Сообщения

Сообщения за 2015

СОИБ. Анализ. 10 лучших практик по ИБ для Гос

Примерно месяц назад довелось выступить на совете ИБ правительства одной из республик. Дали всего 15 минут, при этом надо было рассказать что-то интересное в дополнение к выступлениям местных ФСТЭК и ФСБ. Решил сделать в виде 10 лучших практик / советов на основе опыта компании в работах с Гос. Выкладываю презентацию тут – возможно для кого-то будет полезной. 10 лучших практик иб для гос from Sergey Borisov

СОИБ. Исследования. Безопасность top 100 интернет-банков (DSec) и Экспертная оценка потерь от мошенничества (Джет)

Изображение
За последнюю неделю российские ИБ компании опубликовали 2 интересных отчета: “ Безопасность веб-ресурсов банков России ” от Digital Security и “ Экспертная оценка годовых потерь от мошенничества ” от Инфосистем Джет. Посмотрим на наиболее интересные моменты этих исследований. 1. Исследование от DSec было достаточно простым: взяли доменные имена интернет-банков топ 100 банков России и не уведомляя владельцев провели простейшие проверки, связанные настройками web серверов и dns . Подобные проверки может провести любой исследователь запуская публично доступные утилиты типа qualys ssl server test  100 раз. Но что мне понравилось в этом отчете: подробно и грамотно были описаны проверяемые параметры и возможные последствия от неправильной настройки. Подача информации в такой форме понятна неспециалисту по ИБ и может быть использована оператором web сервисов. Это я считаю основным достижением исследования и его отличием от других подобных исследований как тут и тут . В

СЗПДн. Законодательство. Изменение Уведомления РКН об обработке ПДн

Изображение
Роскомнадзор наконец выпустил долгожданный приказ о внесении изменений в административный регламент РКН поведению реестра операторов ПДн . Изменения 152-ФЗ, требующие указывать местонахождение БД с ПДн вступили в силу летом текущего года, и Роскомнадзор уже требовал с операторов указывать эти данные в уведомлении. А вот какие именно данные надо указывать и в каком именно месте уведомления – ответа не было. Новый приказ решает эти проблемы – поменялась форма уведомления в бумажном и электронном виде .  С бумажной формой все просто. Добавилось 2 строчки в которых нужно указать: страну, адрес местонахождения БД, наименование ИС (базы данных). А вот на операторов, решившие отправить уведомление в электронной форме берут на себя большую нагрузку: ·          Помимо адреса БД, нужно указать - собственность ЦОДа, сведения об организации ответственно за хранение данных ·          Помимо общей информации, теперь нужно указывать большое количество характеристик (кат

СЗПДн. Культура эксплуатации ИСПДн и СЗПДн

Изображение
Регулярно сталкиваюсь с ситуацией, когда в организации проведены работы по организации обработки и защиты ПДн, создании СЗПДн в соответствии с требованиями законодательства, но через некоторое время система защиты теряет эффективность, разработанные документы не выполняются, появляются несоответствия требованиям. Иногда это связано с отношением организаций к проектам compliance (соответствия требованиям законодательства) как к разовым, которые можно выполнять раз в три года и в промежутках забывать о них. Иногда у организации создается впечатление что требования невозможно выполнить и выполнять постоянно, поэтому основной акцент делается на подготовку к проверкам регуляторов – compliance на время проверки. По-моему мнению, требования законодательства в сфере обработки и защиты ПДн несложные, их можно выполнить и обеспечить  их  выполнение  постоянно. Даже если относится к процессам управления безопасностью ПДн как к циклическим "Планирование-реализация-проверка-со

Общее. New generation решения Кода Безопасности

Изображение
       19 ноября 2015 прошла lite пресс-конференция Кода Безопасности “Трансформация ИБ-решений в российских реалиях” В начале Конференции представитель TAdviser рассказал о том, что в 2015 г. рост рынка ИБ составит 0%, при этом закупать импортное ПО поИБ меньше не стали, а к 2018 г. существенно снизится роль бумажной безопасности. Продолжил развивать эту мысль Андрей Голов, генеральный директор КБ, который пообещал, что к 2018 г. решения Кода Безопасности будут отличатся в первую очередь функциональными возможностями и удобством, а во вторую уже сертификатами. У КБ есть инвестиции от заказчиков покрывающие 100% стоимости будущих разработок, но обязательное условие – обеспечить функциональность и качество на уровне западных решений. Подтверждают движение КБ в этом направлении следующие этапы: технологическое партнерство с ESET и анонс двух next generation решений Secret Net Studio и СОВ Континент 4.0. Далее показали новые интерфейсы Secret Net Studio,

СОИБ. Анализ. Почему классические российские производители СЗИ не торопятся с сертификацией?

Изображение
Есть ряд классических российских производителей СЗИ, которые плотно работают регуляторами и выводят на рынок свои технические решения только после окончания сертификации. Но бывают и в этом механизме и сбои. Вот несколько примеров. Пример 1. Решения по межсетевому экранированию и криптографической защите семейства ViPNet CUSTOM . Данные СЗИ обычно славились высокими классами защиты и маленькими ограничениями сертифицированных версий и завоевали большую популярность - используются многими коммерческими компаниями для защиты ПДн, используются, наверное, во всех Гос-ах. В некотором приближении можно сказать что решением ViPNet пользуется полстраны и эти полстраны сейчас страдают – в последней сертифицированной версии 3.2 отсутствует поддержка современных ОС: Windows 8, 8.1, 10, 2012 Server . А между тем Microsoft уже закончила основную поддержку ОС Windows Vista и 7, на которых ещё работает ViPNet . Версия ViPNet 4.0 была анонсирована аж 2012 году. С тех пор разраб

СОИБ. Лучшие практики. 20 наиболее важных мер ИБ от CIS

Изображение
Как-то я пропустил момент , когда Twenty Critical Security Controls for Effective Cyber Defense или Top 20 от SANS превратился в The Center for Internet Security (CIS) Critical Security Controls for Effective Cyber Defense. Произошло это между версиями 4.1 и 5. Далее для повышения эффективности объединились некоммерческие организации Council on CyberSecurity ( CCS ) и the Center for Internet Security ( CIS ). А октябре 2015 года вышла уже версия 6.0 Принципы и основная структура документа не изменились. Подробности о них можно почитать одной из предыдущих статей этого блога . Давайте посмотрим, что существенного изменилось : •         Убрали категорирование подконтролей по сложности и цели ( Quick wins , Visiblity , Improved, Advanced) •         Добавили категорирование подконтролей по области защиты: System , Network , Application •         Существенно повысили приоритет меры “контролируемое использование административных привилегий” ( Controlled Use of A

Общее. Лукакратия на ИБ-мероприятиях

В своей статье Алексей Лукацкий поделился опытом интерактива со слушателями на одной из недавних конференций и вовлечением их в выбор темы пленарной дискуссии. В этой же статье он предлагает всем спикерам брать эту идею на вооружение - готовить по несколько докладов и давать выбор аудитории. Выглядит это небольшим издевательством. Если бы в доступе организаторов мероприятий было 30-50 Алексеев Лукацких. К сожалению, это не так. Им удается заполучить максимум одного, и то с трудом.  Там, где у А.Л. подготовка выступления занимает 2-3 часа в ночь перед мероприятием, у других спикеров на подготовку качественного контента уходит несколько дней, а то и недель. Тратить в 3 раза больше времени, чтобы не терять качество выступлений – оно надо спикеру? Тратить столько же времени, но снижать в три раза качество докладов – оно надо слушателям? Кроме того, есть ограничения – если докладчик спонсор, ему надо отрабатывать бюджет и рассказывать про ходовые решения или услуги, если доклад

СЗПДн. Анализ. Как аттестовать разом все ИСПДн в России

Как вы, наверное, знаете, аттестация по требованиям безопасности информации используется в качестве мероприятия по оценке эффективности системы защиты – для ГИС/МИС в обязательном порядке, а для ИСПДн рекомендован ФСТЭК-ом как единственный стандартизованный вариант оценки эффективности. По факту все государственные и муниципальные учреждения, а также 25% коммерческих компаний проводят оценку эффективности системы защиты в форме аттестации.  Как правило аттестация имеет не маленькую стоимость и связанно это с необходимостью привлечения дополнительных лиц, не участвующих в создании системы (независимость контроля), которым нужно повторно собирать и анализировать всю информацию о ИС и системе защиты. Давайте посмотрим, как можно покончить с аттестацией раз и навсегда (на 3 года) в рамках всей РФ. ГОСТ РО 0043-003-2012: “6.5.3 Для распределенной информационной системы, предназначенной для обработки информации ограниченного доступа, не содержащей сведений, составляющих государст

СЗПДн. Анализ. Сколько раз нужно посчитать сотрудников?

Изображение
Продолжаем цикл не новых, но ещё актуальных проблем – сколько раз и как нужно учесть сотрудников, участвующих в обработке ПДн?   Давайте посмотрим как это нужно делать в государственных и муниципальных учреждениях, в соответствии с ПП 221 : “б) утверждают актом руководителя государственного или муниципального органа следующие документы: перечень должностей служащих государственного или муниципального органа, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;” Акт – это скорее всего приказ.  Определяем сотрудников, работающих с ПДн, формируем перечень их должностей – скорее всего делать нужно будет 1 раз, далее он будет меняться редко, скорее при изменении орг. структуры. Непонятно почему осуществление доступа отделили от обработки ПДн? В соответствии с 152-ФЗ доступ – это один из видов обработки ПДн, а точнее один из видов передачи ПДн. Давайте посмотрим, что по этому поводу в ПП 11

СОИБ. Анализ. Суммы хищений от успешных атак

Изображение
Компания Group-IB, одна из ведущих международных компаний по предотвращению и расследованию киберпреступлений и мошенничеств с использованием высоких технологий, ежегодно выпускает аналитические отчеты о тенденциях развития высокотехнологичных преступлений. В этом году полная версия отчета платная , её можно приобрести за 49 000 руб. Отчеты как правило интересны своими оценками рынка высокотехнологичных преступлений. Давайте посмотрим какие интересные данные можно подчерпнуть из публично доступной информации за этот год и прошлогодних отчетов. Основной расчет прост и доступен любому школьнику: берем X (общее число успешных атак в день в России) умножаем на Y (среднюю сумму одного хищения) и умножаем на 249 дней. Итого X * Y *249 . Почему 249?  Ответ в отчете “Хищения могут совершаться исключительно в рабочие дни”.  Правда есть не стыковка: согласно производственному календарю в 2013-2015 г. их 247, а вот 249 было в 2012 году.    Для Юр. Лиц по версии Group I

СЗПДн. Анализ. Низы не могут, верхи не хотят.

Изображение
Летом этого года, в связи с выходом различных комментариев и информационных ресурсов по ПДн от Роскомнадзора несколько экспертов обрушились с жесткой критикой данной Службы: дескать всё неправильно, экспертов не позвали, нельзя РКН ничего комментировать, комментировать можно Минкомсвязи и т.п. В итоге мы получили ситуацию когда оператор, желающий задать регулятору насущные вопросы, например такие: 1) Относится ли обработка анкет кандидатов на работу с вопросом "Имеется ли у вас судимость?" и вариантами ответа "Да" или "Нет" к обработке персональных данных о судимости (часть 3 статьи 10)?  2) Относится ли получение от кандидата на работу "справки об отсутствии судимости" и хранение такой справки в организации к обработке персональных данных о судимости (часть 3 статьи 10)? 3) Относится ли обработка персональных данных о судимости к обработке специальных категорий персональных данных (часть 1 статьи 10)? 4) Относится ли код заболевания,

Общее. Почему в БДУ ФСТЭК нет типов угроз?

Имеет место следующая проблема: никто точно не может сказать, что за такие типы угроз безопасности актуальных для информационной системы и как оператор должен их определить. Но зато последствия от данного определения очень значительны: меняется уровень защищенности, классы сертифицированных СЗИ, минимальный потенциал нарушителя, применяются дополнительные сложные меры защиты и т.п. Вспомним положения законодательства в этой части: ПП 1119 : “6. Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия. Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с налич