воскресенье, 23 сентября 2012 г.

СЗПДн. Анализ. Проекты новых ПП РФ по защите ПДн 2 (UPDATE)

Первая версия постановления правительства по защите ПДн, подготовленные ФСБ России и рассмотренная в одной из моих предыдущих заметок не прошла согласования в правительстве.

Вторая попытка ФСБ России подготовить постановления правительства по защите ПДн:
·         Проект ПП РФ «Об установлении уровней защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных» (далее, Уровни)
·         Проект ПП РФ «О требованиях к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных» (далее, Требования)
выложены на сайте ФСБ России для антикоррупционной экспертизы.


Основные мысли по документу Уровни:
·         вводится 4 уровня защищенности ПДн при их обработке в ИСПДн (1 - максимальные требования, 4 - минимальные);
·         вводится определение актуальности угроз (но не самих типов угроз) 1-ого, 2-ого и 3-его типов;
·         актуальный тип угроз определяет оператор с учетом совокупности условий,  факторов и оценки вреда (прорыв в том, что в явном виде модель угроз не требуется. В тоже время МУ вполне допустима на этом этапе);
·         вводится 4 типа ИСПДн:
o   ИСПДн обрабатывает специальные категории ПДн (ИСПДн-С)
o   ИСПДн обрабатывает биометрические ПДн (ИСПДн-Б)
o   ИСПДн обрабатывает общедоступные ПДн (ИСПДн-О)
o   ИСПДн обрабатывает иные категории ПДн (ИСПДн-И)
·         уровень защищенности определяется по следующей таблице



Замечания к документы Уровни:
1.       Определение из проекта ПП РФ Уровни пункт 1:
“в) информационная система обрабатывает общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О персональных данных»;”
противоречит определению из 152-ФЗ статья 6 часть 1:
“10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);”
и противоречит принципам из 152-ФЗ статья 18 часть 4:
“3) персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;”
Таким образом 152-ФЗ предусматривает 2 варианта попадания к оператору общедоступных ПДн: непосредственно от субъекта и из общедоступных источников. А ПП РФ Уровни предусматривает только один вариант получения общедоступных ПДн.

2.       Нет определения самих типов угроз, есть только определение актуальности
3.       Не определен уровень защищенности, когда количество субъектов равно 100 000.
4.       Не определены действия в той ситуации, когда сходя из специфики ИСПДн все угрозы будут неактуальными. Ситуация не подходит ни под один из трех типов актуальности угроз.


(UPDATE)

Основные мысли по документу Требования:
·        СЗИ необходимо выбирать в соответствии с актами ФСТЭК России и ФСБ России (будущими, так как в текущих нет упоминания уровней защищенности)
·        Кроме того в зависимости от уровня защищенности необходимо выполнять следующие общие требования, в соответствии с таблицей ниже


·        Контроль выполнения требований организуется и проводится Операторами самостоятельно или с привлечением лицензиатов (но не регуляторов).


Основные замечания по документу Требования:
1.      Пункт 5 а) сформулирован некорректно.
“а) Организовать режим обеспечения безопасности помещений, в которых размещена информационная система персональных данных, исключающий возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц”

Так как  ИСПДн – это совокупность в том числе информационных технологий, а технологии нельзя разместить в помещениях. 
Некорректно будет применять данное требование к техническим средствам ИСПДн, так как технические средства не всегда находятся в помещениях Оператора (ноутбуки, планшеты, мобильные устройства).
Логичнее было бы потребовать “организовать режим в помещениях Оператора, в которых… или организовать режим безопасного доступа к техническим средствам ИСПДн

2.      Требования необходимо сформулировать в форме долженствования (должен быть назначен .., необходимо обеспечить …);



В общем, если замечания есть, то небольшие, которые легко исправить, так что не могу согласиться с коллегами – блогерами на счет “второй блин комом”.

На первый взгляд при 3 типе актуальных угроз УЗ и набор требований с ним связанных - небольшой. Есть возможность для оптимизации ИСПДн - и тут всё зависит от фантазии интегратора/консультанта.

понедельник, 17 сентября 2012 г.

СОИБ. Проектирование. Защита баз данных


В сегодняшней заметке хотелось бы уделить внимание комплексным решениям по защите баз данных.

Для каких организация и систем наиболее актуальны решения по защите БД:
·        для организаций в которых наиболее ценная информация хранится в БД (в других видах хранится менее ценная информация);
·        для организаций которых ценная информация хранится в БД разных производителей, имеющих разные встроенные возможности безопасности.

Примерами таких организаций являются:
·        кредитные организации;
·        платежные агенты или системы;
·        транспортные компании, например авиакомпании;
·        операторы связи (проводной и мобильной);
·        крупные оптовые и розничные продажи;
·        другие крупные операторы персональных данных;
·        информационные системы критически важных объектов.

Рассмотрим для примера экспресс анализ рисков активов связанных с БД.




Рассмотрим контрмеры, которые можно использовать для нейтрализации угроз по неприемлемым рискам:
·        Существенно ограничить доступ мы не можем – ведь к нашим приложениям и серверам БД обращается широкий круг пользователей;
·        Межсетевой экран частично может использоваться для нейтрализации 1, 3 угрозы (неактуальных). Но не поможет нам с угрозами 2, 4, 5 и 6 (так как не защищает на уровне приложений);
·        Cистема предотвращения вторжений слабо поможет с угрозой 2 и 4 и абсолютно не поможет с 5, 6 (так как не разбирает запросы пользователей и не понимает ответы приложений и СУБД)
·        Встроенные средства защиты СУБД частично помогут с 4 угрозой . Для 5 и 6 угрозы можно включить детальный аудит событий, но нет встроенных возможностей для их анализа. В разных СУБД возможности могут существенно отличаться – от нулевых и бесплатных до расширенных, но дорогих.
·        Система DLP может использоваться для нейтрализации угрозы 5, но не поможет с остальными.

В данном случае, единственным средством, понижающим риски до приемлемого уровня является специализированное средство защиты баз данных.

Наиболее эффективными примерами таких решений являются: Imperva, IBM Guardium и McAfee Sentrigo (по моему мнению и исследованию Forrester wave: Database auditing and Real-Time Protection Q2’11)

Основные функции таких решений:
·        Оценка уязвимостей СУБД - типы патчей, стойкость паролей, ошибки в конфигурациях, обнаружение проникновений в систему обходными путями, уязвимости кода PL/SQL, неиспользуемые функции;
·        Возможность поиска  и классифицировать различных типов конфиденциальной информации хранящейся в СУБД;
·        Инспекция трафика на сетевом, сервисном и прикладном уровне;
·        Нормализация SQL трафика;
·        Контроль потока SQL-запросов и управление доступом к СУБД на уровне сети;
·        Контроль действий локальных администраторов СУБД;
·        Динамическое профилирование  – создание поведенческого профиля (кто, когда, как, в какое время обращается к данным).  Возможность блокировать трафик, который не укладывается в предварительно настроенный профиль поведения группы пользователей;
·        Отслеживание и корреляция трафика по пользователям, отчеты о действиях пользователей с БД;
·        Блокирование утечки данных через SQL;
·        Автоматическое блокирование трафика атак  (в том числе отдельных сессий);
·        Применение виртуальных патчей;
·        Возможность интеграция со средствами защиты web приложений.

Типовые схемы реализации решений по защите баз данных на примере IMPERVA.
1. Установка inline

2. Установка inline или мониторинг

3. Установка inline, proxy или мониторинг






четверг, 13 сентября 2012 г.

Общее. Вебинар Емельянникова по изменениям в законодательстве ИБ


6 сентября Михаил Емельянников провел вебинар на тему «Изменения законодательства в области информационной безопасности и практики его правоприменения».
В отличие от предыдущего вебинара Михаила (где говорилось только о проблемах, без вариантов решений) данный мне больше понравился. Всё по делу и на рекламу последние пару минут.
Основные затронутые темы касались уже принятого законодательства (не проектов):
·        о ПДн;
·        о лицензировании
·        о НПС;
·        о черных списках
·        о конфиденциальности и ограничении доступа к информации
Разбирали изменения кратко, но с примерами и частными случаями из судебной практики.
Кому интересно: запись доклада (правда без доп.вопросов) и презентация с вебинара.
За более подробными знаниями Михаил приглашает в учебный центр Информзащиты.

PS: Symantec планирует 18 сентября глобальное мероприятие  Symantec Technology Day, которое будет транслироваться онлайн. Пора записываться тут.

вторник, 11 сентября 2012 г.

Общее. Ассоциация DLP-эксперт




В рунете достаточно много информационных площадок в тему ИБ. В последний месяц мне нравится активность на площадке ассоциации DLP-эксперт.

По сравнению с информационными порталами других ИБ ассоциаций (АРСИБ, ABISS, RISSPA) на портале DLP-expert куда как интереснее:
·        Блоги. Там не только трансляции блогов экспертов с других площадок, но так-же “эксклюзивные” заметки специально для DLP-эксперт (например эта)

·        Дискуссии с экспертами. В которых эксперты по ИБ высказываются на определенную тему, а потом идут интересные обсуждения в их комментариях.

·        Интервью. В которых можно узнать мнения экспертов, в том числе зарубежных, по актуальным вопросам ИБ.

·        Вебинары. Регулярно проводятся вебинары от экспертов, входящих с ассоциацию. Например, сегодня был вебинар по услуге LegalSupport от Group-IB.

·        Онлайн-трансляция конференции DLP-Russia 2012. Правда просмотр ключевых докладов будет платным (2000 руб.)

Ещё бы хотелось увидеть возможность обмена сообщениями между участниками, возможность выкладывать документы в общий доступ, возможность коллективного редактирования документов, детальные описания реализованных проектов DLP, сравнения DLP, анализ эффективности DLP.

И в конце пару слов про сегодняшний  вебинар  Legal Support к DLP от Group IB. Вебинар вел Анатолий Земцов, руководитель юридического отдела компании Group-IB. Доклад с моей точки зрения получился скорее рекламным – а именно, Анатолий рассказывал подробности про услуги, оказываемые юридическим отделом Group-IB.

Кратко основные мысли:
·        Жизненный цикл DLP состоит из 3х этапов: предвнедрение DLP, внедрение DLP, послевнедрение DLP;
·        Именно на 1 и 3 этапе нужны услуги профессиональных юристов от Group-IB;
·        Как правило собственные юристы в компании – заказчике не специализируются на режиме коммерческой тайны, поэтому нужно обращаться к юристам Group-IB;
·        На первом этапе предлагается разработка комплекта документов для внедрения режима коммерческой тайны и юридического обоснования DLP (либо анализ и оценка имеющихся документов);
·        На третьем этапе оказывается юридическая поддержка клиентов по фактам обнаружения утечек, инцидентов и правильного наказания виновных;
·        На втором этапе – партнером Group-IB является компания InfoWatch, специалисты которой непосредственно проектируют и внедряют DLP решение.
Интересно, как необходимо соотносить это с тем фактом, что услуги по внедрению DLP оказываются так-же и компанией LETA, входящей в ту же группу компаний что и Group-IB?

Эксперты пытались задавать Анатолию классические каверзные вопросы про легальность DLP, на которые докладчик предпочел развернуто не отвечать.
Конкретных вопросов с описанием жизненных ситуаций от потенциальных Заказчиков не прозвучало.