Главная » Участники » Сергей Борисов
СОИБ. Анализ. Порядок выполнения основных мероприятий по обеспечению безопасности ПДн

По информации блога http://sborisov.blogspot.ru/   В очередной раз пишу про уже порядком утомившую всех тему по защите ПДн.   Так как в комментариях к предыдущим заметкам поднимались вопросы: ·        почему написано про модель угроз , если явно она не требуется ·        нужно ли обследование ·        обязательны ли сертифицированные СЗИ ·        обязательная ли аттестация ·        какие возможны документы в простых случаях   Свел в одну картинку основные возможные варианты выполнения основных мероприятий по обеспечению безопасности ПДн и типовые наборы документов.       Хотел сделать кратко и…

(подробнее...)
СОИБ. Проектирование. Выбор мер по защите информации для виртуализированных инфраструктур

По материалам блога http://sborisov.blogspot.ru/   Недавно ассоциация RISSPA  опубликовала аналитическую статью о проблеме выбора средств защиты информации для виртуализированных инфраструктур.   Будучи в отпуске пропустил эту новость, но сейчас внимательно ознакомился.   Авторам документа скажу спасибо, так как подобной комплексной подборки СЗИ я не встречал даже среди англоязычных материалов.  Не говоря о привязке к мерам защиты ПДн, которые ФСТЭК представил совсем недавно.   Интересная таблица по соответствию мер и средств защиты       Таблица с подборкой актуальных сертификатов ФСТЭК на приведенные…

(подробнее...)
СЗПДн. Анализ. Выбор мер обеспечения безопасности общедоступных ПДн 2

В одной из предыдущих заметок я приводил демонстрацию анализа и выбора мер защиты по новому комплекту документов (ПП 1119, Приказ ФСТЭК №21) на примере ИСПДн с общедоступными ПДн.   В комментариях к заметке было интересное обсуждение с читателями, в результате которого было высказано мнение, что исключать лишние меры можно на этапе адаптации базового набора мер, исходя из особенностей функционирования ИС в которой не актуальны угрозы для нейтрализации которых применяется данная мера.   Я решил рассмотреть ещё раз ту же задачу с теми же исходными данными и с приведенным выше подходом.   В варианте,…

(подробнее...)
СОИБ. Проектирование. Чего мы ещё лишаемся требуя использовать сертифицированную криптографию

По материалам блога http://sborisov.blogspot.ru/   В серии предыдущих заметок я уже приводил примеры с какими сложностями, дополнительными затратами и ограничениями придется столкнутся организациям, использующим сертифицированный по ГОСТ remote VPN по сравнению с счастливыми обладателями альтернативных решений.   Посмотрим теперь сравнение в случае если потребовалась защитить информацию, передаваемую по собственным или арендованным каналам связи с использованием криптографических средств (внутренние каналы связи между объектами сети передачи данных).      Такая необходимость может возникнуть в…

(подробнее...)
СЗПДн. Анализ. Выбор мер обеспечения безопасности общедоступных ПДн

По информации блога http://sborisov.blogspot.ru/   Уже достаточно давно обновился комплект подзаконных актов по защите ПДн (ПП 1119 и приказ ФСТЭК №21) а примеров выбора необходимых мер никто не решился опубликовать. Исправим этот недочет.   Возьмем  для примера ИС “корпоративный справочник сотрудников” в котором обрабатываются общедоступные контактные ПДн сотрудников.     О проблеме защиты таких ИСПДн с учетом новых требований я уже писал ранее.   Такие ИС есть в каждой организации – внутренние web порталы, справочники сотрудников в Outlook, справочники сотрудников систем электронного документооборота,…

(подробнее...)
СОИБ. Анализ. Способы обхода DPI, WAF, DLP и д.р.

  По информации блога http://sborisov.blogspot.ru/ В рамках недавней PHDays проходил ряд докладов связанных с анализом эффективности существующих средств защиты: ·        В обход DPI, Олли-Пекка Ниеми (Opi) ·        Теория лжи: обход современных WAF, Владимир Воронцов ·        Десяток способов преодоления DLP-систем, Александр Кузнецов, Александр Товстолип   Почему меня интересовали именно эти доклады? Потому что в рамках своей работы занимаюсь проектированием и внедрением решений, СЗИ и ждал информации которая поможет мне учесть при проектировании дополнительные факторы, при настройке обратить…

(подробнее...)
СОИБ. Онлайн семинар. Фильтрация трафика оператором связи с применением DPI

По информации блога http://sborisov.blogspot.ru/   Наверное, все уже слышали про изменения законодательства РФ касающегося операторов связи в последний год:   ·        Федеральный закон Российской Федерации от 28 июля 2012 г. № 139-ФЗ «О внесении изменений в Федеральный закон «О защите детей от информации, причиняющей вред их здоровью и развитию» и отдельные законодательные акты Российской Федерации» (часть его, не касающаяся детей называют законом о “Едином реестре запрещённых сайтов”) ·        Федеральный закон от 29 декабря 2010 года № 436-ФЗ "О защите детей от информации, причиняющей вред…

(подробнее...)
СЗПДн. Анализ. Приказ ФСТЭК №21

по информации блога http://sborisov.blogspot.ru/ Как вы, наверное, уже заметили, Минюст зарегистрировал и опубликовал новый приказ ФСТЭК №21 от 18.02.2013 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".   Хотя я и участвовал в совершенствовании документа (SOISO), специально не хотел публиковать каких-то аналитических статей для широкого круга пользователей, потому что слишком уж в России быстро и сильно меняются конечные версии документов по сравнению с их проектами.…

(подробнее...)
СОИБ. Проектирование. Сертифицированный защищенный удаленный доступ (Remote VPN) часть 2

По материалам блога http://sborisov.blogspot.ru/   В продолжение предыдущих части 0 и части 1   В этот раз рассмотрим самый простой вариант Remote VPN КС1 и сравниваем – на сколько он сложнее чем вообще не сертифицированный Remote VPN 1.      Операционные системы (смотреть таблицы в Приложении 1). Если мы посмотрим на статистику использования ОС и мобильных ОС можно сделать следующие вывод - примерно 13% наших пользователей с ноутбуками (с операционными системами Windows 8, OS X, Linux) останутся без Remote VPN.  С мобильными устройствами совсем беда – есть решение только у одного вендора и только…

(подробнее...)
СОИБ. Проектирование. Сертифицированный защищенный удаленный доступ (Remote VPN) часть 0

  По материалам блога http://sborisov.blogspot.ru/   Написал продолжение статьи о сертифицированном Remote VPN, и понял что слишком много текста. Поэтому разбил ещё на 2 части. Данную заметку логически нужно читать первой, поэтому назовем её - часть 0.    Хочется собрать в одном месте полный набор требований и ограничений, с которыми сталкиваются пользователи сертифицированных криптографических решений типа Remote VPN по сравнению с пользователями несертифицированных решений Remote VPN.   Во-первых, учитываем требования нормативных актов РФ (пример для операторов ПДн): ·       ПП РФ 1119, пункт…

(подробнее...)
Общее. McAfee приобретает Stonesoft

по информации блога http://sborisov.blogspot.ru Сегодня получил от Stonesoft уведомление, о том что компания McAfee (дочерняя компании корпорации Intel) приобретает компанию Stonesoft.   Для меня новость важная, потому что в последнее время плотно работал над проектированием решений обоих вендоров. McAfee в части защиты конечных узлов (Endpoint Protection), шифрования (Endpoint Encryption) и защиты от утечек информации (DLP) . Stonegate в части межсетевых экранов нового поколения, криптошлюзов и SSL VPN.     Оба вендора достаточно известны в России и имеют сертифицированные ФСТЭК Р или ФСБ Р решения,…

(подробнее...)
СОИБ. Проектирование. Защита от силового захвата информации

По материалам блога http://sborisov.blogspot.ru     Как оказалось для некоторых компаний ещё актуальна угроз силового захвата информации.  Возможными сценариями атак, реализующих такую угрозу могут быть: ·       рейдерский захват офиса ·       похищение компьютерного оборудования из офиса ·       неожиданная проверка с участием спецслужб Классической мерой защиты от такой угрозы является шифрование информации. При этом в различных решениях есть возможность мгновенного отключения доступа к информации путем нажатия «тревожной» кнопки, использования радио брелка, извлечения токена и т.п. (в качестве…

(подробнее...)
СОИБ. Анализ. Ещё один инструмент тестирования системы защиты

По информации http://sborisov.blogspot.ru/ Как Вы наверное знаете из приказа 21 ФСТЭК, необходимо проводить анализ защищенности ИСПДн и тестирование работоспособности системы защиты персональных данных, в том числе: “ (АНЗ.3) Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации ”   Кроме того при оценке рисков, анализе актуальности угроз , определении достаточности контрмер и наконец при сравнении эффективности средств защиты может возникнуть необходимость протестировать имеющиеся/установленные средства защиты.  …

(подробнее...)
СОИБ. Проектирование. Защита web трафика - NGFW или SWG

По материалам блога http://sborisov.blogspot.ru/ Из аналитики Check Point в предыдущей заметке можно сделать вывод, что основные выявленные уязвимости и угрозы связаны с использованием сотрудниками сети интернет и передачи информации во внешние сети.     Если провести экспресс анализ связанных с ними рисков ИБ, то получим следующую картину.   При выборе контрмер мы сталкиваемся с тем, что на рынке уже достаточно давно существует 2 класса решений  предназначенных для нейтрализации данных рисков: ·        Next-Generation Firewall (NGFW) – межсетевой экран нового поколения. (Примеры – Check Point…

(подробнее...)
СОИБ. Анализ. Отчет об анализе информационной безопасности Check Point 2013

По материала блога http://sborisov.blogspot.ru/ В 2013 году компания Check Point опубликовала отчет об анализе информационной безопасности проводившемся в течении 2012 года. В данном отчете есть интересные цифры, которыми хотелось бы кратко поделиться.   Данные для анализа собирались из следующих источников: ·        Check Point ThreatCloud, в анализе участвовало 1494 Security Gateway ·        Check Point SensorNet (распределенная сеть сенсоров) ·        Check Point Endpoint Security reports в 628 компаниях ·        3D Security Onsite Analysis проведенных в 888 компаниях   В рамках услуги 3D Security…

(подробнее...)
СОИБ. Анализ. Создание защищенных ИС

По материалам блога http://sborisov.blogspot.ru/ Последнее время всё больше попадающихся мне тендеров, конкурсов, программ, концепций, заданий на создание крупных информационных систем (ИС), автоматизированных систем (АС, АСУ), содержащих разделы, связанные с информационной безопасностью. В связи с увеличением количества нормативных актов в области ИБ и вниманием общественности – у инициаторов проекта есть понимание, что защита информации должна быть и должна в какой то момент обеспечиваться.   Так же есть понимание какие мероприятия включает в себя жизненный цикл ИС (ГОСТ 34.601), какие стадии…

(подробнее...)
СЗПДн. Проектирование. Хранить нельзя терять

    По информации блога http://sborisov.blogspot.ru/   Для того чтобы поставить запятую в нужном месте названия заметки, попробуем разобраться в теме – нужно ли и можно ли использовать системы и сети хранения данных в информационных системах персональных данных?   Стимулами подумать о хранении ПДн являются требования законодательства, модель угроз и дополнительные требования от бизнеса.   152-ФЗ: “2. Обеспечение безопасности персональных данных достигается, в частности: 7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;”   Проект…

(подробнее...)
Общее. Профессиональный сайт по ИБ компании «Микротест»

В одной из предыдущих заметок я сравнивал web сайты интеграторов в Краснодаре и пришел к выводу, что публичным web сайтам уделяется мало внимания, они малоинформативные и не содержат актуальной информации. По крупным общероссийским интеграторам ситуация лучше, но выделенный портал по ИБ – всё равно редкость.    Последние полгода направление информационной безопасности и департамент корпоративных коммуникаций компании «Микротест» разрабатывали выделенный web сайт по ИБ. В числе группы сотрудников компании я также участвовал в наполнении и создании web сайта, поэтому с удовольствием его представлю…

(подробнее...)
Общее. Вебинары ушедшего года

По материалам блога http://sborisov.blogspot.ru/   Коллеги, всех с наступившим новым годом.   В прошедшем 2012 году я вел подборку вебинаров по ИБ на русском языке, о которых я узнавал до их начала. По моим оценкам там приведено не менее 80% от всех публично проводимых вебинаров.   Для меня интерес к вебинарам вызван следующими причинами: ·        находясь в регионе нет возможности участвовать в большинстве очных мероприятий по ИБ (которые проводятся в Москве) ·        даже если очное мероприятие проводится в твоем городе – на вебинар не надо ехать и тратить время на дорогу/стояние в пробках ·        если…

(подробнее...)
СЗПДн. Анализ. Обработка фотографий и биометрия

По материалам блога http://sborisov.blogspot.ru/   14 декабря были опубликованы разъясненияРоскомнадзора по вопросам обработки персональных данных работников и соискателей, подготовленные совместно с экспертами: А.В. Лукацким, Емельянниковым М.Ю., Волковым А.Н., Токаренко А.В.   Появление такого документа радует, потому что подобные вопросы возникают у всех операторов ПДн и теперь могут быть решены гораздо быстрее.     Пока ожидаются разъяснения по другим темам, привожу информацию по вопросу обработки фотографий и классификации её как биометрии, которая может быть кому-то полезна. Данная тема боян поднималась…

(подробнее...)
СЗПДн. Анализ. Предложения по совершенствованию состава и содержания организационных и технических мер по ОБ ПДн от ФСТЭК

По информации блога http://sborisov.blogspot.ru/   В соответствии с информационным сообщением ФСТЭК России “о проекте приказа ФСТЭК России «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»” от 07 декабря 2012 г. № 240/22/4947 провел экспертизу проекта приказа ФСТЭК России “Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных”.                                     В соответствии с предыдущим комплектом…

(подробнее...)
СОИБ. Проектирование. Усиленная аутентификация на уровне сети (UPD)

По информации блога http://sborisov.blogspot.ru/ В своем блоге я уже делал несколько заметок по теме усиленной аутентификации (например, эта), и теме защищенного доступа к сети. Сегодня ещё одна заметка в продолжение.   Большинство организаций уже осознает проблемы с классическими паролями – с их большим количеством, запоминанием, подбором, потерей и т.п. и пытаются разработать дополнительное решение.   Но на пути внедрения усиленной аутентификации могут встать технические ограничения: ·        большинство бизнес-приложений организации может не поддерживать усиленную аутентификацию (об этом я…

(подробнее...)
СОИБ. Проектирование. Недостающий элемент С-терра

По материалам блога http://sborisov.blogspot.ru/   В продолжение предыдущей заметки про решения С-терра СиЭсПи в этот раз хочу написать про приятную новость от коллег по Микротест у.   В рамках одного из проектов проектировалось решение для крупного заказчика. Требовалось создать систему защищенного взаимодействия между большим количеством крупных удаленных офисов Заказчика.  Требования по пропускной способности составляли порядка 20-30 Мбит, требования к форм-фактору – desktop, потому что не во всех офисах были стойки, криптография в соответствии с законодательством – по ГОСТ.   Так как у Заказчика…

(подробнее...)
СЗПДн. Проектирование. Как централизованно управлять криптошлюзами С-терра?

По материалам http://sborisov.blogspot.ru/   Есть два замечательных производителя СЗИ: Cisco Systems предлагает комплекс решений для создания защищенной сети без границ, но не имеет Российской криптографии; С-терра СиЭсПи – предлагает широкую линейки средств построения VPN включающих Российскую криптографию, но не производит других средств защиты. В маркетинговых материалах этих двух производителей говорится о тесной  интеграции  друг с другом.     Так получилось, что в одном проекте по защите ПДе планировалось использование и интеграция решений этих двух производителей.   Один из вопросов, который…

(подробнее...)
CЗПДн. Анализ. ИСПДн c общедоступными и обезличенными ПДн

По материалам блога http://sborisov.blogspot.ru/   Подписано ПП №1119, о проекте которого я уже писал в предыдущей заметке.  К замечаниям, которые я  приводил в данной заметке, добавляется следующее.   В данный момент в большей части информационных систем или технологических процессов обрабатываются общедоступные персональные данные или малоценные обезличенные персональные данные.   Примерами таких систем или технологических процессов являются: ·        Корпоративные справочники сотрудников ·        Перечни учетных записей пользователей в любом приложении (например, имя, должность, логин, контактный…

(подробнее...)
1
Общее. С чего начать CISO?

По материалам блога http://sborisov.blogspot.ru/   Недавно с коллегами обсуждали интересный вопрос – с чего начать CISO недавно пришедшему в компанию, если до него полноценно ИБ не занимались, доверия от руководства ещё нет, бюджеты, выделяемые раньше на ИБ были минимальными, хочется в кратчайшие сроки укрепить лично свои позиции перед руководством, а службу ИБ вывести в состав важнейших, хотя бы на уровне службы ИТ?   Тут я вижу 3 варианта действий: бизнес подход, жесткий контроль, лучший специалист.   Вариант ИБ “бизнес подход”: ·         Собрать комитет по ИБ ·         Определить требования…

(подробнее...)
СОИБ. Анализ. Предложения по совершенствованию Требований ФСТЭК России

  По материалам блога http://sborisov.blogspot.com/   В соответствии с информационным сообщением ФСТЭК России “о проекте Требований о защите информа-ции, не составляющей государственную тайну, содержащейся в государственных информационных системах” от 12 октября 2012 г. № 240/22/4140 провел экспертизу проекта приказа ФСТЭК России “Об утверждении Требований о защите ин-формации, не составляющей государственную тайну, содержащейся в государственных информационных системах”.   Из основного могу отметить: В документ отсутствует раздел с терминами и определениями. Есть ссылки на ряд внешних документов,…

(подробнее...)
2
СОИБ. Анализ. Вызовы для ИБ

По материалам блога http://sborisov.blogspot.com/ В ряде случаев возникает необходимость привести примеры инцидентов ИБ и других сложных ситуаций, которые возникают у ответственных за ИБ в случае отсутствия комплексной системы обеспечения информационной безопасности. Привожу ниже те случаи и инциденты, которые связаны с наиболее ценной защищаемой информацией (остальные остались за границами данной заметки): 1.      Администратор бизнес приложения или БД, используя локальный доступ к консоли сервера, сделал копию большого объема данных и записал её на свой АРМ или съемный носитель; 2.      Пользователь…

(подробнее...)
Общее. Материалы с мероприятий по ИБ за сентябрь-октябрь

В этот раз не смог посетить очно ряд мероприятий по ИБ, так что смотрел онлайн или пересматривал в записи. Возможно вам тоже пригодится подборка..   ХI конференция "Информационная безопасность. Региональные аспекты. ИнфоБЕРЕГ-2012": ·        программа конференции ·        презентации докладчиков   Конференция DLP-RUSSIA 2012: ·        программа и материалы конференции ·        видеозаписи докладов   Выставка InfoSecurity Russia 2012: ·      программа конференции ·      материалы конференции доступны после регистрации,  входа с аутентификацией, добавлении нужных докладов себе в отчет и просмотра…

(подробнее...)
СОИБ. Анализ. Регистрация событий доступа.

По материалам блога http://sborisov.blogspot.com/ После реализации ряда проектов связанных и использованием специализированных средств защиты приложений и БД стал задумываться - как без них удается реализовать требования по регистрации и аудиту доступа к защищаемым данным?   О необходимости такой таких мероприятий для эффективного обеспечения ИБ я писал в одной из предыдущих заметок.   Но кроме этого есть ещё требования законодательства: ·         149-ФЗ, Статья 16: “4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны…

(подробнее...)
91–120 из 147
RU, Краснодар
https://docshell.ru/, https://docshell.ru/
Информационные технологии

Работал в области ТЭК, нескольких банках, последние 5 лет в системной интеграции по ИБ. В данный момент работаю в интеграторе "РосИнтеграция". Занимаюсь комплексными проектами СОИБ, СЗПДн, экспертизой в проблемных случаях, развитием и продвижением новых продуктов - docshell, bughunt и других

Все, что написано в этом блоге, отражает только личную точку зрения автора и не имеет никакого отношения к точке зрения его работодателя или иной организации, с которой автора связывают официальные отношения (если это не выделено особо).