среда, 15 ноября 2017 г.

ИБ. Классификация для пользователей ГИС

С учетом тенденции по централизации информационных систем, в региональных государственных и муниципальных органах, в региональных гос. учреждениях отсутствуют собственные ГИСы, но есть большое количество клиентских подключений к ГИС.

Очевидно, что такие рабочие места необходимо защищать. Но по каким требованиям? То с чем я сталкивался – полный разброд и шатание. Одни защищают такие АРМ как собственную ИСПДн. Другие классифицируют как ГИС причем с уровнем защищенности от К1 до К3. Давайте разберемся какой порядок работы всё-таки правильный и какие сейчас есть сложности с ним.

Во-первых, кто может и должен классифицировать клиентские места ГИС? В соответствии с пунктом 14 приказа ФСТЭК №17 классификацию ГИС осуществляет обладатель информации в ГИС (заказчик ГИС –орган который создает или заказывает ГИС по гос. контракту). Учреждение с клиентским местом не создает ГИС и соответственно не может проводить классификацию.

Во-вторых, может быть клиентские места ГИС вообще не нужно защищать? Нужно. В соответствии с пунктом 4 приказа ФСТЭК №17 “Лицо, обрабатывающее информацию, являющуюся государственным информационным ресурсом, по поручению обладателя информации (заказчика) или оператора .... (далее - уполномоченное лицо), обеспечивает защиту информации в соответствии с законодательством Российской Федерации …”
Как как, как правило разработаны документы (ФЗ, положения, приказы о работе системы) которые предусматривают различных пользователей системы, их обязанности и функции в системе. По сути эти документы и являются поручением.  Но в соответствии с какими требованиями обеспечивать безопасность? В 90% случаев, документация на ГИС, которая передается пользователю не содержит требований по защите информации.   

В-третьих, пункт 4 приказа ФСТЭК №17 и пункт 9 статьи 14 №149-ФЗ говорят, что именно Заказчики ГИС (обладатели информации в ГИС) несут ответственность за защиту информации и именно они должны устанавливать требования по защите информации для уполномоченных лиц.  
Так получается всем пользователям надо запрашивать перечень класс ГИС и требования к защите с владельцев ГИС (готовы к шквалу запросов)? Запрашивали выборочно. Пока что широкий диапазон “мы вообще не включали клиентские места в область защиты” до “у нас для всей системы включая клиентские места один класс – К1”.  Бывает так что предусмотрена классификация для федеральных и региональных серверных сегментов, но про пользовательские места опять забыли.  

В-четвертых, а имеет вообще смысл “парится”? Могут ли у клиентских мест быть классы ГИС отличные от ГИС в целом? Могут. В соответствии с пунктом 14.2 приказа ФСТЭК №17 класс защищенности может определятся для отдельных сегментов (составных частей) ГИС. И это вполне логично, так как значимость информации на отдельном клиентском месте существенно меньше чем на серверах в ЦОД где эти данные консолидированы. Отдельный большой вопрос как определять масштаб для составной части ГИС?

Итого приходим к следующему единственно правильному сценарию:
1.       Владелец ГИС при создании системы предусматривает классификацию сегментов пользователей ГИС
2.       Владелец ГИС разрабатывает (это его обязанность) требования по защите информации для пользователей ГИС
3.       Пользователю ГИС до момента его подключения к системе доводятся требования по защите информации
4.       До подключения, после подключения или периодически во время работы пользователя с ГИС, владелец ГИС запрашивает с пользователя свидетельства того, что требования по защите информации выполняются (так как обеспечения защиты информации - это в первую очередь обязанность владельца ГИС)


Пока по нему не работают ни старые ГИС типа zakupki.gov.ru, ГИС ГМП ни новые, такие как cabinets.fss.ru

пятница, 10 ноября 2017 г.

ИБ. ФСТЭК и уязвимость Intel ME

ИБ сообщество почти не обратило внимания на недавнее информационное сообщение ФСТЭК России об уязвимости Intel Management Engine. А между тем значение оно имеет существенное значение для защиты ГИС и ИСПДн (compliance).

Во-первых, для всех ИС, подключенных к сети Интернет, а таких подавляющее большинство, требуется применение средств обнаружения вторжений уровня сети и узла. Даже для ГИС К3 и ИСПДн УЗ 3-4.
Во-вторых, для всех ИС, подключенных к сети Интернет, требуется применение межсетевого экрана типа “А”. Формально получается, что МЭ, сертифицированные по старым требованиям (которые разрешили использовать до модернизации ИС или переаттестации) уже не подходят. Только МЭ типа А сертифицированныепо новым требованиям

 В-третьих, требуется в обязательном порядке обновить микропроцессорное ПО. Но сейчас такое обновление от Intel ещё отсутствует. А если судить по времени реакции конечных вендоров на предыдущуюуязвимость Intel ME, то это может затянуться ещё на + 6 месяцев. Кроме того, такие обновления необходимо устанавливать локально. Что ещё больше увеличит время установки обновления.
На время отсутствия обновления необходимо принять компенсирующие меры, в том числе:
·         Обеспечить защиту физического доступа к ТС
·         Отключить Intel ATM, а это достаточно сложная процедура и не всё будет работать корректно
·         Опечатывание USB и других средств ввода-вывода
·         Настройка изолированной среды на средствах зыщиты от НСД, что довольно трудоемкая и мешающая обычной работе процедура.


С другой стороны, по этой уязвимости много вопросов:
·         В БДУ ФСТЭК России нет информации о затронутых систем, платформ, нет описания, нет степени критичности, нет вектора атаки или другой подробной информации об уязвимости
·         В качестве источника информации об уязвимости приведена ссылка на Хабр, который не является специализированным ресурсом для публикации и долговременного хранения информации об уязвимостях. В любой момент администраторы ресурса могут скрыть статью, убрать в песочницу и т.п.
·         В статье на Хабре также фактически отсутствуют какие то подробности об уязвимости и приводится приглашение на вебинар и анонс того что подробности об уязвимости будут раскрыты на Black Hat Europe.
·         На вебинаре по Intel ME также не было никакой информации об указанной уязвимости, за исключением нескольких подсказок и намеков секции вопросов и ответов.
·         Остается только наедятся на Black Hat. Но ведь доклад там может и не состоятся: отзовут визу, докладчика не выпустят из-за доступа к ГТ, либо из-за неоплаченных штрафов, а ещё докладчик может заболеть.
·         Не подставляется ли ФСТЭК России, публикуя такое серьезное информационное сообщение, не имеющее под собой никаких фактических оснований?  


Из того что пока мне удалось узнать об уязвимости (но это не точно): процессоры Skylake (а такие в продаже в РФ с конца 2015 года), используется технология аппаратной отладки (JTAG) через локальное подключение к USB порту по технологии Intel Direct Connect Interface (DCI)…..