среда, 30 декабря 2015 г.

СОИБ. Анализ. 10 лучших практик по ИБ для Гос

Примерно месяц назад довелось выступить на совете ИБ правительства одной из республик. Дали всего 15 минут, при этом надо было рассказать что-то интересное в дополнение к выступлениям местных ФСТЭК и ФСБ. Решил сделать в виде 10 лучших практик / советов на основе опыта компании в работах с Гос.

Выкладываю презентацию тут – возможно для кого-то будет полезной.

среда, 23 декабря 2015 г.

СОИБ. Исследования. Безопасность top 100 интернет-банков (DSec) и Экспертная оценка потерь от мошенничества (Джет)

За последнюю неделю российские ИБ компании опубликовали 2 интересных отчета: “Безопасность веб-ресурсов банков России” от Digital Security и “Экспертная оценка годовых потерь от мошенничества” от Инфосистем Джет. Посмотрим на наиболее интересные моменты этих исследований.

1. Исследование от DSec было достаточно простым: взяли доменные имена интернет-банков топ 100 банков России и не уведомляя владельцев провели простейшие проверки, связанные настройками web серверов и dns. Подобные проверки может провести любой исследователь запуская публично доступные утилиты типа qualys ssl server test 100 раз.

Но что мне понравилось в этом отчете: подробно и грамотно были описаны проверяемые параметры и возможные последствия от неправильной настройки. Подача информации в такой форме понятна неспециалисту по ИБ и может быть использована оператором web сервисов. Это я считаю основным достижением исследования и его отличием от других подобных исследований как тут и тут.

В целом по результатам исследования можно сделать вывод что настройки web сервисов интернет банков в среднем недостаточные.



2. Экспертная оценка специалистов компании «Инфосистемы Джет» по противодействию мошенничеству представляет из себя скорее набор инфографики. И собственно инфографика хороша. А вот методику расчетов и источники сбора данных решили не раскрывать видимо, чтобы не возникло ненужной критики и обсуждений.

Вопрос о применении отчета по всей видимости надо решать так: если вы доверяете специалистам Джет-а, то данные оценки будут вам весьма полезны:

потери от мошенничества растут по всем направлениям
 


особенно растут направлениям мошенничества в сфере закупок,  дополнительных сервисов и мобильной коммерцией






пятница, 18 декабря 2015 г.

СЗПДн. Законодательство. Изменение Уведомления РКН об обработке ПДн

Роскомнадзор наконец выпустил долгожданный приказ о внесении изменений в административный регламент РКН поведению реестра операторов ПДн.


Изменения 152-ФЗ, требующие указывать местонахождение БД с ПДн вступили в силу летом текущего года, и Роскомнадзор уже требовал с операторов указывать эти данные в уведомлении. А вот какие именно данные надо указывать и в каком именно месте уведомления – ответа не было.

Новый приказ решает эти проблемы – поменялась форма уведомления в бумажном и электронном виде

С бумажной формой все просто. Добавилось 2 строчки в которых нужно указать: страну, адрес местонахождения БД, наименование ИС (базы данных).


А вот на операторов, решившие отправить уведомление в электронной форме берут на себя большую нагрузку:
·         Помимо адреса БД, нужно указать - собственность ЦОДа, сведения об организации ответственно за хранение данных


·         Помимо общей информации, теперь нужно указывать большое количество характеристик (категории, перечни действий, наличие тр. передачи, сведения местонахождении БД) каждой ИСПДн, используемой в организации


Нужно ли подавать информацию в РКН о местонахождении БД в соответствии с новым приказом? Явно в самом приказе это не оговаривается.

Мое мнение - нужно:
·         во-первых, данные поданные в уведомлении периодически меняются (цели, категории, адреса, состав мер) и в соответствии с пунктом 7 статьи 22 152-ФЗ уведомлять РКН все равно придется регулярно
·         во-вторых, РКН при проверке по формальным признакам определит несоответствие тех данных которые требуются пунктом 3 статьи 22 и тех данных которые поданы Оператором



воскресенье, 13 декабря 2015 г.

СЗПДн. Культура эксплуатации ИСПДн и СЗПДн


Регулярно сталкиваюсь с ситуацией, когда в организации проведены работы по организации обработки и защиты ПДн, создании СЗПДн в соответствии с требованиями законодательства, но через некоторое время система защиты теряет эффективность, разработанные документы не выполняются, появляются несоответствия требованиям.

Иногда это связано с отношением организаций к проектам compliance (соответствия требованиям законодательства) как к разовым, которые можно выполнять раз в три года и в промежутках забывать о них. Иногда у организации создается впечатление что требования невозможно выполнить и выполнять постоянно, поэтому основной акцент делается на подготовку к проверкам регуляторов – compliance на время проверки.

По-моему мнению, требования законодательства в сфере обработки и защиты ПДн несложные, их можно выполнить и обеспечить их выполнение  постоянно. Даже если относится к процессам управления безопасностью ПДн как к циклическим "Планирование-реализация-проверка-совершенствование" (PDCA)  -  нужно сокращать время цикла - проверку и совершенствование делать раз в полгода. Но ещё более эффективным будет понимание, что большинство требуемых мер нужно выполнять постоянно, поэтому они должны относится к процессам эксплуатации ИС и СЗПДн.

Для того чтобы выполнять требования постоянно во время эксплуатации ИС и СЗПДн в организации должна создаваться определенная культура, в соответствии которой действуют все ответственные лица организации (перечень основных действующих ролей я уже приводил в одной из предыдущих статей). В идеале мы должны разработать правила, которые будут требовать от ответственных лиц выполнять действия сразу же после наступления определенных событий. К этому можно стремится, но на промежуточном этапе можно зафиксировать некоторые небольшие промежутки времени, по истечении который проверять - не упустили ли мы какое-то событие и не должны ли принять определенные меры.

Подготовил таблицу, содержащую роли лиц, задействованных в мероприятиях по обработке или защите ПДн, мероприятия, которые требуются законодательством, среднестатистическую частоту мероприятий в год для взятой для примера организации (100 пользователей ИСПДн, обрабатывают данные более 1000 субъектов ПДн) и рекомендованную регулярность выполнения мероприятий на промежуточном этапе. Возможно кому-то будет полезной: можно ознакомится по ссылке.

Наиболее часто встречаемые и интересные мероприятия выбрал в отдельную табличку по размеру слайда презентации.