воскресенье, 19 ноября 2017 г.

Краткий обзор нового ГОСТ Р 57580.1-2017 Защита информации финансовых организаций

8 августа 2017 года Приказом Федерального агентства по техническому регулированию и метрологии № 822-ст утвержден национальный стандарт Российской Федерации ГОСТ Р 57580.1-2017 “Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер.
Андрей Алябьев любезно поделился с автором блога своими краткими выкладками относительно нового ГОСТа от Банка России.
ГОСТ Р 57580.1-2017 распространяется на банки, некредитные финансовые организации, других субъектов НПС. Вступает в силу с 1 января 2018 года.
Что принципиально нового?
Уровни защиты информации
• уровень 3 – минимальный (соответствует 4-ому УЗПДн);
• уровень 2 – стандартный (соответствует 2-ому и 3-ему УЗПДн);
• уровень 1 – усиленный (соответствует 1-ому УЗПДн).
Уровень защиты информации устанавливается для конкретного контура безопасности (информационная система, реализующая бизнес-процессы единой степени критичности, для которых применяется единый режим защиты информации). Пример: платежные и информационные технологические процессы могут составлять разные контуры безопасности.
Формируется один или несколько контуров безопасности
Уровень защиты для контура безопасности устанавливается нормативными актами Банка России на основе:
• вида деятельности, состава предоставляемых услуг, бизнес-процессов в рамках контура безопасности;
• объема финансовых операций;
• размера организации;
• значимости для финансового рынка и НПС.
Что принципиально нового

Для каждого из трех уровней защиты требование выполняется указанным способом:
• “Н” – реализация является необязательной;
• “О” – реализация путем применения организационной меры;
• “Т” – реализация путем применения технической меры.
Состав мер защиты может адаптироваться.

Сравнение с СТО БР ИББС-1.0-2014

 Структура ГОСТа
- Разделы 1-5. Область применения, нормативные ссылки, термины и определения, обозначения и сокращения;
- Раздел 6. Общие положения (методология применения требований и определение уровней защиты);
- Раздел 7. Требования к системе защиты информации (СИБ);
• Управление доступом (IDM);
• Защита сетей (IDS/IPS, NGFW);
• Контроль целостности и защищенности инфраструктуры (Vulnerability Scanner);
• Защита от вредоносного кода (AV);
• Предотвращение утечек (DLP);
• Управление инцидентами (SIEM);
• Защита среды виртуализации (СЗИ для виртуальных сред);
• Защита информации при использовании мобильных устройств (MDM).
- Раздел 8. Требования к системе управления защитой информации (СОИБ/СМИБ);
• Планирование процесса системы защиты;
• Реализация;
• Контроль;
• Совершенствование.
- Раздел 9. Требованияк ЗИ на этапах ЖЦ АС и приложений;
• Приложение А. Базовая модель угроз и нарушителя;
• Приложение Б. Орг.меры,связанные с обработкой ПДн;
• Приложение В. Перечень событий ЗИ, потенциально связанных с инцидентами.

Интересное из требований (ГОСТ Р 57580.1-2017)
Мера защиты
Содержание мер системы защиты
УЗ3
УЗ 2
УЗ 1
УЗП.6
Назначение для всех ресурсов доступа распорядителя логического доступа (владельца ресурса доступа)
О
О
О
РД.12
Запрет множественной аутентификации с использованием одной учетной записи путем открытия параллельных сессий с разных АРМ
Н
Т
Т
ФД.6
Назначение для всех помещений распорядителя физического доступа
О
О
О
ВСА.9
Блокирование атак типа “Отказ в обслуживании” в масштабе времени, близком к реальному
Н
Т
Т
ЗБС.1
Аутентификация устройств доступа точками доступа по протоколу Wi-Fi
Т
Т
Т
ЦЗИ.16
Обеспечение возможности восстановления эталонных копий ПО АС, ПО средств и систем ЗИ, системного ПО в случае нештатных ситуаций
О
О
О
ЗВК.13
Использование средств защиты от вредоносного кода различных производителей как минимумдля уровней АРМ и серверов
Т
Н
Н
ЗВК.14
Использование средств защиты от ВК различных производителей как минимумдля уровней АРМ, серверов и контроля трафика
Н
Т
Т
ПУИ.3
Блокирование неразрешенной и анализ разрешенной печати информации конфиденциального характера
Н
Т
Т
РИ.9
Выделение в составе ГРИЗИ следующих основных ролей: руководитель, оператор-диспетчер, аналитик, секретарь
Н
О
О
ЗСВ.27
Запрет на копирование текущих образов виртуальных машин, использующих СКЗИ, с загруженными криптоключами
О
О
О
ЗУД.3
Предоставление удаленного доступа только с использованием мобильных устройств доступа, находящихся под контролем MDM
Н
Т
Т
ЗУД.11
Обеспечение защиты мобильных устройств от воздействий ВК
Т
Т
Т

Краткие выводы
• Новые требования станут обязательными, когда на них будут включены ссылки в НПА. Тогда же появится определенность, по выполнению требований для каждого уровня защиты .
• Документ по методике проведения оценки соответствия ГОСТу находится в разработке.
• СТО БР ИББС-1.0-2014, скорее всего, не будет отменяться, т.к. не был обязательным. Банк может вывести его из действия приказом (в случае, если стандарт был введён банком).
• Остались вопросы по применению сертифицированных средств защиты  (и прикладного ПО)…

Алябьев Андрей (https://facebook.com/andrey.alyabiev)

четверг, 21 сентября 2017 г.

Threats (угрозы) при планировании деятельности ИБ-службы


"Хороший боец не тот, кто напряжён, а тот, кто готов. Он не думает и не мечтает, он готов ко всему, что может случиться." (Брюс Ли)
"Прогнозные модели работают только тогда, когда будущее рассматривается во многом похожим на прошлое." (Шон Гурли)
“Работало бы до сих пор, если бы у банка лицензию не отозвали...” (цитата с банковского форума)


Поговорим о категории "угрозы" из SWOT-анализа* при планировании деятельности ИБ-службы  среднего банка.
*SWOT-анализ — метод стратегического планирования, заключающийся в выявлении факторов внутренней и внешней среды организации и разделении их на четыре категории: Strengths (сильные стороны), Weaknesses (слабые стороны), Opportunities (возможности), Threats (угрозы).
Но, сначала небольшое отступление в виде примера, как, компания Trend Micro сформулировала Threats (угрозы), выпуская свой очередной пресс-релиз.
Уведомление Trend Micro относительно заявлений прогнозного характера
Данный пресс-релиз содержит заявления прогнозного характера. Эти заявления основаны на текущей оценке менеджмента компании и выводах на основе имеющейся сегодня информации, которые включают в себя известные и неизвестные риски и неопределенности. Действительные результаты, на которые могут повлиять различные факторы, могут отличаться от выраженных в данных заявлениях прогнозного характера. К этим факторам могут относиться:
  • трудности в решении проблем, связанных с новыми вредоносными программами и другими проблемами компьютерной безопасности;
  • сроки выпуска новых продуктов и недостаточное признание на рынке новых продуктов;
  • уровень продолжающегося спроса на продукты и сроки реализации существующих продуктов;
  • быстрые технологические изменения на рынке решений по кибербезопасности;
  • изменения потребностей клиентов в программном обеспечении для кибербезопасности;
  • существующие продукты конкурентов и выпуск новых решений конкурентов, а также их ценообразование;
  • снижение цен на решения и услуги;
  • влияние будущих приобретений на финансовые показатели компании и результаты операций;
  • влияние неблагоприятных экономических трендов на ключевые рынки;
  • влияние колебания валютных курсов на результаты операций компании;
  • рост количества случаев возврата продуктов;
  • потенциальная нехватка привлекательных инвестиционных целей;
  • трудности в процессе успешной реализации инвестиционной стратегии компании.
 
А вот как могут выглядеть Threats (угрозы) службы информационной безопасности среднего российского банка.
Действительные результаты деятельности службы ИБ банка, на которые могут повлиять различные факторы, могут отличаться от выраженных в календарном плане работ Службы ИБ. К этим факторам могут относиться:
  • трудности в решении проблем, связанных с новыми вредоносными программами, новыми видами атак на кредитные организации и другими проблемами компьютерной безопасности банковской сферы;
  • сжатые сроки запуска в prod новых дистанционных каналов обслуживания и недостаточное внимание при внедрении к средствам защиты;
  • изменение ландшафта угроз и, как следствие, неэффективность применяемых ИБ-решений для защиты банка. А также связанные с этим быстрые технологические изменения на рынке решений по кибербезопасности;
  • рост количества случаев мошенничества в дистанционных каналах обслуживания и требуемые изменения в способах защиты клиентов в системах ДБО банка;
  • возможное переманивание конкурентами лучших ИБ-кадров и, как следствие, потенциальная нехватка кадров для решения поставленных перед ИБ-службой  задач;
  • трудности в донесении до бизнеса требований по безопасности и обосновании бюджета на цели ИБ (как вариант, требуемый бюджет не будет одобрен);
  • трудности в модернизации IT-технологий и отказе от устаревших информационных систем и, как следствие, потенциальный риск появления невидимых уязвимостей инфраструктуры;
  • влияние финансовых отношений банка с малоизученными клиентами и, как следствие, вероятность непредусмотренных (а то и необратимых) потерь;
  • если недостатки кадровой политики при подборе и расстановке кадров не приведут к значительным репутационным потерям банка;
  • если рынок ИБ полностью не уйдёт в облака и аутсорсинг;
  • если деятельность, передаваемая на аутсорсинг, будет защищена, как минимум, по тому же стандарту безопасности, который применялся бы в случае её осуществления в банке;
  • если борьба государства с неправильными картинками в Интернете и нехорошими людьми не зайдёт слишком далеко и, как следствие, это не скажется на деятельности организации на глобальных рынках;
  • если поставщики ИБ- и IT-решений не подведут.

воскресенье, 3 сентября 2017 г.

Планы регулятора по повышению киберустойчивости финансового рынка

В первом номере методического журнала "Внутренний контроль в кредитной организации" № 1 (33)\2017 (выходит раз в квартал) было опубликовано обширное интервью с заместителем начальника Главного управления безопасности и защиты информации Банка России Артемом Сычевым. В этом интервью были достаточно подробно анонсированы ближайшие планы Банка России по повышению киберустойчивости финансового рынка.
Прошло полгода. Подведём промежуточные итоги по планируемым меропритиям Банка России по информационной безопасности.
В III и IV кварталах 2017 г. планировалось ввести ГОСТ Р “Безопасность финансовых (банковских) операций. Базовый состав информационных и технических мер защиты”.
ГОСТ принят 8 августа, а вступает в силу с 1 января 2018 года. В первом полугодии 2018 г. должна быть разработана Методика оценки соответствия информационной безопасности финансовой организации требованиям нового ГОСТ Р Банка России. Ждём первого полугодия 2018 г.
Было объявлено о разработке Банком России двух новых стандартов:
-СТО БР ИБСС / ГОСТ "Обеспечение защиты информации для цели непрерывности деятельности финансовых организаций";
-СТО БР ИБСС / ГОСТ "Аутсорсинг защиты информации и взаимодействие с поставщиками информационных услуг" (название предварительное).
Про первый стандарт/ГОСТ пока ничего не слышно, а проект второго уже активно обсуждается банковским сообществом.
Также было объявлено о том, что в рамках оптимизации методики заполнения формы Банка России 0403203 вопросы технической реализации инцидентов нарушения информационной безопасности из формы отчетности 0403203 будут исключены.
В конце августа 2017 г. банки получили возможность ознакомиться с проектом указания “О внесении изменений в Указание Банка России от 9 июня 2012 г. № 2831-У “Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств”.
Объявлено о том, что будет создана система личных кабинетов для участников информационного обмена в рамках FinCERT. Личных кабинетов пока ещё нет, но уровень безопасности при информационном обмене с FinCERT это бы повысило.
Объявлено, что в планах Банка России исключить самооценку ИБ в кредитных организациях как метод подтверждения соответствия требованиям. Банки напряглись (да и наработки жалко), аудиторы и интеграторы плотоядно потирают руки.
Объявлено о том, что будет создан стандарт по требованиям к квалификации сотрудников ИБ в банках. Уже есть проект РС «Квалификационные требования к специалистам по информационной безопасности организаций кредитно-финансовой сферы Российской Федерации».
Банком России принято решение о создании на основе этого стандарта с использованием методических документов ФСТЭК типовой программы профессиональной переподготовки по обеспечению информационной безопасности для специалистов организаций кредитно-финансовой сферы (с последующим утверждением в Федеральной службе по техническому и экспортному контролю России).
Эта программа (500 часов) будет положена в основу обучения на базе высшего образования в учебных заведениях в 2018 году и даст специалистам представление и знания в соответствии с сегодняшней ситуацией в сфере безопасности. Планировалось к середине 2017 года придать ей соответствующий статус. Пока не придали, ждём.

Также на 2017 год запланирована разработка профессионального стандарта "Специалист по информационной безопасности кредитно-финансовой сферы".
Частота и важность новостей от Банка России заставляет по привычке вздрагивать банковского специалиста по ИБ, но при последующем внимательном ознакомлении с выпускаемыми документами приходит понимание необходимости точечного нормативного регулирования важных на сегодняшний день областей информационной безопасности банков.

суббота, 15 июля 2017 г.

Поговорим об экспертах


Цель творчества - самоотдача,
А не шумиха, не успех.
Позорно, ничего не знача,
Быть притчей на устах у всех.
Б.Пастернак



Мы живём в эпоху инноваций. Мир и процессы стали настолько сложными, что требуются профессиональные интерпретаторы, объясняющие “в чем правда, брат?” – так называемые эксперты. Экспертов тем больше, чем меньше для широкой аудитории понятны получившие широкую огласку такие явления, как киберпреступность, кибервойны, кибершпионаж.
Поговорим о том, как становятся экспертами, например, в ИТ- или ИБ-областях?
Оставив за скобками очевидные вещи в виде наличия у эксперта знаний, опыта и навыков, посмотрим в сторону вариантов продвижения своей “экспертности”:
- пересказывать нормативку своими словами
- завести блог, писать о том, что вынес с презентаций
- выступать на всех конференциях с докладом “Как стать экспертом?”
- нести в массы тайм-менеджмент, причинять самоорганизацию, подвергать чувству эмпатии
- знать возможности разных технологий, разбираться в бизнес-процессах и моделях управления.
Сразу оговорюсь я не являюсь ИБ-экспертом (в сфере, которой занимаюсь на протяжении последних 10 лет). Также не считаю себя ИТ-экспертом (просто так исторически сложилось, что я 25 лет занимался ИТ-технологиями на разных предприятиях). У меня нет необходимых знаний, навыков, умений и достаточного кругозора для этого. Но я считаю себя экспертом, например, в футболе, в игре на бильярде, в большом теннисе, в женской красоте.
К большинству ИБ- и ИТ- экспертов я отношусь с юмором.
К ИБ-экспертам потому, что они часто стараются натянуть мини-юбку того или иного решения или технологии на макси-зад ИБ-отрасли.
К ИТ-экспертам потому, что у них, как у метеорологов, сильнее всего развиты мышцы, отвечающие за пожатие плечами.
– Ваш прогноз развития ИТ-технологий в следующем году?
- Широкое распространение в следующем году получат решения явных лидеров ИТ-отрасли.
А мы то, чудаки, и не догадывались, что есть рыночные силы, которые всех игроков толкают в определенном направлении.
Об ИТ- и ИБ-экспертах я, в основном, имею представление, виртуально общаясь с ними на тематических страницах в соцсетях. С экспертами, у которых на визитках написано “Эксперт по...”, общаюсь редко, в основном, по необходимости при выборе того или иного решения или раз-два в году на ИБ-конференциях, когда каждый из них поочерёдно мне пытается что-то попродавать.
Мой круг общения и источник информации – это ИБ-блогеры. Считать ли их экспертами – личное дело каждого. Своими размышлениями об ИБ-блогерстве я уже делился здесь и здесь. Поговорим об ИТ/ИБ-экспертах и тематических группах в соцсетях, где, как минимум, каждый второй - эксперт.

Интересным быть для другого человека можно только по-настоящему
С развитием Интернета источников знаний у каждого из нас множество. Мнений - в каждой записи из соцсетей. Но вы, как правило, будете доверять тому человеку, который вам по-настоящему интересен, от которого вы получаете ценную информацию, а, иногда, и практическую помощь. Почему? Потому, что эксперт делится с вами не только своими знаниями, но и своим мыслительным опытом. Своими выводами, обобщениями и наблюдениями. Настоящий эксперт – это не новостная лента. Это – экспертиза нормативных документов, прогнозы развития отрасли и, конечно, новые знания.
В принципе вы и сами можете прочитать кучу книг и получить разнообразные навыки, которыми, как вам кажется, обладает эксперт. Но на это вам понадобится полжизни. Другой человек – эксперт - просто экономит вам силы, время и средства.

Архитекторы выбора
Испытывая постоянный голод в экспертизе при выборе того или иного технологического решения, всегда бывает необходима двусторонняя оценка правильности выбора: как с собственной стороны, так и со стороны специалиста, которому вы доверяете. Мнения экспертов формируют ваш выбор в пользу того или иного решения.
Важно, не будучи экспертом, постоянно общаться по тем или иным вопросам с экспертной аудиторией, например, в группе на тематических страницах в соцсетях.
Я понимаю коллег-безопасников, которые редко делятся между собой информацией, особенно если они работают в конкурирующих между собой организациях. У каждого из них есть ценная информация для внутреннего использования. А уж тем более никто не хочет выносить на публику свои слабости и проблемы. Поэтому, когда на очередной конференции я вижу знакомого коллегу-безопасника, мне нет смысла спрашивать его: "Как дела?". Потому что мне ответят "Все отлично!", хотя и будут в этот момент мучительно обдумывать, удастся ли в этом месяце вернуть деньги клиентов, пострадавших от действий мошенников в системах ДБО и будет ли достигнут шкуросберегающий результат, прописанный в KPI.
Участвуя в тематических обсуждениях на страницах в соцсетях, вы поднимаете свою планку самооценок и ожиданий (это та же история, когда для повышения своего мастерства, например, в игре на бильярде, надо играть с игроками лучше вас).
Непосредственность общения специалистов в тематической группе между собой и общее обсуждение болевых точек отрасли создаёт среду, растворяющую психологические барьеры и самовнушенные ограничения. Способности одиночки ограничены, усилия команды (группы) всегда эффективнее.

Типизация экспертов
Эксперты любят выглядеть увереннее, опытнее, умнее, талантливее, нежели таковыми являются в действительности. Поэтому попробуем поиронизировать над этими их понятными человеческими слабостями, проведя шуточную типизацию экспертов.

Эксперт-звезда: “вы испытываете ко мне непреодолимое уважение, как я вас понимаю”.
Уверен, что обладает некой волшебной харизмой, позволяющей ему с лёгкостью управлять аудиторией.

Эксперт-критик: ищет различные возможности уличить вас в незнании чего-то или неумении чего-то делать. Всегда негативно настроен по отношению к коллегам.
- А как же мнение известного на всю страну эксперта по ИБ?
- Ну, что ж, это говорит только об упадке современной ИБ-отрасли.

Эксперт-зануда: увлечен чем-то до полной потери вменяемости. Его невозможно терпеть, легко послать и трудно понять.

Эксперт-себялюб: болезненно реагирует на критику. Подобно вахтёрам, в любой ситуации избыточно демонстрирует своё превосходство. Он всегда хочет нравиться и получать необходимую дозу обожания от преданных фанатов.

Эксперт-самоучка: больше всего в других людях его раздражают знания и умения, которых нет у него.

Эксперт-манипулятор: (чаще всего и модератор на различных мероприятиях): постоянно насторожен: ведёт ли он по-прежнему свою игру или уже играет по чужим правилам.

Эксперт-продажник: если заработает у заказчика продукт его компании, то он молодец, если нет, то все заказчики сами не знают, чего хотят и просто, по-настоящему, ничего не хотят у себя внедрять. Любая тема: DLP, SIEM, SOC сводится продажником к задачам, которые умеет решать его компания. Его роль в родительской компании в том, чтобы гнать волну, предвосхищая изменения на профильных рынках.

Эксперт-инноватор: его легко распознать по отпечаткам ног сзади, чуть пониже спины.

Эксперт-теоретик: “бери больше, кидай дальше”, “склад-полка-магазин-продажи”, “каждой сестре по серьгам: сотрудникам – DLP и UEBA, инцидентам – SIEM, бизнесу - SOC”. Его постоянное стремление к самообразованию, граничит с одержимостью.

Эксперт-стратег: говорят они есть, их можно пересчитать по пальцам, но их никто никогда не видел.

Про персональную стратегию
Чему нас учит опыт экспертов? Часто у экспертов есть ещё виртуальная возможность быть услышанными – книги, журнальные статьи, блоги, подписчики в соцсетях. Впрочем, многие возможности в Интернете есть у всех, только эксперты работают в этом направлении давно и целенаправленно.
Попробуйте вести свой тематический блог. Блог - это возможность быстро передать информацию широкой аудитории. Практика это не подтверждает, но, мне кажется, что для блога важен язык, которым вы излагаете свои мысли. Когда сообщения в блоге напоминают мини-истории – это привлекает читателя блога. Впрочем, к техническим блогам это не относится.
Занимаясь блоготворчеством, старайтесь быть прежде всего полезным людям. Внимание, проявляющееся в практической помощи, всегда более значимо, чем, например, постоянное лайкание чьих-то постов. Если у вас появилась возможность помочь чем-то коллеге или аудитории вашего блога, то сделайте это, не раздумывая.
Освойте технологию фиксации и хранения всего прочитанного в книгах, журналах, в соцсетях. Мысль мимолётна. Большинство замыслов так и остаётся не реализованными. Когда вы что-то записываете, то делаете первый шаг к собиранию материалов для будущих сообщений в блоге, статей в журналах, а, может быть, ваших будущих книг.
Знакомясь с новым решением, технологией, стремитесь к более современным и менее затратным способам общения, например, в виде вебинаров.
Совершенствуйтесь сами и помогайте людям преодолеть самовнушенные ограничения (боязнь высказать своё мнение, принижение своих знаний, опыта, навыков).
Начать можно с простых вещей, призвав на помощь мудрость Жванецкого:
-“Формулирование своего на базе прочитанного”
-“Даже неточное цитирование – уже кое-что своё”
Удачи всем будущим экспертам!