На сайте проекта "Так Безопасно !" опубликована новая партия картинок-плакатов-скринсейверов. Налетай, живопись :)
Остальное тут - http://tb.leta.ru
четверг, 24 октября 2013 г.
среда, 23 октября 2013 г.
четверг, 26 сентября 2013 г.
Премия Security Awards 2013
Премии Security Awards 2013 коллеги уже успели "перемыть кости" в Facebook. Сперва обсуждали как легко обойти фильтр и накрутить счетчик, а после того как организаторы поняли свою ошибку и ввели относительно жесткие методы верификации голосовавших, ругать уже стали то, что голосование обнулили и заставили всех сообщать свои адреса электронной почты.
Все это мне напомнило историю про хакера и директора столовой.
Лично я считаю что премия нам нужна, но конечно же нужна такая, к которой будет серьезное доверие и уважение. Конечно же Security Awards от Рестек это пока скорее проба пера. И вот станет эта премия серьезным явлением на рынке ИБ или нет зависит от организаторов, а точнее от их желания развивать премию в правильном направлении.
Позволю себе несколько предложений организаторам относительно того, чего не хватает премии:
1) Сейчас номинанты выбирались по принципу простого сбора мнений по электронной почте. При этом многие из тех, кто ругают сейчас премию за непрозрачность выбора номинантов, сами ничего не предлагали когда шел сбор предложений.
Я думаю, что премии стоит в первую очередь сформировать профессиональное жюри, которое и будет отбирать номинантов на голосование по определенным заранее опубликованным правилам (см. п.2).
2) Премии нужны более четко прописанные правила номинирования, условия для попадания в ту или иную номинацию, правила выбора победителя.
3) Номинироваться организации должны сами и при этом (возможно) за небольшой оргвзнос. Это позволит отсеять тех, кто просто лезет везде кто только можно ради пиара, и получить дополнительные финансы на проведение соответствующих мероприятий.
4) Помимо публичного голосования нужно учитывать и мнение профессионального жюри (в сочетании 35/65, например). Это позволит снизить влияние фактора накрутки.
Это пожалуй самые основные моменты.
P.S. Коллеги, в голосовании на премию Security Awards 2013 в номинации Maximin в том числе участвует компания ISM SYSTEMS. Если вам нравятся проекты этой компании (ismsys.ru / ismmarket.ru, то проголосуйте -
среда, 25 сентября 2013 г.
Свеженькое чтиво по информационной безопасности
БЕЗОПАСНОСТЬ ДЕЛОВОЙ ИНФОРМАЦИИ № 3
В этом выпуске:- Этапы принятия нового - объективная реальность
- Базовые элементы менеджмента рисков информационной безопасности
- Проект: ИБ. История развития
- Европа и США. Особенности защиты персональных данных
- Династия. Касперские.
Ссылка на номер: http://dlp-expert.ru/bdi/3
(IN)SECURE № 39
В этом выпуске:
- Dear CSO, do you know how to build security culture?
- How to secure a company's Chinese development center?
- Stephen Pao, GM, Security Business at Barracuda Networks, on web application security
- The state of web application security in numbers
- Web application exploitation with broken authentication and path traversal
- Joel Smith, AppRiver CTO, on web threats
- With big data comes big responsibility: The (in)security of OLAP systems
- There are no winners in the blame game
- Digital graphology: It's all in the signature
- Security from within: Proactive steps towards protecting corporate assets from attack
- The five biggest reasons your IT staff is losing sleep
- How to manage your passwords with KeePass
Ссылка на номер: http://www.net-security.org/insecuremag.php
понедельник, 23 сентября 2013 г.
Мировые эксперты по информационной безопасности в Twitter
Материал взять отсюда: http://www.informationsecuritybuzz.com/25-information-security-leaders-to-follow-on-twitter/
Со списком согласен полностью. Рекомендую фоловить этих ребят.
Some people prefer to absorb information audibly or visually. Luckily; for those in information security who like to learn that way, Paul Asadoorian provides podcasts and video blogs on all the latest from the world of infosec on his site, pauldotcom.com.
When you need a strong leader, someone to push through the complex business and technical problems, you should look to your Twitter feed and make sure Gal Shpantzer is on it!
No artist can work without their instruments and the same is largely true for infosec folk. Turn to Ron Gula, the CEO of Tenable Network Security, he’ll have all the tools you’ll ever need.
Do you know that man, the man that women want to be with and who men want to be? Well now you do, it’s Andrew Hay. He’s the devastatingly handsome Director of Applied Security @Cloudpassage. I look forward to your angry messages about how jealously has overcome you.
Do you like a bit of mystery on your Twitter feed? Well then you need Jayson E. Street. Scientists have long pondered as to why he only follows 403 people, but because of HTTP Error 403 they don’t have the authorisation to view this information.
A cyber security and resource auditor, who, judging by his picture has reached a level of security so profound, he has become a key.
7. Ryan Dewhurst – @ethicalhack3r
I know it’s hard with all the power of Infosec to stay ethical, so what you need is a man so ethical it’s even in his Twitter handle. This enthusiastic security engineer will keep you from turning to the dark side of infosec.
8. BillBrenner70 – @BillBrenner70
Scribes have throughout the ages jotted down the information that would go on to influence civilisations. If you are wondering who the scribe is for infosec; it’s none other than Bill Brenner. You can read his breadth of knowledge ‘The OCD Diaries’ if you don’t believe me.
Sometimes you need to follow a Twitter user who just has it all, and since Steve is a problem solver, a business minded hacker, a master of sarcasm, an information sponge, an infosec lover AND an athlete, frankly to want anything more would just be greedy.
How many people do you follow and would trust them to stand up in court? Well wonder no more, you only need one, and that’s Eric Vanderburg. This cyber security leader and professional speaker is also an author and professor, the courtroom won’t know what hit them.
Need to focus on policy and practice, Dan is the man for you! Not only is he the editor of FISMApedia.org, he’s also a Federal cyber security, risk management, cloud security and information security practitioner.
12. #Cyberwar- @cyberwar_geek
They say as a child, the young cyberwar_Geek was bitten by a radioactive CSO which turned this humble geek into an IT professional by pure accident. So give a follow, especially if you have an interest in the practical application of technology.
13. Eugene Kaspersky – @e_kaspersky
Are you a 24 year veteran of the Infosec war? No? Well fall in line solider and follow Eugene Kaspersky, I doubt I need to tell you who he is beyond this.
14. Dejan Kosutic – @Dejan_Kosutic
If you ever find yourself lost in Croatia and in need of an expert in information security and a business continuity management, fear not, for you will be following Dejan Kosutic.
You ever wake up in the morning and think, ‘I really feel like speaking to a CRO who enjoys Malware adventuring and speaks at TED’? Well then, you do have some really odd wants in life, but don’t worry we have you covered, Mikko Hypponen is your man.
Your Twitter list has a hole, a hole shaped like a CSO who has blogged for 10 years and can train anyone in the arts of the black hat. So go forth reader, follow Richard Bejtlich.
Are you a fan of text adventures? Work in computer security? Read blogs? Attend speaking events? Well I’m shocked you don’t follow Graham Cluley already…
You ever wondered what a CISSP and Tenable Product Manager who occasionally blogs would do in their free time? Well, if Jack Daniel is anything to go by, the answer is MAKE SWORDS. At least that is what I took from him being an amateur blacksmith.
I don’t know how a black belt in Brazilian Jiu-Jitsu would help a White Hat Web security enthusiast and public speaker (TED Alumni)…But I’m too scared to ask.
I’d love to be a fitness culturist, who has a healthy enjoyment of Shiraz and bourbon, skilled in the art of Brazilian Jiu-jitsu while working as a Technosophing Security dude… but I’m not, so you can follow Hoff instead.
It’s often joked that everyone in Ireland knows each other; well you can join in the fun too, follow Brian! He’s an infosec consultant and Head of Ireland’s CSIRT and he blogs!
I have a movie idea about an Internet security journalist who used to work for the Washington post uncovering the cyber-crime story of the decade… do you think Brian Krebs would play the lead?
Need to add a bit of life to your Twitter feed? Well, I know a security type podcaster who blogs, plays bass and invents emoticons. So go follow the lovely Canadian called Dave already.
Do you believe in a healthy dose of paranoia? Are you an Akamai security evangelist? Do you have an interest in blogs and podcasts? If you answered yes to all of these you are potentially Martin McKeay, if you are not Martin, and answered yes to any of these, go follow him.
Feel like you need a bit of career coaching or maybe work in the security realms of influence and social engineering? You should give Mike a follow; you’d have loads in common!
Со списком согласен полностью. Рекомендую фоловить этих ребят.
Some people prefer to absorb information audibly or visually. Luckily; for those in information security who like to learn that way, Paul Asadoorian provides podcasts and video blogs on all the latest from the world of infosec on his site, pauldotcom.com.When you need a strong leader, someone to push through the complex business and technical problems, you should look to your Twitter feed and make sure Gal Shpantzer is on it!No artist can work without their instruments and the same is largely true for infosec folk. Turn to Ron Gula, the CEO of Tenable Network Security, he’ll have all the tools you’ll ever need.Do you know that man, the man that women want to be with and who men want to be? Well now you do, it’s Andrew Hay. He’s the devastatingly handsome Director of Applied Security @Cloudpassage. I look forward to your angry messages about how jealously has overcome you.Do you like a bit of mystery on your Twitter feed? Well then you need Jayson E. Street. Scientists have long pondered as to why he only follows 403 people, but because of HTTP Error 403 they don’t have the authorisation to view this information.A cyber security and resource auditor, who, judging by his picture has reached a level of security so profound, he has become a key.7. Ryan Dewhurst – @ethicalhack3r
I know it’s hard with all the power of Infosec to stay ethical, so what you need is a man so ethical it’s even in his Twitter handle. This enthusiastic security engineer will keep you from turning to the dark side of infosec.8. BillBrenner70 – @BillBrenner70
Scribes have throughout the ages jotted down the information that would go on to influence civilisations. If you are wondering who the scribe is for infosec; it’s none other than Bill Brenner. You can read his breadth of knowledge ‘The OCD Diaries’ if you don’t believe me.Sometimes you need to follow a Twitter user who just has it all, and since Steve is a problem solver, a business minded hacker, a master of sarcasm, an information sponge, an infosec lover AND an athlete, frankly to want anything more would just be greedy.How many people do you follow and would trust them to stand up in court? Well wonder no more, you only need one, and that’s Eric Vanderburg. This cyber security leader and professional speaker is also an author and professor, the courtroom won’t know what hit them.Need to focus on policy and practice, Dan is the man for you! Not only is he the editor of FISMApedia.org, he’s also a Federal cyber security, risk management, cloud security and information security practitioner.12. #Cyberwar- @cyberwar_geek
They say as a child, the young cyberwar_Geek was bitten by a radioactive CSO which turned this humble geek into an IT professional by pure accident. So give a follow, especially if you have an interest in the practical application of technology.13. Eugene Kaspersky – @e_kaspersky
Are you a 24 year veteran of the Infosec war? No? Well fall in line solider and follow Eugene Kaspersky, I doubt I need to tell you who he is beyond this.14. Dejan Kosutic – @Dejan_Kosutic
If you ever find yourself lost in Croatia and in need of an expert in information security and a business continuity management, fear not, for you will be following Dejan Kosutic.You ever wake up in the morning and think, ‘I really feel like speaking to a CRO who enjoys Malware adventuring and speaks at TED’? Well then, you do have some really odd wants in life, but don’t worry we have you covered, Mikko Hypponen is your man.Your Twitter list has a hole, a hole shaped like a CSO who has blogged for 10 years and can train anyone in the arts of the black hat. So go forth reader, follow Richard Bejtlich.Are you a fan of text adventures? Work in computer security? Read blogs? Attend speaking events? Well I’m shocked you don’t follow Graham Cluley already…You ever wondered what a CISSP and Tenable Product Manager who occasionally blogs would do in their free time? Well, if Jack Daniel is anything to go by, the answer is MAKE SWORDS. At least that is what I took from him being an amateur blacksmith.I don’t know how a black belt in Brazilian Jiu-Jitsu would help a White Hat Web security enthusiast and public speaker (TED Alumni)…But I’m too scared to ask.I’d love to be a fitness culturist, who has a healthy enjoyment of Shiraz and bourbon, skilled in the art of Brazilian Jiu-jitsu while working as a Technosophing Security dude… but I’m not, so you can follow Hoff instead.It’s often joked that everyone in Ireland knows each other; well you can join in the fun too, follow Brian! He’s an infosec consultant and Head of Ireland’s CSIRT and he blogs!I have a movie idea about an Internet security journalist who used to work for the Washington post uncovering the cyber-crime story of the decade… do you think Brian Krebs would play the lead?Need to add a bit of life to your Twitter feed? Well, I know a security type podcaster who blogs, plays bass and invents emoticons. So go follow the lovely Canadian called Dave already.Do you believe in a healthy dose of paranoia? Are you an Akamai security evangelist? Do you have an interest in blogs and podcasts? If you answered yes to all of these you are potentially Martin McKeay, if you are not Martin, and answered yes to any of these, go follow him.Feel like you need a bit of career coaching or maybe work in the security realms of influence and social engineering? You should give Mike a follow; you’d have loads in common!пятница, 20 сентября 2013 г.
Немного пятничной халявы
Несколько полезных ссылок:
- ISACA опубликовала бесплатный пробный тест для претендентов на сертификацию CISA - http://www.isaca.org/Certification/US-DoD-Information/Pages/CISA-Self-Assessment.html
- Бесплатные видео-курсы по хакингу от Offensive Security - http://www.cs.fsu.edu/~redwood/OffensiveSecurity/lectures.html
понедельник, 16 сентября 2013 г.
Публикование информации об инцидентах
Осенью этого года Госдума с подачи сенатора Гаттарова возможно будет обсуждать повышение штрафных санкций за утечку персональных данных. Все это делается под эгидой приведения нашего законодательства в соответствие с европейскими нормами. Т.е карать хотят все же не за отсутствие формального соответствия, а за реальные "косяки".
Но такая система держится в первую очередь на том, что компании будут сообщать о произошедших у них инцидентах. В Америке это решили просто - в определенных случаях за сокрытие фактов утечки руководителям компании может грозить уголовное наказание. Это отрезвляет. У нас о подобной мере никто не говорит, так что в случае повышения штрафов становится непонятным каким образом будет обеспечено то, что компании будут сообщать в соответствующие органы об утечке (тем более понимая что получат при этом серьезный штраф). Если ориентироваться только на случаи, которые будут получать публичный резонанс, то это будет только вершина айсберга, хотя конечно уже что-то.
Ну и в завершение этого короткого поста в подтверждение моих слов немного статистики из той самой благополучной Европы. Компания AlienVault провела исследование среди европейских компаний и согласно ему:
- только 2% компаний готовы сообщать об инциденте публично
- 38% готовы сообщить об инциденте в соответствующие органы
- 31% готовы сообщить об инциденте своим сотрудникам
- 11% готовы поделиться информацией об инциденте с сообществом специалистов по информационной безопасности
Вот так вот …
четверг, 29 августа 2013 г.
Хакинг автомобилей
Странно что эта тема у нас в сообществе практически не обсуждается в то время как это однозначно одна из горячих тематик относительно ближайшего будущего (я прям так и вижу антивирусы для автомобилей). В западных же источниках периодически что-то проскальзывает. Вот, например, интересное видео:
Я, правда, в процессе просмотра все ждал когда они ему сделают срабатывание подушки безопасности на руле для полноты всех ощущений :) Не случилось
четверг, 15 августа 2013 г.
Простые правила безопасности от ЛЕТА
Всем привет после долгого перерыва !
К сожалению масса проектов, в которых приходится принимать участие, забирает слишком много времени и поэтому на то, чтобы писать в блоге, его совсем не остается. Ну это так, лирическое вступление.
Хочу рассказать как раз об одном таком проекте, который компания LETA запускает сегодня. Проект "Так Безопасно !".
Думаю ни для кого не секрет, что повышение грамотности персонала в вопросах информационной безопасности облегчает решение многих проблем безопасника, но вот как правильно организовать такую программу повышения осведомленности ?
Именно на этот вопрос мы и поможем найти ответ в рамках проекта "Так Безопасно!". В качестве первого шага мы приступили к созданию специальной графики, которая может быть использована либо в качестве заставки на компьютерах сотрудников, либо распечатана (изображения сделаны в достаточно высоком разрешении) и развешана по офису.
Дальше будет больше. Новые плакаты и дополнительные инструменты для повышения осведомленности, так что следите за обновлениями, а лучше регистрируйтесь на странице проекта и будьте всегда в курсе.
Сделайте первый шаг к безопасности вместе с LETA!
Сайт проекта - http://tb.leta.ru
вторник, 9 июля 2013 г.
понедельник, 1 июля 2013 г.
Тонкая грань между целостностью и доступностью
Сижу, читаю драфт государственного стандарта "Информационные системы и объекты информатизации. Угрозы безопасности информации. Общие положения". И вот такой пассаж бросился в глаза:
Угрозы нарушения целостности защищаемой информации направлены на ее уничтожение и/ или модификацию.
Угрозы нарушения доступности защищаемой информации направлены на исключение возможности использования этой информации ее обладателем (пользователем), процессом или устройством
На мой взгляд здесь классическая ошибка, связанная с наличием тонкой грани между понятиями свойств "целостности" и "доступности" информации.
Разве уничтожение информации (угрозы нарушения целостности согласно первому определению) не приводит к исключению возможности использования этой информации ее обладателем (из второго определения для угроз доступности) ? Приводит !
Поэтому про нарушение целостности можно говорить только тогда, когда в исходную информацию вносятся изменения, которые для пользователя выглядят как абсолютно легитимные. Если же в результате изменений информация меняется полностью или же нарушается структура данных, то это уже в чистом виде уничтожение информации, т.е нарушение доступности.
Может быть я конечно говорю банальные вещи, но есть специалисты, которые в этом вопросе по-прежнему путаются.
В качестве подтверждения давайте посмотрим на определения свойств "целостности" и "доступности" в различных документах:
доступность: свойство, заключающееся в доступности и применимости для авторизованных субъектов, когда потребуется;
целостность: свойство, заключающееся в обеспечении точности и полноты ресурсов.
- ГОСТ Р 50922 2006. Защита информации. Основные термины и определения
целостность: Состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право
доступность информации: [ресурсов информационной системы]: Состояние информации [ресурсов информационной системы], при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно.
- Базовая модель угроз безопасности ПДн от ФСТЭК (документ от 2008 г.)
целостность информации: состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право.
определения доступности нет.
- СТО БР ИББС
доступность информационных активов: Свойство ИБ организации банковской системы Российской Федерации, состоящее в том, что информационные активы предоставляются авторизованному пользователю, причем в виде и месте, необходимых пользователю, и в то время, когда они ему необходимы.
целостность информационных активов: Свойство ИБ организации банковской системы Российской Федерации сохранять неизменность или исправлять обнаруженные изменения в своих информационных активах.
Можно увидеть, что все определения очень схожи. И это только подтверждает то, что когда мы говорим о целостности, то речь идет именно о внесении несанкционированых изменений. Если же изменения приводят к тому, что исходная информация становится абсолютно неинформативной (уж простите за тафталогию), то тут мы уже имеем дело с нарушением доступности.
Надеюсь что разработчики ГОСТа в ТК-362 учтут этот момент и внесут соответствующие поправки в документ.
четверг, 27 июня 2013 г.
Скрытая угроза: несанкционированные облака
Компания VMware недавно провела опрос среди более 1,5 тыс. ИТ-руководителей компаний в Европе (http://www.vmwareemeablog.com/belgie/are-there-covert-clouds-hiding-in-your-business-1). Читая краткие итоги опроса, я обратил внимание на следующее наблюдение:
Т.е переводя на наш могучий: более трети ИТ-руководителей убеждены, что сотрудники тайно используют облачные сервисы, о чем ИТ-служба (а значит и ИБ-служба) просто не в курсе.
Мне это напомнило один момент из доклада основателя компании Мегаплан на одной из конференций, посвященных облачным и мобильным технологиям. Он как раз рассказывал про одну крупную компанию, отдел маркетинга которой тайно от ИТ-подразделения начал пользоваться Мегапланом для решения локальных бизнес-задач, просто потому что это было удобно.
Думаю что такая угроза вполне реальна и по мере роста количества и ассортимента облачных сервисов она будет только возрастать. Большие компании как правильно не используют публичные облака, а создают собственные приватные. Но где гарантия, что сотрудники не "гнут свою линию" ?
А вы уверены что у вас не завелись несанкционированные облака ? :)
P.S. Об этом мало говорится в профессиональной ИБ-среде, но похоже что всесторонний анализ сетевого трафика становится все более актуальной дисциплиной.
P.S. Об этом мало говорится в профессиональной ИБ-среде, но похоже что всесторонний анализ сетевого трафика становится все более актуальной дисциплиной.
вторник, 25 июня 2013 г.
38-ой выпуск журнала (IN)SECURE
- Becoming a computer forensic examiner
- UEFI secure boot: Next generation booting or a controversial debate
- How to detect malicious network behavior
- What startups can learn from enterprise level data security tactics
- To hack back or not to hack back?
- Report: Infosecurity 2013
- DNS attacks on the rise: Rethink your security posture
- IT security jobs: What's in demand and how to meet it
- Remote support and security: What you don't know can hurt you
- A closer look to HITBSecConf 2013 Amsterdam
понедельник, 24 июня 2013 г.
Отчет Zecurion по утечкам в 2012 году и отношение в России к ПДн
Компания Zecurion на днях опубликовала свой отчет об утечках в 2012 году.
Ребята неплохо раскрутили эту тему, о них рассказал и Коммерсант FM и РБК.
Интересная новость из отчета на мой взгляд очень ярко отражает отношение к защите ПДн в России.
Министерство внутренних дел: на свалке нашли личные документы
В апреле 2012 года близ Казани инспекторы Центрального территориального
управления министерства экологии обнаружили несанкционированную свалку.
Среди мусора оказались и личные дела военнослужащих расквартированной
неподалёку воинской части МВД пециального назначения. Её бойцы —
участники контртеррористических операций на Северном Кавказе. Никаких
претензий в части раскрытия персональных данных инспекторы военным не
предъявили, зато пообещали привлечь к ответственности за загрязнение
окружающей среды.
P.S. Кстати выброс персональных данных на свалку становится уже неким трендом. Только недавно в прессе бурно обсуждался инцидент в Сбербанке, когда анкеты клиентов просто выкинули в помойку. А ведь это только известные случаи, а сколько проходит мимо прессы ?
четверг, 30 мая 2013 г.
среда, 22 мая 2013 г.
Риск-ориентированность в защите ПДн
Свершилось !
21-ый приказ ФСТЭК зарегистрирован и официально опубликован:
21-ый приказ ФСТЭК зарегистрирован и официально опубликован:
- Ссылка на сайте ФСТЭК - http://fstec.ru/component/attachments/download/562
- Тект в базе Консультанта - http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=146520
Думаю, что многие еще будут писать про этот приказ, Андрей Прозоров (тут и тут) и Сергей Борисов уже опубликовали свои первые комментарии.
Еще до опубликования этого документа его активно анонсировали на разного рода конференциях, коллеги утверждали что теперь все "как лучших в домах Лондона", в смысле теперь все идет от оценки рисков и проч. Давайте посмотрим так ли это. Раскрутим цепочку начиная с текста закона.
152-ФЗ "О персональных данных"
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке....
2. Обеспечение безопасности персональных данных достигается, в частности: ...
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных ...
Уже тут мы видим, что с одной стороны есть необходимость в определении угроз (что фактически является оценкой рисков), а с другой стороны нужно применить меры, необходимые для выполнения требований (т.е обязаловка). Идем дальше:
ПП № 1119 и 21-й приказ ФСТЭК
Постановление правительства № 1119 определяет систему уровней защищенности и требований по информационной безопасности, которые должны быть выполнены для каждого из уровней.
Причем отнесение системы к тому или иному уровню определяется на основании того, какой тип угрозы актуален для данной системы.
А вот 21-ый приказ по сути переопределяет требования, прописанные в ПП № 1119. Кто бы что ни говорил, но это так. Скрыто, но так. Давайте сравним что написано в этих документах для 4-го уровня защищенности.
ПП 1119:
13. Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
б) обеспечение сохранности носителей персональных данных;
в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Приказ ФСТЭК № 21. Защитные меры для 4-го уровня защищенности включают в себя:
Идентификация и аутентификация пользователей, являющихся работниками оператора
Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами
... и еще 25 базовых мер.
Не знаю задумывали ли разработчики наличие двух сценариев действий или оно само так получилось. Хорошо это или плохо покажет время... По сути такая модель с одной стороны подходит и тем, кто хочет выполнять только то, что требуют (подход от обязаловки), и тем, кто пытается строить реальную защиту с учетом актуальных рисков.
Что-то не сходится. Явно все эти меры излишни если задача просто выполнить требования, прописанные в ПП № 1119.
Но ведь это еще не все. 21-ый приказ ФСТЭК предполагает не только набор требований, но и определенный алгоритм по их адаптации под конкретику защищаемой системы (алгоритм взять из блога Андрея Прозорова):
- Шаг 2. Определение базового набора мер
"Определение базового набора мер по обеспечению безопасности ПДн для установленного уровня защищенности ПДн в соответствии с базовыми наборами мер по обеспечению безопасности ПДн перечнем мер, приведенным в приложении к настоящему документу" .
- Шаг 3. Адаптация набора мер
"Адаптация базового набора мер по обеспечению безопасности ПДн с учетом структурно-функциональных характеристик информационной системы, информационных технологий, особенностей функционирования информационной системы (в том числе исключение из базового набора мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе оператора, или структурно-функциональными характеристиками, не свойственными информационной системе)."
- Шаг 4. Уточнение перечня мер с учетом актуальных угроз
"Уточнение адаптированного базового набора мер по обеспечению безопасности ПДн с учетом не выбранных ранее мер, приведенных в приложении к настоящему документу, в результате чего определяются меры по обеспечению безопасности ПДн, направленных на нейтрализацию всех актуальных угроз безопасности ПДн для конкретной информационной системы.
+"10.При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности ПДн , а также с учетом экономической целесообразности на этапах адаптации базвого набора мер и (или) уточнения адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности ПДн".
+"13. При использовании в информационных системах новых информационных технологий и выявлении дополнительных угроз безопасности ПДн, для которых не определены меры обеспечения их безопасности, должны разрабатываться компенсирующие меры в соответствии с пунктом 10 настоящего документа."
- Шаг 5. Дополнение требований
"Дополнение уточненного адаптированного базового набора мер по обеспечению безопасности ПДн мерами, обеспечивающими выполнение требований к защите ПДн, установленными иными нормативными правовыми актами в области обеспечения безопасности ПДн и защиты информации."
Я специально выделил Шаг 4. Именно в рамках этого шага может потребоваться полноценная оценка рисков ИБ (моделирование угроз), НО ведь никто же не обязывает выполнять этот шаг. В самом простом случае вы можете сказать, что для системы актуальны только угрозы 3-го типа и их нейтрализация достигается путем реализации базового набора мер защиты, прописанного в 21-м приказе ФСТЭК. Все.
В сухом остатке имеем то, что нормы законодательства о персональных данных в настоящий момент позволяют идти двумя путями при обеспечении персональных данных:
Упрощенный режим
1) Проводим простое моделирование угроз в ходе которого рассматриваем 3 типа угроз, определяем что актуальны только угрозы 3-го типа (моделируем только на уровне типов, не опускаясь в детализацию описаний угроз).
2) С учетом дополнительной информации относим систему к 3-му или 4-му уровню защищенности.
3) Выполняем базовый набор мер для соответствующего уровня защищенности (исключая те, которые не подходят под архитектурные особенности защищаемой системы).
Экспертный (расширенный) режим
1) Проводим полноценное моделирование угроз, рассматриваем все возможные негативные сценарии. Для актуальных угроз определяем их тип.
2) С учетом дополнительной информации относим систему к соответствующему уровню защищенности.
3) Реализуем набор защитных мер, состоящий из базовых адаптированных мер, указанных в 21-ом приказе ФСТЭК, а также дополнительных мер, необходимых для нейтрализации угроз, которые определены как актуальные в ходе моделирования угроз.
Не знаю задумывали ли разработчики наличие двух сценариев действий или оно само так получилось. Хорошо это или плохо покажет время... По сути такая модель с одной стороны подходит и тем, кто хочет выполнять только то, что требуют (подход от обязаловки), и тем, кто пытается строить реальную защиту с учетом актуальных рисков.
P.S. И все бы хорошо, если бы не эта нестыковка между требованиями в ПП № 1119 и мерами защиты в приказе ФСТЭК № 21.
пятница, 17 мая 2013 г.
Сервис "Google на всякий случай"
Узнал совсем недавно про такой сервис гугла как "Google на всякий случай":
С помощью данного сервиса вы сможете либо
а) уничтожить информацию из почты, файлов, профиля в Google+ и других приложений Google в случае, если по каким либо причинам вы в течение определенного времени (задается в настройках) не заходите в свой аккаунт.
б) передать кому-то из своих доверенных лиц (до 10 человек) доступ к своим данным и право распорядиться ими на свое усмотрение.
Интересная опция, которая может использоваться для разных ситуаций (в большинстве случаев конечно же печальных для владельца, но что поделать, это жизнь, в ней всякое бывает).
Подписаться на:
Сообщения (Atom)
Facebook
