четверг, 23 августа 2012 г.

СОИБ. Анализ. Инвентаризация активов


С одной стороны инвентаризация информационных активов не совсем прерогатива ИБ. Скорее это часть управления информационными активами которое является частью управления ИТ.
С другой стороны достаточно много мероприятий ИБ зависят от инвентаризации активов и очень часть приходится делать ещё в рамках проектов по ИБ. Часть таких работ я уже описывал в одной изпредыдущих заметок.

Действительно, нам нужно четко понимать что мы защищаем, как изменяется объект защиты, когда меняется объект защиты. 

Кроме того, есть несколько двигателей в виде законов, подзаконных актов и стандартов:
·        152-ФЗ.
“Статья 19.
2. Обеспечение безопасности персональных данных достигается, в частности:
5) учетом машинных носителей персональных данных;”
·        ПП 781
“12. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:
е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;”
·        Приказ ФСТЭК 58
“2.1. Методами и способами защиты информации от несанкционированного доступа являются:
учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;
Приложение 1
2.1. Для информационных систем 3 класса при однопользовательском режиме обработки персональных данных применяются следующие основные методы и способы защиты информации:
обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. При этом целостность программных средств проверяется при загрузке системы по наличию имен (идентификаторов) компонентов системы защиты персональных данных, целостность программной среды обеспечивается отсутствием в информационной системе средств разработки и отладки программ;
4.1. Для информационных систем 1 класса при однопользовательском режиме обработки персональных данных применяются следующие основные методы и способы защиты информации:
дублирующий учет защищаемых носителей информации;”
·        Методические рекомендации ФСБ № 149/54-144 по защите ПДн
“3.2       Методология формирования модели угроз верхнего уровня
Определение условий создания и использования персональных данных
Должны быть описаны условия создания и использования персональных данных. Для этого определяются:
-             информационные технологии, базы данных, технические средства, используемые для создания и обработки персональных данных;
-             используемые в процессе создания и использования персональных данных объекты, которые могут быть объектами угроз, создающими условия для появления угроз персональным данным. Такого рода объектами могут быть, например, технические и программные средства.”
·        Типовые требования ФСБ № 149/6/6-622 по защите ПДн
“2.3. При разработке и реализации мероприятий по организации и обеспечению безопасности персональных данных при их обработке в информационной системе оператор или уполномоченное оператором лицо осуществляет:
- поэкземплярный учет используемых криптосредств, эксплуатационной и технической документации к ним, носителей персональных данных;”
·        Положение ЦБ РФ N 382-П
“ 2.6.1. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают учет объектов информационной инфраструктуры, используемых для обработки, хранения и (или) передачи защищаемой информации, в том числе банкоматов и платежных терминалов.
2.10.1. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают учет и контроль состава установленного и (или) используемого на средствах вычислительной техники программного обеспечения.”
·        СТО БР ИББС 1.0
“7.8.3.  Должны быть документально определены перечни программного обеспе-чения, устанавливаемого и(или) используемого в ЭВМ и АБС и необходимого для вы-полнения конкретных банковских платежных технологических процессов. Состав уста-новленного и используемого в ЭВМ и АБС программного обеспечения должен соответ-ствовать определенному перечню. Выполнение данных требований должно контролироваться с документированием результатов.
7.9.7. Должны быть документально определены перечни программного обеспе-чения, устанавливаемого и(или) используемого в ЭВМ и АБС и необходимого для вы-полнения конкретных банковских информационных технологических процессов. Состав установленного и используемого в ЭВМ и АБС программного обеспечения должен со-ответствовать определенному перечню. Выполнение данных требований должно контролироваться с документированием результатов.”
·        ИСО 27002
Весь раздел 7.1.1 Опись активов

Плюс инвентаризация и паспорта технических средств нужны при аттестации.

Конечно, инвентаризацию и учет активов можно делать в ручную. Но это не эффективно. Поэтому для оптимизации затрат необходимо использовать автоматизированные решения по инвентаризации активов.

 Выбор таких решений широк.
Мне известны следующие решения для инвенторизации информационных активов (аппаратной составляющей, ПО, файлов + дополнительные возможности):
·        КБ: Инвентаризация 2.2  (большие возможности для ИБ - контроль USB, белые и черные списки, категории ПО, инвенторизация СЗИ, сертификат ФСТЭК)
·        Realite (есть интеграция с бухгалтерией, учет материальных ценностей)
·        Hardware Inspector (учет перемещения ТС, привязка к карте, возможность ввода визуальных серийниов, заявки)
·        Total Network Inventory 2 (современный нью стайл интерфейс)
·        Altiris (Symantec) Client Management Suite 7.1 (комплексное решение по управлению конечными узлами с поддержкой Windows, Linux, Mac)
·        Microsoft System Center Configuration Manager 2012 (комплексное решение по управлению конечными узлами для сети полностью на Windows)

11 комментариев:

ser-storchak комментирует...

Сергей, встречались ли тебе бесплатные решения для инвентаризации?

Артем Агеев комментирует...

учёт и инвентаризация - разные вещи.

при учёте СЗИ, носителя или криптосредства, серийный номер устройства заносится в журнал установленной формы, проставляются отметки о выдаче, ответственном и т.д.

т.ч. в большинстве перечисленных тобой случаев указанный софт бесполезен.

Сергей Борисов комментирует...

Для того чтобы учесть, сначала надо провести инвенторизацию.
Например, делаем сертификацию windows, установку антивируса и криптопро. Технически сама установка всего ПО выполняется за пару кликов через доменные политики или специальные системы распространения ПО.
Но перед установкой надо собрать данные. После установки собрать данные и потом регулярно обновлять данные.

И кстати нигде не написано что учет должен вестись в бумажном виде. Электронные журналы - тоже журналы.

Сергей Борисов комментирует...

Сергей, бесплатные встречались, но возможности у них были куцые, поддержки никакой и предлагать такие решения заказчику мы не могли.

Поэтому всех названий не вспомню.
От того же производителя есть Total Network Monitor.
Есть вроде старые локальные ASTRA, ASTRA32, EVEREST и AIDA32.

Andrey Prozorov комментирует...

Вообще по теме "инвентаризация активов" лучше всего (да и полезнее) смотреть процесс ITIL Управление конфигурациями (Configuration Management) или аналог в COBIT. Там заложена хорошая логика:
1) В терминах ITIL активом могут быть и железки, и ПО, и документы, и люди...
2) Для хранения и обработки информации используется база данных конфигурационных единиц (CMDB)
3)Каждый актив описывается определенным набором атрибутов (например, инвентарный номер, наименование, производитель, владелец, место хранения и пр.)
4) Важны связи между активами, в CMDB связи можно устанавливать. Связями могут быть например такие: "состоит из", "входит в", и пр. Это удобно, т.к. мы можем описывать актив рабочее место как совокупность активов ПО и железо.
5) в ITIL и COBIT есть примеры и активов, и атрибутов, и связей.

Andrey Prozorov комментирует...

Да. кстати спасибо. Блок постов "СОИБ..." мне нравится ,сам хотел/хочу нечто подобное сделать по определенным областям ИБ, но руки пока дошли только до некоторых.

Если интересно, то я планировал описать области по таким атрибутам:

Назначение и краткое описание
-Цели и задачи
-Активности (функции) и Подсистемы
-Роли (RACI-chart)
-Документы (политики, стандарты, процедуры, инструкции, записи)
-Поддерживающие технологии:
--Средства защиты
--Средства автоматизации
-Показатели (метрики и KPI)
-Базовый набор элементов (quick wins)
-Ссылки на требования и лучшие практики

Артем Агеев комментирует...

учитываются либо серийные номера техники (и как ты соберешь программно информацию о серийнике мышки или флешки?), либо проставленные инвентаризационные номера (краской на системнике), либо серийные номера средств защиты, указанные на спец.голографических знаках и/или в паспортах-формулярах.

В утвержденных формах журналов в РД частенько присутствует поле "роспись ответственного лица". Попробуй это реализовать в электронном виде =)

Andrey Prozorov комментирует...

Артем, есть вот такая хорошая практика предоставления журналов учета регуляторам:

- Журнал ведется в электронгном виде (exel или БД)
- Перед приходом регуляторов он распечатывается и подписывается
- Все довольны)))

А так, вести в бумажном виде слишком неэффективная и трудозатратная задача, я бы не рекомендовал...

Артем Агеев комментирует...

"Перед приходом регуляторов он распечатывается и подписывается"

подписывается у 20 сотрудников, которые уже уволились, у 30 сотрудников, которые уехали в командировку и у 40 сотрудников, которые говорят "ничего тебе я не подпишу, т.к. ты мне ничего не выдавал".

так?

Andrey Prozorov комментирует...

Артем, пусть подписывает 1 (их руководитель)

Andrey Prozorov комментирует...

Артем, вы должны для себя определить какую задачу хотите решить:

1. Вести учет
2. Удовлетворить регуляторов
3. Иметь юр.основание наказывать сотрудников

Они решаются разными методами!!!