четверг, 17 сентября 2015 г.

СОИБ. Выбор мер защиты. Application Security в регионах

Не так давно компания Positive Technologies совместно с дистрибьютором АКСОФТ активно взялись за развитие направления Application Security в регионах – в том числе встречались со специалистами компании РосИнтеграция.

Основная идея – продукты данного направления уже достаточно хорошо отработаны на ключевых заказчиках, вместе с тем в регионах есть потребность в защите приложений, которая ранее не могла быть удовлетворена в виду ограничений или высокой стоимости зарубежных решений (таких как Imperva).

Одно из технических решений направления – межсетевой экран уровня приложений PT Application Firewall. Про решения данного типа у меня есть несколько полезных статей в блоге. Отдельно хотелось обсудить преимущества перед конкурентами, которые выделяет вендор:
·         российский производитель, что соответствует теме импортозамещения и дает уверенность в том, что поставка не попадет под санкции и оборудование прийдет без закладок АНБ
·         сертификация в ФСТЭК на ТУ и НДВ; сертификата пока нет, но успешно завершены испытания в Испытательной лаборатории, завершена проверка результатов испытаний в Органе по сертификации и 28.08 материалы переданы во ФСТЭК – сертификат ждут в ближайшие 2-4 недели (из конкурентов у Imperva есть сертификат на дремучую v 7.5 которая уже не поставляется. текущая 11.5)
·         интеграция нескольких решений между собой — PT Application firewall c PT Application inspector,  PT SIEM и PT multiscanner (у конкурентов из интересных интеграций можно вспомнить только Imperva WAF с DBF)
·         стоимость продуктов зафиксирована в рублях (у зарубежных аналогов скачет из-за привязки к $ или €, из-за чего срываются многие конкурсы и аукционы).

Как раз сейчас идет акция по бесплатному тестированию PT Application firewall

Ещё одно из интересных технических решений – многоядерный антивирусный PT multiscanner. Для использования многоядерных антивирусов есть много аргументов (разные временные зоны вендоров, разные анивирусные вендоры могут иметь более сильную аналитику в определенных областях, один вендор иногда может и пропустить, разработчики вредоносов защищаются от обнаружения TOP 5 антивирусными вендорами в области своей деятельности, но не от всех, и т.п.)

С подобными идеями в 2006-2010 годах активно продвигался Antigen от Sybari / MS, и был достаточно интересен и востребован, но далее скончался в недрах Microsoft. Так что ниша долга оставалась незанятой.  

PT multiscanner Может использоваться в нескольких вариантах:
·         как внутренний сервис для выборочной проверки файлов
·         шлюз для проверки web и почтового трафика
·         сервис для регулярной проверки файловых хранилищ
·         сервис для защиты web приложений (при загрузке на него контента), тут может интегрироваться по ICAP с PT AF

Самое интересное  что на сайте PT нет никакой рускоязычной информации о продукте. Но у меня нашлась брошюра в бумажном виде, фото которой выкладываю в блоге, вдруг кому-то пригодится.







вторник, 15 сентября 2015 г.

Общее. Знатоки блогеров, экспертов и BISA

В предыдущей статье я публиковал приглашение ответить на вопросы по экспертам BISA и персонам BIS Summit – как правило известных блогеров.  Давайте кратко рассмотрим ответы и подведем итоги.

1. Укажите фамилию спикера BIS Summit 2015, который в свое время сделал форк известного опенсорсного сканнера безопасности, зарегистрировал патент на него и публично распространял этот сканнер.
По моей информации, это был Алексей Волков и сканнер ruNmap. Это очень круто иметь такой опыт - помню ещё лет 12 назад заходил на этот сайт и тестировал ruNmap, когда других сканеров кроме nmap толком не было.

Другие ответы: Кришна Раджагопал, Медведовский, Браун. О патентах первого мне ничего не известно. А второй и третий отсутствуют в списке спикеров BISA (к сожалению)

2. Укажите фамилию эксперта и модератора BIS Summit 2015, который в 2008 году писал статьи на тему безопасности биллинговых систем – не совсем на ту тему, на которую мы сейчас привыкли видеть его публикации.
 По моей информации, это был Михаил Емельянников. Я настолько привык последнее время видеть его статьи, вебинары и учебные курсу по консалтингу в области ПДн и КИ, и с удивлением обнаружил что у Михаила был немаленький опыт работы в операторе связи и системном интеграторе при нем и статьи по этой теме.
Другие ответы: Алексей Лукацкий. Ну от него я бы не удивился публикации на любую тему по ИБ.

3. Укажите фамилию известного блогера и эксперта BISA, который любит книги и пишет про них даже больше чем про отдельные темы ИБ
По моей информации, это Андрей Прозоров. В его блоге тэг “book” встречается чаще других тегов.
Все участники опроса с этим согласились.

4. Укажите фамилию модератора BIS Summit 2015, который написал книгу поИБ из 101 части и публиковал её онлайн по одной части
По моей информации, это Алексей Лукацкий и 100 его “Мифов и заблуждений”.  Тут все так-же были единогласны.

5. Укажите ник блогера сообщества BISA, обычно пишущего с юмором и афоризмами, который предостерёг нас на страницах одного из выпусков журнала БДИ! не играть в лейтенанта Коломбо при расследовании нарушений, совершенных Бендером-Задунайским (ещё бы, ведь это персонажи разных произведений)
По моей информации, это Ригель, автор блога Ригельз Дыбр. Его статья.

Другими ответами были: evrodigin и ФИО Ригеля (что не соответствует вопросу). Кстати забавный факт – в свое время Ригель очень возмущался когда кто-то в блогах, форумах или комментариях упоминал его ФИО. Чтож - придется наименовать по нику.  

6. Укажите фамилию спикера BIS Summit 2015, изображенного на следующей фотографии с одного из ранних мероприятий DLP Russia
Тут все однозначно опознали Рустэма Хайретдинова, хотя это и была достаточно старая фотография с DLP Russia 2008.

7. Укажите фамилию блогера сообщества BISA, в начале своей блогерской деятельности активно занимавшегося разоблачением мифов другого эксперта, одного из модераторов BIS Summit 2015
 По моей информации, это Алексей Комаров и его «Разрушители Мифов» на Мифы А. Лукацкого
Другие ответы: Илья Медведовский (к сожалению, не блогер)

8. Говорят что идею Infowatch придумал Игорь Ашманов. Движок какого имеющегося тогда средства защиты предлагалось запустить в обратном направлении?
По моей информации, предлагали запустить движок антиспама Касперского наоборот – искать в исходящей почте ключевые слова и картинки.
Другие ответы: Антивирус Касперского, Бегун.


Всего получено 13 ответов. Часть из них были позже назначенного срока. Троим победителям отправлены промо-коды на онлайн трансляцию BIS Summit: ***@it-enigma-ufa.ru, ***in@gmail.com, ***gl@yandex.ru 

среда, 9 сентября 2015 г.

Общее. Розыгрыш билетов на BIS Summit 2015

18 сентября 2015 года будет проходить конференция BIS Summit 2015, интересная участием в ней большого количество иностранных спикеров, местных экспертов, и наличием онлайн-трансляции, что большая редкость для российских мероприятий.

В предыдущие годы я как раз смотрел онлайн-трансляцию с мероприятия, так как не удавалось выбраться из Краснодара. В этот раз буду на конференции очно, посмотрю на высокий уровень проведения мероприятия, о котором отзываются многие коллеги.

Организаторы BIS Summit 2015 попросили разыграть несколько билетов на просмотр онлайн трансляции для читателей моего блога. В связи с чем я подготовил несколько простых и интересных, на мой взгляд, вопросов по экспертам BISA и персонам BIS Summit.

Приглашаю всех ответить на вопросы по ссылке, получить удовольствие и принять участие в BIS Summit 2015.


Условия конкурса:
·         Всего разыгрывается 3 промо кода – билета на онлайн трансляцию
·         Победители будут выбираться через 3 дня после опубликования данной статьи
·         Победители будут выбираться из числа ответивших правильно (по мнению автора блога sborisov.blogspot.ru) на наибольшее количество вопросов
·         Если количество правильно ответивших будет больше чем билетов, победители будут определяться случайным образом
·         Победители будут выбираться только среди участников, указавших email для получения кода
·         Если вы хотите просто для удовольствия ответить на вопросы, если вам не нужен промо код, просто не указывайте email

PS: Ещё один интересный конкурс с аналогичными призами проводит в своем блоге Алексей Комаров 

четверг, 3 сентября 2015 г.

СОИБ. Анализ. Учить!

В предыдущей статье я отметил что в ряде свежих нормативных документов не уделяется внимания квалификации, повышению осведомленности и обучению ответственных лиц.

Давайте порассуждаем логически – может ли сотрудник, ранее не сталкивавшийся с ПДн, ГИС и СЗИ и не обладающий никаким знаниями в этой теме обеспечивать работоспособность и эффективность системы защиты? Даже если все меры и система защиты создана под ключ консультантом / интегратором? Если ответственные лица не будут знать и уметь, то меры защиты перестанут или даже не начнут работать, документы уйдут в шкаф, а СЗИ мешающие работе будут убраны на полку.

Если кратко то, ответственному за защиту ПДн необходимы как минимум следующие знания и навыки (даже если оператор обращается к интегратору за помощью):
·         знание области действия и основные положения нормативных правовых актов, регламентирующих вопросы обработки и обеспечения безопасности персональных данных (как правило в внутреннем комплекте ОРД отражают основные моменты из нормативных актов, а не дублируют их полностью, так что в некоторых ситуациях нужно обращаться непосредственно к нормативным правовым актам РФ);
·         знание основных видов нарушителей и угроз безопасности персональных данных в информационных системах персональных данных (в соответствии с последними методиками в рабочей группе по определению актуальности нарушителей и угроз обязательно должны быть представители Оператора, зачастую они лучше знают ситуацию на местах чем эксперты консультант);
·         знание мер обеспечения безопасности персональных данных;
·         знание порядка определения состава мер ОБПДн;
·         знание порядка создания ИС / СЗПДн (чтобы нормально принимать работы интегратора, нужно хотя бы примерно понимать типовые этапы работ)
·         знание типов СЗИ и их соответствие требуемым мерам ОБПДн;
·         знание условий и ограничения использования средств защиты информации;
·         ответственным за эксплуатацию СЗИ лицам кроме этого необходимо уметь обнаруживать неработоспособность СЗИ, в журналах СЗИ находить информацию об НСД, добавлять/удалять пользователей, следить за корректностью текущего обновления СЗИ, осуществлять резервное копирование и восстанавливать настроки (переустанавливать без изменения настроек) СЗИ.

Аналогично лицо ответственное за организацию обработки ПДн, лица, допущенные к обработке ПДн и пользователи СЗИ должны обладать определенными минимальными знаниями в области ПДн и защиты информации.

Откуда эти знания могут взяться? Обучение во всех возможных формах: обучение в учебном центре, внутреннее обучение (если есть кому учить), внутренние инструктажи, ознакомление с документами, внутренние информационные рассылки, скринсейверы, автоматизированные системы повышения осведомленности. Не забываем и про проверку знаний во всех формах: тестирование при обучении в УЦ, внутренняя проверка (если есть кому проверить), проверка интегратором при создании системы, проверка аудитором при тестировании защиты, автоматизированные системы тестирования.

Посмотрим всё же на нормативные документы РФ, может быть всё-таки есть обязательные требования, которые надо учитывать при этом (кроме приведенных в предыдущей статье):

152-ФЗ: “Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом
1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться:
6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.”

Постановление Правительства РФ №211:“1. Операторы, являющиеся государственными или муниципальными органами, принимают следующие меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами:
е) осуществляют ознакомление служащих государственного или муниципального органа, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных и (или) организуют обучение указанных служащих;”

Приказ ФСТЭК №17: “Обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы
18.1. В ходе управления (администрирования) системой защиты информации информационной системы осуществляются:
информирование пользователей об угрозах безопасности информации, о правилах эксплуатации системы защиты информации информационной системы и отдельных средств защиты информации, а также их обучение;”

Приказ ФСБ №378: “16. В соответствии с пунктом 14 Требований к защите персональных данных для обеспечения 3 уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 5 настоящего документа, необходимо выполнение требования о назначении должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе.
17. Для выполнения требования, указанного в пункте 16 настоящего документа, необходимо назначение обладающего достаточными навыками должностного лица (работника) оператора ответственным за обеспечение безопасности персональных данных в информационной системе.”

Типовые требования ФСБ России № 149/6/6-622: “2.3. При разработке и реализации мероприятий по организации и обеспечению безопасности персональных данных при их обработке в информационной системе оператор или уполномоченное оператором лицо осуществляет:
обучение лиц, использующих криптосредства, работе с ними;”

ГОСТ Р 51583 – 2014: “АСЗИ - автоматизированная система в защищенном исполнении;
6.13.2 На этапе "Подготовка персонала" проводят:
- обучение персонала АСЗИ и проверку его способности обеспечивать функционирование системы ЗИ и АСЗИ в целом;
- проверку и подготовку специалистов структурного подразделения или должностного лица (работника), ответственных за ЗИ в АСЗИ.”

ГОСТ РО 0043-004-2013 Программа и методики аттестационных испытаний: ”Д.3.5 Проверка уровня подготовки специалистов и распределения ответственности пользователей АС
Проверку проводят на основе следующих показателей:
оценка знания инструкций по безопасности информации пользователями АС;
- наличие системы распределения ответственности пользователей АС за выполнение требований безопасности информации.
На основании опроса пользователей АС проверяют знание ими руководящих документов и инструкций.
Проводят выборочную проверку персонала из каждой категории организационно-штатной структуры АС на предмет владения технологиями безопасной обработки информации и знания соответствующих инструкций.
Проверяют организацию обучения и повышения квалификации пользователей АС.
Проверка считается успешной, если уровень подготовки пользователей АС обеспечивает выполнение требований безопасности информации.”

Как видно требования к обучению и проверке знаний всё-таки имеются. Наиболее логичный шаг – разработать программу обучения, повышения осведомленности пользователей и проверки знаний и реализовывать её с учетом рекомендаций из первой части статьи.


среда, 2 сентября 2015 г.

СОИБ. Анализ. Учить или не учить?



Посмотрим на недавние (недавно обновленные) нормативные документы РФ в области ИБ, такие как 152-ФЗ, 149-ФЗ, Постановление правительства №1119, Приказ ФСТЭК №21 о мерах защиты ПДн, Методические рекомендации ФСТЭК по защите ГИС, Приказ ФСБ №378 о мерах защиты ПДн  - там фактически ничего нет про квалификацию (знания и умения) лиц, ответственных за организацию обработки информации ограниченного доступа (ПДн) или за защиту информации, про проверку и повышение квалификации этих лиц, про необходимость повышения осведомленности и обучения в области информационной безопасности.

Если в приведенных НМД что-то требуется в этой части – это поставить роспись об ознакомлении с комплектом документов. Так можно дворника назначить ответственным за организацию обработки ПДн, вахтера на входе ответственным за защиту информации, вручить им ОРД и не выпускать, пока не поставят 20 подписей. Разве этого достаточно?

Регуляторы считают, что достаточно! При проверках – смотрят только приказы, инструкции и подпись ответственных лиц в ознакомлении с ними. А самый большой вопрос к Методическим рекомендациям ФСТЭК – кто мешал там написать пару слов по поводу квалификации, повышения осведомленности и обучение?

В былые времена хоть пару слов, но не забывали:
СТР-К:3.16. На стадии проектирования и создания объекта информатизации и СЗИ в его составе на основе предъявляемых требований и заданных заказчиком ограничений на финансовые, материальные, трудовые и временные ресурсы осуществляются:
·       определение заказчиком подразделений и лиц, ответственных за эксплуатацию средств защиты информации, обучение назначенных лиц специфике работ по защите информации на стадии эксплуатации объекта информатизации;”

ГОСТ 34.601 – 90: “Стадии и этапы создания АС
16. На этапе 7.2 "Подготовка персонала" проводят обучение персонала и проверку его способности обеспечить функционирование АС.”

Приказ ФАПСИ №152: “17. Обучение и повышение квалификации сотрудников органов криптографической защиты осуществляют организации, имеющие лицензию на ведение образовательной деятельности по соответствующим программам.
21.          Непосредственно к работе с СКЗИ пользователи допускаются только после соответствующего обучения. ”

Продолжение следует…