Сообщения

Сообщения за 2021

С новым годом!

Изображение
 Коллеги, поздравляю всех с наступающим новым годом. Желаю всем в новом году: регуляторов ИБ которые больше помогают, обучают и меньше запрещают продуктов ИБ, которые решают именно ваши задачи поставщиков, которые не забывают о вас до следующей оплаты, а помогают решить все возникающие проблемы интеграторов, которые возьмутся за не самую прибыльную для них, но важную для вас, задачу если придется столкнуться с хакерами, то пусть это будут энтузиасты, которые напишут вам же отчет и посоветуют как устранить дыру ИТ-шников, которые работают с вами плечем к плечу руководство, которое пусть на 10 минут, но выслушает вашу презентацию, и пусь аппетит к рискам будет не безграничен HR-ов которые отличают технаря от бумажного безопасника и практика от теоретика.  PR-ов которые всегда помогут вам с внутренней презентацией и видео юристов, которые за вас разберутся в соблюдении прав субъектов ПДн подчиненных и коллег, которые всегда открыты к новому и не забывают "точить пилу" 2021-ый го

Сравнение лучших практик по анализу рисков ИБ с методикой моделирования угроз от ФСТЭК

Изображение
 Новая серия публикаций NISTIR 8286 посвящена обсуждению этапов управления рисками ИБ, того как они соотносятся с особенностями отдельных подразделений и систем, и того как они интегрируются в единую систему менеджмента рисками. Серия состоит из 3х частей, при этом для 8286A опубликована финальная версия, 8286B опубликован второй драфт, а 8286С обещают через пару недель. Идею интеграции ИБ в единую систему менеджмента рисками хорошо иллюстрирует следующая картинка из документа. Правда в РФ пока мало задумываются над такими вопросами Как видно большое внимание уделяется реестру рисков, как простому инструменту, с которым постоянно надо работать, поддерживать его в актуальном виде, интегрировать в реестры верхнего уровня.  NISTIR 8286 говорит что для понимания контекста риска ИБ нужна информация о risk appetite (общая сумма риска которую готовы принять для достижения бизнес-целей) на уровне компании в целом, а также информация о risk tolerance (допустимый уровень отклонения процессов от

Cравнения техник из приказа FST&CK и мер защиты из приказов ФСТЭК

Изображение
  Для тех, кто уже провел моделирование угроз с использованием техник и тактик нарушителей из методики ФСТЭК России следующим логичным шагом будет выбор контрмер, которыми можно предотвратить техники нарушителей.   Логично что меры для защиты ИСПДн надо выбирать из приказа ФСТЭК №21, для государственной информационной системы из приказа ФСТЭК №17, для объектов КИИ из приказа ФСТЭК №239 и для остальных объектов АСУТП из приказа ФСТЭК №31. Пока ФСТЭК России не выпустил каких-то методических документов по соответствию между техниками и мерами защиты. От ассоциаций и отраслевых регуляторов тоже не было ничего по этой части. А строить системы защиты как-то надо…. Поэтому я провел для вас такой анализ – какие меры защиты из приказов ФСТЭК лучше всего подойдут для предотвращения техник нарушителей.   Отмечу что каждую технику можно нейтрализовывать не одной а набором мер (тут скорее надо исходить из критичности системы) Ситуация осложнялась тем, что меры защиты в разных приказах ФСТЭК все ещё

Визуализация и выводы сравнения техник и тактик MITRE ATT&CK и FST&CK

Изображение
Для тех, кто проводит работы по анализу соответствия техник и тактик из разных каталогов, визуализация зачастую позволяет быстро, одним взглядом увидеть интересные закономерности и сделать полезные выводы. В сравнении исходим из предпосылки что база MITRE более подробная, чаще обновляется, содержит более современные техники поэтому с большей вероятность её надо брать за эталон и смотреть чего не хватает в каталогах техник и тактик ФСТЭК. Тактик не так много, и поэтому для сравнения вполне подошла обычная таблица. Основные выводы: Исходя из анализа типовых действий нарушителей в базе MITRE предлагается на более поздний этапе рассматривать тактику ТА0011 Command and Control Аналоги для трех тактик отсутствуют в каталоге ФСТЭК, поэтому целесообразно их добавлять Тактика Т9 из каталога ФСТЭК включает сразу 2 тактики MITRE. В матрице MITRE техники на этих двух этапах различаются достаточно сильно, как и способы детектирования их. Целесообразно также разделить в каталоге ФСТЭК Для анализа со

Сравнение техник и тактик нарушителей из методики ФСТЭК и матриц MITRE ATT&CK

Изображение
 Как вы, наверное, знаете,  новая методика моделирования угроз ФСТЭК России  сделала революцию в российских подходах к моделированию угроз – теперь нужно рассматривать угрозы – как комбинацию сценариев действий нарушителей, составленных из элементарных частиц – техник и тактик. Но техники и тактики из методики ФСТЭК немного, они недостаточно сбалансированы и пока не обновляются. Параллельно с этим существуют мировые лучшие практики по структурированию действий нарушителей кибербезопасности и самая популярная из них – матрица  MITRE   ATT & CK  и сопутствующие ей матрицы хакерских группировок, способов обнаружения и возможных мер защиты. Как применить  MITRE   ATT & CK   на практике хорошо рассказал  Алексей Лукацкий на недавнем вебинаре Но что, если мы хотим взаимоувязать моделирование угроз по методике ФСТЭК России и анализ по матрицам  MITRE ? Я вижу следующие возможные варианты интеграции этих двух каталогов: ·          Провести анализ актуальных техник и тактик и контрмер п

Отчет и рекомендации ENISA по кибербезопасности малого и среднего бизнеса

Изображение
  Недавно европейский орган о кибербезопасности European Union Agency for Cybersecurity ( ENISA ) выпустили свежий  отчет CYBERSECURITY FORSMES по анализу актуальных угроз ИБ для малого и среднего бизнеса, а также дал рекомендации по защите. Давайте посмотрим на них подробнее: ·         В Европе 99% компаний относятся к SME , поэтому их кибербезопасность очень важна (в России, кстати, тоже доля СМБ составляет 90%, хотя общая доля таких компаний в ВВП не большая) ·         Растет зависимость всех типов SME от компьютеров и интернета ·         Большинство SME (более 80%) автоматизировано обрабатывают критическую информации и кибербезопасность для них ключевой приоритет ·         Базовые меры защита внедрены в 70% SME , но расширенные меры применяют менее 30% SME ·         64% SME используют облачные сервисы и 56% используют удаленный доступ ·         Основные атаки, с которыми столкнулись SME были фишинг, вредоносы и атаки на web приложения ·         Основные про

Роль юриста, инженера, аутсорсера в обеспечении приватности и защите персональных данных

Изображение
  На прошлой неделе провели с Ксенией Шудровой ( RISC ) и Денисом Лукашем ( Infobip ) провели межблогерский вебинар в котором в режиме батла обсудили разные подходы к назначению, опыту, знаниям и подходам DPO и выстраиванию его взаимодействия с бизнесом. Раньше я уже делал подобный анализ исходя из требований к функциям, образованию и квалификации DPO , происходящих из нормативных требований и лучших практик.  Если вам интересна эта тема, то рекомендую ознакомится с этим коротким видео . Но в недавнем вебинаре мы исходили из сложившейся практики и собственного опыта. Рекомендую вам самостоятельно ознакомится с записью вебинара , и высказать свое мнение, а для затравки приведу несколько интересных цитат из обсуждения: ·         “точка зрения юриста является преобладающей” ·         “мы не видим, что целью закона 152-ФЗ является защита персональных данных” ·         “закон не про защиту данных бизнеса” ·         “какой риск аппетит у бизнеса?” ·         “в большой компан

Свежие ответы Роскомнадзора по обработке ПДн

Изображение
  Недавно задавал два простых вопрос в Роскомнадзор по поводу трактовки выполнения законодательства в сфере обработки персональных данных, привожу ниже вопросы, ответы и мои комментарии. 1ый вопрос не дословно, но примерно звучал следующим образом: ·         В организации есть большое количество работников-водителей устроенных по ГПХ, постоянная текучка. Можно ли их рассматривать как работников (вести учет перечень лиц, ознакамливать с внутренними регламентами и т.п. )? или относится к ним как третьим лицам (заключать с ними договор поручение, а со всех субъектов брать согласие на передачу этим третьим лицам)? Ответ привожу ниже: Ответ вполне ожидаемый. Отмечу только что надо не забывать поддерживать в актуальном состоянии перечень таких третьих лиц. Он будет постоянно меняться, поэтому вероятно нужная автоматизация и автообновление на каком-то портале.   2ой вопрос не дословно, но примерно звучал следующим образом: ·         новая форма согласия на публикацию ПДн, утвержденн

Лучшие практики по жизненному циклу безопасности ПО от PCI

Изображение
PCI Software Security Framework (SSF) это набор стандартов и сопутствующих им дополнительных материалов. В данный момент набор включает в себя 2 параллельно работающих стандарта, имеющих общую основу, а также свои особенности: ·         Secure Software Standard  – требования к функциям и возможностям безопасности ПО ·         Secure SLC Standard  – требования к процессам разработки безопасного ПО Последний стандарт обновился совсем недавно, поэтому давайте взглянем на него поподробнее: ·         как и во многих других лучших практиках, декларируется объективный риск-ориентированный подход при выборе мер защиты и частоты их выполнения ·         требования разделены на 4 большие группы: o    управление безопасностью o    безопасная разработка ПО o    управление ПО и данными o    безопасность взаимодействия ·         каждое требование включает следующие компоненты: o    задачи (Control Objectives) – результаты которые должны быть достигнуты o    оценка (Test Requir

Модель угроз безопасности клиента финансовой организации

Изображение
  Уже более 2 месяцев как вступил в силу методический документ ФСТЭК по моделированию угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было опубликовано. Как мы обсуждали на межблогерском вебинаре по моделированию угроз ИБ , такой пример мог бы сильно помочь ответственным лицам, обязанным руководствоваться данной методикой. Пример модели угроз обещал сделать Алексей Лукацкий, но пока у него получилась серия публикаций про проблемы моделирования и примера ещё нет. В УЦСБ в рамках услуг по моделированию угроз, коллеги уже провели необходимую аналитику и подготовили внутренние средства автоматизации для разработки МУ, что уже говорит о возможности моделирования угроз по новой Методике.  К последнему межблогерскому вебинару по безопасности клиентов финансовых организаций я решил проверить насколько адекватной получится модель угроз для типового сегмента клиента ФО (а для данной статьи ещё и обновил графическое оформление). Давайте посмот