По информации из блога http://sborisov.blogspot.com/ В сегодняшней заметке хотелось бы уделить внимание сертифицированным в системе ФСТЭК России операционным системам, использующимся в качестве средств защиты информации, на примере ОС семейства Microsoft Windows. В большинстве случаев сертификация ОС в системе сертификации ФСТЭК России применяется не для уменьшения рисков ИБ, поэтому проводить экспресс анализ рисков, как в предыдущих заметках, смысла нет. А вот для уменьшения регуляторных рисков, то есть для выполнения требований законодательства, данная мера применяется очень часто (разрабатываемые…
(подробнее...)
В продолжение предыдущей заметки http://sborisov.blogspot.com/2012/09/2.html Основные мысли по документу Требования: · СЗИ необходимо выбирать в соответствии с актами ФСТЭК России и ФСБ России (будущими, так как в текущих нет упоминания уровней защищенности) · Кроме того в зависимости от уровня защищенности необходимо выполнять следующие общие требования, в соответствии с таблицей ниже · Контроль выполнения требований организуется и проводится Операторами самостоятельно или с привлечением лицензиатов (но не регуляторов). Основные замечания по документу Требования:…
(подробнее...)
По материалам блога http://sborisov.blogspot.com/ Первая версия постановления правительства по защите ПДн, подготовленные ФСБ России и рассмотренная в одной из моих предыдущих заметок не прошла согласования в правительстве. Вторая попытка ФСБ России подготовить постановления правительства по защите ПДн: · Проект ПП РФ «Об установлении уровней защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных» (далее, Уровни) · Проект ПП РФ «О требованиях к защите персональных данных при их обработке…
(подробнее...)
По материалам блога http://sborisov.blogspot.com/ В сегодняшней заметке хотелось бы уделить внимание комплексным решениям по защите баз данных. Для каких организация и систем наиболее актуальны решения по защите БД: · для организаций в которых наиболее ценная информация хранится в БД (в других видах хранится менее ценная информация); · для организаций которых ценная информация хранится в БД разных производителей, имеющих разные встроенные возможности безопасности. Примерами таких организаций являются: · кредитные организации; · платежные агенты или системы; · транспортные…
(подробнее...)
по материалам блога http://sborisov.blogspot.com/ В рунете достаточно много информационных площадок в тему ИБ. В последний месяц мне нравится активность на площадке ассоциации DLP-эксперт. По сравнению с информационными порталами других ИБ ассоциаций (АРСИБ, ABISS, RISSPA) на портале DLP-expert куда как интереснее: · Блоги. Там не только трансляции блогов экспертов с других площадок, но так-же “эксклюзивные” заметки специально для DLP-эксперт (например эта) · …
(подробнее...)
По материалам блога http://sborisov.blogspot.com/ С одной стороны инвентаризация информационных активов не совсем прерогатива ИБ. Скорее это часть управления информационными активами которое является частью управления ИТ. С другой стороны достаточно много мероприятий ИБ зависят от инвентаризации активов и очень часть приходится делать ещё в рамках проектов по ИБ. Часть таких работ я уже описывал в одной изпредыдущих заметок. Действительно, нам нужно четко понимать что мы защищаем, как изменяется объект защиты, когда меняется объект защиты. Кроме того, есть несколько двигателей в виде законов,…
(подробнее...)
По материалам блога http://sborisov.blogspot.com/ Пару недель назад прошло крупнейшая мировая конференция по ИБ Def Con 20, на которой собрались лучшие спецы – как в белых, так и в черных шляпах. В рамках конференции, хакерскими группами было продемонстрировано ряд новых утилит. На сайте конференции они не опубликованы, но в недрах интернета их можно найти. Посмотрим на самые интересные из них, так как скоро придется защищаться от угроз связанных с большим количеством подобных атак. Subterfuge 4.0 от команды kinozoa. Предназначено для тестирования защищенности от атак типа “человек посередине”…
(подробнее...)
По материалам блога http://sborisov.blogspot.com/2012/08/blog-post_8.html В продолжение одной из предыдущих заметок об усиленной аутентификации. Допустим, что вы уже осознали всю опасность использования классических паролей, например, прочитав эту заметку, решили внедрять усиленную аутентификацию по сертификатам или однократным паролям, в качестве дополнительного устройства аутентификации выбрали например, eToken или телефон, в качестве системы управления усиленной аутентификацией выбрали например, SafeNet Authentication Manager, SAM (бывший TMS). Достаточно ли этого, чтобы отказаться от…
(подробнее...)
По материалам блога http://sborisov.blogspot.com/2012/08/blog-post.html Оценка рисков ИБ является основой риск-ориентированного подхода к обеспечению ИБ, когда обосновываются и внедряются только те мероприятия по ИБ, которые необходимы уменьшения или нейтрализации неприемлемых рисков ИБ. Оценка рисков ИБ является обязательным требованием законодательства РФ: · 161-ФЗ «О НПС» и подзаконных актов; o Требования ЦБ РФ; o Требования PCI DSS; o Требования других операторов ПС; · 152-ФЗ «О ПДн» и подзаконных актов (Оценка вреда, моделирование угроз – часть оценки рисков ИБ);…
(подробнее...)
По материалам блога http://sborisov.blogspot.com/2012/07/2.html Через непродолжительное время после выхода предыдущей статьи про мобильные рабочие места, 19 июля прошел партнерский семинар Застава и Aladdin, на кортом было представлено новое решение на эту тему. Решил написать о нем пару слов и добавить в сравнение. Решение основано на трех уже существующих и сертифицированных продуктах: · Альт Линукс СПТ 6.0 – операционная система, сертифицированная в системе ФСТЭК России на соответствие РД “показатели защиты от НСД” по 4 классу защищенности, на соответствие РД “классификация по отсутствию…
(подробнее...)
По материалам блога http://sborisov.blogspot.com/2012/07/blog-post_24.html Ни для кого не секрет, что федеральный закон 152-ФЗ “О персональных данных” и подзаконные акты требуют от Оператора ПДн выполнения определенных мероприятий и соответственно накладывают на него дополнительные затраты: приобретение оборудования, оплата услуг консультантов, зарплата дополнительным сотрудникам. В данной заметке хочу опустить разовые затраты Оператора на разработку первоначального комплекта документов и первоначального внедрения системы защиты персональных данных. Пусть эти работы уже проведены, внедрена СЗПДн,…
(подробнее...)
По материалам блога http://sborisov.blogspot.com/2012/07/blog-post_16.html 13 июля ФСТЭК России опубликовал на своем сайте Проект федерального закона "О внесении изменений в Федеральный закон 149-ФЗ "Об информации, информационных технологиях и о защите информации" Планируется придать 2 новых толчка обеспечению ИБ (в дополнение к активно развивающейся защите персональных данных и платежных систем): · Защита информации в государственных информационных системах (ГИС) · Защита информации в информационных системах критически важных объектов (ИСКВО) 1. В направлении защиты…
(подробнее...)
По материалам блога http://sborisov.blogspot.com/2012/07/blog-post.html В сегодняшней заметке хотелось бы уделить внимание решениям типа Защищенные мобильные виртуальные рабочие места на базе съемного USB носителя. Написать данную заметку меня сподвигла статья Андрея Комарова на Хабре, к которой я вернусь ниже. Для кого защиты, каких объектов могут использоваться такие решения: · для сотрудников, которым необходимо поработать с корпоративной защищаемой информацией находясь за пределами контролируемой территории – в командировках, при работе из дома, на площадке партнера/клиента/заказчика…
(подробнее...)
В продолжение предыдущих заметок на тему непрерывности деятельности Институт Chartered Management Institute провел обследование и недавно опубликовал отчет об угрозах непрерывности бизнеса за 2011 год в Великобритании. Наиболее интересные выводы: · План обеспечения непрерывности разработан в 61% опрошенных компаний · Наиболее вероятные угрозы в общем: o Тяжелые погодные условия o Нарушение ИТ компонентов o Потеря (болезнь) ключевых сотрудников o Нарушение связи o Митинги и забастовки o Закрытие и садиков школ o Нарушение работы транспорта o Невозможность доступа…
(подробнее...)
В соответствии с со статьей 3 161-ФЗ в область действия НПС попадают: · оператор по переводу денежных средств · оператор электронных денежных средств · платежный агент · банковский платежный агент · банковский платежный субагент · организаций федеральной почтовой связи при оказании ими платежных услуг · операторов платежных систем · операторов услуг платежной инфраструктуры Все участники НПС обязаны защищать платежную информацию и выполнять требования ФЗ о НПС и подзаконных актов. И это не только кредитные организации. Попадают под требования…
(подробнее...)
Как Вы наверное знаете, Банк России ведет активную нормотворческую деятельность в области защиты Национальной платежной системы. Недавно были разработан и утвержден ряд документов. Все документы по теме НПС перечислены тут. Сегодня хотелось бы рассмотреть «УказаниеЦБ РФ 2831-У от 9 июня 2012 года "Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств" (зарегистрировано Министерством юстиции Российской Федерации 14 июня 2012 года № 24575, опубликовано…
(подробнее...)
В продолжение предыдущих заметок на тему непрерывности деятельности. 19 июня учебный центр Микротест провел вебинар “ Знакомство со стандартом АРБ по непрерывности деятельности кредитных организаций”. Мой анонс этого и других вебинаров был тут. Докладчиком выступил Алексей Бореалис, который также является руководителем группы разработчиков стандарта АРБ по непрерывности деятельности, который рассказал об основных этапах внедрения стандарта. Ниже основные тезисы с его доклада: · Анализ влияния на бизнес o Определяем системы, которые защищаем o Необходимо оценить ущерб при прерываниях…
(подробнее...)
Неконец опубликовано информационное письмо ФСТЭК, которого все ждали.
http://fstec.ru/_razd/Doc27.pdf
Данное письмо ставит точку в спорах о необходимости получения лицензий операторами ПДн.
В письме начальник 2 управления ФСТЭК А. Куц официально заявляет что лицензия на ТЗКИ нужна только:
Организациям получающим прибыль от деятельности по ТЗКИ
Организациям оказывающим услуги по ТЗКИ
Организациям обрабатывающим КИ по поручению владельца (аутсорсинг), в обязанности которых входит защита КИ
Остальным организациям лицензия на ТЗКИ не обязательна
(подробнее...)
По материалам Блога http://sborisov.blogspot.com/2012/05/blog-post_27.html Недавно компания Cisco обновила архитектуру безопасности Cisco SecureX и решение по управлению защищенным доступом к сети Cisco TrustSec 2.0. Решение Cisco TrustSeс 2.0 является развитием технологии, ранее известной как Cisco NAC. Ключевым компонентом решения является новый продукт Cisco Identity Services Engine (Cisco ISE). А в реализации единых политик доступа к сети участвует всё активное сетевое оборудование Cisco: коммутаторы¸ маршрутизаторы, межсетевые экраны, средства построения VPN, точки доступа и контроллеры…
(подробнее...)
По материалам блога http://sborisov.blogspot.com/2012/05/blog-post_17.html 11 мая компании Cisco Systems и Group-IB провели хороший совместный вебинар “Анализ инцидентов ИБ”. Мой анонс этого и других вебинаров был тут. Первым выступающим был Сергей Грудинов, заместитель директора компании Group-IB по правовым вопросам, который рассказал о правовых аспектах обработки существенных инцидентов относящихся к преступлениям. Ниже основные тезисы с его выступления: · В нормативных документах должны быть определены требования (политики) · Сотрудники должны быть ознакомлены с политиками,…
(подробнее...)
По материала блога http://sborisov.blogspot.com/2012/05/blog-post_12.html Хотелось бы отдельной заметкой отметить знаковое событие на российском рынке ИБ – сертификацию в системе ФСБ России первого западного продукта Stonegate SSL VPN производства компании Stonesoft как СКЗИ класса КС1 и КС2. Кроме того это единственное сертифицированное ФСБ решение SSL VPN. Компания Stonesoft проделала большую работу (сертификация длилась порядка 2-х лет и в рамках которых ФСБ Р дорабатывала свои требования). За этой им большое спасибо. Теперь по проторенной дороге могут пойти и другие лидирующие мировые…
(подробнее...)
По материалам блога В продолжение предыдущей заметки, хочу написать пару слов о сегодняшнем совещании по ИБ в ГУ ЦБ по Краснодарскому Краю. Первое что бросилось в глаза – это большое количество участников, 150-200 человек, которые заняли почти все места в зале. Это в разы больше чем на недавнем семинаре, проведенном Ассоциацией региональных банков в Краснодаре. Докладчиками на совещании были в основном представители БР – ГУ ЦБ РФ по КК, ГУБиЗИ ЦБ РФ. Кроме них выступали представители КубГТУ, Россигнала, и трех банков – Краснодарского краевого инвестиционного…
(подробнее...)
По информации из блога http://sborisov.blogspot.com/2012/05/blog-post.html В первом полугодии 2012 года в Краснодаре наблюдается повышенный интерес банковского сообщества к вопросам информационной безопасности. Так 19 апреля прошел семинар Ассоциации Региональных Банков России совместно с BellIntegrator на тему “Экономика ИБ и защита персональных данных в банке” Подробный отчет с данного мероприятия доступен тут. Не дав нам большой передышки, 11 мая Главное управление Банка России по Краснодарскому краю проводит совещание, посвященное информационной…
(подробнее...)
На сайте ФСБ были опубликованы 2 проекта новых постановлений правительства РФ по защите ПДн: обустановлении уровней защищенности и о требованиях по защите ПДн в ИСПДн Не вижу смысла пока делать постатейный анализ – это проекты документов. Привожу пока только основные замечания: 0. Как можно было так долго (почти год) разрабатывать эти документы, если изменения минимальны? 1. Под уровнем защищенности понимается набор требований, которые оператор должен стремиться выполнить. Реальный (или текущий)…
(подробнее...)
По материалам http://sborisov.blogspot.com/2012/04/blog-post_26.html Не секрет, что в ряде предприятий параллельно с компьютерной вычислительной сетью существует ещё одна технологическая сеть с технологическими системами (SCADA, АСУ ТП). Последнее время растет количество опубликованных уязвимостей АСУ ТП. Например свежие новости про уязвимости в самых популярные в России производителях SCADA: Schneider-Electric и Siemens. Вместе с этим эксперты по ИБ всё чаще поднимают эту проблему и предлагают решения: · Михаил Емельянников предупреждает о возможныхкатастрофах · Андрей Комаров…
(подробнее...)
По материалам из http://sborisov.blogspot.com/2012/04/blog-post_24.html На сайте правительства РФ опубликовано Постановление от 16 апреля 2012 г. №313 Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем,…
(подробнее...)
В продолжение одной изпредыдущих заметок об актуальных решениях ИБ, как сертифицированный специалист хочу поддержать решение компании SafeNet (и входящей в неё Aladdin) – система управления строгой аутентификацией SafeNet Authentication Manager, SAM (ранее известная как TMS). Дополнительный повод – это выход новой версии SAM, привнесшей много дополнительных возможностей. Сейчас система находится на финальных стадиях сертификации в системе ФСТЭК России. Система SafeNet Authentication Manager предназначено для построения инфраструктуры строгой аутентификации, как части системы обеспечения безопасного…
(подробнее...)
