Алексей КомаровПосты в блоге
Свежие посты
По годам
По датам
22
Мая
2015
» Ближайшие мероприятия по ИБ АСУ ТП
Период перед летним сезоном отпусков традиционно насыщен мероприятиями, а в силу популярности/популяризации темы безопасности АСУ ТП существенное их число либо включает в программу данную тематику либо и вовсе целиком посвящено исключительно ей. Ниже перечень ближайших событий, где будут обсуждаться вопросы ИБ в промышленных системах и смежных областях. Positive Hack Days 5 26-27 мая. Москва. Доклады по теме: атаки на SCADA, технологии защиты непрерывности процесса управления АСУ ТП, защита АСУ ТП от основных угроз. Плюс, традиционно для PHDays, конкурс по взлому - взлому комплекса средств безопасности на макете транспортной системы. Информационные технологии на службе оборонно-промышленного комплекса. 26–29 мая. Иннополис (Татарстан). Во второй день запланирована отдельная Секция 5. Информационная безопасность: нормативно-правовое обеспечение ИБ в АСУ, аттестация информационных систем, программные и аппаратные решения, импортонезависимость, анализ защищённости и некоторые другие вопросы. Безопасность промышленных систем автоматизации и управления 28 мая. Волгоград. Мероприятие, проводимое ИЦ Региональные Системы, целиком (как следует из названия) посвящено вопросам безопасности. В рамках его буду выступать с докладом Построение системы анализа и мониторинга состояния информационной безопасности автоматизированных систем управления. Расскажу о подходах к обеспечению ИБ действующих АСУ ТП - особенности, типовые решения ИБ и проблемы с ними, негативно влияющие на состояние защищённости АСУ ТП факторы и мероприятия для снижения степени их влияния. Всероссийская конференция ITSF 28-29 мая. Казань. В программе 9-й конференции заявлено сразу несколько докладов по теме: защита критически важных объектов, защита информации в АСУ ТП, защита АСУ ТП подстанций и защита систем SCADA на нефтегазовых предприятиях. Безопасность критически важных объектов ТЭК 04 июня. Москва. Третья по счёту ежегодная конференция. Рассматриваемые вопросы: выполнение требований законодательства, категорирование и паспортизации объектов ТЭК, защита АСУ ТП объектов ТЭК от внешних и внутренних угроз, меры по снижению рисков ИБ на объектах ТЭК: рекомендации, стандарты и требования. Информационная безопасность промышленных систем автоматизации и управления 09 июня. Москва. Мероприятие, проводимое УЦСБ совместно с Hewlett-Packard, Лабораторией Касперского, CyberArk, Газинформсервис, Digital Security. Основные темы: общие подходы, конкретные продукты и решения, техники разработки эксплойтов, аудит ИБ и типовые проблемы, выявляемыми в ходе обследований промышленных объектов и АСУ ТП. В вводном докладе буду рассказывать о практическом опыте УЦСБ и основных подходах к обеспечению ИБ. Обязательно будет стенд c автоматизированным парковочным комплексом (здесь можно посмотреть ролик про него). Информационная безопасность промышленных систем автоматизации и управления 16 июня. Екатеринбург. Второе мероприятие УЦСБ из этой серии. Состав участников и темы докладов аналогичны мероприятию 09 июня в Москве, но запланировано больше практических демонстраций на стендах. Даже если какие-то мероприятия упустил из вида, период всё равно получается насыщенный. Подозреваю, что осенью будет ещё жарче!
21
Мая
2015
» Презентация нового MaxPatrol SIEM
Компания Positive Technologies сегодня провела пресс-конференцию для СМИ, блогеров и экспертов под общим названием “Как увидеть невидимые кибератаки?”. Ответ на данный вопрос предполагался достаточно очевидный - с помощью MaxPatrol SIEM.
20
Мая
2015
» (уязвимость) Эксперты из УЦСБ обнаружили уязвимость в SCADA-системе RSView32
[box type=”info” style=”rounded”]Публикация в ICS-CERT: Advisory (ICSA-15-132-02)[/box] Группа исследователей из Уральского Центра Систем Безопасности обнаружила критическую уязвимость в алгоритме шифрования паролей управления технологическими процессами в популярной SCADA-системе RSView32, произведенной американской компанией Rockwell Automation. Система RSView32 — это интегрированное программное обеспечение человеко-машинного интерфейса (HMI) для сбора данных, оперативного контроля и управления автоматизированными устройствами и технологическими процессами. RSView32 широко распространена в различных сферах промышленной деятельности: от управления конвейерным оборудованием до автоматизации критически важных объектов, в частности, в газовой и нефтяной промышленности. Обнаруженная экспертами УЦСБ уязвимость применяемых в SCADA-системе алгоритмов шифрования информации позволяла злоумышленнику обойти парольную защиту RSView32 версии 7.60.00 (CPR9 SR4) и старше. Используя уязвимость, злоумышленник мог получить неограниченный доступ к SCADA-системе и внести любые несанкционированные изменения в управляемый технологический процесс, что могло привести к его остановке или созданию аварийной ситуации. Выявив уязвимость, эксперты УЦСБ передали производителю ее детальное описание вместе с примером программы, демонстрирующей эксплуатацию уязвимости. В настоящее время компания Rockwell Automation выпустила обновление SCADA-системы RSView32, устраняющее выявленную уязвимость. Соответствующее уведомление KB700915 опубликовано на информационном портале компании. Источник
18
Мая
2015
» (инцидент) ФБР обвинило ИБ-эксперта во взломе систем управления самолета
Хакер признался в осуществлении 15-20 атак на бортовые системы самолетов в период с 2011 по 2014 год.
13
Мая
2015
» (аналитика) Безопасность промышленных систем управления в 2014 году
Промышленные системы управления (ICS, АСУ ТП) за последние годы вышли на принципиально новый уровень благодаря развитию информационных технологий и сети Интернет. Однако новый виток автоматизации несет свои проблемы: некорректное применение технологий защиты и обработки данных приводит к серьезным уязвимостям.
12
Мая
2015
» HP в России больше, чем ArcSight
Лет 6-7 назад компания Hewlett-Packard (HP) с информационной безопасностью не ассоциировалась почти никак, но ситуация изменилась радикально после нескольких крупных поглощений, пик которых пришёлся на 2010 год. Приобретения компании HP в сфере информационной безопасности Помимо приобретения SPI Dynamics, ArcSight, Fortify и TippingPoint (в составе 3Com), в 2014 году HP анонсировала HP Atalla для шифрования данных, но в России самым известным из всех упомянутых решений, пожалуй, является всё же ArcSight. Убедиться в его популярности мне довелось лично на Встрече сообщества пользователей HP ArcSight - мероприятии для заказчиков и партнёров, проходившим в конце апреля. Что ни говори, а оценивать доли рынка, основываясь на мнениях экспертов (см. изображение ниже) - это одно, а видеть аудиторию, где собрались представители реальных заказчиков - совсем другое. [caption id=”attachment_6447” align=”aligncenter” width=”600”] Доли рынка SIEM в России[/caption] Вообще, судя по аудитории, темам докладов и осуждавшимся вопросам, HP ArcSight не просто хорошо представлен у нас, но и активно используется для реальных задач. За время присутствия в России (с 2007 года) продукт “оброс” успешными внедрениями (МТС, ПромСвязьБанк, ГазПромБанк…) и интеграторами с требуемыми компетенциями (Диалог Наука, Информзащита, Актуальные Технологии Безопасности…). Такое положение дел позволяет заказчикам быть уверенным в том, что они не станут “подопытными кроликами” и не получится как в прозвучавшей на семинаре шутке: - А как конкретно работает эта функция в вашем новом продукте? - Пока не знаю... Давайте сделаем пилот! 😀 С другой стороны, чудес не бывает и для конкретной задачи более подходящим может оказаться другой инструмент. В конце концов, заказчика может не устроить цена, сложность настройки, или избыточный функционал. Но целью поста не является сравнение HP ArcSight с конкурентами (самые активные из них иногда делают это самостоятельно - см. изображение ниже), хотя даже новые игроки здесь появляются и тема для дискуссии есть. [caption id="attachment_6452" align="aligncenter" width="600"] Вопросы компании Эшелон к игрокам рынка SIEM[/caption] К слову, краткое резюме по некоторым SIEM (IBM QRadar, HP ArcSight, Комрад, Splunk, McAffee, RSA) было представлено в подкасте Аркадия Прокудина: http://it.podfm.ru/opensec/19/ (обсуждение начинается с 45 минуты). Возвращаясь непосредственно к семинару, кратко перечислю некоторые заинтересовавшие меня моменты (полный список твитов доступен по тегу #семинарHP). Для HP ArcSight теперь будет доступен модуль корреляции событий User Behavior Analytics (UBA) на базе решений Securonix, позволяющий использовать данные о поведении пользователей для более интеллектуального анализа событий безопасности. Любопытная дополнительная возможность в и без того функционально небедном продукте. Сама компания HP разделится на два бренда - HP Inc (персональные компьютеры и принтеры) и Hewlett-Packard Enterprise с новым логотипом, куда и будет отнесено направление по безопасности (Enterprise Security). [caption id="attachment_6453" align="aligncenter" width="609"] Логотипы HP Inc и Hewlett Packard Enterprise[/caption] В силу тематики мероприятия про другие решения компании в области безопасности говорили немного, отдельное выступление было посвящено новинке в портфеле HP - Voltage Security. Не думаю, что про него слышали многие, но тем не менее, в России есть (как минимум одно) крупное внедрение - 40 000 пользователей в 26 доменах. Решения Voltage Security, предназначенные для шифрования почты, данных и токенизации, очевидно, дополнят уже упомянутое выше HP Atalla. Из относительных новинок (новинок для тех, кто не следит за решениями HP пристально) отмечу ещё продукт для борьбы с целенаправленными атаками HP TippingPoint Advanced Threat Appliance (ATA), созданный в соавторстве с Trend Micro на базе их отличнейшего Trend Micro Deep Discovery, а также межсетевой экран следующего поколения HP TippingPoint Next-Generation Firewall (NGFW). Да-да, оказывается межсетевые экраны TippingPoint тоже существуют. Подытоживая, скажу, что моё представление о HP как о security-вендоре после более близкого знакомства с портфелем решений поменялось с "знаю, что у них есть SIEM, IPS и что-то ещё" на "это действительно сильный игрок со значительным портфелем решений по информационной безопасности". Полный каталог HP по Enterprise Security (не так давно стал доступен на русском языке) представлен на сайте и в диаграмме связей (майндкарте). P.S. Свежая аналитика от HP - отчёт HP Security Research 2015.
28
Апреля
2015
» Цитаты с Форума АЗИ
С заметным таким опозданием, но всё же кратко поделюсь впечатлением от участия в качестве посетителя в работе IV Форума АЗИ «Актуальные вопросы информационной безопасности России», прошедшего 14 апреля 2015 года. Точнее, впечатлениями от посещения первой его части. Впрочем, материалы (презентации) доступны на сайте Форума. Посмотрите на досуге - там есть и про импортозамещение, и про мобильные технологии, и про кадровое обеспечение, и про нормативно-правовую базу. Как говорится, “полный фарш”. В первой же части выступали преимущественно представители регуляторов, традиционно - без слайдов. К слову, их доклады помимо части, явно подготовленной заранее, содержали и комментарии к только что прозвучавшим тезисам и вопросам из зала. Случайно так вышло или всё было спланировано - не так уж и важно, но получилось достаточно живо и действительно походило на дискуссионный форум. Самые интересные для себя цитаты размещал в твиттере с тегом #ФорумАЗИ, ниже приведу краткую сводку основных цитат. Грибков Дмитрий Геннадьевич (референт аппарата Совета Безопасности Российской Федерации) приглашал желающих принять участие в работе над Доктриной информационной безопасности РФ. Традиционно откликнулся Алексей Лукацкий, услышал ли сей призыв кто-либо ещё - мне неизвестно. Вообще, критика того, что мало кто откликается на призывы регуляторов работать над документами, но многие пользуются возможностью активно критиковать итоговые варианты, звучала также от ФСТЭК и ФСБ. Отвечая на вопрос из зала от Рустема Хайретдинова про строгость определения терминов, Дмитрий Геннадьевич дал такую формулу: ”Кибербезопасность = защита информации = безопасность информации - это чисто технологическая составляющая, а Информационная безопасность - контентная”. Потом к этой теме возвращались и другие докладчики, но, на мой взгляд, только всё окончательно запутали =) Очень интересный доклад сделал Олег Чутов - со статистическим анализом сферы ИБ в России. По мнению Олега, ИБ - это далеко не сектор экономики, а вот именно что только сфера деятельности. Некоторые слайды из презентации привёл ниже, полностью она доступна здесь: Скачать [caption id=”attachment_6428” align=”aligncenter” width=”555”] Размеры сферы ИБ[/caption] [caption id=”attachment_6429” align=”aligncenter” width=”555”] Закупки по 44-ФЗ и 223-ФЗ. Итоги 2014 года.[/caption] [caption id=”attachment_6430” align=”aligncenter” width=”555”] Рынок аппаратных и программных средств ИБ в России[/caption] [caption id=”attachment_6431” align=”aligncenter” width=”555”] Сертифицированные ФСБ и ФСТЭК средства по странам происхождения[/caption] [caption id=”attachment_6432” align=”aligncenter” width=”556”] Сертифицированные ФСТЭК средства ИБ - Импорт vs Россия в разрезе их типов[/caption] Кузьмин Алексей Сергеевич (Первый заместитель начальника Центра ФСБ России) начал с того, что не любит скучные доклады по бумажке и… нет, не начал скучно бубнить =) Совсем наоборот, достаточно живо представил свою точку зрения по некоторым вопросам. Правда, меня не покидало ощущение, что Алексей Сергеевич каждый раз апеллирует к кому то конкретному, с кем у него не так давно состоялся разговор или чью статью он прочитал. Мне запомнились два тезиса: ФСБ не готово выпускать как регулятор общие требования к новому классу продуктов, если таких на рынке нет хотя бы 3-5 штук. Как быть при этом разработчикам чего-то инновационного, правда, не совсем ясно. Алексей Сергеевич предложил создать Единый Каталог всех продуктов, находящихся в разработке, чтобы госзаказчики при объявлении тендеров на разработки могли лучше ориентироваться, что уже планируется к выпуску. Лютиков Виталий Сергеевич (начальник управления ФСТЭК России), наверное, самый цитируемый в твиттере и блогах представитель регуляторов, и в этот раз говорил о наболевших острых проблемах. Например, о том, что под маркой “Импортозамещение” появилось много псевдороссийских разработчиков, предлагающих зарубежные средства защиты информации якобы отечественного производства. Склонен согласиться со словами Виталия Сергеевича - “переклеивать шильдики” сейчас действительно становится модно. Рассказывал он также про Базу уязвимостей. В частности о том, что она должна больше ориентироваться на отечественные продукты, информация по которым в зарубежных базах крайне скудна. Сейчас в Базе уязвимостей от ФСТЭК присутствуют продукты российских разработчиков 1С, Лаборатория Касперского, Доктор Веб и Альт Линукс. Будем ожидать других. Говоря про уязвимости, Виталий Сергеевич заявил, что из десятка отечественных сертифицированных разработок на базе ОС Linux уязвимость Shellshock устранили только четверо, да и то не сразу. Если вспомнить анализ СЗИ, содержащихся в реестре ФСТЭК, который я делал (ссылка на Slideshare и файл в формате XLSX), то можно предположить, что речь, видимо, идёт об отечественных операционных системах и межсетевых экранах/криптошлюзах. Возможно, что и в других классах решений используется Linux с этой уязвимостью. Кто те четверо разработчиков, внёсших исправления, Лютиков не сообщил. Мне пока на глаза попалась только информация об устранении уязвимости в opensll в дистрибутивах Альт Линукс СПТ. Уязвимость bash они тоже, кстати, поправили. Интересно, кто остальные три? И, что ещё интереснее, остальные 6? В заключение кратко о самом Форуме. Место удачное, помещение достаточно просторное, стендов (читай - спонсоров) в избытке, доклады (те, которые я успел услышать) понравились, посетителей - много. Организаторам спасибо за приглашение, докладчикам - за интересные выступления!
15
Апреля
2015
» (аналитика) State of Cybersecurity - Implications for 2015
В апреле ISACA совместно с RSA Conference был представлен очередной интересный аналитический обзор, посвященный кибербезопасности. В новой публикации изложены и проиллюстрированы результаты анонимного опроса специалистов в области кибербезопасности по следующим направлениям:
10
Апреля
2015
» ИБ под рёв моторов
Все, кто хоть раз пробовал, знают, что интересную и небанальную идею мероприятия для заказчиков (впрочем, и для партнёров) придумать не так легко. Просто всех собрать и вывести за пределы города/страны/континента - здорово, но так делают многие. Стандартное мероприятие с деловой частью и развлекательной составляющей - тоже формат привычный, даже набор возможных развлечений (особенно, если их заказывать через event-агентства) уже практически устоявшийся и однотипный. Как придумать что-то действительно стоящее? Вообще, вариантов не так много: надо либо делать максимально полезный/интересный контент либо принципиально менять сам формат. В идеале, конечно, идти обоими путями, но это уже совсем высший пилотаж. С контентом в сфере информационной безопасности, на мой взгляд, сейчас ситуация вообще двоякая - с одной стороны его много (одних только блогов по теме ИБ вон сколько, не говоря уже о конференциях, вебинарах, СМИ и пр.), а с другой - качественного контента не хватает: все любят говорить о своих продуктах и услугах, но мало кто умеет говорить о проблемах и их решениях. Можно обвинять меня в предвзятости, но с точки зрения контента мне, например, очень понравилось недавний “День УЦСБ в Москве” (в моей ленте твитов от 31 марта можно найти некоторые мои заметки с него). Если же экспериментировать с форматом, то отличным вариантом могут являться сквозные идеи, объединяющие несколько мероприятий между собой, но не простым повторением одного и того же, например, в разных городах, а как бы связывающие их единой концепцией. Для партнёров примером такого может служить закрытый NGS Club, который когда-то придумали и проводили с бывшими коллегами из Ателье Безопасности, а из мероприятий для заказчиков могу привести Чемпионат Формула Безопасности 2015, проводимый в этом году Софтлайн. Чемпионат получился масштабный - проходит с марта по октябрь и включает несколько городов. Помимо, собственно, самих гонок на картах (в Москве это одна из лучших картинговых трасс - Arena GP), предлагаются посещения музеев, закрытые показы фильмов и, подозреваю, много чего ещё - всё же я участвовал как приглашённый блоггер, а не как представитель заказчика или вендора =) Многоэтапность и разноплановость событий в рамках Чемпионата отлично сказываются на вовлечённости и том самом неформальном общении, призванном помогать увеличивать продажи, укреплять связи и налаживать контакты. Самое же классное в этой идее то, что задана общая тематика (гонки, автомобили, скорость), под которую можно параллельно много чего придумать и предложить. Большие молодцы, в общем, те, кто это придумал! Что же касается официальной части мероприятия, а она на тех этапах, где я побывал, была представлена короткими докладами вендоров перед самой гонкой, то тут, конечно, всё зависело от подхода самих выступающих. Безотносительно содержательной части докладов, все докладчики находились в незавидном положении: только они и их презентации отделяли соревнующихся от старта гонок. Кто-то прямо так и заявлял: мол, понимаю, что это всё вам не нужно, но всё-таки сейчас расскажу. Кто-то “шутил”, называя свои продукты так, как я только в твиттере могу себе позволить написать, да и то в виде цитаты. А вот Олег Шабуров (слушал два его доклада для разных подгрупп) выступил, например, просто отлично, соединив тему скорости/безопасности/красоты гонок и продукты Symantec. Возвращаясь к самой гонке, могу высказать своё мнение непрофессионала (это был третий или четвёртый раз моей езды на картах в жизни) достаточно коротко: было здорово! Большего всего азарта добавляло то, что весь Чемпионат построен в несколько этапов, а соревнование происходит между командами. В общем, коллегам из Софтлайн спасибо за приглашение и удачного продолжения Чемпионата! Тема гонок для развлекательных мероприятий по ИБ занята надолго, так что всем остальным выбирать собственный формат стало на один вариант проще =)
03
Апреля
2015
» Насколько выгодны проверки ФСТЭК?
В прошлом месяце был опубликован Доклад ФСТЭК “Об осуществлении ФСТЭК России в 2014 году государственного контроля в соответствующих сферах деятельности и об эффективности такого контроля” (ссылка на Доклад), в котором, в частности, содержится общая статистическая финансовая информация. Попробуем посчитать, насколько эффективны проверки ФСТЭК с, если так можно выразиться, коммерческой точки зрения. Вообще, к расходам на выполнение функций контроля (проверок) в рамках 294-ФЗ ФСТЭК относит следующее: денежное содержание государственных гражданских служащих, входящих в состав проверочных комиссий, за время их нахождения на объектах проверок; оплата суточных выплат при нахождении в командировках, связанных с проведением контрольных мероприятий вне мест постоянной дислокации; оплата проезда к месту проведения проверки и обратно при проведении проверок вне мест постоянной дислокации; возмещение стоимости проживания при проведении проверок вне мест постоянной дислокации. При такой методике подсчёта в 2014 году ФСТЭК России на реализацию контрольных функций в области государственного контроля затратила 9 084 000 ₽ (в 2013 году – 7 939 000 ₽, в 2012 году - 6 868 000 ₽). Всего в 2014 году Службой проведено 144 проверки (в 2013 году - 171 проверка, в 2012 году - 142 проверки), поэтому средний объем финансовых затрат на проведение одной проверки в 2014 году составил 63 080 ₽ (в 2013 году – 46 430 ₽, в 2012 - 48 364 ₽). Общая сумма наложенных административных штрафов по сравнению с 2013 годом увеличилась на 13,26 % (2013 год – 2 474 000 ₽, 2014 год – 2 802 000 ₽). Сводная информация в таблице ниже (штрафы за 2012 год оперативно не нашёл - если есть информация, поделитесь, пожалуйста, в комментариях): [caption id=”attachment_6392” align=”aligncenter” width=”724”] Штрафы и затраты ФСТЭК[/caption] Как видно, проверки - мероприятие сугубо “убыточное” и при текущих размерах штрафов увеличивать число проверок большого “коммерческого” смысла нет. Кстати, заодно можно посчитать, во сколько раз надо увеличить штрафы, чтобы затраты на проверки “окупались”: 63 080 / 19 458 = 3,24 - т.е. штрафы “нужно” увеличивать более, чем в три раза. Иногда ещё считают выручку на сотрудника, но в нашем случае число сотрудников ФСТЭК вообще и число осуществляющих проверки в частности “являются информацией ограниченного доступа”. Правда, на основании опубликованных данных посчитать их сможет даже ученик далеко не старших классов: Дано: Общее число проверок (как уже указывал выше) - 144 (в 2013 году - 171). Среднее время проведения одной проверки составило 5,54 дня (в 2013 году - 5,14). Среднее время участия одного работника в проверках – 50,24 дней (в 2013 году - 54,99). Спрашивается: Сколько сотрудников ФСТЭК участвует в проверках? Можно, кстати, посчитать ещё проще, если учесть, что среднее количество проверок на одного работника в 2014 году составило – 9,07 (в 2013 году – 10,7). Вот такая информация ограниченного доступа. Вообще, в Докладе много и другой полезной информации. Вот например, мероприятия, которые ФСТЭК считает наиболее значимыми из тех, в которых участвовали её представители: Международный семинар-конференция по вопросам экспортного контроля для стран СНГ; Международный семинар по экспортному контролю для организаций ракетно-космического профиля; российско-американские консультации по вопросам правоприменения в области экспортного контроля; XIX Международный форум «Технологии безопасности - 2014»; V Международная конференция «Защита персональных данных»; Международная выставка «Infosecurity Russia – 2014»; XII ежегодная международная конференция по проблематике электронной цифровой подписи; VI конференция «Информационная безопасность. Невский диалог»; XVI Национальный форум информационной безопасности «Инфофорум - 2014»; Общероссийская конференция «Информационная безопасность объектов ТЭК»; VI Международный IT-Форум с участием представителей стран БРИКС; Межрегиональная конференция по информационной безопасности «Инфофорум - Дальний Восток»; X Евразийский форум по информационной безопасности и информационному взаимодействию «Инфофорум – Евразия/Крым»; III Всероссийская научно-практическая конференция «Актуальные вопросы информационной безопасности в условиях глобализации информационного пространства»; III Всероссийская конференция «Информационные технологии в управлении: прогнозируемые риски и возможности»; VI Уральский форум «Информационная безопасность банков»; VII международный форум информационных технологий; XV Всероссийская научно-практическая конференция «Проблемы информационной безопасности государства, общества и личности»; конференция «Информационная безопасность и трансформация датацентров» и др. Выбираете, спонсором какого мероприятия стать? Прислушайтесь, как вариант, к мнению ФСТЭК. Всего они посетили/провели более 300 различных мероприятий, так что подборка вполне релевантная. В Докладе приведён также такой показатель как доля юридических лиц, индивидуальных предпринимателей, в отношении которых органами государственного контроля были проведены проверки (в процентах общего количества юридических лиц, индивидуальных предпринимателей, осуществляющих деятельность на территории Российской Федерации, соответствующего субъекта Российской Федерации, соответствующего муниципального образования, деятельность которых подлежит государственному контролю) – 1,9 %. Можно оценить вероятность того, что ФСТЭК придёт к вам, особенно если учесть, что "В отношении субъектов малого предпринимательства в 2014 году проверок не проводилось. В 2012 - 2013 годах таких проверок также не было". А на какие цифры/моменты обратили бы внимание вы? Изображение отсюда. </div> </div> </div> </div> </div> </div> </div> </div> </div>
Период перед летним сезоном отпусков традиционно насыщен мероприятиями, а в силу популярности/популяризации темы безопасности АСУ ТП существенное их число либо включает в программу данную тематику либо и вовсе целиком посвящено исключительно ей. Ниже перечень ближайших событий, где будут обсуждаться вопросы ИБ в промышленных системах и смежных областях. Positive Hack Days 5 26-27 мая. Москва. Доклады по теме: атаки на SCADA, технологии защиты непрерывности процесса управления АСУ ТП, защита АСУ ТП от основных угроз. Плюс, традиционно для PHDays, конкурс по взлому - взлому комплекса средств безопасности на макете транспортной системы. Информационные технологии на службе оборонно-промышленного комплекса. 26–29 мая. Иннополис (Татарстан). Во второй день запланирована отдельная Секция 5. Информационная безопасность: нормативно-правовое обеспечение ИБ в АСУ, аттестация информационных систем, программные и аппаратные решения, импортонезависимость, анализ защищённости и некоторые другие вопросы. Безопасность промышленных систем автоматизации и управления 28 мая. Волгоград. Мероприятие, проводимое ИЦ Региональные Системы, целиком (как следует из названия) посвящено вопросам безопасности. В рамках его буду выступать с докладом Построение системы анализа и мониторинга состояния информационной безопасности автоматизированных систем управления. Расскажу о подходах к обеспечению ИБ действующих АСУ ТП - особенности, типовые решения ИБ и проблемы с ними, негативно влияющие на состояние защищённости АСУ ТП факторы и мероприятия для снижения степени их влияния. Всероссийская конференция ITSF 28-29 мая. Казань. В программе 9-й конференции заявлено сразу несколько докладов по теме: защита критически важных объектов, защита информации в АСУ ТП, защита АСУ ТП подстанций и защита систем SCADA на нефтегазовых предприятиях. Безопасность критически важных объектов ТЭК 04 июня. Москва. Третья по счёту ежегодная конференция. Рассматриваемые вопросы: выполнение требований законодательства, категорирование и паспортизации объектов ТЭК, защита АСУ ТП объектов ТЭК от внешних и внутренних угроз, меры по снижению рисков ИБ на объектах ТЭК: рекомендации, стандарты и требования. Информационная безопасность промышленных систем автоматизации и управления 09 июня. Москва. Мероприятие, проводимое УЦСБ совместно с Hewlett-Packard, Лабораторией Касперского, CyberArk, Газинформсервис, Digital Security. Основные темы: общие подходы, конкретные продукты и решения, техники разработки эксплойтов, аудит ИБ и типовые проблемы, выявляемыми в ходе обследований промышленных объектов и АСУ ТП. В вводном докладе буду рассказывать о практическом опыте УЦСБ и основных подходах к обеспечению ИБ. Обязательно будет стенд c автоматизированным парковочным комплексом (здесь можно посмотреть ролик про него). Информационная безопасность промышленных систем автоматизации и управления 16 июня. Екатеринбург. Второе мероприятие УЦСБ из этой серии. Состав участников и темы докладов аналогичны мероприятию 09 июня в Москве, но запланировано больше практических демонстраций на стендах. Даже если какие-то мероприятия упустил из вида, период всё равно получается насыщенный. Подозреваю, что осенью будет ещё жарче!
Компания Positive Technologies сегодня провела пресс-конференцию для СМИ, блогеров и экспертов под общим названием “Как увидеть невидимые кибератаки?”. Ответ на данный вопрос предполагался достаточно очевидный - с помощью MaxPatrol SIEM.
[box type=”info” style=”rounded”]Публикация в ICS-CERT: Advisory (ICSA-15-132-02)[/box] Группа исследователей из Уральского Центра Систем Безопасности обнаружила критическую уязвимость в алгоритме шифрования паролей управления технологическими процессами в популярной SCADA-системе RSView32, произведенной американской компанией Rockwell Automation. Система RSView32 — это интегрированное программное обеспечение человеко-машинного интерфейса (HMI) для сбора данных, оперативного контроля и управления автоматизированными устройствами и технологическими процессами. RSView32 широко распространена в различных сферах промышленной деятельности: от управления конвейерным оборудованием до автоматизации критически важных объектов, в частности, в газовой и нефтяной промышленности. Обнаруженная экспертами УЦСБ уязвимость применяемых в SCADA-системе алгоритмов шифрования информации позволяла злоумышленнику обойти парольную защиту RSView32 версии 7.60.00 (CPR9 SR4) и старше. Используя уязвимость, злоумышленник мог получить неограниченный доступ к SCADA-системе и внести любые несанкционированные изменения в управляемый технологический процесс, что могло привести к его остановке или созданию аварийной ситуации. Выявив уязвимость, эксперты УЦСБ передали производителю ее детальное описание вместе с примером программы, демонстрирующей эксплуатацию уязвимости. В настоящее время компания Rockwell Automation выпустила обновление SCADA-системы RSView32, устраняющее выявленную уязвимость. Соответствующее уведомление KB700915 опубликовано на информационном портале компании. Источник
Хакер признался в осуществлении 15-20 атак на бортовые системы самолетов в период с 2011 по 2014 год.
Промышленные системы управления (ICS, АСУ ТП) за последние годы вышли на принципиально новый уровень благодаря развитию информационных технологий и сети Интернет. Однако новый виток автоматизации несет свои проблемы: некорректное применение технологий защиты и обработки данных приводит к серьезным уязвимостям.
Лет 6-7 назад компания Hewlett-Packard (HP) с информационной безопасностью не ассоциировалась почти никак, но ситуация изменилась радикально после нескольких крупных поглощений, пик которых пришёлся на 2010 год. Приобретения компании HP в сфере информационной безопасности Помимо приобретения SPI Dynamics, ArcSight, Fortify и TippingPoint (в составе 3Com), в 2014 году HP анонсировала HP Atalla для шифрования данных, но в России самым известным из всех упомянутых решений, пожалуй, является всё же ArcSight. Убедиться в его популярности мне довелось лично на Встрече сообщества пользователей HP ArcSight - мероприятии для заказчиков и партнёров, проходившим в конце апреля. Что ни говори, а оценивать доли рынка, основываясь на мнениях экспертов (см. изображение ниже) - это одно, а видеть аудиторию, где собрались представители реальных заказчиков - совсем другое. [caption id=”attachment_6447” align=”aligncenter” width=”600”] Доли рынка SIEM в России[/caption] Вообще, судя по аудитории, темам докладов и осуждавшимся вопросам, HP ArcSight не просто хорошо представлен у нас, но и активно используется для реальных задач. За время присутствия в России (с 2007 года) продукт “оброс” успешными внедрениями (МТС, ПромСвязьБанк, ГазПромБанк…) и интеграторами с требуемыми компетенциями (Диалог Наука, Информзащита, Актуальные Технологии Безопасности…). Такое положение дел позволяет заказчикам быть уверенным в том, что они не станут “подопытными кроликами” и не получится как в прозвучавшей на семинаре шутке: - А как конкретно работает эта функция в вашем новом продукте? - Пока не знаю... Давайте сделаем пилот! 😀 С другой стороны, чудес не бывает и для конкретной задачи более подходящим может оказаться другой инструмент. В конце концов, заказчика может не устроить цена, сложность настройки, или избыточный функционал. Но целью поста не является сравнение HP ArcSight с конкурентами (самые активные из них иногда делают это самостоятельно - см. изображение ниже), хотя даже новые игроки здесь появляются и тема для дискуссии есть. [caption id="attachment_6452" align="aligncenter" width="600"] Вопросы компании Эшелон к игрокам рынка SIEM[/caption] К слову, краткое резюме по некоторым SIEM (IBM QRadar, HP ArcSight, Комрад, Splunk, McAffee, RSA) было представлено в подкасте Аркадия Прокудина: http://it.podfm.ru/opensec/19/ (обсуждение начинается с 45 минуты). Возвращаясь непосредственно к семинару, кратко перечислю некоторые заинтересовавшие меня моменты (полный список твитов доступен по тегу #семинарHP). Для HP ArcSight теперь будет доступен модуль корреляции событий User Behavior Analytics (UBA) на базе решений Securonix, позволяющий использовать данные о поведении пользователей для более интеллектуального анализа событий безопасности. Любопытная дополнительная возможность в и без того функционально небедном продукте. Сама компания HP разделится на два бренда - HP Inc (персональные компьютеры и принтеры) и Hewlett-Packard Enterprise с новым логотипом, куда и будет отнесено направление по безопасности (Enterprise Security). [caption id="attachment_6453" align="aligncenter" width="609"] Логотипы HP Inc и Hewlett Packard Enterprise[/caption] В силу тематики мероприятия про другие решения компании в области безопасности говорили немного, отдельное выступление было посвящено новинке в портфеле HP - Voltage Security. Не думаю, что про него слышали многие, но тем не менее, в России есть (как минимум одно) крупное внедрение - 40 000 пользователей в 26 доменах. Решения Voltage Security, предназначенные для шифрования почты, данных и токенизации, очевидно, дополнят уже упомянутое выше HP Atalla. Из относительных новинок (новинок для тех, кто не следит за решениями HP пристально) отмечу ещё продукт для борьбы с целенаправленными атаками HP TippingPoint Advanced Threat Appliance (ATA), созданный в соавторстве с Trend Micro на базе их отличнейшего Trend Micro Deep Discovery, а также межсетевой экран следующего поколения HP TippingPoint Next-Generation Firewall (NGFW). Да-да, оказывается межсетевые экраны TippingPoint тоже существуют. Подытоживая, скажу, что моё представление о HP как о security-вендоре после более близкого знакомства с портфелем решений поменялось с "знаю, что у них есть SIEM, IPS и что-то ещё" на "это действительно сильный игрок со значительным портфелем решений по информационной безопасности". Полный каталог HP по Enterprise Security (не так давно стал доступен на русском языке) представлен на сайте и в диаграмме связей (майндкарте). P.S. Свежая аналитика от HP - отчёт HP Security Research 2015.
С заметным таким опозданием, но всё же кратко поделюсь впечатлением от участия в качестве посетителя в работе IV Форума АЗИ «Актуальные вопросы информационной безопасности России», прошедшего 14 апреля 2015 года. Точнее, впечатлениями от посещения первой его части. Впрочем, материалы (презентации) доступны на сайте Форума. Посмотрите на досуге - там есть и про импортозамещение, и про мобильные технологии, и про кадровое обеспечение, и про нормативно-правовую базу. Как говорится, “полный фарш”. В первой же части выступали преимущественно представители регуляторов, традиционно - без слайдов. К слову, их доклады помимо части, явно подготовленной заранее, содержали и комментарии к только что прозвучавшим тезисам и вопросам из зала. Случайно так вышло или всё было спланировано - не так уж и важно, но получилось достаточно живо и действительно походило на дискуссионный форум. Самые интересные для себя цитаты размещал в твиттере с тегом #ФорумАЗИ, ниже приведу краткую сводку основных цитат. Грибков Дмитрий Геннадьевич (референт аппарата Совета Безопасности Российской Федерации) приглашал желающих принять участие в работе над Доктриной информационной безопасности РФ. Традиционно откликнулся Алексей Лукацкий, услышал ли сей призыв кто-либо ещё - мне неизвестно. Вообще, критика того, что мало кто откликается на призывы регуляторов работать над документами, но многие пользуются возможностью активно критиковать итоговые варианты, звучала также от ФСТЭК и ФСБ. Отвечая на вопрос из зала от Рустема Хайретдинова про строгость определения терминов, Дмитрий Геннадьевич дал такую формулу: ”Кибербезопасность = защита информации = безопасность информации - это чисто технологическая составляющая, а Информационная безопасность - контентная”. Потом к этой теме возвращались и другие докладчики, но, на мой взгляд, только всё окончательно запутали =) Очень интересный доклад сделал Олег Чутов - со статистическим анализом сферы ИБ в России. По мнению Олега, ИБ - это далеко не сектор экономики, а вот именно что только сфера деятельности. Некоторые слайды из презентации привёл ниже, полностью она доступна здесь: Скачать [caption id=”attachment_6428” align=”aligncenter” width=”555”] Размеры сферы ИБ[/caption] [caption id=”attachment_6429” align=”aligncenter” width=”555”] Закупки по 44-ФЗ и 223-ФЗ. Итоги 2014 года.[/caption] [caption id=”attachment_6430” align=”aligncenter” width=”555”] Рынок аппаратных и программных средств ИБ в России[/caption] [caption id=”attachment_6431” align=”aligncenter” width=”555”] Сертифицированные ФСБ и ФСТЭК средства по странам происхождения[/caption] [caption id=”attachment_6432” align=”aligncenter” width=”556”] Сертифицированные ФСТЭК средства ИБ - Импорт vs Россия в разрезе их типов[/caption] Кузьмин Алексей Сергеевич (Первый заместитель начальника Центра ФСБ России) начал с того, что не любит скучные доклады по бумажке и… нет, не начал скучно бубнить =) Совсем наоборот, достаточно живо представил свою точку зрения по некоторым вопросам. Правда, меня не покидало ощущение, что Алексей Сергеевич каждый раз апеллирует к кому то конкретному, с кем у него не так давно состоялся разговор или чью статью он прочитал. Мне запомнились два тезиса: ФСБ не готово выпускать как регулятор общие требования к новому классу продуктов, если таких на рынке нет хотя бы 3-5 штук. Как быть при этом разработчикам чего-то инновационного, правда, не совсем ясно. Алексей Сергеевич предложил создать Единый Каталог всех продуктов, находящихся в разработке, чтобы госзаказчики при объявлении тендеров на разработки могли лучше ориентироваться, что уже планируется к выпуску. Лютиков Виталий Сергеевич (начальник управления ФСТЭК России), наверное, самый цитируемый в твиттере и блогах представитель регуляторов, и в этот раз говорил о наболевших острых проблемах. Например, о том, что под маркой “Импортозамещение” появилось много псевдороссийских разработчиков, предлагающих зарубежные средства защиты информации якобы отечественного производства. Склонен согласиться со словами Виталия Сергеевича - “переклеивать шильдики” сейчас действительно становится модно. Рассказывал он также про Базу уязвимостей. В частности о том, что она должна больше ориентироваться на отечественные продукты, информация по которым в зарубежных базах крайне скудна. Сейчас в Базе уязвимостей от ФСТЭК присутствуют продукты российских разработчиков 1С, Лаборатория Касперского, Доктор Веб и Альт Линукс. Будем ожидать других. Говоря про уязвимости, Виталий Сергеевич заявил, что из десятка отечественных сертифицированных разработок на базе ОС Linux уязвимость Shellshock устранили только четверо, да и то не сразу. Если вспомнить анализ СЗИ, содержащихся в реестре ФСТЭК, который я делал (ссылка на Slideshare и файл в формате XLSX), то можно предположить, что речь, видимо, идёт об отечественных операционных системах и межсетевых экранах/криптошлюзах. Возможно, что и в других классах решений используется Linux с этой уязвимостью. Кто те четверо разработчиков, внёсших исправления, Лютиков не сообщил. Мне пока на глаза попалась только информация об устранении уязвимости в opensll в дистрибутивах Альт Линукс СПТ. Уязвимость bash они тоже, кстати, поправили. Интересно, кто остальные три? И, что ещё интереснее, остальные 6? В заключение кратко о самом Форуме. Место удачное, помещение достаточно просторное, стендов (читай - спонсоров) в избытке, доклады (те, которые я успел услышать) понравились, посетителей - много. Организаторам спасибо за приглашение, докладчикам - за интересные выступления!
В апреле ISACA совместно с RSA Conference был представлен очередной интересный аналитический обзор, посвященный кибербезопасности. В новой публикации изложены и проиллюстрированы результаты анонимного опроса специалистов в области кибербезопасности по следующим направлениям:
Все, кто хоть раз пробовал, знают, что интересную и небанальную идею мероприятия для заказчиков (впрочем, и для партнёров) придумать не так легко. Просто всех собрать и вывести за пределы города/страны/континента - здорово, но так делают многие. Стандартное мероприятие с деловой частью и развлекательной составляющей - тоже формат привычный, даже набор возможных развлечений (особенно, если их заказывать через event-агентства) уже практически устоявшийся и однотипный. Как придумать что-то действительно стоящее? Вообще, вариантов не так много: надо либо делать максимально полезный/интересный контент либо принципиально менять сам формат. В идеале, конечно, идти обоими путями, но это уже совсем высший пилотаж. С контентом в сфере информационной безопасности, на мой взгляд, сейчас ситуация вообще двоякая - с одной стороны его много (одних только блогов по теме ИБ вон сколько, не говоря уже о конференциях, вебинарах, СМИ и пр.), а с другой - качественного контента не хватает: все любят говорить о своих продуктах и услугах, но мало кто умеет говорить о проблемах и их решениях. Можно обвинять меня в предвзятости, но с точки зрения контента мне, например, очень понравилось недавний “День УЦСБ в Москве” (в моей ленте твитов от 31 марта можно найти некоторые мои заметки с него). Если же экспериментировать с форматом, то отличным вариантом могут являться сквозные идеи, объединяющие несколько мероприятий между собой, но не простым повторением одного и того же, например, в разных городах, а как бы связывающие их единой концепцией. Для партнёров примером такого может служить закрытый NGS Club, который когда-то придумали и проводили с бывшими коллегами из Ателье Безопасности, а из мероприятий для заказчиков могу привести Чемпионат Формула Безопасности 2015, проводимый в этом году Софтлайн. Чемпионат получился масштабный - проходит с марта по октябрь и включает несколько городов. Помимо, собственно, самих гонок на картах (в Москве это одна из лучших картинговых трасс - Arena GP), предлагаются посещения музеев, закрытые показы фильмов и, подозреваю, много чего ещё - всё же я участвовал как приглашённый блоггер, а не как представитель заказчика или вендора =) Многоэтапность и разноплановость событий в рамках Чемпионата отлично сказываются на вовлечённости и том самом неформальном общении, призванном помогать увеличивать продажи, укреплять связи и налаживать контакты. Самое же классное в этой идее то, что задана общая тематика (гонки, автомобили, скорость), под которую можно параллельно много чего придумать и предложить. Большие молодцы, в общем, те, кто это придумал! Что же касается официальной части мероприятия, а она на тех этапах, где я побывал, была представлена короткими докладами вендоров перед самой гонкой, то тут, конечно, всё зависело от подхода самих выступающих. Безотносительно содержательной части докладов, все докладчики находились в незавидном положении: только они и их презентации отделяли соревнующихся от старта гонок. Кто-то прямо так и заявлял: мол, понимаю, что это всё вам не нужно, но всё-таки сейчас расскажу. Кто-то “шутил”, называя свои продукты так, как я только в твиттере могу себе позволить написать, да и то в виде цитаты. А вот Олег Шабуров (слушал два его доклада для разных подгрупп) выступил, например, просто отлично, соединив тему скорости/безопасности/красоты гонок и продукты Symantec. Возвращаясь к самой гонке, могу высказать своё мнение непрофессионала (это был третий или четвёртый раз моей езды на картах в жизни) достаточно коротко: было здорово! Большего всего азарта добавляло то, что весь Чемпионат построен в несколько этапов, а соревнование происходит между командами. В общем, коллегам из Софтлайн спасибо за приглашение и удачного продолжения Чемпионата! Тема гонок для развлекательных мероприятий по ИБ занята надолго, так что всем остальным выбирать собственный формат стало на один вариант проще =)
В прошлом месяце был опубликован Доклад ФСТЭК “Об осуществлении ФСТЭК России в 2014 году государственного контроля в соответствующих сферах деятельности и об эффективности такого контроля” (ссылка на Доклад), в котором, в частности, содержится общая статистическая финансовая информация. Попробуем посчитать, насколько эффективны проверки ФСТЭК с, если так можно выразиться, коммерческой точки зрения. Вообще, к расходам на выполнение функций контроля (проверок) в рамках 294-ФЗ ФСТЭК относит следующее: денежное содержание государственных гражданских служащих, входящих в состав проверочных комиссий, за время их нахождения на объектах проверок; оплата суточных выплат при нахождении в командировках, связанных с проведением контрольных мероприятий вне мест постоянной дислокации; оплата проезда к месту проведения проверки и обратно при проведении проверок вне мест постоянной дислокации; возмещение стоимости проживания при проведении проверок вне мест постоянной дислокации. При такой методике подсчёта в 2014 году ФСТЭК России на реализацию контрольных функций в области государственного контроля затратила 9 084 000 ₽ (в 2013 году – 7 939 000 ₽, в 2012 году - 6 868 000 ₽). Всего в 2014 году Службой проведено 144 проверки (в 2013 году - 171 проверка, в 2012 году - 142 проверки), поэтому средний объем финансовых затрат на проведение одной проверки в 2014 году составил 63 080 ₽ (в 2013 году – 46 430 ₽, в 2012 - 48 364 ₽). Общая сумма наложенных административных штрафов по сравнению с 2013 годом увеличилась на 13,26 % (2013 год – 2 474 000 ₽, 2014 год – 2 802 000 ₽). Сводная информация в таблице ниже (штрафы за 2012 год оперативно не нашёл - если есть информация, поделитесь, пожалуйста, в комментариях): [caption id=”attachment_6392” align=”aligncenter” width=”724”] Штрафы и затраты ФСТЭК[/caption] Как видно, проверки - мероприятие сугубо “убыточное” и при текущих размерах штрафов увеличивать число проверок большого “коммерческого” смысла нет. Кстати, заодно можно посчитать, во сколько раз надо увеличить штрафы, чтобы затраты на проверки “окупались”: 63 080 / 19 458 = 3,24 - т.е. штрафы “нужно” увеличивать более, чем в три раза. Иногда ещё считают выручку на сотрудника, но в нашем случае число сотрудников ФСТЭК вообще и число осуществляющих проверки в частности “являются информацией ограниченного доступа”. Правда, на основании опубликованных данных посчитать их сможет даже ученик далеко не старших классов: Дано: Общее число проверок (как уже указывал выше) - 144 (в 2013 году - 171). Среднее время проведения одной проверки составило 5,54 дня (в 2013 году - 5,14). Среднее время участия одного работника в проверках – 50,24 дней (в 2013 году - 54,99). Спрашивается: Сколько сотрудников ФСТЭК участвует в проверках? Можно, кстати, посчитать ещё проще, если учесть, что среднее количество проверок на одного работника в 2014 году составило – 9,07 (в 2013 году – 10,7). Вот такая информация ограниченного доступа. Вообще, в Докладе много и другой полезной информации. Вот например, мероприятия, которые ФСТЭК считает наиболее значимыми из тех, в которых участвовали её представители: Международный семинар-конференция по вопросам экспортного контроля для стран СНГ; Международный семинар по экспортному контролю для организаций ракетно-космического профиля; российско-американские консультации по вопросам правоприменения в области экспортного контроля; XIX Международный форум «Технологии безопасности - 2014»; V Международная конференция «Защита персональных данных»; Международная выставка «Infosecurity Russia – 2014»; XII ежегодная международная конференция по проблематике электронной цифровой подписи; VI конференция «Информационная безопасность. Невский диалог»; XVI Национальный форум информационной безопасности «Инфофорум - 2014»; Общероссийская конференция «Информационная безопасность объектов ТЭК»; VI Международный IT-Форум с участием представителей стран БРИКС; Межрегиональная конференция по информационной безопасности «Инфофорум - Дальний Восток»; X Евразийский форум по информационной безопасности и информационному взаимодействию «Инфофорум – Евразия/Крым»; III Всероссийская научно-практическая конференция «Актуальные вопросы информационной безопасности в условиях глобализации информационного пространства»; III Всероссийская конференция «Информационные технологии в управлении: прогнозируемые риски и возможности»; VI Уральский форум «Информационная безопасность банков»; VII международный форум информационных технологий; XV Всероссийская научно-практическая конференция «Проблемы информационной безопасности государства, общества и личности»; конференция «Информационная безопасность и трансформация датацентров» и др. Выбираете, спонсором какого мероприятия стать? Прислушайтесь, как вариант, к мнению ФСТЭК. Всего они посетили/провели более 300 различных мероприятий, так что подборка вполне релевантная. В Докладе приведён также такой показатель как доля юридических лиц, индивидуальных предпринимателей, в отношении которых органами государственного контроля были проведены проверки (в процентах общего количества юридических лиц, индивидуальных предпринимателей, осуществляющих деятельность на территории Российской Федерации, соответствующего субъекта Российской Федерации, соответствующего муниципального образования, деятельность которых подлежит государственному контролю) – 1,9 %. Можно оценить вероятность того, что ФСТЭК придёт к вам, особенно если учесть, что "В отношении субъектов малого предпринимательства в 2014 году проверок не проводилось. В 2012 - 2013 годах таких проверок также не было". А на какие цифры/моменты обратили бы внимание вы? Изображение отсюда. </div> </div> </div> </div> </div> </div> </div> </div> </div>