Сообщения

Сообщения за июль, 2013

СОИБ. Проектирование. Выбор мер по защите информации для виртуализированных инфраструктур

Изображение
Недавно ассоциация RISSPA  опубликовала аналитическую статью о проблеме выбора средств защиты информации для виртуализированных инфраструктур. Будучи в отпуске пропустил эту новость, но сейчас внимательно ознакомился. Авторам документа скажу спасибо, так как подобной комплексной подборки СЗИ я не встречал даже среди англоязычных материалов.  Не говоря о привязке к мерам защиты ПДн, которые ФСТЭК представил совсем недавно. Интересная таблица по соответствию мер и средств защиты Таблица с подборкой актуальных сертификатов ФСТЭК на приведенные выше средства защиты Но хочу сделать и несколько замечаний к статье: 1.       С моей точки зрения, авторы зря сузили рассмотрение проблемы до выбора только СЗИ.  Есть ещё возможность при реализации системы защиты применять организационные и технические меры защиты отличные от СЗИ (например, дублирование серверов, каналов связи между ними, ограничение физического доступа к серверам инфраструктуры виртуализации). Таки

СЗПДн. Анализ. Выбор мер обеспечения безопасности общедоступных ПДн 2

Изображение
В одной из предыдущих заметок я приводил демонстрацию анализа и выбора мер защиты по новому комплекту документов (ПП 1119, Приказ ФСТЭК №21) на примере ИСПДн с общедоступными ПДн. В комментариях к заметке было интересное обсуждение с читателями, в результате которого было высказано мнение, что исключать лишние меры можно на этапе адаптации базового набора мер, исходя из особенностей функционирования ИС в которой не актуальны угрозы для нейтрализации которых применяется данная мера. Я решил рассмотреть ещё раз ту же задачу с теми же исходными данными и с приведенным выше подходом. В варианте, когда модель угроз делается по собственной корпоративной методике и приводит к тому что все угрозы будут неактуальны – нам не интересен (перечень мер будет нулевым) и я далее его не рассматриваю. Будем делать МУ по методическому документу ФСТЭК. Для данного примера я использую базовый перечень угроз + дополняю его парой угроз связанных с НДВ. Для примера их будет достаточно. А в

СОИБ. Проектирование. Чего мы ещё лишаемся требуя использовать сертифицированную криптографию

Изображение
В серии предыдущих заметок я уже приводил примеры с какими сложностями, дополнительными затратами и ограничениями придется столкнутся организациям, использующим сертифицированный по ГОСТ remote VPN по сравнению с счастливыми обладателями альтернативных решений. Посмотрим теперь сравнение в случае если потребовалась защитить информацию, передаваемую по собственным или арендованным каналам связи с использованием криптографических средств (внутренние каналы связи между объектами сети передачи данных).    Такая необходимость может возникнуть в случаях: ·         Если защита любых каналов требуется отраслевым регулятором, вышестоящей организацией или контрагентом, который поручил обработку ·         Если каналы связи проходят за границами контролируемой территории (группа не огороженных близко расположенных зданий, распределенные ЦОД в разных концах города, беспроводные каналы связи и т.п.) ·         Если необходимость применения криптографической защиты для таких каналов о