Сообщения

Сообщения за 2017

КИИ. Требования ФСТЭК по ОБ значимых объектов КИИ

Изображение
На официальном портале размещен проект приказа ФСТЭК России “Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации”. В отличие от предыдущего приказа по системе безопасности ЗО КИИ, данный приказ является более классическим и уже привычным нам. Сделал обзор в виде майд-карт его основных требований в сравнении с приказом ФСТЭК №31, которому он должен был стать логической заменой (как пророчили эксперты).  Документ можно разделить на 2 логических части: ·          Требования обеспечения безопасности на различных этапах жизненного цикла значимых объектов КИИ ·          Состав мер защиты (в приказе - организационных и технических мер, принимаемых для обеспечения безопасности значимых объектов КИИ) 1. Этап формирования требований Основным новшеством является вынос работ по моделированию угроз с этого этапа в этап разработки мер ОБ. В итоге на этапе формирования требований осталось только кат

Общее. Wi-fi wardriving на службе у Роскомнадзора

Изображение
Последние два месяца территориальные отделения РКН готовили и многие уже выложили планы деятельности на 2018 год. Но месяц назад заместитель Роскомнадзора О.И. Иванов разослал поручение включить в планы мероприятий контроль за Wi-Fi. В результате в планы деятельности управлений пополнились серьезным количеством проверок публичных wi - fi точек доступа. Пример тут  Чем заканчивается подобный мониторинг? Примерно следующим.   Кто попадает под проверки? Кафе, рестораны, гостиницы, крупные торговые и бизнес-центры, публичные мероприятия/выставки, развлекательные и спортивные центры, автосалоны, аэропорты и жд вокзалы и т.п.   В принципе попасть может любая организация, использующая публичный wi - fi для доступа в сеть Интернет.   Даже если вход в здание строго ограничен, но wifi доступен с улицы – этого достаточно. Получаем ip -> Проверка Whois / whoami -> если диапазон за интернет провайдером, официальный запрос за какой организацией числится данный

КИИ. Требования ФСТЭК к системам ОБ КИИ

Изображение
На официальном портале размещен проект приказа ФСТЭК России “Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования”. Документ получился в новом для ФСТЭК России формате (речь не о “дружелюбном” оформлении для домохозяек, а про содержание), поэтому интересное было изучить его подробнее. Скорее всего он будет принят без существенных изменений (хотя некоторые вопросы по тексту есть…) поэтому делюсь с вами майнд-картами по наиболее значимым требованиям. Красным выделил новые требования, ранее не встречавшиеся в документах по защите ПДн, ГИС, АСУ ТП. Не считая общих положений документ содержит 4 группы требований к системе безопасности значимых объектов критической информационной инфраструктуры Российской Федерации (СБ):     Про Требования к силам обеспечения безопасности объекта критической информационной инфраструктуры (ОБ КИИ) можно отметить требования к

ИБ. Как криптография помогает пожарным

Изображение
Как вы, наверное, знаете при использовании СКЗИ для защиты информации ограниченного доступа (ПДн) должны соблюдаться требования эксплуатационной документации.   ПКЗ 2005 “ 46. СКЗИ эксплуатируются в соответствии с правилами пользования ими.” Приказ ФСБ 378 “4. Эксплуатация СКЗИ должна осуществляться в соответствии с документацией на СКЗИ”. В правилах пользования на достаточно популярные СКЗИ VipNet Client и Coordinator указано “На случай пожара, аварии или стихийного бедствия должны быть разработаны специальные инструкции, утвержденные руководством учреждения, в которых предусматривается порядок вызова администрации, должностных лиц, вскрытие помещений, очередность и порядок эвакуации конфиденциальных документов и дальнейшего их хранения.” Аналогичные требования есть правилах пользования старых версий КриптоПро CSP , блоках СКЗИ для тахографов (НКМ-1, НКМ-2, НКМ-К), а также во многих приказах, регламентах гос. органов, СМЭВ. Во время проверок ФСБ России отсутствие

ИТ. Норма ИТ и ИБ специалистов в гос. учреждениях

Несколько коллег недавно просили подсказать какие-то нормы или статистику по РФ, сколько ИТ и ИБ специалистов должно быть в организации на такое-то количество техники. Ниже то что удалось найти (в том числе с вашей помощью), возможно будет полезным. 1.        Из адекватной статистики удалось обнаружить только глобальные цифры: a.        700 тыс. ИТ специалистов в РФ b.        2% населения РФ заняты ИКТ c.        ВУЗами выпускается примерно 7 (семь) ИТ специалистов в год на 10000 чел. населения 2.        Перечень типовых отраслевых (межотраслевых) норм труда , утвержденных нормативными правовыми актами Российской Федерации и СССР  В этом перечне пропущены некоторые более свежие нормы, например, как эта от Минздравсоцразвития за 2011 г. Приведенные документы содержат нормы времени на конкретные микро-работы на одну единицу объекта обслуживания, а также периодичность этих работ. Для того чтобы на основании этих данных рассчитать необходимую численность персонала

ИБ. Классификация для пользователей ГИС

Изображение
С учетом тенденции по централизации информационных систем, в региональных государственных и муниципальных органах, в региональных гос. учреждениях отсутствуют собственные ГИСы, но есть большое количество клиентских подключений к ГИС. Очевидно, что такие рабочие места необходимо защищать. Но по каким требованиям? То с чем я сталкивался – полный разброд и шатание. Одни защищают такие АРМ как собственную ИСПДн. Другие классифицируют как ГИС причем с уровнем защищенности от К1 до К3. Давайте разберемся какой порядок работы всё-таки правильный и какие сейчас есть сложности с ним. Во-первых, кто может и должен классифицировать клиентские места ГИС? В соответствии с пунктом 14 приказа ФСТЭК №17 классификацию ГИС осуществляет обладатель информации в ГИС ( заказчик ГИС –орган который создает или заказывает ГИС по гос. контракту). Учреждение с клиентским местом не создает ГИС и соответственно не может проводить классификацию. Во-вторых, может быть клиентские места ГИС вообще

ИБ. ФСТЭК и уязвимость Intel ME

ИБ сообщество почти не обратило внимания на недавнее информационное сообщение ФСТЭК России об уязвимости Intel Management Engine. А между тем значение оно имеет существенное значение для защиты ГИС и ИСПДн ( compliance ). Во-первых, для всех ИС, подключенных к сети Интернет, а таких подавляющее большинство, требуется применение средств обнаружения вторжений уровня сети и узла. Даже для ГИС К3 и ИСПДн УЗ 3-4. Во-вторых, для всех ИС, подключенных к сети Интернет, требуется применение межсетевого экрана типа “А”. Формально получается, что МЭ, сертифицированные по старым требованиям (которые разрешили использовать до модернизации ИС или переаттестации) уже не подходят. Только МЭ типа “ А ” сертифицированныепо новым требованиям  В-третьих, требуется в обязательном порядке обновить микропроцессорное ПО. Но сейчас такое обновление от Intel ещё отсутствует. А если судить по времени реакции конечных вендоров на предыдущуюуязвимость Intel ME , то это может затянуться ещё на + 6 меся

ПДн. ТОП характеристик обработки ПДн

Изображение
В предыдущих частях 1 и 2 мы начали рассматривать реестр операторов ПДн. Сегодня продолжим с с рассмотрения наиболее популярных характеристик обработки ПДн сообщаемых операторами. К сожалению, в реестре не ведется анализ отраслей, к которым относятся операторы ПДн, что не позволяет проводить сравнение со статистикой общего количества организаций, действующих в определенных отраслях. Сопоставление целей, оснований и категорий субъектов ПДн позволяет проводить хотя бы косвенный анализ. Например, что из примерно 100 тыс. образовательных организаций РФ, в реестре зарегистрированы 45-69 тыс.   Как я говорил в первой части, информация в реестре хаотическая. Пришлось достаточно сильно её дополнительно обрабатывать, фильтровать и типизировать. Цели обработки ПДн Основания обработки ПДн Категории субъектов ПДн Категории ПДн Выше приведена статистика, так как она есть – что вносили операторы ПДн, без анализа корректности и уместности той или иной информац

ПДн. Нарушители в Реестре операторов ПДн?

Изображение
В предыдущей части мы начали рассматривать реестр операторов ПДн. Сегодня продолжим с нарушителями законодательства о ПДн, которых можно выявить, едва взглянув на Реестр. 1. В связи с изменениями в № 152-ФЗ, внесенными от 25.07.2011 № 261-ФЗ, каждому оператору необходимо было определить лицо, ответственное за организацию обработки ПДн, принять дополнительные меры, определенные статьей 18.1 152-ФЗ и уведомить РКН о назначенном лице и принятых мерах. Как видно по результатам анализа, в Реестре имеется 113 931 (на момент анализа) операторов, нарушающих это требование. И далее несколько примеров таких операторов:  2. В связи с изменениями в № 152-ФЗ, внесенными от 21.07.2014 № 242-ФЗ и в ступившему в силу 1 сентября 2015 г. требовалось перенести все БД в РФ и уведомить Роскомнадзор о местах нахождения БД с ПДн.   Как видно по результатам анализа, 267 306 (на момент анализа) операторов нарушает это требование и всё ещё не сообщила о месте нахождения БД с ПДн. Н

ПДн. Зачем Реестр операторов ПДн?

Изображение
Роскомнадзором ведется реестроператоров персональных данных , где каждый гражданин может проверить ключевую информацию об обработке персональных данных у конкретного оператора. Эти данные РКН мог бы также использовать в рамках своих полномочий и обязанностей, но мы давно уже не видели какой-то интересной сводной аналитики по операторам ПДн. Я решил исправить этот недочет. Выгрузил пару месяцев назад данные реестра с открытых данных, провел анализ и хочу поделится с вами некоторыми интересными результатами. 1. В текущем виде реестр представляет из себя некую хаотическую массу информации. Вроде поля у всех одинаковые, но каждый может писать в них всё что заблагорассудится, без какой-либо типизации. Плюс со временем менялись рекомендации, но к уже ранее внесенной информации они никак не применялись. В результате имеем не фактически не поддающиеся анализу и сравнению данные Сравните, например, данные оператора с рег. номером 08-0000106 и 77-17-005506 . Они различаются по объем