вторник, 31 мая 2011 г.

СОИБ. Анализ. Инструменты для оценки соответствия стандарту СТО БР ИББС 2

В одном из предыдущих сообщений (http://sborisov.blogspot.com/2011/03/blog-post_31.html) я рассмотрел два инструмента оценки соответствия стандарту СТО БР ИББС.
Сегодня хочу написать ещё пару слов о третьем протестированном инструменте Estimate Tool от НПФ "Кристалл".

Основные заключения:
· С основной задачей справляется, в результате можно получить отчет об оценке и диаграммы.
· При оценке нельзя схитрить – все положительные значения должны быть подтверждены свидетельствами. Для каждого неоцениваемого показателя должно быть дано обоснование. Это делает оценку более объективной но и более трудозатратой.
Обнаруженные недостатки:
· Система работает только с устаревшей СУБД MSSQL 2000 Server. Не работает с MSDE.
· Система не предусматривает ведение нескольких проектов. Для нового проекта придется создавать новую БД и с нуля делать всю подготовку (заводить пользователей, разбивать вопросы по анкетам).
· В программе отсутствует возможность планирования оценки.
· Свидетельства аудита в программе не подгружаются, автоматом их нельзя прикрепить. Указывается только их описание и месторасположение.
· В программе все вопросы разбиваются по анкетам. Но нет возможности удобно распечатать такие опросники для того чтобы взять с собой а потом автоматически прикрепить ответы как свидетельства типа «опрос».
· Для ответов не выбрана автоматически шкала оценки (могли бы сделать автоматический выбор рекомендуемого варианта). Так при оценке надо сначала подумать какую шкалу выбрать, потом ещё и оценку выставить.
· Для комбинированной шкалы оценки (степень документирования и степень выполнения) варианты ответов отображаются криво. На выбор 3 варианта “Частично 0.25“, при этом описание вариантов отображается уже после выбора. То есть для того чтобы выбрать нужный вариант приходится несколько раз тыкаться – что неприятно.
· В программе не предусмотрена оценка M1-M6 по трем направлениям (БПТП, БИТП, ОЗПД).
· В программе нет возможности экспортировать, импортировать настройки и сравнивать несколько оценок.
· В программе отсутствует возможность планирования оценки.
· В один прекрасный момент программа стала выдавать ошибку по непонятной причине. В документации это не было описано. Перезашел – помогло.
В общем субъективно – весь процесс оценки продвигается раза в 2-3 медленнее чем в BSAT. Под интегратора этот Estimate Tool не заточен так же как и BSAT.
Но в целом работать можно, особенно если будет крупный банк с достаточно большими сроками.

воскресенье, 29 мая 2011 г.

СЗПДн. Проектирование. Методы и способы защиты ПДн 2

В предыдущем сообщения я рассмотрел варианты документов, в которым может быть документирован выбор методов и способов защиты ПДн. Как выбрать необходимые методы и способы защиты ПДн в нормативных документах РФ по ПДн не определено.
Зато в такой ситуации нам ничего не мешает использовать международные стандарты. По сути выбор методов и способов защиты ПДн является менеджментом рисков связанных с актуальными угрозами ПДн которые обыли определены в МУ. Можно руководствоваться например ISO/IEC 27005:2008 и для каждой угрозы определить:
· Применяемые в данный момент методы и способы защиты ПДн (контроли) которые связанны с данной угрозой.
· Методы и способы защиты ПДн (контроли), которых достаточно для нейтрализации данной угрозы.
Например, рассмотрим угрозу «Внедрение вредоносных программ по сети». Пусть в Организации применяются только средства антивирусной защиты, не прошедшие процедуру оценки соответствия; других методов и способов защиты не применяется. Например, можно считать, что необходимыми и достаточными методами и способами защиты ПДн для нейтрализации данной грозы являются:
· Анализ принимаемой по информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования) информации, в том числе на наличие компьютерных вирусов;
· Использование средств антивирусной защиты, прошедших в установленном порядке процедуру оценки соответствия;
· Использование средств обнаружения вторжений, прошедших в установленном порядке процедуру оценки соответствия.
В соответствии с моделью угроз мы определяем, что данная угроза актуальна Организации и необходимо применять приведенные выше методы и способы защиты ПДн.
Схожий алгоритм выбора методов и способов защиты ПДн так-же определен в разделе 5.5 документа СТО НАПФ 4.2–2010. В приложение Б к СТО НАПФ 4.2–2010 для каждой угрозы определен перечень возможных мер защиты, которые могут использованы для нейтрализации актуальных угроз.

вторник, 24 мая 2011 г.

СЗПДн. Проектирование. Методы и способы защиты ПДн


В соответствии с «Положением о методах и способах защиты информации в информационных системах персональных данных» выбор и реализация методов и способов защиты информации в информационной системе осуществляются на основе определяемых оператором (уполномоченным лицом) угроз безопасности персональных данных (модели угроз) и в зависимости от класса информационной системы.
При этом в разделах 2 и 3 «Положения …» определены общие методы и способы, а в приложении к «Положению …» приведена детализация этих методов и способов.
Периодически возникает вопрос: каким образом на основе перечня актуальных угроз и класса ИСПДн должны определятся методы и способы защиты информации и в каком документе этот выбор должен быть зафиксирован?
В каком документе надо описывать определение выбора методов и способов защиты? Рассмотрим стандартные документы: отчет об обследовании, модель угроз и нарушителя, техническое задание на СЗПДн, эскизный или технический проект на СЗПДн.
При формировании отчета об обследовании ИСПДн угрозы ещё не определены, так что он отпадает.
Разработка проекта на СЗПДн осуществляется на основании конкретных требований к функциям СЗПДн из ТЗ. То есть на этапе разработки проекта СЗПДн определяется комплекс средств защиты и уже поздно выбирать методы и способы защиты.
Остаются следующие варианты:
1. Определить методы и способы защиты ПДн в модели угроз.
2. Определить методы и способы защиты ПДн в ТЗ на СЗПДн.
3. Определить общие методы и способы защиты ПДн в модели угроз, а детализацию методов и способов защиты ПДн в ТЗ на СЗПДн.