Архив за Декабрь, 2010

Методология OSSTMM

1 Отзыв

Ассоциация ISECOM опубликовала под лицензией Creative Commons книгу «Open Source Security Testing Methodology Manual» , в которой подробно освещена методология тестирования безопасности и проведения аудита.

В документе представлены рекомендации по выработке тактики с целью обеспечения наивысшего уровня безопасности с учетом типа оборудования, человеческого фактора, использования беспроводных и общедоступных сетей.

• OSSTMM 3 – The Open Source Security Testing Methodology Manual (PDF, 213 стр., 16 Мб)

Possibly Related Posts:


Записки о тестировании на проникновение: концепция, методика, инстументарий

Ваш отзыв

Наш сотрудник, CISA/CISSP Александр Дорофеев, подготовил очередной труд по аудиту информационной безопасности.

Так, в журнале «Защита информации. Инсайд» № 6 (ноябрь-декабрь) за 2010 г. им опубликована новая статья «Тестирование на проникновение: демонстрация одной уязвимости или объективная оценка защищенности?»

На главную страницу

В этой публикации Александр, полагаясь на личный и мировой опыт, рассматривает вариации комплексного технического аудита ИБ и необходимый набор программных инструментальных средств «этичного» хакера.

Да уж, неспроста в TV-проекте (без секса) Тины Канделаки «Инфомания», касающейся темы «этичных» хакеров, Александру посвятили самые удивительные и волнующие минуты противоречивой телепередачи.

Possibly Related Posts:


Траст — как мы, только банк

4 комментария

Департамент проектов ЗАО «НПО «Эшелон» успешно завершил основную часть работ по приведению информационных систем Национального банка «Траст» в соответствие с требованиями законодательства по защите персональных данных. В рамках проекта были проведены аудит и классификация ИСПДн, разработана частная модель угроз, согласованная со ФСТЭК Росси, а также предложены организационные и технические меры защиты, внедрение которых запланировано на 2011 г.

Possibly Related Posts:


Обязательность оценки соответствия по требованиям безопасности информации (обязательная сертификация СЗИ) — НА ПРАКТИКЕ.

6 комментариев

Несколько добрых предложений по поводу, когда надо сертифицировать средства защиты информации, а также продукты и системы по требованиям безопасности информации. Где здесь теория, а где реальные дела.

Дело в том, что на практике обязательность оценки соответствия (в области безопасности информации – это сертификация и аттестация) вытекает из требований заказчика, который формулирует требования к разработке, поставке, внедрению продукта или системы в организацию на ее объекты информатизации (объекты ЭВТ, АС, КСА и т.д.).

Например, в ТЗ (ТП) по ОКР (и дальнейшего авторского надзора или техподдержки) может быть указан ГОСТ Р 51583-2000 (Порядок создания автоматизированных систем в защищенном исполнении, см. п.4.15)  или  указаны требования ФСТЭК России по защите информации и др.

В практической плоскости для взаимодействия с заказчиком полезно знать законодательные требования, но не более того. Можно предложить условную классификацию по признакам: «тип собственности информационного ресурса», «вид тайны», «дополнительные требования к объекту информатизации или системе».
 

I. Все предельно просто, когда мы работаем с государственным информационным ресурсом, здесь тайна принадлежит государству, системы разрабатываются за средства государства или инициативно (но по требованиям государства).

1.1) Гостайна: средства защиты информации, составляющей сведения, отнесенные к государственной тайне, подлежат обязательной сертификации. См. ФЗ № 5485-I «О гостайне», ПП 608 (Положение по сертификации средств защиты информации).

1.2) Информация ограниченного доступа (информация конфиденциального характера, конфиденциальная информация, в том числе служебная тайна).

Основания для сертификации СЗКИ:
— ПП 330 («Положение об особенностях оценки соответствия продукции…»);
— требования ФСТЭК (СТР-К, «Положение по сертификации..»  и др.) и ФСБ, отраслевые и внутриведомственные дополнительные требования (которые опираются на документы ФСТЭК России и других систем обязательной сертификации: Минобороны России, ФСБ России, СВР России).

1.3) Требования к объектам (для ряда систем, независимо от конфиденциальности обрабатываемой информации, определены требования по сертификации ПО, АС, ТС, СЗИ от НСД и др.):
— СЗИ ИТКС МИО (СОП, Интернет) и СЗИ Федеральных государственных ИС ОП;
— системы управления экологически опасным производством, объектами, имеющими важное оборонное и экономическое значение;
— ПО, АО, СЗИ критически важных объектов КСИИ, КСИИ;
— системы вооружения (ГОСТ Р 51189, прил.В) и автоматизированные системы в защищенном исполнении (ГОСТ Р 51583-2000).

Примечание: перечени СЗИ формально определены в ведомственных документах в рамках компетенции ФСТЭК, ФСБ, Минобороны, СВР. Например, в Перечень СЗИ в Минобороны включены, кроме собственно средств защиты, еще информационные системы, пдсч, программное обеспечение общего назначения и разное другое.  В ФСТЭК обязательная сертификация систем происходит в виде обязательной аттестации.
   

II. В настоящее время можно выделить особо персональные данные – личная и семейная тайна, принадлежит субъекту.

Основание для сертификации СЗ ПДн: ПП 781, ПП 330.

Примечание: в «Положении о методах и способах…» приведен более широкий спектр СЗИ, подлежащих сертификации, чем в СТР-К.
 

III. Негосударственные (частные, общественные) организации, где коммерческая тайна, банковская тайна и другие виды тайн принадлежат негосударственной организации.

Здесь все зависит от дополнительных требований к объектам информатизации (ИС). Можно встретить требования по сертификации:
— ПО, АО, СЗИ критически важных объектов КСИИ, КСИИ;
— «экзотических» продуктов и систем: игральные автоматы, СЗИ кредитных историй;
Могут быть внутрикорпоративные требования.

Надо понимать, что выполнение рекомендаций по аттестации объекта информатизации автоматически определит обязательные требования по сертификации СЗИ.

Само собой, получение госзаказа, комплексирование негосударственных систем с государственными и т.д,  в результате которых можно получить информацию, отнесенную к ГИР, требует от частных компаний соблюдения требований, указанных ранее в п.I.
    

Когда же «добровольно» обращаются к добровольным системам сертификации по требованиям безопасности информации? 🙂

Добровольные системы используются либо когда имеется неопределенность (выраженный субъективизм) в требованиях заказчика по времени получения или форме сертификата («АйТиСертифика»), либо имеется элемент, так сказать, условной добровольности («Газпромсерт»).

Нудно получилось, пардон. 🙂

Possibly Related Posts:


Нет ничего более постоянного…(очередной перенос сроков 152 ФЗ «О персональных данных»)

2 комментария

Нет ничего более постоянного, чем желание операторов персональных данных отодвинуть приход регуляторов с проверкой.
А депутаты Государственной Думы, как всегда, чутко относятся к чаяниям своего электората. И, если, электорат не готов к выполнению требований федерального закона, значит, долг депутата помочь электорату.
   

Как депутат может помочь?
Конечно же, отодвинув сроки исполнения требований этого Закона. Ведь это самая простая и необременительная помощь!

Итак, коллеги!
Государственная Дума 10 декабря 2010 года приняла сразу в двух чтениях (втором и третьем) поправки к 152 ФЗ «О персональных данных».
Срок прихода регуляторов опять перенесен.
Правда, только на полгода – до 1 июля 2011 года, но все же…

P.S.
Опять счетчик на ispdn.ru перенастраивать надо…

Possibly Related Posts: