вторник, 26 апреля 2016 г.

СОИБ. Анализ. Такие разные угрозы ИБ

Давайте посмотрим на описания, угроз, которые последние год-два публиковались регуляторами по ИБ.


·         Угрозы из методических рекомендаций ФСБ, утвержденных 31 марта 2015 года № 149/7/2/6-432







·         РС БР ИББС-2.9-2016 
 

Почему подходы к описанию угроз и сами угрозы настолько различаются? Даже в рамках одного регулятора – Банка России – нет согласия. Как организациям, совместить все эти требования и рекомендации при анализе угроз? Какая-то мешанина получается.

С моей точки зрения подход, в котором описание угрозы включает (источник угрозы, объект воздействия, используемая слабость / уязвимость, способ воздействия) является оптимальным. БДУ ФСТЭК этому соответствует.

Что помешало ЦБ использовать БДУ при описании угроз?  Если не хватало каких-то угроз, можно было бы добавить – ФСТЭК обещали периодически пополнять БДУ.


четверг, 21 апреля 2016 г.

Общее. Информирование от ФСТЭК об уязвимостях в СЗИ от НСД

На прошлой неделе ФСТЭК России опубликовал информационное сообщение об уязвимостях в СЗИ от НСД Secret Net и мерах по их нейтрализации. Подобное информирование от ФСТЭК по проблемам со средствами защиты информации случаются нечасто (прошлое было по ОС Windows 2003 год назад) поэтому давайте рассмотрим его подробнее:

·         основанием для сообщения послужила уязвимость в СЗИ Secret Net, зарегистрированная в БДУ - локальное повышение привилегий.     
·         уязвимости подвержены версии SN с 5.0 до 7
·         для версий 6 и 7 уже выпущено обновление, устраняющее уязвимость
·         обновлений для версий 5.0 и 5.1 не планируется
·         для нейтрализации: для SN версии 5 и 5.1 необходимо обязательно перейти на 6 или 7, для версий 6, 7 – необходимо обязательно установить обновления, в том числе получить изменения в эксплуатационной документации
·         до установки обновлений необходимо принять компенсирующие меры, в том числе настроить Замкнутую программную среду (ЗПС) в соответствии с инструкцией
·         обновление СЗИ от НСД Secret Net не требует переаттестации системы

Отдельно хотелось бы отметить некоторые моменты:
·          ЗПС  - это сложная в настройке и неприспособленная в быстро меняющейся среде функция. В ИСПДн применяется очень редко. Чаще при защите ГТ. Так что сходу включить ЗПС многим заказчикам будет проблематично (и это мягко сказано)    
·         из сообщения не понятно, предоставляется ли данное обновление производителем бесплатно? В общем случае  доступ к пакетам обновлений в рамках данной версии – это платная услуга входящая в любой пакет технической поддержки КодаБезопасности начиная с Базового

·         в соответствии с принятыми правилами маркировки серийного производства сертифицированных СЗИ: покупателю должно предоставляться только маркированное средство защиты информации. Маркировка осуществляется нанесением специальных знаков на носитель ПО и формуляр. Таким образом – загрузка СЗИ с сайта не является легитимным способом получения, сертифицированного СЗИ.

Так как обновленный дистрибутив СЗИ не соответствует дистрибутиву и формуляру который вы получили при первоначальной покупке СЗИ, вам необходимо получить у производителя новый дистрибутив (со знаком соответствия), новый формуляр (со знаком, и в котором указаны контрольные суммы уже обновленного СЗИ), технические условия и другую документацию, на которую есть ссылки в сертификате, формуляре или технических условиях. Как правило такой комплект также предоставляется производителем за отдельную плату

Положение о сертификации СЗИ, утвержденное приказом №199 от 27 октября 1999 г. - “2.5 Испытательные лаборатории … маркируют сертифицированные средства защиты информации знаком соответствия в порядке, установленном правилами системы сертификации.
2.6 Заявители:
… указывают в технической документации сведения о сертифицируемой технике защиты информации, нормативных документах, которым она должна соответствовать, обеспечивают доведение этой информации до потребителя;
маркируют производимую сертифицированную технику защиты информации знаком соответствия в порядке, установленном правилами системы сертификации;
3.4.5. Получение изготовителем средств защиты информации сертификата дает ему право получить в федеральном органе по сертификации лицензию (Приложение 5) на применение знака соответствия.
В случае сертификации единичных образцов или партии средств защиты информации лицензия на применение знака соответствия заявителю не выдается. Маркирование знаками соответствия средств защиты информации в этом случае производится испытательной лабораторией, проводившей сертификационные испытания.
Владелец лицензии на применение знака соответствия несет ответственность за поставку маркированных средств защиты информации.”
Более подробно про маркирование СЗИ можно почитать в “Инструкция о порядке маркирования сертификатов соответствия, их копий и сертифицированных средств защиты информации (утв. Приказом Гостехкомиссии РФ от 1999 г.);”

·         почему ФСТЭК в своем письме упомянул о возможности загрузки обновления с сайта? Возможно в данном случае сделано исключение, для того чтобы заказчики могли оперативно устранить уязвимость. Но в дальнейшем всё равно необходимо получить обновленные эксплуатационные документы
·         интересно почему ФСТЭК не делал аналогичных публичных сообщений по уязвимостям в других СЗИ, популярных на Российском рынке? Например, по уязвимостям в МЭ Cisco
·         в целом было бы полезно увидеть от ФСТЭК документ, разъясняющий обязанности всех участников системы сертификации СЗИ (в том числе покупателей сертифицированных СЗИ) при появлении уязвимостей или обновлений сертифицированных СЗИ. Можно предположить, что уязвимость в СЗИ Secret Net это не первая и далеко не последняя уязвимость. Вот, например, очередная уязвимостьв OpenSSL, а по информации от ФСТЭК эта библиотека используется в десятке российских СЗИ. Нужно понимать, что делать в общем случае….





понедельник, 18 апреля 2016 г.

СЗПДн. Проверки. Систематический контроль операторов ПДн часть 2

Продолжаю предыдущую статью про переход РКН к систематическому контролю операторов ПДн рассмотрением возможных видов такого контроля.

Напомню основную идею систематического контроля на данный момент: проводить проверки без выезда (с минимальными трудовыми затратами) сразу для большого количества компаний, собирая информацию через сайт или путем переписки с оператором.

Что сейчас проверяет РКН таким способом:
·         запрос уведомления об обработке ПДн. Пример.

·         наличие на сайте (оператора который взаимодействует с субъектами ПДн через сеть Интернет) публичной политики обработки ПДн. Пример 1. Пример 2.

·         наличие на сайтах ПДн в открытом виде. Пример.

·         наличие на сайте (галочки) согласия на обработку ПДн. Пример.


Давайте подумаем какие ещё проверки в принципе может проводить РКН удаленно:
·         РКН может запросить любые данные приведенные в части 3 статьи 22 152-ФЗ, а также любую другую информацию, необходимую для реализации полномочий РКН.  Особенно сейчас стоит ожидать запросов по месту расположения БД с ПДн. Предоставить информацию необходимо в течении 30 дней. Подробнее тут.

·         РКН может искать сайты на которых осуществляется сбор ПДн (сайты личными кабинетами пользователей) и проверять месторасположение web серверов.
Сайтов с расположением за границами РФ ещё хватает: пример 1 пример 2 пример 3

В первую очередь могут проверять организации указавшие в уведомлении трансграничную передачу.
Для первичного определения адреса сайта и даже пути можно множество доступных гео сервисов


·         РКН может сравнивать информацию, указанную в (реестре Операторов ПДн, публичной политике, согласия на обработку ПДн с сайта, места расположения web сайтов) и выявлять несоответствия. Из данного несоответствие можно в любом случае выйти на одно из нарушений: некорректная информация в уведомлении РКН = отсутствие уведомления, некорректная информация в политике = отсутствие политики, некорректная информация в согласии = отсутствие согласия.

·         РКН может пройтись по топовым зарубежным ЦОД-ам и хостингам (amazon, azure, …) и посмотреть какие российские сервисы на них размещаются. Например, так можно посмотреть истории успеха amazon и найти там лабораторию Касперского, на сайте которой также имеются личные кабинеты пользователей

·         РКН может собирать информацию об информационных системах, которыми пользуется оператор (с сайта оператора или с сайтов партнеров) и сравнивать с реестром (а в последней онлайн версии уведомления РКН необходимо указывать перечень ИС)

·         РКН может собирать информацию об изменении адресов центрального офиса и филиалов Оператора (новости об изменении адресов офисов легко ищутся на сайте оператора или получаются по СМЭВ) и сравнивать с реестром


Что можно посоветовать в таком случае: обеспечить чтобы информация на сайте, в политике, реестре операторов, согласии – была актуальна и соответствовала друг другу. Возможно с применением промежуточной системы, куда все изменения вносятся только один раз.

четверг, 14 апреля 2016 г.

СЗПДн. Анализ. Средства моделирования угроз есть, не хватает методик



В недавней статье Алексей Лукацкий в ожидании новой методики моделирования угроз ФСТЭК высказал идею, что хорошим решением было бы использование средств моделирования угроз, высказал предложение по функциям таких средств и посетовал что на российском рынке они отсутствуют. Мысли о том, что необходимы доступные средства автоматизации высказывали ранее и многие другие ИБ эксперты.

Связанно это с тем, что угроз много, методики сложны и нет связей с контрмерами. И в первую очередь эта проблема актуальна для средних и малых организаций у которых может не хватать ресурсов на то чтобы разбирать в методиках и проводить длительные расчеты.


Но высказывание о том, что на российском рынке отсутствуют средства моделирования угроз – не верно. Такие решения уже есть. Например, модуль Risk Manager от R-Vision или модуль «Модель угроз» системы DocShell, разработанный нашей компанией.  Да и других, ещё более простых решений на рынке хватает.

Другой дело, что средства моделирования угроз – это по сути средства автоматизации типовых действий. Если есть методика, по которой специалист получает адекватный, ожидаемый, повторяемый результат, то с использованием средств автоматизации его же мы будем получать быстрее и проще. Главный вопрос – какой методикой нам руководствоваться?

Тут есть 3 варианта:
·         собственная методика организации
·         новая (ещё не вышедшая и долгожданная) методика ФСТЭК

Минусы применения собственной методики каждым экспертом каждой организации – скорее всего вам придется взаимодействовать со специалистами других организаций: заказчику привлекать исполнителей, возможно даже нескольких, заказчику проходить проверку регулятором, лицензиатам согласовывать с регуляторами какие-то документы, группе экспертов общаться составе каких-либо комитетов; и все это время будут продолжаться бесконечные споры о правильности и неправильности вашей методики, ваши недоброжелатели легко могут поставить по сомнение всю систему защиты указывая на недостатки вашей собственной методики (а у любой методики есть недостатки). А в конечном итоге есть шанс что методика ФСТЭК выйдет как обязательная и вам придется всё переделывать.

Минусы применения методики ФСТЭК от 2008 года: не применима к ГИС/МИС без ПДн, опирается на анализ угроз из документа «Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных» а не на современную БДУ ФСТЭК в которой угрозы постоянно пополняются, не учитывает потенциал нарушителя из БДУ ФСТЭК, не учитывает последствия реализации угроз из БДУ ФСТЭК.

Минус новой методики ФСТЭК – в том, что её ещё нет.

Что в такой ситуации делать разработчикам средств моделирования угроз? 
Расскажу нашу позицию:
·         у нас реализовано моделирование угроз безопасности ПДн в ИСПДн и информации в ГИС по методике ФСТЭК от 2008 года, при этом учитываются применяемых контрмер (и их связь с приказом №17, 21 и ПП 1119), с двумя режимами работы, один из которых адаптирован под самых неопытных пользователей (как раз тот случай, о котором говорили эксперты – есть тысячи организаций для которых методики и БДУ ФСТЭК слишком сложны) и доступный по стоимости
·         в пилотной зоне реализовано моделирование угроз по проекту новой методике ФСТЭК, с учетом БДУ, потенциалов нарушителей из БДУ, компонентов защиты из БДУ, новой методики ФСБ, опять же доступная для понимания неспециалисту. В итоге мы уже более полу года ждем утверждения новой методики ФСТЭК … и видимо если не дождемся в ближайшее время, то придется выпускать в релиз текущую, рискуя потом всё переделывать, когда появится методика  

Уверен, что многие разработчики сейчас в подобной ситуации – ждут только выхода новый методики ФСТЭК чтобы выпустить средства моделирования угроз


PS:  Алексею Лукацкому спасибо за предложения по расширенным функциям, которые могли бы помочь в моделировании угроз

PPS: другие статьи по теме моделирования угроз 

вторник, 12 апреля 2016 г.

Общее. Вебинары по ИБ АСУ ТП и не только

Во второй половине прошлого года серия вебинаров по ИБ АСУ ТП от компании УЦСБ стала для меня настоящим открытием – взяли достаточно свежую тему, разбили на подтемы, достаточно подробно прошлись в серии вебинаров по тому что такое АСУ ТП, какие у него особенности, какие требования, законодательство, инциденты, как проводятся аудиты, из чего строится комплексная система защиты, как управляется, как осуществляется мониторинг – полезное дело.

В этом сезоне вендорских вебинаров начали довольно бодро с решения DATAPK (с онлайн демонстрацией), а вот следующие два вебинара (check point и fortinet) немного разочаровали:

·         опять двадцать пять – начинаем с рассмотрения что такое АСУ ТП, проблемы, инциденты, типовая структура. Давайте ещё 10 раз…
·         продолжаем рассмотрением всех имеющихся у производителя решений ИБ – конечно, ведь на верхнем уровне АСУ ТП очень похожа офисную ЛВС, значит все наши решения можно назвать решениями по защите АСУ ТП … ребята все это и так уже поняли – на верхнем уровне мы можем использовать многие классические ИБ решения, и они будут вполне эффективны, не надо нам теперь рассказывать про весь рынок ИБ…
·         и наконец наша уникальная фишка … несколько железок в промышленном корпусе, несколько сигнатур для scada трафика, гуляющего over Ethernet и … тадам … у нас есть ещё точки доступа и коммутаторы – со специализированными функциями безопасности? – нет в безопасном корпусе …
Как-то хочется послушать про новые решения, новые возможности, специализированные решения, можем быть примеры схем внедрений (не тестовой зоны, а что-то из реальных внедрений) – в общем более уникального нетипового контента.

В этом плане из последних мне гораздо больше понравились вебинары от Кода Безопасности и Инфотекса – сделали новое решение, функцию, обновление, интеграцию – рассказали только о ней, нет лишней воды – а значит полезно и приятно смотреть. vGate, SecretNet LSP, КУБ + Indeed, Jinn-Server, ViPNet IDS 2.5. Забавно смотреть как вендоры IDS меряются базами и подписками сигнатур. Больше – лучше и меньше – лучше.

Кстати Инфотекс недавно ворвался в тему защиты АСУ ТП с двумя недавними вебинарами: введение в тему индустриальной безопасности и решения Инфотекс для защиты АСУ ТП. Правда содержимое вебинаров пересекается - опять же плохо спланировали. 

за компанию пройдусь ещё по нескольким недавним вебинарам: хорошая инициатива от Solar Security “спроси эксперта” (DLP и IdM) – может быть полезна для решения текущей задачи и для общего развития знаний по теме. Но есть особенность – полезность вебинара зависит не только от отвечающего, но и от задающего вопросы. Не всегда человек может быстро сформулировать свою проблему или актуальный вопрос. Поэтому слушателей надо готовить заранее, своевременно разогревая и поддерживая интерес. Чем больше специалистов включилось в обсуждение ещё до начала вебинара, тем больше шансов получить хороший результат.

Ещё из интересненького: просматривал материалы недавнего (05.04.2016) семинара Cisco по ИБ в Красноярске. Думаю – зайду почитаю что там Алексей Лукацкий свеженького про законодательство ИБ рассказывает …  а там много обещаний “запланирована на конец 2015 года” / “начало 2016 года” … ну ладно, мы не будем обсуждать почему не сбываются предсказания Алексея и почему не появляются обещанные документы … но даты по планируемым мероприятиям надо бы обновлять?  Или добавлять – в ближайшие 5 лет (возможно)

PS: кстати, в последнее время многие российские вендоры показывают отличные современные интерфейсы с кастомизацией консолей. даже VipNet IDS уже там. похоже какой то качественный переход на новый уровень российских СЗИ ...

Другие статьи блога по теме: Обзор вебинаров за 2015 год

понедельник, 11 апреля 2016 г.

СЗПДн. Проверки. Переход РКН к систематическому контролю операторов ПДн


В последнее время Роскомнадзор на конференциях рассказывал, что они переходят от единичных плановых проверок к систематическому контролю.

“В первую очередь глава службы рассказал о снижении административной нагрузки на бизнес в рамках контрольно-надзорной деятельности и подготовке к переходу на риск-ориентированную модель контроля и надзора. Вследствие этого, Роскомнадзор не запланировал на следующий год ни одной проверки малого бизнеса и минимизировал проверки среднего. В целом объем плановых проверок сократится в пять с половиной раз – с 2805 до 500. При этом объемы систематического наблюдения возрастут на 12%.

Давайте посмотрим, что это за систематический контроль и в какой мере он компенсирует уменьшение в 5 раз количества плановых проверок.
План систематического наблюдения идет отдельным пунктом и выглядит примерно так



 К сожалению, нет точных данных, о количестве организаций, попадающих в систематический контроль, но по публичной информации с сайтов РКН можно составить общее представление о проверках в регионах:
·         за одно наблюдение проверяется достаточно большое количество организаций, так, например, при систематическом наблюдении государственных и муниципальных органов Краснодарскому краю было выявлено 4 нарушителя, а проверялось, наверное, не менее 10, что превышает количество плановых проверок по тем же категориям организаций

·         по Ставропольскому Краю в начале года также выявлено 4 нарушителя среди государственных и муниципальных органов и более 20 остальных типов организаций (все без проведения очных проверок)

·         по УРФО видимо уже устали публиковать нарушителей поименно, указывают пачками: “более 60 операторов привлечены к ответственности”, “более 30 операторов вызваны для составления протокола обадминистративном правонарушении

·         по сути правонарушений тоже нет четкой картины и единообразия

·         так, например, судя по квартальному отчету РКН в КК, основные нарушения проходили по статье 19.7 (непредставление информации РКН), но встречается и гораздо более опасная ст. 19.5 (неисполнение в срок предписаний органа гос. контроля). Не во всех случаях за краснодарский РКН одинаково наказывает за нарушения. Иногда и прощают как в случае с систематическим контролем гос. и мун. органов – вместо штрафа, требование устранить нарушение в 10 срок  

·         РКН по СКФО выявляет нарушителей в основном по статье 19.7 и наказывал на одинаковую сумму в 3000 руб. всех начиная от администраций и заканчивая детскими садами (кстати на территории КК количество таких нарушителей – детских садов и школ – переваливает за тысячу. Видимо РКН по СКФО поняли эту тему и улучшили свои показатели сразу на 10 выявленных нарушителей)

·         РКН по УРФО в рамках систематического контроля выявлял нарушителей по статье 13.11, правда зачастую не указывая что именно за организации и что именно нарушили. Эдакие удобные отчеты, которые можно повторять ежегодно: интернет магазины, дистанционные продажи, ЖКХ, учреждения здравоохранения.

Возможно стоит обратить внимание на план проверок РКН в части систематического контроля, чтобы не прошляпить, когда РКН будет проверять организации вышей отрасли.  А в следующей статье планирую рассмотреть, что именно проверяют или могут проверять в рамках систематического контроля.

PS: По аналогии с РКН - прокуратура периодически проводит проверки скопом большого количества организаций. В этот раз попали коллекторы, которых также привлекали по статье ст. 13.11 КоАП.

пятница, 1 апреля 2016 г.

Юмор. Новые требования законодательства или ЧИС

Как вы, наверное, видели прошел согласование и готовится к принятию поправка в 149-ФЗ, устанавливающая требования к новому типу информационных систем – частным информационным системам (или ЧИС)

“5. Требования о создании и регистрации информационных систем, которые создаются для реализации целей юридических лиц или в которых содержится (обрабатывается) информация, обладателями которой являются юридические лица, за исключением государственных органов или государственных корпорации (далее – частные информационные системы) устанавливается федеральным органом исполнительной власти, уполномоченным нормативно-правовому регулированию в сфере развития предпринимательской деятельности.
Требования о защите информации в частных информационных системах устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия иностранным техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации таких информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям”. 

Основными требованиями предполагается обязательная регистрация частных информационных систем в Минэкономразвития, использование в составе ЧИС только отечественного ПО, необходимость применения сертифицированных средств защиты информации для нейтрализации актуальных угроз.

Для того чтобы не увеличивать нагрузку на бизнес, уже была подготовлена типовая модель угроз ЧИС, включающая всего 4 угрозы: угрозы нарушения конфиденциальности, целостности, доступности и угроза наличия уязвимостей в компонентах ЧИС. Ответственность за несоблюдение требований к частным информационным системам и порядок проверки этих требований будет установлен в частном порядке.

Указанные меры позволят защитить национальные интересы предпринимателей Российской Федерации, добиться устойчивого развития отраслей информационных и коммуникационных технологий в Российской Федерации, включая достижение мирового уровня и повышения конкурентоспособности продукции и услуг владельцев ЧИС на международном уровне, поэтому новым регулятором в данном направлении выбран Минэкономразвития.

Законодательная инициатива стала логичным шагом после расширения области действия требований ФСТЭК И ФСБ по защите государственных информационных систем, на информационные системы, содержащие любую информацию, обладателем которой являются органы государственные органы или государственные корпорации (ГосВладИС), а также расширением требований ограничению закупки импортного ПО на государственные корпорации и компании с государственным участием.


Таким образом к уже имеющимся в нормативно-правовых актах РФ типам систем: ИСПДн, КСИИ, АСУТП КВО, ГИС, ГосВладИС добавляется ещё один тип систем ЧИС, что позволяет классификацию любой ИС любой организации по одному из установленных типов. 

другие статьи по теме:
- новый стандарт РКН, ФСТЭК, ФСБ по оценке вреда субъектам ПДн
- системы генерации защищенности 
- средства защиты 2030 года