вторник, 30 апреля 2013 г.

СОИБ. Проектирование. Сертифицированный защищенный удаленный доступ (Remote VPN) часть 1


Сразу хочу отметить исходные условия:
·        вопросы необходимости сертификации СКЗИ в данной статье не рассматриваются;
·        постоянно возникают задачи из всего спектра существующих средств построения VPN быстро выбрать те, которые походят под  ограничивающие условия у Заказчика (а уже потом из тех, которые в принципе будут работать делать сравнение по функциям)
·        функциональные возможности средств защиты удаленного доступа в данной заметке не рассматриваются
·        основными ограничивающими условиями для защищенного удаленного доступа являются – типы устройств с которых должен осуществляться доступ, используемые операционные системы и требуемый класс криптографической защиты (КС1, КС2, КС3). По этим условиям легко проводить объективное сравнение – все они приведены  в формулярах на СКЗИ
·        речь идет о защите удаленного доступа типовых пользователей крупной и средней компании (то есть не единичного АРМ, а ноутбуков с разными ОС и желательно планшетов)

Вариант КС2.
Начну с выводов: если речь идет о ноутбуках, то решения фактически отсутствуют. С планшетами ситуация ещё хуже.

Обоснование:  в формулярах на все СКЗИ в исполнении КС2 указывается необходимость использование средств защиты от несанкционированного доступа из следующего перечня:
·        Программно-аппаратный комплекс с физическим датчиком случайных чисел "Соболь"
·        Аппаратно-программный модуль доверенной загрузки универсальный КРИПТОН-ЗАМОК/У
·        Программно-аппаратное средство "Аккорд-АМДЗ"
·        Специальный загрузочный носитель - СЗН "МАРШ!-USB"

Возьмем, к примеру, Аккорд-АМДЗ. Единственными моделями в принципе подходящими для ноутбуков являются варианты Mini PCI Express и Mini PCI Express half-size. Но и в нем поддерживаются далеко не все модели BIOS и аппаратных платформ на ноутбуках.  Переченьмоделей, протестированных производителем, невелик.  Перед каждым проектом нужно собирать подробный перечень моделей и отправлять производителю + время на тестирование + не всего оно возможно.


Например, у нашего пользователя есть довольно популярный MacBook Air . Куда там ставить Mini PCI Express? Его и открывать то нельзя. Аесли откроем – увидим что свободного слота там нет. Да и операционная система OS X Lion этого ноутбука так-же не поддерживается.

Соболь – ситуация аналогична Аккорду, толь ещё хуже, потому что модель Mini PCI Express только появилась и даже не сертифицирована  ФСБ.

Криптон – вообще только PCI Express и для ноутбуков не подходит.

Загрузочный носитель МАРШ! – вроде подходит для всех ноутбуков, поддерживающих загрузку с USB. Но какие он поддерживает  ОС – Fedora и AltLinux?  А где же наш Windows 7 Корпоративный (про OS X молчу)?  Пересаживать всех пользователей на Linux? Нет – руководство заказчика на это не пойдет (ведь они же первые используют удаленный доступ с ноутбуков).

У Вас возникает вопрос – а кто вообще требует КС2/КС3 для удаленного доступа?  Кому пришла в голову такая глупость?

Во-первых, такая ситуация возникает, когда пишется модель нарушителя по ФСБ сразу для всей области защиты. КС1 – это нарушитель Н1. Н1 – это нарушитель не имеющий физического доступа к средствам обработки организации.  Н2 – отличается от Н1 тем что может получить физический доступ к средствам обработки организации. Чтобы обосновать Н1, нам фактически придется обосновать что все сотрудники являются доверенными лицами. Если по-честному, то после такого сильного утверждения применять средства защиты внутри организации вообще не требуется.

Во-вторых, требуемый класс защиты часто спускается отраслевым регулятором или вышестоящей организацией. В регионе такую ситуацию можно наблюдать регулярно.

В-третьих КС2 или даже КС3 может потребоваться в соответствии с будущими документами ФСБ по защите ПДн. По версии Алексея Лукацкого эти требования будут выглядеть так. И КС2 и выше там вполне могут быть.


PS: К чему была эта часть? Коллеги, внимательно выставляйте требования к классам защиты. КС2 для удаленного доступа быть не должно.

PPS: Следует продолжение по КС1, ссылки на формуляры и таблица сравнения.

четверг, 18 апреля 2013 г.

Общее. Статья про защиту гос. услуг и другие


Недавно опубликован №2 журнала "Information Security. Информационная безопасность", в котором есть моя статья про Интеграцию технологий обеспечения ИБ при оказании электронных государственных услуг.

В ней я представил вариант решения, достаточный, с моей точки зрения, для защиты гос. услуг от наиболее актуальных угроз и обработать наиболее опасные риски. Многие сейчас пишут о проблемах и не говорят о решениях. В моей статье описаны и проблемы и задачи и решения. К сожалению, редакция немного урезала описание подробностей конкретных решений, но надеюсь, кому-то будет полезным и такая статья.
Для защиты госуслуг предлагаю интегрировать в неё решения по защите от DDoS атак, решения по защищенному удаленному доступу (SSL VPN), решения по защите web приложений (WAF) и БД (DBF)

За компанию приведу ссылки на другие публикации, вышедшие в начале года.



Так-же был подготовлен, интересный с моей точки зрения, материал, который планировался для публикации в Коммерсант-Юг, но у них отменился специальный выпуск и соответственно публикация.
Поэтому делаю публикацию в своем блоге:   Актуальные вопросы от бизнеса по информационной безопасности.

понедельник, 15 апреля 2013 г.

СОИБ. Проектирование. Защита от силового захвата информации



Как оказалось для некоторых компаний ещё актуальна угроз силового захвата информации.  Возможными сценариями атак, реализующих такую угрозу могут быть:
·       рейдерский захват офиса
·       похищение компьютерного оборудования из офиса
·       неожиданная проверка с участием спецслужб
Классической мерой защиты от такой угрозы является шифрование информации. При этом в различных решениях есть возможность мгновенного отключения доступа к информации путем нажатия «тревожной» кнопки, использования радио брелка, извлечения токена и т.п. (в качестве примера могу привести Secret Disk)

Причем бывают смешные ситуации, когда организация обязана использовать российские алгоритмы шифрования по ГОСТ для выполнения требований законодательства, но при этом не доверяет этим алгоритмам, считая что спецслужбы их легко могут расшифровать. В результате применяется двойное шифрование AES +ГОСТ.

Но получить доступ к информации всё равно можно!!

Что делать если важнее не допустить нарушения конфиденциальности информации, чем обеспечить её сохранность?

Будем в случае ЧС стирать информацию мощным электромагнитным импульсом.  Что для этого надо? Модуль накопления заряда – крепится в корпусе сервера.  Плоскостные излучатели ЭМИ – монтируются к салазкам сервера, крепятся на корпуса дисков “горячей замены” и подключаются к модулю накопления заряда. Модуль управления – “тревожная” кнопка, радиобрелок, датчики извлечения дисков, датчики вскрытия корпуса. (в качестве примера могу привести Раскат ультра)


Что если территория большая, защищаемых объектов много? На все излучатели не поставишь.

На помощь приходит гарантированное удаление информации по сети. Небольшая подготовка: систему управления – администратору, ему же несколько вариантов агентов уничтожения и Вы во всеоружии. В случае угрозы захвата  информации, администратор удаленно отдает команду в системе управления - в течении нескольких минут, на всех АРМ и серверах компании запускается процесс необратимого уничтожения информации. Далее сеть уже не используется и локальные процессы в течении 15-30 минут уничтожают всю информацию с жестких дисков. (в качестве примера могу привести blancco)

Я не встречал силовых захватов информации, при реализации которых предварительно отключали Интернет, основной и резервный источник электрического питания и ждали пока закончится резерв ИБП. Как правило первые 15 минут идет только захват территории и этого времени бывает достаточно для необратимого уничтожения информации.

PS: В рамках всего этого действа не забываем про резервную площадку в другом городе,  хорошую систему резервного копирования и восстановления.

понедельник, 1 апреля 2013 г.

СЗПДн. Юмор. Новый стандарт РКН, ФСТЭК и ФСБ по оценке вреда субъектам ПДн


Как вы наверное знаете недавно регуляторами Роскомнадзором, ФСТЭК России и ФСБ России был разработан стандарт по оценке вреда субъектам ПДн, документ прошел экспертные слушания и  был передан на регистрацию в Минюст России.

Основные положения данного документа:
·        определение возможного вреда субъектам ПДн организуется оператором для каждой ИСПДн
·        определение возможного вреда субъектам ПДн производится коллегиально комиссией или рабочей группой
·        в комиссию должны включатся следующие лица:
o   лицо, ответственное за организацию обработки ПДн
o   субъект, персональные данные которого обрабатываются в системе
o   представитель территориального подразделения ФСТЭК России
o   представитель территориального подразделения ФСБ России
o   представитель территориального подразделения Роскомнадзора
·        представители регуляторов назначаются в ответ на письмо лица, ответственного за организацию обработки ПДн, содержащего основную информацию об обработке ПДн в ИСПДн:
o   состав ПДн
o   тип ИСПДн
o   объем обработки ПДн
o   содержание форм с ПДн   
·        оценка возможного вреда производится на основе следующей методологии: каждым членом комиссии выставляется одна из возможных оценок возможного ущерба: нулевой, незначительный, средний, значительный.  Таблица следующая

·        каждым членом комиссии оценка производится в соответствии с его субъективным мнением о значимости обрабатываемых ПДн, известных ему судебных прецедентов и случаев ущерба субъекту ПДн
·        далее оценка каждого члена комиссии заменяется на его числовой показатель и суммируется = L; далее итоговый результат:
o   вред субъектам ПДн значительный, если сумма L больше либо равна 0.9
o   вред субъектам ПДн средний, если сумма L больше либо равна 0.5
o   вред субъектам ПДн незначительный, если сумма L больше либо равна 0.2
o   вред субъектам ПДн нулевой, в иных случаях

Как видно, методика определения вреда достаточно простая и вопросов не вызывает. Результаты оценки вреда должны использоваться при моделировании угроз, определении необходимых контрмер и т.п.

Операторам ПДн стоит включить в план мероприятий организацию комиссии по оценке вреда и подготовить шаблон документа (акт об оценке вреда субъектам ПД н)