четверг, 22 июня 2017 г.

ИБ. НПА. Изменения в 17 приказе по защите ГИС и согласования



Недавние изменения в 17 приказ ФСТЭК России, были небольшими, но породили множество вопросов. По самым важным я задал вопросы органу гос. контроля. Обещали подобную информацию, разместить в информационном письме на сайте ФСТЭК России, но для самых нетерпеливых привожу ответы здесь …

1. В соответствии с пунктом Требований 17.6 в случае, если информационная система создается на базе центра обработки данных уполномоченного лица, такой центр обработки данных должен быть аттестован по классу защищенности не ниже класса защищенности, установленного для создаваемой информационной системы.
Приходилось сталкиваться с ситуацией, когда создается центр обработки данных (далее - ЦОД), в котором в дальнейшем предполагается размещения компонентов информационных систем, но на момент создания и аттестации ЦОД, в нем не размещается каких-либо ГИС.
На момент проведения испытаний ЦОД, в нем может быть развернута система защиты общей инфраструктуры ЦОД, но отсутствует система защиты информации ГИС. Например, могут быть развернуты средства межсетевого экранирования и обнаружения вторжений, но отсутствовать средства защиты от НСД и средства антивирусной защиты, так как отсутствуют серверы информационных систем, на которые устанавливаются такие средства защиты.
 На соответствие каким требованиям необходимо проводить аттестацию такого ЦОД и какие испытания, из перечня, приведенного в пункте 17.2 Требований, необходимо проводить во время такой аттестации?



2. В соответствии с пунктом Требований 17 проведение аттестационных испытаний информационной системы должностными лицами, осуществляющими проектирование и (или) внедрение системы защиты информации информационной системы, не допускается.
Допускается ли проведение аттестационных испытаний в случае если внедрением системы защиты информации и аттестацией информационной системы занимаются различные подразделения одного лицензиата ФСТЭК России (разные физические лица, одно юридическое лицо)?


3. В соответствии с ч. 5 ст. 19 Федерального Закона от 27 июля 2006 г. "О персональных данных" №152-ФЗ (далее - 152-ФЗ) Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки (т. е. Модели угроз).
В соответствии с ч. 7 ст. 19 152-ФЗ проекты нормативных правовых актов (моделей угроз), указанных в ч. 5 ст. 19 152-ФЗ подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, т.е. с ФСТЭК России.
Прошу уточнить, необходимо ли согласование с ФСТЭК России моделей угроз, разрабатываемых Департаментом информационных технологий, Министерством здравоохранения или иными гос. органами субъектов Российской Федерации и пояснить порядок такого согласования.

В дополнение к 3-ему ответу, сегодня на конференции Будни информационной безопасности в г. Кургане представитель управления ФСТЭК России по УФО анонсировал новый приказ ФСТЭК России №105 от 05 июня 2017 г. в котором определен порядок рассмотрения и согласования моделей угроз и технических заданий на создание ГИС, в частности указывающий отправлять документы по федеральным ГИС в московский ФСТЭК, документы по региональным ГИС и МИС в управления ФСТЭК по федеральным округам.



Устно представитель ФТСЭК рекомендовал следующий оптимальный порядок согласования: после подготовки документа созвонится с управлением по УФО, устно сообщить о желании согласовать, далее выслать документы по электронной почте на предварительное согласование, получить замечания или подтверждение что все ок и только после этого везти документы в бумажной форме на подпись. Такой вариант будет наиболее быстрым и позволит не возить бумагу много раз. 

пятница, 16 июня 2017 г.

СКЗИ. НПА. Ещё больше вопросов по применению криптографии

В рамках предыдущей статьи мы определили, что в обеспечении безопасности информации ограниченного доступа с использованием СКЗИ участвуют как минимум 2 лица: ОКЗИ лицензиата ФСБ России и обладатель информации (если он не лицензиат).


При этом ОКЗИ организует и контролирует работы с СКЗИ (но может и реализовывать), а обладатели информации выполняют указания ОКЗИ по всем вопросам организации и обеспечения безопасности информации с использованием СКЗИ. То есть, имеем коллективные усилия и ответственность в эксплуатации СКЗИ.

Естественно, что, когда 2 лица задействованы в одном процессе, хорошо бы распределить их зоны и регламентировать взаимодействие. Для этого и применяется инструкция ФАПСИ №152. В некотором приближении все мероприятия в Инструкции можно разделить на 3 блока:
·         внутренние требования к ОКЗИ (требования, которые лицензиат должен выполнить на своей стороне – помещения, персонал, свои документы)
·         требования, к мерам, которые ОКЗИ должны принять совместно с обладателем КИ на объектах обладателя КИ
·         требования к пользователям СКЗИ

Рекомендую всем ознакомится с Инструкцией и составить свое мнение. Но нам всё-таки показались недостаточно четко расписанными взаимоотношения ОКЗИ и обладателя информации, в связи с чем были написаны вопросы в ФСБ, отправлены по частям, получены ответы, которыми я и хочу поделиться далее. Скорее всего будут полезны для ОКЗИ, но и обладателям информации будет не лишним ознакомится.

Вопросы к ФСБответы, комментарии:
1. Одно из проблемных мест – зачастую Лицензиату приходится продавать СКЗИ заказчикам у которых нет ОКЗИ, откуда можно сделать вывод, что СКЗИ у них будет эксплуатироваться с нарушениями. Не является ли такая продажа СКЗИ нарушением? Должен ли продавец спрашивать у заказчика подтверждение наличия ОКЗИ до момента продажи СКЗИ? Может ли ФСБ при лицензионном контроле наказать за такие продажи?
Вопрос к ФСБ: В случае, если организация не обладающая лицензией ФСБ России (далее - Покупатель) обращается за приобретением средств криптографической защиты информации (далее - СКЗИ) к организации обладающей лицензию ФСБ России (далее - Продавец), должен ли Продавец проверять, имеется ли у Покупателя договор на услуги Органа криптографической защиты информации (далее - ОКЗИ) от какого-либо лицензиата ФСБ России?
Возможна ли продажа СКЗИ Продавцом Покупателю, если у Покупателя отсутствует договор на ОКЗИ?
Ответ от ФСБ: Необходимость проверки продавцом наличия у покупателя СКЗИ договора на услуги ОКЗИ нормативными правовыми актами не предусмотрена. Соответственно, продажа СКЗИ покупателю, не имеющему ОКЗИ возможна.

2. Ещё одна из проблем, с которой мы часто сталкивались – изначально ОКЗИ обслуживает только одно СКЗИ, следует ли из этого автоматически что ОКЗИ отвечает за все СКЗИ у Заказчика? В приказе ФАПСИ 152 недостаточно четко описан этот момент – создается впечатление что как только Лицензиат назначает ОКЗИ для заказчика, ОКЗИ автоматом отвечаем за всё и все СКЗИ. Что не очень логично
Вопрос к ФСБ: В случае если у Покупателя используются различные СКЗИ, например, КриптоПро CSP, АПКШ Континент и Покупатель дополнительно приобретает СКЗИ VipNet HW 1000, может ли ОКЗИ лицензиата ФСБ России обслуживать только часть СКЗИ Покупателя, например только защищенную сеть VipNet и не контролировать иные СКЗИ?
Как следствие, может ли у Покупателя быть одновременно несколько ОКЗИ для разных СКЗИ?
Ответ от ФСБ: Количество ОКЗИ для организации не регламентировано. У покупателя может быть несколько ОКЗИ для разных СКЗИ.   

3. Много раз мы сталкивались с ситуацией, когда изначально были подготовлены корректные документы по ОКЗИ, вся необходимая информация учтена в журналах, пломбы, хранилища, помещения – всё как положено. Но через месяц у заказчика все поменялось, часть документов стали неактуальны, часть мер перестали выполняться. Но каждый день выходить к Заказчику и контролировать чтобы он чего-то не поменял, ОКЗИ не может (либо это обойдется слишком дорого). Лучше раз в квартал, а то и раз в год. Из приказа ФАПСИ 152 непонятно, возможна ли периодическая работа ОКЗИ. Периодичность в приказе нигде не упоминается.
Вопрос к ФСБ: Приказом ФАПСИ №152 требуется контроль соблюдения правил эксплуатации СКЗИ со стороны ОКЗИ. В связи с тем, что представители ОКЗИ не могут постоянно находится на территории Заказчика и не могут контролировать пользователей Заказчика и актуальность документации непрерывно, допускается ли проведение такого контроля с определенной периодичностью, например, раз в неделю, месяц, квартал, год?
Ответ от ФСБ: Периодичность контроля соблюдения Заказчиком правил эксплуатации СКЗИ может устанавливаться ОКЗИ самостоятельно.

4. Опять же частая ситуация – в организации происходят отклонения от выполнения требований. Владелец информации ограниченного доступа самостоятельно нарушения не устраняет. В приказе ФАПСИ написано, что ОКЗИ также несет ответственность за эксплуатацию СКЗИ в соответствии с требованиями. Какие меры может принимать ОКЗИ в данном случае.
Вопрос к ФСБ России: Какие действия необходимо применять ОКЗИ в случае выявления у Заказчика нарушений правил эксплуатации СКЗИ? Какие действия необходимо принимать в случае если Заказчик не устраняет (отказывается устранять) выявленные нарушения?
Ответ от ФСБ: В случае нарушения пользователем правил эксплуатации СКЗИ следуем руководствоваться разделом 5 Инструкции ФАПСИ, в соответствии с которым ОКЗИ осуществляет разработку и принятие мер по предотвращению возможных опасных последствий выявленных нарушений и несет ответственность за принятие зависящих от него мер.
Приведенному ответу соответствует, например, следующая стратегия – ОКЗИ проводит периодический контроль, в случае выявления нарушений сообщает заказчику любым способом; если нет реакции пишет официальное письмо заказчику о необходимости устранения нарушений и ответа в определенный срок; в случае отсутствия ответа ОКЗИ пишет в ФСБ о том, что СКЗИ обрабатываются с нарушением и нет возможности обеспечить безопасность информации.

5. Ещё одна проблема, которая нас беспокоила – на сколько Лицензиат рискует, заключая договора на услуги ОКЗИ? Кто будет виноват если в рамках проверки ФСБ России будет обнаружено нарушение эксплуатации СКЗИ?
Вопрос в ФСБ России: В случае проведения государственного контроля организации со стороны ФСБ России и выявлении нарушений в правил эксплуатации СКЗИ, кто несет ответственность за данные нарушения: Заказчик или ОКЗИ Исполнителя?
Ответ от ФСБ: Ответственность за нарушения правил эксплуатации СКЗИ определяется, исходя из роли и полномочий Лицензиатов ФСБ России и ОКЗИ в соответствии с рассматриваемой Инструкцией, а также договором, заключенным между заинтересованными сторонами в защите информации (Лицензиат ФСБ России, ОКЗИ, Заказчик) сторонами.
В случае, если подлежащая защите информация содержит персональные данные, то ответственность за нарушения правил эксплуатации СКЗИ несет оператор персональных данных (Заказчик).
ИТОГО учитывая все предыдущие пункты: помимо Инструкции необходимо ещё ориентироваться на договор между ОКЗИ и заказчиком, в котором должна быть прописана ответственность и обязанности каждой из сторон, в том числе периодичность контроля ОКЗИ, перечень работ, которые ОКЗИ выполняет самостоятельно, перечень мероприятий, и объем информации которые предоставляем обладатель информации, регулярность с которой он информирует ОКЗИ об изменениях и т.п.


PS: Кстати, кроме Инструкции, много вопросов вызывают также и обязанность по выполнению требований формуляра и эксплуатационной документации на СКЗИ.

пятница, 9 июня 2017 г.

ПДн. Общее. Что полезного мог бы сделать Минкомсвязи (Роскомнадзор) для безопасности обработки ПДн

В Евросоюзе (с которым у нас много общего в части законодательства о персональных данных) есть такой орган European Data Protection Supervisor (EDPS). Задачи его во много схожи с задачами Минкомсвязи (Роскомнадзор) в части ПДн: контроль обработки ПДн в организациях, мониторинг того что соблюдаются права граждан и безопасность данных.
Но кроме схожих задач EDPS делает ещё некоторые полезные активности, которые хорошо было бы перенять Минкомсвязи или Роскомнадзору:
·         Организация активного сообщества лиц ответственных за организацию обработки и защиты данных (Data Protection Officers, DPO) в гос. органах. Они хорошо друг друга знают, тесно общаются, проводят встречи 2 раза в год с полезными тренингами без воды и продаж (уже 41-ая встреча по плану). Ну и граждане знают своих героев.  

·         Разрабатывают руководства, инструкции, некоторые шаблоны документов, которые необходимо применять в гос. органах, но могут применяться и в других компаниях.

Из недавнего: Руководство по обеспечению безопасности персональных данных получаемых при запросах гос. органами; Руководство по обеспечению безопасности персональных данных при их обработке на web сайтах или в мобильных приложениях; Типовое положение об ответственном за организацию обработки и защиты данных (DPO).   

Рекомендую почитать, хотя некоторые нормы законодательства у нас расходятся, поэтому полезно было бы увидеть подобные рекомендации от российских регуляторов.

·         Для Data Protection Officers есть отдельный раздел, где для них четко и понятно, с инструкциями и шаблонами, объясняется с чего им начинать и что необходимо делать.

·         Помимо основных проверок в рамках гос. контроля, EDPS проводит также дополнительный анализ и консультации (без наказаний):
-          при получении уведомления о начале обработки данных, EPDS может сразу запросить дополнительную информацию и проверить законность обработки. Операторы данных перед запуском каких-то критичных сервисов по обработке данных должны предварительно согласовать с EPDS (Opinions Prior Check, Opinions Non Prior Check)
-          организация может обратиться за консультацией к EDPS, задать вопрос, отправить на согласование политики безопасности данных (Consultations, Administrative Measures).

При этом многие ответы, которые имеют общественное значение – публикуются на сайте.

Not all of our replies to consultations are made public; those that we believe are useful for other institutions and the persons affected are published on this website.

В результате имеется хорошая база, в которой многие операторы могут найти интересующий их ответ или пример, не обращаясь за помощью к консультантам или регулятору (что в итоге повышает эффективность)

Несколько недавних примеров:
-          Office for Infrastructure and Logistics in Brussels проинформировали что обрабатывают данные в системе 360° tool - feedback and leadership competencies, указав меры и политики. EDPS дали рекомендации что ещё необходимо предпринять и просили в течении 3х месяцев сообщить о принятых мерах.
-          European Ombudsman отправил на согласование свежую политику обработки данных. EDPS рекомендовали лучше адаптировать политику к конкретным условиям обработки данных (была не учтена одна из ИС – CMS, просили более подробно описать принципы защиты и права субъектов, принципы взаимодействия с субъектом и т.п.) и предоставить свидетельства выполнения в течении 3х месяцев
-          EDPS спросили, законно ли обрабатываются данные чиновников на портале EU Whoiswho Directory (публичный телефонный справочник), какие права есть у субъектов и какие меры защиты должны быть приняты. Тут просто дали публичный ответ.

В целом, среди этой информации можно найти достаточно много полезной и для российских операторов, но лучше накапливать локальные практики и регулятору не стесняться публично доносить свою позицию по тем или иным вопросам обработки ПДн.

PS: Про другие практики из Евросоюза: NIS Directive




четверг, 8 июня 2017 г.

СКЗИ. НПА. Некоторые вопросы применения криптографии

Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну".

А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ).   А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ.

С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных”, утвержденных руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/6/6-622. Но после выхода ПП РФ №1119, данный документ потерял актуальность и ФСБ России сообщила что необходимо руководствоваться именно Инструкцией.

В рамках гос. контроля именно по выполнению положений данной Инструкции находится большое количество нарушений.


По применению Инструкции есть много вопросов, ведь писалась она в те времена, когда сертифицированные СКЗИ применялись в редких организациях в единичных экземплярах. Сейчас же, когда серт. криптография становится повсеместной, вызывает сложности дословное выполнение Инструкции.

Сразу же хочу обратить внимание на тот факт, что Инструкция в связке с 99-ФЗ дают однозначные результаты о необходимости получения лицензии ФСБ России или заключения договора с лицензиатом:

Ст.12 99-ФЗ:  “1. В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности:
1) … выполнение работ … в области шифрования информации,             техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);”

Постановление правительства РФ №313. Приложение к положению: “ПЕРЕЧЕНЬ ВЫПОЛНЯЕМЫХ РАБОТ И ОКАЗЫВАЕМЫХ УСЛУГ, СОСТАВЛЯЮЩИХ ЛИЦЕНЗИРУЕМУЮ ДЕЯТЕЛЬНОСТЬ, В ОТНОШЕНИИ ШИФРОВАЛЬНЫХ (КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ
12. Монтаж, установка (инсталляция), наладка шифровальных (криптографических) средств, за исключением шифровальных (криптографических) средств защиты фискальных данных, разработанных для применения в составе контрольно-кассовой техники, сертифицированных Федеральной службой безопасности Российской Федерации.
13. Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств информационных систем.
14. Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
15. Монтаж, установка (инсталляция), наладка средств изготовления ключевых документов.
20. Работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства (за исключением случая, если указанные работы проводятся для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).
28. Изготовление и распределение ключевых документов и (или) исходной ключевой информации для выработки ключевых документов с использованием аппаратных, программных и программно-аппаратных средств, систем и комплексов изготовления и распределения ключевых документов для шифровальных (криптографических) средств.”

Как видно, из 99-ФЗ и ПП РФ 313, лицензия нужна для всех случаев (инсталляция, настройка, изготовление ключей), кроме текущего обслуживания уже установленных и настроенных СКЗИ для собственных нужд (про которые можно спорить отдельно). Примеры судебных дел можно посмотреть тут и тут.
Но Инструкция содержит более строгие требования.

Инструкция ФАПСИ №152:4. Безопасность хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации, обладатели которой не имеют лицензий ФАПСИ, лицензиаты ФАПСИ организуют и обеспечивают ... на основании договоров на оказание услуг по криптографической защите конфиденциальной информации.
6. Для разработки и осуществления мероприятий по организации и обеспечению безопасности хранения, обработки и передачи с использованием СКЗИ конфиденциальной информации лицензиат ФАПСИ создает один или несколько органов криптографической защиты…”

Основной вывод следующий: организация без лицензии ФСБ не может самостоятельно организовать работы по правильной эксплуатации СКЗИ. Для этого организации обязательно нужно обратится к лицензиату, заключить с ним договор на обслуживание. У лицензиата ФСБ в структуре выделяется ОКЗИ, который организует работы по обеспечению безопасности в организации-заказчике и контролирует их выполнение (а иногда и сам выполняет).

PS: По применению отдельных пунктов Инструкции у меня также было много вопросов, самые интересные я задавал регулятору и в следующей статье поделюсь наиболее интересной информацией…

Также интересно увидеть какие у Вас, коллеги, были сложности или наоборот положительный опыт применения Инструкции.


пятница, 26 мая 2017 г.

ИБ. Обучение. ИБ соревнования KubanCTF и анализ уязвимостей

Достаточно долгое время, пока CTF-ы проходили в других регионах РФ, в Краснодаре не было ни играющих команд, ни соревнований.  Ещё в апреле  ребята из КубГТУ сами первый раз поучаствовали в CTF, а уже в мае решили сами провести всероссийские соревнования KubanCTF.  

Каким-то чудесным образом ребятам за такой короткий срок удалось организовать и успешно провести CTF? Возможно сказалась поддержка мероприятия со стороны депутата Краснодарской думы Андрея Раззоренова, администрации КК, территориальных органов безопасности, местных лицензиатов ФСТЭК и ФСБ, организаторов CTF из других регионов... либо были какие то ещё факторы. Наша компания также поддерживала KubanCTF. Тут выложен отчет о мероприятии

Было интересно пообщаться с коллегами и студентами на пленарке в первый день соревнований. Помимо живого обсуждения актуальных вопросов давали 15 минут на небольшой доклад. Я решил немного порассуждать о востребованности навыка по анализу уязвимостей (который прокачивается в классическом CTF): ещё лет 10 назад, какому-нибудь региональному победителю CTF, некуда было применить свои навыки – в организациях это не было востребовано.  Но ситуация меняется (не без участия российских пентест-компаний и багоискателей), появляется спрос на анализ уязвимостей, продукты с этим связанные и даже находит отражение в свежих НПА. 

Выкладываю свою презентацию с пленарки. Возможно, кому-то будет полезной, тем более что в КубГТУ показ презентаций – это слабое место: маленький экран, не виден докладчику, да ещё дядя Ваня вместо кликера, которому нужно махать через зал.



Также задал несколько вопросов команде организаторов из КубГТУ, которые возможно будут интересны CTF комьюнити:
 0.        Когда и почему появилась команда CTF в политехе?
Команда в КубГТУ зарождалась долго, а окончательное ее формирование закончилось в начале года, сидя в маке мы придумывали название и нам хотелось представить команду с неповторимым названием, были разные идеи, но окончательный выбор пал на BlackTrack.
1.               В каких CTF раньше доводилось участвовать?
Не так давно наша команда впервые приняла участие в очном CTF соревновании, которое прошло в Волгограде, там же мы заняли призовое место, что положительно отразилось на настрое BlackTrack.
2.               Почему решили провести свой CTF?
Среди участников данного направления соревнований ходит шутка, что у каждой команды должен быть свой CTF, вот и мы решили, что пора этой шутке стать реальностью. К тому же на Кубани еще не было подобных мероприятий и нами было решено это исправить, положив начало этому движению.
3.               Сколько времени заняла подготовка этого CTF?
Подготовка в KubanCTF-2017 заняла много времени, так как мы не то чтобы не организовывали подобных мероприятий, но даже не участвовали в них. Также нам пришлось полностью разрабатывать собственный игровой движок, что отнимало не мало времени, благо нам помогала группа профессиональных разработчиков-программистов вместе с опытными дизайнерами. Много времени отнимала организационная деятельность, однако мы имели козырь в рукаве, нам помогал опытный человек уже не раз проводивший подобные мероприятия. Но самое главное в CTF это конечно же сами таски, ради которых к нам приехало много команд из разных регионов нашей страны, что является лучшим показателем уровня соревнования.
4.               Какое задание получилось самым сложным (решило меньше всего команд)?
Удивительно, но меньше всего решили задание с QR кодами, которые были разбросаны по всей площадке проведения CTF. Это задание было занесено в категорию Misc, мы рассчитывали, что игроки, которые устанут сидеть за своими компьютерами разомнутся и немного походят, поищут QR коды, в которых были спрятаны части флага, однако главной сложностью было то, что многие команды неправильно воспринимали полученную информацию и искали в ней подвох. На мой взгляд лучшим показателем тасков (задач) является не ее невыполнимость, а результат голосования о том райтапы на какие задачи игроки хотят видеть в первую очередь. 

5. Планируете ли в будущем ещё проводить CTF, с какой периодичностью?
Конечно, в будущем мы хотим продолжать проводить CTF, однако раскрывать тайну, когда будет проводится следующее соревнование мы не спешим, так как KubanCTF-2017 для нашей команды еще не окончено, перед нами стоит важная задача разобрать все трудности и недочеты, с которыми мы столкнулись, сделать соответствующие выводы необходимые для улучшения и того высокого уровня проведения мероприятия чтобы в следующий раз сделать его еще лучше. Мы уже наметили новые вектора развития этого движения на Кубани по которым уже сегодня проводим работы. Можем сказать лишь одно, что в следующий раз Вы удивитесь еще сильнее)



пятница, 19 мая 2017 г.

ИБ. НПА. Требования ИБ на этапах жизненного цикла ГИС

Постановлением правительства РФ от 11 мая 2017 г. N 555 были внесены изменения в постановление Правительства РФ от 6 июля 2015 г. N 676 "О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации". Изменения в основном посвящены дополнительным требованиям по информационной безопасности на различных этапах жизненного цикла государственных информационных систем.

Требования вполне логичные и согласуются с уже существующими требованиями ФСТЭК России к этапам жизненного цикла систем защиты информации ГИС.  На схеме можно быстро ознакомится с изменениями (выделены светло красным).



Все требования вступают в силу через 2 недели после опубликования за исключением одного пункта (с 1 января 2019 г.). Иначе пришлось бы приостанавливать эксплуатацию ГИС в которых не все требования ИБ выполнены на данный момент.  

У некоторых экспертов наибольший интерес вызвали пункты, связанные с согласованием МУ и ТЗ с ФСТЭК России и ФСБ России. Но на всякий случай напомню, что данное требование появилось не в первые и это скорее хорошая возможность - теперь указанные службы не откажутся от согласования.   

152-ФЗ:
5. …, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.
7. Проекты нормативных правовых актов, указанных в части 5 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации...”


PS: С ещё одним обзором данных изменений можно ознакомится у Алексея Лукацкого

четверг, 18 мая 2017 г.

ИБ. Обучение. Презентации с семинаров по вирусам-шифровальщикам и другие

В связи с существенным ростом заражения вирусами-шифровальщиками и атак на сетевое оборудование за последний год, по инициативе администрации края и территориальных органов безопасности проводилось информирование гос. органов и учреждений. Мы поддержали эту тему, проведя ряд ВКС, семинаров, вебинаров для учреждений здравоохранения, труда, соц. защиты и других.

Причем началось информирование  ещё до эпидемии wannacry. Так что пришлось по ходу дела адаптироваться и дополнять презентации и памятки. Выкладываю последнюю версию моей презентации по этой теме , возможно кому-то будет полезна.


Кроме того, этой весной также проводил мини семинары или инструктажи – разъяснял для спецов местных гос. учреждений по выполнению требований законодательства РФ в части

Разработки модели нарушителя безопасности информации
Обеспечения безопасности помещений в которых ведется обработка ПДн или эксплуатация СКЗИ