2. В ДОКЛАДЕ:
источники требований
реализация требований
особенности использования средств (в
т.ч. open-source) и услуг контроля
защищенности.
тест на знание средств защиты
информации)
дополнительные материалы.
4. Приказ ОАЦ №62
41 Выявление уязвимостей информационной системы и
оперативное их устранение
42 Контроль за установкой обновлений программного
обеспечения, включая обновление программного
обеспечения средств защиты информации
43 Контроль за работоспособностью, параметрами
настройки и правильностью функционирования
программного обеспечения и средств защиты информации
44 Контроль за неизменностью состава технических
средств, программного обеспечения и средств защиты
информации
5. ISO/IEC 27001:2013 «Информационные технологии. Методы защиты. Системы
менеджмента информационной безопасности. Требования»
ПРИЛОЖЕНИЕ А
• A.8.1.1 Инвентаризация активов
• A.12.6.1 Контроль технических уязвимостей
• A.14.2.8 Тестирование защищенности системы
• A.18.2.1 Независимый анализ информационной безопасности
• A.18.2.3 Анализ технического соответствия
CIS Critical Security Controls
Payment Card Industry Data Security Standard (PCI DSS)
• Requirement 2: Do not use vendor-supplied defaults for system passwords and
other security parameters (2.2, 2.4).
• Requirement 6: Develop and maintain secure systems and applications (6.1, 6.2).
• Requirement 11: Regularly test security systems and processes (11.2, 11.3, 11.5).
• CSC 1 Inventory of Authorized and Unauthorized Devices.
• CSC 2 Inventory of Authorized and Unauthorized Software.
• CSC 3 Secure Configurations for Hardware and Software on Mobile Devices,
Laptops, Workstations, and Servers.
• CSC 4 Continuous Vulnerability Assessment and Remediation.
9. Какие еще есть варианты?
Облачные сервисы?
Open source?
…?
10. Использование средств
контроля защищенности:
Указ Президента РБ от 16.04.2013 № 196 «Положение о
технической и криптографической ЗИ в РБ».
Закон РБ от 10.11.2008 г. № 455-З«Об информации,
информатизации и ЗИ».
Постановление Сов Мин РБ от 15.05.2013 № 375 «ТР
2013/027/BY».
Приказ ОАЦ от 30.08.2013 № 62 «Положение о порядке
технической ЗИ в ИС, предназначенных для обработки
информации, распространение и (или) предоставление
которой ограничено, не отнесенной к государственным
секретам».
11. Использование услуг
(в т.ч. «облачных»):
Запрета использовать облачные (как и
любые другие) услуги для контроля
защищенности в НПА нашей страны - нет.
Важную роль играют вопросы:
Доверия вашему поставщику услуг.
Управление потоками информации между субъектом и
объектом сканирования (особенно при сканировании с
аутентификацией).
12. Использование open-source:
Запрета использовать данные средства в
качестве вспомогательных инструментов при
проведении внешнего сканирования на стадии
эксплуатации системы защиты информации
информационной системы - нет.
В случае если вы хотите включить данное средство в
перечень средств защиты информации на этапе
проектирования/создания системы защиты информации, вам
необходимо пройти процедуру подтверждения соответствия
в форме сертификации.
Сегодня в докладе я хочу на примере контроля защищенности информационных систем рассмотреть вопросы:
соответствия требований регулятора актуальным требованиям международных стандартов и рекомендациям в области информационной безопасности;
особенности использования средств контроля защищенности на территории нашей страны;
рассмотреть различные варианты реализации данных требований, в том числе и с использованием облачных сервисов и open-source ПО.
Еще в ходе доклады мы с вами проведем небольшой тест на знание сертифицированных средств защиты информации, с вручением приза – руководства для подготовки к сертификационному экзамену Advanced Security Practitioner.
Что же можно отнести к деятельности по контролю защищенности?
В соответствии с источниками, представленными на слайде, к такой деятельности относятся:
инвентаризация ТС, ПО, СрЗИ, и контроль параметров их настройки и функционирования;
выявление и устранение уязвимостей;
контроль установки обновления ПО;
тестирование на проникновение.
Теперь давайте посмотрим какие требования по контролю защищенности содержатся в НПА нашей страны. Вед мы с вами понимаем, что, осуществляя свою деятельность на территории Республики, мы в первую очередь должны руководствоваться требованиями нашего законодательства.
Требования по контролю защищенности информационных систем являются обязательными для включения в ТЗ на СЗИ или в ЗБ на ИС.
В приложении к положению о порядке технической защиты информации, утвержденному приказом ОАЦ №62, представлены перечисленные на слайде требования, А именно:
Выявление уязвимостей информационной системы и оперативное их устранение
Контроль за установкой обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации
Контроль за работоспособностью, параметрами настройки и правильностью функционирования программного обеспечения и средств защиты информации
Контроль за неизменностью состава технических средств, программного обеспечения и средств защиты информации
Аналогичные требования содержатся практически во всех международных стандартах и рекомендациях.
Например, в Приложении А стандарта ISO 27001 и в стандарте PCI DSS содержатся требования по инвентаризации, управлению уязвимостями и контролю соответствия.
Более того в рекомендациях международного центра по информационной безопасности CIS Critical Security Controls, данные требования включены в ТОП 5, требований внедрением которых организациям стоит заняться в первую очередь при обеспечении информационной безопасности.
Причем тоже самое можно сказать не только в отношении требований по контролю защищенности. Все 74 требования Приказа ОАЦ могут быть сопоставлены с аналогичными требованиями международных стандартов.
И занимаясь реализацией системы защиты информации вы в тоже самое время внедряете лучшие мировые практики в области обеспечения информационной безопасности.
Каким образом можно выполнить требования по контролю защищенности?
Варианты реализации могут быть разными, выбор остается за вами как за разработчиком системы защиты информации.
Самый простой способ – использование специальных сканеров уязвимостей, контроля соответствия – в нашем случае сертифицированных средств контроля защищенности.
Еще одним вариантом может быть использование орг. Мер. – т.е. мы в ЛНПА организации определяем процедуры по контролю защищенности и распределяем ответственность за их выполнение, и конечно выполняем, и контролируем.
Если с этими вариантами все понятно, то с оставшимися двумя следует разобраться детальнее.
И прежде чем это сделать давайте обратимся к истории рынка средств защиты информации и проведем небольшой тест с вручением приза.
Тест на знание рынка средств контроля защищенности РП.
На хаотически расположены прямоугольники с числами (с фиолетовой заливкой) и с буквами (без заливки),
необходимо сопоставить прямоугольники с заливкой с прямоугольниками без заливки. Первый давший правильный ответ получит приз.
В 2010 году на рынке появился первый сканер, прошедший гос. экспертизу.
Прошло два года на рынке все тот же сканер только в обновленной версии.
В 2014 году закончился срок действия экспертного заключения и вступил в силу Тех регламент ТР 2013/027/BY.
И до 2016 года на рынке отсутствовали средства контроля защищенности.
Сейчас на рынке присутствуют 2 средства, представленные на слайде.
Разработчики и поставщики средств контроля защищенности не спешат выводить новые средства на рынок.
Что же делать организациям, которые по каким-либо причинам не могут использовать представленные средства:
Можно ли использовать для контроля защищенности облачные услуги или бесплатное ПО с открытым исходным кодом?
Можно ли использовать и то и другое для контроля защищенности ИС обрабатывающих информацию ограниченного распространения?
Однозначного ответа при таких исходных данных дать невозможно. Все зависит от конкретных условий, решаемых задач и способов решения.
В поисках ответа мы в первую очередь обращаемся к требованиям НПА РБ в области защиты информации.
В перечисленных на слайде источниках можно найти требования к использованию средств защиты информации.
Так в указе Президента и приказе ОАЦ содержатся требования использовать средства защиты, имеющие сертификат соответствия или положительное заключение по результатам гос. экспертизы, при осуществлении технической защиты информации.
В законе РБ «Об информации, информатизации и защите информации» такие средства защиты информации используются для создания системы защиты информации
В тех регламенте ТР 2013/027/BY установлено, что средства защиты перед выпуском в обращение подлежат подтверждению соответствия требованиям тех регламента.
Причем если средства будут использоваться для создания СЗИ ИС, обрабатывающих информацию ограниченного распространения, то подтверждение соответствия проводится путем сертификации.
Проведя анализ требований нашего законодательства в области защиты информации можно сделать вывод,
Что запрета использовать услуги для контроля защищенности инфосистем (в том числе и облачные) в законодательстве – нет.
Также в настоящий момент данный вид деятельности не является лицензируемым.
Важную роль в таком случае играют отношения с вашим поставщиком услуг, и контролируемое взаимодействия между вами.
Что же можно сказать в отношении использования бесплатного ПО с открытым исходным кодом.
В данном случае это уже не услуга, а ПО которое при определенных условиях может быть отнесено к средствам контроля защищенности.
И если вы хотите его включить в перечень средств защиты на этапе проектирования / создания СЗИ, вам необходимо будет пройти процедуру подтверждения соответствия данного средства.
В дополнение я хочу предложить вам рассмотреть возможность разделения расходов на проведение сертификации между организациями, например, одной отрасли.
Такой подход возможен не только в отношении средств контроля защищенности, но и в отношении других средств, которые в настоящий момент уже используются в инфраструктуре организаций (например, такие как OSSEC, Snort, Suricata, ELSA). И если сопоставить расходы на сертификацию с расходами на переход к использованию других средств, вариант сертификации будет не таким уж и непривлекательным.
В дополнении к докладу вам будут предоставлены для скачивания подробные материалы с рекомендациями по:
реализации требований контроля защищенности,
использованию open-source ПО.
В заключение хочу еще раз сказать, что использовать в нашей стране облачные сервисы по контролю защищенности и open-source ПО, можно, важно при этом учитывать особенности реализации для вашей конкретной системы и все требования законодательства в области защиты информации.