вторник, 26 мая 2015 г.

Проект: Методика определения угроз безопасности информации в информационных системах

Добрый день, дорогие читатели, вот и у меня руки дошли до Проекта методики по оценке угроз от ФСТЭК. Пока я свои замечания указывать не буду (оставлю на следующий пост), сегодня предлагаю вам краткий пересказ нового проекта.

Методика предназначена для ГИС (17 приказ ФСТЭК). Может применяться для ПДн (21 приказ ФСТЭК). Применяется совместно с банком угроз.
Методика посвящена антропогенным угрозам, может применяться для техногенных и не подходит для стихийных бедствий.
Если актуальны угрозы по техническим каналам утечки – применять СТР-К и методики оценки защищенности конфиденциальной информации
Методика определения актуальных угроз безопасности упраздняется.
Угрозы могут быть прямые и косвенные.
Нужно определить:
·         Возможности нарушителей.
·         Уязвимости.
·         Способы реализации угроз.
·         Объекты, на которые направлена угроза.
·         Последствия от реализации угроз.
Актуальность угрозы определяется вероятностью реализации угрозы и степенью возможного ущерба.
Типы нарушителей: внешние (тип I), внутренние (тип II).
Виды нарушителей:
·         Спец службы иностранных государств;
·         Террористы и экстремисты;
·         Преступные группы;
·         Внешние субъекты (физические лица);
·         Конкуренты;
·         Разработчики, производители, поставщики;
·         Лица, осуществляющие ремонт;
·         Лица, обслуживающие инфраструктуру предприятия;
·         Пользователи;
·         Администраторы;
·         Бывшие работники (пользователи).
Нарушители могут вступать в сговор. Потенциал нарушителя определяется его компетентностью, ресурсами и мотивацией.
Потенциал может быть базовым (низким), базовым повышенным (средним) и высоким.
Способы реализации угроз НСД (аппаратный уровень, общесистемный уровень, прикладной уровень, сетевой уровень), несанкционированный физический доступ, воздействие на людей.
Действия нарушителей могут быть преднамеренными и случайными. Преднамеренные действия могут заключаться в реализации целенаправленных и нецеленаправленных угроз безопасности информации.
Показатель актуальности угрозы УБИjA определяется вероятностью реализации угрозы Pj и степенью возможного ущерба в случае ее реализации Xj. При отсутствии статистических данных вместо вероятности используется оценка возможности реализации угрозы безопасности информации Yj.
Для определения угроз используется банк данных угроз безопасности информации (ФСТЭК), базовые и типовые модели угроз ФСТЭК, данные иных источников, в том числе общедоступных.
Вероятность реализации угрозы может принимать три значения: низкая, средняя, высокая.
Возможность реализации угрозы определяется уровнем защищенности и потенциалом нарушителя. Для новых систем используется уровень проектной защищенности, который определяется по специальной таблице. Уровень проектной защищенности может быть высоким, средним и низким. Уровень защищенности существующей системы также может быть высоким, средним и низким и определяется по специальным правилам.
Потенциал нарушителя определяется на основе данных банка угроз, базовых и типовых моделей. В случае отсутствия информации – на основе методики, представленной в Приложении 3.
Возможность реализации угрозы безопасности информации определяется по таблице и может быть высокой, средней и низкой.
Результатом реализации угрозы безопасности информации может быть непосредственное или опосредованное воздействие на конфиденциальность, целостность и доступность информации.
При обработке в информационной системе нескольких видов информации воздействие на конфиденциальность, целостность и доступность определяется для каждого вида информации.
В таблице представлены основные виды ущерба и возможные негативные последствия. Среди них – Ущерб субъекту персональных данных. Который может привести к угрозе личной безопасности, финансовым и иным материальным потерям, вторжению в частную жизнь, моральному вреду, созданию угрозы здоровью, утрате репутации и т.д.
Степень возможного ущерба определяется экспертным путем и может быть высокой, средней и низкой.
Актуальность угрозы безопасности информации определяется по таблице, в столбцах которой степень возможного ущерба, а в строках – вероятность (возможность) реализации угрозы.
В Приложении 1 указан примерный состав экспертной группы. Указано, что специалисты от подразделений по защите информации по возможности должны иметь образование по направлению «Информационная безопасность» (повышение квалификации), а также практический опыт работы не менее трех лет. В составе экспертной группы должны быть также специалисты других структурных подразделений, а общее количество экспертов – не менее трех.
Оценку параметров рекомендуется проводить опросным методом.
В Приложении 2 указана структура модели угроз и краткое содержание разделов.
В Приложении 3 приведена методика определения потенциала нарушителя для реализации угроз, данные о которой отсутствуют в банке угроз безопасности информации.

Вы можете ознакомиться с мнением коллег по новому документу: Андрей Прозоров, Алексей Лукацкий, Ригельз Дыбр, Сергей Борисов.

Ну вот и все пока, замечания и предложения к проекту - все позже, а сейчас пора готовиться к Антитеррору. Приятного Вам вечера!

Страница ВК: http://vk.com/kshudrova.

воскресенье, 24 мая 2015 г.

Информационное. 28 мая выступаю на АнтиТеррор

Добрый день, дорогие читатели! В четверг 28 мая я выступаю на научно-практической конференции "Опыт организации мероприятий по противодействию идеологии терроризма. Научные и практические подходы к оценке их эффективности" в качестве независимого эксперта в рамках мероприятия АнтиТеррор в г. Красноярске. Мое выступление пройдет в рамках Секции № 2 (Конференц-зал № 2, Гранд Хол) "Практика организации мероприятий по защите информационного пространства от распространения идеологии терроризма. Механизмы оценки результативности их реализации". Тема доклада - "Практические вопросы защиты персональных данных". Регламент: 15 минут.
В доклад я бы хотела включить следующие вопросы, но понимаю, что на все времени не хватит:
  1. Автоматизированная или нет? Этот важный вопрос волнует многих – как понять, какая обработка ПДн на бумаге не попадает под действие федерального закона? В статье 1 ФЗ № 152 указано, что характер действий, совершаемых при неавтоматизированной обработке, должен быть аналогичен характеру действий с использованием средств автоматизации, иначе закон не распространяется. 
  2. Что такое ПДн? Определение ПДн слишком широко. Сколько раз мне задавали вопрос: «А это ПДн?», столько раз приходилось отвечать: «Да». 
  3. Что выходит за рамки трудовых отношений? Одним из «поводов» обработки персональных данных являются договорные отношения с субъектом. В таком случае согласие не берется. Обработка данных работников в это исключение попадает, но не вся. 
  4. Биометрия или нет? Можно иметь разное мнение на этот счет, рознящиеся выводы регулятора от проверки к проверке это подтверждают.
  5. Обрабатываем ли мы специальные категории? К примеру, что значит «данные о состоянии здоровья»? 
  6. Можно ли хранить данные за рубежом? Вопросы закона 242-ФЗ, который вступит в силу в сентябре, неоднократно обсуждались коллегами. Мне, как и многим, непонятно, каким образом будут работать авиакомпании, туроператоры, социальные сети и почтовые службы. 
  7. Как построить модель угроз? В Постановлении Правительства 1119 определено всего три типа угроз и операторам предлагается на основании решения об их актуальности определить уровень защищенности ИСПДн. А от уровня защищенности в свою очередь напрямую зависит, какие меры защиты нужно принимать. 
  8. Какие документы нужно разработать? Операторам очень не хватает перечня необходимых для разработки документов с утвержденными формами. Можно ориентироваться на Постановление Правительства 211 в части перечня, но оно распространяется только на государственные и муниципальные учреждения. 
  9. Как производить оценку вреда субъекту? Что будет, если утечет анкета клиента из магазина одежды? Как минимум покупатель получит непрошеные звонки, смс, e-mail от неизвестных фирм. Но каким образом и в каких единицах оценить этот вред - непонятно. 
  10. Чем грозят нарушения? Это самый первый вопрос, который задает руководство специалисту по персональным данным. К сожалению, честный ответ на него заставляет задуматься, так ли уж необходимо их защищать. В статье 13.11 КоАП на сегодняшний день определены совсем уж мизерные штрафы, но специалисты уже несколько лет ждут поправок и возможно ответственность все-таки станет весомей. 
В связи с тем, что времени на доклад катастрофически мало и надо от чего-то из перечня отказываться, обращаюсь с вопросом к уважаемым читателям. Какие практические вопросы защиты персональных данных Вы считаете наиболее важными и интересными?

Страница ВК: https://vk.com/kshudrova - свежие посты, а также ссылки на интересные материалы других авторов.
Моя книга о защите персональных данных: Скачать можно здесь.

четверг, 21 мая 2015 г.

Женщина в ИБ, ИБ в женщине

Добрый вечер, дорогие читатели! Сегодня мы с вами порассуждаем на тему половой профпригодности. Не воспринимайте сказанное ниже слишком серьезно ;)

Наверняка вы помните те времена, когда в вакансии указывался пол работника, тогда все искали специалиста по ЗИ, мужчину, от 25 лет. Сейчас законодательно это запрещено (см. КоАП), равенство полов и все такое. А с другой стороны, действительно, стоит ли брать женщину на работу, связанную с защитой информации?
Простите меня, дорогие дамы, но я считаю, что пол - это тоже характеристика работника и ее надо учитывать наряду с темпераментом, коммуникабельностью и возрастом. 
Итак, почему не стоит брать женщин?
1. Низкий уровень знаний в области техники и информационных технологий в частности. Я с трудом могу представить женщину-сисадмина, хотя и побыла ею в студенческие годы. Не советую!
2. Недостаточная самостоятельность в принятии решений. Не уверена, что здесь нужно было написать именно это...
3. Более "приземленные" идеи. Вы же не хотите покупать самые дешевые СЗИ? А она может предложить вообще обойтись одними "бумажками".
4. Желание трудиться исключительно в рабочее время. Это самый большой минус.
5. Дети, декреты. Вы ее наймете, а потом новую искать.
6. Проблемы с быстрым принятием решений. Здесь я что-то ничего не придумала.

Но вы же не верите в абсолютно негативные явления? Я тоже, поэтому есть такое же количество причин взять женщину на работу:
1. Склонность к упорядочиванию. У вас будет, наконец, рассортирована документация!
2. Способность долго выполнять монотонный труд. Посадите ее на аудит и она справится без DLP системы!
3. Большой запас терпения. Теперь понятно, кто будет общаться с пользователями!
4. Аккуратность. Ура, теперь мы знаем, кто заполнит табель!
5. Свободное изложение мыслей на бумаге. Пусть она составляет инструкции и положения... и письма... и акты!
6. Атмосфера добра и уюта в коллективе. Откуда взялся этот цветок на окне?!

Все сказанное выше относится к средней женщине, исключения случаются, но в общих чертах картина примерно такая. Я бы рекомендовала взять одну-две женщины на небольшой коллектив (только их нужно изолировать друг от друга, дабы не переругались). Повысится дисциплина, есть на кого скинуть бумажную работу, в общем - одни плюсы!

Страница ВК: http://vk.com/kshudrova - ссылки на свежие посты блога и интересные материалы других авторов.


четверг, 14 мая 2015 г.

Вопрос читателя. О лояльности сотрудников

Добрый вечер, дорогие читатели! Сегодня я хотела бы поговорить с вами о лояльности сотрудников. Тема для поста возникла после получения письма-размышления (далее - авторский текст Олега Шапошникова):

Я беда?

Отчего же мне не плакать,
Отчего же мне не злиться?
За вихор меня таскает
Младшая моя сестрица.
Я не ябеда, но все же
Нечего махать руками.
Если папа не поможет,
Буду жаловаться маме.
Елена Стеквашова  “ЯБЕДА”


В данной статье мне бы хотелось поговорить о такой немаловажной составляющей информационной безопасности как лояльность сотрудников по отношению к проводимой компанией политике безопасности. Подвигнуть Вас на дискуссию по этому вопросу меня подтолкнули две совершенно несвязанных между собой новости, пришедшие из разных стран.
Итак, новость первая - клиент крупного российского банка, название которого начинается на букву С, получает на свой мобильный телефон смс с сообщением: «Карта № такой-то заблокирована» (как выясняется позднее она действительно заблокирована в связи со смертью держателя карты, который на самом деле еще очень даже жив).  Далее автор этой статьи (и по совместительству получатель этого сообщения) пишет: "Такие смски я получаю довольно часто, но от мошенников, и не реагирую на них". Казалось бы все хорошо, человек подкован в части безопасности, а значит защищен. НО, почему "не реагирую на них"? То есть человек определенно зная, что столкнулся со случаем мошенничества, проходит мимо и не предпринимает никаких действий. Я знаю что это обман, я защищен, а бороться с этой проблемой не моя задача. Получается так? Достаточно странно и можно было бы списать на ряд специфических обстоятельств, начиная с нашего менталитета и заканчивая простой ленью. Но остановимся пока на этих предположениях и перейдем к новости номер два.
Во втором случае произошел крупный взлом аккаунтов одной телевизионной компании из-за промелькнувшего в новостном кадре рабочего места одного из сотрудников, где хорошо видны записки с логинами и паролями. В результате чего злоумышленники получили доступ к этим аккаунтам и смогли парализовать работу компании на несколько часов. Возникает ряд вопросов. Сотрудник не имел представления об информационной безопасности? Вряд ли. С уверенностью можно сказать, что в компании есть свой человек, поставленный на защиту информации, и он наверняка следит за соблюдением безопасности, а значит обучает и контролирует действия сотрудников. Неужели никто из его коллег не видел этого грубейшего нарушения и не сделал ему замечания? А вот тут уже вопрос открытый. Беспечность и русская лень тут не подходит - европейцы очень щепетильны в вопросах соблюдения законов. Невнимательность, игнорирование предупреждений? Но почему тогда не сообщили администратору, если человек не реагирует на замечания? В целом получается яркий пример того, как грубое нарушение со стороны одного человека самых минимальных правил безопасности и безразличное отношение со стороны остальных, привело к очень серьезным последствиям.
Поэтому, уважаемые коллеги, не забывайте о такой важной составляющей нашей с вами работы, как живой контакт с теми, кто выполняет неживые инструкции, руководства и правила. Убедитесь, хорошо ли сотрудники понимают то, что написано в этих регламентах. Донесите до них важность выполнения этих простых правил. Дайте им понять, что это не формальность отдела безопасности, не простое выполнение предписанных свыше законами требований, а жизненно важное для каждого сотрудника руководство к действию. Покажите, что ваша цель не наказать тех, кто не исполняет предписаний, а создать безопасные условия для всех. А это возможно только при общем сотрудничестве. И только тогда каждый сотрудник начнет понимать, что сообщение о факте нарушения информационной безопасности - это не доносительство на коллегу, не случай мелочности и ябедничества, а часть важной и нужной совместной работы. Только тогда станет возможным построение действительно надежных  и безопасных информационных систем.
Ну и в заключении статьи вопрос - какова по Вашему мнению причина нежелания сотрудников сообщать о нарушениях ИБ? 
  • Лень; 
  • нежелание доносить = заниматься стукачеством; 
  • непонимание того, какие последствия могут вызвать нарушения; 
  • негативное отношение к работе, выполняемой отделом ИБ, и к самим сотрудникам отдела ИБ; 
  • или что-то другое?
Тема, затронутая автором письма, вызвала у меня интерес. Честно признаюсь - никогда даже не думала о том, чтобы надеяться на взаимный контроль в коллективе, хотя и всегда ставила перед собой задачу научить каждого сотрудника соблюдать требования информационной безопасности. 
Первая мысль, которая у меня возникла после прочтения письма - нет, русский менталитет нам не побороть. Для россиянина, с моей точки зрения, характерно:

  • "надеяться на авось" - а значит, пренебрегать правилами безопасности вообще и информационной - в частности;
  • "не закладывать своих" - даже если инцидент будет обнаружен одним из сотрудников, очень и очень вряд ли об этом узнает еще кто-нибудь.
Для охраны труда и пожарной безопасности ситуация с бдительностью сотрудников обстоит гораздо лучше. Согласитесь - разница между угрозой жизни и здоровью и утечкой информации довольно ощутима. О горящей мусорной корзине сообщат гораздо быстрее, чем о бумажке с паролями, оставленной на видном месте.
Так что предпосылок к ответственному поведению сотрудников у нас не очень много. Как изменить ситуацию? На ум пришли следующие утопичные способы повышения лояльности:
  • всевозможные "ИБ-дружины" из специалистов разных подразделений (ага, с красными повязками на руках, как в школьные годы у дежурных);
  • ящики анонимных сообщений об инцидентах;
  • поголовное лишение премии в случае обнаружения нарушений ИБ.
Идеи в общем-то интересные, но плохо применимые в реальной жизни. 
Мне кажется, нужно принять следующее допущение - сотрудники не будут следить друг за другом по части соблюдения правил информационной безопасности. Если только с целью насолить кому-нибудь или занять чужое место. Но ситуация небезнадежна и мы можем увеличить количество ответственных лиц. Так, пусть за каждое нарушение отвечает не только виновник, но и его непосредственный руководитель. Вот кто может и должен сделать замечание нерадивому сотруднику. Чтобы этот механизм заработал, каждый сотрудник при работе с информацией должен:
  • знать чего НЕЛЬЗЯ делать;
  • знать что МОЖНО делать;
  • знать что НУЖНО делать;
  • понимать опасность;
  • знать к кому обратиться;
  • нести ответственность за свои действия.
И ко всему этому стоит добавить регулярные проверки с наказанием виновных, без которых все сказанное выше теряет всякий смысл.
А как считаете Вы?


Страница Блога ВК: https://vk.com/kshudrova - свежие посты блога и все, что кажется мне интересным в мире ИБ. Присоединяйтесь!

среда, 6 мая 2015 г.

Антипиратский закон

Здравствуйте, дорогие читатели! Тема пиратского контента в России - особая. А как мы знаем с 1го мая вступили в силу поправки к ФЗ "Об информации, информационных технологиях и о защите информации" (закон). Свои рекомендации по реализации новых требований вчера представил Роскомнадзор - ссылка.

Страница ВК: http://vk.com/kshudrova  - Здесь можно не только следить за выходом новых материалов блога, но и задать мне вопрос, узнать о свежих постах других блогеров и интересных событиях отрасли. Присоединяйтесь!