Сообщения

Сообщения за сентябрь, 2014

СОИБ. Анализ. Пентест н-надо?

В последние 3 месяца мы наблюдаем растянутую во времени публичную дискуссию про пентесты. Вот эта история: 1. Очередной виток начал известный блогер , рассказав как одна компания-пентестер обманула ввела в заблуждение заказчика, а именно: был проведен пентест, который показал, что система защищена, а через неделю после окончания работ в системе была обнаружена критическая уязвимость, посредством которой она была вероятно взломана. В результате были подняты вопросы: ·         А нужен ли пентест вообще на таких условиях? Он не гарантирует что отсутствуют уязвимости, он не гарантирует что система защищена. ·         Может ли компания пентестер предложить что-то полезное заказчику? 2. Продолжил тему один пентестер на вебинаре RISC “ Тестирование на проникновение: задача, решение и ограничения”, который дал определение пентеста, указал ограничения,  условия и разъяснил многие моменты из своего опыта пентеста. С моей точки зрения там было дано достаточно полное, прави

СОИБ. Анализ. Применение компенсирующих мер защиты информации. Часть 2

Продолжение предыдущей статьи по применению компенсирующих мер, на примере  УПД.17 “Обеспечение доверенной загрузки средств вычислительной техники”. Для реализации данного требования для условной ИС должна “ осуществляться доверенная загрузка …, реализованные на основе программно-аппаратного модуля ” (далее для данной меры будем использовать обозначение – электронный замок). По каждому пункту будет несколько вариантов из которых необходимо выбрать один или несколько наиболее подходящих для вашей ситуации. 3. Описание содержания компенсирующих мер защиты информации. ·         Шифрование дисков . Решение требует ввести пароль до загрузки ОС и далее расшифровывает на лету. Как правило, это программное решение, позволяющее кроме шифрования выполнять ещё ряд функций ( Endpoint Protection ). Но в связи с требованиями ФСБР к сертификации данных решений, выбор существенно снижается. ·         Шифрование файлов/папок.   Аналогично предыдущему варианту, но шифруются только файлы и

СЗПДн. Анализ. Приказ ФСБ по обеспечению безопасности ПДн

Коллеги-блогеры (Алексей Лукацкий и Александр Бондаренко) сегодня обратили внимание что в Минюсте опубликован новый приказ ФСБ " Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности " Документ фактически не поменялся в сравнении с проектом, который неоднократно обсуждался в блогах. Сводную таблицу с перечнем мер для разных уровней защищенности уже выкладывал Андрей Прозоров , а теперь Александр Бондаренко . Есть пару моментов, на которые хотелось бы отдельно обратить внимание: 1.       Несмотря на то, что приказ “определяет состав и содержание организационных и технических мер по обеспечению безопасности персональных данных ….

СОИБ. Анализ. Применение компенсирующих мер защиты информации

Как вы наверное знаете, на этапах адаптации базового набора мер защиты информации или уточнения адаптированного базового набора мер защиты информации могут разрабатываться иные ( компенсирующие ) меры защиты информации, обеспечивающие адекватное блокирование (нейтрализацию) угроз безопасности информации. В методическом документе ФСТЭК России “Меры защиты информации в государственных информационных системах” есть некоторые пояснения по поводу применения компенсирующих мер, следуя которым необходимо провести и документально зафиксировать обоснование. Попробуем подготовить его для одного примера. Пусть у нас класс ИС = K 1 или УЗ1. Рассмотрим требование УПД.17 “Обеспечение доверенной загрузки средств вычислительной техники”. Для реализации данного требование должна “ осуществляться доверенная загрузка …, реализованные на основе программно-аппаратного модуля ” (далее для данной меры будем использовать обозначение – электронный замок). Далее, по каждому пункту будет нескольк