Сообщения

Сообщения за Октябрь, 2012

Общее. С чего начать CISO?

Недавно с коллегами обсуждали интересный вопрос – с чего начать CISOнедавно пришедшему в компанию, если до него полноценно ИБ не занимались, доверия от руководства ещё нет, бюджеты, выделяемые раньше на ИБ были минимальными, хочется в кратчайшие сроки укрепить лично свои позиции перед руководством, а службу ИБ вывести в состав важнейших, хотя бы на уровне службы ИТ?
Тут я вижу 3 варианта действий: бизнес подход, жесткий контроль, лучший специалист.
Вариант ИБ “бизнес подход”: ·Собрать комитет по ИБ ·Определить требования бизнеса к ИБ, цели и приоритеты ·Разработка концепции ИБ, политики менеджмента ИБ ·Определить показатели эффективности службы ИБ ·Довести до всех членов комитета важность вопросов ИБ ·Убедить всех членов комитета принять активное участие в дальнейших мероприятиях по ИБ ·Провести инвентаризацию, классификацию и оценку информационных активов ·Провести классификацию угроз и оценку рисков ИБ ·Составить план мероприятий по ИБ (обработки рисков ИБ),  внедрения СУИБ и СМИБ ·Внедрить…

СОИБ. Анализ. Предложения по совершенствованию Требований ФСТЭК России

В соответствии с информационным сообщением ФСТЭК России “о проекте Требований о защите информа-ции, не составляющей государственную тайну, содержащейся в государственных информационных системах” от 12 октября 2012 г. № 240/22/4140 провел экспертизу проекта приказа ФСТЭК России “Об утверждении Требований о защите ин-формации, не составляющей государственную тайну, содержащейся в государственных информационных системах”.
Из основного могу отметить: В документ отсутствует раздел с терминами и определениями. Есть ссылки на ряд внешних документов, но каким именно документом руководствоваться для конкретных определений – непонятно. Учитывая несогласованность разных уже существующих документов – это может стать проблемой. Для примера: есть требования о сертификации всех средств защиты информации, но нет определения средства защиты информации. В своем блоге я уже поднимал эту тему и приводил к каким сложностям приводит неоднозначность  в этом определении. Так-же в документе есть несогласованн…

СОИБ. Анализ. Вызовы для ИБ

В ряде случаев возникает необходимость привести примеры инцидентов ИБ и других сложных ситуаций, которые возникают у ответственных за ИБ в случае отсутствия комплексной системы обеспечения информационной безопасности. Привожу ниже те случаи и инциденты, которые связаны с наиболее ценной защищаемой информацией (остальные остались за границами данной заметки): 1.Администратор бизнес приложения или БД, используя локальный доступ к консоли сервера, сделал копию большого объема данных и записал её на свой АРМ или съемный носитель; 2.Пользователь бизнес приложения за короткий промежуток времени выполнил просмотр ценной информации по большому количеству ключевых клиентов (в том числе тех, с которыми ранее не работал), распечатал или сохранил информацию в файл 3.Пользователь бизнес приложения, скачал в сети Интернет клиентское ПО для подключения к БД, подключился напрямую к БД с использованием своей учетной записи и получил доступ к ценной информации, которая обычно не отображается в  бизнес п…

Общее. Вебинары NGS Distribution

Новый дистрибьютор решений по ИБ NGS Distribution провел ряд вебинаров: ·11 октября совместный с Stonesoft вебинар “Настройка StoneGate SSL VPN с нуля”; видеозапись ·16 октября вебинар “BackBox – аварийное восстановление конфигураций сетевого оборудования и устройств информационной безопасности”; презентация; видеозапись ·18 октября совместный с Stonesoft вебинар “Что такое StoneGate IPS и почему это хорошо?”. видеозапись
По прошедшим вебинарам:
Вебинар по StonegateSSLVPN оценю на 3 балла по глубине (из 5) – с одной стороны пошаговая конфигурация StonegateSSLVPNв реальном времени, с комментариями и использованием GOST кприптоалгоритмов, русскими специалистами, cдругой стороны показаны были только базовые настройки (кластеры, SSO, работа с мобильными устройствами, работа в смешанном режиме GOSTи AES - остались на потом) и во время вебинара были сложности с отображением  окон (было видно только основное окно, другие всплывающие окна были для слушателей невидны, что препятствовало получени…

Общее. Материалы с мероприятий по ИБ за сентябрь-октябрь (UPDATE)

В этот раз не смог посетить очно ряд мероприятий по ИБ, так что смотрел онлайн или пересматривал в записи. Возможно вам тоже пригодится подборка..
ХI конференция "Информационная безопасность. Региональные аспекты. ИнфоБЕРЕГ-2012": ·программа конференции ·презентации докладчиков
Конференция DLP-RUSSIA 2012: ·программа и материалы конференции ·видеозаписи докладов
Выставка InfoSecurityRussia 2012: ·программа конференции ·материалы конференции доступны после регистрации,  входа с аутентификацией, добавлении нужных докладов себе в отчет и просмотра отчета
Конференция Yet another Conference 2012 (Яндекс). Секция по ИБ:
·доклады и видеозаписи

Международная выставка-конференция INFOBEZ-EXPO 2012: ·деловая программа ·презентации докладов и "официальные" видеозаписи докладов (UPD) ·неофициальные релизы видео от Алексея Никитенко и Андрея Кондратенко

СОИБ. Анализ. Регистрация событий доступа.

После реализации ряда проектов связанных и использованием специализированных средств защиты приложений и БД стал задумываться - как без них удается реализовать требования по регистрации и аудиту доступа к защищаемым данным?
О необходимости такой таких мероприятий для эффективного обеспечения ИБ я писал в одной из предыдущих заметок.
Но кроме этого есть ещё требования законодательства: ·149-ФЗ, Статья 16: “4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить: 2) своевременное обнаружение фактов несанкционированного доступа к информации;” ·152-ФЗ, Статья 19: “2. Обеспечение безопасности персональных данных достигается, в частности: 6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер; 8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с пе…

СЗПДн. Проектирование. Сертифицированные ОС

В сегодняшней заметке хотелось бы уделить внимание сертифицированным в системе ФСТЭК России операционным системам, использующимся в качестве средств защиты информации, на примере ОС семейства MicrosoftWindows.
В большинстве случаев сертификация ОС в системе сертификации ФСТЭК России применяется не для уменьшения рисков ИБ, поэтому проводить экспресс анализ рисков, как в предыдущих заметках, смысла нет.
А вот для уменьшения регуляторных рисков, то есть для выполнения требований законодательства, данная мера применяется очень часто (разрабатываемые в данный момент постановления правительства, о которых я писал ранее, могут уменьшить область применения сертифицированных ОС).
Посмотрим, для выполнения, каких требований используется сертификация ОС. 1.152-ФЗ о ПДн статья 19: “2. Обеспечение безопасности персональных данных достигается, в частности: 3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;”
2.ПП 781: “5. Средства защиты информаци…