четверг, 29 августа 2013 г.

СОИБ. Лучшие практики. 20 наиболее важных мер ИБ от SANS Institute

В этом году известный в США институт SANS обновил документ “20 критических мер ИБ” (Twenty Critical Security Controls for Effective Cyber Defense). Документ интересный, поэтому хочу привести тут его краткий обзор.

Почему можно отнести данный документ к “лучшим практикам”?

В его разработке участвовала группа экспертов из разных стран, включающая как государственные, так и коммерческие компании:
·        U.S. Department of Defense
·        Nuclear Laboratories of the U.S. Department of Energy
·        U.S. Computer Emergency Readiness Team of the U.S. Department of Homeland Security
·        United Kingdom's Centre for the Protection of Critical Infrastructure
·        FBI
·        other law enforcement agencies
·        Australian Defence Signals Directorate
·        government and civilian penetration testers and incident handlers

Кроме того, был организован постоянно действующий международный консорциум из государственных и коммерческих компаний Consortium for Cybersecurity Action или CCA, основной целью которого является совершенствование документа, применение его на практике и обмен информацией об опыте его применения.

Как утверждают авторы, документ не статичный, постоянно развивается (текущая версия 4.1) и приведенные в нем меры соответствуют актуальным угрозам ИБ.

При разработке мер защиты авторы придерживались следующих 5-ти важнейших принципов:
·        Offense informs defense: при разработке мер защиты использовалась информация о наиболее актуальных способах атак
·        Prioritization: для каждой меры защиты определен её приоритет; это позволяет в первую очередь внедрять меры, которые уменьшают наиболее опасные риски;
·        Metrics: эффективность применяемых мер защиты должны быть измеряемой
·        Continuous monitoring: необходимо применять постоянный мониторинг мер защиты
·        Automation: там где это возможно необходимо автоматизировать выполнение мер

Основная часть документа aс описанием мер ИБ имеет следующую структуру:
·        Обоснование необходимости меры ИБ (описание актуальных угроз и атак с ними связанных)
·        Перечень под мер ИБ которые необходимо принять. На самом деле 20 критических мер ИБ упомянутых в названии – это 20 крупных групп мер ИБ. Каждая группа мер состоит из 5-20 подмер (или подэтапов). Все подэтапы классифицированы по приоритетности, с учетом которой рекомендуется их применять (первые – наиболее приоритетные, последние наименее приоритетные):
o   Quick wins – меры которые быстро внедряются и уменьшают риски от наиболее опасных угроз
o   Visibility and attribution measures – меры которые обеспечивают процессы управления ИБ  - мониторинг мер и оценку эффективности
o   Improved information security configuration and hygiene – меры по совершенствованию ИБ, повышению осведомленности
o   Advanced sub-controls – меры, которые обеспечивают дополнительную защищенность, связанные с новыми технологиями, как правило, наиболее сложные для внедрения
·        Соответствие предлагаемых мер, мерам из каталога NIST 800-53. Для нас этот раздел важен потому, что последние приказы ФСТЭК №17 и №21 во многом схожи с NIST 800-53. Таким образом мы можем поставить в соответствие например требуемые меры по защите ПДн и варианты их реализации из “20 критических мер ИБ”.
·        Варианты реализации и автоматизации выполнения меры ИБ
·        Метрики для изменения меры ИБ
·        Способы оценки эффективности/работоспособности меры ИБ
·        Примерная схема работы меры ИБ

Кроме того, в документе приводится рекомендованный план действий по внедрению 20 критических мер. Он понятен и я не буду его тут приводить. При необходимости прочитайте его в оригинале.

Вместо этого отмечу следующее – данный документ может быть очень полезен и при выполнении проектов по защите ПДн по новым нормативным актам. В тот момент, когда мы определили требуемы состав мер обеспечения безопасности ПДн у многих возникает вопрос, как можно реализовать эти меры. Вот при выборе способа реализации мер вам и пригодится документ “20 критических мер ИБ”.

Чем хорош документ “20 критических мер ИБ” – тем что в нем четко и понятно написано что надо сделать для реализации меры, приведена понятная схема применения мер.

В завершении приведу таблицу соответствия “20 критических мер ИБ” и NIST 800-53, которую я дополнил предположительным соответствием мерам из  приказа №21 ФСТЭК.



А так-же сводный постер по “20 критических мер ИБ” от SANS.





вторник, 13 августа 2013 г.

СОИБ. Безопасность критической информационной инфраструктуры (КИИ)

Недавно на публичное обсуждение был выложен проект Федерального закона РФ “о безопасности критической информационной инфраструктуры Российской Федерации”

Данный ФЗ в качестве недостающего звена дополняет структуру документов по КСИИ


Из наиболее интересного:
·        На уровне ФЗ вводятся необходимые новые термины. Что конечно хорошо, так как уменьшает количество разногласий и разночтений всей структуры документов по КСИИ
·        Определяются категории опасности КСИИ- высокой, средней и низкой
·        В отличие от ПДн, предполагается активное участие регуляторов в оценке, контроле, анализе безопасности КСИИ, так например ФСБ Р и ФСТЭК Р будут (не считаю разработки требований):
o   вести реестр объектов КСИИ
o   проводить проверку правильности классификации объектов КСИИ (для сравнения в ПДн оператор самостоятельно определяет уровни защищенности и нормами не предусмотрена проверка правильности классификации)
o   определять порядок проведения оценки защищенности, проводить оценку защищенности КСИИ самостоятельно, привлекать аккредитованные организации (для сравнения в ПДн оператор самостоятельно проводит оценку защищенности или использует услуги внешнего консалтера)
o   осуществлять государственный контроль в области обеспечения безопасности КСИИ
·        Между ФСБ Р и ФСТЭК Р следующее разделение ответственности:
o   ФСБ Р отвечает за КСИИ высокой категории опасности
o   ФСТЭК Р отвечает за КСИИ средней и низкой категорий опасности
·        Субъекты проводят категорирование своих КСИИ  и направляют информацию соответствующему регулятору
·        Для обнаружения и предупреждения компьютерных атак, ФСБ Р будет устанавливать в КСИИ свои сенсоры (“технические средства, предназначенные для поиска признаков компьютерных атак в сообщениях электросвязи ”)
·        Установлены требования по аккредитации (лицензия на ГТ, 3 тестера в штате), но критерии (по сути дополнительные требования) могут определяться регуляторами
·        Основные требования (дополнительные могут устанавливаться регуляторами) по защите КСИИ включают:
o   оргмеры
o   требования к персоналу
o   антивирусную защиту и защиту от компьютерных атак
o   защиту взаимодействия с ССОП
o   обеспечение ИБ при эксплуатации ИС
·        Новые обязанности субъектов КСИИ:
o   направлять сведения о выполненных мероприятиях по защите регуляторам
o   незамедлительно сообщать об инцидентах
o   выполнять предписания регуляторов
o   обеспечивать доступ регуляторов к КСИИ
·        Создается “Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак” в рамках которой действует “Национальный координационный центр по компьютерным инцидентам”  (его деятельность обеспечивает ФСБ Р)

Предложения и замечания можно отправлять до 23.08.2013 по адресу fzcii@fsb.ru


В целом документ неплох и ФЗ по защите КСИИ нам необходим.
Настораживают только фактически неограниченные полномочия регуляторов. В соответствии с данным ФЗ в их праве установить любые, в том числе невыполнимые требования. 
Ещё один нераскрытый момент, какие организации в принципе попадают под КСИИ? Ведь чтобы классифицировать КСИИ надо понимать что у тебя КСИИ. Тут, видимо, будут адресные рассылки регуляторов по конкретным перечням организаций.

PS: Смотрите так-же замечания и рекомендации к проекту ФЗ от Андрея Прозорова  и Алексея Лукацкого.



пятница, 2 августа 2013 г.

СЗПдн. Анализ. Порядок выполнения основных мероприятий по обеспечению безопасности ПДн

В очередной раз пишу про уже порядком утомившую всех тему по защите ПДн.

Так как в комментариях к предыдущим заметкам поднимались вопросы:
·        почему написано про модель угроз , если явно она не требуется
·        нужно ли обследование
·        обязательны ли сертифицированные СЗИ
·        обязательная ли аттестация
·        какие возможны документы в простых случаях

Свел в одну картинку основные возможные варианты порядков обеспечения безопасности ПДн.


Хотел сделать кратко и крупно, но получилось опять много вариантов и мелкими буквами, поэтому лучше смотреть в варианте PDF.


(UPDATE) Привожу некоторые объяснения относительно вариантов:
1.      Почему в варианте “другие ИСПДн” есть две цепочки действий?
В приказе №21 ФСТЭК нет явных требований к оператору – проводить моделирование угроз. Нет и обратного – информации о том что моделирование угроз уже проведено или что его проведение не требуется.
В ПП 1119 от оператора в явном виде требуется только “7. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда” .
Данное требование можно выполнить и в таком варианте: “комиссия считает, что возможный ущерб субъекту ПДн  - низкий, тип УБПДн - третий” в этапе классификации системы.
Полноценное моделирование угроз в явном виде не требуется. Но нет и обратного -  информации о том что моделирование угроз уже проведено или что его проведение не требуется. А определение типа угроз и ущерба логично делать в процессе детального моделирования. Это увеличит точность оценки.
В части 5 статьи 19 152-ФЗ указывается что государственные органы (а не операторы) “определяют угрозы безопасности, актуальные при осуществлении соответствующих видов деятельности”. Но нет явного указания, что только они (госорганы) могут определять угрозы и что операторы не могут самостоятельно моделировать угрозы.

2.      Как нейтрализовать актуальные угрозы если оператор не разрабатывал модели угроз?
Во-первых, модель угроз может разработать отраслевая организация в соответствии с частью 6 статьи 19 152-ФЗ и определить требуемый состав мер. Например, необходимость выполнить базовый набор мер.
Во-вторых, вышестоящая организация может разработать модель угроз и определить требуемый состав мер. Например, необходимость выполнить базовый набор мер.
В-третьих, ФСТЭК Р уже разработала в 2008 году “базовую модель угроз” и “методику определения актуальных угроз” а в ближайшее время планирует выпустить обновленные документы (см. информационное сообщение ФСТЭК Р N240/22/2637).
Есть все основания полагать, что базовые наборы мер ФСТЭК Р соответствуют базовым моделям угроз для уровней защищенности.

3.      Вопрос о двух вариантах с сертифицированными и несертифицированными СЗИ.
Из явных требований имеем:
“4. Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.”
При моделировании угроз мы будем определять когда для нейтрализации актуальных угроз необходимы сертифицированные СЗИ, а когда они не требуются. Например, исходя из степени опасности угроз.
Почему эту двойственности нет в цепочке без моделирования угроз?  Как раз потому, что оператор не имеет информации о степени опасности угроз, не имеет информации о том какая именно мера используется для нейтрализации какой угрозы. Поэтому такому оператору придется использовать только сертифицированные СЗИ.

4.      По поводу оценки эффективности.
Для ГИС – это однозначно аттестация. Для других систем ограничений по методикам и способам оценки эффективности нет (см. информационное сообщение ФСТЭК Р N240/22/2637).
Я считаю что в такой ситуации оператору удобно проводить оценку соответствия по той методике, которая наибольшим образом соответствует его внутренним политикам и требованиям.  Тогда оператор, кроме выполнения требований регуляторов, будет выполнять  и какие-то свои бизнес-задачи.
Если же никаких собственных требований или политик у оператора нет, оператор согласен на ограничения аттестации и готов регулярно переплачивать за аттестацию и контроль эффективности, то он может проводить оценку соответствия в виде аттестации, даже если ИСПДн – не ГИС.