Доля спама в мировом почтовом трафике в марте снизилась на 6,4%

Доля спама в мировом почтовом трафике в марте снизилась на 6,4%

Александр Панасенко

В течение первого весеннего месяца широкое распространение в Сети получили рекламные рассылки с предложениями выучить иностранные языки при помощи разнообразных авторских методик. Подобный спам пестрел сообщениями о возможности выучить любой язык по Skype, узнать секреты уникального метода самостоятельного обучения, а также предложениями от конкретных языковых школ и учебных центров.

Помимо этого, заметный след в мартовском почтовом трафике оставили сообщения, в которых спамеры предлагали оптимизировать расходы на телефонную связь. Большая часть таких писем была адресована крупным и средним компаниям. Однако домашних пользователей спамеры также не обошли вниманием: в частности, авторы некоторых рассылок дополнительно предлагали улучшить качество мобильной связи и мобильного Интернета в квартире или на даче.

Немало вредоносных вложений в марте распространялось от имени различных известных финансовых организаций, деятельность которых связана с налоговыми сборами. Подобные письма приходили к пользователям под видом платежных извещений от налогового органа и требованием оплатить налог или указать в декларации незаявленные ранее доходы. Чтобы узнать подробности, получателю сообщения предлагалось открыть приложенный отчет или заполнить полученную во вложении форму документа. На самом деле архивированные файлы содержали зловредов, в частности троянцев, крадущих конфиденциальные данные пользователей или скачивающих и запускающих на компьютере вредоносные программы.

Среди регионов лидером по распространению спама неизменно остается Азия. Более того, в марте ее позиции укрепились: эта часть света увеличила свою долю на 4% и в итоге оказалась ответственна за 58% мирового спама. Азиатский след доминирует и в рейтинге стран-источников нежелательных сообщений. По сравнению с февралем тройка лидеров не изменилась, и первое место все так же занимает Китай с долей 24,6%, на втором месте располагаются США с показателем 17%, а на третьем оказалась  Южная Корея, откуда было разослано 13,6% мирового спама.

Что касается источников спама в Рунете, то здесь картина несколько иная, однако она также не меняется на протяжении многих месяцев. Лидером по количеству нежелательных сообщений, разосланных пользователям в марте, все также остается Россия, чья доля хоть и сократилась на 2,5%, но составила абсолютный максимум месяца — 17,3%. Второе место занимает Тайвань — за первый весенний месяц доля спама, разосланного в Рунете из этой страны, выросла на 1,7% и составила в итоге 13,2%. Третье же место снова досталось Индии с ее показателем 11%.

 

Страны-источники спама в Рунете, март 2014

 

«Спамеры делают все возможное для того, чтобы заставить пользователя отреагировать на их письмо и открыть вложение или пройти по ссылке, которые запросто могут быть вредоносными. Количество атак на финансовый сектор заметно увеличилось за прошедший год. Это связано с тем, что все больше людей пользуются интернет-банкингом, совершая финансовые транзакции не только с ноутбуков, но и других цифровых устройств. Таким образом, риск стать жертвой злоумышленников сегодня весьма высок. Именно поэтому мы рекомендуем пользоваться современными защитными решениями, а также ни в коем случае не переходить по подозрительным ссылкам и не запускать непроверенные файлы», — рассказывает Татьяна Щербакова, старший спам-аналитик «Лаборатории Касперского».

В первом квартале 2014 увеличилось разнообразие информационных угроз

В первом квартале 2014 увеличилось разнообразие информационных угроз

Александр Панасенко

Первый квартал 2014 года был богат на разнообразие новых угроз, среди которых специалисты «Лаборатории Касперского» обнаружили как глобальные операции кибершпионажа, так и новые приемы вирусописателей, нацеленные на массового пользователя. Так, за последние три месяца количество мобильных банковских троянцев увеличилось почти вдвое.

В сентябре прошлого года эксперты «Лаборатории Касперского» сообщили о таргетированной операции Icefog, которую злоумышленники прекратили сразу после разоблачения. Однако в первом квартале эксперты компании обнаружили следующее поколение бэкдоров Icefog – на этот раз Java-версию зловреда, получившую название Javafog. Жертвами нового метода атаки стали три организации, находящиеся в США, причем одной из них оказалась крупная международная нефтегазовая компания. Еще более важной находкой стало обнаружение масштабной кампании кибершпионажа «Маска», целями которой были государственные учреждения, посольства, исследовательские институты и другие компании в 31 стране мира.

В последние несколько месяцев отмечен резкий рост числа пользователей Tor – программы, обеспечивающей анонимную работу в Интернете. Tor не только стал решением для защиты от кражи персональных данных, но и снискал большую популярность среди киберпреступников, которым особенно выгодна анонимность. Например, в феврале эксперты «Лаборатории Касперского» обнаружили первый Android-троянец, который использует в качестве командного центра домен в псевдо-зоне .onion.

«Лаборатория Касперского» также продолжает следить за криптовалютой Bitcoin. Прогнозируя ее будущее в конце прошлого года, специалисты компании отметили, что атаки на биржи и пользователей Bitcoin станут одной из самых громких тем года – этот прогноз уже начинает сбываться. Так, в феврале злоумышленники взломали одну из торговых площадок и украли 770 тысяч Bitcoin, что эквивалентно примерно 350 миллионам долларов США. В стремлении увеличить нелегальные доходы злоумышленники также заражают компьютеры пользователей, чтобы за счет дополнительных ресурсов генерировать больше электронной валюты. По этому принципу действует, например, Trojan.Win32.Agent.aduro, троянец, который занимает 12-е место в рейтинге наиболее часто детектируемых объектов в Интернете по результатам первого квартала.

Что касается мобильных угроз, доля вредоносных программ, нацеленных на Android, составила более 99%. Всего за этот период было обнаружено 110 324 новых мобильных зловредов, а количество мобильных банковских троянцев увеличилось почти вдвое, с 1321 до 2503. Следует также отметить, что почти 89% атак с помощью подобных программ пришлись на российских пользователей. В целом же среди типов мобильных зловредов на первом месте оказались рекламные модули, транслирующие навязчивую рекламу, а долгое время лидирующие SMS-троянцы сместились на второе место – их доля уменьшилась с 34% до 22%.
Всего же по данным облачной инфраструктуры Kaspersky Security Network в первом квартале 2014 года продукты компании заблокировали 1,13 миллиарда атак на компьютеры и мобильные устройства пользователей, а также 353 миллиона онлайн-атак, 39% которых проводились с использованием вредоносных веб-ресурсов, расположенных в США и России.

«По итогам первых трех месяцев можно сказать, что наши прогнозы развития киберугроз на 2014 год начинают сбываться: ускоряются темпы развития киберугроз, в том числе мобильных, получают все большую популярность сервисы для анонимной работы в Сети, позволяющие скрыть свою частную жизнь от слежки, участились атаки на Bitcoin-пулы. Не обошлось в первом квартале и без громких кампаний кибершпионажа – помимо новой активности от знакомых по кампании IceFog хакеров исследовательский центр «Лаборатории Касперского» столкнулся с более сложной и опасной на данный момент кибероперацией «Маска». За ней последовало выявление очередной кампании кибершпионажа Turla, которую мы до сих пор исследуем – на наш взгляд, она сложнее, чем это представлено в материалах, опубликованных другими экспертами по IT-безопасности», – отметил Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского».

Приложение iBanking атакует пользователей при помощи web-инъекций

Приложение iBanking атакует пользователей при помощи web-инъекций

Мобильное приложение iBanking, разработанное для устройств на базе Android, позиционируется его разработчиками как решение безопасности, однако на деле оно использует инъекции HTML с целью хищения финансовой информации пользователей. Об этом сообщают исследователи ESET.

Как следует из отчета экспертов, исходный код приложения был недавно опубликован в открытом доступе пользователями подпольных форумов, что дало возможность большому количеству злоумышленников распространять уже готовый вирус, замаскированный под легитимную программу.

Также сообщается, что изначально появившаяся iBanking после установки позволяет атакующим прослушивать разговоры жертвы, осуществлять подмену SMS, перенаправлять вызовы на произвольный номер, включать микрофон (и делать запись), а также похищать различную конфиденциальную информацию, в том числе из журнала вызовов и списка контактов.

Вместе с тем, основной задачей вредоносного приложения является осуществление web-инъекций при посещении жертвой банковских ресурсов. При использовании сервисов мобильного банкинга инфицированное устройство передает злоумышленникам информацию, необходимую для кражи средств.

Первый человек арестован за эксплуатацию бага Heartbleed

Первый человек арестован за эксплуатацию бага Heartbleed

Канадская полиция задержала 19-летнего парня из города Лондон (провинция Онтарио). Его обвиняют в несанкционированном доступе к серверу Канадской налоговой службы и копировании информации о налогоплательщиках. Начинающий хакер по имени Стефан Артуро Солис-Рейес (Stephen Arthuro Solis-Reyes), предположительно, использовал уязвимость Heartbleed в криптографической библиотеке OpenSSL.

Государственная служба задержалась с обновлением программного обеспечения на своих серверах, чем и воспользовался тинейджер. Узнав о взломе, налоговики закрыли сайт на несколько дней для проведения расследования — и правоохранительные органы все-таки сумели вычислить злоумышленника, который не слишком заботился о скрытности. По информации налоговой службы, скомпрометированы номера социального страхования примерно 900 пользователей.

В то же время закрылись и сайты других государственных агентств Канады. Задержание прошло 15 апреля, из дома Стефана конфисковано компьютерное оборудование для поиска улик.

Студент факультета информатики местного университета предстанет перед судом 17 июля.

Некоторые вопросы регулирования рынка ИБ.

Некоторые вопросы регулирования рынка ИБ.
Выступление Пярина Виктора Анатольевича,
лауреата государственной премии РФ, члена-корреспондента Академии криптографии РФ на форуме АЗИ
3 апреля 1914 года.

DSC01492 (2)

Нормативные документы РФ в области информационной безопасности:
Конституция РФ, акты федерального законодательства, международные договоры РФ,  законы федерального уровня (включая федеральные конституционные законы, кодексы), указы Президента РФ, постановления правительства РФ, нормативные правовые акты федеральных министерств и ведомств, нормативные правовые акты субъектов РФ, органов местного самоуправления, государственные (национальные) стандарты РФ, рекомендации по стандартизации, методические указания, международные стандарты информационной безопасности.
Государственные органы РФ, контролирующие деятельность в области  информационной безопасности:
-Комитет государственной думы по безопасности;
– Совет безопасности России;
– Федеральная служба безопасности России (ФСБ России);
– Федеральная служба по техническому и экспортному контролю (ФСТЭК России);
-Министерство внутренних дел Российской Федерации (МВД России);
-Министерство коммуникаций и связи Российской Федерации;
-Центральный банк Российской Федерации (Банк России).
Государственные органы РФ, регулирующие деятельность в области информационной безопасности:
– Федеральная служба безопасности России (ФСБ России);
– Федеральная служба по техническому и экспортному контролю (ФСТЭК России);
-Федеральная служба надзора в сфере информационных технологий и массовых коммуникаций (Роскомнадзор);
-Центральный банк Российской Федерации (Банк России).

Казалось бы в области информационной безопасности всё организовано, отрегулировано и контролируется. Так ли это?
Представляется, что в настоящее время основные угрозы информационной безопасности исходят от информационно-телекоммуникационных сервисов, которые реализуются компаниями, деятельность которых практически не регулируется;
Новые информационные технологи и сервисы создаются в рамках глобальной телекоммуникационной инфраструктуры;
Информационные технологии и сервисы появляются так стремительно, что государству трудно определять без существенного запаздывания результативные механизмы их контроля с точки зрения информационной безопасности;
Участники рынка услуг связи и предоставления информационно-телекоммуникационных сервисов  не мотивированы к совместному решению проблем информационной безопасности;
Государство не располагает единым центром принятия решений в области регулирования информационной безопасности.
Обеспечение информационной безопасности не попадает под  действие закона о техническом регулировании и, как следствие, попытки создания технических регламентов в этой области потерпели фиаско.
К чему приводят указанные проблемы?
К росту киберпреступности. Проблема киберпреступности  обсуждается на уровне ООН в одном ряду с такими «вечными» недугами человечества как работорговля, незаконная миграция, торговля наркотиками и оборот оружия.
Вопросы борьбы с киберпреступностью имеют высокий приоритет среди наиболее актуальных вопросов в деятельности российского государства.
Нередко тратятся значительные средства на мало результативные механизмы  обеспечения информационной безопасности.
Снижается авторитет государства в области регулирования вопросов информационной безопасности.
Указанные проблемы приводят также к замедленному развитию электронного бизнеса, к отставанию от потребностей своевременного оказания электронных услуг населению.
Стратегические направления деятельности по решению указанных проблем
Создание единого центра формирования государственной политики в области информационной безопасности.
Внедрение механизмов саморегулирования на рынке ИБ.
Внесение изменений в законодательство РФ, позволяющих привлекать к регулированию обеспечения информационной безопасности  СРО.
Стимулирование на создание саморегулируемых организаций  по ИБ.
Что такое СРО?
Определение СРО
Саморегулируемыми организациями признаются некоммерческие организации, созданные в целях, предусмотренных ФЗ №315 от01.12.2007 «О саморегулируемых организациях» и иными ФЗ, основанные на членстве, объединяющие субъектов предпринимательской деятельности исходя из единства отрасли производства товаров (работ, услуг) или рынка производственных товаров (работ, услуг) (юридические лица и ИП), либо объединяющие субъектов профессиональной деятельности определённого вида (физлица).
Членство в СРО
Членство субъектов предпринимательской или профессиональной деятельности в саморегулируемых организациях является добровольным.
Федеральными законами могут быть предусмотрены случаи обязательного членства субъектов предпринимательской или профессиональной деятельности в саморегулируемых организациях.
Субъект, осуществляющий различные виды предпринимательской или профессиональной деятельности, может являться членом нескольких саморегулируемых организаций, если такие саморегулируемые организации объединяют субъектов предпринимательской или профессиональной деятельности соответствующих видов.
Субъект, осуществляющий определенный вид предпринимательской или профессиональной деятельности, может являться членом только одной саморегулируемой организации, объединяющей субъектов предпринимательской или профессиональной деятельности такого вида.

Требования к СРО:
-членство не менее 25 субъектов предпринимательской деятельности или не менее 100 субъектов профдеятельности определённого вида;
-наличие стандартов и правил предпринимательской или профессиональной деятельности, обязательных для выполнения всеми членами саморегулируемой организации;
-обеспечение саморегулируемой организацией дополнительной имущественной ответственности каждого ее члена перед потребителями произведенных товаров (работ, услуг) и иными лицами;
-наличие (должны быть созданы) специализированных органов, осуществляющих контроль за соблюдением членами саморегулируемой организации требований стандартов и правил предпринимательской или профессиональной деятельности и рассмотрение дел о применении в отношении членов саморегулируемой организации мер дисциплинарного воздействия, предусмотренных внутренними документами саморегулируемой организации.
Предмет саморегулирования — предпринимательская или профессиональная деятельность субъектов, объединенных в саморегулируемые организации.
Способы осуществления деятельности:
Разрабатывает и утверждает стандарты и правила предпринимательской или профессиональной деятельности (далее — стандарты и правила саморегулируемой организации), под которыми понимаются требования к осуществлению предпринимательской или профессиональной деятельности, обязательные для выполнения всеми членами саморегулируемой организации.
Стандартами и правилами саморегулируемой организации могут устанавливаться дополнительные требования к предпринимательской или профессиональной деятельности определенного вида.
Основная идея СРО – возложить часть контрольных и надзорных функций за деятельностью субъектов в определённой сфере на самих участников рынка. При этом собственно государственный надзор в большей степени сосредотачивался бы не на надзоре за деятельностью, а на надзоре за её результатами.
В России сегодня уже около полутора тысяч саморегулируемых организаций и около десяти миллионов человек в той или иной мере вовлечены в проблемы СРО. Таким образом, саморегулирование как общественно-правовое явление состоялось.
В марте 2014года  IV Всероссийский форум саморегулируемых организаций собрал около семисот человек лично и около полутора-двух тысяч в интерактивном режиме активных участников движения саморегулирования, представляющих более шестидесяти отраслей экономической деятельности.
ЦЕЛЕСООБРАЗНОСТЬ    СОЗДАНИЯ САМОРЕГУЛИРУЕМОЙ  ОРГАНИЗАЦИИ                                                         ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ (СРО ИБ)   В РОССИЙСКОЙ ФЕДЕРАЦИИ
Необходимость создания СРО ИБ, на мой взгляд, объективно обусловлена высокой значимостью информации в современном всё более информатизируемом обществе. Сегодня в совокупности производимых товаров (работ, услуг) всё более расширяется доля информационных продуктов. К сожалению в мире, в том числе и в России, всё чаще реализуются попытки несанкционированного доступа к электронным базам данных различных организаций (особенно в финансовой сфере, где информация — реальные деньги), что является причиной их материальных потерь и репутационного ущерба. Статистика таких преступлений имеет высокие темпы роста, вызывает необходимость выработки эффективных мер противодействия.
СРО ИБ могли бы внести заметный вклад в создание системы мониторинга и быстрого реагирования на такие преступления.
В России на текущий момент сформировался и продолжает активно развиваться рынок организаций, специализирующихся на различных  вопросах обеспечения информационной безопасности.
Создаются профессиональные объединения таких организаций (ассоциации и др.). Развивается законодательная база, направленная на эффективное регулирование отношений участников общества в части информации.
К сожалению, не все организации ведут честный и открытый бизнес, сегодня не существует эффективных фильтров для участия в конкурсах и аукционах только тех компаний, которые реально способны предоставлять заказчикам продукты и услуги высокого качества.
Федеральный закон от 01.12.2007 N315-ФЗ «О саморегулируемых организациях» предоставляет участникам рынка — субъектам предпринимательской деятельности (юридическим лицам и индивидуальным предпринимателям), специализирующимся на производстве товаров (работ, услуг) в области информационной безопасности, возможность создать профессиональные объединения в виде некоммерческих саморегулируемой организации информационной безопасности — СРО ИБ. В основе деятельности таких организации лежит, определяемое законом N315-ФЗ саморегулирование, под которым понимается самостоятельная и инициативная деятельность, осуществляемая субъектами предпринимательской деятельности, образовавшими СРО ИБ, содержанием которой являются разработка и установка стандартов и правил названной деятельности, а также контроль за соблюдением требований названных стандартов и правил. Обязательными условиями создания СРО ИБ являются также востребованность в её образовании не менее чем 25 субъектами предпринимательской деятельности российского рынка, специализирующимися на решении вопросов информационной безопасности, обеспечение со стороны СРО ИБ дополнительной имущественной ответственности каждого её члена перед потребителями произведенных ими товаров (работ, услуг).

КОНЦЕПТУАЛЬНЫЕ ОСНОВЫ СРО ИБ
Целью настоящих концептуальных основ является описание основных положений деятельности некоммерческой саморегулируемой организации, сферой деятельности которой является информационная безопасность (СРО ИБ).
Основное назначение СРО ИБ — саморегулирование  объединённых в качестве её членов субъектов предпринимательской деятельности российского рынка, занимающихся вопросами информационной безопасности, зарегистрированных, как и сама СРО ИБ, в установленном порядке в соответствующих государственных органах и осуществляющих свою предпринимательскую деятельность в соответствии с Гражданским кодексом РФ.
Деятельность СРО ИБ должна соответствовать всем требованиям Федерального закона от 01.12.2007 №315-ФЗ «О саморегулируемых организациях».
Нормативно-правовая база СРО ИБ должна включать в себя совокупность федеральных законов и разработанных в соответствии с ними иных нормативных правовых актов, регламентирующих общие требования к деятельности СРО ИБ, а также принятые в соответствии с ними стандарты и правила предпринимательской деятельности и иные внутренние нормативные акты, обязательные для выполнения всеми членами СРО ИБ.
Стандарты СРО ИБ должны развиваться с учетом взаимодействия с российскими и международными организациями – разработчиками открытых стандартов в области ИБ на основе применения и эффективного сочетания международных и российских стандартов с учётом специфики рынка.
СРО ИБ должна заниматься расширением количества своих членов, распространять на равных условиях среди участников рынка, не являющихся членами СРО ИБ, свои стандарты и правила предпринимательской деятельности для расширения на этой основе инфраструктуры для внедрения и практического применения различных товаров (работ, услуг) ИБ с целью получения реальной экономической выгоды членами СРО ИБ и участниками рынка.
СРО ИБ должна взаимодействовать с участниками российского рынка, специализирующимися на вопросах ИБ: с государственными организациями-регуляторами (в том числе по вопросам развития нормативно-правовой базы СРО ИБ), интеграторами, разработчиками систем защиты информации и их потребителями (в том числе по вопросам консалтинга, проектирования, разработки, внедрения и эксплуатации технологий ИБ), ассоциациями и другими общественнными организациями по вопросам, представляющим взаимный интерес, исходя из целей и задач их деятельности.
СРО ИБ должна организовать с участием своих членов для обеспечения реализации требований нормативно-правовой базы СРО ИБ систему сертификации СРО ИБ, которая должна взаимодействовать с соответствующими профильными государственными (ФСБ России, ФСТЭК России, Минкомсвязи России,  Банк России) и международными (Visa, MasterCard и др.) центрами сертификации.
СРО ИБ должна заниматься проведением общественной экспертизы отдельных, наиболее значимых по критериям стоимости внедрения и эксплуатации проектов ИБ, разработанных членами СРО ИБ, с целью возможного предложения их членам СРО ИБ и участникам рынка в качестве передовых технологий ИБ.
СРО ИБ в вопросах развития российского рынка ИБ должна исходить из обеспечения национальных интересов РФ и интересов своих членов, участников российского рынка.
СРО ИБ должна заниматься организацией своих конференций, семинаров, выставок и иных мероприятий, организовывать участие своих членов и принимать участие в проведении подобных мероприятий, организуемых другими организациями по вопросам ИБ.
Решения СРО ИБ в отношении участников рынка должны носить рекомендательный характер, а в отношении членов СРО ИБ, в случаях когда это регламентировано нормативно-правовой базой СРО ИБ, быть обязательными для исполнения.
Задачи, которые СРО ИБ может решать:
-установление правил этики конкуренции на рынке обеспечения безопасности ИТУ, противодействие монополизации рынка защиты информации, содействие интеграции России в мировое информационное пространство;
-разработка и установление согласованных участниками рынка требований (рекомендаций) по обеспечению безопасности информационных систем, в том числе информационных систем персональных данных (за исключением ИС критически важных объектов), информационно-телекоммуникационных сетей и других сетей связи.  В т.ч. разработка проектов стандартов ИБ для новых информационных технологий. Согласование стандартов с ФСБ России, ФСТЭК России, Минкомсвязи и Банком России  ;
-организация системы добровольной аккредитации организаций, оценки качества продуктов и услуг, в том числе, новых информационных технологий, на соответствие требованиям (рекомендациям) по ИБ, установленным стандартами СРО (цель этого пункта — ускорение внедрения новых ИТ за счет сокращения времени оценки качества новых технологий, продуктов и услуг);
-сертификация в рамках системы добровольной сертификации  продуктов и услуг в области обеспечения ИБ информационных систем, в т.ч. ИСПДн (за исключением ИС КВО), ИТС и других СС;
-защита интересов членов организации при разработке и изменении российского и международного законодательства и стандартов в области ИБ, применении норм права в области ИБ, в том числе законодательства по ПДн;
-взаимодействие с уполномоченным органом по защите прав субъектов ПДн (Роскмонадзор) при регулировании отношений между субъектами ПДн и участниками рынка ИТУ;
-содействие ФСБ России, ФСТЭК, Минкомсвязи и Банку России при разработке требований (рекомендаций) по обеспечению ИБ и безопасности ПДн для рынка ИТУ (т.е. отраслевых НПА по обеспечению ИБ и безопасности ПДн);
В России отсутствуют СРО в области информационной безопасности (по аналогии СРО в областях финансового аудита, строительства и др.).
В мировой практике аналоги СРО в области информационной безопасности существуют, например, PCI Council – Совет в области стандартов безопасности индустрии платежных карт.
В качестве наиболее близкого к ИБ примера СРО в России можно привести
ИТ-СРО «Межрегиональное объединение организаций в области проектирования «ЯРД».
НП «МОООП «Ярд» — отраслевая саморегулируемая организация, объединяющая в своих рядах ИТ-компании, в деятельность которых включены проектные работы на объектах капитального строительства, включая особо опасные и технически сложные, а также на объектах использования атомной энергии.
Для законного осуществления своей деятельности, многим организациям необходимо наличие Свидетельства о допуске на виды работ, которые оказывают влияние на безопасность объектов капитального строительства. Под действие Закона попали не только классические строительные организации, но и компании, работающие на рынках информационных и коммуникационных технологий.
При вступлении в специализированную СРО проектировщиков, у организаций появляется возможность, при взаимодействии с компаниями-единомышленниками, формировать правила саморегулирования, исходя из собственных профессиональных интересов.
Цель ИТ-СРО «Межрегиональное объединение организаций в области проектирования «ЯРД»  — совершенствование отрасли путем выстраивания эффективных механизмов саморегулирования и защиты интересов своих участников.
Пример самоорганизации по вопросам информационной безопасности (пока не СРО)
АБИСС-Сообщество организаций, деятельность которых направлена на развитие и продвижение стандарта Банка России СТО БР
2004 год – вышла первая версия стандарта по ИБ, разработанная для внутреннего использования в Банке России
2006 год – 02.02.2006 года состоялось подписание меморандума о создании Сообщества АБИСС (Подписанты: ЗАО «Андек», НПФ «Кристалл», ГНИИ ПТЗИ ФСТЭК России, ООО «Линс-М», КПМГ и Эрнст энд Янг.)
2011 год – основной задачей Сообщества ABISS становится организация механизмов саморегулирования и взаимодействие с регуляторными и контрольными органами (Роскомнадзора, ФСБ России, ФСТЭК России, Банка России). Создаётся НП «Сообщество пользователей стандартов по информационной безопасности АБИСС».
2013 год – реорганизация НП «АБИСС» в целях получения статуса СРО
Приоритетные направления деятельности АБИСС  на 2014 год
Завершение  создания системы контроля качества, формирование Комитета по контролю качества
выполнение необходимых условий для регистрации НП «АБИСС» как СРО, в частности:
обеспечение наличия минимального количества ее членов – не менее 25 субъектов предпринимательской деятельности или не менее 100 субъектов профессиональной деятельности.
принятие в строго легитимном порядке и в установленной федеральным законодательством и внутренними нормативными актами СРО форме обязательных стандартов и правил предпринимательской и профессиональной деятельности, под которыми понимаются требования к осуществлению предпринимательской или профессиональной деятельности, обязательные для выполнения всеми членами будущего СРО.
обеспечение  дополнительной имущественной ответственности СРО, что обеспечивается наличием компенсационного фонда СРО и коллективного либо индивидуального страхования ответственности членов СРО.
Получение статуса СРО.
НП «СОИБ» — некоммерческое партнерство «Содружество организаций, работающих в области информационной безопасности »
Учреждено в 2013 году по инициативе ряда членов АЗИ.
На сайте soibrf.ru можно ознакомиться с Уставом НП «СОИБ» а также получить дополнительную информацию.
В настоящее время проводится работа по подготовке необходимого для внесения НП «СОИБ» в государственный реестр СРО Росреестра пакета документов и, в первую очередь, стандартов и правил, регулирующих деятельность своих членов в соответствие с правилами деловой этики и препятствующие недобросовестной конкуренции. На этом же этапе планируется пригласить к присоединению к НП «СОИБ» широкий круг предприятий и организаций, работающих в сфере производства товаров (работ и услуг) в области информационной безопасности.
Как председатель Правления НП СОИБ я надеюсь, что  процесс создания, развития и функционирования СРО по ИБ будет поддержан  государственными регуляторами в области информационной безопасности и будет проходить в тесном и конструктивном взаимодействии с ними.
Без поддержки государственных регуляторов создание СРО в области информационной безопасности, на мой взгляд, не имеет смысла.

Представляется, что образование участниками рынка СРО ИБ и их активная деятельность могут внести весомый вклад в построение в России современного, в том числе в части решения вопросов информационной безопасности, информационного общества по всем его функциональным направлениям с учетом целей и задач «Стратегии развития информационного общества в Российской Федерации до 2020 года».

Благодарю за внимание.
Пярин Виктор Анатольевич,
член АЗИ, лауреат государственной премии РФ,
член-корреспондент Академии криптографии РФ.

В 2013 году госструктуры России потратили на ИБ менее 5% своих ИТ-бюджетов

В 2013 году госструктуры России потратили на ИБ менее 5% своих ИТ-бюджетов

Александр Панасенко

По результатам аналитического исследования, проведенного компанией «Код Безопасности», в 2013 году государственные ведомства потратили на защиту информационных ресурсов около 4,8% своих ИТ-бюджетов. Наиболее востребованными продуктами в госведомствах стали решения класса FW/VPN, на которые было потрачено 27% ИБ-бюджета, и антивирусы (18%).

Примерно одинаковые суммы, а именно 13,2% и 13,13% ИБ-бюджетов, были потрачены на закупку продуктов класса СЗИ от НСД/модули доверенной загрузки и сканеров защищенности соответственно. Около 12% госорганы потратили на решения класса IDM/PKI/SSO, которые обеспечивают эффективное управление доступом к государственным информационным ресурсам. Замыкают рейтинг средства предотвращения вторжений,токены и средства защиты виртуализации, на каждое было затрачено менее чем 3% ИБ-бюджета. Наименее востребованными решениями в госорганах оказались средства предотвращения утечек информации (0,66%).
Рисунок 1. Структура затрат на информационную безопасность по классам продуктов

 

По данным отчета доля ИБ-продуктов российского производства в госзакупках 2013 года составила более 90%. Продукты зарубежных вендоров смогли конкурировать с российскими только в двух категориях: системы IDM/PKI/SSO, где их доля составила около 43%, и средства предотвращения утечек информации (83%).

«Проанализировав открытые данные с сайта госзакупок, мы получили представление о том, как распределяются затраты госведомств на информационную безопасность по классам продуктов. В конечном счете это позволило нам оценить текущую ситуацию на российском рынке ИБ и понять, какую долю рынка в этой структуре занимает «Код Безопасности», – прокомментировал Андрей Голов, генеральный директор компании «Код Безопасности».