четверг, 30 января 2014 г.

СЗПДн. Анализ. Меры защиты SAP

Продолжаю предыдущую статью, в корой была определена модель угроз SAP. Теперь можно выбирать меры защиты ИС.

Будем делать выбор с учетом требований законодательства и методического документа ФСТЭК Р, но для упрощения задачи предположим что у нас не ГИС, а только ИСПДн. Усиливать требования не буду.

Вариант 1. Консервативный. В данном варианте будем использовать известные, общеупотребимые и документированные методы создания СЗПДн. Если методика какой-либо оптимизации отсутствует, она не будет применяться.
Делай раз. Определение базового набора мер. Берем столбец в котором стоят плюсы для УЗ 3.
Делай два. Адаптируем базовый набор мер с учетом структурно-функциональных характеристик (которые я привел в предыдущей статье) или используемых ИТ. Так как у нас система типовая (распределенная, с подключением к сети Интернет , c применением удаленного доступа, с применением беспроводных технологий и мобильных средств, многопользовательская, с разными правами доступа и т.п.)  не вижу структурных характеристик, которые позволили бы обосновать исключение мер защиты. Базовый набор остается без изменений.
Делай три. Дополняем меры, если это требуется для нейтрализации актуальных угроз. В соответствии с моделью угроз, приведенной в предыдущей статье, дополняем мерами по аудиту доступа, обнаружению вторжений на компоненты СУБД, ограничению  доступа пользователей к наиболее ценной информации.
Делай четыре. Дополняем меры по требованиям других нормативных актов. В рамках данной статьи рассматривается универсальный вариант ИС на базе SAP, без привязки к отрасли, поэтому дополнительные нормативные акты не рассматриваю.
Получившийся перечень мер в виде SoA привожу по ссылке (так как большой документ) .
Делай пять. Выбираем способы реализации мер. Так как иного в методическом документе ФСТЭК Р не написано, то считаем, что меры защиты должны применятся для всех объектов защиты – компонентов ИС (операционных систем, прикладного ПО, СУБД, сервисов удаленного доступа, беспроводного доступа, сетевого оборудования). У нас нет официального варианта отказаться от защиты каких либо компонентов.

Варианты реализации мер защиты ПДн так-же включил в SoA. Кроме организационных мер получился большой перечень технических средств реализующих меры защиты: SS, SAST, FW, VPN, IPS или WAF, AV, OS, App, DB, Wireless, WAN, LAN, MDM, SIMS.

Все приведенные средства должны пройти оценку соответствия. Никаких официальных способов обоснования отсутствия необходимости оценки соответствия ФСТЭК Р не определил.

В консервативном варианте оценка соответствия = сертификация. Так как это единственный документально определенный способ оценки соответствия. В этом варианте можно сказать, что претензий средству защиты у регулятора точно не будет - он сам поставит свою печать на сертификате.

В общем – вариант хороший. Вот только сертификация всех приведенных выше средств займет время большее, чем срок эксплуатации ИС. А стоимость устремится в бесконечность. И вариантов частично облегчить себе жизнь – нет.


Вариант 2. Либеральный. В данном варианте будем пытаться оптимизировать СЗПДн и использовать для различные уловки или недокументированные регулятором способы. Привожу только этапы, на которых есть различие.

Делай два. Адаптируем базовый набор мер с учетом структурно-функциональных характеристик (которые я привел в предыдущей статье) или используемых ИТ.  Единственная лазейка по исключению из базового набора меры, которая не требуется для нейтрализации актуальных угроз – тут. Будем считать что есть такая особенность функционирования ИС  - “функционирование ИС при неактуальной угрозе X”. Тогда исходя из особенностей функционирования ИС, можно исключить некоторые меры. (Можно исключить все меры если все угрозы неактуальны).



Делай три. Дополняем меры, если это требуется для нейтрализации актуальных угроз. Учитывая предыдущий пункт можно сразу выкинуть все меры из базового набора, а потом добавить только те, которые необходимы для нейтрализации актуальных угроз .

Делай пять. При выборе способов реализации мер учитываем актуальность угроз для различных объектов защиты (они отображены в модели угроз из предыдущей статьи). Если угроза актуальная только для одного объекта защиты (например БД), то и меры защиты, связанные с этой угрозой, применяем только для этого объекта защиты.
Требований к форме документирования способов реализации мер у ФСТЭК Р - нет. Поэтому опять задокументируем в виде схемы технических мер защиты.



Как видно, обязательных средств защиты получилось существенно меньше = VPN, WAF, DBF, SS, SAST, SIEM; а значит сроки и затраты на сертификацию могут быть приемлемыми.
Если нет – то используем ещё одну лазейку способ оптимизации.

“4. Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.”

Можно трактовать это требование так, что оператор при моделировании угроз  определяет случаи, в которых для нейтрализации актуальных угроз необходимо использовать СЗИ, прошедшие оценку соответствия. Поэтому, если проблематично провести сертификацию – пишем, что сертифицированное СЗИ не требуется для нейтрализации данной угрозы. Как вариант, можно это сделать в SoA.




В либеральном варианте есть один подвох – надо быть готовым обосновывать отстаивать свое мнение и свои нестандартные подходы перед регулятором. В том числе надо быть готовым отстаивать свое мнение в суде. Службе ИБ лучше сразу обговаривать такие перспективы с юридической службой.


четверг, 16 января 2014 г.

Общее. О чем говорили на вебинарах ИБ в 2013

В прошедшем 2013 (в прочем как и в 2012) году я вел подборку вебинаров по ИБ на русском языке, о которых я узнавал до их начала. По моим оценкам там приведено не менее 80% от всех публично проводимых вебинаров.

О причинах интереса к вебинарам я написал в прошлогодней статье.


Количество публично проводимых вебинаров увеличилось с 117 в 2012 году до 134 в 2013 году. В статистику не попали закрытые вебинары типа “для партнеров”, индивидуальные вебинары для конкретных заказчиков и вебинары по требованию. Я думаю, что их количество было не меньше количества публичных вебинаров.


Статистика вебинаров ИБ по месяцам 2013 г. ниже



Месяц
Количество вебинаров ИБ
Январь
3
Февраль
15
Март
15
Апрель
14
Май
9
Июнь
6
Июль
4
Август
9
Сентябрь
13
Октябрь
13
Ноябрь
18
Декабрь
15

Видно, что самые активные месяцы: февраль-апрель и сентябрь-декабрь.
Статистика по организациям проводившим вебинары ИБ ниже. Ряд вебинаров проводился совместно двумя компаниями (один организатор, другой докладчик)  – такие идут в зачет обоим. В таблицу попали организаторы проводившие 4 и более вебинаров. Остальные – в графе “Другие”




Организатор
Процент от общего количества вебинаров ИБ
NGS Distribution
14.9%
LETA
10.4%
Positive Tehnologies
10.4%
SafeLine
10.4%
ДиалогНаука
9.7%
Cisco Systems
8.2%
BIS-Expert
6.7%
Микротест
6.0%
Infowatch
4.5%
АИС
4.5%
Stonesoft
3.7%
Trustverse
3.0%
Инфозащита
3.0%
Код Безопасности
3.0%
Другие
16.4%

В этот раз провел анализ в другой плоскости. Прослушанные вебинары могу разделить на следующие категории:
·        Анализ изменений законодательства / анализ нового стандарта / нового методического документа . Предполагается что докладчик перелопитил большой документ или группу документов, выделил самые важные / спорные / проблемные места и в течении 1 часа (у RISSPA до 3х часов) нам об этом рассказывает. Такой вебинар мне интересно послушать и как правило, собирается много слушателей.
·        Общий обзор законодательства (как правило ненового) в какой-то области / ненового стандарта / ненового методического документа.  Предполагается что докладчик перелопитил большой документ или группу документов, выделил самые важные / спорные / проблемные места, хотя до него уже подобное проделывалось не раз и имеется большое количество публично доступных аналитических статей.
Как правило, это делается чтобы показать, что докладчик тоже “в теме” и хочет играть в данной нише, либо чтобы в очередной раз  обратить внимание потребителей на старую тему, которая кажется докладчику всё ещё актуальной. Такой вебинар скорее подходит молодым специалистам, либо специалистам желающим систематизировать свои знания в определенной области. Мне такие вебинары слушать было не очень интересно, так как существенные изменения в законодательстве и стандартах стараюсь анализировать по мере их возникновения. Как правило, собирается немного слушателей (исключение – Алексей Лукацкий)
·        Представление нового технического решения поИБ, аналогов которому нет либо они не были известны ранее.  Предполагается что вендор, дистрибьютор или партнер рассказывает о каком-то новом типе решений, о нестандартном решении, ранее широко неизвестном. При этом большое внимание уделяется какой-то новой технологии, объяснению актуальности угроз, для нейтрализации которых она нужна. Если это действительно что-то новое, то послушать всегда интересно. Надо же быть в курсе новых технологий.
·        Представление нового или старого технического решения поИБ, у которого есть десятки аналогов. Как правило на них бывает повторение “азбучных истин”, либо рассказывают какие из функций конкурентов уже реализованы, а какие планируется сделать в следующей версии, либо под видом “новых, уникальных” возможностей подается всё то что уже реализовано в аналогичных решениях .  “У вендора A тоже появился IPS. У вендора Б межсетевой экран теперь умеет DLP”. Такие вебинары слушать не очень интересно. Достаточно знать что у такого то вендора есть такие-то типы решений, а детали быстрее посмотреть в документации.
·        Представление комплекса решений для крупной задачи. Предполагается что докладчик представляет оптимальный комплекс из нескольких решений для реализации достаточно крупного перечня требуемых мер. Предполагается что как реализовать одно требование одним средством защиты знает каждый, а как реализовать комплекс мер  с минимальными затратами и максимальной отдачей – знает только эксперт, в данном случае докладчик. Если выбор решений грамотно обосновывается, дается описание преимущества над альтернативными решениями и  описание того как разные решения будут эффективно взаимодействовать друг с другом, или хотя бы не мешать друг другу – то такой вебинар послушать будет интересно. Если все обоснование заключается в “это все решения которые мы/наш партнер производим, поэтому комплекс этих решений будет самым лучшим” или “мы работаем только с этими решениями поэтому и предлагаем такой комплекс” – то ценность вебинара резко падает.
·        Практический пример по интеграции двух решений или по внедрению конкретного решения для конкретной задачи. Предполагается что докладчик рассказывает задачу, кратко представляет решения, а дальше показывает как они внедряются или интегрируются по шагам, в подробностях и с примерами настроек – такие вебинары мне нравятся больше всего. Но надо иметь возможность повторно пересмотреть такой вебинар – поэтому запись обязательна.
Не менее важно чтобы докладчик заранее подготовился и выполнил всё аналогичные действия офлайн. Иначе возможны казусы в стиле “упс. хотел вам показать интеграцию с AD. Но видимо сегодня не получится. Пропускаем.”
А ещё меня в этом году удивляли 15-ти минутные вебинары по теме интеграции которые можно выразить следующей  фразой “наша система может интегрироваться с системой X. Там всё очевидно. Хотите знать как – пройдите на наш сайт, возьмите инструкцию и прочитайте”.  С таким подходом можно было и не начинать вебинар, а сказать, что ученикам выдается домашнее задание.
·        Демонстрация интерфейса  решения. В данном типе вебинаров всё сильно зависит от докладчика и от решения. Бывает ПО с гибкими возможностями по настройке и докладчик подробно рассказывает в каких случаях и под какие задачи мы применяем те или иные настройки – в результате получаем мини-обучение и все довольны.  
А бывает и “Вот посмотрите, тут у нас политики, их сотни на любой вкус. Тут у нас диаграммы, окна уведомления об инцидентах – их десятки. Тут у нас отчеты – их тысячи. Тут мы можем интегрироваться с любой системой – сотни готовых коннекторов, а для остальных вы за пару минут напишете свой” – тогда это скучно. Понимаю что быстрее и эффективнее запросить доступ к демо-стенду или развернуть свой и всё посмотреть детально.

Для наглядности опять привожу статистику слов из тем вебинаров
(UPDATE) Убрал из перечня слов фразы "информационная безопасность" и "защита информации", потому что они были в названии каждой темы и в итоге эти слова закрывали все остальные в "облаке слов"



И на английском




И как обычно пожелание орг-ам - в этом году больше качественных и интересных вебинаров.


понедельник, 13 января 2014 г.

СОИБ. Проектирование. (де) Централизованный доступ в Интернет

Регулярно сталкиваюсь с вопросом, о том необходимо ли в крупной распределенной компании реализовывать доступ в сеть Интернет через единую  точку / центральный офис.

В случае централизованного доступа, трафик из удаленных офисов и подразделений через VPN направляется в центральный офис (ЦОД), далее попадает в блок взаимодействия с внешними сетями и выходит в сеть Интернет. Такой вариант позволяет контролировать все взаимодействие с внешними сетями в одной точке (или двух для отказоустойчивости). 
Именно в этой точке можно установить продвинутый межсетевой экран (NGFW), систему обнаружения и предотвращения вторжений (IPS), систему фильтрации электронной почты (SMG) и систему предотвращения утечек информации (DLP).Кстати про варианты (NGFW или FW+SWG) защиты взаимодействия с сетью Интернет я уже писал в одной из предыдущих статей.




В случае децентрализованного доступа каждый офис напрямую взаимодействует с сетью Интернет и подвержен связанными с эти всевозможным угрозам: целевые атаки, заражение вредоносным ПО, утечки информации, скрытое управление и наблюдения со стороны АНБ и угрозы связанные с другими несанкционированными действиями. Поэтому в каждом подразделении должен применяться комплекс мер защиты аналогичный, развернутому в центральном офисе. Это было бы неподъёмным вариантом, если бы не придумали специальные устройство UTM, совмещающее в себе все приведенные выше функции – FW, IPS, VPN, SWG, SMG, DLP.

Правда, чтобы все эти функции заработали на небольшом устройстве в удаленном офисе, они упрощаются (уменьшается количество сигнатур, поддерживаемых протоколов) либо настраиваются так, чтобы были задействованы только выборочно несколько функций.  Но обычно есть возможность корректно настроить устройства чтобы в наиболее опасных направлениях была более глубока защита.
Кстати иногда UTMы используются и при централизованном доступе в Интернет и в таком случае направлены на защиту от внутренних угроз в корпоративной сети.

Если провести сравнение этих вариантов, то кратко можно выделить следующие преимущества централизованного варианта доступа в Интернет:
·       Единая точка контроля взаимодействия со внешними сетями, а значит более надежный и простой контроль
·       Меньшие затраты на управление (в данном случае 1 шлюз DLP, а не 50 шлюзов DLP)
·       Меньшие затраты на мониторинг и анализ инцидентов (в данном случае события поступают от 3-5 источников, а не от 50)

Преимущества децентрализованного варианта доступа в Интернет:
·       Независимость от доступности одного-двух офисов
·       Экономия трафика (так как в случае централизованного доступа, трафик из удаленных офисов оплачивается дважды – в центральном офисе для этого должны быть предусмотрены каналы более высокой пропускной способности)
·       Большие возможности для делегирования обязанностей по управлению в удаленные  офисы.

В итоге приведу свое мнение: централизованный вариант доступа в сеть Интернет мне представляется более правильным – более защищенным, управляемым, масштабируемым.  Исключения возможны в следующих ситуациях:
·       В удаленных офисах / подразделения имеются группы администраторов, которых нельзя уволить, а надо обязательно чем-то загрузить. Почему бы не загрузить их управлением и контролем доступа в Интернет и разгрузить администраторов центрального офиса.
·       Удаленные офисы / подразделения – это частично независимые компании. Возможно они будут отделены или выйдут из подчинения головной компании в будущем, поэтому необходимо сохранить у них возможность автономной работы и все собственные сервисы.

PS: приведу цитаты определений некоторых терминов из перечня терминов Gartner
Unified threat management (UTM) is a converged platform of point security products, particularly suited to small and midsize businesses (SMBs). Typical feature sets fall into three main subsets, all within the UTM: firewall/intrusion prevention system (IPS)/virtual private network, secure Web gateway security (URL filtering, Web antivirus [AV]) and messaging security (anti-spam, mail AV).

Next-generation firewalls (NGFWs) are deep-packet inspection firewalls that move beyond port/protocol inspection and blocking to add application-level inspection, intrusion prevention, and bringing intelligence from outside the firewall. An NGFW should not be confused with a stand-alone network intrusion prevention system (IPS), which includes a commodity or nonenterprise firewall, or a firewall and IPS in the same appliance that are not closely integrated.

Secure Web gateway (SWG) solutions protect Web-surfing PCs from infection and enforce company policies. A secure Web gateway is a solution that filters unwanted software/malware from user-initiated Web/Internet traffic and enforces corporate and regulatory policy compliance. These gateways must, at a minimum, include URL filtering, malicious-code detection and filtering, and application controls for popular Web-based applications, such as instant messaging (IM) and Skype. Native or integrated data leak prevention is also increasingly included.

Data loss protection (DLP) describes a set of technologies and inspection techniques used to classify information content contained within an object — such as a file, email, packet, application or data store — while at rest (in storage), in use (during an operation) or in transit (across a network). DLP tools are also have the ability to dynamically apply a policy — such as log, report, classify, relocate, tag and encrypt — and/or apply enterprise data rights management protections.

PPS: Диаграммы из аналитика  Gartner по NGFW и SWG я приводил в одной из предыдущих статей. А диаграмму по UTM привожу ниже: