суббота, 28 апреля 2012 г.

Пару слов про уровни защищенности


Читаю проект постановления по уровням защищенности. Хочу остановиться лишь на нескольких моментах.
1. Мне нравится преемственность нового и старого подходов. Даже если в организациях еще ничего не сделано для защиты ПДн, то уж классы-то ИСПДн должны быть определены. 152-ФЗ вышел аж в 2006 году и жалобы на его новизну уже надоели.

2. Установить уровни защищенности вроде бы как хорошо. Более того такой переход позволит уменьшить расходы на обеспечения защиты, т.к.:
  • при К1 возможен и УЗ-2;
  • при К2 возможен и УЗ-3.
Читаю документ еще раз и с начала.

3. Уровни должны зависеть от большего числа параметров ПДн, чем есть сейчас. Цитирую п.2 проекта постановления:

«Установить, что уровни защищенности персональных данных определяются оператором или лицом, осуществляющим обработку персональных данных по поручению оператора, в зависимости от угроз безопасности персональных данных с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных»

В алгоритме определения уровня защищенности почему-то не учитывается:
  • возможный вред субъекту ПДн;
  • вид деятельности оператора ПДн.
Это очень странно, т.к. об этих сущностях говорили давно и долго, а пока получается как всегда. Остается лишь эти понятия прописывать в модели угроз для того, чтобы снизить категории нарушителей или же просто игнорировать.

среда, 25 апреля 2012 г.

Сколько нужно учиться по 313-ПП

Ну, во-первых, меня очень удивило название Постановления Правительства, как говорится многабуковниасилил, но цитирую:

«Положение о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).

А, во-вторых, я сделал разбивку по Перечню в зависимости от часов обучения руководителя работа по ИБ, а также стажа руководителя работ по специальности.

В номинации 1000 часов и 5 лет стажа присутствуют следующие работы:

• 1. Разработка шифровальных (криптографических) средств;

• 4. Разработка средств изготовления ключевых документов;

• 5. Модернизация шифровальных (криптографических) средств;

• 6. Модернизация средств изготовления ключевых документов;

• 16. Ремонт шифровальных (криптографических) средств;

• 19. Ремонт, сервисное обслуживание средств изготовления ключевых документов.

Сразу хочу отметить, что подход разумный. Те, кто руководят данными направлениями работ, должны обязательно быть «образованы» не какой-нибудь 72-х часовой корочкой, а на уровне специальности ВУЗа.

В номинации 500 часов и 3 года стажа присутствуют следующие работы:

• 2. Разработка защищенных с использованием шифровальных (криптографических) средств информационных систем

• 3. Разработка защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем

• 7. Производство (тиражирование) шифровальных (криптографических) средств.

• 8. Производство защищенных с использованием шифровальных (криптографических) средств информационных систем.

• 9. Производство защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.

• 10. Производство средств изготовления ключевых документов.

• 11. Изготовление с использованием шифровальных (криптографических) средств изделий, предназначенных для подтверждения прав (полномочий) доступа к информации и (или) оборудованию в информационных и телекоммуникационных системах.

• 12. Монтаж, установка (инсталляция), наладка шифровальных (криптографических) средств.

• 13. Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств информационных систем.

• 14. Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.

• 15. Монтаж, установка (инсталляция), наладка средств изготовления ключевых документов.

• 17. Ремонт, сервисное обслуживание защищенных с использованием шифровальных (криптографических) средств информационных систем.

• 18. Ремонт, сервисное обслуживание защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.

• 20. Работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства (за исключением случая, если указанные работы проводятся для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).

• 25. Предоставление услуг по шифрованию информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных (криптографических) средств в интересах юридических и физических лиц, а также индивидуальных предпринимателей.

• 26. Предоставление услуг по имитозащите информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных (криптографических) средств в интересах юридических и физических лиц, а также индивидуальных предпринимателей.

• 27. Предоставление юридическим и физическим лицам защищенных с использованием шифровальных (криптографических) средств каналов связи для передачи информации.

• 28. Изготовление и распределение ключевых документов и (или) исходной ключевой информации для выработки ключевых документов с использованием аппаратных, программных и программно-аппаратных средств, систем и комплексов изготовления и распределения ключевых документов для шифровальных (криптографических) средств.

Здесь присутствует основной пул мероприятий по криптографии. Мое мнение, что не хватает признания у руководителя работ профильных сертификатов по ИБ, например, всё тех же: CISA, CISM, CISSP, а может быть и других менее значимых.

В номинации 100 часов присутствуют следующие работы:

• 21. Передача шифровальных (криптографических) средств.

• 22. Передача защищенных с использованием шифровальных (криптографических) средств информационных систем.

• 23. Передача защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.

• 24. Передача средств изготовления ключевых документов.

А вот здесь мне не понятно, зачем нужны 100 часов или обучения никогда не бывает много? У многих и так уже есть корочки на 72 часа, которые при необходимости можно довести до 100 часов, путем дообучения оставшимися часами.

понедельник, 23 апреля 2012 г.

Перепост

Нашел интересный блог специалиста из HP. Понравились в том числе эти посты, которые позволю себе разместить на своем блоге с ссылкой на первоисточник.


‎30-секундная речь Брайана Дайсона - бывшего CEО Coca-Cola:

Представьте себе, что жизнь - это игра, построенная на жонглировании пятью шариками. Эти шарики - Работа, Семья, Здоровье, Друзья и Душа, и вам необходимо, чтобы все они постоянно находились в воздухе. Вскоре вы поймёте, что шарик Работа сделан из резины - если вы его невзначай уроните, он подпрыгнет и вернётся обратно. Но остальные четыре шарика - Семья, Здоровье, Друзья и Душа - стеклянные. И если вы уроните один из них, он будет непоправимо испорчен, надколот, поцарапан, серьёзно поврежден или даже полностью разбит. Они никогда не будут такими, как раньше. Вы должны осознавать это и стараться, чтобы этого не случилось.

* Работайте максимально эффективно в рабочее время и уходите домой вовремя.

* Посвящайте необходимое время своей семье, друзьям и полноценному отдыху.

18 простых жизненных советов:

1. Если обещали перезвонить — перезвоните.

2. Опаздываете? Найдите способ предупредить об этом.

3. Не смейтесь над чужими мечтами.

4. Не возвращайтесь к людям, которые вас предали. Они не меняются.

5. Проводите с родителями больше времени — момент, когда их не станет, всегда наступает неожиданно.

6. Вежливость покоряет города. Пользуйтесь почаще.

7. Не смотрите телевизор. Никогда.

8. Не пишите "День рождениЕ" и не говорите "МоЁ день рождения".

9. Умейте признавать свои ошибки.

10. Откажитесь от привычки всё время жаловаться. Никого не интересуют чужие проблемы

11. Не распространяйте сплетни

12. В непонятных ситуациях всегда ложитесь спать. Также в любых ситуациях полезно помнить, что "и это пройдет".

13. Есть такая штука как «Двигаться дальше». Попробуйте, поможет.

14. Даже при серьёзной ссоре не пытайтесь задеть человека за живое...Вы помиритесь(скорее всего), а слова запомнятся надолго...

15. Говорите правду, и тогда не придется ничего запоминать.

16. Пришла в голову идея? Запишите.

17. В начале дня делайте самое трудное и неприятное дело.

Когда вы сделали его — остаток дня вас не одолевают ненужные мысли.

18. НИКТО никому ничего не должен. Забудьте слово "должен". Выбросьте из активного лексикона. Иначе действительно увязнете в долгах, да не только материальных, а ещё и моральных.

воскресенье, 1 апреля 2012 г.

Ситуационные задачи к главе 5 CISA (перевод)

Решил перевести ситуационные задачи из главы «Защита информационных активов» книги CISA Review Manual 2008.

Задача А

Руководство Корпорации рассматривает пути усиления физической безопасности собственного ЦОД. Аудитора попросили помочь в данном процессе с точки зрения оценки существующего положения дел и рекомендаций по улучшению. ЦОД расположен на первом этаже главного здания Корпорации, имеет высокие потолки, занимает площадь 1400 кв. м. В ЦОД имеют постоянный доступ 22 человека из технического персонала. Доступ осуществляется по электронным картам, которые есть у каждого сотрудника Корпорации. ЦОД имеет три входа, каждый вход оснащен считывателем электронных карт и камерой видеонаблюдения. Камеры видеонаблюдения передают сигнал на ресепшн. На мониторы ресепшна также поступают видеосигналы с других внешних и внутренних камер. Видеоизображения с камер наблюдения выводятся на мониторы по очередности. Двери двух из трех входов ЦОД имеют обычные замки, которые можно использовать для прохода вместо электронных. По событиям входа-выхода по электронным картам ведется лог, который обновляется каждые 45 дней. Было выявлено, что персоналом используются 64 активные электронные карты доступов. ЦОД не имеет окон, однако одна стена стеклянная и выходит в фойе и ресепшн.

Вопрос А1: Какие из следующих рисков могут быть уменьшены внедрением биометрической системы совместно с электронными картами?

А) перемещение одновременно (piggybacking или tailgating);

Б) передача электронных карт;

В) отказ системы логирования;

Г) копирование электронных карт.

Вопрос А2: Какие из следующих механизмов предоставления доступа самые сложные для принятия их пользователями?

А) распознавание по геометрии ладони;

Б) распознавание по отпечаткам пальцев;

В) распознавание по сетчатке глаза;

Г) распознавание по голосу.

Задача Б

Компании нужно организовать удаленный доступ для одного своего сервера в целях технического обслуживания. Политика МСЭ запрещает любой внешний доступ во внутреннюю сеть компании. Было решено установить модем для доступа к серверу по телефонной линии. В качестве контроля было решено в ручном режиме включать модем перед осуществлением работ и выключать его сразу после их окончания. Так как всё чаще и чаще организации начинают администрировать системы удаленно, компания попросила аудитора оценить риски существующего решения и предложить лучшую стратегию для аналогичных задач в будущем.

Вопрос Б1: Что является наиболее важным при тестировании существующего решения?

А) проверка телефонной линии с точки зрения доверия к ней;

Б) определение максимальной полосы пропускания телефонной линии и её загрузки во время обслуживания;

В) доступность телефонной линии для предоставления услуги в любое время;

Г) проверка возможности реализации модемом обратных звонков.

Вопрос Б2: Какой наибольший риск в существующей реализации?

А) модем не включат или не выключат, когда это будет нужно;

Б) соглашение о конфиденциальности не подписано;

В) при обмене данными не используется шифрование;

Г) политика МСЭ нарушена.

Вопрос Б3: Какие из следующих рекомендаций наилучшим образом позволят снизить риски удаленного доступа?

А) анализ логов модема, когда он был включен или выключен;

Б) шифрование трафика идущего по телефонной линии;

В) миграция с модема в сторону VPN;

Г) актуализация политики МСЭ и внедрение IDS системы.

Вопрос Б4: Какой контроль может быть внедрен, чтобы предотвратить атаки на внутреннюю сеть при использовании технологии VPN?

А) правила МСЭ должны периодически пересматриваться;

Б) все VPN должны оканчиваться в единой точке;

В) IDS должен анализировать шифрованный трафик;

Г) антивирус должен быть установлен на всех серверах.

Задача В

Музыкальная компания занимается производством и распространением видеоклипов с джазовой музыкой. Зародившаяся Интернет-компания активно поддерживает использование ноутбуков собственным персоналом во время их работы дома или в поездках. Через интернет сотрудники могут получить доступ к базам данным и оперативно предоставить информацию заказчикам. Такое решение принято, чтобы увеличить производительность труда сотрудников и повысить их моральный облик. Сотрудникам разрешается два дня в неделю работать дома. Благодаря утвержденным процедурам и применяемым учебным курсам, сотрудники осведомлены в вопросах безопасности и избегают рисков несанкционированного доступа к данным компании. Для доступа по средствам VPN используется идентификатор пользователя и его пароль. Первоначальный пароль назначается администратором безопасности. Когда сотрудник заходит первый раз, система принудительно запрашивает смену пароля для повышения его конфиденциальности.

Руководство компании хочет улучшить защиту своих ресурсов при использовании удаленного доступа сотрудниками. Аудитора попросили помочь оценить этот процесс и подготовить рекомендации по его улучшению.

Вопрос В1: Какой из следующих уровней предоставляет высшую степень защиты применительно к контролю доступа, чтобы избежать рисков несанкционированного подключения?

А) сетевой уровень или уровень операционной системы;

Б) уровень приложений;

В) уровень баз данных;

Г) уровень логирования файлов.

Вопрос В2: Что должен сделать администратор безопасности в первую очередь, когда сотрудник компании сообщает, что забыл свой пароль?

А) позволить системе случайным образом сгенерировать новый пароль;

Б) идентифицировать сотрудника, который запрашивает новый пароль;

В) передать сотруднику пароль по умолчанию и объяснить, что его нужно сменить как можно быстрее;

Г) попросить сотрудника перейти за терминал администратора, чтобы создать себе новый конфиденциальный пароль.

Задача Г

Крупная финансовая Корпорация внедрила централизованное банковское решение (ЦБР) в одной своей компании. Это была вторая задача Корпорации после маркетинга. Также в компании присутствуют сотрудники, относящиеся к другому юридическому лицу, но они не должны иметь доступа к ЦБР. Сотрудники других компаний Корпорации проходят тренинг в ЦБР для чего получают временный доступ, как если бы они являлись их сотрудниками.

Аудитор обнаружил, что сотрудники, относящиеся к другому юридическому лицу, имеют доступ к ЦБР наравне с собственными сотрудниками. Аудитор также обнаружил многочисленные активные идентификаторы сотрудников, которые уже прошли обучение, но не были удалены.

Вопрос Г1: Что из перечисленного должен рекомендовать аудитор, чтобы исключить раскрытие пользовательских паролей?

А) использовать программу повышения осведомленности;

Б) разработать более строгие правила по управлению паролями;

В) использовать смарт-карты совместно со сложными паролями;

Г) использовать смарт-карты совместно с идентификаторами пользователя.

Вопрос Г2: Что из перечисленного лучше подходит для контроля за обучением сотрудников?

А) периодически и автоматически удалять неиспользованные идентификаторы доступа;

Б) интегрировать систему предоставления доступа с системой управления персоналом;

В) блокировать пароли сотрудников, которые прошли обучение;

Г) регулярно и часто проверять активные идентификаторы доступов.

Просьба высказывать правильные ответы и обосновывать почему вы считаете их прпвильными :-) в книге ответы конечно же есть