четверг, 19 февраля 2015 г.

Приказ ФСТЭК 17 - шпаргалки


Добрый вечер, дорогие читатели! Хочу поделиться с Вами своими шпаргалками, составленными по Приказу ФСТЭК России от 11.02.2013 N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах", надеюсь, вам пригодятся.

В первой табличке приведены требования к классу СВТ, СОВ, антивируса, МЭ и контролю на НДВ. Всего 8 возможных типов систем: 1 класс защищенности при условии соединения с сетями международного обмена, 1 класс без таких соединений, 2 класс с соединением, 2 класс без соединения и т.д. Наивысшие требования предъявляются к системам первого класса, имеющим соединение с сетями МО.

Таблица 1. Требования к СЗИ
1 и 2 класс
3 класс
4 класс
Соединение с сетями междунарождного обмена
+
-
+
-
+
-
СВТ
не ниже 5
СОВ и антивирус
не ниже 4
не ниже 5
МЭ
не ниже 3
не ниже 4
не ниже 3
не ниже 4
НДВ
не ниже 4
нет требований

При использовании одновременно Приказа 21 и Приказа 17 полезной будет вторая таблица. Меры защиты для первого класса защищенности обеспечивает требования всех уровней, второй класс - уровни от второго и ниже и т.д.:

Таблица 2. Соответствия класса и уровня защищенности


1 уровень
2 уровень
3 уровень
4 уровень
1 класс
+
+
+
+
2 класс
-
+
+
+
3 класс
-
-
+
+
4 класс
-
-
-
+

Вот и все на сегодня, остальное - в моей новой статье. Приятной Вам пятницы и хороших выходных!

Страница блога ВК: http://vk.com/kshudrova (ссылки на мои статьи, статьи других авторов, которые мне понравились и другие материалы).
Блог: http://shudrova.blogspot.ru/ 

среда, 11 февраля 2015 г.

Дай списать!

Добрый вечер, дорогие читатели! Думаю, многие ходили в родную школу в первую субботу февраля, я не исключение (в этом году юбилейный 10-й год выпуска). Самой встрече предшествовала долгая подготовка, в результате со всей этой кутерьмой я давненько ничего не писала. Буду исправляться! 
Задумалась сегодня над фразой одноклассника: "В школе ты мне не давала списывать", в голове начали крутиться профессиональные аналогии:) Школа школой, а как насчет "списываний" в области защиты информации?
Многие считают, что ничего сложного в разработке документации нет. Скачал шаблон из Интернета, подставил название организации и вуаля - готов комплект документов. Так ли все просто? Давайте разбираться. Естественно, изобретать велосипед каждый раз - глупо, но если Вы можете сделать что-то сами, пусть с ошибками, то и с оценкой качества скаченного шаблона тоже справитесь. Даже матерые эксперты ошибаются, а автором шаблонов может быть и начинающий специалист, поэтому критический взгляд не помешает. К тому же нормативные документы очень быстро устаревают и нет гарантии, что основополагающие идеи документа еще применимы. Помнится, во время прохождения студенческой практики мне дали задание разработать правила информационной безопасности для пользователей. После того, как я набросала черновик документа, на рабочее место был подключен Интернет и объявлено, что испытание на профпригодность завершено. Мне кажется, проверять практикантов на умение ваять элементарную нормативку "на коленке" - задумка неплохая. 
В 2009 году, когда защита ПДн была новой перспективной темой, широкое распространение получил продукт по созданию нормативных документов для ИСПДн (к сожалению, не помню название ПО). Разработчики тогда рассылали свои пробные версии и мы попробовали ее с тестовыми данными. Результаты удручали. Входными данными являлось количество субъектов, тип данных, наличие подключение к сети Интернет и т.п., на выходе мы получали типовые документы с подставленными в нужных местах цифрами. Такая программа стоила недешево, а по факту оптимизировала поверхностную обработку шаблонов, подобие которых можно было найти в сети. Здесь важно понимать, какую цель Вы преследуете - сделать формально комплект документов или построить адекватную систему защиты? В первом случае достаточно чужих шаблонов. Во втором - нет.
Есть еще одна связанная с шаблонами проблема - когда "списать" просят коллеги из других организаций. Что делает автор документов - обычно затирает название компании в тексте и отдает в исходном виде. Однако стоит помнить о том, что сведения о состоянии системы защиты - это минимум коммерческая тайна. Даже если Ваш коллега самый честный человек на свете, где гарантия, что он не поделится этими "обезличенными" документами с другими коллегами? При это вскользь упомянет: "Это документы из ...(подставить название своей организации)". 
Давайте порассуждаем, что конфиденциального может содержаться в документах по ИБ?
  • состав сети, ПО, характеристики оборудования - довольно интересная информация для злоумышленника, зная характеристики ИС, можно предположить ее уязвимости;
  • технологический процесс обработки информации - для потенциального нарушителя знание информационных потоков - это возможность понять слабые места и ключевые звенья в ИС;
  • наименования должностей, структурных подразделений. Типичные социальные инженеры представляются сотрудниками компании, называя верную должность и отдел. Этот тип атак довольно подробно описан Кевином Митником, и до сих пор широко используется, например, в банковской среде. Злоумышленник звонит в филиал, представляется руководителем одного из отделов головного офиса и просит немедленно произвести тестовый платеж на определенный счет. В таких атаках очень важно правильно представиться и использовать профессиональный сленг;
  • модель угроз - это просто бесценный подарок, особенно если не все актуальные угрозы закрыты. 
В общем немало интересной и полезной информации можно случайно передать неопределенному кругу лиц...
Я не призываю Вас становиться асоциальным "букой", который ничем не делится и никому не доверяет, однако границы щедрости обозначить стоит:) Еще в школе я установила для себя правило: "Списать не дам, но объясню, как сделать". Такого принципа придерживаюсь до сих пор. А Вы?

Страница ВК: http://vk.com/kshudrova (уведомления о свежих постах, мое мнение о прочитанных материалах других авторов)