Сообщения

Сообщения за апрель, 2013

СОИБ. Проектирование. Сертифицированный защищенный удаленный доступ (Remote VPN) часть 1

Сразу хочу отметить исходные условия: ·         вопросы необходимости сертификации СКЗИ в данной статье не рассматриваются; ·         постоянно возникают задачи из всего спектра существующих средств построения VPN быстро выбрать те, которые походят под  ограничивающие условия у Заказчика (а уже потом из тех, которые в принципе будут работать делать сравнение по функциям) ·         функциональные возможности средств защиты удаленного доступа в данной заметке не рассматриваются ·         основными ограничивающими условиями для защищенного удаленного доступа являются – типы устройств с которых должен осуществляться доступ, используемые операционные системы и требуемый класс криптографической защиты (КС1, КС2, КС3). По этим условиям легко проводить объективное сравнение – все они приведены  в формулярах на СКЗИ ·         речь идет о защите удаленного доступа типовых пользователей крупной и средней компании (то есть не единичного АРМ, а ноутбуков с разными ОС и желательно план

Общее. Статья про защиту гос. услуг и другие

Недавно опубликован №2 журнала "Information Security. Информационная безопасность" , в котором есть моя статья про Интеграцию технологий обеспечения ИБ при оказании электронных государственных услуг. В ней я представил вариант решения, достаточный, с моей точки зрения, для защиты гос. услуг от наиболее актуальных угроз и обработать наиболее опасные риски. Многие сейчас пишут о проблемах и не говорят о решениях. В моей статье описаны и проблемы и задачи и решения. К сожалению, редакция немного урезала описание подробностей конкретных решений, но надеюсь, кому-то будет полезным и такая статья . Для защиты  госуслуг предлагаю интегрировать в неё решения по защите от DDoS атак, решения по защищенному удаленному доступу (SSL VPN), решения по защите web приложений (WAF) и БД (DBF) За компанию приведу ссылки на другие публикации, вышедшие в начале года. ·         Комментарии о планах изменения законодательствапо ПДн для Деловой газеты – Юг. ·         Ответы на воп

СОИБ. Проектирование. Защита от силового захвата информации

Изображение
Как оказалось для некоторых компаний ещё актуальна угроз силового захвата информации.  Возможными сценариями атак, реализующих такую угрозу могут быть: ·        рейдерский захват офиса ·        похищение компьютерного оборудования из офиса ·        неожиданная проверка с участием спецслужб Классической мерой защиты от такой угрозы является шифрование информации. При этом в различных решениях есть возможность мгновенного отключения доступа к информации путем нажатия «тревожной» кнопки, использования радио брелка, извлечения токена и т.п. (в качестве примера могу привести Secret Disk ) Причем бывают смешные ситуации, когда организация обязана использовать российские алгоритмы шифрования по ГОСТ для выполнения требований законодательства, но при этом не доверяет этим алгоритмам, считая что спецслужбы их легко могут расшифровать. В результате применяется двойное шифрование AES +ГОСТ. Но получить доступ к информации

СЗПДн. Юмор. Новый стандарт РКН, ФСТЭК и ФСБ по оценке вреда субъектам ПДн

Изображение
Как вы наверное знаете недавно регуляторами Роскомнадзором, ФСТЭК России и ФСБ России был разработан стандарт по оценке вреда субъектам ПДн, документ прошел экспертные слушания и  был передан на регистрацию в Минюст России. http://fstec.ru/proekty-dokumentov-tzi/ vred / Основные положения данного документа : ·         определение возможного вреда субъектам ПДн организуется оператором для каждой ИСПДн ·         определение возможного вреда субъектам ПДн производится коллегиально комиссией или рабочей группой ·         в комиссию должны включатся следующие лица: o    лицо, ответственное за организацию обработки ПДн o    субъект, персональные данные которого обрабатываются в системе o    представитель территориального подразделения ФСТЭК России o    представитель территориального подразделения ФСБ России o    представитель территориального подразделения Роскомнадзора ·         представители регуляторов назначаются в ответ на письмо лица, ответственного за орган