Блог Сергея Борисова про ИБ

Вчера на сайте ФСБ была опубликована выписка из документа “Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации” утвержденного Президентом РФ 12.12.2014 № К 1274. http://www.fsb.ru/files/PDF/Vipiska_iz_koncepcii.pdf Давайте посмотрим, какая есть ещё публичная информация по ГосСОПКе и представим её общую картину: ·         Презентация выступления Юдина Сергея Николаевича из ФСБ на 7 уральском форуме IB - Bank от 17.02.2015  ·         Указ Президента Российской Федерации от 15 января 2013 г. N 31с г. Москва "О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации" На всякий случай взглянем на: ·         экспертное мнение Алексея Лукацкого по возможному составу федеральной системе обнаружения атак ·         замороженный проект ФЗ РФ “о безопасности критической

В конце прошлого года у меня подобралось несколько вопросов в рамках защиты ПДн, по которым не было однозначного ответа. При этом ряд знакомых экспертов (Артем Агеев, Николай Домуховский и д.р.) советовали не заниматься публичными рассуждениями, а писать письма регуляторам. Письма были написаны, давайте посмотрим что получилось с вопросами к ФСБ России: Вопрос 1. На основании чего (какого мероприятия, документа) Оператор персональных данных должен определять необходимость использования СКЗИ или отсутствие необходимости использования СКЗИ для защиты ПДн? (примечание автора – данный вопрос возник с связи с наличием различных трактовок ПП 1119 и приказа №378 ФСБ в части необходимости применения СКЗИ для защиты ИСПДн. Одно из мнений экспертов - необходимость применения СКЗИ остается на усмотрение Оператора который указывает, актуальная или нет угроза нарушения конфиденциальности. Другое мнение – если ПДн передаются по неконтролируемым каналам связи нужно применять СКЗИ в любом

Продолжаем предыдущую статью и настраиваем некий обобщенный WAF : ·         настраиваем политики безопасности : o    для определенных ранее объектов защиты назначаем политику сетевой безопасности (открыты порты только связанные с web приложением, из подсети управления разрешен так-же трафик для сервисов управления) o    для каждого web сервиса настраиваем политики защиты web сервиса (могут быть разрешены нестандартные HTTP запросы, такие как HEAD ,  могут быть разрешены SQL команды и т.п.), включаем группы сигнатур и  выбираем реакцию на основные типы обнаруженных атак o    для каждого web приложения настраиваем политики связанные с web приложением (разрешенные коды ошибок, возможность обращения к файловой системе, возможность передачи команд ОС для административных панелей и т.п.) o    настраиваем политики агрегации обнаруженных нарушений, связанных с одним источником или одним типом нарушения o    настраиваем политики корреляции обнаруженных нарушений на раз

Что делать, если для реализации меры Nx в компании хочется внедрить/купить/продать техническое решение NG , но вот незадача - в прошлом году было приобретено/продано некое техническое решение G ... Будем замещать старое G на новое и более эффективное решение NG путем демонстрации / пилота. Программа замещения ИБ : ·         правильное подключение ·         правильный тест ·         правильные критерия сравнения Если мы знаем, что решение G пропускает хотя бы один пакет или сообщение, которое обнаруживает NG , то подключать NG конечно же надо после G , чтобы руководству продемонстрировать – “вот она, пропущена реальная атака, которая могла бы разрушить ваш бизнес” Схема замещения ИБ 1 (защита от внешних угроз) Если вы не знаете каких-либо атак/угроз, которые пропускает решение G но обнаруживает NG (а это обычная ситуация при импортозамещении), смело подключайте решение NG до G . Вы легко сможете провести тест который будет обнаруживаться решением NG не