Блог Сергея Борисова про ИБ

 Новая серия публикаций NISTIR 8286 посвящена обсуждению этапов управления рисками ИБ, того как они соотносятся с особенностями отдельных подразделений и систем, и того как они интегрируются в единую систему менеджмента рисками. Серия состоит из 3х частей, при этом для 8286A опубликована финальная версия, 8286B опубликован второй драфт, а 8286С обещают через пару недель. Идею интеграции ИБ в единую систему менеджмента рисками хорошо иллюстрирует следующая картинка из документа. Правда в РФ пока мало задумываются над такими вопросами Как видно большое внимание уделяется реестру рисков, как простому инструменту, с которым постоянно надо работать, поддерживать его в актуальном виде, интегрировать в реестры верхнего уровня.  NISTIR 8286 говорит что для понимания контекста риска ИБ нужна информация о risk appetite (общая сумма риска которую готовы принять для достижения бизнес-целей) на уровне компании в целом, а также информация о risk tolerance (допустимый уровень отклонения проц...

  Для тех, кто уже провел моделирование угроз с использованием техник и тактик нарушителей из методики ФСТЭК России следующим логичным шагом будет выбор контрмер, которыми можно предотвратить техники нарушителей.   Логично что меры для защиты ИСПДн надо выбирать из приказа ФСТЭК №21, для государственной информационной системы из приказа ФСТЭК №17, для объектов КИИ из приказа ФСТЭК №239 и для остальных объектов АСУТП из приказа ФСТЭК №31. Пока ФСТЭК России не выпустил каких-то методических документов по соответствию между техниками и мерами защиты. От ассоциаций и отраслевых регуляторов тоже не было ничего по этой части. А строить системы защиты как-то надо…. Поэтому я провел для вас такой анализ – какие меры защиты из приказов ФСТЭК лучше всего подойдут для предотвращения техник нарушителей.   Отмечу что каждую технику можно нейтрализовывать не одной а набором мер (тут скорее надо исходить из критичности системы) Ситуация осложнялась тем, что меры защиты в разных приказах...

Для тех, кто проводит работы по анализу соответствия техник и тактик из разных каталогов, визуализация зачастую позволяет быстро, одним взглядом увидеть интересные закономерности и сделать полезные выводы. В сравнении исходим из предпосылки что база MITRE более подробная, чаще обновляется, содержит более современные техники поэтому с большей вероятность её надо брать за эталон и смотреть чего не хватает в каталогах техник и тактик ФСТЭК. Тактик не так много, и поэтому для сравнения вполне подошла обычная таблица. Основные выводы: Исходя из анализа типовых действий нарушителей в базе MITRE предлагается на более поздний этапе рассматривать тактику ТА0011 Command and Control Аналоги для трех тактик отсутствуют в каталоге ФСТЭК, поэтому целесообразно их добавлять Тактика Т9 из каталога ФСТЭК включает сразу 2 тактики MITRE. В матрице MITRE техники на этих двух этапах различаются достаточно сильно, как и способы детектирования их. Целесообразно также разделить в каталоге ФСТЭК Для анализа со...

 Как вы, наверное, знаете,  новая методика моделирования угроз ФСТЭК России  сделала революцию в российских подходах к моделированию угроз – теперь нужно рассматривать угрозы – как комбинацию сценариев действий нарушителей, составленных из элементарных частиц – техник и тактик. Но техники и тактики из методики ФСТЭК немного, они недостаточно сбалансированы и пока не обновляются. Параллельно с этим существуют мировые лучшие практики по структурированию действий нарушителей кибербезопасности и самая популярная из них – матрица  MITRE   ATT & CK  и сопутствующие ей матрицы хакерских группировок, способов обнаружения и возможных мер защиты. Как применить  MITRE   ATT & CK   на практике хорошо рассказал  Алексей Лукацкий на недавнем вебинаре Но что, если мы хотим взаимоувязать моделирование угроз по методике ФСТЭК России и анализ по матрицам  MITRE ? Я вижу следующие возможные варианты интеграции этих двух каталогов: ·  ...

  Недавно европейский орган о кибербезопасности European Union Agency for Cybersecurity ( ENISA ) выпустили свежий  отчет CYBERSECURITY FORSMES по анализу актуальных угроз ИБ для малого и среднего бизнеса, а также дал рекомендации по защите. Давайте посмотрим на них подробнее: ·         В Европе 99% компаний относятся к SME , поэтому их кибербезопасность очень важна (в России, кстати, тоже доля СМБ составляет 90%, хотя общая доля таких компаний в ВВП не большая) ·         Растет зависимость всех типов SME от компьютеров и интернета ·         Большинство SME (более 80%) автоматизировано обрабатывают критическую информации и кибербезопасность для них ключевой приоритет ·         Базовые меры защита внедрены в 70% SME , но расширенные меры применяют менее 30% SME ·         64% SME использу...

  На прошлой неделе провели с Ксенией Шудровой ( RISC ) и Денисом Лукашем ( Infobip ) провели межблогерский вебинар в котором в режиме батла обсудили разные подходы к назначению, опыту, знаниям и подходам DPO и выстраиванию его взаимодействия с бизнесом. Раньше я уже делал подобный анализ исходя из требований к функциям, образованию и квалификации DPO , происходящих из нормативных требований и лучших практик.  Если вам интересна эта тема, то рекомендую ознакомится с этим коротким видео . Но в недавнем вебинаре мы исходили из сложившейся практики и собственного опыта. Рекомендую вам самостоятельно ознакомится с записью вебинара , и высказать свое мнение, а для затравки приведу несколько интересных цитат из обсуждения: ·         “точка зрения юриста является преобладающей” ·         “мы не видим, что целью закона 152-ФЗ является защита персональных данных” ·       ...

  Недавно задавал два простых вопрос в Роскомнадзор по поводу трактовки выполнения законодательства в сфере обработки персональных данных, привожу ниже вопросы, ответы и мои комментарии. 1ый вопрос не дословно, но примерно звучал следующим образом: ·         В организации есть большое количество работников-водителей устроенных по ГПХ, постоянная текучка. Можно ли их рассматривать как работников (вести учет перечень лиц, ознакамливать с внутренними регламентами и т.п. )? или относится к ним как третьим лицам (заключать с ними договор поручение, а со всех субъектов брать согласие на передачу этим третьим лицам)? Ответ привожу ниже: Ответ вполне ожидаемый. Отмечу только что надо не забывать поддерживать в актуальном состоянии перечень таких третьих лиц. Он будет постоянно меняться, поэтому вероятно нужная автоматизация и автообновление на каком-то портале.   2ой вопрос не дословно, но примерно звучал следующим образом: ·   ...