четверг, 29 марта 2012 г.

ИТ-безопасность для финансового сектора

Был на конференции «ИТ-безопасность для финансового сектора», на которой законспектировал суть выступлений докладчиков с точки зрения интереса для меня лично.

Левашов\Открытие\Инфосекьюрити Сервис
Есть стандарты: национальные, отраслевые, организаций. Все знают СТО БР. Еще есть стандарты у РЖД, Газпрома, ассоциации пенс фондов и страховщиков. ИСС разработал стандарт для Науфор. Науфор не бедная организация, т.к. взносы большие. Отраслевые стандарты разрабатываются, чтобы уйти от невыполнимых требований регуляторов. Например, антивирус фондовому рынку часто противопоказан т.к. нагружает системы и это не позволяет получать прибыть в нужном объеме. В отличии от ЦБ Науфоровские документы обязательны для выполнения. Предлагается поднять науфоровский стандарт на уровень ФСФР. Плюсами могут быть в т.ч. легитимизация конкретных СЗИ, применение компенсационных мер при наличии модели угроз.

Вологдин\RSA (EMC)
Атак становится все больше и больше. Выводом денег из России путем дропов уже стали заниматься хакеры. 299$ в месяц стоит подписка на ботнет в формате SaaS. Формат атаки – MitM в браузере. Предлагается RSA antifraud, адаптивная аутентификация (по сути, поведенческий профиль пользователя), система обнаружения мошеннических схем. В сеть RSA входит около 6000 банков. попытки сделать аналогичную сеть в России были, но закончились неудачей. У многих банков есть какие-либо свои системы, но методы, основанные на правилах по сравнению с поведенческими методами, всегда проигрывает. Нужно учитывать, что мошенничество это очень доходный бизнес.

Гиленко\Росбанк
Есть мошенничество не против клиентов, а против банков, о чем говорят мало. Для бизнеса эффективнее, когда CIO и CISO работают не как начальник-подчиненный, а как равноправные партнеры. В СТО БР не спроста говорится, что управление ИТ и ИБ должны быть разнесены. Качество работы банка выгодно акционерам, клиентам, партнерам, регуляторам. Стратегия ИБ должна коррелировать со стратегией развития банка. Для розничных банков приоритет следующий: доступность, целостность, конфиденциальность. Для иных банков последовательность будет иной.

Казиев\Ингосстрах
Есть программы страхования информационных рисков: информационные ресурсы, финансовые активы. Страхование от чего: от действий сотрудников, от компьютерных атак, от вирусов, от технических сбоев, в т.ч. перед третьими лицами. А также страхование профессиональной ответственности ИТ и ИБ персонала при оказании информационных услуг. Вопрос: можно ли застраховать риск non-compliance, т.е. организация ничего делать не будет, а если придет регулятор, то будет выплачена страховка.

Климов\RISSPA
Все начинается с генерального директора, который купил себе IPad. Его нужно обязательно подключить. Далее другие сотрудники начинают приносить свои устройства, мотивируя тем, чем они не хуже и что они будут работать более эффективно. Обычно всё начинается с почты. Многие им верят, однако часто происходит все наоборот. Будет ли работодатель компенсировать сотруднику более эффективную работу на своем оборудовании? Открытый вопрос для IOS, чем обеспечивать удаленный доступ для технической поддержки устройства, когда сотрудник в недосягаемости? А как использовать российскую криптографию? Является ли контент, наработанный на личном ПК, собственностью компании? Новый класс СЗИ это Mobile Device Management (MDM). Согласится ли сотрудник, что будут отслеживать его местоположение? Софт должен блокировать пересылку инфы из корпоративной части в личную. Можно использовать обезличенные устройства, когда сотрудник перед командировкой берет с полки любое устройство и едет, тем самым пропадает смысл хранить на нем личные данные.

Бабенко\Информзащита
В интернете очень много пишется про утечки, про то, что клиенты начинают подавать в суды на банки. Раньше хакерами были одиночки, сейчас это организованный бизнес. ДБО и интернет-банки доступны в любой точки Земли, а значит они потенциально доступны для взлома любым жителем планеты. Разработчики таких систем думают о ИБ в последнюю очередь, т.к. бизнес требования всегда важнее. Безопасность в банке это не разовое мероприятие это процесс. Не надо забывать про модель угроз. Сканеры безопасности тоже ошибаются, их результаты нужно перепроверять. Часто реализация требований заканчивается складыванием политик ИБ в сейф, а до реализации процессов дела не доходят.

Синцов\Digital Security
Разработчики ДБО всегда будут скрывать свои уязвимости по многим причинам. Если атака началась с ПО Adobe, то кто виноват? А если с клиентской части ДБО, то кто? (разработчик ПО или банк). Самый популярный тип для взлома XSS. На втором месте SQLi. Включать ли в Scope ДБО? Начинают появляться атаки, когда на экран выводится одно, а в токен на подпись уходит другое. Это решается либо вторичным каналом (SMS) или токенами с экранами, которые стали уже появляться. Но можно поменять только счет, а сумму оставить прежнюю, бухгалтер это может и не заметить. Нужно учитывать, что ДБО очень инертные системы - банки их обновляют годами. Вывод презентации в том, что уязвимости часто присутствуют на всех этапах прохождения платежей и во всех компонентах системы, притом, что используемые СКЗИ являются сертифицированными.

Головлев\АРБ
Если продавать услугу с запрашиванием ПДн, но чуть дешевле, то она сразу начинает пользоваться большим спросом, чем услуга без запрашивания ПДн. Это значит, что собственные ПДн часто ничего не стоят. Тогда что можно говорить о защите чужих ПДн. Удобство всегда перевешивает безопасность, поэтому сотрудникам ИБ банка трудно реализовать не клиенто-ориентированное решение. Управление «К» выпустило рекомендации общего характера. Во взаимодействие по теме мошенничества ДБО и инцидентов ИБ уже вовлечено 173 банка, формально во благо 152-ФЗ. Это взаимодействие пока находится в теневой части бизнеса. Расследование мошенничества по уже открытым данным компанией Group-IB стоит 400 тыс. руб., поэтому по экономическим соображениям их услуги вряд ли будут востребованы.

Тихонов\Альба Альянс
Некоторые клиенты говорят, что вирусы им не мешают работать, поэтому защищаться им не нужно. Практический пример: происходит подмена платежа, однако вирусов на ПК нет. По логам клиента все ОК, по логам банка платеж другой. Произошла просто подмена платежа. Оказывается, что на ПК используется технология типа Team Viewer. Из невнятного рассказа я лично понял, что одновременно используются 2 VPN: клиент-банк и клиент-злоумышленник. Проблема в том, что клиенты, производители ДБО, производители СКЗИ, да и сам банк образно находятся в разных углах комнаты и на рынке никто не предлагает комплексную услугу по защите транзакций. Решение видится в устройствах с экранами, но они дорогие и подходят не для всех. Для ИП, для малого и среднего бизнеса, но не для крупных компаний. Кто будет обеспечивать в ДБО поддержку разных профилей защиты для разных профилей пользователей? Скорее всего не производители, т.к. в настоящее время на такие услуги нет спроса.

Круглый стол
Тренды информационной безопасности в текущем году:
  • Мобильный банкинг. Об этом сегодня говорили все.
  • Защита клиента от фишинга. Пример кириллица в URL.
  • Биометрия для защиты банковской информации. Всегда найдутся инвалиды, поэтому всегда в системе будут исключения.
  • Сертификация инновационных решений. Пример окно в обновлениях сертифицированных Windows.
  • Защита ПДн физиков. Модный постоянный тренд.
  • Интегрированные средства защиты. Что считать средством защиты? Любой похожий функционал сертифицированного средства или не сертифицированного?
  • Оценка эффективности проектов. Должна быть никто не спорит.

суббота, 24 марта 2012 г.

Плюсы и минусы ротации кадров

Данный пост навеян вышедшим в конце прошлого года законом №395-ФЗ «… в связи с введением ротации…». Я не буду анализировать этот спорный и затратный закон, приведу лишь единственную цитату из него: «Должность гражданской службы в порядке ротации гражданских служащих замещается на срок от трех до пяти лет».


А вообще нужна ли замена кадров в нашей специальности – информационной безопасности? Будь то для рядового сотрудника, будь то для руководителя направления, будь то для CISO. Конечно, каждый плюс или минус может быть (а должен ли?) парирован какой-либо организационной мерой.

Плюсы замены кадров для организации:

1. специалист вначале своего трудоустройства работает более активно, чем по прошествии годов (парируется системой мотивации персонала);

2. в процессе работы специалист становится обладателем большого числа уже ненужных ему прав доступов (парируется регулярным пересмотром прав);

3. специалист может слишком много узнать об организации (ничем не парируется, так как уже представляет риск для ведения бизнеса);

4. специалист, а в особенности руководитель, может выстраивать процессы, направленные на обеспечение собственной безбедной старости, зная, что ему остается работать недолго.

5. широкий кругозор нанимаемого специалиста, полученный им в результате работы на предыдущих местах (очень ограниченно парируется отправлением на обучение или на выставки/семинары/конференции);

Минусы замены кадров для организации:

1. повышенная текучка кадров, особенно с учетом постоянной инфляции, приводящая к тому, что вновь нанимаемому специалисту уже нужно платить больше (парируется системой мотивации);

2. возможная трата времени специалиста на участие в подборе, адаптации или в обучении своей собственной замены (ограниченно парируется наймом сразу опытных специалистов).

Выводы

Короче говоря, ключевым вопросом был и остается вопрос менять кадры или нет? Тут на первое место должны выходить требования бизнеса, т.е. при каком раскладе конкретный бизнес становится более конкурентным. Но в любом случае хорошей практикой в организациях могло бы стать заключение срочных трудовых договоров на те же 3-5 лет или даже на 1 год, что исключило бы весь негатив, который может иметь место при ротации кадров.

воскресенье, 18 марта 2012 г.

Кем же работает Лукацкий на самом деле?

Самым известным человеком, который умел делать несколько дел одновременно, был, по преданию, Юлий Цезарь. Я не буду оспаривать этот миф, обращусь лишь к фактам, которые присутствуют в Интернете и собираются за час.


Рассмотрим деятельность Лукацкого, которая на виду у всего Интернет сообщества. Смотреть буду только январь и февраль 2012 года. Итак:

Активность на блоге

В январе Лукацким было написано 23 поста, в феврале 22 поста. Если все посты слить в один файл, то получится вот такая статистика:
По времени посты распределяются следующим образом:

1:39, 5:02, 5:08, 5:10, 5:11, 5:11, 5:12, 5:14, 5:19, 5:22, 5:31, 5:33, 5:37, 5:38, 5:39, 5:39, 5:44, 5:51, 5:52, 5:53, 5:56, 5:57, 5:58, 5:59, 11:16, 11:39, 12:25, 13:44, 13:50, 14:46, 14:48, 15:06, 15:27, 15:31, 15:32, 15:35, 15:39, 16:05, 16:46, 19:49, 22:46, 23:01.

Следовательно, активность в течение дня распределяется так:

• утро с 5 ч. до 6 ч. - 55%;

• день с 11 ч. до 17 ч. – 35%;

• вечер после 19 ч. – 10%.

Понятно, что при публикации поста в блогах можно указывать нужное время или изменить часовой пояс.

Также Лукацкий участвует в обсуждении своих постов, путем ответов на комментарии.

Активность в твиттере

В январе Лукацким было написано 197 твитов, в феврале 468 твитов. В среднем это означает 6,35 твитов в день в январе и 16,14 твитов в день в феврале.

Активность на форуме банкира

В январе Лукацким было написано 17 сообщений, в феврале 38.

Курсы и презентации

Лукацкий ведет свой собственный курс по ПДн в Финконсалтинге,

Лукацкий был замечен в качестве выступающего на Уральском форуме и на PCI DSS RUSSIA.

Также Лукацкий публикует статьи в журналах и пишет книги.

Собственно к чему этот пост?

А к тому, что совершенно не понятно как можно работать в известной компании и одновременно вести подобную «потустороннюю» деятельность. Только на публикацию всего этого материала и аналитики уходит уйма времени, а сколько времени уходит на поиск этой информации?! Складывается впечатление, что Лукацкий больше числится в известной компании, чем работает на нее. Впрочем, я могу заблуждаться, может быть в этом и заключается маркетинговое преимущество этой компании, благодаря тому, что в ней работает такой Гуру по информационной безопасности.

Ну и в заключении хочу отметить, что в январе Лукацкому была вручена благодарность министра внутренних дел Нургалиева, а в феврале диплом от ассоциации российских банков. :-)

суббота, 17 марта 2012 г.

ТОП-5 СЗИ

Где-то в блогосфере совсем недавно мне попался пост об основных средствах защиты. Эдакий минимальный джентльменский набор СЗИ, который должен быть у всех. Я тоже решил немного поразмыслить на этот счет и вот что у меня получилось графически.

1.       Межсетевой экран
2.       Антивирус
3.       Установка обновлений (говоря точнее управление уязвимостями)
4.       Контроль USB (говоря шире это контроль пользовательской активности)
5.       Резервное копирование
Единственное, что хочу отметить это необязательность второго пункта программы и вот почему. Если не учитывать сегодняшние тенденции становления антивирусов многопрофильными комбайнами по образу [имя продукта] Enterprise Endpoint Security, то основное назначение антивирусов это уничтожение вредоносного кода. Сможет ли вредоносный код оказать отрицательное воздействие зависит от наличия уязвимостей в ПО, поэтому регулярное обновление ПО в значительной степени парирует эту угрозу. И если уязвимостей в ПО нет, то можно в значительной степени считать, что антивирус будет лишь уменьшать количество контента, поставляемого в организацию из вне.

вторник, 13 марта 2012 г.

Админские права у пользователей

Перевел фрагмент анотации на интересный продукт, посвященный отбору админских прав. Сам продукт не называю.

Сложности установления минимальных привилегий
Улучшение безопасности ассоциируется с ликвидацией административных прав. Можно спросить, почему так много организаций позволяют своим сотрудникам работать с административными правами. Это идет от предположения, что убрать лишние права очень трудная задача, и что пользователи будут работать менее эффективно из-за запретов, возникающих минимальными правами. Если пользователю нужны административные права, чтобы запустить единственное приложение, приходится добавлять его в группу администраторов. В действительности же у каждого пользователя более, чем одно приложение требует таких прав. Увеличение количества ноутбуков в организации только усиливает эту проблему, т.к. пользователям самим приходится решать многие административные задачи на них, например, изменять сетевые настройки, добавлять принтеры, устанавливать дополнительное ПО.
Неспособность большинства ОС точечно предоставлять и контролировать нужные приложениям права является фундаментальным барьером для многих организаций, желающих добиться эффективной работы своих сотрудников с минимальными привилегиями, необходимыми для выполнения ими своих задач.
Хотя в Windows XP есть режим запуска “Rus As”, а в Windows Vista и Windows 7 есть режим User Account Control (UAC), эти режимы всё еще требуют, чтобы пользователь имел дополнительно еще и административную учетную запись для выполнения административных задач. Однако эти возможности больше подходят для работы на домашнем компьютере, когда пользователь выполняет свои повседневные дела, работая под обычными правами, и использует полные права только эпизодически. 

Ликвидация административных прав
Ликвидация административных прав для обычных пользователей это первый шаг на пути установления минимальных привилегий. Это часто называет least-privileged user account (LUA). LUA должен быть применен, как к обычным пользователям, так и к администраторам.
Однако применение LUA может быть трудным и дорогим во внедрении, т.к. приложения, требующие административных прав часто должны быть переработаны или для их работы нужно точно понять какие ресурсы им необходимы, точечно предоставить их, чтобы эти приложения заработали под обычными правами.
Когда пользователям требуется сконфигурировать ОС, что бывает необходимо во многих ОС, им предоставляются административные учетные записи. Используя режимы Run As и UAC можно запустить приложения под административными правами, но для этого опять же нужно дать пользователям права администратора. Всё это очевидно создает следующие трудности:
§        пользователи должны быть доверенными, т.к. имеют локальные административные учетные записи, что создает возможность злоупотреблений, что в корпоративной среде неприемлемо;
§     приложения, запускаемые под другими учетными записями, нежели работают сами пользователи, создают дополнительные проблемы. Например, приложения могут не иметь доступа к пользовательским профилям или сетевым ресурсам, в результате чего уменьшается прозрачность при работе пользователей с приложениями.
§     пользователи должны помнить по два пароля: один стандартный, другой административный.  Пользователям нужно быть более бдительными при запросах ОС о вводе административных паролей, такие пользователи становятся слабым звеном любой системы.

Все эти проблемы создают предпосылки для повседневной работы пользователей под административными правами.

суббота, 3 марта 2012 г.

Сертифицированные СЗИ-2010

Лучше поздно, чем никогда, поэтому решил всё-таки для себя свести СЗИ сертифицированные по линии ФСТЭК в 2010 году.
Опять же не перечислю СЗИ, не относящиеся к программным средствам, являющиеся какими-либо специальными средствами, а также предназначенные для госов или около того.

Антивирусы
Kaspersky Administration Kit 8.0. ПО Kaspersky Administration Kit 8.0 - по 3-му уровню РД НДВ и требованиям ТУ

Dr. Web® версии 5.0  для Windows. Программное изделие «Антивирус Dr. Web® версии 5.0 для Windows» - по 2 уровню контроля НДВ и ТУ

Security Studio Endpoint Protection Antivirus. Средство защиты информации Security Studio Endpoint Protection Antivirus -  по 4 уровню контроля отсутствия НДВ, и на соответствие ТУ, с ограничениями формуляр

Межсетевые экраны и VPN
WatchGuard Firebox. Программно-аппаратный комплекс межсетевой экран «WatchGuard Firebox» с программным обеспечением «Fireware XTM» версии 11 - межсетевой экран, предназначенный для защиты информации, не содержащей сведений, составляющих государственную тайну, соответствует 3 классу защищенности для МЭ при выполении указаний по эксплуатации

CSP VPN Server  v. 3.0. ПС «Сервер безопасности CSP VPN Server.Версия 3.0»  - по ОУД 3 в соответствии ОК и 4 уровню НДВ (использоваться при создании автоматизированных систем до класса защищенности 1Г включительно, а также для защиты информации в ИСПДн до 2 класса включительно.)

CSP VPN Gate v. 3.0. Программный комплекс «Шлюз безопасности CSP VPN Gate.Версия 3.0»»  -по ОУД 3 в соответствии ОК и 4 уровню НДВ (использоваться при создании автоматизированных систем до класса защищенности 1Г включительно, а также для защиты информации в ИСПДн до 2 класса включительно.)

CSP VPN Client  v. 3.0. Программное средство «Клиент безопасности CSP VPN Client. Версия 3.0»  - по ОУД 3 в соответствии ОК и 4 уровню НДВ (использоваться при создании автоматизированных систем до класса
защищенности 1Г включительно, а также для защиты информации в ИСПДн до 2 класса включительно.)

CSP RVPN v. 3.0.Программный комплекс «Шлюз безопасности CSP RVPN. Версия 3.0»  - по ОУД 3 в соответствии ОК и 4 уровню НДВ (использоваться при создании автоматизированных систем до класса защищенности 1Г включительно, а также для защиты информации в ИСПДн до 2 класса включительно.)

CSP VPN Server  v. 3.1. Программный комплекс «Сервер безопасности CSP VPN Server.Версия 3.1»  - по ОУД 3+ в соответствии ОК и 3 уровню НДВ (может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно, а также для защиты информации в ИСПДн до 1 класса включительно.)
CSP VPN Gate v. 3.1. Программный комплекс «Шлюз безопасности CSP VPN Gate.Версия 3.1»»  -по ОУД 3+ в соответствии ОК и 3 уровню НДВ (может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно, а также для защиты информации в ИСПДн до 1 класса включительно.)

CSP VPN Client  v. 3.1. Программное средство «Клиент безопасности CSP VPN Client. Версия 3.1»  - по ОУД 3 в соответствии ОК и 3 уровню НДВ (может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно, а также для защиты информации в ИСПДн до 1 класса включительно.)

UserGate Proxy & Firewall 5.2.F. Программный комплекс UserGate Proxy & Firewall 5.2.F –  на соответствие ЗБ и имеет оценочный уровень доверия ОУД2 для ОК , по 4 классу РД МЭ, 4 уровень - РД НДВ (может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно, а также для перданных до 1 класса включительно)

ССПТ-2. Межсетевой экран ССПТ-2 версии 1.3 - по 3 классу для МЭ и 3 уровню контроля НДВ

TrustAccess. Средство защиты информации TrustAccess -  по 4 уровню контроля отсутствия НДВ, и на соответствие 2 класс РД МЭ ( может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно, а также для защиты информации в ИСПДн до 1 класса включительно.)

TrustAccess-S. Средство защиты информации TrustAccess-S -  по 2 уровню контроля отсутствия НДВ, и на соответствие 2 класс РД МЭ ( может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно, а также для защиты информации в ИСПДн до 1 класса включительно.)

ViPNet Coordinator HW-VPNM.Программно-аппаратный комплекс защиты информации "ViPNet Coordinator HW-VPNM" - на соответствие 3 кл РД МЭ,  3 уровень по НДВ, и ТУ (может использоваться для защиты информации  в АС 1В и ИСПДн до 1 класса включительно)

ViPNet Coordinator HW1000.Программно-аппаратный комплекс защиты информации "ViPNet Coordinator HW1000" - на соответствие 3 кл РД МЭ,  3 уровень по НДВ, и ТУ (может использоваться для защиты информации  в АС 1В и ИСПДн до 1 класса включительно)

ViPNet Coordinator HW100. Программно-аппаратный комплекс защиты информации "ViPNet Coordinator HW100" - на соответствие 3 кл РД МЭ,  3 уровень по НДВ, и ТУ (может использоваться для защиты информации  в АС 1В и ИСПДн до 1 класса включительно)

Stonegate Firewall. Межсетевой экран StoneGate Firewall - по 2 классу для МЭ,  по 4  уровню контроля в соответствии с РД НДВ и требованиям ТУ

Security Studio Endpoint Protection Personal Firewall.Средство защиты информации Security Studio Endpoint Protection Personal Firewall - по 4 уровню контроля отсутствия НДВ, по 4 классу РД МЭ и на соответствие ТУ

Купол-Т. Программный модуль защитного туннелирования «Купол-Т» – по 4  уровню контроля в соответствии с РД НДВ

Операционные системы и виртуализация
МСВСфера 5.2 Desktop. Клиентская операционная система с интегрированными пользовательскими приложениями МСВСфера 5.2 Desktop - на соответствие ЗБ и имеет оценочный уровень доверия ОУД2 для ОК ,  4 уровень - РД НДВ  (может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно, а также для перданных до 1 класса включительно)

МСВСфера 5.2 Server. Cерверная операционная система с интегрированными серверными службами МСВСфера 5.2 Server - на соответствие ЗБ и имеет оценочный уровень доверия ОУД2 для ОК ,  4 уровень - РД НДВ  (может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно, а также для перданных до 1 класса включительно)

Security Code vGate  for VMware Infrastructure. Средство защиты информации Security Code vGate  for VMware Infrastructure -  по 4 уровню контроля отсутствия НДВ, и на соответствие 5 класс РД СВТ ( может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно, а также для защиты информации в ИСПДн до 1 класса включительно.)

VMware vSphere 4. Программный комплекс «VMware vSphere 4 в составе: ESX 4.0 Update 1 и VMware vCenter Server 4.0 Update 1» в редакциях: «Essentials», «Essentials Plus», «Standart», «Advanced», «Enterprise», «Enterprise Plus» –  на соответствие 5 класса СВТ (может использоваться в 1Г и ИСПДн до 2 класса)

Средства защиты от НСД
Secret Net 6. Средство защиты информации Secret Net 6 -  по 4 уровню контроля отсутствия НДВ, по 4 классу защищенности для СВТ (может использоваться в 1Г и может использоваться для защиты информации  в ИСПДн до 1 класса включительно)

Страж NT v.3.0. Система защиты информации от несанкционированного доступа "Страж NT" (версия 3.0) МАВУ.00028-01 - по 3 СВТ и  2 НДВ (может использоваться в 1Б и использоваться для защиты информации  в ИСПДн до 1 класса включительно)

Citrix Presentation Server 4.5. Citrix Presentation Server 4.5 with Feature Pack 1 for Microsoft Windows Server 2003 (Citrix XenApp 4.5 for Microsoft Windows Server 2003) Advanced SE Edition, Enterprise SE Edition –  на соответствие ТУ и 5 класс СВТ (может использоваться в 1Г)

Сканеры уязвимостей и обнаружение атак
XSpider 7.7. Средство анализа защищенности «Сетевой сканер безопасности XSpider 7.7» -  по 2 уровню контроля отсутствия НДВ и ТУ

Stonegate IPS. Система предотвращения вторжений с функцией межсетевого экрана Stonegate IPS - по 3 классу РД МЭ, РД НДВ - по 4  уровню контроля, соответствует ТУ,  может использоваться при создании АС до класса защищенности 1Г включительно и для защиты информации в ИСПДН до 1 класса включительно

Security Studio Endpoint Protection HIPS. Средство защиты информации Security Studio Endpoint Protection HIPS - по 4 уровню контроля отсутствия НДВ и на соответствие ТУ

DLP
InfoWatch Traffic Monitor 3.3. ПК "InfoWatch Traffic Monitor 3.3" –  на соответствие 4 уровню РД НДВ, ТУ и может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно, а также для защиты информации в ИСПДн до 1 класса включительно.

DeviceLock 6.4.1. Программный комплекс DeviceLock 6.4.1 соответствует заданию по безопасности и имеет оценочный уровень доверия ОУД 2 по  РД БИТ, по 4 уровню НДВ (может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно)

SIEM
ArcSight Enterprise Security Manager. Программное обеспечение системы мониторинга и корреляции событий информационной безопасности ArcSight Enterprise Security Manager - на соответствие ТУ

SSO
AstroSoft MatchLogon. Программное изделие «AstroSoft MatchLogon» версия 3.3 - по 3 уровню контроля отсутствия НДВ и на соответствие ТУ

Контроль принтеров
Print Control v. 2.4. Программный продукт "Средства контроля и аудита печати Print Control v. 2.4" -  на ТУ  и по 4 уровню НДВ (может использоваться в 1Г и использоваться для защиты информации  в ИСПДн до 1 класса включительно)

Из интересного с единичным сертификатом:
1С: Предприятие, версия 8.2z. Защищенный программный комплекс "1С: Предприятие, версия 8.2z" -  на соответствие РД СВТ(5класс) и РД НДВ (4 уровень) (может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно, а также для защиты информации в ИСПДн до 1 класса включительно.) 10000 экз.

четверг, 1 марта 2012 г.

IDC

Сегодня был на конференции IDC IT Security Roadshow. Из всех докладов на которых я присутствовал понравился лишь последний доклад независимого эксперта Глеба Лигачева, конспект которого и привожу здесь:

ДИТ в больших корпорациях в последние годы сильно деградировал.

Основными задачами ДИТ стали:

• не трогай раз работает;

• не трогай пока работает;

• если что-то поменяем, то вдруг не будет работать;

• а если вдруг не будет работать, вдруг не сможем откатиться назад;

• ничего не внедряй нового, а только поддерживай как можешь по той же причине.

Поэтому их методы работы стали:

• всячески оттягивать согласования;

• всячески оттягивать внедрения;

• прикрывать свою «плоскость опоры».

Про ДИБ:

• часто располагаются под руководством ДИТ, поэтому все вышеперечисленное это и про них;

• часто располагаются под обычной безопасностью, поэтому их задачами становятся: собирать материал и расследовать действия сотрудников;

• просто запрещать, т.е. создавать неудобства (про рациональность даже речь не идет).

Выводы:

• ДИТ и ДИБ являются обеспечивающими подразделениями;

• ДИТ и ДИБ не помогают, а только мешают бизнесу;

• если между бизнесом, ДИТ и ДИБ нет противостояний, то это уже хорошо.

Что делать:

• менять кадры, включая руководство;

• должна быть ротация кадров, например, 3-5 лет;

• нацеливать ДИТ/ДИБ на помощь бизнесу, т.е. на достижение конкурентных преимуществ;

• пиарить собственную деятельность ДИТ/ДИБ, чтобы все, включая руководство, знали и понимали, что они делают и какая от них есть польза.

Как пробивать проекты:

• обосновывать до копейки проекты бесполезно, т.к. бизнес в них ничего не понимает и поэтому они бизнесу не нужны;

• должно быть неформальное общение бизнеса/ДИТ/ДИБ/других подразделений тогда успех проектов более очевиден.

Нужно учитывать:

• что все системы нужно сильно кастомизировать и это большая головная боль для всех;

• если будет успех проекта, то бенефиты получит бизнес подразделение;

• если будет провал проекта, то виноватым будет ДИТ или ДИБ.

Сертифицированные СЗИ-2011

Решил посмотреть, какие средства защиты информации сертифицировались по линии ФСТЭК в прошлом году. Буду обращать внимание только на сертификацию по типу «серия», все единичные экземпляры, как правило, идут лесом. Также не перечислю СЗИ, не относящиеся к программным средствам, являющиеся какими-либо специальными средствами, а также предназначенные для госов или около того.

Сразу хочу отметить, что уже давно идет «мода» на получение сертификатов на соответствие ТУ. В общем случае это означает удешевление процесса получения сертификата, т.к. в ТУ чаще всего указываются ограничения. Например, можно сертифицировать что угодно, написав в ТУ следующие фразы: «средство защиты информации красного цвета», «изделие поставляется в желтой коробке», «инсталлятор имеет длину 8 символов», и т.д. И что еще более интересно, попробуйте-ка выбить данные ТУ у производителей.

Антивирусы

Антивирус Касперского для Proxy Server 5.5. ПО Антивирус Касперского для Proxy Server 5.5 - на соответствие ТУ и 3 уровню РД НДВ.

Антивирус Касперского 8.0 для Windows Servers Enterprise Edition. Программное изделие Антивирус Касперского 8.0 для Windows Servers Enterprise Edition 643.46856491.00048 - на соответствие ТУ и 3 уровню РД НДВ (может использоваться в ИСПДН до 1 класса).

Антивирус Касперского 8.0 для Linux File Servers. Программное изделие «Антивирус Касперского 8.0 для Linux File Servers» 643.46856491.00049-01 - на соответствие ТУ и 3 уровню РД НДВ (может использоваться в ИСПДН до 1 класса).

Kaspersky Endpoint Security 8 для Linux. Изделие Kaspersky Endpoint Security 8 для Linux 643.46856491.00054 - на соответствие ТУ и 3 уровню РД НДВ (может использоваться в ИСПДН до 1 класса).

Dr. Web® версии 5.0 для почтовых серверов. Программное изделие «Антивирус Dr. Web® версии 5.0 для почтовых серверов» - по 2 уровню контроля НДВ и ТУ.

Dr.Web для DioNIS версии 6.0. Антивирус Dr.Web для DioNIS версии 6.0 - по 2 уровню контроля НДВ и ТУ.

Dr.Web Enterprise Security Suite версия 6.0. Антивирус Dr.Web Enterprise Security Suite версии 6.0 - по 2 уровню контроля НДВ и ТУ.

Trend Micro Enterprise Security 10.0. Пакет антивирусных программ «Trend Micro Enterprise Security 10.0» – на соответствие ТУ и 4 уровень по РД НДВ.

Межсетевые экраны и VPN

Diamond VPN/FW. Многофункциональный комплекс сетевой защиты "Diamond VPN/FW" - по 3 классу РД СВТ, по 2 классу РД МЭ, по 2 уровню НДВ (может использоваться при создании автоматизированных систем до класса защищенности 1Б включительно, а также для защиты информации в ИСПДн до 1 класса включительно).

Ideco ICS 3. Программный комплекс межсетевой экран «Ideco ICS 3» - на соответствие ТУ, 4 класс РД МЭ, 4 уровень - по РД НДВ (может использоваться для защиты перданных до 2 класса включительно).

StoneGate SSL. Система обеспечения безопасных соединений StoneGate SSL - по 3 классу РД МЭ, РД НДВ - по 4 уровню контроля, соответствует ТУ, может использоваться при создании АС до класса защищенности 1Г включительно и для защиты информации в ИСПДН до 1 класса включительно.

ЗАСТАВА-SI. Программный комплекс «Межсетевой экран «ЗАСТАВА-AL», версия 5.3, функционирующий в среде операционной системы ALT Linux - по 2 классу РД МЭ и по 3 уровню РД НДВ с ограничениями.

Тропа-Джет. Комплекс кодирования межсетевых потоков "Тропа-Джет", версия 2.8.0 – по 4 уровню контроля НДВ, заданию по безопасности и имеет оценочный уровень доверия ОУД 4 (усиленный).

ViPNet Coordinator HW. Программно-аппаратный комплекс защиты информации ViPNet Coordinator HW (модификации «ViPNet Coordinator HW 100» (типы «А», «В», «С»), «ViPNet Coordinator HW 1000», «ViPNet Coordinator HW-VPNM») - на соответствие 3 кл РД МЭ, 3 уровень по НДВ, и ТУ (может использоваться для защиты информации в АС 1В и ИСПДн до 1 класса включительно).

ViPNet StateWatcher версии 2.1. Программный комплекс мониторинга защищенных сетей ViPNet StateWatcher версии 2.1 - РД НДВ по 3 уровню и ТУ (может использоваться для защиты информации в АС 1В и ИСПДн до 1 класса включительно).

Трафик Инспектор 2.0. Программный комплекс «Трафик Инспектор 2.0» - по 4 классу РД МЭ, по 4 уровню контроля РД НДВ (при создании автоматизированных систем до класса защищенности 1Г включительно и для защиты информации в ИСПДн до 2 класса включительно).

ИВК КОЛЬЧУГА-К. Межсетевой экран с расширенной функциональностью, коммуникационный центр «ИВК КОЛЬЧУГА-К(тм)» - по 4 классу РД МЭ и 4 уровню РД НДВ.

ИВК КОЛЬЧУГА. Межсетевой экран с расширенной функциональностью, коммуникационный центр «ИВК КОЛЬЧУГА» - по 2 классу РД МЭ, РД НДВ - по 2 уровню контроля.

FortiGate-60C. Межсетевой экран FortiGate-60C, модель FortiGate-60C-LENC, с установленным программным обеспечением FortiOS версии 4.0 MR2 - по 4 классу РД МЭ.

ASTARO. Программное обеспечение ASTARO Security Gateway Software Network Appliance 8 – по 3 классу для МЭ, по 4 уровню контроля для НДВ с ограничениями.

FORT. Программный комплекс «FORT» - на соответствие РД НДВ по 3 уровню контроля и РД МЭ по 3 классу.

Операционные системы и виртуализация

Альт Линукс СПТ 6.0. Операционная система "Альт Линукс СПТ 6.0"- по 4 классу РД СВТ и по 3 уровню отсутствия НДВ.

Microsoft Windows 7 OEM. Операционная система Microsoft Windows 7 OEM в редакции «Профессиональная» – по 5 классу СВТ (может использоваться в 1Г и может использоваться для защиты информации в ИСПДн до 2 класса включительно).

Microsoft Windows 7 OEM. Операционная система Microsoft Windows 7 OEM в редакции «Профессиональная» – по 5 классу СВТ (может использоваться в 1Г и может использоваться для защиты информации в ИСПДн до 2 класса включительно).

Циркон 10К.р2. Доверенная операционная система «Циркон 10К.р2» (на базе ОС Solaris 10 Update 7 ) - по 5 классу для СВТ и по 4 уровню контроля НДВ.

vGate R. Средство защиты информации «vGate R2» - по 4 уровню контроля по РД НДВ, по 5 классу защищенности РД СВТ (может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно, а также для перданных до 1 класса включительно).

vGate-S R2. Средство защиты информации «vGate-S R2» - по 2 уровню контроля по РД НДВ, ТУ (может использоваться при создании автоматизированных систем до класса защищенности 1Б включительно, а также для перданных до 1 класса включительно).

Средства защиты от НСД

«Аккорд-Win32». ПАК средств защиты информации от несанкционированного доступа «Аккорд-Win32», под управлением ОС Windows , соответствует 2 уровню по РД НДВ, 3-РД СВТ (может использоваться при создании автоматизированных систем до класса защищенности 1Б включительно, а также для перданных до 1 класса включительно).

«Аккорд-Win64». ПАК средств защиты информации от несанкционированного доступа «Аккорд-Win64», под управлением ОС Windows , соответствует 2 уровню по РД НДВ, 3-РД СВТ (может использоваться при создании автоматизированных систем до класса защищенности 1Б включительно, а также для перданных до 1 класса включительно).

Аура 1.2.4 Система защиты информации от несанкционированного доступа «Аура 1.2.4» - по 4 уровню контроля отсутствия НДВ, РД СВТ-по 5 классу (может использоваться для защиты информации в автоматизированных системах до класса защищенности 1Г включительно и в ИСПДН до 1 класса)

Блокхост-МДЗ. Программно-аппаратный комплекс доверенной загрузки «Блокхост-МДЗ»- на соответствие ТУ и по 4 уровню РД НДВ.

ПК ICLinux. Программный комплекс защиты от несанкционированного доступа информации, обрабатываемой с использованием технологии терминального доступа, «ПК ICLinux» - 4 уровень контроля РД НДВ (может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно, а также для защиты перданных до 1 класса включительно).

КРИПТОН-ЗАМОК/УК. Аппаратно-программный модуль доверенной загрузки «КРИПТОН-ЗАМОК/УК» - по 2 уровню контроля РД НДВ и ТУ.

Biolink Idenium. Программный комплекс "Программное обеспечение системы Biolink IDenium" - по 4 уровню контроля РЛ НДВ.

ПАК МБ АБИС. СПО со встроенными функциями безопасности информации программно-аппаратного комплекса мультибиометрической идентификации граждан (ПАК МБ АБИС) с версией программного обеспечения 6.5.1-7.0 - по 4 уровню РД НДВ и на ТУ (может использоваться для создания ИСПДн до 1 класса включительно).

ДИОД 0.1. Аппаратно-программный комплекс "ДИОД 0.1" соответствует ТУ и по 3 уровню НДВ (может использоваться при создании автоматизированных систем до класса защищенности 1В включительно).

Сканеры уязвимостей и обнаружение атак

MaxPatrol. Средство контроля защищенности информации MaxPatrol версии 8.0.6052 - по 4 уровню контроля отсутствия НДВ и ТУ (может использоваться для защиты информации в ИСПДН до 1 класса включительно).

XSpider 7.8. Средство анализа защищенности «Сетевой сканер безопасности XSpider 7.8» - средство автоматизированного анализа защищенности и обнаружения уязвимостей автоматизированных систем, соответствует 4 уровню контроля отсутствия НДВ и ТУ (может использоваться для анализа защищенности информации в автоматизированных системах до класса защищенности 1Г включительно и в ИСПДН до 1 класса).

SiteProtector 2.0 SP 8.1. Программный комплекс «IBM Proventia Management SiteProtector 2.0 SP 8.1», децимальный номер 501590-146-65561296-1 - на соответствие ТУ (может использоваться в 1Г и может использоваться для создания ИСПДн до 2 класса включительно).

IBM Proventia Network Intrusion Prevention System. Система обнаружения и предотвращения вторжений IBM Proventia Network Intrusion Prevention System (модели GX4004-V2, GX5008-V2, GX5108-V2, GX5208-V2, GX6116) с программным обеспечением firmware 4.1 - на соответствие ТУ (может использоваться в 1Г и может использоваться для защиты информации в ИСПДн до 2 класса включительно).

Аргус. Аппаратно-программный комплекс обнаружения компьютерных атак "Аргус", версия 1.5" - на соответствие ТУ и 4 уровню РД НДВ (может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и в ИСПДН до 1 класса).

Связанное с токенами

Guardant ID. Системное программное обеспечение для электронных идентификаторов Guardant ID – защищенное программное средство обработки информации, соответствует РД НДВ по 2 уровню контроля.

Aladdin TSM. Программный комплекс «Встраиваемый модуль безопасности Aladdin TSM» 46538383.50 1410 010-01 версии 1.1.1.21 - на соответствие РД НДВ по 3 уровню (может использоваться для защиты информации в автоматизированных системах до класса защищенности 1Г включительно и в ИСПДН до 1 класса).

DLP

Monitorium. Программный комплекс "Monitorium" ("Мониториум") - средство защиты информации от несанкционированной передачи (вывода) информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, соответствует ТУ и РД НДВ по 4 уровню контроля.

Другое

Imperva SecureSphere 8.0. Программное обеспечение комплекса средств защиты серверов баз данных, Web серверов и файловых серверов Imperva SecureSphere 8.0 - на ТУ (может использоваться в 1Г и использоваться для защиты информации в ИСПДн до 2 класса включительно).

IBM Informix Dynamic Server 11.50. Программный комплекс "IBM Informix Dynamic Server 11.50" - по 4 уровню РД НДВ и на соответствие ТУ (может использоваться в 1Г и может использоваться для защиты информации в ИСПДн до 1 класса включительно).

SAP NetWeaver Application Server. Базисная система для разработки программных прикладных систем со встроенными средствами защиты от несанкционированного доступа SAP NetWeaver Application Server - программное средство со встроенными средствами защиты информации от несанкционированного доступа, соответствует ТУ и 4 уровню контроля РД НДВ.

Microsoft BizTalk Server 2009. ПК «Microsoft BizTalk Server 2009 Standard, Enterprise Edition» – на ТУ(может использоваться в 1Г и может использоваться для защиты информации в ИСПДн до 2 класса включительно).

Microsoft Forefront Identity Manager 2010. Программное обеспечение Microsoft Forefront Identity Manager 2010, x64, версия 4 – на ТУ (может использоваться в 1Г и может использоваться для защиты информации в ИСПДн до 2 класса включительно).

Что есть из интересного с единичными сертификатами:

Symantec Endpoint Protection (версия 11.0.5). Программное обеспечение Symantec Endpoint Protection (версия 11.0.5) - средство защиты информации от несанкционированного доступа на ТУ и по 4 уровню РД НДВ. 150 экз.

Symantec Endpoint Protection Small Business Edition (версия 12). Программное обеспечение Symantec Endpoint Protection Small Business Edition (версия 12) - средство защиты информации от несанкционированного доступа на ТУ. 1000 экз.

Symantec Data Loss Prevention (версия 10). Программное обеспечение Symantec Data Loss Prevention (версия 10) - средство предотвращения несанкционированного копирования информации на ТУ и по 4 уровню РД НДВ. 300 экз.

McAfee Total Protection for Endpoint. Пакет программ «McAfee Total Protection for Endpoint» - на ТУ. 300 экз.

Lumension Device Control» (версия 4.4 SR3). Система защиты информации «Lumension Device Control» (версия 4.4 SR3) - на ТУ. 200 экз.

RSA enVISION. Программное средство автоматизированного анализа защищенности, обнаружения атак и уязвимостей АС и СВТ «RSA enVISION», версия 4.0 Service Pack 3, функционирующее под управлением операционной системы Microsoft Windows Server 2003 Release 2 Enterprise Edition Service Pack 2 - соответствует ТУ. 50 экз.

IBM Guardium 7. Программный комплекс «IBM Guardium 7» на соответствие требованиям ТУ. 5 экз.