четверг, 16 апреля 2020 г.

Методика моделирования угроз безопасности информации. Мой обзор

Добрый день, коллеги! 09 апреля на сайте ФСТЭК России появился проект "Методики моделирования угроз безопасности информации". Предыдущий проект был выпущен еще в 2015 году, но официальным нормативным документом так и не стал. А потребность в новой методике осталась. Мы долго ждали и дождались! Новый проект! Конечно, я не могу пройти мимо. Приступим к анализу, как повелось, обозревать буду в основном с позиции защиты персональных данных.

Оба документа являются частью когда-то существовавшего "четверокнижия", ранее на них была пометка "ДСП". Сейчас Методику в полном объеме можно найти в открытом доступе, базовая модель существует в открытом доступе в виде выписки, полную версию (с ПЭМИН) нужно заказывать во ФСТЭК России. 

Где применять?
Методика должна применяться в информационных системах персональных данных. В проекте 15 года применение для защиты ПДн было необязательным. Методика посвящена антропогенным угрозам, может применяться для техногенных и не подходит для стихийных бедствий (здесь все аналогично  проекту 15 года).

Преемственность. 
Остаются bdu.fstec.ru, базовые и типовые модели угроз.

Что отменяется?
  • Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  • Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры.

Как моделировать угрозы?
При разработке модели угроз должна быть определена граница процесса моделирования и зона ответственности, например, при хранении данных в облаке. Модель угроз должна быть актуальной, она изменяется вместе с информационной системой, с требованиями законодательства, с появлением новых технологий. Моделирование - это процесс. 

Кто составляет модель угроз?
Модель угроз можно составить своими силами (отдельное подразделение или ответственные лица), либо заказать модель угроз у организации, имеющей лицензию ФСТЭК России по технической защите конфиденциальной информации.

Негативные последствия реализации угроз
Негативные последствия определяются из требований законодательства и экспертным методом.

Устанавливается перечень возможных негативных последствий, информационные ресурсы и компоненты систем и сетей и виды неправомерного доступа и воздействий на них.

Про уязвимости
В модели угроз должны быть определены типы уязвимостей и недекларированных возможностей, а также варианты возможного доступа нарушителей.

Источники угроз
Описание источников угроз содержит кроме самих источников цели реализации угроз, категории и виды нарушителей и возможности каждого вида нарушителей.
Нарушители
Нарушители могут быть нескольких видов:
1. Нарушитель, обладающий базовыми возможностями (потенциалом);
2. Нарушитель, обладающий повышенными базовыми возможностями (потенциалом);
3. Нарушитель, обладающий средними возможностями (потенциалом);
4. Нарушитель, обладающий высокими возможностями (потенциалом).

Сценарии реализации угроз
Сценарий угроз представляет собой совокупность всех возможных тактик и техник, которые применяет нарушитель. При обнаружении новых угроз и сценариев рекомендуется уведомить ФСТЭК России.

Актуальность угрозы
Угроза безопасности информации является актуальной, если имеется источник угрозы, условия для реализации угрозы, существует хотя бы один сценарий ее реализации, а воздействие на информационные ресурсы или компоненты может привести к негативным последствиям.

Уровень опасности угрозы
W=d+p+s
Описание угрозы безопасности
Приложения
1. Термины и определения. 
2. Рекомендации к формированию экспертной группы. Здесь я бы отметила, что членов экспертной группы должно быть не менее 3х.
3. Краткое содержание модели угроз.

Мое мнение
1. Методика сложная, для крупных предприятий или для лицензиатов - в самый раз. Для мелких и средних не представляю как применять, а операторами персональных данных являются по факту все организации. 
2. Все хорошо структурировано, но, на мой взгляд, осилить моделирование угроз сможет только человек с определенным опытом. Непростой работы очень много, особенно в части написания сценариев.
3. Непонятно как будет оцениваться полнота модели, как определить, что все возможные сценарии рассмотрены?
4. Наличие удаленного доступа делает уровень опасности угрозы средним и выше.
5. Непонятно что делать дальше с цифровыми значениями уровней опасности угроз.  
6. Я не поняла как связаны актуальность и опасность. В определении актуальной угрозы нет указания на опасность, только на негативные последствия.
7. Непонятно как подбирать меры защиты.

А что думаете Вы?

_________

Вконтакте: https://vk.com/shudrova

среда, 8 апреля 2020 г.

Лица ИБ. Александр Гладченко


1. Добрый день, Александр! Вы очень интересный собеседник, человек с богатым жизненным и рабочим опытом, настоящее «Лицо ИБ». Я рада, что представилась возможность взять у вас интервью. Расскажите вкратце о себе, о своем опыте работы.
Родился я еще в прошлом тысячелетии ;) Закончить школу успел еще при социализме, а вот студенческие годы пришлись уже на перестройку. Работал где придется и как придется. Был шахтером, дальнобойщиком, музыкантом, но остановился на компьютерах. Сначала программирование, потом администрирование, потом и безопасность ;)

2. У вас первое образование по специальности «Маркшейдерское дело», как пришли в ИБ?
После школы я поступил в "Станкин" на специальность САПР. Где, собственно, и впервые увидел компьютеры. Они тогда были большими ;) Перфокарты, перфоленты, вот это вот все ;) После службы в Советской Армии уехал в Екатеринбург, где и пребываю по сей день. Поступил в горный институт и вот там и увидел персоналки ;) Преподаватель по информатике, видя мой интерес, пристроил меня на работу к своему знакомому в ОблСЭС. И вот, с 1990 года я с компьютерами. После окончания института 4 года проработал сисадмином и начальником отдела ИТ в разных конторах города. Потом знакомый пригласил меня в банк. Админить. Спустя некоторое время мне предложили заняться ИБ в банке. Ну я и согласился. Съездил в столицу, прошел в АРБ курсы по безопасности банковских систем и баз данных, так и пришел в ИБ... Это был 1998 год.

3. Мне кажется, один из самых важных навыков специалистов – умение состряпать информационную безопасность «из ничего». Поделитесь своим опытом работы с маленьким бюджетом: что можно сделать самостоятельно и почти бесплатно?
Я никогда не работал "с маленьким бюджетом". Я работал с бюджетом "нулевым". То есть ФОТ мне обеспечивала служба безопасности, железо закупалось службой ИТ, а там "крутись как хочешь" ;). Сделать "бесплатно" можно ВСЁ. Особенно теперь. ВАЩЕ ВСЁ. Раньше было труднее. Основных условий два - быть самому отличным технарем и иметь союзника на самом верху. Я никогда не работал на директора предприятия. Я всегда работал на собственника. Это важно. Директор решает свои задачи, в том числе личные. Собственник решает задачи всего бизнеса. Технический бэкграунд - безусловно свободное ПО. В первую голову Linux. Мне приходилось заниматься разработкой недостающих функций в linux, но это было давно, на рубеже столетий. Сейчас все есть "из коробки". Но умение программировать, знать внутренности протоколов, устройство ОС изнутри катастрофически необходимо. Жаль, что сейчас такому не учат в институтах. В начале 2000-х я искал linux-админа на свою инфраструктуру. Всего 180 серверов. Искал два года. Нашел. Тоже человека со старым образованием. Просмотрел порядка сотни кандидатов. Вот такой выхлоп ;) Поэтому я всегда говорю, что "бесплатно будет дороже" ;) Из того, что приходилось делать самому - файрволы, "dlp" (в кавычках, потому как решала исключительно нужные мне специфические вопросы), всяческое удаленное управление (через смс, емайл), мониторинговые вещи в локальной и распределенной сети. В общем, было бы желание и время - можно сделать все. Причем желание - не только твое!

4. Читатели часто спрашивают меня про работу «не в столице», я даже хэштег сделала #в_регионах_есть_иб для поиска резюме и вакансий. Как обстоят дела с работой на Урале? Легко ли в Екатеринбурге устроиться по нашей специальности?
У нас на Урале очень интересный момент с рынком работников ИБ. Есть отдельный банковский остров. Там у работников должна быть "задняя стенка черепа выстлана инструкциями ЦБ". Это скучно, денежно, представительно. Есть государственные органы. Там работают бывшие люди в погонах. Есть интеграторы. Там все новое, красивое, представительное, надо продавать. Продавец из меня, как из собачьего хвоста - сито. Собственно, поэтому я нигде из перечисленного не работаю ;) В остальном у нас пока странная ситуация. Многие хотят в качестве ИБ служивых в определенных конторах пенсионеров. Обычно с бумажным ИБ в этом случае все хорошо. А техническую сторону отдают в ИТ. То есть "кот Василий жрал то, что должен был стеречь". Я категорически против подобного подхода. В частности, из-за этого уволился с предыдущего места работы, которому отдал 13 лет ;) А вот нормальной организации ИБ у нас практически нет. Нет, есть, конечно, заводы, конторы, офисы с правильным ИБ, но в процентном соотношении с остальными их единицы. Поэтому устроиться с одной стороны просто (в бумажную ИБ), с другой стороны реально сложно ;) Вот такой вот дуализм. Плюсом сюда примешивается местечковый специалитет. Который выражается в горизонтальных отношениях собственников бизнеса, власти и специалистов. Это совершенно непонятная субстанция для скупающих оптом и в розницу региональные предприятия столичных денежных мешков. Отсюда вытекает огромное нежелание работать со столичными новыми собственниками. И я тут не одинок.

5. У вас богатый опыт работы: промышленность, автомобильный бизнес, образовательное учреждение и т.д., большое ли значение имеет специфика предприятия? ИБ везде разное?
Принципиально разницы нет. Есть нюансы. В основном связанные с "руководящим направлением". Это либо собственные разработки и КТ, либо ПДн, либо еще какая-то часть ИБ, которая в данной отрасли наиболее важна.

6. Что для вас интереснее: «бумажная безопасность» или технические меры защиты информации?
Я технарь. Я пришел в ИБ из сисадминов. Поэтому ответ очевиден. Я не люблю бумагу.

7. Как организовать эффективный внутренний аудит? Есть какие-то способы повысить свою эффективность при анализе большого объема данных?
Беда в том, что все кинулись собирать данные. БигДата, вот это вот все. Это тупик. ИБшник, обложенный данными, становится похожим на бухгалтера. Собирать надо отношения. ;) Когда у тебя есть неформальные отношения внутри коллектива, тебе не надо данных, ты и так знаешь кто когда куда и что ;) Разговаривайте с людьми! это сэкономит уйму времени и места на ваших дисках ;) И сильно поможет в понимании того нужен ли вам аудит вообще или нет. Подсказка - нет ;)

8. Можно ли научиться «видеть потенциальных нарушителей»?
Видеть - нет. Знать - да ;)

9. Читаете ли вы профессиональные блоги? Можете кого-то порекомендовать?
Не читаю. Не интересно. По крайней мере, я не встречал блога, который бы не пытался мне что-нибудь продать. А зачем читать, если я никогда этого не куплю? ;)

10. С чего, по вашему мнению, нужно начинать обучение информационной безопасности?
С технических азов. Устройства компьютера, сетей, протоколов. И базового технического высшего образования. Много, очень много математики.

11. Куда лучше отнести ИБ подразделение, к айтишникам или к службе безопасности?
Только СБ или выделенное подразделение уровня подчинения собственнику. Все остальное - профанация.

12. Какие навыки специалиста вы бы называли ключевыми?
Технический бэкграунд и умение общаться с людьми.

13. Вы занимаетесь ИБ с 2000 года, насколько я знаю. Как на ваш взгляд поменялась роль специалиста по защите информации за последние 20 лет?
С 1998-го ;) На бумаге роль поменялась сильно. В реальности - почти никак. Единственное что, благодаря законодателям, наличие собственной ИБ из "модной тенденции" перешло в "обязательные условия".

14. Вы согласны с утверждением «80 процентов внутренних угроз, 20 – внешних»?
Нет. 80 на 20 было на границе веков. Сейчас, если, конечно, вы не являетесь стратегически важным предприятием отрасли, это соотношение 95 на 5.

15. С какими подразделениями специалисту по ИБ стоит подружиться?
Ни с какими. Дружба - понятие интимное. Иметь хорошие отношения надо в первую очередь с собственником, с ИТ и с бухгалтерией (чтобы не забывала платить зарплату ;))))

16. Кому не стоит заниматься информационной безопасностью?
Гуманитариям и юристам.

17. Знаю, что вы увлекаетесь игрой на гитаре, философский вопрос: «Что общего у музыки и нашей профессии?»
Я занимаюсь не "игрой на гитаре" (гитарист из меня посредственный), а сочинением  и исполнением собственной музыки. И там и там - сплав креатива и технологий.

18. У вас потрясающее чувство юмора, наверняка вы знаете забавные истории, можете поделиться интересным случаем из практики?
Никогда не называйте хосты распределенной сети одинаковым именем ;) Когда-то давно была найдена очередная уязвимость на уровне ядра linux, которую на одном из наших удаленных серверов попытались проэксплуатировать местные айтишники. Ну, само собой, в течение 15 минут они получили трудовые и были выставлены с работы, но патчить-то надо! И вот мы занялись. Принцип простой - удаленный вход на сервер, установка патча, ребут, проверка. Захожу на сервер с именем oracle (таких серверов было много), накладываю патч, ребут, коллега проверяет - не работает патч. Ну, думаю, далеко не первый сервер, может опечатка или что. Повторяю. Результат тот же. Странно, думаю, все сервера нормально, а калужский никак. Еще раз... В общем через два часа позвонили коллеги из Тюмени и спросили, а что это у них связь с КИС пропадает ;))) С тех пор в имена серверов стали добавлять указание города...

19. Расскажите о трех любимых художественных книгах. Что бы вы посоветовали обязательно прочитать?
Я не большой любитель беллетристики. Но из моих любимых, даже не книг, а авторов, могу порекомендовать Роджера Желязны. Особенно его короткие рассказы. Люблю стихи и прозу Саши Гутина, на некоторые его стихи я написал песни. Еще мне нравится британская детективная классика.

20. Пожелайте нашим читателям чего-нибудь хорошего.
Растите (профессионально и душевно), толстейте (денежно и в связях) и всё такое ;)

Большое спасибо за ответы на вопросы!

Ну и бонусом размещу здесь стихотворение Александра.

Я очень скоро стану стану старым
И дай мне Бог, чтоб не больным
Но я жалею лишь о малом
Не стать мне больше молодым

Я никогда не буду сильным
Призером в спорте золотым
Лишь об одной жалею мысли
Не стать мне больше молодым

Я никогда не стану статным
Тем более совсем худым
Жалею я невероятно
Не стать мне больше молодым

Ну и пускай уже не молод.
Но я пока еще вполне
Готов свернуть любые горы,
Но только лежа на спине*

*Авторская пунктуация сохранена.

Здесь можно послушать музыку Александра. 

Вот такое получилось интервью, есть о чем подумать, с чем согласиться и поспорить. Мне эта беседа очень понравилась. Надеюсь, и вам тоже.


_________
Ну и, как всегда, минутка саморекламы. В ноябре вышла моя вторая книга по защите персональных данных. Чтобы приобрести "Персональные данные: как перестать беспокоиться и начать защищать?", обратитесь в личные сообщения:


Вконтакте: https://vk.com/shudrova
telegram: @KseniaShudrova
instagram: @boyarinya_marshmelova 
Книга электронная! Стоимость - 200 р.

суббота, 4 апреля 2020 г.

Межблогерский вебинар про проверки ПДн. Запись.

Коллеги, 01 апреля прошел 5й межблогерский вебинар на тему "Проверки ПДн". Мы поговорили о реальных проверках, поделились рекомендациями и ответили на актуальные вопросы.
Запись можно посмотреть здесь.
В группе будут выложены дополнительные материалы (списки документов с проверок и т.д.).
_________
Ну и, как всегда, минутка саморекламы. В ноябре вышла моя вторая книга по защите персональных данных. Чтобы приобрести "Персональные данные: как перестать беспокоиться и начать защищать?", обратитесь в личные сообщения:


Вконтакте: https://vk.com/shudrova
telegram: @KseniaShudrova
instagram: @boyarinya_marshmelova 
Книга электронная! Стоимость - 200 р.