По информации блога http://sborisov.blogspot.ru/ В очередной раз пишу про уже порядком утомившую всех тему по защите ПДн. Так как в комментариях к предыдущим заметкам поднимались вопросы: · почему написано про модель угроз , если явно она не требуется · нужно ли обследование · обязательны ли сертифицированные СЗИ · обязательная ли аттестация · какие возможны документы в простых случаях Свел в одну картинку основные возможные варианты выполнения основных мероприятий по обеспечению безопасности ПДн и типовые наборы документов. Хотел сделать кратко и…
(подробнее...)
По материалам блога http://sborisov.blogspot.ru/ Недавно ассоциация RISSPA опубликовала аналитическую статью о проблеме выбора средств защиты информации для виртуализированных инфраструктур. Будучи в отпуске пропустил эту новость, но сейчас внимательно ознакомился. Авторам документа скажу спасибо, так как подобной комплексной подборки СЗИ я не встречал даже среди англоязычных материалов. Не говоря о привязке к мерам защиты ПДн, которые ФСТЭК представил совсем недавно. Интересная таблица по соответствию мер и средств защиты Таблица с подборкой актуальных сертификатов ФСТЭК на приведенные…
(подробнее...)
В одной из предыдущих заметок я приводил демонстрацию анализа и выбора мер защиты по новому комплекту документов (ПП 1119, Приказ ФСТЭК №21) на примере ИСПДн с общедоступными ПДн. В комментариях к заметке было интересное обсуждение с читателями, в результате которого было высказано мнение, что исключать лишние меры можно на этапе адаптации базового набора мер, исходя из особенностей функционирования ИС в которой не актуальны угрозы для нейтрализации которых применяется данная мера. Я решил рассмотреть ещё раз ту же задачу с теми же исходными данными и с приведенным выше подходом. В варианте,…
(подробнее...)
По материалам блога http://sborisov.blogspot.ru/ В серии предыдущих заметок я уже приводил примеры с какими сложностями, дополнительными затратами и ограничениями придется столкнутся организациям, использующим сертифицированный по ГОСТ remote VPN по сравнению с счастливыми обладателями альтернативных решений. Посмотрим теперь сравнение в случае если потребовалась защитить информацию, передаваемую по собственным или арендованным каналам связи с использованием криптографических средств (внутренние каналы связи между объектами сети передачи данных). Такая необходимость может возникнуть в…
(подробнее...)
По информации блога http://sborisov.blogspot.ru/ Уже достаточно давно обновился комплект подзаконных актов по защите ПДн (ПП 1119 и приказ ФСТЭК №21) а примеров выбора необходимых мер никто не решился опубликовать. Исправим этот недочет. Возьмем для примера ИС “корпоративный справочник сотрудников” в котором обрабатываются общедоступные контактные ПДн сотрудников. О проблеме защиты таких ИСПДн с учетом новых требований я уже писал ранее. Такие ИС есть в каждой организации – внутренние web порталы, справочники сотрудников в Outlook, справочники сотрудников систем электронного документооборота,…
(подробнее...)
По информации блога http://sborisov.blogspot.ru/ В рамках недавней PHDays проходил ряд докладов связанных с анализом эффективности существующих средств защиты: · В обход DPI, Олли-Пекка Ниеми (Opi) · Теория лжи: обход современных WAF, Владимир Воронцов · Десяток способов преодоления DLP-систем, Александр Кузнецов, Александр Товстолип Почему меня интересовали именно эти доклады? Потому что в рамках своей работы занимаюсь проектированием и внедрением решений, СЗИ и ждал информации которая поможет мне учесть при проектировании дополнительные факторы, при настройке обратить…
(подробнее...)
По информации блога http://sborisov.blogspot.ru/ Наверное, все уже слышали про изменения законодательства РФ касающегося операторов связи в последний год: · Федеральный закон Российской Федерации от 28 июля 2012 г. № 139-ФЗ «О внесении изменений в Федеральный закон «О защите детей от информации, причиняющей вред их здоровью и развитию» и отдельные законодательные акты Российской Федерации» (часть его, не касающаяся детей называют законом о “Едином реестре запрещённых сайтов”) · Федеральный закон от 29 декабря 2010 года № 436-ФЗ "О защите детей от информации, причиняющей вред…
(подробнее...)
по информации блога http://sborisov.blogspot.ru/ Как вы, наверное, уже заметили, Минюст зарегистрировал и опубликовал новый приказ ФСТЭК №21 от 18.02.2013 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных". Хотя я и участвовал в совершенствовании документа (SOISO), специально не хотел публиковать каких-то аналитических статей для широкого круга пользователей, потому что слишком уж в России быстро и сильно меняются конечные версии документов по сравнению с их проектами.…
(подробнее...)
По материалам блога http://sborisov.blogspot.ru/ В продолжение предыдущих части 0 и части 1 В этот раз рассмотрим самый простой вариант Remote VPN КС1 и сравниваем – на сколько он сложнее чем вообще не сертифицированный Remote VPN 1. Операционные системы (смотреть таблицы в Приложении 1). Если мы посмотрим на статистику использования ОС и мобильных ОС можно сделать следующие вывод - примерно 13% наших пользователей с ноутбуками (с операционными системами Windows 8, OS X, Linux) останутся без Remote VPN. С мобильными устройствами совсем беда – есть решение только у одного вендора и только…
(подробнее...)
По материалам блога http://sborisov.blogspot.ru/ Написал продолжение статьи о сертифицированном Remote VPN, и понял что слишком много текста. Поэтому разбил ещё на 2 части. Данную заметку логически нужно читать первой, поэтому назовем её - часть 0. Хочется собрать в одном месте полный набор требований и ограничений, с которыми сталкиваются пользователи сертифицированных криптографических решений типа Remote VPN по сравнению с пользователями несертифицированных решений Remote VPN. Во-первых, учитываем требования нормативных актов РФ (пример для операторов ПДн): · ПП РФ 1119, пункт…
(подробнее...)
по информации блога http://sborisov.blogspot.ru Сегодня получил от Stonesoft уведомление, о том что компания McAfee (дочерняя компании корпорации Intel) приобретает компанию Stonesoft. Для меня новость важная, потому что в последнее время плотно работал над проектированием решений обоих вендоров. McAfee в части защиты конечных узлов (Endpoint Protection), шифрования (Endpoint Encryption) и защиты от утечек информации (DLP) . Stonegate в части межсетевых экранов нового поколения, криптошлюзов и SSL VPN. Оба вендора достаточно известны в России и имеют сертифицированные ФСТЭК Р или ФСБ Р решения,…
(подробнее...)
По материалам блога http://sborisov.blogspot.ru Как оказалось для некоторых компаний ещё актуальна угроз силового захвата информации. Возможными сценариями атак, реализующих такую угрозу могут быть: · рейдерский захват офиса · похищение компьютерного оборудования из офиса · неожиданная проверка с участием спецслужб Классической мерой защиты от такой угрозы является шифрование информации. При этом в различных решениях есть возможность мгновенного отключения доступа к информации путем нажатия «тревожной» кнопки, использования радио брелка, извлечения токена и т.п. (в качестве…
(подробнее...)
По информации http://sborisov.blogspot.ru/ Как Вы наверное знаете из приказа 21 ФСТЭК, необходимо проводить анализ защищенности ИСПДн и тестирование работоспособности системы защиты персональных данных, в том числе: “ (АНЗ.3) Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации ” Кроме того при оценке рисков, анализе актуальности угроз , определении достаточности контрмер и наконец при сравнении эффективности средств защиты может возникнуть необходимость протестировать имеющиеся/установленные средства защиты. …
(подробнее...)
По материалам блога http://sborisov.blogspot.ru/ Из аналитики Check Point в предыдущей заметке можно сделать вывод, что основные выявленные уязвимости и угрозы связаны с использованием сотрудниками сети интернет и передачи информации во внешние сети. Если провести экспресс анализ связанных с ними рисков ИБ, то получим следующую картину. При выборе контрмер мы сталкиваемся с тем, что на рынке уже достаточно давно существует 2 класса решений предназначенных для нейтрализации данных рисков: · Next-Generation Firewall (NGFW) – межсетевой экран нового поколения. (Примеры – Check Point…
(подробнее...)
По материала блога http://sborisov.blogspot.ru/ В 2013 году компания Check Point опубликовала отчет об анализе информационной безопасности проводившемся в течении 2012 года. В данном отчете есть интересные цифры, которыми хотелось бы кратко поделиться. Данные для анализа собирались из следующих источников: · Check Point ThreatCloud, в анализе участвовало 1494 Security Gateway · Check Point SensorNet (распределенная сеть сенсоров) · Check Point Endpoint Security reports в 628 компаниях · 3D Security Onsite Analysis проведенных в 888 компаниях В рамках услуги 3D Security…
(подробнее...)
По материалам блога http://sborisov.blogspot.ru/ Последнее время всё больше попадающихся мне тендеров, конкурсов, программ, концепций, заданий на создание крупных информационных систем (ИС), автоматизированных систем (АС, АСУ), содержащих разделы, связанные с информационной безопасностью. В связи с увеличением количества нормативных актов в области ИБ и вниманием общественности – у инициаторов проекта есть понимание, что защита информации должна быть и должна в какой то момент обеспечиваться. Так же есть понимание какие мероприятия включает в себя жизненный цикл ИС (ГОСТ 34.601), какие стадии…
(подробнее...)
По информации блога http://sborisov.blogspot.ru/ Для того чтобы поставить запятую в нужном месте названия заметки, попробуем разобраться в теме – нужно ли и можно ли использовать системы и сети хранения данных в информационных системах персональных данных? Стимулами подумать о хранении ПДн являются требования законодательства, модель угроз и дополнительные требования от бизнеса. 152-ФЗ: “2. Обеспечение безопасности персональных данных достигается, в частности: 7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;” Проект…
(подробнее...)
В одной из предыдущих заметок я сравнивал web сайты интеграторов в Краснодаре и пришел к выводу, что публичным web сайтам уделяется мало внимания, они малоинформативные и не содержат актуальной информации. По крупным общероссийским интеграторам ситуация лучше, но выделенный портал по ИБ – всё равно редкость. Последние полгода направление информационной безопасности и департамент корпоративных коммуникаций компании «Микротест» разрабатывали выделенный web сайт по ИБ. В числе группы сотрудников компании я также участвовал в наполнении и создании web сайта, поэтому с удовольствием его представлю…
(подробнее...)
По материалам блога http://sborisov.blogspot.ru/ Коллеги, всех с наступившим новым годом. В прошедшем 2012 году я вел подборку вебинаров по ИБ на русском языке, о которых я узнавал до их начала. По моим оценкам там приведено не менее 80% от всех публично проводимых вебинаров. Для меня интерес к вебинарам вызван следующими причинами: · находясь в регионе нет возможности участвовать в большинстве очных мероприятий по ИБ (которые проводятся в Москве) · даже если очное мероприятие проводится в твоем городе – на вебинар не надо ехать и тратить время на дорогу/стояние в пробках · если…
(подробнее...)
По материалам блога http://sborisov.blogspot.ru/ 14 декабря были опубликованы разъясненияРоскомнадзора по вопросам обработки персональных данных работников и соискателей, подготовленные совместно с экспертами: А.В. Лукацким, Емельянниковым М.Ю., Волковым А.Н., Токаренко А.В. Появление такого документа радует, потому что подобные вопросы возникают у всех операторов ПДн и теперь могут быть решены гораздо быстрее. Пока ожидаются разъяснения по другим темам, привожу информацию по вопросу обработки фотографий и классификации её как биометрии, которая может быть кому-то полезна. Данная тема боян поднималась…
(подробнее...)
По информации блога http://sborisov.blogspot.ru/ В соответствии с информационным сообщением ФСТЭК России “о проекте приказа ФСТЭК России «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»” от 07 декабря 2012 г. № 240/22/4947 провел экспертизу проекта приказа ФСТЭК России “Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных”. В соответствии с предыдущим комплектом…
(подробнее...)
По информации блога http://sborisov.blogspot.ru/ В своем блоге я уже делал несколько заметок по теме усиленной аутентификации (например, эта), и теме защищенного доступа к сети. Сегодня ещё одна заметка в продолжение. Большинство организаций уже осознает проблемы с классическими паролями – с их большим количеством, запоминанием, подбором, потерей и т.п. и пытаются разработать дополнительное решение. Но на пути внедрения усиленной аутентификации могут встать технические ограничения: · большинство бизнес-приложений организации может не поддерживать усиленную аутентификацию (об этом я…
(подробнее...)
По материалам блога http://sborisov.blogspot.ru/ В продолжение предыдущей заметки про решения С-терра СиЭсПи в этот раз хочу написать про приятную новость от коллег по Микротест у. В рамках одного из проектов проектировалось решение для крупного заказчика. Требовалось создать систему защищенного взаимодействия между большим количеством крупных удаленных офисов Заказчика. Требования по пропускной способности составляли порядка 20-30 Мбит, требования к форм-фактору – desktop, потому что не во всех офисах были стойки, криптография в соответствии с законодательством – по ГОСТ. Так как у Заказчика…
(подробнее...)
По материалам http://sborisov.blogspot.ru/ Есть два замечательных производителя СЗИ: Cisco Systems предлагает комплекс решений для создания защищенной сети без границ, но не имеет Российской криптографии; С-терра СиЭсПи – предлагает широкую линейки средств построения VPN включающих Российскую криптографию, но не производит других средств защиты. В маркетинговых материалах этих двух производителей говорится о тесной интеграции друг с другом. Так получилось, что в одном проекте по защите ПДе планировалось использование и интеграция решений этих двух производителей. Один из вопросов, который…
(подробнее...)
По материалам блога http://sborisov.blogspot.ru/ Подписано ПП №1119, о проекте которого я уже писал в предыдущей заметке. К замечаниям, которые я приводил в данной заметке, добавляется следующее. В данный момент в большей части информационных систем или технологических процессов обрабатываются общедоступные персональные данные или малоценные обезличенные персональные данные. Примерами таких систем или технологических процессов являются: · Корпоративные справочники сотрудников · Перечни учетных записей пользователей в любом приложении (например, имя, должность, логин, контактный…
(подробнее...)
По материалам блога http://sborisov.blogspot.ru/ Недавно с коллегами обсуждали интересный вопрос – с чего начать CISO недавно пришедшему в компанию, если до него полноценно ИБ не занимались, доверия от руководства ещё нет, бюджеты, выделяемые раньше на ИБ были минимальными, хочется в кратчайшие сроки укрепить лично свои позиции перед руководством, а службу ИБ вывести в состав важнейших, хотя бы на уровне службы ИТ? Тут я вижу 3 варианта действий: бизнес подход, жесткий контроль, лучший специалист. Вариант ИБ “бизнес подход”: · Собрать комитет по ИБ · Определить требования…
(подробнее...)
По материалам блога http://sborisov.blogspot.com/ В соответствии с информационным сообщением ФСТЭК России “о проекте Требований о защите информа-ции, не составляющей государственную тайну, содержащейся в государственных информационных системах” от 12 октября 2012 г. № 240/22/4140 провел экспертизу проекта приказа ФСТЭК России “Об утверждении Требований о защите ин-формации, не составляющей государственную тайну, содержащейся в государственных информационных системах”. Из основного могу отметить: В документ отсутствует раздел с терминами и определениями. Есть ссылки на ряд внешних документов,…
(подробнее...)
По материалам блога http://sborisov.blogspot.com/ В ряде случаев возникает необходимость привести примеры инцидентов ИБ и других сложных ситуаций, которые возникают у ответственных за ИБ в случае отсутствия комплексной системы обеспечения информационной безопасности. Привожу ниже те случаи и инциденты, которые связаны с наиболее ценной защищаемой информацией (остальные остались за границами данной заметки): 1. Администратор бизнес приложения или БД, используя локальный доступ к консоли сервера, сделал копию большого объема данных и записал её на свой АРМ или съемный носитель; 2. Пользователь…
(подробнее...)
В этот раз не смог посетить очно ряд мероприятий по ИБ, так что смотрел онлайн или пересматривал в записи. Возможно вам тоже пригодится подборка.. ХI конференция "Информационная безопасность. Региональные аспекты. ИнфоБЕРЕГ-2012": · программа конференции · презентации докладчиков Конференция DLP-RUSSIA 2012: · программа и материалы конференции · видеозаписи докладов Выставка InfoSecurity Russia 2012: · программа конференции · материалы конференции доступны после регистрации, входа с аутентификацией, добавлении нужных докладов себе в отчет и просмотра…
(подробнее...)
По материалам блога http://sborisov.blogspot.com/ После реализации ряда проектов связанных и использованием специализированных средств защиты приложений и БД стал задумываться - как без них удается реализовать требования по регистрации и аудиту доступа к защищаемым данным? О необходимости такой таких мероприятий для эффективного обеспечения ИБ я писал в одной из предыдущих заметок. Но кроме этого есть ещё требования законодательства: · 149-ФЗ, Статья 16: “4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны…
(подробнее...)
