четверг, 31 марта 2011 г.

СОИБ. Анализ. Инструменты для оценки соответствия стандарту СТО БР ИББС

Последнее время СТО БР ИББС набирает обороты среди банков. Уже более 50% кредитных организаций заявило о желании соответствовать это стандарту.
В соответствии со стандартом необходимо проведение регулярных мероприятий по оценке (как внутренней, так и внешней) соответствия Банка стандарту и совершенствование СОИБ.
Так как процесс оценки достаточно трудоемкий и непростой, то средства автоматизации оценки будут очень кстати.
Достаточно давно я уже познакомился с ПО ExactFlow «Оценка соответствия» производства компании Pacifica. Но так как стоимость его была достаточно высокой – 190 000 руб. по акции, то дальше тестирования дело не пошло.
И вот недавно обнаружил ещё одно неплохое средство автоматизации оценки – ПО Программный комплекс Bank Security Assessment Tool (BSAT) производства компании LeetSoft (http://www.leetsoft.ru).
По результатам тестирования выяснилось, что данное ПО достаточно простое и удобное в использовании. С его помощью можно минимальными силами провести самооценку и подготовить отчетные документы, а так-же уведомление для Банка России. Самое главное – его стоимость в 25 000 руб. гораздо привлекательнее. Так что для Банков можно только порекомендовать данное ПО.
Инструмент корректно работает с неактуальными групповыми показателями.
Есть возможность учитывать уточняющие вопросы приложения B – они выводятся как справочные при оценке показателей.
Есть возможность экспортировать оценку в файл и подгружать из файла.
Конечно у BSAT нашлись и недостатки – отсутствует возможность внесения информации о собранных свидетельствах оценки и прикреплять файлы, которая есть у ExactFlow. Отсутствует возможность планирования оценок и сравнения нескольких оценок.
Без этих функций использовать BSAT как средство для внешнего аудита затруднительно. Разработчик продукта сообщил что до лета планируется выпуск обновления для BSAT в котором будут реализованы данные функции.
Кроме приведенных выше на рынке существует ещё несколько подобных программных комплексов. После окончания тестирования возможно напишу и про них.

понедельник, 28 марта 2011 г.

СЗПДн. Анализ. Контролируемые каналы связи

Речь идет о разделении всех имеющихся в Организации каналов связи на контролируемые (доверенные) и неконтролируемые. Для неконтролируемых каналов связи, используемых для передачи конфиденциальной информации, такой как персональные данные, необходимо применение сертифицированных средств криптографической защиты информации.
Ещё некоторое время назад (год-полтора) при согласовании с ФСБ России к контролируем каналам можно было отнести, например:
· оптические каналы связи между двумя удаленными площадками в городе,
· собственные каналы связи Организации, проходящие по неконтролируемой территории, но для которых применяются разумные организационно-технические меры защиты,
· арендованные у провайдера каналы связи, для которых провайдер по договору несет ответственность за обеспечение защиты данного канала организационно-техническими мерами.
Сейчас, похоже, позиция ФСБ России поменялась. Был получен четкий ответ, что к контролируемым каналам связи можно отнести только каналы связи проходящие по контролируемой территории организации, при применении на данной территории достаточных организационно-технических мер защиты. Для остальных каналов связи – обязательно применение СКЗИ.
Единственным исключением является проведение специализированной организацией исследований, подтверждающих неактуальность угроз для информации, передаваемой по конкретным каналам связи конкретной Организации – заказчика исследования.

пятница, 11 марта 2011 г.

СЗПДн. Анализ. Сертификация средств построения VPN в ФСБ

Недавно компания Cisco начала агресивную компанию, по разъяснению что VPN продукты конкурентов нелегитимны потому что используют СКЗИ КриптоПро, но не имеют собственного сертификата ФСБ России.

При всем уважении к компании Cisco, в существующих методических документах ФСБ по защите ПДн, написано черным по-белому:

5.1. Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России (если этот контроль не предусмотрен техническим заданием на разработку (модернизацию) информационной системы).

Следовательно на данный момент нет причины требовать обязательной сертификации комплексного средства в ФСБ, если в них используются криптосредства классов КС1 и КС2.

Обучение. Аудит ИБ Банков


Наконец-то банковское сообщество родило курс для аудиторов ИБ. Для всех кто этим занимается, можно сказать что это обязательный для посещения курс.
В ближайшее время проводит его АИС:









пятница, 4 марта 2011 г.

СЗПДн. Проектирование. Разграничивать ли доступ в ИСПДн

Когда мы в Организации создаем ИСПДн и в месте с ней СЗПДн и проводим классификацию в соответствии с «Порядком проведения классификации информационных систем персональных данных, утвержден Приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г №55/86/20», мы сталкиваемся с рядом вопросов.

Один из них - стоит ли разграничивать доступ в ИСПДн?
На первый взгляд этот вопрос проблем не вызывает. Но если начинаешь разбираться подробнее, то понимаешь что решение о разграничении доступа может привести к существенному повышению затрат на СЗПДн.
Рассмотрим типовую ИСПДн: на АРМ пользователя установлен программный клиент, на сервере 1 установлено серверное приложение с которым связываются пользователи и на сервере 2 установлена база данных с которой связывается серверное приложение сервера 1.
В соответствии с Приказом ФСТЭК от 5 февраля 2010г. № 58 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных» имеем следующие требования:
Для информационных систем 1 класса применяется программное обеспечение средств защиты информации, соответствующее 4 уровню контроля отсутствия недекларированных возможностей.
Для информационных систем 1 класса при многопользовательском режиме обработки персональных данных и разных правах доступа к ним пользователей применяются следующие основные методы и способы защиты информации:
а) управление доступом:
идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;
контроль доступа пользователей к защищаемым ресурсам в соответствии с матрицей доступа;
б) регистрация и учет:
регистрация попыток доступа программных средств к дополнительным защищаемым объектам доступа (терминалам, техническим средствам, узлам сети, линиям (каналам) связи, внешним устройствам, программам, томам, каталогам, файлам, записям, полям записей). В параметрах регистрации указываются дата и время попытки доступа к защищаемому объекту с указанием ее результата (успешная, неуспешная), идентификатор пользователя, спецификация защищаемого объекта (логическое имя (номер));
Допустим контроль доступа в рамках ИСПДн у нас выполняет серверное приложение написанное Компанией Раз, идентификация записей и полей по именами а также регистрация доступа к ним выполняет СУБД написанное Компанией Два.
В итоге мы должны провести сертификацию этих двух продуктов. Стоимость такой сертификации будет от 1,5 млн до 5 млн.
Не будь у нас разграничения доступа в ИСПДн, эти требования для нас были бы не актуальны – и можно обойтись уже сертифицированными накладными средствами защиты.
Так что же получается? Выгоднее все ИСПДн классифицировать как “системы без разграничения прав доступа”, а разграничение проводить организационными мерами.