среда, 27 июля 2011 г.

СОИБ. Проектирование. Распределение ролей по ИБ в Банке 2

Продолжу тему о распределении ролей, поднятую мной в предыдущей заметке.
Детально изучив требования СТО БР ИББС к мероприятия по обеспечении ИБ мы приходим к следующему перечню персональных ролей, которые необходимо определить и персонифицировать небольшом типовом Банке:

1. Ответственный за эксплуатацию СЗИ
2. Ответственный за антивирусную защиту
3. Ответственный за установку ПО
4. Ответственный за эксплуатацию СВТ
5. Администратор ИС
6. Администратор информационной безопасности
7. Ответственный за безопасность помещений
8. Ответственный за безопасность персонала
9. Ответственный за прием на работу
10. Ответственный за использование ресурсов Интернет и электронной почты
11. Ответственный за непрерывность бизнеса
12. Ответственный за обработку ПДн
13. Ответственный за обеспечение безопасности ПДн
14. Ответственный за оценку рисков ИБ
15. Ответственный за планирование обработки рисков ИБ
16. Ответственный за разработку нормативного документа
17. Ответственный за планирование обучения в области ИБ
18. Ответственный за реализацию обучения в области ИБ
19. Ответственный за контроль обучения в области ИБ
20. Ответственный за управление инцидентами ИБ
21. Ответственный за мониторинг ИБ
22. Ответственный за контроль СОИБ
23. Ответственный за проведение проверки
24. Ответственный за проведение самооценки ИБ
25. Ответственный за организацию самооценки ИБ
26. Ответственный за организацию аудита ИБ
27. Ответственный за анализ функционирования СОИБ
28. Ответственный за улучшение СОИБ
Данный перечень дополняют существующие в АБС роли, а так-же следующие групповые роли:
29. Комиссия по ИБ
30. Группа реагирования на инцидент ИБ
31. Группа восстановления после прерываний
32. Группа участвующая в самооценке ИБ
33. Группа участвующая в проверке ИБ
и уже существующие роли, присущие каждому банку:
34. Правление Банка
35. Руководитель структурного подразделения
36. Сотрудник
Ролей, связанных с СОИБ, достаточно много.
Как можно по-проще документально определить большое количество ролей?
СТО БР ИББС-1.0 дает следующее определение:
«3.19. Роль: Заранее определенная совокупность правил, устанавливающих допустимое взаимодействие между субъектом и объектом.
Примечания
1. К субъектам относятся лица из числа руководителей организации банковской системы Российской Федерации, ее персонала, клиентов или инициируемые от их имени процессы по выполнению действий над объектами.
2. Объектами могут быть аппаратное средство, программное средство, программно-аппаратное средство, информационный ресурс, услуга, процесс, система, над которыми выполняются действия.»
В соответствии с данным определением мы готовим Паспорта ролей, содержащие наименование роли (определяет субъекта), область ответственности (определяет объекты), обязанности роли (определяет правила допустимого взаимодействия между субъектом и объектом). Пример, Паспорта ролей ниже:
Наименование роли
Область ответственности
Обязанности
Ответственный за оценку рисков ИБ
1. Перечень информационных активов
2. Перечень рисков ИБ
В соответствии со «Стандартом управления рисками ИБ»:
1. Идентифицировать все имеющиеся информационные активы в области действия СОИБ
2. Идентифицировать множества всех возможных угроз влияющих на безопасность информационных систем
3. Оценивать тяжесть последствий угроз
4. Оценивать возможности реализаций угроз
5. Оценивать риски ИБ
Ответственный за планирование обработки рисков ИБ
План обработки рисков ИБ
В соответствии со «Стандартом управления рисками ИБ»:
1. Определять способы обработки недопустимых рисков, в том числе требований по обеспечению ИБ
2. Определять защитные меры, реализующие требования по обеспечению ИБ и снижаются риск до допустимого уровня.
Таким образом можно достаточно просто определить все необходимые роли в области обеспечения ИБ.

вторник, 19 июля 2011 г.

Обучение. Применение модуля Cisco RVPN в крупных сетях

13 Июля принял участие в достаточно интересном вебинаре, посвященном применению модуля Cisco RVPN (С-терра) в крупных компаниях. Запись вебинара доступна тут.
В первой части было вебинара была продемонстрирована возможность конфигурации Маршрутизатора + RVPN по аналогии с технологией Cisco DMVPN. Таким образом мы получаем возможность сэкономить трудозатраты на первоначальной конфигурации и последующей переконфигурации больших отказоустойчивых сетей на базе C-терровских VPN-устройств. Вопрос об этой возможности недавно как раз задавали коллеги.
Во второй части демонстрировалась новая система централизованного управления С-терра VPN Updater. Система позволяет:
· мониторинг состояния и параметров VPN-устройств;
· изменение локальных политик безопасности VPN-продуктов;
· замена сертификатов VPN-устройств;
· распространение списков отозванных сертификатов на VPN-устройствах;
· замена предопределенных ключей VPN-устройств;
· изменение настроек журналирования VPN-устройств;
· изменение лицензий VPN-устройств.
Применение данной системы позволяет существенно сократить затраты на эксплуатацию подсистемы криптографической защиты на базе Cisco RVPN и других VPN-устройств С-терра.
Стоимость VPN-Updater:
· до 5 VPN-устройств включительно - бесплатно
· свыше 5 до 10 VPN-устройств включительно - 10 000 руб.
· свыше 10 до 100 VPN-устройств включительно - 50 000 руб.
· свыше 100 VPN-устройств включительно - 150 000 руб.

пятница, 15 июля 2011 г.

СЗПДн. Анализ. Письмо АРБ по поводу 152-ФЗ

Наконец к критике новой версии 152-ФЗ стали подтягиваться общественные организации. Так, АРБ отправило письмо председателю Правительства РФ и письмо президенту РФ
Позиция АРБ аргументирована и понятна. Банки рассчитывали, что выполнение требований СТО БР ИББС будет достаточным. Новая версия ФЗ-152 может перечеркнуть всю работу по стандартизации ИБ Банков. Ведь преимущество СТО БР было в том, что он определял схожие методы по защите платежной информации и ПДн.
Если Правительство РФ установит уровни защищенности и требования, которые не будут совместимы со СТО БР, то стандарт сразу потеряет свою привлекательность для Банков.
Надеюсь, когда Правительство РФ будет устанавливать уровни защищенности и требования они учтут этот момент и не допустят, чтобы усилия большой группы специалистов по разработке стандарта пропали даром.

СЗПДн. Внедрение. Заклинание на защиту ПДн


В качестве пятничного юмора коллега прислал заметку про обеспечение безопасности альтернативным комплексом защитных мероприятий. J
Как жаль что в свете новой версии ФЗ-152 применение данных мероприятий не попадает в типовые уровни защищенности. Ведь для многих небольших организаций данный комплекс мер был бы оптимальным решением.
Итак, заклинание на защиту ИСПДн 3-его класса: «Земля и Ветер, Огонь и Море, Луна и Солнце, прошу вас о защите, объедините ваши силы, моей системе помогите. Пусть персональные данные будут целы, надежно работает ИСПДн, не нарушат правила пользователи, сроки обработки да не истекут и принципы да будут нерушимы. О Боги, прошу защитите базы все и программы. Земля и Луна и Ветер, Солнце, Огонь Океан!»

среда, 13 июля 2011 г.

Общее. Рейтинг ИТ компаний Юга


Надо поддерживать местную специфику, потому напишу про интересную для меня новость: деловым журналом «Эксперт ЮГ» совместно с аналитическим центром «Эксперт ЮГ» подготовлен рейтинг компаний на рынке информационных и коммуникационных технологий Юга России по итогам 2010 года. http://expert.ru/south/2011/23/uspet-k-razdelu-it-piroga/


Примерно половина этих компаний предоставляет услуги в области ИБ.
На первом месте ЗАО «Орбита» - тут всё понятно.
Удивило следующее – из Московских интеграторов в рейтинг попал только Микротест. Где же другие интеграторы, работающие в ЮФО, такие как NVision, АМТ-Груп, Инфосистемы Джет? Не ужели у них нет достаточного объема проектов, чтобы попасть в область анализа «Эксперта ЮГ»?
Так-же интересно, что в рейтинг попала довольно новая местная компания Орион, но в то же время отсутствуют местные интеграторы ИБ, такие как Росинтеграция и Евромост. Неужели скрывают свои доходы и проекты?

четверг, 7 июля 2011 г.

СОИБ. Проектирование. Распределение ролей по ИБ в банке

Стандарт Банка России вводит достаточно большое количество ролей в области ИБ (порядка 30) с которыми необходимо работать. Пока БР ещё не разработал РС по распределению ролей, а стандарту уже хочется соответствовать, попытаемся придумать хороший вариант выполнения положений стандарта.

Рассмотрим основные требования СТО БР ИББС–1.0–2010 связанные с ролями:
“7.2.1. В организации БС РФ должны быть выделены и документально определены роли ее работников.
Формирование ролей, связанных с выполнением деятельности по обеспечению ИБ, среди прочего, должно осуществляться на основании требований 7 и 8 разделов настоящего стандарта.
7.2.2. Роли следует персонифицировать с установлением ответственности за их выполнение. Ответственность должна быть документально зафиксирована в должностных инструкциях.”
При этом у работников могут быть роли в организации в целом и могут быть роли в определенной информационной системе (например, АБС).
Допустим у нас часть общеорганизационных ролей уже определена в должностных инструкциях, и часть ролей в информационных системах определены в «регламенте управления доступом к ИС» и «заявках на доступ к ИС».
Как организовать определение и назначение недостающих ролей и не перечеркнуть все уже разработанные на данный момент роли? Предлагаю следующий вариант.
Разрабатываем «Политику распределения ролей». В ней описываем допустимые варианты определения ролей:
· в форме паспорта роли;
· в форме раздела должностной инструкции;
· в форме раздела нормативного документа Банка;
· в форме заявки на доступ к КИС.
В ней описываем допустимые варианты персонализации ролей:
· включение ссылки на паспорт роли в должностную инструкцию работника, выпуск приказа о изменении должностной инструкции и ознакомление работника с ней;
· включение ссылки на нормативных документ с описанием роли в должностную инструкцию работника, выпуск приказа о изменении должностной инструкции и ознакомление работника с ней;
· включение описания роли непосредственно в должностную инструкцию работника, выпуск приказа о изменении должностной инструкции и ознакомление работника с ней;
· указание в тексте заявки на доступ к ИС должности и ФИО работника, ознакомление сотрудника с заявкой, включение в должностную инструкцию ссылки на заявку.
В приложении 1 к политике – будет перечень ролей.
В приложение 2 к политике – будут паспорта ролей.

понедельник, 4 июля 2011 г.

СОИБ. Анализ. Аудит ИБ Банков


Только что вернулся с обучения по курсу «аудит информационной безопасности организаций банковской системы Российской Федерации».
По сравнению с предыдущей версией учебного курса, преподавательский состав был очень сильный:
· Дроздов Андрей – партнер компании «4x4» (ранее ведущий менеджер компании «КПМГ»), эксперт ABISS, CISM, CISA, CGEIT.
· Булгаков Андрей - директор департамента ИБ «Метробанк» с огромным практическим опытом внедрения Стандарта Банка России и проведения Самооценки.
· Велигура Александр - председатель комитета по ИБ Ассоциации Российских банков, заместитель директора «Аднэк консалтинг», CISA.
На курсе в качестве наблюдателя присутствовал секретарь ABISS Павел Гениевский. В качеству участников курса подобралась отличная команда из представителей интеграторов (Микротест, Deiteriy, Информзащита, ReignVox, Орбита и др.) и нескольких банков (ЦБ РФ и др).
Сразу скажу, что на курсе почерпнул много полезной информации, а по его итогам сдал экзамен на сертифицированного аудитора ABISS. Но остался ряд нерешенных моментов и вопросов:
· Не было достигнуто окончательной договоренности, о том какую шкалу оценки выбирать по ряду вопросов из методики оценки. Были вопросы, по которым мнение преподавателей расходились. Для устранения спорных моментов центральному банку было предложено добавить в новой версии стандарта оценки столбец с указанием шкалы оценки.
· Не было достигнуто окончательной договоренности о подходе к исключению показателей из оценки. Одно из озвученных мнений – банк и аудитор вольны исключать любые пункты по своему усмотрению и договоренности на предварительном этапе аудита (например, выполнение мероприятий, срок которых ещё не наступил – корректирование СОИБ по результатам оценки СОИБ). Другое мнение (и я его поддерживаю) – исключать нужно очень осторожно только те показатели, которые в принципе не применимы для данного банка (например, пока не пройдет полностью цикл PDCA для СОИБ и СМИБ – нельзя говорить полном о соответствии СТО БР).
· По ряду рассматриваемых на курсе показателей мы обсуждали, что необходимо в идеальном случае для соответствия показателю. Но этот аспект актуален скорее при внедрении СТО БР. При аудите более логичным было бы обсуждать минимальный набор документов или мероприятий, которые позволят положительно оценить показатель.
Среди новой и наиболее полезной информации для меня лично перечислю следующее:
· То что мы называем «аудитом ИБ» – это не аудит, а «оценка соответствия». В законодательстве термин аудит подразумевает «финансовый аудит».
· Как следствие компании проводящие «финансовый аудит» - несут финансовую ответственность за результаты аудита, компании проводящие «аудит ИБ» фактически не несут ответственности по законодательству. Но тут и возникает ABISS, который может вести черные списки, оценивать репутацию, проводит экспертную оценку результатов аудита.
· ABISS планирует вести учет всех специалистов, сертифицированных для аудита ИБ СТО БР ИББС, планирует внедрить требования по ежегодному повышению квалификации (минимальное количество учебных часов или семинаров).
· Пока требования ABISS для компаний-аудиторов - это иметь 5 сертифицированных специалистов. В дальнейшем планируется увеличение требований в соответствии с ГОСТ Р ИСО/МЭК 27006-2008, а так-же требованиями регуляторов (необходимость лицензии ФСТЭК РФ, ФСБ РФ). Например планируется, чтобы руководитель группы аудиторов имел опыт проведения аудита в качестве рядового участника.
· Так как возможна экспертиза результатов аудита, необходимо обязательно документировать свидетельства (перечень документов, результаты опроса, наблюдения) по каждому оцениваемому показателю. Подписывать всё собранные свидетельства у представителей банка.
· На вступительном совещании надо обговорить все исключаемые из аудита показатели. Например, для экономии трудозатрат можно сразу исключить все рекомендованные показатели. На этом же совещании определяются репрезентативная выборка ИС (например, можно выбрать 4 системы из 10).
· Может оказаться, что в результате проекта возникли «неразрешенные разногласия». То есть аудитор настаивает на одной оценке по показателю, а банк на другой. В таком случае аудитор принимает свой вариант, а вариант банка описывает в разделе «неразрешенные разногласия» отчета об аудите. Там же аудитор аргументирует свою позицию.
· При аутсорсинге ИБ, как правило, банк получает низкие показатели. Потому что аутсорсинговая компания должна фактически внедрить у себя часть СТО БР ИББС.
· Оценка уровня соответствия R = равна минимуму из (EV1, EV2, EV3). EV1 = минимуму из (EVБИТП, EVБПТП, EV2ОЗПД, EVООПД). EVООПД = EVM9. EVM9 = минимальному из частных показателей М9. Таким образом, любая отрицательная оценка частного показателя М9 приводит к 0-ому уровню соответствия в целом.
· Теоретически каждый частный показатель должен оцениваться в 3-х вариантах: 1. Для банковского платежного ТП 2. Банковского информационного ТП 3. Банковского ТП, в рамках которого обрабатываются ПДн.
· Уточняющие вопросы по ПДн обязательно применять только для расчета EV1ОЗПД, который состоит из показателей (EVM1, …, EVM5, EVM8, EVM10). То есть для расчета остальных показателей эти вопросы применять не обязательно. Но ЦБ и ABISS считает, что эти вопросы можно применять для оценки остальных показателей (по договоренности между банком и аудитором)
· Минимально рекомендуемый состав аудиторской группы (3+1/4): руководитель группы, 2 аудитора и частично занятый управляющий проектом аудита.
· Минимально рекомендуемое время аудита ИБ: две недели на предварительные работы по аудиту, месяц аудита на месте, месяц подготовки отчета.
· Типовая стоимость аудита ИБ: 2 млн. руб. Был случай когда для одного из территориальных органов ЦБ стоимость аудита по конкурсу опустилась до 0,5 млн. руб. ЦБ РФ вынужден был отменить конкурс, потому что проведение аудита в необходимом объеме и с необходимым качеством невозможно за такую стоимость.