понедельник, 28 апреля 2014 г.

Общее. Правила ассоциаций поИБ

Вредные советы для организаторов ассоциаций поИБ:
·        Если вам надоело или стало казаться не солидным выступление на конференциях/семинарах от имени компании-работодателя, заведите себе ассоциацию и подписывайтесь “Председатель правления ...”
·        Сразу же включайте в совет/ экспертный совет вашей ассоциации всех общепризнанных экспертов, и так состоящих во всех ассоциациях (правда эксперт состоящий в 5 ассоциациях ничего кроме "состоять" уже не может, но нас это не пугает), не забудете всех регуляторов. Это будет привлекать в ассоциацию обычных новых членов независимо от целей создания ассоциации, стоимости и условий участия
·        Если вам нужно выжать из определенной ниши всех мелких конкурентов – просто создайте ассоциацию с серьезными вступительными взносами. Кроме сбора взносов ассоциация может ничего не делать, ведь основную её цель – смотри в начале абзаца
·        Если вам нужно продвигать / продавать определенную группу товаров, просто создайте ассоциацию которая будет это делать. Про цель её создания можно никому ничего не говорить. Достаточно включать в члены ассоциации тех, кто сам того не осознавая, будет способствовать достижению этой цели и изгонять/игнорировать тех кто мешает
·        В усиление предыдущей цели ассоциации необходимо выпускать журнал для продвижения / продаж определенной группы товаров. В области ИБ такая нехватка изданий, что обязательно найдутся бедолаги, которые готовы публиковаться в любом возможном. И даже приплачивать будут. Ещё можно удачно нанять главного редактора, который будет так умело отбирать материалы,  что реклама вашего товара на их фоне покажется неплохим чтивом
·        Если вы обнаружили интересный закон / методический / руководящий документ / стандарт нужно срочно создать ассоциацию пользователей этого документа. Если не открыть всем глаза – то воспользоваться документом могут не по назначению. А ещё некоторые могут забыть что это вы первыми правильно прочитали документ – уж это совсем недопустимо
·        Если вы создаете ассоциацию для общения и обмена опытом – проводите встречи раз в год или реже. Всё равно у членов нет другой альтернативы – будут надеяться, верить и ждать
·        Если вы регулярно встречаетесь в баре с друзьями поИБ – закрепите это хорошее дело документально, создайте ассоциацию и пропишите в уставе еженедельный семинар в баре таком-то
·        Создайте ассоциацию для формирования консолидированного мнения экспертов поИБ и не выпускайте публичных документов чаще чем раз в 5 лет. Не стоит сильно перегружать пользователей
·        Создайте ассоциацию для взаимодействия с регулятором но не пишите регулятору чаще чем раз в 5 лет. Не стоит сильно перегружать регулятора
·        Создавайте ассоциацию для помощи в трудоустройстве поИБ или помощи в поиске кадров поИБ. Без ассоциации тут ни как не обойтись – а кадровые агенства, сайты, социальные сети и личные знакомства – пользы от них ноль.
·        Создайте ассоциацию для провижения законодательных инициатив поИБ. Говорить каких именно инициатив необязательно – пусть это будет для членов приятным сюрпризом


пятница, 18 апреля 2014 г.

Общее. Ещё одна проблема двух регуляторов ИБ

На этой неделе коллеги говорили о проблемах, которые есть у нас из-за присутствия двух регуляторов (ФСБ и ФСТЭК) в области ИБ, интересы и требования которых пересекаются и местами противоречат для некоторых областей: например в защите ПДн, АСУТП.

Алексей Лукацкий привел аргументы к тому, что ФСБ Р не справляется с обязанностями регулятора, а там где регулирует – делает это неадекватно (не учитывая проблем пользователей и производителей)

Артем Агеев заметил что регулирование в области ИБ вообще досталось ФСБ Р случайно и необходимо передать эти полномочия ФСТЭКу. Пока же ФСБ Р скорее использует свои полномочия для давления на бизнес, чем повышает уровень ИБ.

Приведу ещё одну проблему двух регуляторов, которая постоянно всплывает у меня на практике реализации проектов по ИБ.
Очень часто в одном сетевом средстве защиты совмещаются функции МЭ и VPN. Наверное нет такого МЭ который не включал бы функций VPN и наоборот криптошлюза, который не считал бы себя МЭ. Причем, это справедливо и для средств защиты узлов – персональный МЭ + клиент VPN в одном клиентском ПО.
Если следить за тенденциями, то можно сказать что современное сетевое СЗИ может включать в себя десятки функций (МЭ, СОВ, VPN, SSL VPN, DLP, URL-фильтрация, АВЗ на уровне сети, контроль приложений, antiDDoS и т.п.). Но мы будем говорить о двух: МЭ и VPN. Решения всех производителей, с которыми мне приходится работать, могут совмещать эти функции.

Производителям приходится по сертифицировать СЗИ, чтобы заказчики могли его использовать для выполнения требований Регуляторов. Но одно это решение приходится сертифицировать одновременно по требованиям разных Регуляторов, в разных испытательных лабораториях с разными органами сертификации, по разным процедурам, которые занимают разное количество времени. 
А ещё в рамках сертификации может понадобиться внести изменения в ПО. По линии ФСТЭК одни изменения, по линии ФСБ другие изменения. В результате имеем разные версии сертифицированных СЗИ.
В одном месте быстрое окончание сертификации, в другом задержка на бесконечное время. А там где задержка – потом оказывается нужны изменения.

В итоге на рынке почти отсутствуют СЗИ, конкретный экземпляр которого был бы сертифицирован одновременно в ФСБ и в ФСТЭК. Примеры из наиболее популярных:
·        Vipnet. Сертифицированы разные сборки. ФСБ - 3.2.9.13755. ФСТЭК - 3.2.10.15393
·        С-терра CSP VPN. Подали на сертификацию версию 3.11 примерно в одно время двум регуляторам. По ФСБ сертификат получен год назад, и недавно  получен и на версию 4.1. А сертификата ФСТЭК на 3.11 всё нет.
·        Stonegate. Сертифицированы разные сборки. ФСБ – 5.3.11. ФСТЭК – 5.3.7. При этом продаются уже и версии 5.6

В проектах приходится ставить 2 комплекта одинаковых железок. Один чтобы выполнить требования ФСТЭК, другой для ФСБ.

А с персональными МЭ+VPN ещё хуже. Нельзя поставить на одну систему 2 разные версии ПО. Приходится ставить персональный МЭ и клиент VPN от разных вендоров, котоыре ещё и конфликтовать начинают. 
Всё это печально = затраты в 2 раза больше, сроки растягиваются, ограничения сразу двух формуляров выполнять сложнее.

А вы что думаете на счет проблемы двух регуляторов? Может поддержать инициативу РОИ и передать полномочия регулирования СКЗИ от ФСБ к ФСТЭК?

вторник, 8 апреля 2014 г.

СОИБ. Анализ. СЗИ, не поддерживаемые производителем

07 апреля 2014 г. ФСТЭК России опубликовала информационное сообщение по поводу сертифицированной версии Windows XP в условиях окончания поддержки производителем. Давайте подробнее посмотрим на информационное сообщение, так как по другим СЗИ ФСТЭК нас не балует публичными письмами, давайте разберем это поподробнее.

Во-первых, ФСТЭК Р отмечает следующие факты:
·        Производителем прекращена поддержка и выпуск обновлений для ОС Windows XP
·        В большом количестве государственных органов и обычных организаций сертифицированная ОС Windows XP применяется для защиты информации ограниченного доступа
·        Имеются серии ОС Windows XP, сертификат соответствия которых ещё действует
·        Производители сертифицированных серий и пользователи ОС Windows XP обращаются за продлением сертификатов и ФСТЭК планирует продлевать до 2016 года (но с ограничениями)
·        Сохранение тенденции по обнаружению уязвимостей в комбинации с отсутствием патчей приведут в существенному повышению вероятности реализации ряда угроз  -> к их актуальности

Во-вторых ФСТЭК Р считает, что:
·        новая аттестация ИС, в которой серт. ОС Windows XP используется в качестве меры  защиты – возможна. Но, обязательна новая модель угроз и применение дополнительных мер защиты
·        для действующих аттестатов – переаттестация не требуется. Но, необходимо применение дополнительных мер защиты и их аттестационные испытания (а что если не пройдут испытания? аттестат теряет силу?)

В-третьих, ФСТЭК Р рекомендует спланировать и провести мероприятия по переходу на другие СЗИ до декабря 2016 г. В числе рекомендуемых мероприятий – выделение ОС Windows XP в отдельные сегменты и защита периметра этих сегментов с применением средств антивирусной защиты, средств обнаружения вторжений, DLP систем, средств  управления потоками информации; периодический анализ уязвимостей, контроль целостности. Кроме того рекомендуется  ряд организационных мероприятий – они понятные и разумные.

На недавнем семинаре по защите ПДн заказчики задавали мне вопросы на ту же тему, но по другим СЗИ (например, сертифицированный МЭ Cisco PIX, который EOL). Да и с той же Windows XP – ФСТЭК Р рассматривает только сертифицированные ОС, применяемые в качестве меры защиты. А как на счет просто ОС, применяемых в ИС?

Было бы замечательно, если бы ФСТЭК продолжила тему с информационными письмами или методическими документами, разъясняющими те или иные проблемы.


Если обобщить, то ниже все вопросы по данной теме  (по старой доброй традиции к каждому вопросу регулятору привожу свой вариант ответа):
1.      Возможно ли при создании системы защиты информации ограниченного доступа, выбирать СЗИ, на которое имеется действующий сертификат,  но без технической поддержки от производителя (ТП не оказывается производителем в принципе или ТП не приобретена организацией)
Мой вариант ответа: Можно, так как в составе требований безопасности информации – отсутствуют требования по наличию действующей ТП на СЗИ. Но при моделировании угроз и выборе контрмер отсутствие ТП необходимо учитывать, а следовательно при создании системы защиты информации необходимо собирать информацию, об имеющихся лицензиях и ТП. По моим оценкам стоимость дополнительных мер будет выше стоимости ТП.

2.      Возможно ли при создании системы защиты информации ограниченного доступа, выбирать СЗИ, на которое имеется действующий сертификат, но для которого нарушаются лицензионные права (срок прав использования закончился, количество СЗИ не соответствует лицензии, другие нарушения лицензионных условий
Мой вариант ответа: Выбирать можно, а использовать нельзя, так как нарушается смежное законодательство. Следовательно при создании системы защиты информации необходимо собирать информацию о имеющихся лицензиях и ТП

3.      Возможно ли при создании системы защиты информации ограниченного доступа, выбирать СЗИ, на которое закончился срок действия сертификата?
Мой вариант ответа: Можно выбирать и использовать, если в организации уже имеются данные СЗИ, так как в составе требований безопасности информации – отсутствуют ограничения на подобные решения. В соответствии с ПП №608 и Положением ФСТЭК №119 о сертификации СЗИ единственное требование при окончании срока действия сертификата – прекращение их реализации изготовителем.

4.      Возможно ли при создании системы защиты информации ограниченного доступа, выбор сертифицированных СЗИ, которые устанавливаются на ОС или встраиваются в ПО, если на ОС или ПО отсутствует ТП от производителя?
Мой вариант ответа: Можно, так как в составе требований безопасности информации – отсутствуют требования по наличию действующей ТП на ОС или ПО. Но при моделировании угроз и выборе контрмер отсутствие ТП необходимо учитывать, а следовательно при создании системы защиты информации необходимо собирать информацию, об имеющихся лицензиях и ТП. По моим оценкам стоимость дополнительных мер будет выше стоимости ТП.

5.      Возможно ли при создании системы защиты информации ограниченного доступа, выбор сертифицированных СЗИ, которые устанавливаются на ОС или встраиваются в ПО,  если для ОС или ПО нарушаются лицензионные права производителя?
Мой вариант ответа: Можно, так как в составе требований безопасности информации – отсутствуют требования по необходимости соблюдения лицензионных прав на ОС или ПО. Создание самой ИС выпадает из области регулирования ФСТЭК Р. Но при моделировании угроз и выборе контрмер отсутствие лицензионных прав необходимо учитывать, а следовательно при создании системы защиты информации необходимо собирать информацию, об имеющихся лицензиях и ТП. По моим оценкам стоимость дополнительных мер может быть выше стоимости лицензий на ОС и ПО.

6.      Должны ли в процессе оценки эффективности или аттестации системы защиты информации ограниченного доступа, учитываться наличие действующей ТП на СЗИ, соблюдение лицензионных прав производителей СЗИ, действие сертификата СЗИ, наличие действующей ТП на ОС и ПО в составе ИС, соблюдение лицензионных прав производителя ОС и ПО в составе ИС?  Может ли на основании отсутствия ТП или нарушения лицензионных прав или истечения срока действия сертификата быть принято решение о несоответствии системы защиты информации требованиям безопасности информации?
Мой вариант ответа: Так как в составе требований безопасности информации отсутствуют требования к наличию ТП, соблюдению лицензионных прав и срокам действия сертификата то нет оснований для принятия решения о несоответствии ....
Исключение – если орган по аттестации по своей инициативе включит данные проверки в методику аттестационных испытаний и согласует её с заказчиком (в соответствии с ГОСТ РО 0043-003-2012).

7.      Обязанности владельца или оператора системы защиты информации при истечении срока действия сертификата СЗИ, истечении срока действия ТП, обнаружении нарушения лицензионных прав?
Мой вариант ответа: В связи с окончанием срока действия сертификата СЗИ обязанностей нет.
В связи с окончанием срока действия ТП или обнаружения нарушения лицензионных прав в рамках аттестованной ИС -> изменение условий обработки информации / изменение актуальности угроз -> необходимо известить орган по аттестации –> орган по аттестации проводит дополнительные проверки эффективности системы защиты (в соответствии с ГОСТ РО 0043-003-2012)
Для аттестованной распределенной ИС в аналогичных условиях требуется повторная аттестация (в соответствии с ГОСТ РО 0043-004-2013)
Для остальных ИС в связи с окончанием срока действия ТП или обнаружения нарушения лицензионных прав требуется пересмотреть модель угроз, состав контрмер и внедрить дополнительные меры.

Данные вопросы отправляю в ФСТЭК Р и поделюсь с вами официальными ответами.

PS: Для определенных сертифицированных СЗИ в формуляре или правилах использования могут быть указаны требования по наличию ТП или соблюдению лицензионных прав. Их надо учитывать и выполнять.


PPS: Товарищи эксперты, не факт что ФСТЭК Р сможет ответить на вопросы, поэтому приветствуется и ваше аргументированное мнение по данным вопросам

среда, 2 апреля 2014 г.

СОИБ. Общее. Обеспечение доступности публичных сервисов и порталов

В последний год обычной практикой стало сопровождение любого экономического, политического, социального кризиса кибератаками. Ответственность для участников кибер атак фактически отсутствует, а ущерб может быть нанесен весьма значительный.
И чаше всего такие атаки проводятся в виде распределенных DDoS-атак,  на публичные бизнес-сервисы и интернет-порталы, так как результаты видны публично (их нельзя скрыть) и урон наносится максимально широкому кругу пользователей.
За последний месяц зафиксированы атаки на:
·        Сайт и онлайн сервисы ВТБ-24 (банк, имеющий дочерние компании на Украине), в том числе торговая система Online Broker
·        Сайт и онлайн сервисы Альфа-банка (банк, имеющий дочерние компании на Украине)

ФСТЭК Р в последних документах по ГИС и АСУ включил меру защиты ЗИС.22 “Защита автоматизированной системы управления от угроз безопасности информации, направленных на отказ в обслуживании” в число обязательных.

Многие вендоры и поставщики услуг по защите от DDoS начали предлагать решения по “спасению утопающих”. Например,

Интегратор Микротест совместно с ArborNetworks, мировом лидер на рынке защиты от DDoS-атак, и крупнейшим в России оператором связи Ростелеком-ом, проводят 9-ого апреля семинар по защите от DDoS, в котором поделятся опытом защиты российских компаний, проблемами и решениями.



вторник, 1 апреля 2014 г.

Юмор. Системы генерации защищенности

В последнее время большую популярность приобрели решения по анализу защищенности информационных систем, корпоративных сетей, web приложений, баз данных и т.п. Такие решения требуются в связи с законодательством РФ для защиты ИСПДн, ГИС, АСУ а также для уменьшения наиболее критических рисков. Можно сказать, что системы анализа защищенности, прошли долгий путь в 17 лет и как межсетевые экраны применяются почти во всех компаниях.

Первое время такие системы имели возможности только по внешнему анализу защищенности, методом “черного ящика”, когда проверяемое приложение уже введено в эксплуатацию. Назовем их системами первого поколения.

Год-полтора назад на российском рынке стали активно продвигаться 3 решения второго поколения, имеющие возможности анализа защищенности исходных кодов приложений и сервисов:  InfoWatch APPERCUT, ERPScan CheckCode, FortifyStatic Code Analyzer. Данные системы можно было применять сразу после окончания разработки приложения или сервиса и тем самым подняли планку защищенности систем ещё выше, но развитие на этом не закончилось.

Следующим шагом (третье поколение) стало внедрение в системы анализа защищенности - средств автоматизации безопасной разработки (Secure Development LifeCycles, SDLC). Таким образом разработчики приложений получили анализ защищенности кода в режиме реального времени при написании кода, возможность автокорректировки кода и автоматической генерации блоков заведомо безопасного кода.

Новым этапом (четвертое поколение систем) стало появление возможности генерации защищенного приложения по заранее заданным характеристикам. Такие системы анализа (генерации защищенности) необходимы чтобы избежать человеческих ошибок при разработке кода приложения.

Начали это поколение Microsoft, а остальные игроки на рынке анализа защищенности поддержали. Так ребята из DSec, в новой версии ERPScan добавили возможность генерации защищенных приложений SAP на языке ABAP, подготовили новый продукт DBOScan для генерации защищенных систем дистанционного банковского обслуживания и уже более года пытаются согласовать и пропихнуть стандарт по безопасной генерации ДБО.

Коллеги HP Fortify пошли немного по другому пути и выпустили модуль Runtime, позволяющий в любом запускаемом вами приложении на лету подменить уязвимый код на защищенный. "Из Г сделаем конфетку"

Жирную точку в этой гонке поставили разработчики из Infowatch совместившие возможности по анализу и генерации кода Appercute и мониторинга персон и репутации Kribrum. Новая система Krapper (пятое поколение) позволяет генерировать для каждого пользователя индивидуальное защищенное приложение в соответствии с его интересами, а по окончании сеанса уничтожать его (отсюда и название). . В специфике пользователей учтена их активность в социальных сетях, блогах, форумах. Для самых активных пользователей встроена возможность поделится данными и фотографиями. 
Проблемы хакеров решены по-умолчанию. Вместо того чтобы скрывать от них информации, система генерирует новое приложение в зависимости от интересов хакеров. И хакеры довольны и корпоративная информация цела.

Вот такой получился краткий обзор пяти поколений систем. Теперь вам решать – сканировать или генерировать защищенность.