четверг, 28 июня 2012 г.

СОИБ. Анализ. Актуальные угрозы непрерывности бизнеса


В продолжение предыдущих заметок на тему непрерывности деятельности

Институт Chartered Management Institute провел обследование и недавно опубликовал отчет об угрозах непрерывности бизнеса за 2011 год в Великобритании.

Наиболее интересные выводы:
·        План обеспечения непрерывности разработан в 61% опрошенных компаний
  
  
·        Наиболее вероятные угрозы в общем:
o   Тяжелые погодные условия
o   Нарушение ИТ компонентов
o   Потеря (болезнь) ключевых сотрудников
o   Нарушение связи
o   Митинги и забастовки
o   Закрытие и садиков школ
o   Нарушение работы транспорта
o   Невозможность доступа на объект


·        Наиболее опасные угрозы в общем:
o   Нарушение ИТ компонентов
o   Нарушение связи
o   Невозможность доступа на объект
o   Потеря или недостаток квалификации
o   Потеря репутации компании
o   Пожар
o   Потеря (болезнь) ключевых сотрудников
o   Отключение электричества

·        Более 80% компаний считают что с план Планом обеспечения непрерывности восстановление бизнеса пройдет быстрее и что польза от Плана превосходит затраты на его разработку

·        Наиболее вероятные участники группы по восстановлению бизнеса:
o   ИТ
o   Операционное подразделение
o   Подразделение по работе с персоналом
o   Административное подразделение
o   Подразделение по работе с рисками
o   Подразделение безопасности


·        Отрасли в которых наиболее востребован план непрерывности бизнеса:
o   Госучреждения (92% и 85%)
o   Кредитные организации (85%)
o   ЖКХ (81%)
o   Здравоохранение (74%)
o   Транспорт (69%)
o   Производство (58%)
o   Образование (52%)


вторник, 26 июня 2012 г.

СОИБ. Кто защищает платежные системы


В соответствии с со статьей 3  161-ФЗ в область действия НПС попадают:
·        оператор по переводу денежных средств
·        оператор электронных денежных средств
·        платежный агент
·        банковский платежный агент
·        банковский платежный субагент
·        организаций федеральной почтовой связи при оказании ими платежных услуг
·        операторов платежных систем
·        операторов услуг платежной инфраструктуры
Все участники НПС обязаны защищать платежную информацию и выполнять требования  ФЗ о НПС и подзаконных актов.

И это не только кредитные организации. Попадают под требования по информационной безопасности следующие организации:
·        Банки
·        Операционные, клиринговые и расчетные центры (VISA, MasterCard)
·        Операторы сотовой связи (МТС, Билайн, Мегафон …)
·        Электронные платежные системы (QIWI, webmoney, яндекс.деньги …)
·        Процессинговые компании (PAYU, PayOnline, Assist, КиберПлат,…)
·        Владельцы сетей платежных терминалов (QIWI, ОСМП, SprintNet, Форвард Мобайл, Техноплат, …)
·        Владельцы платежных терминалов
·        Кассы по приему платежей (Евросеть, Связной, …)
·        Отделения Почты России
·        Страховые компании
·        Интернет магазины
·        Любые компании оказывающие услуги и принимающие безналичные платежи

Я никого не лишнего не перечислил или наоборот не забыл?

понедельник, 25 июня 2012 г.

СОИБ. Отчетность о защите информации в ПС


Как Вы наверное знаете, Банк России ведет активную нормотворческую деятельность в области защиты Национальной платежной системы. Недавно были разработан и утвержден ряд документов. Все документы по теме НПС перечислены тут.

Сегодня хотелось бы рассмотреть «УказаниеЦБ РФ 2831-У от 9 июня 2012 года "Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств" (зарегистрировано Министерством юстиции Российской Федерации 14 июня 2012 года № 24575, опубликовано “Вестник Банка России” от 22 июня 2012 года № 32, вступает в силу с 1 июля 20120 года)»

Указание устанавливает формы, сроки и методики подготовки отчетности.
2 формы по ИБ:
·        форма 0403202  -  сведения об оценке соответствия
·       форма 0403203   -  сведения об инцидентах



Отчетность по форме 0403202 не позднее 30 рабочих дней со для завершения оценки соответствия. В соответствии с положением БР № 382-П от 09.06.2012 сама оценка делается раз в 2 года или по требованию БР.
БР интересуют следующие показатели: EV1ПС (обеспечение ИБ), EV2ПС (управление ИБ), RПС (минимум из предыдущих) кто проводил оценку.
Так как банку не захочется показывать в БР низкие оценки и попасть в область повышенного внимания БР, то можно успеть провести предварительную оценку уже сейчас, принять меры по повышению уровня ИБ, провести повторную оценку и отправить её в БР.
Ситуация осложняется отсутствием средств автоматизации расчета оценки. Хотелось бы увидеть от разработчиков варианты таких средства в ближайшее время, чтобы Банк успел выявить наиболее слабые области и с них начать работу по совершенствованию ИБ.


Отчетность по форме 0403203 не позднее 10 рабочего дня месяца следующего за отчетным или требования БР.   То есть первый отчет надо отправить не позднее 14 августа 2012 года.


К интересующим БР инцидентам относятся:
·        положительное воздействие вирусов
·        положительная атака на отказ в обслуживании
·        сбой в платежной системе более 3х часов
·        нарушение конфиденциальности ключей, паролей и т.п.
·        несанкционированные владельцами переводы денег
Другие инциденты, нарушение банковской тайны или конфиденциальности ПДн, БР не интересуют.


Отчеты Банков отправляются в электронном виде аналогично другой банковской отчетности. Отчеты других организаций принимаются до 1 июля 2013 года на бумажном носителе + электронном носителе. Надо учитывать, что курьерская доставка отнимет несколько рабочих дней от установленных 10.


Нулевой отчет тоже надо отправлять.
Операторам, не ведущим централизованной базы инцидентов посоветую её создать. Оператор по переводу денежных средств должен отчитываться ещё и за платежных агентов, субагентов. До которых ещё надо довести необходимость регистрации инцидентов и отправки информации оператору по переводу денежных средств. Так что начинать заниматься этим вопросом надо прямо сейчас.


Если браться за управление инцидентами, лучше сразу документировать этот процесс. Например, разработать регламент управления инцидентами ИБ, включающий разделы:
·        общие положения
·        этапы процесса управления инцидентами ИБ
·        обнаружение инцидентов ИБ
·        информирование об инцидентах ИБ
·        классификация инцидентов ИБ
·        реагирование на инциденты ИБ
·        анализ причин и оценка результатов инцидента ИБ
Так-же ожидаю, что должны появится автоматизированные средства управления инцидентами для Банков.  Это для любой организации полезная вещь, а для банков теперь – просто необходимость.

Другие свежие документы по теме НПС подробно рассматривались в блоге Лукацкого и Емельянникова.


среда, 20 июня 2012 г.

СОИБ. Проектирование. Обеспечение непрерывности бизнеса и восстановление деятельности 4


В продолжение предыдущих заметок на тему непрерывности деятельности.

19 июня учебный центр Микротест провел вебинар Знакомство со стандартом АРБ по непрерывности деятельности кредитных организаций”. Мой анонс этого и других вебинаров был тут.


Докладчиком выступил Алексей Бореалис, который также является руководителем группы разработчиков стандарта АРБ по непрерывности деятельности, который рассказал об основных этапах внедрения стандарта.

Ниже основные тезисы с его доклада:
·        Анализ влияния на бизнес
o   Определяем системы, которые защищаем
o   Необходимо оценить ущерб при прерываниях на 1 минуту, 1 час, 1  день, 1 неделя, 1 месяц. В результате должен быть определен максимально допустимое время прерывания бизнеса (максимально допустимый ущерб)
o   Исходя из максимального времени прерывания устанавливаются целевые времена восстановления работы систем
·        Управление рисками ЧС
o   Определяем от каких угроз планируем защищаться
o   Определяем возможные последствия от наиболее опасных рисков
·        Схема активации планов
o   Большинство инцидентов не требует перехода в аварийный (чрезвычайный)  режим работы
o   Должны быть определенны критерии перехода, по которым мы должны понимать что инцидент действительно масштабный и необходимо переходить в аварийный режим
·        Планы ОНиВД
o   Создание органа управления ЧС
o   Исходя из времени восстановления определяется последовательность действий по восстановлению и ресурсы необходимые для восстановления
o   Создание групп экстренного реагирования
·        Применение
o   Планы активирует специальный орган чрезвычайного управления. Можно назвать его как угодно (специальный кризисный штаб). Должен включать представителей руководства Банка
o   На период чрезвычайной работы обеспечиваются наиболее критичные продукты и услуги (не все) на время чрезвычайно ситуации
o   Параллельно живут процессы управления инцидентом, работы в чрезвычайном режиме и планомерным возвратом в нормальный режим работы
·        Поддержка планов
o   План непрерывности надо постоянно поддерживать и совершенствовать. Варианты: тестирование, внутренней аудит, контроль со стороны руководства
·        Вопросы-ответы:
o   Отвечать за внедрение стандарта должна группа/комитет, а не один человек
o   Планируется запуск в АРБ системы добровольной сертификации, в том числе по стандарту обеспечения непрерывности
o   Есть британский документ с наиболее актуальными угрозами для деятельности организаций (в том числе банков)



Текст стандарта АРБ о непрерывности деятельности.

Напомню что недавно вышел стандарт ISO 22301 на замену BS 25999 в связи с чем стандарт АРБ скорее всего тоже будет обновляться.

Напомню что недавно опубликовано и в ступает в силу 1 июля 2012 года положение ЦБ “Обесперебойности функционирования платежных систем и анализе рисков в платежных системах” который посвящен той-же теме непрерывности деятельности но только в разрезе платежных систем и взаимодействия нескольких организаций.
Таким образом стандарт АРБ и Положение ЦБ дополняют друг друга.

суббота, 9 июня 2012 г.

СОИБ. Статистика уязвимостей web-приложений за 2010-2011 годы


Компания Positive Technologies выпустила интересный отчет о статистике обнаруженных уязвимостей за  2010-2011 годы.

К сожалению, в отчет не попали результаты исключительно автоматизированного анализа приложений. Только ручной и комбинированный анализ, а количество сайтов всего 123 за 2 года. Маловато для того чтобы делать выводы по определенным отраслям или вести поквартальную статистику. (Собственно, какой интерес в поквартальной статистике, кроме информации о квартальной загруженности специалистов Positive Technologies.)

Но большая часть выводов из анализа интересны:
·        Все анализировавшийся в web-приложения имели уязвимости как минимум среднего уровня (в 2011 году) и 64% приложений имели уязвимости высокого уровня.
·        Наиболее популярные критические уязвимости
o   Cross-Site Request Forgery в 61% приложений
o   SQL Injection в 47% приложений
o   OS Commanding в 28% приложений
o   Path Traversal в 28% приложений
·        Причем для web приложений на PHP наиболее характерны Cross-Site Request Forgery, SQL Injection, Path Traversal, для ASP.NET - Cross-Site Request Forgery, SQL Injection, для Java - Cross-Site Request Forgery, OS Commanding.
·        Наибольший процент критических уязвимостей в приложениях отрасли Телекоммуникаций - 88%, а наименьший процент в финансовом секторе – 44%.
·        В системах ДБО встречаются в основном уязвимости среднего уровня (90%). То есть наиболее критические возможные уязвимости проверяются разработчиком, а уязвимости низкого уровня не встречаются в силу назначения ДБО.
·        Только 10% приложений финансового сектора соответствует требованиям PCI DSS.

В плане 100% наличия уязвимостей в web приложениях очень актуальны становятся специализированныесредства защиты веб приложений.