СОИБ. Анализ. Рекомендации по жизненному циклу приложений, тестированию и каталог уязвимостей

31 июля 2014 г. Банк России опубликовал документ «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем» (РС БР ИББС-2.6-2014)», который вводится в действие с 1 сентября 2014 г.
Не часто нас балуют рекомендациями по ИБ подобного типа, поэтому давайте его рассмотрим подробнее.

Есть основной стандарт СТО БР ИББС-1.0-2014, в котором есть раздел требований “7.3. Общие требования по обеспечению информационной безопасности автоматизированных банковских систем на стадиях жизненного цикла”.
Логично что рекомендации со сходным названием должны уточнять требования, содержать варианты их выполнения и т.п. Поэтому и наименования 7 стадий жизненного цикла АБС в документах совпадают:
1) разработка технического задания (ТЗ);
2) проектирование;
3) создание и тестирование;
4) приемка и ввод в действие;
5) эксплуатация;
6) сопровождение и модернизация;
7) снятие с эксплуатации.”

Но есть в документах и нестыковочки:

СТО БР ИББС-1.0-2014 в целом использует термин процедуры, а в частности требования к процедурам обеспечения ИБ на разных стадиях АБС приводятся в пунктах: 7.3.9, 7.3.10, 7.3.11, 7.3.13, 7.3.14, 7.3.15, 7.3.16.  
РС БР ИББС-2.6-2014 в основном оперирует термином “задачи в части обеспечения ИБ”. Например, на стадии эксплуатации никаких процедур не предусмотрено. Только задачи.

Например, СТО требует чтобы на стадии эксплуатации были определена и выполнялась процедура:
“контроля необходимого обновления программного обеспечения АБС, включая программное обеспечение технических защитных мер.”
В РС на этой стадии про обновления – ни слова, зато есть периодическая оценка защищенности и мониторинг сообщений об уязвимостях.
СТО:
 “7.3.10. На стадии эксплуатации АБС должны быть определены, выполняться, регистрироваться и контролироваться процедуры, необходимые для обеспечения восстановления всех реализованных функций по обеспечению ИБ.
7.3.11. На стадии эксплуатации АБС должны быть определены, выполняться и регистрироваться процедуры контроля состава устанавливаемого и (или) используемого ПО АБС.
7.3.13. На стадии эксплуатации АБС должны быть определены, выполняться и контролироваться процедуры, необходимые для обеспечения сохранности носителей защищаемой информации.”
По этим процедурам на стадии эксплуатации АБС в РС так-же не приводится ни слова уточнений или рекомендаций. Из этого видно что только РС БР ИББС-2.6-2014 недостаточно для обеспечения ИБ на стадиях жизненного цикла АБС. Некоторые процедуры придется определять самостоятельно.

Это всё о грустном, дальше только плюсы:
·        Документ подробно описывает меры, необходимые для обеспечения ИБ на всех стадиях жизненного цикла ИС. Ничего подобного мы раньше в российских документах по ИБ не видели
·         Документом с небольшими изменениями можно руководствоваться при разработке ИС любых типов
·        РС фактически содержит в себе отдельный под-документ: каталог типов уязвимостей (недостатков) ИС.
До этого публичные каталоги типов уязвимостей можно было найти только в западных источниках - каталогах уязвимостей, каталогах угроз, методиках тестирования: WASC, OWASP, Simplicable, BSI, ISMS. Теперь есть локальный публичный источник.

Стандартный каталог типов уязвимостей можно использовать при разработке отчетов об анализе защищенности или проведении пентеста, а так-же при разработке низкоуровневой модели угроз или детальном анализе рисков. С небольшими изменениями данный каталог можно использовать не только для банков, но и для компаний других отраслей.

·        РС фактически содержит в себе ещё три отдельных под-документа: Рекомендации к проведению контроля исходного кода, Рекомендации к проведению оценки защищенности, Рекомендации к проведению контроля параметров настроек технических защитных мер

Данные рекомендации с небольшими корректировками можно применять и для любых ИС компаний из других отраслей. Так как меры по контролю исходного кода, оценке защищенности и контролю конфигурации требуются для ИСПДн, ГИС и АСУ ТП, то такие рекомендации не будут лишними.

Но для того чтобы на каталог и рекомендации по контролю .. можно было ссылаться в других проектах, хотелось бы увидеть и в варианте национальных стандартов.


Комментарии

Отправить комментарий

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Изображение
Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну ". А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ).     А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ. С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обесп
Далее...

Модель угроз безопасности клиента финансовой организации

Изображение
  Уже более 2 месяцев как вступил в силу методический документ ФСТЭК по моделированию угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было опубликовано. Как мы обсуждали на межблогерском вебинаре по моделированию угроз ИБ , такой пример мог бы сильно помочь ответственным лицам, обязанным руководствоваться данной методикой. Пример модели угроз обещал сделать Алексей Лукацкий, но пока у него получилась серия публикаций про проблемы моделирования и примера ещё нет. В УЦСБ в рамках услуг по моделированию угроз, коллеги уже провели необходимую аналитику и подготовили внутренние средства автоматизации для разработки МУ, что уже говорит о возможности моделирования угроз по новой Методике.  К последнему межблогерскому вебинару по безопасности клиентов финансовых организаций я решил проверить насколько адекватной получится модель угроз для типового сегмента клиента ФО (а для данной статьи ещё и обновил графическое оформление). Давайте посмот
Далее...

КИИ. Категорирование объектов, часть 3

Изображение
Продолжаем проводить категорирование объекта КИИ на примере организации сферы здравоохранения. На предыдущем этапе мы выявили критические процессы организации. Теперь определяем объекты КИИ и отправляем их на согласование (этап простой и очевидный, но постараюсь добавить несколько полезных моментов) 3. Определение объектов КИИ Продолжаем начатое на прошлых этапах (а можно и совместить 1-3) общение с руководителями подразделений. Спрашиваем какие ИС или АСУ обрабатывают информацию, необходимую для обеспечения выявленных критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов. Отдельно в ИТ подразделении получаем полный перечень ИС (он должен был готовится в рамках мероприятий по ПДн) и АСУ, совместно с ИТ выкидываем из перечня ИС, не связанные с критическими процессами (как правило, кадровые, бухгалтерские, отчетность, банк-клиенты). В результате, того, что данные об ИС и АСУ получены не из одного источника, гарантируется его
Далее...