среда, 16 мая 2018 г.

Трое в лодке, не считая ...

К годовщине WannaCry Рустем Хайретдинов (Rustem Khairetdinov) у себя на странице в Facebook опубликовал пьесу "Трое и Пипец".
На мой взгляд, 100%-е попадание в тему. 

С разрешения автора привожу этот маленький шедевр у себя в блоге.

Пьеса "Трое и Пипец"


Герои: ИТ, ИБ, Бизнес, Пипец
Сцена первая: Бизнес пересчитывает купюры. Входит ИБ.
ИБ: Привет, я по делу срочно.
Бизнес: Опять бабки клянчить будешь? Знаешь, гад, когда зайти. Через камеру за мной подглядывал, небось?
ИБ: не, денег просить не буду, потом попрошу. Просто патч надо накатить. Бесплатно. Слежу, конечно.
Бизнес: вот ведь гад, надо бы камеру заклеить. Бесплатно - валяй.
Сцена вторая: Бизнес пересчитывает деньги. Входит ИТ.
ИТ: там этот параноик из ИБ со своим патчем, говорит - с вами договорился. Если так патчи накатывать, всё остановится. Нужно аккуратненько, а то системы встанут.
Бизнес: ну договоритесь уже как нибудь сами, что вы за каждым чихом ко мне бегаете.
Сцена третья: все трое совещаются.
Бизнес: не смогли опять за два месяца договориться, за что я вам только зарплату плачу! Ставить стрёмно и не ставить стрёмно. Дилемма... давайте мне к послемайских все аргументы за и против и я, так и быть, приму личное взвешенное решение - ставить или не ставить. (В сторону - а там, глядишь и само рассосётся).
Сцена четвёртая: те же и Пипец.
Незаметно входит Пипец с большим чемоданом на колёсиках. Кашляет, чтобы привлечь внимание.
Пипец: здравствуйте, извините, что без приглашения. Я - Пипец.
Бизнес: почему с вещами?
Пипец: я надолго
ИБ: а я говорил!
ИТ: ты всё время только говоришь, сделал бы что-нибудь хоть раз
Бизнес: за что я вам деньги только плачу?
Немая сцена. Только слышно как Пипец развешивает одежду из чемодана на плечики в шкафу у Бизнеса.
Занавес.

понедельник, 14 мая 2018 г.

О создании правильной структуры ИТ-безопасности с точки зрения руководителя ИБ



Поговорим о создании правильной структуры служб информационной безопасности (ИБ), экономической безопасности (ЭБ) и информационных технологий (ИТ) и проблемах взаимоотношений этих служб в банке с позиции руководителя ИБ.
Зададимся вопросом: в каких пропорциях службы ЭБ и ИБ, а, заодно, и ИТ должны быть представлены в штатной структуре современного, некрупного банка, решившего взять курс на цифровые технологии?
Констатируем как данность — современные банки переживают исключительно негативные встряски: дешевых заемных средств нет, выручка падает, конкуренция растет, рынок ускользает. У банков остается только один актив – данные о клиентах. Чтобы двигаться в том направлении, куда диктует текущая рыночная ситуация, от банков требуется структурная гибкость, подразумевающая радикальный пересмотр обязанностей и полномочий разных подразделений, в том числе служб: ИТ, ЭБ и ИБ.
Если предпосылок для технологических изменений нет, то структура названных выше служб в обычном банке может не меняться годами.
Кто должен развернуть кредитную организацию в правильном направлении и быть инициатором технологических и, как следствие, структурных изменений? Конечно же бизнес в лице топ-менеджмента банка. Кто у бизнеса, как правило, в советниках? Директор по ИТ и директор по общей безопасности.
Как вы думаете, какое направление охотнее всего будет продвигать и поддерживать директор по общей безопасности (выходец из МВД), в подчинении у которого экономическая и информационная безопасность? Правильно - то, которое он лучше знает и понимает — экономическую безопасность. Это понимание руководителя материализуется в зарплатах, премиях, продвижении по карьерной лестнице безопасников. ИБ в данной ситуации — пасынок общей безопасности в банке.
Возможно, на определенном этапе развития, когда в штате банка на 6 специалистов по ИБ приходилось 60 "бывших оперативников/следователей", занимающихся ЭБ, такая штатная структура и была оправдана теми задачами, которые решал банк: оценка платежеспособности клиентов, возврат долгов, мониторинг залогов, внутренняя безопасность. Но вряд ли подобная структура соответствует современным требованиям для обеспечения высокого уровня обслуживания клиентов. В конце концов, устаревшая структура станет тормозом на пути цифровой трансформации банка, подразумевающей мобильность, удобство цифровых сервисов, удаленную идентификацию клиентов, автоматизацию работы с кредитными задолженностями и так далее.
Описанная выше структура с перекосом в ЭБ приводит к тому, что информационной безопасности отводится сервисная функция поддержки экономической безопасности. В результате банк получает ИБ, которая не выполняет свою основную функцию.
Вывод: Чтобы разные направления безопасности (ЭБ и ИБ) функционально соответствовали потребностям и задачам банка в советниках у топ-менеджмента банка обязательно должен быть или директор по ИБ, или другой "переводчик", который сможет построить диалог между ИБ-службой и топ-менеджментом банка.
А чем озабочен директор по ИТ того же некрупного банка? Какова его роль в инициировании процессов изменений?
В условиях значительного роста ИТ-инфраструктуры на фоне оптимизации численности персонала (на ИТ-персонале экономят в первую очередь) главная головная боль ИТ-директора - обеспечение бесперебойной работы ИТ-сервисов банка имеющимся штатом сотрудников.
Для ИТ-службы некрупного банка наличие антивируса и межсетевого экрана — уже выше крыши (сопровождают то, как правило, они). А то, что каждая новая ИТ-технология порождает новые уязвимости и векторы атак — не зона ответственности ИТ. Таким образом требуется, чтобы ИТ- и ИБ-службы дополняли друг друга и тесно взаимодействовали. Если не налажен диалог между этими службами, то неизбежен рост скрытых рисков до состояния полной неустойчивости.
Что в результате имеем?
Бизнес увеличил риски, а ИТ- и ИБ-службы снизили свою эффективность ровно в тот момент, когда в погоне за оптимизацией затрат были сокращены все издержки на поддержку, модернизацию и безопасность собственной информационной инфраструктуры.
Бизнес увеличил риски, а ИБ-служба снизила свою эффективность, когда у нее не хватило смелости говорить об иллюзии контроля безопасности существующей информационной инфраструктуры, отвечающей требованиям десяти- двадцатилетней давности. Масштаб современных кибератак: крупномасштабных, многовекторных диктует потребность в современных средствах защиты, а не в тех, что были актуальны на рубеже 2000‑х.
Бизнес увеличил риски, а ИБ-служба снизила свою эффективность, когда не преодолела сопротивление ИТ по вопросу замены не отвечающего современным требованиям антивируса, внедрения механизмов устранения уязвимостей, замены старого межсетевого экрана и других стратегических изменений информационной инфраструктуры. Так как только на ИБ лежит бремя доказательств ненадежности существующей ИТ-инфраструктуры, а не на том, кто защищает её статус-кво (читай: директоре по ИТ).
Все, по идее, должны это осознавать. Но осознание приходит только с пониманием последствий при оценке рисков (прежде всего у бизнеса в лице топ-менеджмента банка).
Вывод: конфликт интересов движет любой компанией и только бизнес через оценку рисков может задавать курс на создание каждый раз новой более гибкой структуры.

воскресенье, 29 апреля 2018 г.

Проклятие цифровых технологий

"Большинство современных технологий - отсроченное наказание"
 Нассим Талеб




На заре своего зарождения, Интернет воспринимался как разумная глобализация мира, в котором возможности всех объединяются для решения задач каждого. Теперь, как мы знаем, у отдельного пользователя Глобальной Сети есть возможность причинить ущерб каждому... и это не только печалит, но и отваживает многих от цифровых технологий.
На текущем этапе развития человечества появление Интернета в первой половине 1980-х принято считать первым этапом цифровой революции, так как оказалось, что возможны и другие этапы.
Появление Интернета привело к фантастическому росту информационных потоков в мире. До этого для обработки схожих объемов информации создавались уникальные, дорогостоящие суперкомпьютеры. Решением проблемы стало технологически новое использование объединенных через Интернет всех персональных компьютеров на Земле.
Вторым этапом цифровой революции сейчас принято считать технологию блокчейн, которая дает возможность обмениваться не только информацией, но и всем тем, что можно представить в цифровом виде и имеет ту или иную ценность для человека: криптовалютой, результатами голосования, контрактами, правами на собственность, медицинскими картами и прочим.
Все привыкли, что в мире цифровых технологий всегда есть третье лицо: банк, платежная система, интернет-сервис, берущие комиссию при совершении сделки. Именно на участии третьего лица строится доверие участников.
Блокчейн тоже строится на доверии, но без участия третьей стороны. Доверие в блокчейн основано на вере в надежность и прозрачность технологической инфраструктуры - сети, которую поддерживают сами участники этой сети.
Цифровой мир разделил современное общество пополам: на технарей и не технарей. Представители цифрового мира рисуют страшное будущее человечества: люди, которые не имеют доступ к технологиям, будут отстранены от экономики. И сейчас, якобы, власть от государств и корпораций переходит к технарям: к создателям Facebook, Google, Telegram и так далее. Но не все так однозначно.
У цифровой трансформации общества еще много скрытых рисков.
Почему люди боятся электронных денег? Потому что это небезопасно. Особенно, когда не знаешь, как это все устроено внутри (хотя даже, если знаешь, утверждать обратное с полной уверенностью тоже не получится).
Просто сказать людям, как в случае с технологией блокчейн, что у вас теперь все будет безопасно и прозрачно (а также не будет третьей стороны) недостаточно. Как показывает практика использования Интернета, всегда найдутся те, кто будет стараться нарушать любые принятые правила в Глобальной Сети.
Мы тешим себя надеждой, что культура поведения пользователей цифровых технологий со временем растет. Но люди не стали менее беспечны. Мир меняется быстрее, чем человек способен учиться. А новым технологиям не свойственны надежность и безопасность.
Цифровой мир требует значительных усилий для понимания. От пользователя требуется более высокий уровень компьютерной грамотности.
Цифровой мир означает постоянные инновации и эксперименты. Технологии тестируются на конечных пользователях методом проб и ошибок.
Какое-нибудь не убиваемое приложение типа Telegram, с которым решило бороться государство, может привести к ограничению Интернета на территории этого государства (например, работе по «белому списку» интернет-ресурсов - доступно, только то, что кем-то разрешено). О децентрализации технологий в этом случае придется забыть.
Человечество склонно переоценивать стабильность новых технологий и недооценивать потенциальный риск их нецелевого использования. К сожалению, быстрее всего технологии осваивают нечистые на руку представители человечества. Хакер знает целевую систему лучше, чем тот, кто ею управляет. Хакеры постоянно находят способы украсть электронные деньги. Не получается в процессе сделки, будут ломать электронный кошелек, куда деньги упадут после сделки. Будут взламывать криптовалютные биржи, обменники. Ненадежность современных технологий ничем оправдать нельзя.
Кроме того, децентрализация системы требует большей ответственности от пользователей, чем в случае, скажем, обычных платежных систем. Если индивидуальный ключ пользователя в технологии блокчейн утерян, его криптовалюта будет утеряна навсегда.
Сейчас принято утверждать: новая эра цифровой революции улучшит благосостояние каждого, а не только избранных. Ничто не напоминает? Смотрите первый абзац в начале статьи.

воскресенье, 15 апреля 2018 г.

Последствия событий, которыми вы не управляете невозможно просчитать



Если вы занимаетесь информационной безопасностью в компании, перед вами возникают проблемы сиюминутных решений, действий и, конечно, ответственности. Иногда даже при решении простых задач возникают невероятные сложности или происходят открытия со знаком «минус». Как регулировать, например, моменты, связанные с тем, что что-то может пойти не так? Не все в ИБ можно предвидеть, а любая ситуация из-за сложной комбинации действий субъектов-участников может пойти не по сценарию.


Примеры из реальной жизни информационной безопасности.
Пример 1.
Одна небольшая компания не на шутку озаботилась отсутствием у нее специалиста по информационной безопасности. Тут же в штат была зачислена выпускница профильного вуза на должность сотрудника по ИБ. Новая сотрудница (для простоты назовем ее «ИБ-дива») с ходу предложила руководству провести киберучения для всех подразделений компании. Получив одобрение руководства, «ИБ-дива» привлекла стороннюю компанию, которая занимается проведением (в учебных целях) фишинговых (поддельных) рассылок на корпоративные email-адреса заказчика. Компания-исполнитель предварительно представила на выбор десять шаблонов примерных, почтовых рассылок якобы от разных источников. «ИБ-дива» одобрила пять шаблонов: три - от имени финансовых организаций с требованиями оплатить счет, погасить задолженность, ознакомиться с договором и две рассылки от почтовых провайдеров о взломе аккаунта.
Началась фишинговая рассылка в адрес сотрудников компании. Результаты поначалу вселяли оптимизм. Но один дотошный сотрудник компании (назовем его «партизан»), получив фишинговое письмо якобы от одного банка, не долго думая, позвонил в безопасность этого банка с резонным вопросом: «Что за хрень вы мне шлете?» Безопасность банка (условно назовем его «Кремень-Банк») попросила прислать «партизана» образец сообщения и, смекнув что к чему после общения по телефону с «ИБ-дивой», прислала по почте в адрес руководства компании гневное заявление о фактах, порочащих светлое имя их «Кремень-Банка». Причем «Кремень-Банк» не удовлетворило покаянное письмо от компании с извинениями в электронной почте, банк вынудил компанию писать официальный ответ на официальном бланке на их дурацкие претензии и потребовал наказать виновных.
В результате компания нашла другого («бумажного») безопасника. Про киберучения забыли. «ИБ-диву» уволили. Как говорится: баба с возу - руководство в курсе.
Мораль:
И
ногда, вы не можете предвидеть развитие событий, так как делаете это впервые. ИБ-службе следует заранее регулировать «тонкие» моменты своих мероприятий, чтобы все проходило так, как задумано.

Пример 2.
Всем знакома ситуация, когда, время от времени, письма от внешних отправителей в адрес сотрудников компании попадают в спам на корпоративном, почтовом сервере. Один сотрудник одной компании, прочитав в инфо-сообщении, что в случае попадания сообщения пользователя в спам, он может обратиться в ИТ-службу, так и поступил. Письмо ему извлекли и переправили, особо не разбираясь, что там за содержимое. Во вложении к сообщению оказался вирус. Вирус заблокировал компьютер нашего героя и тот не смог вовремя сдать свой проект, после чего его уволили, а следом уволили ИТ-шника, допустившего халатность.
Мораль:
В нашем случае «производственные издержки» от оптимизации численности ИТ-службы в компании привели к перегруженности персонала при сопровождении ИТ-систем. На ИТ-администраторов постоянно сыпалось много вопросов, связанных с настройкой нового спам-фильтра на почтовике. И они, увязнув в трясине согласований, объяснений и разборок, не считали себя обязанными заниматься еще и безопасностью электронной почты. Продумайте как защитить работников от самих себя и не пасть жертвой стрессовых перегрузок на работе.

Пример 3.
В те далекие времена, когда злоумышленниками еще не пользовалась технологией автозалива при хищении денежных средств через системы ДБО, в техподдержку банка позвонила бухгалтер одной компании. Она пожаловалась на странные платежки, которые в течение нескольких дней обнаруживала на своем компьютере и которые в системе ДБО она точно не создавала. Далее выяснилось, что компьютер бухгалтера был заражен и у злоумышленников был удаленный доступ к системе ДБО. Бухгалтер пыталась тупо бороться с мошенниками удалением из системы ДБО поддельных платежек. Мошенники создают – бухгалтер удаляет, Мошенники опять создают – бухгалтер удаляет. К счастью компании, у которой такой неподготовленный бухгалтер, деньги мошенникам вывести не удалось.
Мораль:
Наши клиенты из-за пресловутой неосведомленности и низкой компьютерной грамотности подчас позволяют мошенникам себя одурачить. Цель ИБ-службы помочь своим клиентам стать настолько информированными в теме ИБ, насколько это возможно.

Источник подлинных проблем с безопасностью, как правило, расположен вне самой безопасности. Уберите источник и уровень безопасности повысится.

воскресенье, 10 декабря 2017 г.

Подводя итоги 2017 года


Хакеров в мире мало, но они распределились по Всемирной паутине
так грамотно, что встречаются на каждом шагу...

Год был трудным. Нам, как всегда чего-то не хватало (то нормативки, то разъяснений по ней)

Мысленно обозревая события 2017-го, понимаешь: нам есть, что вспомнить (например, какой шорох по всему миру навели WannaCry в мае и Petya в июне), но особо нечего обсудить. Депутаты штамповали законы. Регулятор регулировал. Хакеры хакали. Банки плакали.
Как уже не первый год (кажется так было всегда) компании, как могли, отбивались от виртуозов фишинга, эксплуататоров уязвимостей, угонщиков браузеров, вымогателей-шифровальщиков, перехватчиков управления, а также от сонма уникальных, не детектируемых антивирусами - троянов, руткитов, червей, эксплойтов любого дня и других зловредов.

Новости про “кибермошенниками взломан очередной сервис/компания/банк” воспринимались общественностью так же, как “завтра ожидается кратковременный дождь”. Хотя если вам довелось быть непосредственным участником серьёзного инцидента ИБ в компании, не удивлюсь, если от воспоминания этого события у вас до сих пор глаз дёргается.

Основные события из области регулирования сферы информационной безопасности

- Федеральный Закон от 26.07.2017 № 187 “О безопасности критической информационной инфраструктуры Российской Федерации”.

- Национальный стандарт Российской Федерации ГОСТ Р 57580.1-2017 “Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер”.

- новые международные требования к безопасности (SWIFT и другие).

Не все то правда, что рекламщики врут

В 2017 году заказчикам из сферы ИБ пришлось пересмотреть свои взгляды на эффективность применения паролей, антивирусов, DLP, SIEM и проч. … Им опять всё понравилось и они не то, чтоб сторонились продавцов ИБ-решений, а просто старались выдерживать дистанцию, оговаривая до последнего возможность маневра.

В мире, полном неопределенности и рисков, драйвером всего давно уже стал маркетинг. И этот факт сильно напрягает бедных заказчиков, которые в уходящем году всеми силами старались не делать опрометчивых покупок на волне хайпа новых технологий (ещё не освоено то, что набрали в “жирные” годы), разве что отказались от одних средств защиты в пользу других.

В 2017 году я проигнорировал больше мероприятий по ИБ, чем съел тарелок борща за это же время (а надо признаться, борщ я люблю!). И это плюс, так как конференции по информационной безопасности настолько дублируют друг друга, что чем больше их посещаешь, тем меньше узнаёшь нового.

Я не поучаствовал в вебинарах из серии “Спроси эксперта”, и тем самым упустил уникальную возможность спросить интегратора эксперта про оптимальность его прорывных решений для заказчика и реальную безопасность, которую эти решения несут компаниям.

Поставщики решений настойчиво предлагают заказчикам решения уже “следующего поколения”, не уточняя, что заказчикам делать с решениями, приобретёнными у них же, но вчера.

Чем бессмысленнее поручение, тем больше ценится качество его исполнения

Новости из Интернета:

“…cпециально для “закона Яровой» готовится отдельная модификация СХД с возможностью хранения ещё более значительных объёмов информации и их дополнительной защитой”.

“…средняя стоимость хранения 1 петабайта в СХД стремится к 550–600 тысячам долларов. Основываясь на этой оценке, можно предположить, что стоимость одной СХД Tatlin составит от 7,8 до 11,7 миллионов долларов, а разрабатываемой версии под «закон Яровой» — ещё выше”.

“…затраты каждого федерального оператора связи на выполнение закона в 30 миллиардов рублей”.

Чем круче джип, тем дольше идти за трактором (про угрозы ИБ)

Локальные устройства перестали быть локальными - мобильность, облачные вычисления и другие технологические достижения и тенденции все больше расширяют и разрушают периметр безопасности компаний.

Хакеров в мире мало, но они распределились по всемирной паутине так грамотно, что встречаются практически на каждом шагу...

И что характерно, кибер-атак типа “прерывание обслуживания” год от года становится больше (и ущерба от них). То есть атакующие стали не только воровать деньги у своих жертв, но и блокировать системы и уничтожать данные в ходе своих атак.

Продолжился свободный выгул эксплойтов: на сайтах в Интернете, в корпоративных сетях частных компаний, в гос.учереждениях, в банках и корпорациях.

Раньше меня спрашивали, как хакерам удаётся ломать всё, что пингуется. Теперь мне говорят, еcли ты такой продвинутный в технологиях, почему ничего не майнишь? От желающих помайнить себе на жизнь отбоя нет. Решил подкачать себе биткойнов, запустил “печатный станок” – ферму компьютеров и жди (оплачивая электричество), когда звёзды сойдутся.

Но хакерам так не интересно. В суете предновогодних распродаж они подсовывают всякие гадости на компьютеры доверчивым пользователям, которые, обычно, не обращают внимания на то, что домашний компьютер начал слегка (или не слегка) подтормаживать, работая “на дядю”.

Искусственный интеллект — наше будущее

Побывав недавно на Форуме по борьбе с мошенничеством в сфере высоких технологий “AntiFraud Russia”, опять убедился, что самыми часто повторяемыми словами в докладах были “машинное обучение”, ”искусственный интеллект”, ”эволюция угроз”, “поведенческая аналитика”, “социальная инженерия”, “фишинг”, “оценка рисков”. Машобуч, искусственный интеллект, да и всякие UEBA все глубже входят не только в разговоры экспертов на конференциях, но и в реальные проекты крупных компаний (вот что Гартнер животворящий делает!).

Кстати, на этом же форуме услышал фразу от представителя Мегафона, с которой полностью согласен: “Хорошее взаимодействие служб ИБ – следствие плохого законодательства”.

Фалловер фалловеру друг, товарищ, а, иногда, и брат

Эксперты по ИБ группировались в соц.сетях, причем, даже не по отраслям, а по интересам и взаимным симпатиям Эксперт A ретвитил в соцсетях экспертов B и C, и наоборот. А самостоятельно мыслящему эксперту D вообще нравились только твиты эксперта D.

Завтрашние заботы пускай достанутся завтрашнему мне

Задачи служб ИБ остаются прежними: быстро выявлять инциденты, эффективно на них реагировать и защищать самую ценную информацию в компании. К сожалению, из-за ограниченного административного ресурса на стороне служб ИБ, у последних, как правило, нет реальных рычагов для проведения мероприятий по усилению ИТ-экосистемы в компаниях.

Обычно, мы ищем не там где потеряли, а там, где светло. Ресурсы для повышения эффективности информационной безопасности в компании есть всегда, нужно просто стараться их находить и использовать, заручившись поддержкой руководства.

Два года назад я уже сетовал на то, что ИБ в постоянном поиске своей Полярной звезды, то есть той главной цели, которая не будет меняться во времени (Хотя с каждым днём понимаешь - все меняется для всех и довольно быстро). В глубине души мы в постоянном ожидании, что вся эта суета не напрасна и наконец-то, в чем-то, когда-нибудь окупится. Остается слабая надежда, что результаты наших трудов увидят наши дети...

Что нас ждёт завтра?

Есть потенциальный риск, что в ходе какой-нибудь широкомасштабной и высокоэффективной атаки, может быть уничтожен весь Интернет.

“Чудес в мире – как мух в сортире, а нужного чуда – не видать покуда” (про искусственный интеллект, машинное обучение и распределенные реестры, блочейн-технологии, биткойн (bitcoin) и другие криптовалюты в одном предложении)

Возможно, блокчейн и тупиковая ветвь технологии, но чертовски хочется быть современником рождения чего-то нового, революционного (или хотя бы “невероятных событий с серьёзными последствиями”).

Ровно в 12 часов волшебство закончится и нас опять пробьёт на прозу жизни.

Постоянный шквал уведомлений от Центров безопасности, мониторинг журналов безопасности ИТ-систем, оценка рисков от «теневых ИТ-ресурсов», обеспечение безопасности ИТ-инфраструктуры в условиях ограниченных ресурсов ИБ-службы и много всяких интересных сюрпризов от работников компании.

Ну, и, конечно, всех нас, коллеги, ожидает переход на новый уровень зрелости, если не технологический, то уж возрастной точно.

С наступающим!

воскресенье, 19 ноября 2017 г.

Краткий обзор нового ГОСТ Р 57580.1-2017 Защита информации финансовых организаций

8 августа 2017 года Приказом Федерального агентства по техническому регулированию и метрологии № 822-ст утвержден национальный стандарт Российской Федерации ГОСТ Р 57580.1-2017 “Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер.
Андрей Алябьев любезно поделился с автором блога своими краткими выкладками относительно нового ГОСТа от Банка России.
ГОСТ Р 57580.1-2017 распространяется на банки, некредитные финансовые организации, других субъектов НПС. Вступает в силу с 1 января 2018 года.
Что принципиально нового?
Уровни защиты информации
• уровень 3 – минимальный (соответствует 4-ому УЗПДн);
• уровень 2 – стандартный (соответствует 2-ому и 3-ему УЗПДн);
• уровень 1 – усиленный (соответствует 1-ому УЗПДн).
Уровень защиты информации устанавливается для конкретного контура безопасности (информационная система, реализующая бизнес-процессы единой степени критичности, для которых применяется единый режим защиты информации). Пример: платежные и информационные технологические процессы могут составлять разные контуры безопасности.
Формируется один или несколько контуров безопасности
Уровень защиты для контура безопасности устанавливается нормативными актами Банка России на основе:
• вида деятельности, состава предоставляемых услуг, бизнес-процессов в рамках контура безопасности;
• объема финансовых операций;
• размера организации;
• значимости для финансового рынка и НПС.
Что принципиально нового

Для каждого из трех уровней защиты требование выполняется указанным способом:
• “Н” – реализация является необязательной;
• “О” – реализация путем применения организационной меры;
• “Т” – реализация путем применения технической меры.
Состав мер защиты может адаптироваться.

Сравнение с СТО БР ИББС-1.0-2014

 Структура ГОСТа
- Разделы 1-5. Область применения, нормативные ссылки, термины и определения, обозначения и сокращения;
- Раздел 6. Общие положения (методология применения требований и определение уровней защиты);
- Раздел 7. Требования к системе защиты информации (СИБ);
• Управление доступом (IDM);
• Защита сетей (IDS/IPS, NGFW);
• Контроль целостности и защищенности инфраструктуры (Vulnerability Scanner);
• Защита от вредоносного кода (AV);
• Предотвращение утечек (DLP);
• Управление инцидентами (SIEM);
• Защита среды виртуализации (СЗИ для виртуальных сред);
• Защита информации при использовании мобильных устройств (MDM).
- Раздел 8. Требования к системе управления защитой информации (СОИБ/СМИБ);
• Планирование процесса системы защиты;
• Реализация;
• Контроль;
• Совершенствование.
- Раздел 9. Требованияк ЗИ на этапах ЖЦ АС и приложений;
• Приложение А. Базовая модель угроз и нарушителя;
• Приложение Б. Орг.меры,связанные с обработкой ПДн;
• Приложение В. Перечень событий ЗИ, потенциально связанных с инцидентами.

Интересное из требований (ГОСТ Р 57580.1-2017)
Мера защиты
Содержание мер системы защиты
УЗ3
УЗ 2
УЗ 1
УЗП.6
Назначение для всех ресурсов доступа распорядителя логического доступа (владельца ресурса доступа)
О
О
О
РД.12
Запрет множественной аутентификации с использованием одной учетной записи путем открытия параллельных сессий с разных АРМ
Н
Т
Т
ФД.6
Назначение для всех помещений распорядителя физического доступа
О
О
О
ВСА.9
Блокирование атак типа “Отказ в обслуживании” в масштабе времени, близком к реальному
Н
Т
Т
ЗБС.1
Аутентификация устройств доступа точками доступа по протоколу Wi-Fi
Т
Т
Т
ЦЗИ.16
Обеспечение возможности восстановления эталонных копий ПО АС, ПО средств и систем ЗИ, системного ПО в случае нештатных ситуаций
О
О
О
ЗВК.13
Использование средств защиты от вредоносного кода различных производителей как минимумдля уровней АРМ и серверов
Т
Н
Н
ЗВК.14
Использование средств защиты от ВК различных производителей как минимумдля уровней АРМ, серверов и контроля трафика
Н
Т
Т
ПУИ.3
Блокирование неразрешенной и анализ разрешенной печати информации конфиденциального характера
Н
Т
Т
РИ.9
Выделение в составе ГРИЗИ следующих основных ролей: руководитель, оператор-диспетчер, аналитик, секретарь
Н
О
О
ЗСВ.27
Запрет на копирование текущих образов виртуальных машин, использующих СКЗИ, с загруженными криптоключами
О
О
О
ЗУД.3
Предоставление удаленного доступа только с использованием мобильных устройств доступа, находящихся под контролем MDM
Н
Т
Т
ЗУД.11
Обеспечение защиты мобильных устройств от воздействий ВК
Т
Т
Т

Краткие выводы
• Новые требования станут обязательными, когда на них будут включены ссылки в НПА. Тогда же появится определенность, по выполнению требований для каждого уровня защиты .
• Документ по методике проведения оценки соответствия ГОСТу находится в разработке.
• СТО БР ИББС-1.0-2014, скорее всего, не будет отменяться, т.к. не был обязательным. Банк может вывести его из действия приказом (в случае, если стандарт был введён банком).
• Остались вопросы по применению сертифицированных средств защиты  (и прикладного ПО)…

Алябьев Андрей (https://facebook.com/andrey.alyabiev)