пятница, 27 апреля 2012 г.

СЗПДн. Анализ. Проекты новых постановлений правительства РФ по защите ПДн (UPDATED)


На сайте ФСБ были опубликованы 2 проекта новых постановлений правительства РФ по защите ПДн: обустановлении уровней защищенности и о требованиях по защите ПДн в ИСПДн

Не вижу смысла пока делать постатейный анализ – это проекты документов.

Привожу пока только основные замечания:
0.      Как можно было так долго (почти год) разрабатывать эти документы, если изменения минимальны?
1.      Под уровнем защищенности понимается набор требований, которые оператор должен стремиться выполнить. Реальный (или текущий) уровень защищенности ИСПДн не имеет к нему отношения (а были и такие предположения).
2.      В документе про уровни защищенности не рассматривается такой тип ИСПДн как – содержащий общедоступные ПДн. Не понятно, какой уровень защищенности должен быть у  этих систем -> возможны разные трактовки при проверке -> коррупция
3.      Класс ИСПДн не зависит от возможного вреда субъекту. (точнее сделана пометка что в зависимости от вреда класс может быть увеличен). При определении класса ИСПДн используются типы ПДн. А  тип ПДн и возможный вред могут существенно различаться.
- тип3 фактически не существует в природе (ведь базы ПДн создаются не сами для себя, а для какой-то цели и следовательно дополнительная информация будет в них всегда) -> K3 отсутствует в природе.

- возможные вред субъекту от разных наборов ПДн типа 2 может существенно различаться.
- вред субъекту может быть и от систем с обезличенными данными. То есть тип4 не значит нулевой вред.

Поэтому, предлагаю добавить абзац разрешающий организациям проводить оценку вреда и на основе этой оценки корректировать класс ИСПДн (в том числе получать более низкий класс К3). Те, кто не проводят оценку ущерба – пользуются классической таблицей.

4.     Тип нарушителя также должен зависеть от возможного вреда или от возможной выгоды нарушителя.  Чем больше выгода – тем больше вероятность и возможность сговора.
Но по, крайне мерее, текущая формулировка не мешает нам экспертным способом выбирать КН1.

Для примера проведем определения уровня защищенности для 4х типовых ИСПДн в соответствии с проектами ПП РФ:

1.      Маленькая организация. ИСПДн только кадры и бухгалтерия по сотрудникам. ХПД  = тип2, ХНПД = 3 , класс = K2, нарушитель = КН1, тип уровень защищенности = УЗ-3
2.      Маленькая организация. ИСПДн клиентов (например 2000 клиентов).  ХПД  = тип2, ХНПД = 2 , класс = K1, нарушитель = КН1, тип уровень защищенности = УЗ-2
3.      Крупный оператор. ИСПДн клиентов (например 50 000 000 клиентов).  ХПД  = тип2, ХНПД = 1 , класс = K1, нарушитель = КН1, тип уровень защищенности = УЗ-2
4.      Крупный оператор здравоохранения. ИСПДн пациентов (например 5 000 000 клиентов).  ХПД  = тип1, ХНПД = 1 , класс = K1, нарушитель = КН1, тип уровень защищенности = УЗ-2

Не очень получается. Не сказал бы я, что для всех операторов типа 2,3,4 справедливо выставлять одинаковые требования.


UPD: Анализ несоответствия ФЗ и проектов ПП РФ приводит Артем Аветьян.
Анализ основных проблем в блоге Алексея Волкова 
Пара слов от Евгения Шауро
Пара слов от Ригеля.

Отличную работу по подготовке замечаний проделал ZZUBRAЭтот документ  можно использовать за основу быстро дополнить вашими замечаниями.

UPD2: Подготовил экспертное заключение и отправил в ФСБ Р (оставил основные замечания, но поправил и заменил ряд замечаний, с моей точки зрения, ухудшающих документ. Например, требования о наличие лицензий).



четверг, 26 апреля 2012 г.

СОИБ. Анализ. Безопасность технологических сетей и систем


Не секрет, что в ряде предприятий параллельно с компьютерной вычислительной сетью существует ещё одна технологическая сеть с технологическими системами (SCADA, АСУ ТП).
Последнее время растет количество опубликованных уязвимостей  АСУ ТП. Например свежие новости про уязвимости в самых популярные в России производителях SCADASchneider-Electric и Siemens.

Вместе с этим эксперты по ИБ всё чаще поднимают эту проблему и предлагают решения:
·        Михаил Емельянников предупреждает о возможныхкатастрофах
·        Андрей Комаров неоднократно поднимает эту тему в своем блоге

Но реакции со стороны специалистов занимающихся безопасностью технологических сетей и систем не видно.

А вместе с тем предприятий, в которых есть технологические сети немало. Вот перечень основных отраслей:
·        промышленное производство;
·        производство электроэнергии;
·        управление передачей и распределением электроэнергии;
·        водозабор, водоочистка и водораспределение;
·        добыча, транспортировка и распределение нефти и газа;
·        все виды транспорта: авиа, метро, железнодорожный, автомобильный, водный
·        космические, пограничные и военные объекты;
·        операторы сотовой связи, телевидения, радио;
·        автоматизированные хранилища;
·        системы безопасного города: видеонаблюдение, экстренная помощь;
·        автоматизация зданий, развлекательных, спортивных, строительных объектов, систем  “умный дом”  и т.п.

АУ. Где вы, специалисты, отвечающие за безопасностью технологических сетей и систем? Почему их не слышно и не видно?

Исходя из собственного опыта, предположу, что таких ответственных нет. Сотрудникам отдела ИБ строго настрого запрещено трогать технологические сети. Специалисты АСУ ТП и SCADA знать ничего не знают про угрозы ИБ.

Именно поэтому в данную секунду реализуется большое количество проектов по созданию или модернизации технологических сетей и систем, в котором и слова нет про ИБ: Открытые тендеры B2B, Мосэнерго  

Именно поэтому вконференциях по АСУ ТП  нет секций по ИБ. В конференциях по ИБ нет секций по АСУТП. А если есть отдельные доклады, то специалисты по АСУТП не приглашаются на данные конференции и не знают о поджидающих их проблемах.

И если ситуация кардинально не изменится, то ждать нам в ближайшее время подобных новостей:  ММВБ, Северный поток, Авиакомпания Сибирь, Нефтянаякомпания Ирана.


UPD. Интереcная дисскусия развернулась на форуме АСУТП.



вторник, 24 апреля 2012 г.

СОИБ. Лицензирование деятельности связанных с шифрованием



На сайте правительства РФ опубликовано Постановление от 16 апреля 2012 г. №313 Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).


Во-первых, добавилось явное исключение, описывающее случаи, когда деятельность не попадает под лицензирование:
“1. … если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя”

Во-вторых, расширено определение СКЗИ, теперь включающее не только компоненты реализующие шифрование, но и компоненты обеспечивающие шифрование и хранящие ключи:
“ж) аппаратные шифровальные (криптографические) средства - устройства и их компоненты, в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации без использования программ для электронных вычислительных машин;
з) программные шифровальные (криптографические) средства - программы для электронных вычислительных машин и их части, в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации в программно-аппаратных шифровальных (криптографических) средствах, информационных системах и телекоммуникационных системах, защищенных с использованием шифровальных (криптографических) средств;
и) программно-аппаратные шифровальные (криптографические) средства - устройства и их компоненты (за исключением информационных систем и телекоммуникационных систем), в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации с использованием программ для электронных вычислительных машин, предназначенных для осуществления этих преобразований информации или их части.”

В-третьих расширен список типов СКЗИ, которые не попадают под лицензирование:
·        средства аутентификации;
·        встроенные средства ОС;
·        персональные смарт-карты;
·        средства защиты от копирования и защиты авторских прав;
·        комплексные средства, в которых производителем заблокирована функция СКЗИ.
“3. Настоящее Положение не распространяется на деятельность с использованием:
в) товаров, содержащих шифровальные (криптографические) средства, имеющих либо функцию аутентификации, включающей в себя все аспекты контроля доступа, где нет шифрования файлов или текстов, за исключением шифрования, которое непосредственно связано с защитой паролей, персональных идентификационных номеров или подобных данных для защиты от несанкционированного доступа, либо имеющих электронную подпись;
г) шифровальных (криптографических) средств, являющихся компонентами программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной;
д) персональных смарт-карт (интеллектуальных карт), криптографические возможности которых ограничены использованием в оборудовании или системах, указанных в подпунктах »е» - »и» настоящего пункта, или персональных смарт-карт (интеллектуальных карт) для широкого общедоступного применения, криптографические возможности которых недоступны пользователю и которые в результате специальной разработки имеют ограниченные возможности защиты хранящейся на них персональной информации;
ж) оборудования, криптографические возможности которого недоступны пользователю, специально разработанного и ограниченного для осуществления следующих функций:
исполнение программного обеспечения в защищенном от копирования виде;
обеспечение доступа к защищенному от копирования содержимому, хранящемуся только на доступном для чтения носителе информации, либо доступа к информации, хранящейся в зашифрованной форме на носителях, когда эти носители информации предлагаются на продажу населению в идентичных наборах;
контроль копирования аудио- и видеоинформации, защищенной авторскими правами;
м) товаров, у которых криптографическая функция гарантированно заблокирована производителем.”

В-четвертых, расширен и детализирован перечень видов работ, связанных с СКЗИ. Теперь их 28. На все нужные вам виды работ выдается одна лицензия, а виды работ перечисляются на обратной стороне или на дополнительном приложении.

В-пятых поменялись лицензионные требования:
·        замена требования аттестованных рабочих мест, на более полит корректное:
Вместо “д) применение лицензиатом средств обработки информации, аттестованных в соответствии с требованиями по защите информации;”
Теперь “в) наличие у соискателя лицензии (лицензиата) условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, составляющих лицензируемую деятельность, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом «Об информации, информационных технологиях и о защите информации»;”
·        уточнение требований к квалификации персонала  -  высшее образование или переподготовка в направлении «Информационная безопасность» (от 100 до 1000 аудиторных часов, в зависимости от вида работ).
·        для видов работ 1 - 11, 16 – 19 требуется наличие неких приборов и оборудования.
“е) наличие у соискателя лицензии приборов и оборудования, прошедших поверку и калибровку в соответствии с Федеральным законом «Об обеспечении единства измерений», принадлежащих ему на праве собственности или ином законном основании и необходимых для выполнения работ и оказания услуг, указанных в пунктах 1 - 11, 16 - 19 перечня;”
В-шестых уточнили перечень документов предоставляемых при лицензировании:
·        Вместо перечня внутренних документов, которые готовились в рамках аттестации рабочих мест, теперь необходимо предоставить копии самих внутренних документов связанных с КИ:
б) копии внутренних распорядительных документов, подтверждающих наличие условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, определенных настоящим Положением, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом «Об информации, информационных технологиях и о защите информации»;
·        Вместо аттестата теперь предоставляем:
и) сведения о документе, подтверждающем наличие условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, определенных настоящим Положением, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом «Об информации, информационных технологиях и о защите информации»;
·        По сотрудникам, ответственным за лицензионную деятельность, теперь предоставляем кроме дипломов ещё и копии трудовых книжек и должностных инструкций:
“д) копии трудовых книжек сотрудников, определенных подпунктом »д» пункта 6 настоящего Положения;
е) копии должностных инструкций сотрудников, определенных подпунктом «д» пункта 6 настоящего Положения;”

В-седьмых теперь явно требуется указать все территориально распределенные офисы, в которых планируется осуществлять лицензионную деятельность и необходимо  обеспечить выполнение лицензионных требований во всех офисах.  То есть, если интегратор хочет оказывать услуги связанные с СКЗИ в городе N-ске, у него в лицензии должен быть перечислен этот город. Для этого многим распределенным лицензиатам по-видимому придется переоформлять лицензию.
“9. При намерении лицензиата осуществлять лицензируемую деятельность по адресу места ее осуществления, не указанному в лицензии, в заявлении о переоформлении лицензии указываются этот адрес и следующие сведения:”

Аналогично, если в старой лицензии нет всех нужных новых видов работ – то придется  переоформлять лицензию.


UPD. За ссылку спасибо Алексею Лукацкому. У которого в блоге так-же делался анонс проекта постановления. У него же в блоге краткий анализ утвержденного постановления.

Анализ новых требований к квалификации в блоге у Пушкиниста.

пятница, 20 апреля 2012 г.

СОИБ. Защита информации в НПС


9 апреля на сайте АРБ был опубликован проект постановления правительства РФ «об утверждении Положения о защитеинформации в национальной платежной системе». Есть вероятность что положение близко к утверждению.

Документ интересный. Все фразы составлены очень гибко, в расчете на то что в дальнейшем требования будут ещё детализироваться операторами ПС. Но общая картина требований вырисовывается и сейчас:
·        Оператор ПС разрабатывает модель угроз
·        Субъекты ПС информируют Оператора если выявляют дополнительные угрозы
·        Конкретные требования по обеспечению защиты информации (ОЗИ)  для каждой платежной системы определяются Оператором.
·        Как минимум требования должны включать:
o   Выделение подразделения /ответственного за защиту информации
o   Анализ угроз
o   Управление рисками
o   Распределение ролей
o   Управление инцидентами
o   ОЗИ при работе с сетью Интернет
o   ОЗИ при доступе к инфраструктуре платежной системы
o   ОЗИ при создании, модернизации систем
o   контроль и оценку соответствия
o   применение СЗИ, в том числе прошедших оценку соответствия
§  СЗИ от НСД
§  Антивирусы
§  Межсетевые экраны
§  Средства обнаружения вторжений
§  Средства анализа защищенности
·        Субъекты сообщают Оператору об инцидентах ИБ
·        При использовании сети Интернет для передачи платежной информации Субъекты должны заранее определять и фиксировать цели её использования
·      Аутентифицировать клиента можно по ЭП, паролю и т.п.
·      Самооценка или аудит ИБ – не реже раза в 2 года

Не совсем понятно, как трактовать фразу:
“Требования к защите информации, включаемые в правила платежной системы,  …. должны включать:
Требования к применению средств защиты информации (…), в том числе прошедших в установленном порядке процедуру оценки соответствия”

Означает ли это что оценка соответствия будет требоваться обязательно?

В общем – пока это проект и выложен для общественного рассмотрения. Есть возможность внести предложения, критиковать и т.п.
UPD: Александр Бондаренко в своем блоге пишет про анализ данного постановления Минэкономразвитием.

четверг, 19 апреля 2012 г.

СЗПДн. Эксплуатация. Лицензирование ТЗКИ


Недавно на сайте ФСТЭК России было опубликовано три информационных документа, “Перечень оборудования, необходимого для лицензии на ТЗКИ” (утвержден 3 апреля 2012 г.) , “Перечень стандартов и РД, необходимых для получения лицензии на ТЗКИ” (утвержден 16 марта 2012 г.), “Перечень стандартов и РД, необходимых для получения лицензии на производство СЗИ” (утвержден 9 апреля 2012 г.).
Посмотрим каким оборудованием необходимо обладать организации, желающей получить лицензию в рамках защиты СЗПДн. Сделаем следующие предположения:
·        организация планирует проектирование и установку СЗИ делать самостоятельно;
·        аттестация не требуется (так как коммерческая компания);
·        сертификация не требуется (так как средства уже сертифицированы);
·        угрозы утечки по техническим каналам не актуальны;
·        контроль защищенности от НСД  (экспрессаудит) будет заказываться у внешнего аудитора.
Соответственно лицензируемые виды работ:
·        д) проектирование в защищенном исполнении:
o   1- средств и систем информатизации;
·        е) установка, монтаж, испытания, ремонт средств защиты информации:
o   4- программных (программно-технических) средств защиты информации;
o   5- защищенных программных (программно-технических) средств обработки информации;
Нам потребуется оборудование:
·        Программные средства формирования и контроля полномочий доступа в автоматизированных системах = Ревизор 1 ХР и Ревизор 2 ХР;
·        Программные средства контроля целостности программ и программных комплексов = ФИКС;
·        Анализаторы уязвимостей в программном обеспечении и в автоматизированных системах = Ревизор Сети или XSpider;
·        Средства контроля эффективности применения средств защиты информации = Ревизор Сети или XSpider и TERRIER 3.0;
·        Программные средства автоматизированного проектирования = MS Visio или Автокад (только если планируется проектировать сложные распределенные системы).
Кроме последнего пункта, остальное стоит порядка 20 тыс. рублей.  Не так уж и дорого.
Нам потребуется скачать, распечатать, зарегистрировать и изучить документацию открытого доступа:
·        Положение о сертификации средств защиты информации по требованиям безопасности информации, утвержденное приказом Гостехкомиссии России от 27 октября 1995 г. № 199.
·        Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. Гостехкомиссия России, 1992.
·        Руководящий документ. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники. Гостехкомиссия России, 1992.
·        Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Гостехкомиссия России, 1992.
·        Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Гостехкомиссия России, 1992.
·        Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения. Гостехкомиссия России, 1992.
·        Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Гостехкомиссия России, 1997.
·        Руководящий документ. Защита информации. Специальные защитные знаки. Классификация и общие требования. Гостехкомиссия России, 1997.
·        Руководящий документ. Защита от несанкционированного доступа. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей. Утвержден приказом Гостехкомиссии России от 4 июня 1999 г. № 114.
·        Положение о методах и способах защиты информации в информационных системах персональных данных. Утверждено приказом ФСТЭК России от 5 февраля 2010 г. № 58 (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный № 16456)
·        Порядок проведения классификации информационных систем персональных данных. Утвержден приказом ФСТЭК России, ФСБ России, Минкомсвязи России от 13 февраля 2008 г. № 55/86/20.
·        Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена заместителем директора ФСТЭК России 15 февраля 2008 г.
·        ГОСТ 2.001-93. ЕСКД. Общие положения.
·        ГОСТ 2.004-88. ЕСКД. Общие требования к выполнению конструкторских и технологических документов на печатающих и графических устройствах вывода ЭВМ.
·        ГОСТ 2.101-68. ЕСКД. Виды изделий.
·        ГОСТ 2.105-95. ЕСКД. Общие требования к текстовым документам.
·        ГОСТ 2.106-96. ЕСКД. Текстовые документы.
·        ГОСТ 2.109-73. ЕСКД. Основные требования к чертежам.
·        ГОСТ 2.118-73. ЕСКД. Техническое предложение.
·        ГОСТ 2.119-73. ЕСКД. Эскизный проект.
·        ГОСТ 2.120-73. ЕСКД. Технический проект.
·        ГОСТ 2.601-2006. ЕСКД. Эксплуатационные документы.
·        ГОСТ 2.602-95. ЕСКД. Ремонтные документы.
·        ГОСТ 2.701-2008. ЕСКД. Схемы. Виды и типы. Общие требования к выполнению.
·        ГОСТ 2.784-96 ЕСКД. Обозначения условные графические. Элементы трубопроводов.
·        ГОСТ 19.507-79. ЕСПД. Ведомость эксплуатационных документов.
·        ГОСТ 19.508-79. ЕСПД. Руководство по техническому обслуживанию. Требования к содержанию и оформлению.
·        ГОСТ 19.701-90 (ИСО 5807-85). ЕСПД. Схемы алгоритмов, программ, данных и систем. Обозначения условные и правила выполнения.
·        ГОСТ 19.781-90. Обеспечение систем обработки информации программное. Термины и определения.
·        ГОСТ 34.003-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения.
·        ГОСТ 34.201-89. Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем.
·        ГОСТ 34.601-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания.
·        ГОСТ 34.602-89. Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы.
·        ГОСТ 34.603-92. Информационная технология. Виды испытаний автоматизированных систем.
·        ГОСТ 17168-82. Фильтры электронные октавные и третьоктавные. Общие технические требования и методы испытаний.
·        ГОСТ 21552-84. Средства вычислительной техники. Общие технические требования, приемка, методы испытаний, маркировка, упаковка, транспортировка и хранение.
·        ГОСТ 22505-97. Совместимость технических средств электромагнитная. Радиопомехи индустриальные от радиовещательных приемников, телевизоров и другой бытовой радиоэлектронной аппаратуры. Нормы и методы испытаний.
·        ГОСТ 27201-87. Машины вычислительные электронные персональные. Типы, основные параметры, общие технические требования.
·        ГОСТ 27296-87. Защита от шума в строительстве. Звукоизоляция ограждающих конструкций. Методы измерения.
·        ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.
·        ГОСТ Р 50922-2006. Защита информации. Основные термины и определения.
·        ГОСТ Р 50923-96. Дисплеи. Рабочее место оператора. Общие эргономические требования и требования к производственной среде. Методы измерения.
·        ГОСТ Р 50948-2001. Средства отображения информации индивидуального пользования. Общие эргономические требования и требования безопасности.
·        ГОСТ Р 51319-99. Совместимость технических средств электромагнитная. Приборы для измерения индустриальных радиопомех. Технические требования и методы испытаний.
·        ГОСТ Р 51320-99. Совместимость технических средств электромагнитная. Радиопомехи индустриальные. Методы испытаний технических средств - источников индустриальных радиопомех.
·        ГОСТ Р ИСО/МЭК 12207-2010. Информационная технология. Системная и программная инженерия. Процессы жизненного цикла программных средств.
·        ГОСТ Р ИСО/МЭК 9126-93. Информационная технология. Оценка программной продукции. Характеристики качества и руководства по их применению.
·        ГОСТ Р ИСО/МЭК ТО 9294-93. Информационная технология. Руководство по управлению документированием программного обеспечения.
·        МИ 1317-2004. Рекомендация. Государственная система обеспечения единства измерений. Результаты и характеристики погрешности измерений. Формы представления. Способы использования при испытаниях образцов продукции и контроле их параметров.
·        МИ 2377-98. Рекомендация. Государственная система обеспечения единства измерений. Разработка и аттестация методик выполнения измерений.
·        Р 50-34.119-90. Рекомендации. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Архитектура локальных вычислительных сетей в системах промышленной автоматизации. Общие положения.
·        РД 50-682-89. Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Основные положения.
·        РД 50-34.698-90. Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Требования к содержанию документов.
·        РД 50-680-88. Методические указания. Автоматизированные системы. Основные положения.
·        СанПиН 2.2.2.542-96. Гигиенические требования к видеодисплейным терминалам, персональным электронно-вычислительным машинам и организация работы.
·        СНиП 23-03-2003. Защита от шума.
·        ГОСТ 29099-91. Сети вычислительные локальные. Термины и определения.
·        ГОСТ Р 50.1.053-2005. Информационные технологии. Основные термины и определения в области технической зашиты информации.
·        ГОСТ Р 52069-2003. Защита информации. Система стандартов. Основные положения.
·        ГОСТ Р 52447-2005. Защита информации. Техника защиты информации. Номенклатура показателей качества.
·        ГОСТ Р 52448-2005. Защита информации. Обеспечение безопасности сетей электросвязи.
·        ГОСТ Р 52633-2006. Защита информации. Техника защиты информации. Требования к средствам высоконадежной биометрической аутентификации.
·        ГОСТ Р ИСО 7498-1-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель.
·        ГОСТ Р ИСО 7498-2-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации.
·        ГОСТ Р ИСО/МЭК 13335-1-2006. Информационная технология. Методы и средства обеспече¬ния безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий.
·        ГОСТ Р ИСО/МЭК ТО 13335.3-2007. Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий.

Нам потребуется заказать в ФСТЭК печатную документацию ограниченного доступа:
·        Временная методика оценки защищённости конфиденциальной информации, обрабатываемой основными техническими средствами и системами, от утечки за счёт наводок на вспомогательные технические средства и системы и их коммуникации, Гостехкомиссия России, 2002.
·        Временная методика оценки защищенности помещений от утечки речевой конфиденциальной информации по акустическому и виброакустическому каналам, Гостехкомиссия России, 2002.
·        Временная методика оценки помещений от утечки речевой конфиденциальной информации по каналам электроакустических преобразований во вспомогательных технических средствах и системах, Гостехкомиссия России, 2002.
·        Нормативно-методический документ. «Специальные требования и рекомендации по технической защите конфиденциальной информации». Утвержден приказом Гостехкомиссии России от 30 августа 2002 г. № 282.
·        Требования к системам обнаружения вторжений. Утверждены приказом ФСТЭК России от 6 декабря 2011 г. № 638.
·        Сборник методических документов по технической защите информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, в волоконно-оптических системах передачи.   Утвержден приказом ФСТЭК России от 15 марта 2012 г. № 27дсп
·        ГОСТ Р 51188-98. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство.
·        ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.
·        ГОСТ Р 51583-2000. Защита информации. Порядок создания автоматизированных систем в защищённом исполнении. Общие положения.
·        ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищённом исполнении. Общие требования.
Будет стоить до 2500 руб.
Собственно вот и все расходы. (в данной статье не рассматриваются требования к специалистам и помещениям из положения о лицензировании ТЗКИ).            

Если хотим сами проводить анализ защищенности, то ещё добавляем и изучаем документы:
·        ГОСТ Р ИСО/МЭК 27004-2011. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения.
·        ГОСТ Р ИСО/МЭК 18028-2008. Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность информационных технологий. Менеджмент сетевой безопасности
·        ГОСТ Р ИСО/МЭК ТО 18044-2007. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности
·        ГОСТ Р ИСО/МЭК 19791-2008. Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем
·        ГОСТ Р ИСО/МЭК 27033-1-2011. Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность. Часть 1. Обзор и концепции.

За наводку и его анализ спасибо Trotsky.

суббота, 14 апреля 2012 г.

СОИБ. Проектирование. Управление строгой аутентификацией


В продолжение одной изпредыдущих заметок об актуальных решениях ИБ, как сертифицированный специалист хочу поддержать решение компании SafeNet (и входящей в неё Aladdin) – система управления строгой аутентификацией SafeNet Authentication Manager, SAM (ранее известная как TMS). Дополнительный повод – это выход новой версии SAM, привнесшей много дополнительных возможностей. Сейчас система находится на финальных стадиях сертификации в системе ФСТЭК России.

Система SafeNet Authentication Manager предназначено для построения инфраструктуры строгой аутентификации, как части системы обеспечения безопасного доступа к информационным ресурсам предприятия.

Наиболее востребованными областями применения инфраструктуры строгой аутентификации являются:
·         обеспечение удаленного доступа сотрудников, партнеров к информационным ресурсам предприятия;
·         обеспечение мобильного доступа к информационным ресурсам предприятия с любого мобильного устройства из любой точки сети Интернет;
·         обеспечение доступа к информационным ресурсам, подлежащим защите в соответствии с требованиями законодательства РФ, отраслевых и международных стандартов, других регулирующих документов;
·         обеспечения доступа сотрудников к наиболее критическим информационным ресурсам предприятия;
·         обеспечение доступа клиентов к критическим приложениям;
·         обеспечения доступа к системам сотрудников, обладающих максимальными полномочиями (администраторы).

Система SafeNet Authentication Manager поддерживает следующие варианты строгой аутентификации:
·         аутентификация по сертификатам – в данном варианте аутентификации пользователь предъявляет персональный цифровой сертификат открытого ключа; закрытый ключ хранится в защищенной части ключевого носителя eToken;
·         аутентификация по сложному паролю – в данном варианте аутентификации сложный персональный пароль пользователя хранится в защищенной части ключевого носителя eToken; для доступа к нему пользователь подключает eToken и вводит короткий пин-код;
·         аутентификация по одноразовым паролям – в данном варианте аутентификации пользователь каждый раз вводит новый одноразовый пароль; одноразовые пароли для пользователя генерируются средством усиленной аутентификации.
Система SafeNet Authentication Manager поддерживает средства строгой аутентификации в виде электронных ключевых носителей eToken, OTP-токенов eToken, программных (виртуальных) токенов eToken Virtual, программных средств MobilePASS и др.   
Аналогов по возможностям просто нет. Есть решения которые могут дополнить SAM но о них в следующих заметках.

Приводить типовую схему подключения SAM не имеет смысла. В классическом варианте это один сервер подключаемый в любую точку локальной сети.
Вместо этого привожу типовую схему взаимодействия компонентов SAM. Надеюсь кому-то окажется полезной.