среда, 8 августа 2018 г.

ИБ. Облачные хранилища файлов и документов


Все большее количество организаций используют облачные хранилища для обмена большими документами, файлами или для совместной работы над документом.  Поднимать свой FTP сервере или медиа сервис уже не модно.  Даже в корпоративной среде часто используются google disk, yandex disk, microsoft onedrive. А в малом бизнесе и небольших государственных учреждениях эти облачные сервисы используются повсеместно.

В облачных сервисах могут быть разные настройки доступности документа, которым мы хотим поделиться. Но наибольшую популярность получил так способ поделиться файлом как “доступ по ссылке”.  В таком случае, чтобы поделиться с коллегами документом, достаточно передать им уникальную ссылку на документ. При этом доступ к файлу ограничен и предоставляется только тем, у кого есть специальная ссылка.

Но данный способ поделиться документом влечет за собой серьезные угрозы безопасности. После того как вы отправили ссылку на файл коллегам или партнерам, далее вы теряете контроль над информацией. Эти лица, могут также пересылать ссылку своим друзьям, знакомым, а также публиковать её в соц. сетях, в чатах, на форумах; а могут скопировать файл себе в хранилище и делиться ссылками уже на свою копию файла. Ссылка, попав в общедоступные источники будет проиндексирована поисковиками и информация фактически становится общедоступной.  Также из-за сбоев в работе некоторых сервисов, связанных с поисковыми системами, ссылка может быть проиндексирована, например, из вашей переписки.

Давайте посмотрим на несколько примеров которые выдают нам поисковики

Сравните документы, которые доступны на Google Docs через поисковые системы Yandex и Google: разница в 2000 документов говорит о том, что недавняя шумиха про утечку документов через yandex была не спроста.




Или по другим ключевым словам


Например, можно найти паспортные данные клиентов учебного центра




или планы и архив доставок курьерской службы с фио, телефонами, суммами и заказами


списки детей, зачисленных в детские сады


списки молодых семей, запросивших льготу, с членами семей и информацией о недвижимости


списки учеников, их родителей, с адресами и телефонами

 Сомневаюсь, что в указанных случаях есть законные основания для публикации персональных данных (фактически оператор сделал их общедоступными – доступ по ссылке + публикация или утечка ссылки).


Также повсеместно осуществляется сбор ПДн с использованием google формы, расположенные не в РФ:




ПДн собранные с помощью форм консолидируются в таблицы, к которым также открывают доступ по ссылке для того чтобы работать совместно с коллегами.



Как следствие, нарушение законодательства РФ, утечки ценной информации, недовольство клиентов и т.п.

Что делать?
·         Внимательно оценивайте информацию и документы, которыми планируете поделиться через облачный сервис

·         Собирать ПДн через google формы не рекомендую в любом случае – это нарушает требования законодательства о хранении БД ПДн на территории РФ
·         Если нужно поделиться с коллегами ценной информацией – делайте это не через доступ по ссылке, а открывайте доступ пользователям поименно (в яндекс диске персональный доступ можно давать только для Папок)


·         Там, где достаточно права на просмотр, ограничивайте возможность скачивания и копирования на другие облачные диски

·         Для владельцев G Suite – запретите возможность делиться файлами с несотрудниками организации или разрешите делится только с пользователями из белого списка доменов (партнеры, постоянные контрагенты).
На главной странице консоли администратора выберите Приложения -> G Suite -> Google Диск и Документы -> Настройки доступа

·         Если у вас крупная компания или гос. орган: сделайте для пользователей инструкцию, какие типы документов можно выкладывать в облачные хранилища и как лучше открывать доступ к таким файлам. Назначьте ответственных за публикацию файлов в интернете (в общий доступ), которые понимают ценность информации и возможность её опубликования. Давайте доступ на публикацию материалов только для этих сотрудников
·         Проведите ревизию ранее опубликованных файлов. В персональном аккаунте, обратите внимание на значок рабочей группы, сигнализирующий что кому-то был предоставлен доступ к файлу (по ссылке или персонально)

·         В корпоративных аккаунтах, от учетки администратора G Suite проверьте файлы переданные доступные не сотрудникам
·         Если обнаружите, что ранее с кем-то делились ценной информацией / персональными данными “по ссылке”, проверьте не доступны ли аналогичные файлы с вашими данными через поисковые системы  



понедельник, 2 июля 2018 г.

КИИ. Категорирование объектов, часть 3


Продолжаем проводить категорирование объекта КИИ на примере организации сферы здравоохранения. На предыдущем этапе мы выявили критические процессы организации. Теперь определяем объекты КИИ и отправляем их на согласование (этап простой и очевидный, но постараюсь добавить несколько полезных моментов)

3. Определение объектов КИИ
Продолжаем начатое на прошлых этапах (а можно и совместить 1-3) общение с руководителями подразделений. Спрашиваем какие ИС или АСУ обрабатывают информацию, необходимую для обеспечения выявленных критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов.
Отдельно в ИТ подразделении получаем полный перечень ИС (он должен был готовится в рамках мероприятий по ПДн) и АСУ, совместно с ИТ выкидываем из перечня ИС, не связанные с критическими процессами (как правило, кадровые, бухгалтерские, отчетность, банк-клиенты).
В результате, того, что данные об ИС и АСУ получены не из одного источника, гарантируется его большая адекватность и актуальность.
(UPDATE) При формировании перечня АСУ, обращайте внимание на определение АСУ, данное в 187-ФЗ. Возможно придется вычеркнуть некоторые АСУ не подходящие под определение. Например, если в составе его нет программных средств, или если это АСУ управляется не технологическим или производственным оборудованием.    
Далее к перечню объектов КИИ необходимо добавить информационно-телекоммуникационные сети. Тут нет особого смысла дробить на маленькие кусочки. Указываем одним пунктом – корпоративная сеть организации. Внешние защищенные сети, такие как Защищенная сеть Минздрава РФ, Защищенная сеть Минздрава КК, Защищенная сеть ТФОМС – не указываем, так как не являемся владельцами данных сетей.

3.а. Получившийся, предварительный, но ещё не утвержденный, перечень объектов КИИ отправляем вышестоящему гос. органу (Минздрав субъекта РФ). По-хорошему, отраслевые регуляторы должны публиковать порядок согласования с ними перечней, но пока такого не замечено. Поэтому просто пишем письмо  
“В соответствии с требованиями пункта 15 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных Постановлением Правительства РФ от 8 февраля 2018 г. № 127 направляем Вам на согласование предварительный перечень объектов критической информационной инфраструктуры нашей организации.”
и прикладываем перечень объектов КИИ.

3.б. Минздрав субъекта РФ, посмотрит не забыли ли вы указать какую-то систему, которую указали коллеги до вас. По-хорошему, они могли бы предложить убрать системы, которые точно не будут критическими. Но в ближайшее время этого делать никто не будет, так как информации недостаточно. И уже озвучиваются вопросы типа “вдруг мы вычеркнем систему, а потом произойдет инцидент и окажется что не надо было её вычеркивать”.

4. Утверждение перечня объектов КИИ
После согласования перечня с отраслевым регулятором, готовим формальный документ с перечнем объектов и отдаем его руководителю на утверждение. Одновременно с ним нужно подготовить письмо на начальника 2 управления ФСТЭК России (копию на руководителя Управления ФСТЭК России по вашему федеральному округу), приложением к которому необходимо приложить перечень объектов КИИ.
И хотя форма перечня объектов КИИ формально не утверждена, но на семинарах, в письмах и заседаниях ФСТЭК России приводит различные “рекомендованные форматы”
например, такой



или такой


Если обобщать, то в целом получается такая форма перечня (примеры объектов КИИ)
Наименование организации
Сфера деятельности
Наименование объекта КИИ
Планируемый срок категорирования
Адрес и контакты организации
ККБ №0
Здравоохранение
ИС:
"Электронная очередь"
"СОЦ-Лаборатория"
"Льготные рецепты"
"М-Аптека"
МИС "Самсон"
"Медкомтех"
"03"
"Экспресс-здоровье"
"Скрининг новорожденных"
"Высокозатратные нозологии"
"Регистр больных сахарным диабетом"
АРМ ПЦ ЛЛО
СК ИПРА
АСУ:
Автоматизированная система оперативного управления диспетчерской службой скорой медицинской помощи
АСУ пожаротушением
АСУ рентген аппаратами
АСУ томографом
АСУ лучевой терапия
ИТС:
Корпоративная сеть ККБ №0
1 января 2019 г.
Руководитель – Иванов И.И.

(861)2790001

г. Краснодар, ул. Красная 1.

Несмотря, на то, что в ПП 127 не установлены сроки на утверждение перечня объектов КИИ, есть решение Коллегии ФСТЭК России от 24.04.2018 №59, в котором озвучены сроки, которые в свою очередь доносятся на заседаниях по защите информации во всех субъектах РФ.

Пример протокола такого заседания можно посмотреть тут.
Срок на утверждение перечня объектов КИИ – до 1 августа 2018 г.
Срок на проведение категорирования объектов КИИ – до 1 января 2019 г.

пятница, 29 июня 2018 г.

ИБ. Как не нужно моделировать угрозы ИБ


Не смотря на то что нет ни одной утвержденной ФСТЭК России методики моделирования угроз, учитывающей БДУ ФСТЭК России и не смотря на то что ФСТЭК России на семинарах говорит, что заказчики могут использовать любые подходящие им методики, по факту при согласовании МУ с регулятором (а это обязательно, например, для ГИС) или при проверках регулятора далеко не все модели угроз проходят без замечаний.

Зачастую отдельные территориальные органы предъявляют специфические требования к моделям угроз.  И сегодня хотелось бы обсудить такое требование, как указание в модели угроз перечня уязвимостей из БДУ ФСТЭК России.  
Но идею использовать базу уязвимостей из БДУ ФСТЭК при моделировании угроз я встречал не только у регулятора, но и у некоторых продвинутых специалистов операторов. Что в общем не удивительно – раз уж есть база, почему бы её не использовать?

Предлагается использовать уязвимости из БДУ следующим образом: определять перечень используемого в ИС программного обеспечения, а потом выбирать все уязвимости, соответствующие версиям используемого ПО. 

Например, если у нас используется ОС Window 7, то мы должны привести перечень всех 306 уязвимостей, связанных с данной ОС


Если MS office 2007 – ещё 135 
MS Adobe Flash Player 11 – ещё 646.

Таким образом, в достаточно большой ИС, с разным прикладным и системным ПО, мы выберем из БДУ ФСТЭК, например, половину всех уязвимостей. Порядка 9000. И что дальше? Зачем нам эта информация на этапе моделирования угроз? На этапе, когда самой ИС ещё нет, а только формируются требования к ней?
    
Для чего нам вообще моделирование угроз? Для того чтобы на этапе создания системы защиты мы могли выбрать правильные меры и средства защиты. Как нам поможет этот перечень гипотетических уязвимостей, которые могут быть, а могут и не быть в итоговой системе.  Ведь для нейтрализации угроз, связанных с эксплуатацией публично известных уязвимостей, существует всего 2-3 меры:
·         установка патчей и патч-менеджмент
·         виртуальный “патчинг”, для тех случаев, когда мы не можем быстро установить обновление
·         изолирование уязвимого узла на уровне сети

А что если у нас новая версия ПО и в БДУ ФСТЭК на него пока не зарегистрированы уязвимости? Исходя из этого мы можем не включить в нашу систему защиты меры по регулярному обновлению ПО? Нет. Меры по регулярному анализу уязвимостей и установке обновлений ПО и так уже прописаны как обязательные в 17 и 239. Лучше сразу исходить из концепции что в нашем системном и прикладном ПО могут быть уязвимости, просто пока мы не о всех знаем.

Но нам же надо моделировать… от нас требуют анализировать уязвимости при моделировании угроз – скажете Вы.  
Посмотрите, как классифицировались угрозы по типам уязвимостей в базовой модели угроз ФСТЭК от 2008 г. – там нужно было ответить, могут ли у нас быть уязвимости на разных уровнях: в системном ПО, прикладном ПО, сетевых протоколах, СЗИ, наличие аппаратных закладок, технических каналов утечки, недостатки мер защиты. 7 уязвимостей.
Посмотрите в текст угроз из БДУ ФСТЭК, как там описаны уязвимости, которые могут быть использованы при реализации угроз. Это совсем не те уязвимости.
 


Да, они плохо структурированы, они не типизированы, но их хотя бы 200, а не 18000 как в соседней ветке. С 200 уже можно работать.  Но ещё лучше структурировать уязвимости, упомянутые в тексте угроз из БДУ и привести их к 7-30 типам, по которым необходимо будет принять обоснованное решение – могут у нас быть такие уязвимости или нет.

Хотите ещё пример, как можно описывать и классифицировать уязвимости в рамках моделирования угроз? Ну вот хотя бы ГОС ИСО/МЭК 27005-2010 Менеджмент риска ИБ


четверг, 31 мая 2018 г.

КИИ. Категорирование объектов, часть 2


Продолжаем проводить категорирование объектов КИИ на примере организации сферы здравоохранения. На предыдущем этапе мы начали определять процессы субъекта КИИ.

Небольшое отступление чтобы объяснить при чем тут процессы:
·         в итоге категорирования мы должны определить попадают ли возможные последствия от компьютерных инцидентов на объекте КИИ (ИС, АСУ, телеком сети) в категории значимости

·         очевидно, что если объект КИИ автоматизирует или предоставляет информацию для обеспечения определенного процесса организации, то ущерб от инцидента на объекте не может превышать максимального ущерба от нарушения всего процесса, включающего как автоматизированную, так и неавтоматизированную деятельность
(например, если от полного прекращения деятельности службы скорой помощи, медицинская помощь не будет оказана 1000 человек, по статистике 10% из которых=100 приведут к ущербу здоровью, то от нарушения деятельности АСУ диспетчерской службы скорой помощи, деятельность полностью не прекратится, но будет оказываться менее эффективно - только 100 человек не получат её, 10% из которых =10)    

·         правительство РФ решило более эффективным будет сначала выявить критические процессы и отбросить лишние, чтобы не тратить в дальнейшем время на системы с ними связанные

·         поэтому в первую очередь надо выявить критические процессы


2. Выявление критических процессов
Продолжаем общаться с руководителями подразделений. Нам нужно выяснить у них возможные последствия от нарушения или прекращения процесса организации. Последствия рассматриваем в разрезе показателей критериев, утвержденных постановлением правительства №127. Если вы уверены, что ряд показателей заведомо не применимы к процессам вашей организации, то можно их отбросить, чтобы не тратить на них время в пустую. Например, для мед. организаций я бы оставил такие показатели для рассмотрения (UPDATE):



Далее очевидно, что ущерб от нарушения или прекращения процесса субъекта КИИ зависит от промежутка времени на котором он будет нарушен. Если это доли секунды, то такого прекращения никто и не заметит. После какой-то границы ущерб может начать появляться и будет расти с ростом времени, на которое будет нарушен процесс. Но в долгосрочной перспективе возможно ущерб уже перестанет увеличиваться – всех пациентов перевезут в другую организацию, новых граждан будут перенаправлять в другие организации и т.п.

Оптимальным вариантом с моей точки зрения представляется необходимость получить следующую информацию:
·         сможет ли ущерб он нарушения процесса на сколь угодно долгое время достичь показателя значимости КИИ? Если нет, то мы можем смело отбросить его из числа критических. (например, если мы поняли, что сколько бы система не была отключена или работала неправильно – день, месяц, год, это не приведет к ущербу здоровью граждан)
·         если в принципе может достичь показателей значимости, то в каких промежутках попадает в какую категорию (например, если деятельность будет нарушена на 1-10 дней – то потенциальный ущерб попадет в 3 категорию, если на 10-30 то во 2 категорию). Далее нам пригодятся эти значения
·         если руководителю подразделения сходу трудно оценить ущерб по экономическим показателям, даем им подсказки, подкатегории ущерба:
o   упущенная выгода
o   штрафы, пени, неустойки и т.п.
o   дополнительные затраты на персонал
o   дополнительные затраты на оборудование, материалы, энергию и т.п.
o   судебные издержки
o   дополнительные представительские расходы

(UPDATE) При общении с юридическим подразделением, хорошо бы выяснить, имеется ли решение органа власти об отнесении вашей организации к объектам обеспечения жизнедеятельности / жизнеобеспечения населения.

В результате этого мы получим небольшой перечень критических процессов организации, к которым необходимо уделить наше дальнейшее внимание. Пример критических процессов, который может быть получен для мед. организации:
·         оказание медицинских услуг и медицинской помощи
·         проведение исследований, клинических испытаний, осмотров
·         фармацевтическая деятельность
·         деятельность по обороту наркотических средств и психотропных веществ
·         деятельности связанная с использованием источников ионизирующего излучения (рентген, томография, лучевая терапия)
·         сбор, хранение и реализация донорской крови
·         услуги длительного пребывания пациентов / госпитализации / стационар
·         осуществление автотранспортных услуг (медицинская транспортировка скорой помощи)
·         обслуживание инженерных систем (пожарная сигнализация, электропитание)


PS: продолжение следует.


четверг, 24 мая 2018 г.

КИИ. Категорирование объектов, часть 1


Давайте будем проводить категорирование объекта КИИ на примере организации сферы здравоохранения.

Будем руководствоваться следующими НПА:
·        Федеральный закон от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"
·        Постановление Правительства РФ от 8 февраля 2018 г. № 127 “Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений”
·        Приказ ФСТЭК России ОТ 06.12.2017 N 227 "Об утверждении порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации"
·        Приказ ФСТЭК России от 22.12.2017 N 236 "Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий"

Общая схема категорирования примерно следующая:



Давайте подробнее разберем начальные этапы.

0. Формирование комиссии.
Очевидно, что чем больше специалистов мы включим в комиссию, тем на больший срок затянется наше категорирование. С другой стороны без специалистов по основным видам деятельности безопаснику будет сложно определить критические процессы и оценить последствия их нарушения.
В случае медицинской организации включить главного врача и его заместителей по мед. деятельности, ответственного за ИБ, ответственного за ГОиЧС. Также можно попробовать договориться с местным Минздравом, МИАЦ (это обеспечит быстрое согласование перечня объектов), а также с организацией оказывающих вашей организации услуги в области ИБ, о включении их сотрудников. Договорится можно в устной форме, но потом лучше отправить официальное письмо данным организациям с просьбой предоставить эксперта для участия в категорировании объектов КИИ.
Создание комиссии необходимо документировать. Вероятнее всего это будет приказ о создании комиссии для категорирования объектов КИИ в такой то организации. Там могут быть определены конкретные этапы и сроки, но не обязательно. Полный цикл категорирования, скорее всего, займет значительное время, поэтому лучше сразу определить, как будут фиксироваться промежуточные решения комиссии: протокол, акт...

1. Определение процессов
В идеальном случае, в вашей организации уже документированы основные процессы. Либо Вы, как правильный ИБ специалист, определили их в начале своей работы в организации. Если нет, самое время наверстать упущенное:
·        изучаем учредительные документы организации – определяем функции (полномочия) или виды деятельности организации
·        вооружаемся блокнотом или электронными анкетами и идем общаться с руководителями всех подразделений –  какие процессы, существуют процессы в рамках функций или видов деятельности организации?

На примере медицинской организации получаем примерно следующий перечень процессов. При этом учитываем, что дробление на подпроцессы – увеличивает трудоемкость дальнейшего анализа, но в ряде случаев позволяет оптимизировать результаты категорирования (сделать их более точными).  



PS: продолжение следует.  


вторник, 15 мая 2018 г.

КИИ. Какие ГОСы попадают сферу КИИ?


Срок на категорирование объектов критической информационной инфраструктуры РФ скоро заканчивается ; )  а многие организации только сейчас начинают планировать мероприятия в этой части. Если с коммерческими компаниями вопрос попадания или не попадания их в сферу действия ФЗ о безопасности КИИ решается достаточно просто, то с государственными органами и учреждениями ситуация сложнее.
В ряде регионов от регуляторов проводилась рассылка на все гос. органы с требованием провести категорирование объектов КИИ. Но по факту им надо было сначала определится с попаданием с сферу КИИ, а потом уже проводить или не проводить категорирование.
Вспомним рекомендации ФСТЭК в этой части:



1.       ОКВЭД. Давайте посмотрим несколько примеров.
·         Минздрав: 84.11.21 - Деятельность органов государственной власти субъектов Российской Федерации (республик, краев, областей), кроме судебной власти, представительств исполнительных органов государственной власти субъектов Российской Федерации при Президенте Российской Федерации
·         Минтруда: 84.11.21 - Деятельность органов государственной власти субъектов Российской Федерации (республик, краев, областей), кроме судебной власти, представительств исполнительных органов государственной власти субъектов Российской Федерации при Президенте Российской Федерации
·         Минтранс: 84.11.21 - Деятельность органов государственной власти субъектов Российской Федерации (республик, краев, областей), кроме судебной власти, представительств исполнительных органов государственной власти субъектов Российской Федерации при Президенте Российской Федерации
·         Медицинская организация: 86.10 - Деятельность больничных организаций - здравоохранение. Плюс в доп. Видах деятельности есть 49 – транспорт
·         Университет: 85.22 - Образование высшее, но среди доп. Видов деятельности присутствует 72.19, 72.20 – наука
Получается, что гос. учреждения – попадают в сферу ФЗ о безопасности КИИ по ОКВЭД, а гос. органы – остаются в стороне.
Хорошо, что у гос. органов есть дополнительный классификатор ОКОГУ, именно по нему можно определить в какой сфере действует гос. орган субъекта РФ:

Но и тут не все однозначно. Например, Министерство ТЭК и ЖКХ попадает по ОКОГУ только в ЖКХ.
И что с администрациями муниципальных образований? По ОКОГУ они идут отдельным пунктом.
2.       Также гос. органы (в отличие от их подведомственных учреждений) не получают лицензии на свою деятельность – по данному фактору мы тоже не сможем их отнести к сфере КИИ.

3.       Смотрим в учредительные документы.
Зачастую самая важная часть в начале документа: “Министерство … является органом … проводящим/реализующим политику в сфере ТЭК, …”   - в сферу КИИ
С муниципальными образованиями сложнее. Приходится смотреть поглубже: “Администрация в области … транспорта и связи осуществляет следующие полномочия:” “Полномочия администрации в области охраны здоровья граждан, развития …” – в сферу КИИ

Аналогичные действия необходимо выполнить и остальным типам организаций. А в следующей части мы приступим к категорированию.  


среда, 25 апреля 2018 г.

ПДн. В РФ введут штрафы за утечку персональных данных


Как вы, наверное, знаете в РФ фактически нет наказания за утечку персональных данных (если не считать 13.14 со штафом в 5 тыс. руб.). В то же время в Евросоюзе за утечки персональных данных предусмотрены GDPR штрафы до 20 млн. евро или 4% от оборота компании.

В Минкомсвязи решили исправить этот недочет и подготовили законопроект предусматривающий административное наказание за 2 новых состава правонарушений: 
·         8) за хранение баз данных с ПДн граждан РФ за границами РФ
·         9) за несоблюдение требований по конфиденциальности ПДн, за незаконное раскрытие или распространение ПДн – по сути, утечки персональных данных как раз попадают под этот состав
Для сравнения привожу таблицу с действующими и новыми составами правонарушений в области ПДн.



Есть правда одна проблема - штраф за утечку ПДн должен быть на порядок выше. Иначе, это не стоит внимания бизнеса.  
А есть и ещё проблема – Роскомнадзор и суды похоже совсем не хотят штрафовать нарушителей в области ПДн. По результатам анализа, который я делал к недавнему Коду ИБ, подавляющее большинство выявленных нарушений заканчивается только предупреждением.