пятница, 30 марта 2012 г.

СОИБ. Проектирование. Защита web приложений


Заметка в продолжение предыдущей темы про IPS/HIPS.

Проблема защиты web сервисов и web приложений становится с каждым годом всё актуальнее.
Во-первых, больше компаний начинает продвигать услуги через сеть Интернет (партнерские разделы, клиентские разделы, форумы).  Во-вторых, появляется больше компаний, для которых основной бизнес связан с сетью Интернет (интернет банки, интернет магазины, социальные сети, интернет СМИ, онлайн почта, онлайн файлы, онлайн фото-видео, онлайн игры и т.п.). В-третьих, большинство критических корпоративных приложений переходит на web интерфейсы (почта, ERP, документооборот, корпоративные порталы и т.п.).

По данным аналитических лабораторий (1 и 2)  web-приложения имеют большое количество уязвимостей. Вероятность обнаружения уязвимостей составляет 80%.
Даже если вам удалось обнаружить уязвимости в своем приложении раньше злоумышленника, есть ещё задержка во времени, пока разработчик будет устранять уязвимости. Бывали случаи когда разработчики интернет-банка выпускали новую версию только через год  или вообще отказывались дорабатывать ПО.

Рассмотрим для примера экспресс анализ рисков для web приложения.


Рассмотрим контрмеры, которые можно использовать для нейтрализации угроз по неприемлемым рискам:
·        Существенно ограничить доступ мы не можем – ведь к нашему web приложению обращается широкий круг пользователей.
·        Межсетевой экран частично может использоваться для нейтрализации 2 угрозы. Но не поможет нам с 3 и 4.
·        Локальное система предотвращения вторжений совсем слабо поможет с угрозой 2 и 4 и абсолютно не поможет с 3.
·        Сетевое средство обнаружения вторжений поможет с 2, частично с 3-им и совершенно не поможет с 4.

В данном случае, единственным средством, понижающим риски до приемлемого уровня является специализированное средство защиты web приложений (например, IMPERVA).

В качестве подтверждения привожу сравнение решения IMPERVA Web Application Firewall с типовым сетевым средством обнаружения вторжений.



Возможные варианты размещения WAF:

и





среда, 28 марта 2012 г.

СОИБ. Анализ. Требования Правительства РФ по обработке и защите ПДн для ГОС.



Краткий анализ новенького:
·        Новые требования к обязательным документам. Требуется разработать и утвердить 12 документов (правила, перечни, должностную инструкцию, обязательство, формы согласия, порядок).
·        Сделаны ссылки на существующее ПП о неавтоматизированной обработке и на будущие ПП по уровням защищенности.
·        Надо периодически проводить проверки. Периодичность не определена (читаем как, можно сделать план – раз в 3 года). О результатах докладывать руководителю госоргана.
·         Надо проводить обезличивание ПДн в соответствии с требованиями и методами, установленными Роскомнадзором (интересно было бы увидеть что это за требования и методы).
В остальном, дублирует требования ФЗ.

вторник, 27 марта 2012 г.

СОИБ. Проектирование. Обеспечение непрерывности бизнеса и восстановления деятельности 3


В предыдущих заметках (1 и 2) я рассмотрел, почему с точки зрения ИБ необходимо заниматься обеспечением непрерывности бизнеса и восстановлением деятельности и выполнения каких требований надо достичь.

Теперь рассмотрим с чего можно начать, если вы решили заняться обеспечение непрерывности бизнеса и восстановления деятельности в организации и что надо включить в план реализации этого проекта.

Обратимся к стандартам ИБ в порядке уменьшения их популярности в целом:
·        ISO/IEC 27002. Информационные технологии. Свод правил по управлению защитой информации
·        СТО БР ИББС. Обеспечение информационной безопасности организаций банковской системы Российской Федерации.
·        COBIT. Control Objectives for Information and Related Technology
·        Стандарт АРБ. Система управления непрерывностью деятельности кредитных организаций банковской системы российской федерации.

В соответствии с ISO/IEC 27002 необходимо:
1.      Приказом руководства создать рабочую группу по обеспечение непрерывности бизнеса и восстановления деятельности;
2.      Включить в состав рабочей группы владельцев активов;
3.      Разработать стратегию обеспечения непрерывности бизнеса
o   Провести оценку рисков (в том числе определить приемлемые и неприемлемые), если она ещё не была проведена;
o   Идентифицировать все активы входящие в критические процессы, если идентификация активов ещё не была проведена;
o   Учесть договорные обязательства перед клиентами и третьими лицами;
o   Разработать структуру планов обеспечения непрерывности;
4.      Разработать планы обеспечения непрерывности бизнеса и восстановления после прерываний
o   Назначить владельца каждому плану;
o   При планировании  непрерывности бизнеса необходимо учитывать информацию из базы произошедших в организации инцидентов;
o   Определить условия активации планов;
o   Разработать процедуры действий в нештатных ситуациях (от перехода в аварийный режим и до восстановления);
o   Определить ответственных за реализацию плана;
o   Определить активы и ресурсы необходимые для восстановления;
5.      Разработать программу внедрения планов и процедуры обеспечения непрерывности бизнеса
o   Внести изменения в программу обучения сотрудников
o   Разработать программу испытания планов
6.      Утвердить и внедрить планы и процедуры обеспечения непрерывности бизнеса
o   Обучить персонал действиям по обеспечению непрерывности, действиям в нештатных ситуациях, действиям по восстановлению бизнеса;
o   Провести тестирование планов и корректировку по результатам тестирования.


В следующих заметках напишу как можно объединить это с рекомендациями остальных стандартов.


Основные цитаты из ISO/IEC 27002 касающиеся непрерывности:
“14. Менеджмент непрерывности бизнеса
Процесс менеджмента непрерывности бизнеса должен быть реализован … посредством комбинации предупреждающих и восстанавливающих средств управления.

Этот процесс должен идентифицировать критические деловые процессы …


Должен быть разработан и должен поддерживаться по всей организации управляемый процесс для обеспечения непрерывности бизнеса, который рассматривает требования защиты информации, необходимые для обеспечения непрерывности бизнеса организации.


Процесс должен свести воедино следующие ключевые аспекты менеджмента непрерывности бизнеса:
a) понимание рисков, с которыми сталкивается организация, с точки зрения вероятности и влияния со временем, включая выявление и присваивание приоритетов критическим деловым процессам (см. 14.1.2);
b) выявление всех активов, вовлеченных в критические деловые процессы (см. 7.1.1);
c) понимание влияния, которое прерывания, вызванные инцидентами в системе защиты информации, могут оказать на бизнес (важно, чтобы были найдены решения, которые справятся с инцидентами, вызывающими меньшее влияние, равно как и с серьезными инцидентами, которые могут угрожать жизнеспособности организации) и установление деловых целей средств обработки информации;
d) рассмотрение приобретения подходящей страховки, которая может образовать часть общего процесса обеспечения непрерывности, также являясь частью менеджмента операционных рисков;
e) выявление и рассмотрение реализации дополнительных предупреждающих и уменьшающих средств управления;
f) выявление достаточных финансовых, организационных, технических ресурсов и ресурсов окружающей среды для того, чтобы учесть определенные требования защиты информации;
g) обеспечение безопасности персонала и защиты средств обработки информации, а также организационной собственности;
h) формулировка и документирование планов обеспечения непрерывности бизнеса, учитывающие требования защиты информации в соответствии с согласованной стратегией обеспечения непрерывности бизнеса (см. 14.1.3);
i) регулярное испытание и обновление реализованных планов и процессов (см. 14.1.5);
j) обеспечение того, чтобы менеджмент непрерывности бизнеса был включен в процессы и структуру организации; ответственность за процесс менеджмента непрерывности бизнеса должна быть назначена на подходящем уровне в организации (см. 6.1.1).


Аспекты обеспечения непрерывности бизнеса, связанные с защитой информации, должны быть основаны на выявлении событий (или последовательности событий), которые могут вызвать прерывания в деловых процессах организаций, например, сбой оборудования, человеческие ошибки, кражи, пожар, стихийные бедствия и акты терроризма.


Оценки рисков для непрерывности бизнеса должны проводиться с полным вовлечением владельцев деловых ресурсов и процессов. Эта оценка должна рассматривать все деловые процессы и не должна быть ограниченной средствами обработки информации, но должна включить результаты, специфичные для защиты информации. …


В зависимости от результатов оценки рисков, должна быть разработана стратегия обеспечения непрерывности бизнеса для определения общего подхода к непрерывности бизнеса. Как только эта стратегия будет создана, руководством должно быть предоставлено подтверждение, и должен быть создан и претворен в жизнь план для реализации этой стратегии.


Должны быть разработаны и реализованы планы для поддержания или восстановления операций и обеспечения доступности информации на необходимом уровне и в рамках необходимого времени, выполнение которых следует за прерыванием или сбоем критических деловых процессов.


Процесс планирования обеспечения непрерывности бизнеса должен учитывать следующее:
a) выявление и согласование всех обязанностей и процедур обеспечения непрерывности бизнеса;
b) определение приемлемой потери информации и невыполнения обслуживания;
c) реализация процедур с целью сделать возможным возвращение к исходному режиму и восстановление деловых операций и доступности информации в необходимое время; особое внимание должно быть уделено оценке внутренних и внешних зависимостей бизнеса и имеющихся договоров;
d) эксплуатационные процедуры, которым надо следовать в ожидании завершения возвращения к исходному режиму и восстановления;
f) соответствующее образование персонала в области согласованных процедур и процессов …;
g) испытание и обновление планов.


Процесс планирования должен сфокусироваться на необходимых деловых задачах, например, восстановление конкретных услуг связи потребителям в приемлемое время. 


Должны быть выявлены услуги и ресурсы, способствующие этому, включая кадровое обеспечение, неинформационные обрабатывающие ресурсы, а также мероприятия перехода средств обработки информации в аварийный режим.
Должна поддерживаться единая структура планов обеспечения непрерывности бизнеса ….


Структура планирования непрерывности бизнеса должна учитывать выявленные требования защиты информации и рассмотреть следующее:
a) условия для активации планов, описывающих процесс, который предстоит выполнить (например, как оценить ситуацию, кто должен быть задействован) прежде, чем каждый план будет активирован;
b) чрезвычайные процедуры, описывающие действия, которые будут предприняты вслед за инцидентом, подвергающим опасности деловые операции;
c) процедуры перехода в аварийный режим…;
d) временные эксплуатационные процедуры, которым надлежит следовать в ожидании завершения восстановления и возврата в обычный режим;
e) процедуры возобновления, описывающие действия, которые надлежит предпринять для возврата к нормальным деловым операциям;
f) график обслуживания, который определяет, как и когда план будет испытан, и процесс для обслуживания плана;
g) деятельность по повышению осведомленности, образованию и подготовке, которые предназначены для того, чтобы создать понимание процессов обеспечения непрерывности бизнеса и обеспечить, что процессы продолжают оставаться результативными;
h) обязанности лиц, описывающие, кто за выполнение какой компоненты плана ответственен. Если требуется, то должны быть назначены альтернативы;
i) критические активы и ресурсы, необходимые для того, чтобы быть способным выполнить чрезвычайные процедуры, процедуры перехода в аварийный режим и процедуры возобновления.


Испытания плана обеспечения непрерывности бизнеса должны гарантировать, что все члены группы по восстановлению и другой имеющий отношение к делу персонал осведомлены о планах и о своей ответственности за непрерывность бизнеса и защиту информации, и знают о своей роли при осуществлении плана.
Программа испытаний для плана (планов) обеспечения деловой непрерывности должна указывать, как и когда должен быть испытан каждый элемент плана. Каждый элемент плана (планов) должен испытываться часто.

СОИБ. Сертификация. Требования к системам обнаружения вторжений.


На сайте ФСТЭКРоссии опубликованы профили защиты систем обнаружения вторжений 4 – 6 уровней защиты. За ссылку спасибо Valentin-у.
Требования применяются при защите гостайны и информации с ограниченным доступом.
Требования предназначены не для пользователей (как утверждалось ранее), а для разработчиков, заявителей, испытательных лабораторий и органов по сертификации.
Системы обнаружения вторжений 1-3 уровней применяются для защиты гостайны и профили для них не опубликованы.
Комментарии позже.

среда, 21 марта 2012 г.

СОИБ. Анализ. Инструменты для оценки соответствия стандарту СТО БР ИББС 4


В одной из предыдущих заметок я рассматривал инструмент ISM Revision: Audit Manager от ISM SYSTEMS для оценки соответствия стандарту СТО БР ИББС .

Недавно тот-же производитель запустил бесплатный online-сервис для оценки соответствия СТО БР ИББС. 

Под данным названием компания ISM SYSTEMS предлагает нам перечень из порядка 100 неких мероприятий. Предлагается отметить какие мероприятия из данного перечня уже выполнены в банке и получить некие оценки по названиям похожие на обозначения из СТО БР ИББС–1.2–2010.
Целью оценки соответствия ИБ Банка является определение степени соответствия ИБ организации требованиям СТО БР ИББС–1.0. Как может предлагаемый бесплатный сервис помочь в достижении этой цели?
Во-первых непонятно как связанны предлагаемые мероприятия и СТО БР ИББС. В сервисе не приводится связи между мероприятиями и пунктами стандарта. Нет возможности определить являются ли данные мероприятия избыточными или наоборот недостаточными для полного соответствия СТО БР ИББС.

Например, цитирую СТО БР ИББС–1.2–2010:
“М4.3. Осуществляется ли установка и регулярное обновление средств антивирусной защиты (версий и баз данных) на автоматизированных рабочих местах и серверах АБС администраторами АБС или иными официально уполномоченными лицами?
“М4.4. Организован ли автоматический режим установки обновлений антивирусного программного обеспечения и его баз данных?”

В разделе 2 “Антивирусная защита” онлайн-сервиса ничего подобного нет.
Во вторых часть пунктов стандарта является рекомендациям или часть требований СТО БР ИББС может быть неактуальна для конкретного Банка. В указанно онлайн-сервисе нет возможности указать неактуальные или рекомендуемые мероприятия.
В-третьих мероприятия приведены довольно крупные (особенно касается документов). При этом нет возможности указать частичную степень выполнения мероприятия. А ведь в банке который находится в процессе приведения в соответствие могут быть частично задокументированные процедуры. Пользователи онлайн-сервиса будут получать нули за такие пункты и соответственно неактуальную оценку.
В-четвертых зависимость итоговых показателей от мероприятий не описана и не очевидна. UPD.
В-пятых отсутствуют уточняющие вопросы или мероприятия им соответствующие.
Так-же онлайн-сервис не позволяет сделать необходимые даже для самооценки ИБ действия:
·        Не позволяет планировать мероприятий по оценке;
·        Не позволяет прикреплять или даже указывать свидетельства оценки;
·        Не учитывает возможности выполнения мероприятий только для одного из направления (БПТП, БИТП, ОЗПД);
·        Нет возможности сохранить результаты или отчет.
Таким образом использовать для самооценки ИБ данный онлайн-сервис нельзя.

Тогда для чего же он? Может быть он предназначен для формирования плана мероприятий необходимых для соответствия СТО БР ИББС?
Но и для формирования плана сервис не подходит:
·        Не приводится зависимости между мероприятиями и пунктами стандарта;
·        Не приводится зависимости между мероприятиями и групповыми показателями;
·        Нет возможности экспортировать перечень невыполненных мероприятий.

Остается сделать вывод, что данный сервис сделан исключительно в развлекательных и игровых целях. В таком случаем скажу спасибо авторам хотя бы за это.

воскресенье, 18 марта 2012 г.

Общее. Обучение Stonesoft в Финляндии


Не писал последние 2 недели заметок в связи с тем, что неделю готовился и неделю ездил на обучение по Stonesoft в Хельсиники.
Для обучения были выбраны 3 ключевых продукта из комплекса решений: Stonegate SMC, Stonegate FW/VPN, Stonegate IPS. Имея за плечами опыт обучения по Check Point в Российской учебном центре и невосторженные отзывы коллег от обучения по Stonesoft в России, надеялся что в центре вендора ситуация с обучением будет существенно лучше.

Первое что бросилось в глаза  - структура курса, учебные материалы, лабораторная зона – всё это очень похоже на обучение по Check Point, которое я посещал 3 года назад. Легкое ощущение дежа-вю (-).
Учебные курсы вели три преподавателя из отдела технической поддержки StoneSoft, с опытом работы в 4 года и преподавания 3 года. Это (+) по сравнению с учебными курсами в России, где преподаватели не имеют опыта реализованных проектов по StoneSoft.
В дальнейшем специфика отдела техподдержки тоже проявлялась: на нестандартные вопросы по дизайну сетей и нестандартных возможностях  продуктов Stonesoft, запоминали вопрос и отвечали на него после перерыва (+-).
У каждого из преподавателей было разное произношение на английском.  У первой преподавательницы по SMC было самое лучше произношение. У второго и третьего преподавателя был сильный акцент. И в последнем случае к нему так и не удалось привыкнуть (-, возможно сказался небольшой у меня разговорный опыт в английском).
В первый день расстроило отсутствие специально подготовленной лабораторной зоны. Работали с Stonegate SMC, установленной в режиме demo mode. Такой вариант я мог-бы развернуть дома и зачем тогда ехать в такую даль? В остальные дни была нормальная лабораторная зона на базе VMWare и virtual appliance. Причем лаба была сделана на совесть: было поднято много сервисов, запускались скрипты с разнообразными сетевыми атаками, которые мы отрабатывали (+-).    
В качестве бонуса (+) перед нами выступил директор департамента развития, разказал про инициативу Stonesoft в рамках которой выполняется анализ и борьба с различными техниками обхода средств защиты (Advanced Evasion Threats). Для тестирования возможных техник обхода у них развернута лаба с продуктами 9 ведущих производителей в области ИБ (cisco, fortinet и др.). Нам вживую продемонстрировали, что другие производители обнаруживают только базовые техники обхода, а более сложные техники или комбинации из простых уже не обнаруживаются. Таким образом, даже широко известные атаки, с применением AET, проходят через средства защиты незамеченными.

Тесты мы с коллегой сдавали сразу же. На практических занятиях мы успевали проверить не все возможности, рассмотренные в теоретической части,  поэтому оставшуюся часть приходилось пробовать вечером в гостинице. После этого особых проблем со сдачей экзаменов мы не испытали. Возможно, сказался 2-х летний опыт работы с StoneGate, а возможно дело в объективно более простых вопросах, чем в аналогичных экзаменах Cisco и Check Point.
Так что я теперь StoneGate Management Center Administrator (SGSMCA),  StoneGate Firewall/VPN Architect (SGFWA) и StoneGate IPS Architect (SGIPSA).

В конце выдали ништяки (+) от вендора:  8-ми гигабайтную флешку StoneGate c учебными материалами, футболку с надписью “I eat Hackers on Breakfast” и коврик с надписью ”Putting Hackers out of Business”.

Кому я могу посоветовать обучение по Stonesoft в Финляндии? Специалистам интеграторов, которым нужен партнерский статус. Специалистам, которые хотят улучшить навыки разговорного английского или взглянуть в глаза техподдержке Stonesoft. Всем остальным достаточно будет и курсов приводящихся в России.