пятница, 25 января 2013 г.

СЗПДн. Проектирование. Хранить нельзя терять


Для того чтобы поставить запятую в нужном месте названия заметки, попробуем разобраться в теме – нужно ли и можно ли использовать системы и сети хранения данных в информационных системах персональных данных?

Стимулами подумать о хранении ПДн являются требования законодательства, модель угроз и дополнительные требования от бизнеса.

152-ФЗ:
“2. Обеспечение безопасности персональных данных достигается, в частности:
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;”

Проект СоиСо ФСТЭК:
“ОЦЛ.8 обеспечение возможности восстановления персональных данных и программного обеспечения
РСБ.11  обеспечение необходимого времени хранения информации о событиях, относящихся к безопасности персональных данных.
ЗСВ.10  распределенное хранение данных и восстановление информации после сбоев”

В модели угроз у нас могут быть актуальны угрозы связанные с целостностью и доступностью ПДн. Руководством компании могут быть поставлены задачи обеспечения непрерывности работы бизнеса и восстановления после прерываний.

Все это требует от нас применения некоторых мер по безопасному хранению и восстановлению данных. Как минимум это должны быть средства резервного копирования и восстановления.
Чаще всего в средних и крупных компаниях используются системы/сети хранения данных (SAN) в связке с системами виртуализации, на них дублирование, резервное копирование информации, дедупликация и другие плюшки.

Но SAN + ПДн = проблема. Посмотрим на очень упрощенную типовую схему отказоустойчивой корпоративной сети с SAN.


Во-первых, ФСБ России требует обеспечить криптографическую защиту каналов связи по ГОСТ, проходящих по неконтролируемой территории.  Даже если нам удастся достичь нужной производительности путем кластеризации ГОСТовых криптошлюзов, мы сможем защитить только каналы связи между ЛВС. Так как мне не известны ГОСТовые криптошлюзы,  поддерживающие SAN и протокол Fibre Channel.

Во-вторых, ФСТЭК России требует выполнить сертификацию на соответствие классу 6 и выше средства которое обеспечивает хранение и восстановление информации. Мне не известны системы хранения сертифицированные ФСТЭК России или планы по сертификации их в ближайшее время.


Для ИСПДн приходится использовать не соответствующие корпоративным стандартам  способы резервирования и хранения информации:
·        не применяются распределенные кластеры
·        не применяется виртуализация
·        резервное копирование информации придется делать на тот же сервер

Есть ещё компромисный вариант использования криптографии – шифровать по ГОСТ разделы дисков ОС Windows (например, Secret Disk Server NG). Тогда мы можем использовать СХД, но опять же лишаемся большинства её плюшек – совместное использование данных, дедупликация, сжатие.

Всё это в итоге приводит ИСПДн к меньшей степени защиты от угроз целостности и доступности, чем для остальных система с менее ценной информацией.

PS: Шпаргалка по SAN если кому-то потребуется

среда, 16 января 2013 г.

Общее. Профессиональный сайт по ИБ компании «Микротест»



В одной из предыдущих заметок я сравнивал web сайты интеграторов в Краснодаре и пришел к выводу, что публичным web сайтам уделяется мало внимания, они малоинформативные и не содержат актуальной информации. По крупным общероссийским интеграторам ситуация лучше, но выделенный портал по ИБ – всё равно редкость.

 Последние полгода направление информационной безопасности и департамент корпоративных коммуникаций компании «Микротест» разрабатывали выделенный web сайт по ИБ. В числе группы сотрудников компании я также участвовал в наполнении и создании web сайта, поэтому с удовольствием его представлю -  http://www.security-microtest.ru/

 Для потенциальных заказчиков web сайт представляет всю необходимую информацию: о компании, о возможных типах решений ИБ, услугах в области ИБ, выполненных проектах, отзывах,  проведенных и планируемых мероприятий по ИБ, можно в режиме онлайн оценить стоимость ряда услуг и даже сделать онлайн-заказ услуги по тестированию решений и сканированию внешнего периметра сети.

Для всех остальных, возможно, тоже найдется интересная информация: например, качественная классификация и описание типов решений по ИБ, классификация и описание типов услуг, оценка стоимости работ по защите ПДн от ведущего интегратора.

четверг, 10 января 2013 г.

Общее. Вебинары ушедшего года


Коллеги, всех с наступившим новым годом.

В прошедшем 2012 году я вел подборку вебинаров по ИБ на русском языке, о которых я узнавал до их начала. По моим оценкам там приведено не менее 80% от всех публично проводимых вебинаров.

Для меня интерес к вебинарам вызван следующими причинами:
·        находясь в регионе нет возможности участвовать в большинстве очных мероприятий по ИБ (которые проводятся в Москве)
·        даже если очное мероприятие проводится в твоем городе – на вебинар не надо ехать и тратить время на дорогу/стояние в пробках
·        если не понравится – можно сразу отключаться и не тратить время  

К сожалению, у меня нет точных данных за 2011 годы чтобы провести сравнение, но субъективно вебинаров в 2012 году гораздо больше.

Статистика вебинаров ИБ по месяцам приведена ниже:



Месяц
Количество вебинаров ИБ
Январь
2
Февраль
11
Март
14
Апрель
12
Май
6
Июнь
8
Июль
5
Август
5
Сентябрь
15
Октябрь
15
Ноябрь
16
Декабрь
8


Видно, что самые активные месяцы: февраль-апрель и сентябрь-ноябрь.
Статистика по организациям проводившим вебинары ИБ ниже.



Организатор вебинаров ИБ
Количество
Информзащита
20
Positive Technologies
15
ДиалогНаука
10
Microtest
9
Cisco Systems
8
LETA
8
Аладдин-РД
8
Эшелон
8
NGS Distribution
7
DLP Expert
6
Stonesoft
6
Digital Security
5
Емельянников
5
RISSPA
4
Другие
15

В таблицу попали организаторы проводившие 3 и более вебинаров. Проведенные совместно считал обоим организаторам. Так как сам прослушал большое количество приведенных вебинаров, могу позволить себе привести некоторые выводы:
·        У Информзащиты вебинары очень поверхностные, рекламные, вебинары по продуктам. Ни разу не удавалось узнать больше чем в брошюрах с сайта + прайс-листа.
·        У Positive Technologies примерно половина вебинаров по работе и применению продуктов – Xspider и Maxpatrol очень детальные.  Вторая половина была для web ресерчеров и пентестеров, что для меня не актуально, поэтому комментировать не берусь.
·        ЛЕТА – проводили вебинары только для заказчиков с предварительным отбором участников. Так как я в их ряды не попал, то прокомментировать не могу.
·        ДиалогНаука – слушал не все, но были очень детальные вебинары по продуктам Arcsight.
·        Microtest – были подробные, интересные вебинары по новым технологиям Cisco Systems. Но короткие, с приглашением если понравилось в учебный центр.
·      У Cisco Systems и Алексея Лукацкого – хорошие, большие и подробные вебинары, но без онлайн демонстраций продуктов. 
·        Аладдин Р.Д. – в основном обзорные по продуктам, но был и подробный интересный семинар по вопросам сертификации.
·        NGS Distribution совместно с Stonesoft провели серию отличных вебинаров на которые можно равняться другим вендорам. Слайдов и воды не более 20%, остальное реальная демонстрация, обучение, онлайн обсуждение. Причем первые вебинары начинались с “как настроить железку с нуля”, а следующие продолжали настройку по специфическим темам: кластеры, аутентификация, ГОСТ криптография и т.п.
·        Digital Security проводили вебинары для ресерчеров и пентестеров, которые я так-же не берусь комментировать.
·        у DLP Expert все вебинары читали их партнеры, поэтому качество каждый раз менялось. Последние из них получились рекламные и бесполезные для меня вебинары
·        у RISSPA (с Волковым и Царевым) получились отличные большие вебинары с хорошо раскрытыми темами.

Понятно что вебинары стали ещё одиним инструментом продвижения чегото (товаров, услуг, себя). Но хотелось бы в этом году больше качественных и интересных вебинаров. Вендоры, дистрибьюторы, интеграторы и ассоциации – продвигайте красиво и приятно.

Для наглядности привожу статистику слов из тем вебинаров

Та же статистика, но только по английским словам