Сообщения

Сообщения за Декабрь, 2013

СЗПДн. Анализ. Зимний пакет изменений 152-ФЗ

Сегодня зарегистрирован очередной законопроект о внесении изменений в 152-ФЗ.
Обычно я не пишу про законопроекты, так как не все они принимаются, а иногда слишком меняются по ходу дела. Но сегодняшний - слишком хорош чтобы пропустить его.
Положительные изменения: ·Поправили определение биометрических персональных данных. О проблеме с ними я неоднократно писал в блоге.
РКН выпускал информационное письмо, но не все рассматривали его как обязательную норму ·Ещё раз обратили внимание на первостепенное значение частных законов (банковская тайна, врачебная тайна) над общими (ФЗ о ПДн) ·Убрали лишнюю обязанность обеспечивать конфиденциальность общедоступных и обезличенных данных. Нерационально и невозможно защитить то, что субъект ПДн не считает нужным защищать
Об этой проблеме я так-же писал в блоге ·Нормально определили Обработчика и переписали разделы связанные с Обработчиком.
Аналогично тому, как это определено в европейской конвенции ·Разрешили согласие в электронной форме.
О проблеме с так…

СОИБ. Анализ. Модель угроз SAP

Изображение
В сегодняшней заметке хочу начать серию (возможно две) статей по защите ИС на платформе SAP.  По данной теме написано немало информации, но я постараюсь добавить что то новое, чтобы вам было интересно.
Изначально мне надо было подобрать комплекс технических решений по защите SAP, потом возникло желание протестировать применение приказов 17, 21 и недавнего проекта методического документа ФСТЭК Р на практике.
Для начала зафиксируем характеристики ИС, на основе которых в дальнейшем будем делать выбор мер защиты. Так как регулятор нам не дал нам необходимого перечня – придется придумывать самому.





Далее начинаем двигаться в сторону выбора мер защиты. Но первым делом нужно определить перечень актуальных угроз.
В предыдущих заметках (тут и тут) я приводил результаты моделирования угроз /экспресс-анализа рисков в виде таблицы.
В этот раз я решил выполнить модель угроз в виде графической схемы .  А почему бы и нет, если методические документы ФСТЭК нам не говорят что такое моделирование уг…

СОИБ. Анализ. Что может выбирать оператор / эксперт

Последнее время от многих экспертов слышу: чем меньше обязательных правил / требований -> тем больше свобода выбора  -> тем лучше систему обеспечения ИБ можно построить. А зачем организации вообще обращаются к каким-то стандартам, методикам, designguide-ам или другим лучшим практикам?  Если эти ограничения делают систему хуже, зачем тогда появились все эти серии документов от ISO, NIST, SANS, OWASP, СТО БР ИББС, ГОСТ ИСО/МЭК? Пожалуй, потому, что с ним СОИБ приобретает ряд полезных свойств: ·Накопление и передача знаний. Даже если человек занимается безопасностью всю жизнь, он не может быть экспертом во всех областях (не касается Алексея Лукацкого) ·Системность подхода. В информационной безопасности самые опасные инциденты начинаются с самого слабого звена, поэтому надо не забыть рассмотреть все звенья ·Независимость системы от одного ответственного за ИБ. Если система построена полностью на базе знаний и суждений одного человека, то с его уходом  систему придется создавать заново…

СОИБ. Анализ. Серия 2. предложения к Методическим рекомендациям ФСТЭК по защите ГИС

Проект методического документа ФСТЭК России “Меры защиты информации в государственных информационных системах”. Продолжаю замечания и предложения:
1.Опять СЗИ или не СЗИ? Приказ 17 ФСТЭК требует: "11. Для обеспечения защиты информации, содержащейся в информационной системе, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации"
В очередной раз Регулятор не воспользовался возможностью чтобы объяснить:  что же такое средство защиты информации при принятии решения о необходимости сертификации.
Это не было сделано в постановлении правительства 1119. Не было сделано в приказе 17 и 21 ФСТЭК. Казалось бы, если не в методическом документе, то где?
Посмотрим на проблему в конкретной ситуации:
Например, в ИАФ.1 есть требование
"Пользователи информационной системы должны однозначно идентифицироваться и аутентифицироваться для всех видов доступа..."
Мне не повезло, у меня в о…

СОИБ. Анализ. Мои предложения к Методическим рекомендациям ФСТЭК по защите ГИС.

Проект методического документа ФСТЭК России “Меры защиты информации в государственных информационных системах”.
Замечания и предложения: 1.Мерам защиты – короткие и запоминающиеся имена. Разработчики документов ФСТЭК загнали себя в терминологическую ловушку. По закону они должны были разработать состав и содержание мер защиты. По логике они должны были для начала придумать понятные и удобные наименования для мер защиты. Они попытались это совместить. Вышло неудачно.
Например “ЗИС.28. Воспроизведение ложных и (или) скрытие истинных отдельных информационных технологий и (или) структурно-функциональных характеристик информационной системы или ее сегментов, обеспечивающее навязывание нарушителю ложного представления об истинных информационных технологиях и (или) структурно-функциональных характеристиках информационной системы”
Почему не годится такое наименование меры? Потому что в процессе жизненного цикла СОИБ участвует большое количество лиц: регулятор, разработчик средств защиты, опера…

Общее. Конференция Antifraud Russia 2013

Изображение
На днях прошла четвертая международная конференция Antifraud Russia 2013 посвященная борьбе с мошенничеством в сфере высоких технологий, а особенно в банковской сфере, телекоммуникациях, ритейле, электронной торговле.

На конференцию было зарегистрировано порядка 450 участников. Так как к концу пленарного заседания конференц-зал был полон (а в нем, 672 места), то эта цифра очень похожа на правду.  Один из основных трендов, который озвучивался большинством докладчиков – активно развиваются платежи с мобильных платформ под управлением ОС Android, которая не обеспечивает ни какой безопасности (примерно об этом я и писал в предыдущей статье).
Основные тезисы с пленарного заседания подробно представлены в обзоре на banki.ru.
Отмечу те моменты, которые понравились лично мне. (В течении конференции публиковал их в твиттере с тегом #antifraudrussia)
Как всегда, было интересно послушать Илью Сачкова из Group-IB. Он приводил основные моменты из отчета своей компании “Рынок преступлений в области …