Сообщения

Сообщения за апрель, 2012

СЗПДн. Анализ. Проекты новых постановлений правительства РФ по защите ПДн (UPDATED)

На сайте ФСБ были опубликованы 2 проекта новых постановлений правительства РФ по защите ПДн: обустановлении уровней защищенности и о требованиях по защите ПДн в ИСПДн Не вижу смысла пока делать постатейный анализ – это проекты документов. Привожу пока только основные замечания: 0.       Как можно было так долго (почти год) разрабатывать эти документы, если изменения минимальны? 1.       Под уровнем защищенности понимается набор требований, которые оператор должен стремиться выполнить. Реальный (или текущий) уровень защищенности ИСПДн не имеет к нему отношения (а были и такие предположения). 2.       В документе про уровни защищенности не рассматривается такой тип ИСПДн как – содержащий общедоступные ПДн. Не понятно, какой уровень защищенности должен быть у  этих систем -> возможны разные трактовки при проверке -> коррупция 3.       Класс ИСПДн не зависит от возможного вреда субъекту. (точнее сделана пометка что в зависимости от вреда класс может быть увеличен

СОИБ. Анализ. Безопасность технологических сетей и систем

Не секрет, что в ряде предприятий параллельно с компьютерной вычислительной сетью существует ещё одна технологическая сеть с технологическими системами ( SCADA , АСУ ТП). Последнее время растет количество опубликованных уязвимостей  АСУ ТП. Например свежие новости про уязвимости в самых популярные в России производителях SCADA :  Schneider-Electric и Siemens . Вместе с этим эксперты по ИБ всё чаще поднимают эту проблему и предлагают решения: ·         Михаил Емельянников предупреждает о возможныхкатастрофах ·         Андрей Комаров неоднократно поднимает эту тему в своем блоге ·         Алексей Тюрин пишет в журнале “информационнаябезопасность” №2 за 2012             ·         Алексей Лукацкий приводит обзоры различныхстандартов обеспечения безопасности технологических сетей в своем блоге и наконференциях Но реакции со стороны специалистов занимающихся безопасностью технологических сетей и систем не видно. А вместе с тем предприятий, в которых есть технологич

СОИБ. Лицензирование деятельности связанных с шифрованием

На сайте правительства РФ опубликовано Постановление от 16 апреля 2012 г. №313 Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя). Во-первых, добавилось явное исключение, описывающее случаи, когда

СОИБ. Защита информации в НПС

9 апреля на сайте АРБ был опубликован проект постановления правительства РФ «об утверждении Положения о защитеинформации в национальной платежной системе» . Есть вероятность что положение близко к утверждению. Документ интересный. Все фразы составлены очень гибко, в расчете на то что в дальнейшем требования будут ещё детализироваться операторами ПС. Но общая картина требований вырисовывается и сейчас: ·         Оператор ПС разрабатывает модель угроз ·         Субъекты ПС информируют Оператора если выявляют дополнительные угрозы ·         Конкретные требования по обеспечению защиты информации (ОЗИ)  для каждой платежной системы определяются Оператором. ·         Как минимум требования должны включать: o    Выделение подразделения /ответственного за защиту информации o    Анализ угроз o    Управление рисками o    Распределение ролей o    Управление инцидентами o    ОЗИ при работе с сетью Интернет o    ОЗИ при доступе к инфраструктуре платежной системы o    О

СЗПДн. Эксплуатация. Лицензирование ТЗКИ

В продолжение п редыдущей заметки олицензировании . Недавно на сайте ФСТЭК России было опубликовано три информационных документа, “Перечень оборудования, необходимого для лицензии на ТЗКИ” (утвержден 3 апреля 2012 г .) , “Перечень стандартов и РД, необходимых для получения лицензии на ТЗКИ” (утвержден 16 марта 2012 г .), “Перечень стандартов и РД, необходимых для получения лицензии на производство СЗИ” (утвержден 9 апреля 2012 г .). Посмотрим каким оборудованием необходимо обладать организации, желающей получить лицензию в рамках защиты СЗПДн. Сделаем следующие предположения : ·         организация планирует проектирование и установку СЗИ делать самостоятельно; ·         аттестация не требуется (так как коммерческая компания); ·         сертификация не требуется (так как средства уже сертифицированы); ·         угрозы утечки по техническим каналам не актуальны; ·         контроль защищенности от НСД  (экспрессаудит) будет заказываться у внешнего аудитора. Соответств

СОИБ. Проектирование. Управление строгой аутентификацией

Изображение
В продолжение одной изпредыдущих заметок об актуальных решениях ИБ , как сертифицированный специалист хочу поддержать решение компании SafeNet (и входящей в неё Aladdin ) – система управления строгой аутентификацией SafeNet Authentication Manager , SAM (ранее известная как TMS ). Дополнительный повод – это выход новой версии SAM , привнесшей много дополнительных возможностей. Сейчас система находится на финальных стадиях сертификации в системе ФСТЭК России. Система SafeNet Authentication Manager предназначено для построения инфраструктуры строгой аутентификации, как части системы обеспечения безопасного доступа к информационным ресурсам предприятия. Наиболее востребованными областями применения инфраструктуры строгой аутентификации являются: ·          обеспечение удаленного доступа сотрудников, партнеров к информационным ресурсам предприятия; ·          обеспечение мобильного доступа к информационным ресурсам предприятия с любого мобильного устройства из любой точки