Сообщения

Сообщения за апрель, 2016

СОИБ. Анализ. Такие разные угрозы ИБ

Изображение
Давайте посмотрим на описания, угроз, которые последние год-два публиковались регуляторами по ИБ. ·          Угрозы из БДУ ФСТЭК ·          Угрозы из методических рекомендаций ФСБ, утвержденных 31 марта 2015 года № 149/7/2/6-432 ·          Угрозы из Указания Банка России от 10 декабря 2015 г. № 3889-У ·          РС БР ИББС-2.9-2016     Почему подходы к описанию угроз и сами угрозы настолько различаются? Даже в рамках одного регулятора – Банка России – нет согласия. Как организациям, совместить все эти требования и рекомендации при анализе угроз? Какая-то мешанина получается. С моей точки зрения подход, в котором описание угрозы включает (источник угрозы, объект воздействия, используемая слабость / уязвимость, способ воздействия) является оптимальным. БДУ ФСТЭК этому соответствует. Что помешало ЦБ использовать БДУ при описании угроз?  Если не хватало каких-то угроз, можно было бы добавить – ФСТЭК обещали периодически пополнять БДУ.

Общее. Информирование от ФСТЭК об уязвимостях в СЗИ от НСД

На прошлой неделе ФСТЭК России опубликовал информационное сообщение об уязвимостях в СЗИ от НСД Secret Net и мерах по их нейтрализации. Подобное информирование от ФСТЭК по проблемам со средствами защиты информации случаются нечасто (прошлое было по ОС Windows 2003 год назад) поэтому давайте рассмотрим его подробнее: ·          основанием для сообщения послужила уязвимость в СЗИ Secret Net , зарегистрированная в БДУ - локальное повышение привилегий.      ·          уязвимости подвержены версии SN с 5.0 до 7 ·          для версий 6 и 7 уже выпущено обновление, устраняющее уязвимость ·          обновлений для версий 5.0 и 5.1 не планируется ·          для нейтрализации: для SN версии 5 и 5.1 необходимо обязательно перейти на 6 или 7, для версий 6, 7 – необходимо обязательно установить обновления, в том числе получить изменения в эксплуатационной документации ·          до установки обновлений необходимо принять компенсирующие меры, в том числе настроить Замкнутую про

СЗПДн. Проверки. Систематический контроль операторов ПДн часть 2

Изображение
Продолжаю предыдущую статью про переход РКН к систематическому контролю операторов ПДн рассмотрением возможных видов такого контроля. Напомню основную идею систематического контроля на данный момент: проводить проверки без выезда (с минимальными трудовыми затратами) сразу для большого количества компаний, собирая информацию через сайт или путем переписки с оператором. Что сейчас проверяет РКН таким способом: ·          запрос уведомления об обработке ПДн. Пример . ·          наличие на сайте (оператора который взаимодействует с субъектами ПДн через сеть Интернет) публичной политики обработки ПДн. Пример 1 . Пример 2 . ·          наличие на сайтах ПДн в открытом виде. Пример . ·          наличие на сайте (галочки) согласия на обработку ПДн. Пример . Давайте подумаем какие ещё проверки в принципе может проводить РКН удаленно: ·          РКН может запросить любые данные приведенные в части 3 статьи 22 152-ФЗ, а также любую другую информацию, необходимую для реал

СЗПДн. Анализ. Средства моделирования угроз есть, не хватает методик

Изображение
В недавней статье Алексей Лукацкий в ожидании новой методики моделирования угроз ФСТЭК высказал идею, что хорошим решением было бы использование средств моделирования угроз, высказал предложение по функциям таких средств и посетовал что на российском рынке они отсутствуют. Мысли о том, что необходимы доступные средства автоматизации высказывали ранее и многие другие ИБ эксперты. Связанно это с тем, что угроз много, методики сложны и нет связей с контрмерами. И в первую очередь эта проблема актуальна для средних и малых организаций у которых может не хватать ресурсов на то чтобы разбирать в методиках и проводить длительные расчеты. Но высказывание о том, что на российском рынке отсутствуют средства моделирования угроз – не верно. Такие решения уже есть. Например, модуль Risk Manager от R - Vision или модуль «Модель угроз» системы DocShell , разработанный нашей компанией.  Да и других, ещё более простых решений на рынке хватает. Другой дело, что средства моделиров

Общее. Вебинары по ИБ АСУ ТП и не только

Во второй половине прошлого года серия вебинаров по ИБ АСУ ТП от компании УЦСБ стала для меня настоящим открытием – взяли достаточно свежую тему, разбили на подтемы, достаточно подробно прошлись в серии вебинаров по тому что такое АСУ ТП, какие у него особенности, какие требования, законодательство, инциденты, как проводятся аудиты, из чего строится комплексная система защиты, как управляется, как осуществляется мониторинг – полезное дело. В этом сезоне вендорских вебинаров начали довольно бодро с решения DATAPK  (с онлайн демонстрацией), а вот следующие два вебинара ( check point и fortinet ) немного разочаровали: ·          опять двадцать пять – начинаем с рассмотрения что такое АСУ ТП, проблемы, инциденты, типовая структура. Давайте ещё 10 раз… ·          продолжаем рассмотрением всех имеющихся у производителя решений ИБ – конечно, ведь на верхнем уровне АСУ ТП очень похожа офисную ЛВС, значит все наши решения можно назвать решениями по защите АСУ ТП … ребята все это и

СЗПДн. Проверки. Переход РКН к систематическому контролю операторов ПДн

Изображение
В последнее время Роскомнадзор на конференциях рассказывал, что они переходят от единичных плановых проверок к систематическому контролю. “В первую очередь глава службы рассказал о снижении административной нагрузки на бизнес в рамках контрольно-надзорной деятельности и подготовке к переходу на риск-ориентированную модель контроля и надзора. Вследствие этого, Роскомнадзор не запланировал на следующий год ни одной проверки малого бизнеса и минимизировал проверки среднего. В целом объем плановых проверок сократится в пять с половиной раз – с 2805 до 500. При этом объемы систематического наблюдения возрастут на 12%. ” Давайте посмотрим, что это за систематический контроль и в какой мере он компенсирует уменьшение в 5 раз количества плановых проверок. План систематического наблюдения идет отдельным пунктом и выглядит примерно так  К сожалению, нет точных данных, о количестве организаций, попадающих в систематический контроль, но по публичной информации с сайтов РК

Юмор. Новые требования законодательства или ЧИС

Как вы, наверное, видели прошел согласование и готовится к принятию поправка в 149-ФЗ, устанавливающая требования к новому типу информационных систем – частным информационным системам (или ЧИС) “5. Требования о создании и регистрации информационных систем, которые создаются для реализации целей юридических лиц или в которых содержится (обрабатывается) информация, обладателями которой являются юридические лица, за исключением государственных органов или государственных корпорации (далее – частные информационные системы) устанавливается федеральным органом исполнительной власти, уполномоченным нормативно-правовому регулированию в сфере развития предпринимательской деятельности. Требования о защите информации в частных информационных системах устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия иностранным техническим разведкам и технической защиты информац