Практика ИБ \ Скрытые затраты на проекты по информационной безопасности

Еще одна полезная заметка из блога Lenny Zeltser'а. 

Все мы периодически реализуем различные проекты в области информационной безопасности, планируем бюджеты, защищаем их перед руководством... Но даже в случае утверждения бюджета в достаточном объеме не редко возникают ситуации, когда денег все равно на что-то не хватает, когда неожиданно возникает необходимость в существенных дополнительных трудозатратах, которые изначально не планировались и на которые нет ресурсов. Иногда это приводит к невозможности завершения проекта или к сдвигу сроков его реализации. Почему так происходит? Дело в том, что часто при планировании проекта учитываются только явные денежные и трудовые затраты, а неявные, косвенные затраты, либо вообще не учитываются, либо недооцениваются. К тому же люди склонны выдавать желаемое за действительное и обманывать себя при оценке рисков проекта, считая, что проект непременно пройдет гладко. К сожалению, большинство проектов сталкивается с теми или иными проблемами, а неявные затраты порой существенно превышают явные.

Правильно оценить объем финансовых и трудовых затрат проекта поможет методика определения Совокупной стоимости владения (TCO - Total Cost of Ownership). К тому же эта методика поможет сделать правильный выбор решения или поставщика, учитывая при этом не только единовременные затраты, но и затраты на последующее содержание и управление купленным продуктом или сервисом.

Проект закона об электронной подписи прошел третье чтение

В пятницу проект закона "Об электронной подписи" успешно прошел третье чтение. Как и ожидалось, никаких существенных изменений в тексте для третьего чтения (по сравнению с текстом второго чтения) не произошло - все изменения чисто "косметические" и смысла не меняют. Поэтому подготовленный ранее обзор и графическая версия закона не потеряли своей актуальности.

Но есть и одно очень интересное исключение из сказанного выше. В тексте третьего чтения в п.4 ст.12 была исправлена явная ошибка, на которую я указывал в своем обзоре... Однако исправленный текст вызывает дополнительные вопросы. Взгляните:

Текст в редакции второго чтения:

Средства ЭП, предназначенные для создания ЭП в ЭД, содержащих информацию ограниченного доступа (в том числе ПДн), должны обеспечивать конфиденциальность такой информации.

Безусловно, даже элементарных познаний в криптографии достаточно, чтобы заметить эту ошибку. ЭП (усиленная) может обеспечить целостность информации, аутентификацию подписавшего ее лица и неотказуемость, но никак не конфиденциальность. Для обеспечения конфиденциальности требуется шифрование.

Текст в редакции третьего чтения:

Средства ЭП, предназначенные для создания ЭП в ЭД, содержащих информацию ограниченного доступа (в том числе ПДн), не должны нарушать конфиденциальность такой информации.

Теперь, конечно, текст не противоречит здравому смыслу. Но вот что хотел сказать автор этого изменения? Средство ЭП может нарушить конфиденциальность информации из-за программных ошибок и недекларированных возможностей. Также причиной нарушения конфиденциальности могут стать ошибки при организации процесса использования (и встраивания) самого средства ЭП, но тут (вроде бы) речь идет исключительно о самом средстве ЭП. Возникает очень интересный вопрос - а как подтвердить, что используемое средство ЭП конфиденциальность подписываемого документа нарушить не может? Уж не сертификацией ли на отсутствие НДВ?! Причем тут нет деления по видам ЭП - это относится ко всем видам ЭП, включая простую ЭП. Похоже, это еще один пункт, трактовка которого будет зависеть от конкретных проверяющих... :-(

ISSP \ Домен 09. Безопасность приложений. Часть 8

В этой части рассмотрены следующие вопросы:

• Безопасность веб-приложений
• Вандализм
• Финансовое мошенничество
• Привилегированный доступ
• Кража информации о транзакциях
• Кража интеллектуальной собственности
• Атаки «отказ в обслуживании»
• Организация процесса обеспечения качества
• Межсетевые экраны для веб-приложений
• Системы предотвращения вторжений
• Реализация SYN-прокси на межсетевом экране
• Специфические угрозы веб-среде
• Сбор информации
• Административные интерфейсы
• Аутентификация и управление доступом
• Управление конфигурациями
• Проверка входных данных
• Провека параметров
• Управление сеансами

Практика ИБ \ Процедуры анализа журналов регистрации событий в соответствии с PCI DSS. Часть 3

Продолжение Руководства по организации процедур анализа журналов регистрации событий в соответствии с требованиями PCI DSS. (Первые две части - здесь и здесь). Третья часть посвящена доказательствам выполнения процедур анализа журналов регистрации событий.

Во третьей части рассмотрены следующие вопросы:

• Подтверждение проведения анализа журналов регистрации событий
• Доказательство журналирования событий
• Доказательство выполнения анализа журналов регистрации событий
• Доказательство выполнения обработки необычных событий
• Журнал регистрации расследованных необычных событий
• Рекомендуемый формат журнала регистрации расследованных необычных событий
• Пакет доказательств соответствия требованиям PCI DSS
• Отчеты для руководства
• Периодические оперативные задачи
• Ежедневные задачи
• Еженедельные задачи
• Ежемесячные задачи
• Ежеквартальные задачи
• Ежегодные задачи

Практика ИБ \ Процедуры анализа журналов регистрации событий в соответствии с PCI DSS. Часть 2

Продолжение Руководства по организации процедур анализа журналов регистрации событий в соответствии с требованиями PCI DSS. (Первая часть - здесь). Вторая часть посвящена собственно процедурам анализа журналов регистрации событий и расследования необычных событий.

Во второй части рассмотрены следующие вопросы:

• Политика ведения журналов регистрации событий
• Рабочий процесс анализа журналов регистрации событий
• Процедура анализа журналов регистрации событий
• Подготовка к анализу журналов регистрации событий
• Выделение типов событий из журналов регистрации событий
• Создание первоначального профиля «нормальной» деятельности с использованием автоматизированных средств
• Создание первоначального профиля «нормальной» деятельности вручную
• Руководство по выявлению «заведомо плохих событий»
• Ежедневный анализ журналов регистрации событий
• Частота периодического анализа журналов регистрации событий
• Процедура анализа журналов регистрации событий
• Процедура расследования и анализа необычных событий
• Первичное расследование
• Внешние источники информации для расследования
• Эскалация расследования и проведение совместного анализа

Практика ИБ \ Процедуры анализа журналов регистрации событий в соответствии с PCI DSS. Часть 1

Антон Чувакин опубликовал в своем блоге практическое Руководство по организации процедур анализа журналов регистрации событий в соответствии с требованиями PCI DSS. Руководство достаточно универсально и может использоваться в качестве основы при организации анализа событий в рамках любых других требований, в том числе СТО БР ИББС-1.0, РС БР ИББС-2.3, ISO 27002, CobiT, либо просто в рамках реализации программы обеспечения безопасности компании без каких-либо внешних требований.

При переводе руководство было мной немного актуализировано и приведено в соответствие с требованиями новой версии PCI DSS 2.0. Руководство состоит из трех основных частей:

1. Описание требований PCI DSS в части журналирования событий, 
2. Описание процедур анализа журналов регистрации событий,
3. Описание доказательств, которые потребуются для подтверждения соответствия требованиям PCI DSS в части журналирования событий.

В первой части рассмотрены следующие вопросы:

• Цели создания Руководства
• Начальные требования и предположения
• Вопросы, которые не вошли в Руководство
• Роли и обязанности
• Требования PCI DSS в части журналирования событий
• Требования раздела 10 PCI DSS
• Другие требования, связанные с журналами регистрации событий

Портфель CISO \ Проведение презентаций. Часть 2

Доделал вторую часть статьи по проведению презентаций. Она является логическим продолжением первой части, в которой был описан процесс подготовки презентации, и посвящена непосредственно выступлению перед аудиторией.

ISSP \ Домен 09. Безопасность приложений. Часть 7

В этой части рассмотрены следующие вопросы:

• Распределенные вычисления
• CORBA и ORB
• COM и DCOM
• EJB
• OLE
• Распределенная вычислительная среда
• Экспертные системы
• Искусственные нейронные сети

В двух словах \ Проект закона об электронной подписи

Как все уже наверное знают, 25 февраля 2011 года во втором чтении был принят проект федерального закона "Об электронной подписи", который должен заменить ФЗ "Об ЭЦП". До принятия закона осталось несколько шагов, на которых существенных изменений обычно уже не вносится. Посмотрим, что ждет нас в ближайшем будущем.

Терминология \ Глоссарий терминов по информационной безопасности

NIST выпустил недавно очень полезный документ: NIST IR 7298 Rev.1 "Glossary of Key Information Security Terms" - Глоссарий ключевых терминов по информационной безопасности.

В глоссарий вошли термины из федеральных стандартов обработки информации (NIST Federal Information Processing Standards, FIPS), специальных публикаций NIST серии 800, межведомственных отчетов NIST (NIST Interagency Report, NISTIR), и из Инструкции 4009 Комитета по информационным системам, связанным с обеспечением национальной безопасности (Committee for National Security Systems, CNSSI).