Сообщения

Сообщения за октябрь, 2012

Общее. С чего начать CISO?

Недавно с коллегами обсуждали интересный вопрос – с чего начать CISO недавно пришедшему в компанию, если до него полноценно ИБ не занимались, доверия от руководства ещё нет, бюджеты, выделяемые раньше на ИБ были минимальными, хочется в кратчайшие сроки укрепить лично свои позиции перед руководством, а службу ИБ вывести в состав важнейших, хотя бы на уровне службы ИТ? Тут я вижу 3 варианта действий: бизнес подход, жесткий контроль, лучший специалист. Вариант ИБ “ бизнес подход ”: ·          Собрать комитет по ИБ ·          Определить требования бизнеса к ИБ, цели и приоритеты ·          Разработка концепции ИБ, политики менеджмента ИБ ·          Определить показатели эффективности службы ИБ ·          Довести до всех членов комитета важность вопросов ИБ ·          Убедить всех членов комитета принять активное участие в дальнейших мероприятиях по ИБ ·          Провести инвентаризацию, классификацию и оценку информационных активов ·          Провести классифика

СОИБ. Анализ. Предложения по совершенствованию Требований ФСТЭК России

В соответствии с информационным сообщением ФСТЭК России “о проекте Требований о защите информа-ции, не составляющей государственную тайну, содержащейся в государственных информационных системах” от 12 октября 2012 г. № 240/22/4140 провел экспертизу  проекта приказа ФСТЭК России “Об утверждении Требований о защите ин-формации, не составляющей государственную тайну, содержащейся в государственных информационных системах”. Из основного могу отметить: В документ отсутствует раздел с терминами и определениями. Есть ссылки на ряд внешних документов, но каким именно документом руководствоваться для конкретных определений – непонятно. Учитывая несогласованность разных уже существующих документов – это может стать проблемой. Для примера: есть требования о сертификации всех средств защиты информации, но нет определения средства защиты информации. В своем блоге я уже поднимал эту тему и приводил к каким сложностям приводит неоднозначность  в этом определении. Так-же в документе есть

СОИБ. Анализ. Вызовы для ИБ

В ряде случаев возникает необходимость привести примеры инцидентов ИБ и других сложных ситуаций, которые возникают у ответственных за ИБ в случае отсутствия комплексной системы обеспечения информационной безопасности. Привожу ниже те случаи и инциденты, которые связаны с наиболее ценной защищаемой информацией (остальные остались за границами данной заметки): 1.       Администратор бизнес приложения или БД, используя локальный доступ к консоли сервера, сделал копию большого объема данных и записал её на свой АРМ или съемный носитель; 2.       Пользователь бизнес приложения за короткий промежуток времени выполнил просмотр ценной информации по большому количеству ключевых клиентов (в том числе тех, с которыми ранее не работал), распечатал или сохранил информацию в файл 3.       Пользователь бизнес приложения, скачал в сети Интернет клиентское ПО для подключения к БД, подключился напрямую к БД с использованием своей учетной записи и получил доступ к ценной информации, которая об

Общее. Вебинары NGS Distribution

Новый дистрибьютор решений по ИБ NGS Distribution провел ряд вебинаров: ·         11 октября совместный с Stonesoft вебинар “Настройка StoneGate SSL VPN с нуля”; видеозапись ·         16 октября вебинар “BackBox – аварийное восстановление конфигураций сетевого оборудования и устройств информационной безопасности”; презентация ; видеозапись ·         18 октября совместный с Stonesoft вебинар “Что такое StoneGate IPS и почему это хорошо?”. видеозапись По прошедшим вебинарам: Вебинар по Stonegate SSL VPN оценю на 3 балла по глубине (из 5) – с одной стороны пошаговая конфигурация Stonegate SSL VPN в реальном времени, с комментариями и использованием GOST кприптоалгоритмов, русскими специалистами, c другой стороны показаны были только базовые настройки (кластеры, SSO , работа с мобильными устройствами, работа в смешанном режиме GOST и AES - остались на потом ) и во время вебинара были сложности с отображением  окон (было видно только основное окно, другие всплыва

Общее. Материалы с мероприятий по ИБ за сентябрь-октябрь (UPDATE)

В этот раз не смог посетить очно ряд мероприятий по ИБ, так что смотрел онлайн или пересматривал в записи. Возможно вам тоже пригодится подборка.. ХI конференция "Информационная безопасность. Региональные аспекты. ИнфоБЕРЕГ-2012" : ·         программа конференции ·         презентации докладчиков Конференция DLP-RUSSIA 2012 : ·         программа и материалы конференции ·         видеозаписи докладов Выставка InfoSecurity Russia 2012: ·         программа конференции ·       материалы конференции доступны после регистрации,  входа с аутентификацией, добавлении нужных докладов себе в отчет и просмотра отчета Конференция Yet another Conference 2012 (Яндекс). Секция по ИБ: ·         д оклады и видеозаписи Международная выставка-конференция INFOBEZ-EXPO 2012: ·         деловая программа ·         презентации докладов и "официальные" видеозаписи докладов  (UPD) ·         неофициальные релизы видео от Алексея Никитенко и Андрея Кондр

СОИБ. Анализ. Регистрация событий доступа.

После реализации ряда проектов связанных и использованием специализированных средств защиты приложений и БД стал задумываться - как без них удается реализовать требования по регистрации и аудиту доступа к защищаемым данным? О необходимости такой таких мероприятий для эффективного обеспечения ИБ я писал в одной из предыдущих заметок . Но кроме этого есть ещё требования законодательства: ·          149-ФЗ, Статья 16 : “4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить: 2) своевременное обнаружение фактов несанкционированного доступа к информации;” ·          152-ФЗ, Статья 19 : “2. Обеспечение безопасности персональных данных достигается, в частности: 6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер; 8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечени

СЗПДн. Проектирование. Сертифицированные ОС

В сегодняшней заметке хотелось бы уделить внимание сертифицированным в системе ФСТЭК России операционным системам, использующимся в качестве средств защиты информации, на примере ОС семейства Microsoft Windows . В большинстве случаев сертификация ОС в системе сертификации ФСТЭК России применяется не для уменьшения рисков ИБ, поэтому проводить экспресс анализ рисков, как в предыдущих заметках, смысла нет. А вот для уменьшения регуляторных рисков, то есть для выполнения требований законодательства, данная мера применяется очень часто (разрабатываемые в данный момент постановления правительства, о которых я писал ранее , могут уменьшить область применения сертифицированных ОС). Посмотрим, для выполнения, каких требований используется сертификация ОС. 1.          152-ФЗ о ПДн статья 19 : “2. Обеспечение безопасности персональных данных достигается, в частности: 3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;”