиты персональных данных. Мероприятие мне показалось интересным, поскольку  модерировать мероприятие будет заместитель председателя Государственной службы Украины по вопросам защиты персональных данных - Владимир Федорович Козак.
Это значит, что левых выступлений консультантов и интеграторов "как я понял закон и почему только у меня нужно купить услуги прямо сейчас" быть не должно. Кроме того, предполагается участие руководителей Группы уполномоченных органов по вопросам защиты персональных данных стран Центральной и Восточной Европы.
К сожалению, организаторы дали достаточно вялую рекламу мероприятию и о нем почти никто не услышал. Поэтому я решил немного его попирарить.
 
<реклама>

Мероприятие организовывают Национальная академия правовых наук Украины (Научно-исследовательский центр правовой информатики) и  Национальная академия наук Украины (Институт проблем регистрации информации).

В программе мероприятия:
  • тенденции совершенствования законодательства по вопросам защиты персональных данных
  • организация обработки персональных данных на предприятиях и в организациях
  • современные средства и технологии защиты персональных данных
  • надзор и проверки со стороны уполномоченных органов по вопросам защиты персональных данных
</реклама>

страница организаторов и регистрации


Участие бесплатное для не-консультантов. 

Не забудьте добавить мероприятие в календарь

вторник, 17 апреля 2012 г.

Спуффинг геолокационных данных на android

Спрос рождает предложение. В ответ на массовую истерию о тайном сборе гуглом и другими яблоками геолокационных данных (которые Европа приравняла к персональным), появился достойный ответ.
Для тех, кого не  покидает ощущение, что "Большой  Брат следит за тобой", пригодится приложение Location Spoofer. Приложение позволяет самостоятельно определять какое местонахождение показывать всяким сомнительным сервисам.


А платная версия (до этого я говорил о бесплатной) - еще и имитировать передвижение по конкретному маршруту.
К недостаткам можно отнести тот факт, что пока оно работает, GPSом и другими ГЛОНАССами пользоваться бессмысленно.

Чтобы не сложилось впечатления, что это приложение безальтернативное, вот еще пара штук с аналогичным функционалом:
Fake GPS Location
My Fake Location 

Приложение может быть использовано в достаточно широком спектре (включая, но не ограничиваясь):
  • Лечение паранойи 
  • Обман супруга/супруги/начальника/родителя/друзей/не друзей
  • Для мошеннических схем с использование кражи личности

Лог-бомбинг от www4.savegco-antivir.com

За последние несколько недель среди посетителей блога появился странный сайт www4.savegco-antivir.com. Поскольку я не занимаюсь продажами услуг и не сильно мониторю источники трафика, я лишь пожал плечами и забыл. Однако, в конце прошлой недели к мне обратился коллега по ремеслу с вопросом не встречал ли я чего-нибудь необычного в статистике блога. Как выяснилось, его блог тоже стал навещать сей загадочный посетитель, и знакомый заподозрил неладное.  
Немного погулив, я увидел, что загадочный сайт посещает все блоги подряд вне зависимости от тематики и языка.
По факту оказалось, что это новая волна реферер-бомбинга, известного также как лог-бомбинг, он же referer spam, он же Гоша, он же Гога, он же Жора.
Суть метода состоит в том, что спамер генерирует повторяющиеся запросы к сайту с использованием фальшивого referer url, ссылающегося на сайт, который спамер хочет раскрутить. Сайты, у которых журналы доступа  статистика посещений публичная (а таких много), предоставляют эту информацию для индексирования поисковик. Что приводит в повышению рейтинга раскручиваемого сайта.
Что делать если у вас в статистике признаки лог-бомбинга и вас это беспокоит:
  • Не нажимайте на сомнительные ссылки
  • Если есть возможность (например, ваш блог не на бесплатном движке от гугла), спрячте от поисковиков журналы посещения
  • Наберитесь терпения, гугл скоро это победит ;)

пятница, 13 апреля 2012 г.

7 болезней начинающего ИТ аудитора: часть 2

Завершая предыдущий пост,  расскажу сегодня о 7-й болезни - стереотипах.

Видишь суслика? И я не вижу. А он есть!
Проблема стереотипов очень распространенная и характерна не только начинающим внутренним ИТ аудиторам, но и опытным, и не только внутренним, и не только ИТ, и не только аудиторам...  Не вдаваясь в природу их возникновения, чтобы не перегружать пост занудством лишней информацией, скажу лишь, возникает у ИТ аудитора еще до начала тестирование некое чувство, что результат у него получится  "вот таким".
Причин, вызвавших такую уверенность, может быть несколько:
  • Прочтение умной книги/статьи/поста в блоге, в которой сказано, что в поголовном числе случаев при наличии признаков Х причиной выступает проблема У.
  • Парочка проведенных до этого аудитов на ту же тему с одинаковым результатом (в других компаниях). При этом признаком проблемы может выбираться совсем неожиданные вещи. Например "если используется 1C:Бухгалтерия -  существует проблема с управлением изменениями".
  • Автоматическое "натягивание" типичных для отрасли/размера компании/региона проблем на аналогичную по признакам компанию. Синдром проявляется при первом аудите и часто проходит сам. 
После того, как гипотеза о будущем результате созрела в голове аудитора, все аргументы в поддержку гипотезы рьяно документируются, а аргументы против - отметаются как не релевантные. Процесс очень напоминает эпизод из старого доброго фильма "Киндзадза". Прораб и скрипач в результате самоуверенного нажатия на кнопку непонятного прибора в руке, как они считали, малознакомого психа (в современном фильме это, скорее всего, был бы бомж), утверждавшего, что он - инопланетянин, оказались в неизвестной пустынной местности. Далее происходит диалог:  
— Солнце есть. Песок есть. Притяжение есть. Где мы? Мы на Земле. Или…
— Или?
— Нет, давай будем считать, что мы на Земле в какой-то пустыне.
— Каракумы! А? Какие у нас еще пустыни?
— Гоби, Сахара…
— Ну я же сказал, что у нас!
— Ну, у нас еще Кызылкумы.
— Нет! Давай будем считать, что это — Каракумы. Значит, так. Солнце на западе, значит Ашхабад — там! Понял? Пошли!
Используя такой подход, вероятность того, что выводы аудита правильны, равна вероятности найти Ашхабад на планете Плюк.

Лечение. Если гипотезы лезут в голову и поток нельзя удержать сознанием, нужно сесть, взять листок бумаги, и поведать ему все свои гипотезы. После этого запечатать его в конверт и съесть забыть до конца аудита. На интервью нужно приходить с "отрытым" мозгом и взвешивать каждый факт отдельно и не предвзято. При появлении в голове  любого необоснованного вывода, срочно вспоминать предыдущий прецедент и его последствия. Если нет своего - срочно расспросить коллег. Кто-то да поделится случаем из жизни.

понедельник, 9 апреля 2012 г.

7 болезней начинающего ИТ аудитора

Вместо вступления
Сразу оговорюсь, что речь пойдет о внутренних ИТ аудиторах. Внешние ИТ-аудиторы - это совсем другая история.

Пролог
Профессия ИТ-аудитора, не смотря на многолетнюю практику на западе, остается очень молодой  в Украине. Причин тому несколько:
  • "Зрелость" менеджмента отечественных компаний. Зачастую, руководители компаний воспринимают ИТ как вещь в себе и не видят прямой зависимости бизнеса от ИТ. С другой стороны, он считают, что руководитель ИТ  - это человек, который в ответе за все. И если что-то не работает в ИТ - нужно просто поменять руководителя ИТ на адекватного.
  • Отсутствие понимания сути и пользы ИТ аудита у руководителей функции внутреннего аудита и, как следствие, страх нежелание развивать сомнительное направление, за деятельность которого необходимо нести ответственность.
Появляются же в компании функции аудита ИТ по следующим причинам:
  • В компанию пришел западный капитал и акционеры требуют наличия такой функции
  • Появились законодательные требования (ситуация с украинскими банками и стандартом  СОУ Н НБУ)
  • Поменялось руководство компании на то, которое понимает необходимость аудита ИТ или текущее "дозрело". Или, как альтернатива, "дозрел" руководитель функции внутреннего аудита (например, получил CIA) и убедил руководство.  Случай крайне редкий, но в природе встречаемый.
Поскольку первые две причины преобладают, т.е. аудитор нужен, но тратиться на него много не хочется, компания либо назначает аудиторов из бывших администраторов, либо ищет готового специалиста на рынке.
В первом случае человек имеет достаточно неплохое понимание ИТ процессов, но серьезные пробелы в аудиторской методологии.
Во втором случае, это, как правило, специалист уровня ассистента аудитора ИТ из консалтинговой компании. Т.е. "руки" - человек, который имеет практический опыт выполнения аудита руками. Но "голова" - старший аудитор, либо менеджер, который строил программы аудита и проверял существенность и корректность выводов, в комплект не входит. И мы снова упираемся в пробелы в аудиторской методологии.
В обоих случаях, новоиспеченные ИТ аудиторы начинают выполнять проверки, определяя  по собственному разумению, что должно проверяться, в каком объеме и что по выявленному можно порекомендовать. Реакция на отчеты со стороны заинтересованных сторон достаточно однообразная -  ярость и обвинения в некомпетентности со стороны ИТ и ИБ и недоуменное пожимание плечами со стороны бизнес-руководства. Ниже приведены типичные "болезни" начинающих ИТ аудиторов с указанием симптомов и курсом лечения.


От забора до обеда
Первая распространенная болезнь начинающих ИТ аудиторов - отсутствие понимания что именно проверять и в каком объеме.  Но аудитор преисполнен энтузиазма: "я сейчас вас всех научу, как должно работать ИТ". Берется Cobit и начинается тотальная проверка всех 34 процессов. Через какое-то время приходит понимание, что до конца Cobit еще очень долго, времени потрачено уйма, а до основных процессов ИТ руки еще и не добрались.

Лечение. Лечить данную проблему нужно оценкой рисков. Принцип Паретто действует и в ИТ - 20% недостатков создает 80% проблем. Вот на них и нужно сосредоточится.  Ну и не мешало бы почитать что-то по определению объема проверки для аудита ИТ :).
Например, если мы решили делать аудит по Cobit, то IT Assurance Guide: Using Cobit к прочтению крайне желателен. Он не только раскроет подходы по планированию, но и выступит хорошим справочником что в каком процессе смотреть.
Если мы делаем аудит впервые и не знаем куда лучше бить посмотреть в ИТ, можно немого почитать перед сном ИТ макулатуры документацию:
  • Стратегия ИТ - Вау! Она есть? Смотрим на сколько она соответствует стратегии компании, как измеряется достижение целей и т.д. Если ее нет - не нужно расстраиваться. Ваша компания всего-навсего попадает в те 70% компаний, у которых нет ИТ стратегии.
  • Отчеты процессов управления инцидентами и управления проблемами. Если просмотр вторых не представляется возможным по причине отсутствия таковых - можно попробовать проанализировать тренды по инцидентам самостоятельно. Главное не забывать, для чего нам это нужно и вовремя остановиться.
  • План IT проектов - для определения ключевых проектов и связанных рисков
  • Бюджеты ИТ и анализ план/ факт - определение самых прожорливых статей
  • Результаты оценки ИТ-рисков - ситуация такая же, как с ИТ- стратегией: есть - хорошо, нет - нет. Если есть смотрим адекватность и выявляем наиболее рисковые зоны.
  • Результаты внешних ИТ-аудитов.  Опять же, если такие были. Если были аудиты финансовой отчетности, тоже можно посмотреть - там вопросы ИТ встречаются хотя цели другие.
Аудит ИТ в себе 
Еще одна распространенная болезнь ИТ аудитов - аудит ИТ как таковой, в отрыве от бизнеса.  И рекомендации соответствующие - улучшить ИТ. А для чего - не понятно.

Лечение. Для начала неплохо понять какие процессы существуют в компании и их критичность для бизнеса. После выявления критичных процессов определяем какие информационные системы поддерживают эти процессы и выясняем насколько процессы от этих системы зависят. Определение данных связок поможет не только определить наиболее интересные для аудита места, но и внятно строить объяснения для менеджмента (мы ведь для них пишем?), как конкретный недостаток негативно влияет на работу процесса в целом, где компания теряет деньги.
Если же так сложилось, что мы работаем в компании в которой слово IT Governance не является ругательством  с высоким уровнем зрелости процессов ИТ (такие тоже есть), то за подспорье можно взять то же Cobit, который подскажет как увязаны бизнес-цели компании с ИТ-целями, ИТ-цели с ИТ-процессами, а ИТ процессы с критериями информации, регуляторными требованиями и т.д.

Как в лучших домах Лондона и Парижа
Из предыдущих двух пунктов может сложиться обманчивое впечатление, что Cobit - это волшебная палочка, которой можно махать во все стороны и каждый раз будет происходить чудо. На самом деле это не так. Еще одной болезнью начинающих ИТ аудиторов является восприятие стандартов серии "лучших мировых практик" как догмы. Соответственно, любое несоответствие таким стандартам  вызывает праведный гнев аудиторов и рекомендации "срочно привести в соответствие с лучшим мировым стандартом имярек". При этом единственной необходимостью внедрения является несоответствие.

Лечение. Прежде, чем что-то порекомендовать по соответствию, необходимо для себя ответить на вопрос "что это даст компании, кроме соответствия".  Даже если цель - полное соответствие стандарту (например, ISO 27001), то цель не в соответствии, а в убеждении соответствия некой аудитории для, например, повышения доверия и улучшения продаж. Соответственно, истинная цель будет звучать так: "минимально полное соответствие, необходимое для получения сертификата". А это - совсем другой объем, чем полное соответствие , разумеется, совсем другой объем затрат.
Если священный трепет перед "лучшими практиками" мешает сосредоточится на целях компании, необходимо проведение ряда аутотренингов перед сном, с приведением себе следующих аргументов:
  • Лучшие практики - есть "средняя температура по больнице". Они, как правило, не учитываю специфику страны, размера компании, ментальности отрасли и т.д. и т.п. Что русскому хорошо, то немцу - смерть.
  • Лучшие практики - это справочник, из которого выбирают то, что необходимо, а не читают от корки до корки. Это, кстати, обычно пишут во вступлениях к стандарту (кто их читает?).
  • Лучшее - враг хорошего (финальный аргумент).
Станьте ежиками 
Итак, аудит проведен, вопрос "кто виноват?" раскрыт. Остается "что делать?". Открываем аудиторские рекомендации и видим "улучшить", "усилить", "углубить", "уширить". Все рекомендации сводятся к фразе: "сделайте так, что бы все было хорошо". Совет, безусловно, ценный, но малополезный. От аудиторов ожидается не только выявление недостатков, но и конкретных и полезных рекомендаций.

Лечение. На этот раз волшебный Cobit не поможет. Т.е. он, конечно, подскажет направление, но как реализовать рекомендацию в отдельно взятой компании там, скорее всего, не написано. Тут нужен опыт, который нельзя пропить. Не напрасно ISACA не дает всем сдавшим экзамен сертификат CISA - нужно еще подтвердить наличие практического опыта. А что делать, когда его нет, а рекомендации нужны? Можно пойди к аудируемой стороне (они ведь еще разговаривают с вами после проверки?) и попробовать помозговать вместе. Если риск выявлен адекватно, руководитель ИТ будет сам заинтересован его устранить с наименьшими затратами.

КЦ очень дорогой, родной 
Кстати о затратах. Рекомендации могут быть сколь угодно полезными, но если их реализация будет стоить компании больше, чем потенциальный урон от недостатка, то пользы не будет.

Лечение. Выход из ситуации простой и сложный одновременно. Совет "считайте сколько будет стоить внедрение" дать легко. А вот посчитать... Во первых, нужно посчитать потенциальный ущерб (это в любом случае полезно для аргументации менеджменту). И тут начинаются проблемы. Ущерб может быть в ИТ, а может быть в процессах, которые ИТ поддерживает. Затраты прямые и не прямые. Считать ли недополученную прибыль? За какой период? Делать дисконтирование? По какой ставке? Вопросов масса. Во-вторых, нужно посчитать стоимость внедрения. Нужно ли говорить, что это не на много проще? Но, в конечном итоге, это то, что ожидается от полноценного ИТ аудитора. И выход один - постоянно изучать бизнес-процессы и  повышать финансовую грамотность.

Рубль штучка, а три рубля - кучка

И последняя на сегодня, болезнь начинающих аудиторов, причина которой также лежит в низкой финансовой грамотности - это материальность выявленных недостатков. Если вы не индийский программист или журналист и вам не платят за количество написанных знаков, лучше воздержаться от описания недостатков, ущерб от которых невелик. Это раздражает руководство, которое мыслит достаточно большими суммами и очень ценит свое время, которое тоже стоит очень дорого.   

Лечение. Неплохо бы почитать про аудиторскую материальность. Определить шкалу для измерения недостатков (например, традиционные высокий, средний, низкий выразить в денежном диапазоне) и согласовать с руководством. Ну и не писать про копеечные недостатки. Единственным исключением может быть ситуация, когда много мелких недостатков имеют одну причину и большой кумулятивный эффект. Как говорил товарищ Раскольников: "Одна старушка - 20 копеек, а пять - уже рубль".

часть 2 ->

понедельник, 2 апреля 2012 г.

О сообществе ИБ, рекламе и потерянных целях.

Одно из наибольших в Украине сообщество специалистов по информационной безопасности - linkedin`овская группа Ukrainian Information Security Group переживает очередной кризис развития. Эпический срач,  продолжающийся в группе уже не первую неделю сразу по нескольким направлениям, отнимает энергию у активной части группы, существенно сокращая  полезную часть дискуссий.  К несчастью, поводом для драмы все чаще становится не классический холивар между приверженцами различных школ, а  самопиар и реклама, разбавляемые предложениями сепаратистского содержания на тему "давайте создадим отдельную группу и будем в ней надувать щеки как нам нравится ортодоксальной труъ(С) группой по ИБ".  Даже сообщения, изначально вроде создаваемые для обсуждения вопросов безопасности, быстро переходят на личности и на глазах теряют свою привлекательность.
Истинная причина очевидна -  аудитория из более чем 1100 потенциально специалистов по ИБ - лакомый кусок для консультантов для самопиара и продвижения своих продуктов. Почему не попробовать отхватить аудиторию в свою песочницу для дальнейшего окучивания? Но уважаемые господа консультанты, в пылу праведной борьбы за аудиторию, почему-то не оценивают достижение главной цели - потенциала продаж. Если внимательно проанализировать группу, то выяснится, что порядка 800 членов является продавцами услуг. Еще около 50 - рекрутеры. И лишь менее 350 членов являются представителями потенциальных клиентов. Из которых только 20% (порядка 70!) уполномочены принимать решения о покупке. И как раз мнение этой части аудитории почему-то наименее интересно продавцам. Главное - успеть объявить что конкурент - маймуно, виришвило вывернуть очередной ушат нечистот на голову конкурента и пометить территорию. Результаты не заставляют себя ждать - динамика прироста группы отрицательна (-9%). И в первую очередь к группе теряют интерес потенциальные покупатели - ведь им не нужно торговать лицом продвигать свои услуги, а знания, затерянные в тоннах взаимных оскорблений, не являются уникальными - их легко можно обнаружить на других ресурсах. К тому же консультант, забывший, что такое профессиональная этика, не очень привлекателен в качестве поставщика услуг.
Что бы немного разбавить весь этот горький катаклизм, который я тут наблюдаю… и Владимир Николаевич тоже… негатив расскажу о паре альтернативных ресурсов.
Украинский чаптер ISACA снова находится в активной фазе и пытается проводить общественно-полезную деятельность. В рамках инициативы «CISA\CISM Self-Study» была проведена первая встреча. Материалы можно найти тут. Полезность такого рода докладов,  с точки зрения затрат времени / полезности знаний для целей сдачи CISA\CISM - весьма дискуссионно. Из своего опыта сдачи экзамена скажу, что вопрос по оценке зрелости может и не попасться. И уж точно экзамен не требует глубокого знания Cobit.  Но как дополнительный материал, либо как общеобразовательный - вполне полезен. Так что рекомендую. Для заинтересованных - следующая встреча в четверг (5 апреля 2012) в 19-00 по адресу (л. Дегтяревская, 48, 4 этаж, офис 411). В программе Risk analysis and internal controls, Risk-based audit approach, Lans and wlans.
Второй ресурс, на который хочу обратить внимание - это новосозданная в Linkedin группа  Personal Data Protection Group Ukraine. Как очевидно из названия, группа посвящена вопросам защиты персональных данных. Примечательным является тот факт, что группа создана Владимиром Козаком - заместителем председателя Госслужбы по вопросам защиты персональных данных. Группа имеет высокий потенциал, поскольку дискуссии владельца группы, опробованные в UISG, были достаточно содержательными и интересными. В мемориз однозначно.