tag:blogger.com,1999:blog-24965072445152153772024-03-13T03:22:15.002-07:00Защищаемся вместе и по отдельностиБезопасность для бизнесаА.С. Макаренкоhttp://www.blogger.com/profile/03988045552836095015noreply@blogger.comBlogger16125tag:blogger.com,1999:blog-2496507244515215377.post-60032638162457778952012-06-27T06:41:00.001-07:002012-06-27T10:10:33.038-07:00Как я учился на MBA – записка после учебы.<div dir="ltr" style="text-align: left;" trbidi="on">
<br />
<div align="center" class="MsoNormal" style="text-align: center;">
<b><br /></b></div>
<div class="MsoNormal" style="text-align: justify; text-indent: 35.4pt;">
Вспоминая
далекий 2010 год, а именно тогда я поступил на учебу в АНХ по программе <span lang="EN-US">MBA</span>, хочется рассказать о тяжком
бремени выбора учебного заведения. (Реклама отсутствует). Обложившись
рейтингами школ <span lang="EN-US">MBA</span>, я
начал искать информацию по специализациям, которым обучают этих учебных
заведениях. Меня в большей степени, интересовали информационные технологии, так
как именно им, последние 10 лет я уделял большое внимание. Не спал по ночам,
поднимая упавший почтовый сервер, переходил с одной версии операционной системы
<span lang="EN-US">Windows</span><span lang="EN-US"> </span>на другую (и конца края не видно таким переходам), решал
какие-то сложные, управленческие задачи ну и т.д.</div>
<a name='more'></a>Так вот, перед моими глазами
стоял список ВУЗ-ов в количестве 20 штук, их положение по рейтингу и т.д. Но рейтинги
дело субъективное, и как правило, заказное, так что надо было как-то прощупать
почву. Ну что ж, сказано сделано, поисковые системы в помощь, и конечно же
торренты. Куда мы без них. Накачал я
порядка 150Гб, текстов, слайдов, видео и начал всё это дело изучать. Процесс
изучения я оставлю в стороне… После изучения и отбора в моём списке значилось
целых два ВУЗ-а: АНХ и МГУ. В конце концов, победила АНХ и то случайно, так как
я наткнулся в интернете на отзыв одного из слушателей, где он рассказывал, о
том, что большинство преподавателей – практики в своей области. Вот таким
образом весы склонились в сторону АНХ. Подготовка документов заняла не много
времени, и вот я уже в Москве, на пробном уроке. Встретила меня Соколова Т.Е.,
очень милый, добрый и душевный человек. И как показала практика, просто хороший
человек, который любит, и заботиться о своих детях. А дети это мы – выпускники школы
ИТ Менеджмента.<o:p></o:p><br />
<div class="MsoNormal" style="text-align: justify; text-indent: 35.4pt;">
И вот началась
первая сессия. Группа у нас подобралась просто потрясающая, дружная. Мы сразу
уловили общий настрой на работу, и вот уже в пивной 01 звучит наше мощное,
троекратное «Ура, Ура, Ура»… Ух, аж мурашки бегут по спине от воспоминаний. В первую сессию Скрипка О.С. показывала нам, как правильно себя
презентовать, как воздействовать и управлять публикой во время выступлений, а Чернов рассказывал об управлении проектами. Хочется
отметить высокий профессионализм данного человека. Его презентации всегда были
для нас актуальными и познавательными, а умению держать публику постоянно в
интересе, он видно обучился у Скрипки
О.С. <o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify; text-indent: 35.4pt;">
На второй
сессии нам открылся предмет «Организационная структура и модели
организационного поведения», его читала Кочеткова А.И. Её слово «маракуя»,
вошло в лексикон нашей группы быстро и навсегда <span style="font-family: Wingdings;">J</span>. А её кейсы, уже нашли достойное применение в
моей практике. Еще одно неизгладимое впечатление произвел И.Г. Альтшулер и
его фетиш – колокольчик. Мастер переговоров и
презентационных навыков, его лекции всегда проходили познавательно и красиво. <o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify; text-indent: 35.4pt;">
В этой период
времени, мы открыли способ индикации хорошего преподавателя, если в скайпе,
группа молчит, то лекция идет успешна и преподаватель хорошо знает материал и
умеет его презентовать нам, если обратно то…. догадывайтесь сами <span style="font-family: Wingdings;">J</span> Ну и конечно же,
вторую сессию мы не могли не отметиться в нашей пивной 01. <span style="font-family: Wingdings;">J</span><o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify; text-indent: 35.4pt;">
Время шло, и
наступил экватор обучения. К преподавателям мы привыкли, поэтому учеба шла
быстро и продуктивно. Кейсы сменяли кейсы, игры на логику и сообразительность сменяли
игры на умение в короткий срок находить правильные
решения. А под конец сессии нас ждала
деловая игры по организации ИТ стратегии компании. Особенно хочу отметить,
качество проводимых игр, все преподаватели давали кейсы из реальных ситуаций,
не выдуманных, а имевших быть в их практике. Это очень сильно увлекало, и порой
наша группа, находило достаточно неожиданные решения. А почему и нет? Ведь у
нас в группе были… Да собственно почему были? Они и сейчас у нас есть – мужчины
с хорошим чувством юмора, нестандартным мышлением и просто хорошими коллегами. <o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify; text-indent: 35.4pt;">
Ребята,
респект Вам, за то, что были со мной в этой период моей жизни. Я как будто
снова окунулся в замечательные студенческие годы, и когда меня спросят: «Зачем
ты идешь учиться?», я отвечу «Что бы снова испытать эти чувства и эмоции, и
пережить одни из самых незабываемых моментов в своей жизни».<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify; text-indent: 35.4pt;">
На четвертую
сессию мы приехали, зная, что у нас
будет Алешин В.Д. Вы просто не
представляете, что было на его занятиях…. Я не буду тут это описывать, это надо
испытать на себе. Заинтриговал? Хотите испытать
это на себе? Добро пожаловать в наши ряды, в ряды <span lang="EN-US">MBA</span><span lang="EN-US"> </span><span lang="EN-US">CIO</span>.<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify; text-indent: 35.4pt;">
Пятая сессия
прошла под знаком информационной безопасности. Нам рассказывали о нормативных
документах, о правилах построения системы информационной безопасности. Отдельно
хочу сказать спасибо Котухову М.М. за то, что подтолкнул меня в нужном
направлении. <o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify; text-indent: 35.4pt;">
И всё… Конец..
Шестая сессия защита диплома… Море выпитого коньяка, большого человеческого
счастья и немного разочарования. Большое
спасибо комиссии, что слушали наши проекты, за разумный и своевременный
комментарий, за терпение, проявленное во время защиты дипломов. <o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify; text-indent: 35.4pt;">
<span lang="EN-US">P</span>.<span lang="EN-US">S</span>. Отдельно хочется упомянуть о нашей «сестре» -
Рабинович Марине «Рабинович». По понятным
причинам, нам нельзя разглашать ее отчество, что бы вражеские шпиЁны ее не
украли. Марина, большое тебе спасибо, за время, которые ты была с нами! За
помощь, которую нам оказывала! За твоё понимание и уважение! Любим, целуем!!!<o:p></o:p></div>
</div>А.С. Макаренкоhttp://www.blogger.com/profile/03988045552836095015noreply@blogger.com0tag:blogger.com,1999:blog-2496507244515215377.post-72825568619162362682012-06-27T00:53:00.002-07:002012-06-27T00:53:28.290-07:00Управление рисками<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: left;">
</div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.45pt;">
Теория управления рисками рассматривает риск с позиции негативных
отклонений фактических результатов деятельности от запланированных, также и со
стороны возможных негативных последствий. В том случае, если инцидент приводит
к негативным последствиям, управление рисками направлено на гарантированное
уменьшение нежелательного последствия. Если же рисковое событие приводит к
позитивным последствиям, инструментарий управления рисками позволяет управлять потенциальной
выгодой, возникающей в результате рисковой ситуации.</div>
<a name='more'></a><o:p></o:p><div style="text-align: left;">
</div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.45pt;">
В большинстве своем, дается такое определение риску: «Риск это сочетание вероятности события и его
последствий». NIST SP 800-30, дает нам следующую формулу определения риска Риск=R(P(T,V),I)<o:p></o:p></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 18pt;">
Где, (R) – функция вероятности (P) реализации
отдельным источником угрозы (T) отдельной
потенциальной уязвимости (V) и результирующего влияния
(I) этого враждебного события на организацию или индивида. Система
управления рисками (Рис. 10) направлена на достижение сбалансированности между
увеличением прибыли и сокращением убытков. <o:p></o:p></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 18pt;">
Данная система должна являться неотъемлемой частью всей системы
взаимодействия бизнеса и информационной безопасности. Систему управления
рисками стоит рассматривать как отдельный бизнес процесс, который входит домен Экономики и служит для достижения
определенных финансовых показателей.<o:p></o:p></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify;">
<v:shape id="Рисунок_x0020_20" o:spid="_x0000_i1027" style="height: 196.2pt; visibility: visible; width: 466.8pt;" type="#_x0000_t75">
<v:imagedata o:title="" src="file:///C:\Users\mas\AppData\Local\Temp\msohtmlclip1\01\clip_image002.png">
</v:imagedata></v:shape><o:p></o:p></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify;">
<b><span style="font-size: 11.0pt; line-height: 150%;">Рис. 1 – Система управления рисками</span></b><b><span lang="EN-US" style="font-size: 11.0pt; line-height: 150%; mso-ansi-language: EN-US;"><o:p></o:p></span></b></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhDGZBIYwW5OXyxHPReqs0r1sp34cmICpb5pqFyKWOTSDeKWh4IQMX5KWD3p0qaBKKYMMXmKwYgRDjuYULnbCRk_UTU0JTpkH4AEwKMHywuzScukeCn0WaDIE5vMFjKXVyv52p7xD9k6Sc/s1600/risk.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="267" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhDGZBIYwW5OXyxHPReqs0r1sp34cmICpb5pqFyKWOTSDeKWh4IQMX5KWD3p0qaBKKYMMXmKwYgRDjuYULnbCRk_UTU0JTpkH4AEwKMHywuzScukeCn0WaDIE5vMFjKXVyv52p7xD9k6Sc/s640/risk.jpg" width="640" /></a></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify;">
<br /></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 18pt;">
<b>Определение контекста риска.<o:p></o:p></b></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.45pt;">
Определение контекста риска является подготовительным этапам, который в
большинстве своём является ознакомительным по отношению к объекту исследования.
На этом этапе происходит знакомство с первыми лицами, с целями и задачами
компании и способами их реализации. Осуществляется анализ элементов системы и
их взаимосвязей, утверждается программа оценки риска, критерии рисков, а также
ставятся цели оценки рисков. На этом этапе происходит знакомство с
исполнительной документацией по защите информации, проверяется выполнение
процедур по защите информации. <o:p></o:p></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 18pt;">
<b>Оценка риска.<o:p></o:p></b></div>
<div class="MsoNormal" style="line-height: 150%; margin-left: 18pt; text-align: justify;">
Оценка риска – это процесс,
который включает в себя:<o:p></o:p></div>
<div class="MsoListParagraphCxSpFirst" style="line-height: 150%; margin-left: 2cm; text-align: justify; text-indent: -21.25pt;">
<!--[if !supportLists]--><span style="font-size: 12.0pt; line-height: 150%;">a.<span style="font-size: 7pt; line-height: normal;">
</span></span><!--[endif]--><span style="font-size: 12.0pt; line-height: 150%;">Идентификацию
рисков;<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpMiddle" style="line-height: 150%; margin-left: 2cm; text-align: justify; text-indent: -21.25pt;">
<!--[if !supportLists]--><span style="font-size: 12.0pt; line-height: 150%;">b.<span style="font-size: 7pt; line-height: normal;"> </span></span><!--[endif]--><span style="font-size: 12.0pt; line-height: 150%;">Анализ рисков;<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpLast" style="line-height: 150%; margin-left: 2cm; text-align: justify; text-indent: -21.25pt;">
<!--[if !supportLists]--><span style="font-size: 12.0pt; line-height: 150%;">c.<span style="font-size: 7pt; line-height: normal;">
</span></span><!--[endif]--><span style="font-size: 12.0pt; line-height: 150%;">Оценку
рисков.<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">
Оценку риска можно проводить на всех уровнях информационного
взаимодействия. Хорошая оценка риска должна производиться
внутренними объектами, участвующими в деятельности, субъектами, и внешними
объектами. Оценка риска, дает
представление о причинах возникновения, среде возникновения риска, а также
позволяет принимать решения касающихся:<o:p></o:p></div>
<div class="MsoListParagraphCxSpFirst" style="line-height: 150%; margin-left: 2cm; text-align: justify; text-indent: -21.25pt;">
<!--[if !supportLists]--><span style="font-size: 12.0pt; line-height: 150%;">1.<span style="font-size: 7pt; line-height: normal;"> </span></span><!--[endif]--><span style="font-size: 12.0pt; line-height: 150%;">Необходимости обработки рисков;<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpMiddle" style="line-height: 150%; margin-left: 2cm; text-align: justify; text-indent: -21.25pt;">
<!--[if !supportLists]--><span style="font-size: 12.0pt; line-height: 150%;">2.<span style="font-size: 7pt; line-height: normal;"> </span></span><!--[endif]--><span style="font-size: 12.0pt; line-height: 150%;">Выбора приоритетных вариантов при
обработке рисков;<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpLast" style="line-height: 150%; margin-left: 2cm; text-align: justify; text-indent: -21.25pt;">
<!--[if !supportLists]--><span style="font-size: 12.0pt; line-height: 150%;">3.<span style="font-size: 7pt; line-height: normal;"> </span></span><!--[endif]--><span style="font-size: 12.0pt; line-height: 150%;">Выбора пути, при котором достигается
приемлемые финансовые затраты.<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">
Оценка риска должна проводиться объективно с учётом всех факторов
влияющих на систему. Оценка риска должна отображать действительное положение
вещей.<o:p></o:p></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">
<b>Идентификация риска.<o:p></o:p></b></div>
<div class="MsoListParagraphCxSpFirst" style="line-height: 150%; margin-left: 0cm; text-align: justify;">
<span style="font-size: 12.0pt; line-height: 150%;">При идентификации риска основными задачи процесса являются:<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpMiddle" style="line-height: 150%; margin-left: 2cm; text-align: justify; text-indent: -14.15pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; font-size: 12.0pt; line-height: 150%; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: 'Times New Roman'; font-size: 7pt; line-height: normal;"> </span></span><!--[endif]--><span style="font-size: 12.0pt; line-height: 150%;">Выявление риска;<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpMiddle" style="line-height: 150%; margin-left: 2cm; text-align: justify; text-indent: -14.15pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; font-size: 12.0pt; line-height: 150%; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: 'Times New Roman'; font-size: 7pt; line-height: normal;"> </span></span><!--[endif]--><span style="font-size: 12.0pt; line-height: 150%;">Исследование риска;<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpLast" style="line-height: 150%; margin-left: 2cm; text-align: justify; text-indent: -14.15pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; font-size: 12.0pt; line-height: 150%; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: 'Times New Roman'; font-size: 7pt; line-height: normal;"> </span></span><!--[endif]--><span style="font-size: 12.0pt; line-height: 150%;">Описание риска<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">
Процесс идентификации риска должен выявлять причины и источники рисков, а
также обнаруживать зависимость от внешних факторов, которые могут воздействовать
на риск и изменять его. Для полноты и точности определения рисков могут
использоваться различные методики, основанные на анализе данных опросных
листов, индуктивных методах исследования, применение «мозговых атак». Анализ сильных и слабых сторон методик можно
найти в белорусском стандарте СТБ <span lang="EN-US">ISO</span>/<span lang="EN-US">IEC</span>
31010 «Менеджмент риска. Методики оценки риска». Каждая организация для самой
себя определяет методики, лучше будет, если это методика будет не одна.
Объектом исследования может быть отдельный человек, так и группа людей
представляющий интерес для экспертов. Важно учитывать все риски, даже те,
которые не попадают под контроль субъекта. <o:p></o:p></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">
Каждая компания обладает некоторыми активами. На
этапе идентификации риска необходимо идентифицировать активы с достаточным
уровнем детализации. Когда активы будут идентифицированы, этим активам
необходимо присвоить класс ценности для субъекта, это позволит провести
классификацию активов по их значимости для субъекта. В качестве примера можно использовать РС БР
ИББС-2.2-2009. Методика оценки рисков нарушения информационной безопасности.<o:p></o:p></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">
Так как в большинстве своем, угрозы информационной безопасности возникают
путем нарушения правил использования программных продуктов или технических
средств то основными активами для изучения будут: локально вычислительная сеть,
компьютеры, программное обеспечение и базы данных, а также каналы связи. <o:p></o:p></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">
Далее необходимо определить угрозы. Угрозы достаточно в большом
количестве присутствуют в различных справочниках и стандартах. Их можно брать
оттуда или составлять свой собственный реестр угроз. На этом этапе необходимо
сопоставить угрозы, которые присутствуют в «модели угроз». В случае
возникновения коллизий, необходимо принять те угрозы, которые определяются в процессе
анализа риска. Так как в этом процессе идет более масштабное рассмотрение
зависимостей между всеми элементами системы. <o:p></o:p></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">
Когда определены угрозы, необходимо найти уязвимости. Для анализа
уязвимостей в информационных системах используются программно-технические
средства. Уязвимости могут использоваться не только нарушителями, но и
сотрудниками компаний, которые по незнанию своему захотят её использовать. <o:p></o:p></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">
На последнем этапе идентификации риска происходит его количественная или
качественная оценка. Хорошей практикой является, когда на первом этапе
используется качественная оценка, а на втором этапе количественная. <o:p></o:p></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">
<b>Анализ рисков<o:p></o:p></b></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">
Основной целью этого процесса является достижение такого понимания риска,
при котором принятые решения об обработке риска, способствуют минимизации
финансовых затрат. Анализ риска
определяет последствия, вероятность возникновения риска и воздействующих
факторов, уровень риска.<o:p></o:p></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify;">
На мой взгляд,
достаточно определить 4 уровня риска:<o:p></o:p></div>
<div class="MsoListParagraph" style="line-height: 150%; margin-left: 2cm; text-align: justify; text-indent: -21.25pt;">
<!--[if !supportLists]--><span style="font-size: 12.0pt; line-height: 150%;">1.<span style="font-size: 7pt; line-height: normal;"> </span></span><span style="font-size: 12.0pt; line-height: 150%;">Высокий
риск. Предполагается, что без снижения таких рисков использование
информационной системы предприятия может оказать отрицательное влияние на
бизнес. <o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; margin-left: 2cm; text-align: left; text-indent: -21.25pt;">
<!--[if !supportLists]-->2.<span style="font-size: 7pt; line-height: normal;"> </span><!--[endif]-->Существенный
риск. Здесь требуется эффективная стратегия управления рисками, которая
позволит уменьшить или полностью исключить отрицательные последствия нападения.
<o:p></o:p></div>
<div class="MsoNormal" style="line-height: 150%; margin-left: 2cm; text-align: left; text-indent: -21.25pt;">
<!--[if !supportLists]-->3.<span style="font-size: 7pt; line-height: normal;"> </span><!--[endif]-->Умеренный
риск. В отношении рисков, попавших в эту область, достаточно использовать
некоторые основных процедур управления рисками.<o:p></o:p></div>
<div class="MsoNormal" style="line-height: 150%; margin-left: 2cm; text-align: left; text-indent: -21.25pt;">
<!--[if !supportLists]-->4.<span style="font-size: 7pt; line-height: normal;">
</span><!--[endif]-->Незначительный риск. Усилия по управлению рисками в
данном случае не будут играть важной роли.<o:p></o:p></div>
<div class="MsoListParagraph" style="line-height: 150%; margin-left: 0cm; text-align: justify; text-indent: 35.4pt;">
<span style="font-size: 12.0pt; line-height: 150%;">Не надо забыть о том, что чем больше делать уровней, тем
сложней будет происходить процесс анализа риска. Анализ риска обычно включает количественную
оценку ряда возможных последствий, которые могут возникать в результате события,
ситуации или обстоятельства, и связанных с ними вероятностей для того, чтобы была
возможность измерить уровень риска. В последнее время, большое распространение
получили табличные методы анализа риска. <o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">
<b>Оценка риска. <o:p></o:p></b></div>
<div class="MsoListParagraphCxSpFirst" style="line-height: 150%; margin-left: 0cm; text-align: justify; text-indent: 35.4pt;">
<span style="font-size: 12.0pt; line-height: 150%;">Оценивание риска включает
в себя сравнение оцененных уровней риска
с критериями риска, определенными при установлении контекста, с целью определения
значительности уровня риска и его типа. При оценивании рисков рекомендуется рассматривать
следующие аспекты:<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpMiddle" style="line-height: 150%; margin-left: 2cm; text-align: left; text-indent: -21.25pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; font-size: 12.0pt; line-height: 150%; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: 'Times New Roman'; font-size: 7pt; line-height: normal;">
</span></span><!--[endif]--><span style="font-size: 12.0pt; line-height: 150%;">шкалы
и критерии, по которым можно измерять риски;<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpMiddle" style="line-height: 150%; margin-left: 2cm; text-align: left; text-indent: -21.25pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; font-size: 12.0pt; line-height: 150%; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: 'Times New Roman'; font-size: 7pt; line-height: normal;">
</span></span><!--[endif]--><span style="font-size: 12.0pt; line-height: 150%;">оценку
вероятностей событий;<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpLast" style="line-height: 150%; margin-left: 2cm; text-align: left; text-indent: -21.25pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; font-size: 12.0pt; line-height: 150%; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: 'Times New Roman'; font-size: 7pt; line-height: normal;">
</span></span><!--[endif]--><span style="font-size: 12.0pt; line-height: 150%;">технологии
измерения рисков. <o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; text-align: left; text-indent: 35.45pt;">
Процесс оценки риска должен быть качественно задокументирован, риски
должны быть выражены в простых для понимания терминах. Документация должна
включать:<o:p></o:p></div>
<div class="MsoListParagraphCxSpFirst" style="line-height: 150%; margin-left: 2cm; text-align: left; text-indent: -21.25pt;">
<span style="font-size: 12.0pt; line-height: 150%;">цели
и область применения;</span></div>
<div class="MsoListParagraphCxSpFirst" style="line-height: 150%; margin-left: 2cm; text-align: left; text-indent: -21.25pt;">
<span style="background-color: white; font-size: 12pt; line-height: 150%; text-indent: -21.25pt;">описание
соответствующих частей системы и её функций;</span></div>
<div class="MsoListParagraphCxSpFirst" style="line-height: 150%; margin-left: 2cm; text-align: left; text-indent: -21.25pt;">
<span style="background-color: white; font-size: 12pt; line-height: 150%; text-indent: -21.25pt;">ситуацией,
системой или обстоятельствами;</span></div>
<div class="MsoListParagraphCxSpFirst" style="line-height: 150%; margin-left: 2cm; text-align: left; text-indent: -21.25pt;">
<span style="background-color: white; font-family: Symbol; font-size: 12pt; line-height: 150%; text-indent: -21.25pt;"><span style="font-family: 'Times New Roman'; font-size: 7pt; line-height: normal;"> </span></span><span style="background-color: white; font-size: 12pt; line-height: 150%; text-indent: -21.25pt;">применяемые
критерии риска и их обоснование;</span></div>
<div class="MsoListParagraphCxSpFirst" style="line-height: 150%; margin-left: 2cm; text-align: left; text-indent: -21.25pt;">
<span style="background-color: white; font-size: 12pt; line-height: 150%; text-indent: -21.25pt;">методологию
оценки;</span></div>
<div class="MsoListParagraphCxSpFirst" style="line-height: 150%; margin-left: 2cm; text-align: left; text-indent: -21.25pt;">
<span style="background-color: white; font-family: Symbol; font-size: 12pt; line-height: 150%; text-indent: -21.25pt;"><span style="font-family: 'Times New Roman'; font-size: 7pt; line-height: normal;"> </span></span><span style="background-color: white; font-size: 12pt; line-height: 150%; text-indent: -21.25pt;">результаты
идентификации риска;</span></div>
<div class="MsoListParagraphCxSpFirst" style="line-height: 150%; margin-left: 2cm; text-align: left; text-indent: -21.25pt;">
<span style="background-color: white; font-size: 12pt; line-height: 150%; text-indent: -21.25pt;">результаты
анализа риска и их оценивание;</span></div>
<div class="MsoListParagraphCxSpMiddle" style="line-height: 150%; margin-left: 2cm; text-align: left; text-indent: -21.25pt;">
<span style="font-size: 12.0pt; line-height: 150%;">обсуждение
результатов;<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpMiddle" style="line-height: 150%; margin-left: 2cm; text-align: left; text-indent: -21.25pt;">
<span style="font-size: 12.0pt; line-height: 150%;">заключения
и рекомендации. <o:p></o:p></span></div>
<div class="MsoListParagraphCxSpLast" style="line-height: 150%; text-align: justify;">
<b><span style="font-size: 12.0pt; line-height: 150%;">Реализация рискового решения<o:p></o:p></span></b></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 18pt;">
При реализации риска, необходимо правильно сформировать контрмеры для
достижения приемлемого уровня риска. Контрмеры можно взять из серии 27000. Там
достаточно полно представлен процесс построения системы защиты информации,
однако иногда требуются и дополнительные меры, не описанные в стандарте. К
таким мерам, относится защита от утечки по вибро-акустическим каналам, каналам
ПЭМИН и т.д. Изучение риска это последний шаг к проектированию системы защиты.
При проектировании системы следует учитывать статьи бюджета на информационно
безопасность, квалификацию сотрудников. В проекте должны быть указаны сроки
тестирования каждого элемента защиты. Следует проверить, что средство защиты, обеспечивает
достаточный уровень защиты, не открывает дополнительный канал утечки
информации, но и то, что средство защиты не увеличивает риск неправильного
функционирования информационный системы из-за конфликта с другими средствами
защиты. Использование двух МЭ или двух антивирусов, является показательным
примером таких коллизий.<o:p></o:p></div>
<div class="MsoListParagraph" style="line-height: 150%; text-align: justify;">
<b><span style="font-size: 12.0pt; line-height: 150%;">Мониторинг и анализ<o:p></o:p></span></b></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">
Процесс управления рисками, процесс не
линейный. Все этапы связаны между собой, и нет ничего странно, если будет
происходить цикличность этапов. Необходимо установить метрики, при достижении
которых будет осуществляться принятие решения идти дальше или вернуться на
предыдущий этап. <o:p></o:p></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.45pt;">
Мониторинг и анализ риска служит для слежения за
любыми факторами, которые могут измениться со временем и привести к изменению
оценки риска. Такие факторы должны быть заранее определены и зафиксированы с
тем, чтобы своевременно можно было усовершенствовать процесс оценки риска.
Другими словами этот процесс отвечает за постоянное улучшение качества
управления риском. Мониторинг и пересмотр должны уделять внимание:<o:p></o:p></div>
<div class="MsoListParagraphCxSpFirst" style="line-height: 150%; margin-left: 2cm; text-align: justify; text-indent: -21.25pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; font-size: 12.0pt; line-height: 150%; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: 'Times New Roman'; font-size: 7pt; line-height: normal;">
</span></span><!--[endif]--><span style="font-size: 12.0pt; line-height: 150%;">правовому
контексту и контексту окружающей среды; контексту конкуренции;<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpMiddle" style="line-height: 150%; margin-left: 2cm; text-align: justify; text-indent: -21.25pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; font-size: 12.0pt; line-height: 150%; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: 'Times New Roman'; font-size: 7pt; line-height: normal;">
</span></span><!--[endif]--><span style="font-size: 12.0pt; line-height: 150%;">критериям
оценивания риска; ценности и категориям активов; <o:p></o:p></span></div>
<div class="MsoListParagraphCxSpMiddle" style="line-height: 150%; margin-left: 2cm; text-align: justify; text-indent: -21.25pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; font-size: 12.0pt; line-height: 150%; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: 'Times New Roman'; font-size: 7pt; line-height: normal;">
</span></span><!--[endif]--><span style="font-size: 12.0pt; line-height: 150%;">пороговым
значениям рассмотрения элементов риска; <o:p></o:p></span></div>
<div class="MsoListParagraphCxSpMiddle" style="line-height: 150%; margin-left: 2cm; text-align: justify; text-indent: -21.25pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; font-size: 12.0pt; line-height: 150%; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: 'Times New Roman'; font-size: 7pt; line-height: normal;">
</span></span><!--[endif]--><span style="font-size: 12.0pt; line-height: 150%;">пороговым
значениям решений об обработке риска; <o:p></o:p></span></div>
<div class="MsoListParagraphCxSpMiddle" style="line-height: 150%; margin-left: 2cm; text-align: justify; text-indent: -21.25pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; font-size: 12.0pt; line-height: 150%; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: 'Times New Roman'; font-size: 7pt; line-height: normal;">
</span></span><!--[endif]--><span style="font-size: 12.0pt; line-height: 150%;">значениям
стоимости средств контроля.<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpMiddle" style="line-height: 150%; text-align: justify;">
<b><span style="font-size: 12.0pt; line-height: 150%;">Взаимодействие и консультирование<o:p></o:p></span></b></div>
<div class="MsoListParagraphCxSpMiddle" style="line-height: 150%; margin-left: 0cm; text-align: justify; text-indent: 35.45pt;">
<span style="font-size: 12.0pt; line-height: 150%;">На каждом этапе процесса управления риском
необходимо постоянно проводить совещания и консультации по схеме: внутренний
объект-субъект-внешний объект. Для этого
должны быть разработаны планы коммуникаций, роли лиц участвующих во взаимодействии.
Должны быть разработаны схемы, определяющие когда, и что должно произойти
чтобы, инициировать изменения. <o:p></o:p></span></div>
<div class="MsoListParagraphCxSpLast" style="line-height: 150%; text-align: justify;">
<b><span style="font-size: 12.0pt; line-height: 150%;">Страхование рисков. <o:p></o:p></span></b></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">
Планируя программу обеспечения информационной безопасности, работник службы
информационной безопасности должен консультироваться со страховым отделом и, если
это возможно, со страховой компанией по выбору активов для страхования и
определения условий их страхования. В результате, это должно привести к более эффективной
программе обеспечения информационной безопасности и к более эффективному использованию
страховых премий. <o:p></o:p></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.45pt;">
Страховые компании могут потребовать, чтобы до того, как страховое требование было удовлетворено, были осуществлены
определенные меры управления, называемые условиями до наступления ответственности
или предшествующими условиями. Условия до наступления ответственности часто имеют
дело с мерами управления информационной безопасности. Поскольку эти меры управления
должны присутствовать в страховых документах, они должны быть включены в программу
обеспечения информационной безопасности организации. Может также требоваться гарантирование
некоторых мер управления, т. е. необходимо показать, что они постоянно присутствовали
с момента принятия политики. Страховая компенсация прерываний бизнеса и в особенности
ошибок и упущений должно быть включено в планирование обеспечения информационной
безопасности. Страховые компании готовы компенсировать ущерб, нанесенный
следующими событиями:<o:p></o:p></div>
<div class="MsoListParagraphCxSpFirst" style="line-height: 150%; margin-left: 2cm; text-align: justify; text-indent: -21.25pt;">
<span style="font-size: 12.0pt; line-height: 150%;">пожаром,
ударом молнии, взрывом, падением пилотируемого летательного аппарата или его
отдельных частей, а также повреждением застрахованного оборудования, вызванным
воздействием гасящих средств при тушении пожара;</span></div>
<div class="MsoListParagraphCxSpFirst" style="line-height: 150%; margin-left: 2cm; text-align: justify; text-indent: -21.25pt;">
<span style="background-color: white; font-size: 12pt; line-height: 150%; text-indent: -21.25pt;">коротким
замыканием, перенапряжением, повреждением изоляции, индукцией, магнетизмом,
имплозией и т.п.;</span></div>
<div class="MsoListParagraphCxSpFirst" style="line-height: 150%; margin-left: 2cm; text-align: justify; text-indent: -21.25pt;">
<span style="background-color: white; font-size: 12pt; line-height: 150%; text-indent: -21.25pt;">непреднамеренными
ошибками, неосторожностью Страхователя (Выгодоприобретателя) при эксплуатации
или обслуживании застрахованного оборудования без нарушения действующих правил
эксплуатации;</span></div>
<div class="MsoListParagraphCxSpFirst" style="line-height: 150%; margin-left: 2cm; text-align: justify; text-indent: -21.25pt;">
<span style="background-color: white; font-size: 12pt; line-height: 150%; text-indent: -21.25pt;">землетрясением,</span><span style="background-color: white; font-size: 12pt; line-height: 150%; text-indent: -21.25pt;"> </span><span style="background-color: white; font-size: 12pt; line-height: 150%; text-indent: -21.25pt;">извержением вулкана, тайфуном, ураганом,
бурей, циклоном при</span><span style="background-color: white; font-size: 12pt; line-height: 150%; text-indent: -21.25pt;"> </span><span style="background-color: white; font-size: 12pt; line-height: 150%; text-indent: -21.25pt;">условии
установления предельного размера страховой выплаты;</span></div>
<div class="MsoListParagraphCxSpFirst" style="line-height: 150%; margin-left: 2cm; text-align: justify; text-indent: -21.25pt;">
<span style="background-color: white; font-size: 12pt; line-height: 150%; text-indent: -21.25pt;">выходом
из строя систем кондиционирования воздуха, включая ущерб, причиненный самой
системе, при условии, что она застрахована на тех же условиях, что и
электронные системы, поддерживается в рабочем состоянии и оборудована приборами
измерения температуры и влажности;</span></div>
<div class="MsoListParagraphCxSpFirst" style="line-height: 150%; margin-left: 2cm; text-align: justify; text-indent: -21.25pt;">
<span style="background-color: white; font-size: 12pt; line-height: 150%; text-indent: -21.25pt;">внезапным
прекращением подачи электроэнергии из общественных сетей энергоснабжения;</span></div>
<div class="MsoListParagraphCxSpFirst" style="line-height: 150%; margin-left: 2cm; text-align: justify; text-indent: -21.25pt;">
<span style="background-color: white; font-size: 12pt; line-height: 150%; text-indent: -21.25pt;">использованием
застрахованного оборудования для проведения экспериментальных или
исследовательских работ;</span></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.45pt;">
Удачной должна получиться программа по страхованию рисков информационной компаний
«Росно» и Group IB, по пока к сожалению в России отсутствует страхование рисков
информационной безопасности, а присутствует компенсация ущерба. <o:p></o:p></div>
<div style="text-align: left;">
</div>
</div>А.С. Макаренкоhttp://www.blogger.com/profile/03988045552836095015noreply@blogger.com0tag:blogger.com,1999:blog-2496507244515215377.post-82298803595110761822012-06-14T05:42:00.000-07:002012-06-14T05:42:06.731-07:00Управление инцидентами ИБ<div dir="ltr" style="text-align: left;" trbidi="on">
<br />
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">
<span style="font-size: 12.0pt; line-height: 150%;">Управление инцидентами напрямую
влияет на непрерывность бизнес-процессов в компании. Этот процесс отвечает за
возврат системы информационной безопасности в ее изначальное (до инцидентное)
состояние. Управление инцидентами описано во многих международных стандартах, а
организации работы этого процесса, уделено достаточно много материала. Я попробовал кратко описать процесс управления инцидентами, и изложил его здесь.</span></div>
<a name='more'></a><o:p></o:p><br />
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">
<span style="font-size: 12.0pt; line-height: 150%;">Основными документами,
где описан процесс управления инцидентами, являются:<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpFirst" style="line-height: 150%; margin-left: 53.4pt; mso-add-space: auto; mso-list: l5 level1 lfo1; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span lang="EN-US" style="font-size: 12.0pt; line-height: 150%; mso-ansi-language: EN-US;">1.<span style="font-size: 7pt; line-height: normal;">
</span></span><!--[endif]--><span lang="EN-US" style="font-size: 12.0pt; line-height: 150%; mso-ansi-language: EN-US;">NIST 800-61. Computer Security
Incident Handling Guide;<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpLast" style="line-height: 150%; margin-left: 53.4pt; mso-add-space: auto; mso-list: l5 level1 lfo1; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-size: 12.0pt; line-height: 150%;">2.<span style="font-size: 7pt; line-height: normal;"> </span></span><!--[endif]--><span style="font-size: 12.0pt; line-height: 150%;">ГОСТ Р ИСО/МЭК 18044-2007.
Информационная технология. Методы и средства обеспечения безопасности. Менеджмент
инцидентов информационной безопасности. <o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">
<span style="font-size: 12.0pt; line-height: 150%;">Принцип управления
инцидентами, как и любой процесс, обязан удовлетворять требованиях Деминга, т.е. находиться в состоянии
постоянного совершенствования. <o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgLQLhQE_rEVetuM07X3CQA1eeQkjgbSaptfTgg9Mv-I-hpXfSit-n9l1Yb6mrV4DMKNPUUZEAT4dRCbGZcWrK8DgB8TuxWYEqaITK0_5J6pRVzmYMRQJtNCkQNXST_0UZvP7Hto1YT5UE/s1600/12.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="242" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgLQLhQE_rEVetuM07X3CQA1eeQkjgbSaptfTgg9Mv-I-hpXfSit-n9l1Yb6mrV4DMKNPUUZEAT4dRCbGZcWrK8DgB8TuxWYEqaITK0_5J6pRVzmYMRQJtNCkQNXST_0UZvP7Hto1YT5UE/s320/12.jpg" width="320" /></a></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">
<br /></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">
<span style="font-size: 12.0pt; line-height: 150%;">Скорость реакции на инцидент,
является основным параметром, который регулирует построение системы управления
инцидентами. Для построения такой системы необходимо разработать правила регламентирующие
шаги для решения инцидента. Должны быть классифицированы все возможные
инциденты в зависимости от угроз, описанных в «Модели угроз».<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">
<span style="font-size: 12.0pt; line-height: 150%;">Хорошим помощником при
построении системы управления инцидентами является система сбора и анализа всей
информации поступающей от всех сетевых устройств. К таким устройствам
обязательно должны быть отнесены: системы обнаружения и предотвращения
вторжений, антивирусного программное обеспечение, системы разграничения доступа,
в том числе и СКУД, а также критическое для существования субъекта программное
обеспечение. Такая система не только должна уметь собирать данные со всех устройств,
но она должна сравнивать эти данные между собой, находить
коллизии, формировать отчеты о состоянии системы информационной
безопасности. <o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">
<i><u><span style="font-size: 12.0pt; line-height: 150%;">1-этап. Подготовка.<o:p></o:p></span></u></i></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">
<span style="font-size: 12.0pt; line-height: 150%;">К первому этапу должны
уже быть разработаны следующие документы: политика информационной безопасности,
модель угроз, сформированы списки активов субъекта и лиц, отвечающих за ведение
этих активов. Технические средства, входящие в систему информационной
безопасности уже сконфигурированы и задокументированы. <o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">
<span style="font-size: 12.0pt; line-height: 150%;">На этом этапе формируется
группа по управлению инцидентами, составляются планы работы этой группы, планы
обучения, происходит классификация возможных инцидентов, разделение их на
группы и классы, а также согласовываются схемы взаимодействия: <o:p></o:p></span></div>
<div class="MsoListParagraphCxSpFirst" style="line-height: 150%; margin-left: 71.4pt; mso-add-space: auto; mso-list: l1 level1 lfo3; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; font-size: 12.0pt; line-height: 150%; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: 'Times New Roman'; font-size: 7pt; line-height: normal;"> </span></span><!--[endif]--><span style="font-size: 12.0pt; line-height: 150%;">С охранными предприятиями;<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpMiddle" style="line-height: 150%; margin-left: 71.4pt; mso-add-space: auto; mso-list: l1 level1 lfo3; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; font-size: 12.0pt; line-height: 150%; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: 'Times New Roman'; font-size: 7pt; line-height: normal;"> </span></span><!--[endif]--><span style="font-size: 12.0pt; line-height: 150%;">Аварийными службами;<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpMiddle" style="line-height: 150%; margin-left: 71.4pt; mso-add-space: auto; mso-list: l1 level1 lfo3; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; font-size: 12.0pt; line-height: 150%; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: 'Times New Roman'; font-size: 7pt; line-height: normal;"> </span></span><!--[endif]--><span style="font-size: 12.0pt; line-height: 150%;">Правоохранительными органами;<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpLast" style="line-height: 150%; margin-left: 71.4pt; mso-add-space: auto; mso-list: l1 level1 lfo3; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; font-size: 12.0pt; line-height: 150%; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: 'Times New Roman'; font-size: 7pt; line-height: normal;"> </span></span><!--[endif]--><span style="font-size: 12.0pt; line-height: 150%;">С партнерами и потребителями услуг и
т.д.<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">
<span style="font-size: 12.0pt; line-height: 150%;">Если группа по
реагированию на инциденты входит в </span><span lang="EN-US" style="font-size: 12.0pt; line-height: 150%; mso-ansi-language: EN-US;">Service</span><span lang="EN-US" style="font-size: 12.0pt; line-height: 150%;"> </span><span lang="EN-US" style="font-size: 12.0pt; line-height: 150%; mso-ansi-language: EN-US;">Desk</span><span lang="EN-US" style="font-size: 12.0pt; line-height: 150%;"> </span><span style="font-size: 12.0pt; line-height: 150%;">компании, тогда необходимо:<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpFirst" style="line-height: 150%; margin-left: 71.4pt; mso-add-space: auto; mso-list: l3 level1 lfo2; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-size: 12.0pt; line-height: 150%;">a)<span style="font-size: 7pt; line-height: normal;"> </span></span><!--[endif]--><span style="font-size: 12.0pt; line-height: 150%;">договориться о терминологии, что бы все
разговаривали на одном языке. Определить что такое «инцидент ИБ» и что такое
«инцидент ИТ»;<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpMiddle" style="line-height: 150%; margin-left: 71.4pt; mso-add-space: auto; mso-list: l3 level1 lfo2; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-size: 12.0pt; line-height: 150%;">b)<span style="font-size: 7pt; line-height: normal;"> </span></span><!--[endif]--><span style="font-size: 12.0pt; line-height: 150%;">структурировать и классифицировать
инциденты информационной безопасности;<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpLast" style="line-height: 150%; margin-left: 71.4pt; mso-add-space: auto; mso-list: l3 level1 lfo2; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-size: 12.0pt; line-height: 150%;">c)<span style="font-size: 7pt; line-height: normal;"> </span></span><!--[endif]--><span style="font-size: 12.0pt; line-height: 150%;">Назначить ответственных за управление
инцидентами в области информационной безопасности.<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">
<span style="font-size: 12.0pt; line-height: 150%;">Группа реагирования на
инциденты ИБ подготавливает свою библиотеку документов. Данная библиотека, содержит
операционные документы, касающиеся работы технических средств, регламенты
обслуживания, а также способы связи с группой реагирования. Разрабатываются
различные формы отчетов (Примеры форм отчетов есть в ГОСТ Р ИСО/МЭК
18044-2007).<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">
<span style="font-size: 12.0pt; line-height: 150%;">Для классификации
инцидентов информационной безопасности создается отдельная рабочая группа, куда
входят представители владельца актива, сотрудники службы информационной безопасности,
сотрудники отдела информационных технологий. <o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">
<span style="font-size: 12.0pt; line-height: 150%;">Для классификации
инцидентов могу применяться следующие параметры:<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpFirst" style="line-height: 150%; margin-left: 53.4pt; mso-add-space: auto; mso-list: l7 level1 lfo5; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-size: 12.0pt; line-height: 150%;">1.<span style="font-size: 7pt; line-height: normal;"> </span></span><!--[endif]--><span style="font-size: 12.0pt; line-height: 150%;">По атакам на ресурсы;<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpMiddle" style="line-height: 150%; margin-left: 53.4pt; mso-add-space: auto; mso-list: l7 level1 lfo5; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-size: 12.0pt; line-height: 150%;">2.<span style="font-size: 7pt; line-height: normal;"> </span></span><!--[endif]--><span style="font-size: 12.0pt; line-height: 150%;">По серьезности произошедшего
инцидента;<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpLast" style="line-height: 150%; margin-left: 53.4pt; mso-add-space: auto; mso-list: l7 level1 lfo5; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-size: 12.0pt; line-height: 150%;">3.<span style="font-size: 7pt; line-height: normal;"> </span></span><!--[endif]--><span style="font-size: 12.0pt; line-height: 150%;">По характеристикам их возникновения.<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">
<span style="font-size: 12.0pt; line-height: 150%;">Первый этап, является
самой трудоемким и сложным, от того как вы подойдете к решению поставленных
задач, зависит непрерывность бизнеса и авторитет службы информационной
безопасности. <o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">
<i><u><span style="font-size: 12.0pt; line-height: 150%;">2-этап. Обнаружение. <o:p></o:p></span></u></i></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">
<span style="font-size: 12.0pt; line-height: 150%;">Инцидент информационной
безопасности может быть обнаружен техническими средствами или человеческими
ресурсами. При обнаружении инцидента происходит его категорирование.
Категорирование может осуществлять лицо обнаружившее инцидент, диспетчер или
специалист группы реагирования. На мой взгляд правильным является ситуация,
когда категорированием занимается обученный человек, к которому стекается вся
информация обо всех не штатных ситуациях. В данном случае, человеком который
производит категорирование инцидента, является диспетчер.<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">
<span style="font-size: 12.0pt; line-height: 150%;">Для второго этапа главным
параметров является скорость реагирования на инцидент информационной
безопасности. Для этого на первом этапе была произведена классификация угроз
информационной безопасности, в зависимости от угрозы определено время на
реакцию и время на устранение инцидента. Матрица реагирования представлена в
таблице.<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">
<span style="font-size: 12.0pt; line-height: 150%;"><br /></span></div>
<table border="1" cellpadding="0" cellspacing="0" class="MsoTableGrid" style="border-collapse: collapse; border: none; mso-border-alt: solid windowtext .5pt; mso-padding-alt: 0cm 5.4pt 0cm 5.4pt; mso-yfti-tbllook: 1184;">
<tbody>
<tr>
<td rowspan="2" style="border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 69.2pt;" width="115">
<div align="center" class="MsoNormal" style="line-height: 150%; text-align: center;">
<b><span style="font-size: 12.0pt; line-height: 150%;">Номер<o:p></o:p></span></b></div>
<div align="center" class="MsoNormal" style="line-height: 150%; text-align: center;">
<b><span style="font-size: 12.0pt; line-height: 150%;">инцидента<o:p></o:p></span></b></div>
</td>
<td rowspan="2" style="border-left: none; border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 77.95pt;" width="130">
<div align="center" class="MsoNormal" style="line-height: 150%; text-align: center;">
<b><span style="font-size: 12.0pt; line-height: 150%;">приоритет<o:p></o:p></span></b></div>
</td>
<td colspan="2" style="border-left: none; border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 297.7pt;" width="496">
<div align="center" class="MsoNormal" style="line-height: 150%; text-align: center;">
<b><span style="font-size: 12.0pt; line-height: 150%;">Время жизни инцидента<o:p></o:p></span></b></div>
</td>
</tr>
<tr>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 134.7pt;" width="225">
<div align="center" class="MsoNormal" style="line-height: 150%; text-align: center;">
<b><span style="font-size: 12.0pt; line-height: 150%;">начало реагирования<o:p></o:p></span></b></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 163.0pt;" width="272">
<div align="center" class="MsoNormal" style="line-height: 150%; text-align: center;">
<b><span style="font-size: 12.0pt; line-height: 150%;">Инцидент искоренен<o:p></o:p></span></b></div>
</td>
</tr>
<tr>
<td style="border-top: none; border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 69.2pt;" valign="top" width="115">
<div class="MsoNormal" style="line-height: 150%; text-align: justify;">
<span style="font-size: 10.0pt; line-height: 150%;">1<o:p></o:p></span></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 77.95pt;" valign="top" width="130">
<div class="MsoNormal" style="line-height: 150%; text-align: justify;">
<span style="font-size: 10.0pt; line-height: 150%;">катастрофа<o:p></o:p></span></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 134.7pt;" valign="top" width="225">
<div class="MsoNormal" style="line-height: 150%; text-align: justify;">
<span style="font-size: 10.0pt; line-height: 150%;">Через 0,5 рабочих часа<o:p></o:p></span></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 163.0pt;" valign="top" width="272">
<div class="MsoNormal" style="line-height: 150%; text-align: justify;">
<span style="font-size: 10.0pt; line-height: 150%;">Через 4 рабочих часа<o:p></o:p></span></div>
</td>
</tr>
<tr>
<td style="border-top: none; border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 69.2pt;" valign="top" width="115">
<div class="MsoNormal" style="line-height: 150%; text-align: justify;">
<span style="font-size: 10.0pt; line-height: 150%;">15<o:p></o:p></span></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 77.95pt;" valign="top" width="130">
<div class="MsoNormal" style="line-height: 150%; text-align: justify;">
<span style="font-size: 10.0pt; line-height: 150%;">высокий<o:p></o:p></span></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 134.7pt;" valign="top" width="225">
<div class="MsoNormal" style="line-height: 150%; text-align: justify;">
<span style="font-size: 10.0pt; line-height: 150%;">Через 1 рабочий час<o:p></o:p></span></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 163.0pt;" valign="top" width="272">
<div class="MsoNormal" style="line-height: 150%; text-align: justify;">
<span style="font-size: 10.0pt; line-height: 150%;">Через 2 рабочих дня<o:p></o:p></span></div>
</td>
</tr>
</tbody></table>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">
<span style="font-size: 12.0pt; line-height: 150%;">Пример: Под номерами 1 и
15 мы подразумеваем отказ в обслуживании сетевого сегмента и заражение
компьютеров вирусом. <o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">
<span style="font-size: 12.0pt; line-height: 150%;"><br /></span></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">
<span style="font-size: 12.0pt; line-height: 150%;">После того как вы
обнаружили инцидент ИБ, необходимо начать его расследование с целью получения
доказательства его происшествия. Самостоятельно собранные доказательства в суде
РФ не принимаются. Можно обратиться в
три органа за помощью в получении доказательства:<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpFirst" style="line-height: 150%; margin-left: 53.4pt; mso-add-space: auto; mso-list: l6 level1 lfo4; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-size: 12.0pt; line-height: 150%;">1.<span style="font-size: 7pt; line-height: normal;"> </span></span><!--[endif]--><span style="font-size: 12.0pt; line-height: 150%;">В следственный комитет РФ;<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpMiddle" style="line-height: 150%; margin-left: 53.4pt; mso-add-space: auto; mso-list: l6 level1 lfo4; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-size: 12.0pt; line-height: 150%;">2.<span style="font-size: 7pt; line-height: normal;"> </span></span><!--[endif]--><span style="font-size: 12.0pt; line-height: 150%;">В прокуратору;<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpLast" style="line-height: 150%; margin-left: 53.4pt; mso-add-space: auto; mso-list: l6 level1 lfo4; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-size: 12.0pt; line-height: 150%;">3.<span style="font-size: 7pt; line-height: normal;"> </span></span><!--[endif]--><span style="font-size: 12.0pt; line-height: 150%;">В МВД РФ;<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">
<span style="font-size: 12.0pt; line-height: 150%;">Для фиксации инцидента, проводится
анализ изменённых файлов журнала, информации, конфигурационных файлов. Анализ
измененных файлов выполняются специальными программными комплексами. Они
анализируют файловую систему, информацию, размещенную на диске. Следует
обратить внимание на тот факт, что надо применять такие программы, которые не
изменяют атрибуты анализируемой информации, это необходимо, чтобы анализируемая
система оставалась в неизменном виде. Вторым этапом является документирование
произошедшего инцидента, т.е. создаётся карточка инцидента, в которой
указывается:<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpFirst" style="line-height: 150%; margin-left: 53.4pt; mso-add-space: auto; mso-list: l0 level1 lfo6; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-size: 12.0pt; line-height: 150%;">1.<span style="font-size: 7pt; line-height: normal;"> </span></span><!--[endif]--><span style="font-size: 12.0pt; line-height: 150%;">Кто и когда зафиксировал инцидент;<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpMiddle" style="line-height: 150%; margin-left: 53.4pt; mso-add-space: auto; mso-list: l0 level1 lfo6; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-size: 12.0pt; line-height: 150%;">2.<span style="font-size: 7pt; line-height: normal;"> </span></span><!--[endif]--><span style="font-size: 12.0pt; line-height: 150%;">На каком объекте, и на каком
оборудовании он произошел;<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpMiddle" style="line-height: 150%; margin-left: 53.4pt; mso-add-space: auto; mso-list: l0 level1 lfo6; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-size: 12.0pt; line-height: 150%;">3.<span style="font-size: 7pt; line-height: normal;"> </span></span><!--[endif]--><span style="font-size: 12.0pt; line-height: 150%;">Насколько критичен объект<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpMiddle" style="line-height: 150%; margin-left: 53.4pt; mso-add-space: auto; mso-list: l0 level1 lfo6; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-size: 12.0pt; line-height: 150%;">4.<span style="font-size: 7pt; line-height: normal;"> </span></span><!--[endif]--><span style="font-size: 12.0pt; line-height: 150%;">Создаются связи между карточкой
инцидента и </span><span lang="EN-US" style="font-size: 12.0pt; line-height: 150%; mso-ansi-language: EN-US;">log</span><span style="font-size: 12.0pt; line-height: 150%;">-файлами журналов </span><span lang="EN-US" style="font-size: 12.0pt; line-height: 150%; mso-ansi-language: EN-US;">IDS</span><span style="font-size: 12.0pt; line-height: 150%;">/</span><span lang="EN-US" style="font-size: 12.0pt; line-height: 150%; mso-ansi-language: EN-US;">IPS</span><span style="font-size: 12.0pt; line-height: 150%;">, МЭ и т.д.;<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpLast" style="line-height: 150%; margin-left: 53.4pt; mso-add-space: auto; mso-list: l0 level1 lfo6; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-size: 12.0pt; line-height: 150%;">5.<span style="font-size: 7pt; line-height: normal;"> </span></span><!--[endif]--><span style="font-size: 12.0pt; line-height: 150%;">Определяются последствия инцидента.<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">
<i><u><span style="font-size: 12.0pt; line-height: 150%;">3-этап. Искоренение. <o:p></o:p></span></u></i></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">
<span style="font-size: 12.0pt; line-height: 150%;">Когда собраны все
доказательства нарушения информационной безопасности, происходит искоренение
инцидента, согласно разработанной методике. Ликвидация инцидента как правило
происходит на третьем этапе, однако не исключения ситуация, когда последствия
негативного воздействия искореняются уже на втором этапе. В этом случае следует
убедиться, что во время работы над инцидентом, вы не уничтожите улики. <o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">
<span style="font-size: 12.0pt; line-height: 150%;">При искоренении инцидента
важно быстро и надежно изолировать атакованную систему от всех других
взаимосвязанных систем и элементов. <o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">
<i><u><span style="font-size: 12.0pt; line-height: 150%;">4-й этап. Восстановление.<o:p></o:p></span></u></i></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">
<span style="font-size: 12.0pt; line-height: 150%;">Во время восстановления
работоспособности системы, могут быть инициированы следующие процессы:<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpFirst" style="line-height: 150%; margin-left: 71.4pt; mso-add-space: auto; mso-list: l2 level1 lfo7; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; font-size: 12.0pt; line-height: 150%; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: 'Times New Roman'; font-size: 7pt; line-height: normal;"> </span></span><!--[endif]--><span style="font-size: 12.0pt; line-height: 150%;">Процесс управления изменениями;<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpLast" style="line-height: 150%; margin-left: 71.4pt; mso-add-space: auto; mso-list: l2 level1 lfo7; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; font-size: 12.0pt; line-height: 150%; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: 'Times New Roman'; font-size: 7pt; line-height: normal;"> </span></span><!--[endif]--><span style="font-size: 12.0pt; line-height: 150%;">Процесс управление конфигурации. <o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify;">
<span style="font-size: 12.0pt; line-height: 150%;">В этом случае включается в процесс
управления инцидентами отдел информационных технологий. Именно поэтому на
первом этапе необходимо детально проработать процессы взаимодействия между
всеми структурными подразделениями. <o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">
<i><u><span style="font-size: 12.0pt; line-height: 150%;">5-этап. Анализ.<o:p></o:p></span></u></i></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">
<span style="font-size: 12.0pt; line-height: 150%;">При анализе инцидента
используются материалы, полученные на предыдущих этапах управления инцидентами.
<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">
<span style="font-size: 12.0pt; line-height: 150%;">В конце анализа
составляется отчет об инциденте, который обязан содержать правдивую и точную
информацию о:<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpFirst" style="line-height: 150%; margin-left: 53.4pt; mso-add-space: auto; mso-list: l4 level1 lfo8; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-size: 12.0pt; line-height: 150%;">1.<span style="font-size: 7pt; line-height: normal;"> </span></span><!--[endif]--><span style="font-size: 12.0pt; line-height: 150%;">Скорость обнаружения инцидента.<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpMiddle" style="line-height: 150%; margin-left: 53.4pt; mso-add-space: auto; mso-list: l4 level1 lfo8; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-size: 12.0pt; line-height: 150%;">2.<span style="font-size: 7pt; line-height: normal;"> </span></span><!--[endif]--><span style="font-size: 12.0pt; line-height: 150%;">Принятые меры и их эффективность.<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpMiddle" style="line-height: 150%; margin-left: 53.4pt; mso-add-space: auto; mso-list: l4 level1 lfo8; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-size: 12.0pt; line-height: 150%;">3.<span style="font-size: 7pt; line-height: normal;"> </span></span><!--[endif]--><span style="font-size: 12.0pt; line-height: 150%;">Состояние системы до и после
инцидента. Какие компоненты были изменены.<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpMiddle" style="line-height: 150%; margin-left: 53.4pt; mso-add-space: auto; mso-list: l4 level1 lfo8; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-size: 12.0pt; line-height: 150%;">4.<span style="font-size: 7pt; line-height: normal;"> </span></span><!--[endif]--><span style="font-size: 12.0pt; line-height: 150%;">Прямые и косвенные затраты на решение
инцидента<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpMiddle" style="line-height: 150%; margin-left: 53.4pt; mso-add-space: auto; mso-list: l4 level1 lfo8; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-size: 12.0pt; line-height: 150%;">5.<span style="font-size: 7pt; line-height: normal;"> </span></span><!--[endif]--><span style="font-size: 12.0pt; line-height: 150%;">Причины возникновения инцидента<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpLast" style="line-height: 150%; margin-left: 53.4pt; mso-add-space: auto; mso-list: l4 level1 lfo8; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-size: 12.0pt; line-height: 150%;">6.<span style="font-size: 7pt; line-height: normal;"> </span></span><!--[endif]--><span style="font-size: 12.0pt; line-height: 150%;">Рекомендации по недопущению такой
ситуации в дальнейшем<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">
<span style="font-size: 12.0pt; line-height: 150%;">Настоящий отчет должен
быть отправлен лицам, определенным в вашей политики информационной
безопасности. Это могут быть как топ менеджеры, так и простые аналитики. <o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">
<span style="font-size: 12.0pt; line-height: 150%;">После того как вы
составите отчет об инциденте необходимо заново провести его классификацию, что
бы точно определить правильность первоначальной классификации. Это связано с тем, что при первой
классификации, Вы не обладаете полнотой системных данных о произошедшем
инциденте. Вы видите точку, которая произвела дисбаланс в вашей системе, но не
видите её связи с другими элементами. <o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">
<b><u><span style="font-size: 12.0pt; line-height: 150%;">Важно:</span></u></b><span style="font-size: 12.0pt; line-height: 150%;"> <b><i>Произошедший инцидент информационной безопасности, является поводом для
пересмотра всей политики информационной
безопасности. <o:p></o:p></i></b></span></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">
<b><u><span style="font-size: 12.0pt; line-height: 150%;">Важно:</span></u></b><b><i><span style="font-size: 12.0pt; line-height: 150%;"> Каждый инцидент необходимо заносить в базу знаний инцидентов. <o:p></o:p></span></i></b></div>
<div class="MsoNormal">
<br /></div>
</div>А.С. Макаренкоhttp://www.blogger.com/profile/03988045552836095015noreply@blogger.com0tag:blogger.com,1999:blog-2496507244515215377.post-32691694848301924422012-06-12T23:17:00.004-07:002012-06-12T23:17:44.965-07:00Twitter<div dir="ltr" style="text-align: left;" trbidi="on">
Обзавелся twitter аккаунтом, добро пожаловать ко <br />
<a name='more'></a>мне на страничку <a href="https://twitter.com/#!/MakarenkoAS">https://twitter.com/#!/MakarenkoAS</a></div>А.С. Макаренкоhttp://www.blogger.com/profile/03988045552836095015noreply@blogger.com0tag:blogger.com,1999:blog-2496507244515215377.post-74869028413389183212012-06-04T01:51:00.001-07:002012-06-04T01:52:33.786-07:00Политика ИБ<div dir="ltr" style="text-align: left;" trbidi="on"><div style="text-align: left;"></div><div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">Как театр начинается с вешалки, так и построение системы информационной безопасности начинается составлением и утверждением политики информационной безопасности.<br />
<a name='more'></a><o:p></o:p></div><div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">Основой для составления политики информационной безопасности, регламентов и инструкций являются множество стандартов, руководящих документов и лучших мировых практик. «В них зафиксированы апробированные, высококачественные решения и методологии, разработанные наиболее квалифицированными специалистами». Для обеспечения информационной безопасности должны быть сформулированы цели, задачи политики информационной безопасности. На основе сформулированных задач, выбираются и согласовываются все защитные меры и функции. Для полной согласованности необходимо помнить, что цели и задачи информационной безопасности должны лежать в одной плоскости с целями и задачами бизнеса. <o:p></o:p></div><div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">Так как мы определили что, защите подлежать активы, то нормативно-правовые акты могут быть составлены по признаку защиты активов. Здесь уже вступает в силу иерархичность политики, так как из описания цели, мы приходим к реализации процедур и функций.<o:p></o:p></div><div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">Принимать участие в политике информационной безопасности должны все заинтересованные личности или подразделения. Политика информационной безопасности должна соответствовать действующему законодательству, требованиям регулирующих органов, требованиям ведомственных структур, требованиям бизнеса. <o:p></o:p></div><span style="font-family: 'Times New Roman', serif; font-size: 12pt;">Иерархическая структура документации согласно ГОСТ Р ИСО-МЭК 13569-2005.Финансовые услуги. Рекомендации по информационной безопасности состоит из трех уровней</span><br />
<br />
<span style="font-family: 'Times New Roman', serif; font-size: 12pt;"><v:shapetype coordsize="21600,21600" filled="f" id="_x0000_t75" o:preferrelative="t" o:spt="75" path="m@4@5l@4@11@9@11@9@5xe" stroked="f"> <v:stroke joinstyle="miter"> <v:formulas> <v:f eqn="if lineDrawn pixelLineWidth 0"> <v:f eqn="sum @0 1 0"> <v:f eqn="sum 0 0 @1"> <v:f eqn="prod @2 1 2"> <v:f eqn="prod @3 21600 pixelWidth"> <v:f eqn="prod @3 21600 pixelHeight"> <v:f eqn="sum @0 0 1"> <v:f eqn="prod @6 1 2"> <v:f eqn="prod @7 21600 pixelWidth"> <v:f eqn="sum @8 21600 0"> <v:f eqn="prod @7 21600 pixelHeight"> <v:f eqn="sum @10 21600 0"> </v:f></v:f></v:f></v:f></v:f></v:f></v:f></v:f></v:f></v:f></v:f></v:f></v:formulas> <v:path gradientshapeok="t" o:connecttype="rect" o:extrusionok="f"> <o:lock aspectratio="t" v:ext="edit"> </o:lock></v:path></v:stroke></v:shapetype><v:shape id="Схема_x0020_24" o:gfxdata="UEsDBBQABgAIAAAAIQBgJjcoXAEAAHYEAAATAAAAW0NvbnRlbnRfVHlwZXNdLnhtbLSUy07DMBRE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" o:spid="_x0000_i1025" style="height: 223.2pt; visibility: visible; width: 174pt;" type="#_x0000_t75"> <v:imagedata o:title="" src="file:///C:\Users\mas\AppData\Local\Temp\msohtmlclip1\01\clip_image001.png"> <o:lock aspectratio="f" v:ext="edit"></o:lock></v:imagedata></v:shape></span><span style="font-family: 'Times New Roman', serif; font-size: 12pt;"><v:shapetype coordsize="21600,21600" filled="f" id="_x0000_t75" o:preferrelative="t" o:spt="75" path="m@4@5l@4@11@9@11@9@5xe" stroked="f"> <v:stroke joinstyle="miter"> <v:formulas> <v:f eqn="if lineDrawn pixelLineWidth 0"> <v:f eqn="sum @0 1 0"> <v:f eqn="sum 0 0 @1"> <v:f eqn="prod @2 1 2"> <v:f eqn="prod @3 21600 pixelWidth"> <v:f eqn="prod @3 21600 pixelHeight"> <v:f eqn="sum @0 0 1"> <v:f eqn="prod @6 1 2"> <v:f eqn="prod @7 21600 pixelWidth"> <v:f eqn="sum @8 21600 0"> <v:f eqn="prod @7 21600 pixelHeight"> <v:f eqn="sum @10 21600 0"> </v:f></v:f></v:f></v:f></v:f></v:f></v:f></v:f></v:f></v:f></v:f></v:f></v:formulas> <v:path gradientshapeok="t" o:connecttype="rect" o:extrusionok="f"> <o:lock aspectratio="t" v:ext="edit"> </o:lock></v:path></v:stroke></v:shapetype><v:shape id="Схема_x0020_24" o:gfxdata="UEsDBBQABgAIAAAAIQBgJjcoXAEAAHYEAAATAAAAW0NvbnRlbnRfVHlwZXNdLnhtbLSUy07DMBRE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" o:spid="_x0000_i1025" style="height: 223.2pt; visibility: visible; width: 174pt;" type="#_x0000_t75"> <v:imagedata o:title="" src="file:///C:\Users\mas\AppData\Local\Temp\msohtmlclip1\01\clip_image001.png"> <o:lock aspectratio="f" v:ext="edit"></o:lock></v:imagedata></v:shape></span><br />
<div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">Документы 1-о уровня являются наименьшими по объему из всего множества документов. Стандарт ГОСТ Р ИСО/МЭК 27003 указывают, что политики могут иметь вид:<o:p></o:p></div><div class="MsoListParagraphCxSpFirst" style="line-height: 150%; margin-left: 53.4pt; text-align: justify; text-indent: -18pt;"><span style="font-size: 12pt; line-height: 150%;">1.<span style="font-size: 7pt; line-height: normal;"> </span></span><span style="font-size: 12pt; line-height: 150%;">Краткое изложение политики – Общее описание из одного двух предложений.<o:p></o:p></span></div><div class="MsoListParagraphCxSpMiddle" style="line-height: 150%; margin-left: 53.4pt; text-align: justify; text-indent: -18pt;"><span style="font-size: 12pt; line-height: 150%;">2.<span style="font-size: 7pt; line-height: normal;"> </span></span><span style="font-size: 12pt; line-height: 150%;">Введение – краткое объяснение предмета.<o:p></o:p></span></div><div class="MsoListParagraphCxSpMiddle" style="line-height: 150%; margin-left: 53.4pt; text-align: justify; text-indent: -18pt;"><span style="font-size: 12pt; line-height: 150%;">3.<span style="font-size: 7pt; line-height: normal;"> </span></span><span style="font-size: 12pt; line-height: 150%;">Область действий – описывает части или действия организации, находящиеся под влиянием политики.<o:p></o:p></span></div><div class="MsoListParagraphCxSpMiddle" style="line-height: 150%; margin-left: 53.4pt; text-align: justify; text-indent: -18pt;"><span style="font-size: 12pt; line-height: 150%;">4.<span style="font-size: 7pt; line-height: normal;"> </span></span><span style="font-size: 12pt; line-height: 150%;">Цели – описание назначение политики.<o:p></o:p></span></div><div class="MsoListParagraphCxSpMiddle" style="line-height: 150%; margin-left: 53.4pt; text-align: justify; text-indent: -18pt;"><span style="font-size: 12pt; line-height: 150%;">5.<span style="font-size: 7pt; line-height: normal;"> </span></span><span style="font-size: 12pt; line-height: 150%;">Принципы – описание правил, касающихся действий и решений для достижения целей.<o:p></o:p></span></div><div class="MsoListParagraphCxSpMiddle" style="line-height: 150%; margin-left: 53.4pt; text-align: justify; text-indent: -18pt;"><span style="font-size: 12pt; line-height: 150%;">6.<span style="font-size: 7pt; line-height: normal;"> </span></span><span style="font-size: 12pt; line-height: 150%;">Сферы ответственности – кто отвечает за действия по выполнению требований политики.<o:p></o:p></span></div><div class="MsoListParagraphCxSpMiddle" style="line-height: 150%; margin-left: 53.4pt; text-align: justify; text-indent: -18pt;"><span style="font-size: 12pt; line-height: 150%;">7.<span style="font-size: 7pt; line-height: normal;"> </span></span><span style="font-size: 12pt; line-height: 150%;">Ключевые результаты – описание результатов, получаемых предприятием, если цели достигнуты.<o:p></o:p></span></div><div class="MsoListParagraphCxSpLast" style="line-height: 150%; margin-left: 53.4pt; text-align: justify; text-indent: -18pt;"><span style="font-size: 12pt; line-height: 150%;">8.<span style="font-size: 7pt; line-height: normal;"> </span></span><span style="font-size: 12pt; line-height: 150%;">Связанные политики – описание других политик, относящихся к достижению целей, обычно с представлением дополнительных подробностей, касающихся отдельных предметов.<o:p></o:p></span></div><div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">Документы второго уровня в большинстве своем, является документами ограниченного распространения, которые в общих чертах описывают механизмы системы защиты информации.<o:p></o:p></div><div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">Например: «Для предотвращения несанкционированного доступа к информационным ресурсам компании, расположенным в локально-вычислительной сети организации должна применяться двухфакторная аутентификация»<o:p></o:p></div><div class="MsoNormal" style="line-height: 150%; text-align: justify; text-indent: 35.4pt;">Документы третьего уровня являются документами продолжающими вышестоящие документы, но описывающие процедуры и функции по защите информации. Такие документы часто называют документами операционного уровня. В них описываются действия и инструкции для всех субъектов участвующих в информационном обмене. Инструкции могут быть расписаны по ролям в бизнес-процессах компании, или основываться на штатном расписании. <span style="line-height: 150%; text-indent: 35.4pt;">Например: «длина пароля не должна быть меньше 8 символов», или</span><span style="line-height: 150%; text-indent: 35.4pt;"> </span><span style="line-height: 150%; text-indent: 35.4pt;">«после 3 неудачных попыток ввода пароля, учетная запись блокируется».</span><span style="line-height: 150%; text-indent: 35.4pt;"> </span><span style="font-family: 'Times New Roman', serif; font-size: 12pt; text-align: left;"> </span></div></div>А.С. Макаренкоhttp://www.blogger.com/profile/03988045552836095015noreply@blogger.com0tag:blogger.com,1999:blog-2496507244515215377.post-86203148052360715092012-01-11T22:25:00.000-08:002012-01-11T22:31:53.174-08:00Поздравление с НГ от ФСТЭК<div dir="ltr" style="text-align: left;" trbidi="on"><div style="text-align: justify;">И так, прошло 12 дней нового 2012 года. И вот ФСТЭК решила тоже отпраздновать новый году по новому. Мне в руки попало одно письмо, часть которого я привожу здесь...Письмо написано директору одной компании, которая осенью решила подать документы на лицензию на деятельность по ТЗКИ, что из этого получилось читайте ниже...</div><a name='more'></a><br />
<div style="text-align: justify;">...Настоящим уведомляем, что заявление ООО зарегестрировано в системе делопроизводства ФСТЭК России.</div><div style="text-align: justify;">Экспертиза предоставленных материалов будет проведена после принятия Правительством Российской Федерации в соответствии с частью 1 статьи 8 Федерального закона от 4 мая 2011 г. №99-ФЗ "О лицензировании отдельных видов деятельности по технической защите конфиденциальной информации".</div><div style="text-align: justify;">После опубликования указанного постановления Правительства Российской Федерации ООО .. необходимо направить в ФСТЭК Росс дополнение к предоставленному заявлению с уточнением планируемых к осуществлению в рамках заявленного вида деятельности конкретных работ и (или) услуг, которые будут определены этим постановлением Правительства Российской Федерации, и дополнительные материалы, подтверждающие возможность соблюдения лицензионных требований...</div><div style="text-align: justify;">Что де из этого следует? А то что компаниям которые подали документы в конце 2011 года, уже можно заново готовить пакет документов. Каким он будет, не знают пока сами сотрудники ФСТЭК. Все ждут выхода этого постановления. Скачать можно <a href="http://webfile.ru/5765681">здесь.</a> Когда оно выйдет не знает никто, обещали опубликовать до НГ, но видно не получилось.</div><div style="text-align: justify;">Что ж остается только ждать...</div></div>А.С. Макаренкоhttp://www.blogger.com/profile/03988045552836095015noreply@blogger.com2tag:blogger.com,1999:blog-2496507244515215377.post-29291968430410274432011-06-19T01:35:00.000-07:002012-01-17T08:27:09.194-08:00Пополнение рынка ИБ в Краснодаре<div dir="ltr" style="text-align: left;" trbidi="on">Совсем недавно, в марте 2011 года, на рынке информационной безопасности в г. Краснодаре появилась еще одна компания...<br />
<a name='more'></a> Компания ООО "ЮСК", входит в группу компаний "РЕНД" и занимается предоставлением услуг по защите информации. Более детально с этой компанией можно ознакомиться посетив сайт. </div>А.С. Макаренкоhttp://www.blogger.com/profile/03988045552836095015noreply@blogger.com2tag:blogger.com,1999:blog-2496507244515215377.post-48430107988423053162011-05-01T17:23:00.000-07:002011-05-01T17:25:52.000-07:00Пишем модель угроз<div dir="ltr" style="text-align: left;" trbidi="on"><div style="font-family: Verdana,sans-serif;"></div><br />
<br />
<div style="font-family: Verdana,sans-serif;"></div><span style="font-size: small;"><span style="line-height: 115%;"> Компьютеры, мобильные телефоны, сервера и люди – это постоянные активы, которыми обладает почти любая компания. Именно активы играют большую роль в бизнесе и имеют определенную ценность для компании. Активы хранят и обрабатывают информацию, способствуют организации достигать максимальной эффективности за счёт увеличения инвестиций, расширения своих площадей, сокращению убытков и накладных расходов.</span></span><br />
<br />
<a name='more'></a><span style="font-family: Verdana,sans-serif;"> </span><br />
<div class="MsoNormal" style="font-family: Verdana,sans-serif; text-align: justify; text-indent: 35.4pt;"><span style="font-size: small;"><span style="line-height: 115%;">Активы являются наиболее ценным в компании, активы надо беречь как зеницу ока. Они как маленький ребёнок требует повышенного внимания: не увеличишь мощность сервера в связи с приростом очередной БД, упадет время обработки данных, а это время, а время, как известно стоит денег. Не сделаешь активам инъекцию или не дашь им иммунитета, как тут же ваши активы атакуют различного рода вирусы, шпионские программы и т.д. и т.п. Атаковать и наносить вред вашим активам может человек или мать природа, каждый по отдельности или все вместе. Ваши активы подвергаются многочисленным видам угроз. </span></span></div><div class="MsoNormal" style="font-family: Verdana,sans-serif; text-align: justify; text-indent: 35.4pt;"><span style="font-size: small;"><span style="line-height: 115%;">Для того что бы предвидеть откуда к вашим активам подберется неприятность, необходимо знать врага в лицо, уметь ему противостоять. Одно из умений – это правильно проводить классификацию таких угроз, знать их сильные и слабые стороны, методы воздействия и каналы по которым они к вам приходят. Все эти параметры являются неотъемлемой частью одной большой библиотеки – модели угроз. </span></span></div><div class="MsoNormal" style="font-family: Verdana,sans-serif; text-align: justify; text-indent: 35.4pt;"><span style="font-size: small;"><span style="line-height: 115%;">А что же является моделью угроз, что в ней описывать и как её составлять, мы попробуем дальше разобраться. </span></span></div><div class="MsoNormal" style="font-family: Verdana,sans-serif; text-align: justify; text-indent: 35.4pt;"><span style="font-size: small;"><i><u><span style="line-height: 115%;">«Модель угроз содержит единые исходные данные по <span style="color: black;">угрозам</span> безопасности…»</span></u></i><span style="line-height: 115%;"> говорит нам «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 15.02.2008 года. С таким определением соглашается и ФСБ России декларируя: «Модель угроз – перечень возможных угроз». Угроза это синоним к слову опасность, так говорит нам Словарь русских синонимов. А ГОСТ Р51901.1-2002 утверждает что:</span></span></div><div class="MsoNormal" style="background: none repeat scroll 0% 0% white; font-family: Verdana,sans-serif; line-height: normal; text-align: justify; text-indent: 14.2pt;"><span style="font-size: small;">Опасности могут быть отнесены к следующим четырем основным категориям:</span></div><div class="MsoNormal" style="background: none repeat scroll 0% 0% white; font-family: Verdana,sans-serif; line-height: normal; text-align: justify; text-indent: 14.2pt;"><span style="font-size: small;">а) природные опасности (наводнения, землетрясения, ураганы, молния и т. д.);</span></div><div class="MsoNormal" style="background: none repeat scroll 0% 0% white; font-family: Verdana,sans-serif; line-height: normal; text-align: justify; text-indent: 14.2pt;"><span style="font-size: small;">б) технические опасности, источниками которых являются промышленное оборудование, сооружения, транспортные системы, потребительская продукция, пестициды, гербициды, фармацевтические препараты и т. п.;</span></div><div class="MsoNormal" style="background: none repeat scroll 0% 0% white; font-family: Verdana,sans-serif; line-height: normal; text-align: justify; text-indent: 14.2pt;"><span style="font-size: small;">в) социальные опасности, источниками которых являются вооруженное нападение, война, диверсия, инфекционное заболевание и т. д.;</span></div><div class="MsoNormal" style="background: none repeat scroll 0% 0% white; font-family: Verdana,sans-serif; line-height: normal; text-align: justify; text-indent: 14.2pt;"><span style="font-size: small;">г) опасности, связанные с укладом жизни (злоупотребление наркотиками, алкоголь, курение и т. д.).</span></div><div class="MsoNormal" style="font-family: Verdana,sans-serif; text-align: justify; text-indent: 35.4pt;"><span style="font-size: small;"><span style="line-height: 115%;"> Для защиты от угроз используются определенные действия, которые снижают риск возникновения такой опасности или совсем ее нейтрализуют. ГОСТ Р 13335 определяет, что для полного отображения опасности надо использовать:</span></span></div><ul style="font-family: Verdana,sans-serif; text-align: left;"><li><span style="font-size: small;"><span style="line-height: 115%;"><span style="-moz-font-feature-settings: normal; -moz-font-language-override: normal; font-size-adjust: none; font-stretch: normal; font-style: normal; font-variant: normal; font-weight: normal; line-height: normal;"> </span></span><span style="line-height: 115%;">Меры для защиты активов;</span><span style="line-height: 115%;"> </span></span></li>
<li><span style="font-size: small;"><span style="line-height: 115%;">Приемлемые для организации остаточные риски.</span></span></li>
</ul><div class="MsoNormal" style="font-family: Verdana,sans-serif; text-align: justify; text-indent: 18pt;"><span style="font-size: small;"><span style="line-height: 115%;">Отсюда мы можем сделать вывод, что для составления модели угроз нам придется использовать следующие параметры:</span></span></div><ul style="font-family: Verdana,sans-serif; text-align: left;"><li><span style="font-size: small;"><span style="line-height: 115%;"><span style="-moz-font-feature-settings: normal; -moz-font-language-override: normal; font-size-adjust: none; font-stretch: normal; font-style: normal; font-variant: normal; font-weight: normal; line-height: normal;"></span></span><span style="line-height: 115%;">Библиотеку угроз;</span></span></li>
<li><span style="font-size: small;"><span style="line-height: 115%;">Источники угроз;</span><span style="line-height: 115%;"><span style="-moz-font-feature-settings: normal; -moz-font-language-override: normal; font-size-adjust: none; font-stretch: normal; font-style: normal; font-variant: normal; font-weight: normal; line-height: normal;"> </span></span></span></li>
<li><span style="font-size: small;"><span style="line-height: 115%;">Категории, к которым эти угрозы относятся;</span></span></li>
<li><span style="font-size: small;"><span style="line-height: 115%;">Меры принимаемые для защиты от угроз;</span><span style="line-height: 115%;"><span style="-moz-font-feature-settings: normal; -moz-font-language-override: normal; font-size-adjust: none; font-stretch: normal; font-style: normal; font-variant: normal; font-weight: normal; line-height: normal;"> </span></span></span></li>
<li><span style="font-size: small;"><span style="line-height: 115%;"><span style="-moz-font-feature-settings: normal; -moz-font-language-override: normal; font-size-adjust: none; font-stretch: normal; font-style: normal; font-variant: normal; font-weight: normal; line-height: normal;"> </span></span><span style="line-height: 115%;">Актуальность угроз;</span><span style="line-height: 115%;"><span style="-moz-font-feature-settings: normal; -moz-font-language-override: normal; font-size-adjust: none; font-stretch: normal; font-style: normal; font-variant: normal; font-weight: normal; line-height: normal;"> </span></span></span></li>
<li><span style="font-size: small;"><span style="line-height: 115%;"><span style="-moz-font-feature-settings: normal; -moz-font-language-override: normal; font-size-adjust: none; font-stretch: normal; font-style: normal; font-variant: normal; font-weight: normal; line-height: normal;"> </span></span><span style="line-height: 115%;">Риски связанные с возникновением описанных угроз, и риски их возникновения на предприятии;</span><span style="line-height: 115%;"><span style="-moz-font-feature-settings: normal; -moz-font-language-override: normal; font-size-adjust: none; font-stretch: normal; font-style: normal; font-variant: normal; font-weight: normal; line-height: normal;"> </span></span></span></li>
<li><span style="font-size: small;"><span style="line-height: 115%;"><span style="-moz-font-feature-settings: normal; -moz-font-language-override: normal; font-size-adjust: none; font-stretch: normal; font-style: normal; font-variant: normal; font-weight: normal; line-height: normal;"> </span></span><span style="line-height: 115%;">Потери которые несет организация при возникновении угроз.</span></span></li>
</ul><span style="font-family: Verdana,sans-serif; font-size: small;"> </span> <br />
<div class="MsoNormal" style="font-family: Verdana,sans-serif;"><span style="font-size: small;"><span style="line-height: 115%;"></span><b><i><u><span style="line-height: 115%;">Библиотека угроз. </span></u></i></b></span></div><div class="MsoNormal" style="font-family: Verdana,sans-serif; text-align: justify; text-indent: 35.4pt;"><span style="font-size: small;"><span style="line-height: 115%;">Любая угроза, возникающая в информационной системе предприятия, несёт в себе негативные последствия. Негативные последствия, как правило, рассматриваются как некий ущерб нанесенный существующему активу. </span></span></div><div class="MsoNormal" style="font-family: Verdana,sans-serif; text-align: justify; text-indent: 35.4pt;"><span style="font-size: small;"><span style="line-height: 115%;">Ущерб может быть причинён каким-либо субъектом, либо явиться в результате действий не связанных с субъектом. Определяют два вида ущерба: материальный и моральный. Например: Хищение информации с сервера компании с целью ее незаконного тиражирования другим лицам наносит как моральный, так и материальный ущерб. Для более качественного составления библиотеки угроз я предлагаю существующие угрозы разделить на отдельные классы. Классы можно разделить на угрозы, использующие определённые уязвимости, на случайные и преднамеренные, на угрозы воздействующие на операционные системы или прикладные программы и т.д. и т.п. </span></span></div><span style="font-family: Verdana,sans-serif; font-size: small;"> </span><br />
<div style="font-family: Verdana,sans-serif;"></div><div class="MsoNormal" style="font-family: Verdana,sans-serif; text-align: justify; text-indent: 35.4pt;"><span style="font-size: small;"><span style="line-height: 115%;">Подчеркнуть угрозы можно из различных российский и зарубежных стандартов, из компьютерной литературы по информационной безопасности, из документов ФСТЭК и ФСБ России, ну и конечно же из поисковых систем.</span><b><i><u><span style="line-height: 115%;"> </span></u></i></b></span></div><div class="MsoNormal" style="font-family: Verdana,sans-serif; text-align: justify; text-indent: 35.4pt;"><span style="font-size: small;"><b><i><u><span style="line-height: 115%;"> Категории угроз. </span></u></i></b></span></div><span style="font-family: Verdana,sans-serif; font-size: small;"> </span><br />
<div class="MsoNormal" style="font-family: Verdana,sans-serif; text-align: justify; text-indent: 35.4pt;"><span style="font-size: small;"><span style="line-height: 115%;">Мы говорили, что ГОСТ Р51901.1-2002, делит угрозы на несколько классов, давайте на них подробней остановимся. </span></span></div><div class="MsoNormal" style="font-family: Verdana,sans-serif; text-align: justify; text-indent: 35.4pt;"><span style="font-size: small;"><span style="line-height: 115%;">Стихийное угрозы - это угрозы, возникающие в результате природных катаклизмов:</span></span></div><div class="MsoListParagraphCxSpFirst" style="font-family: Verdana,sans-serif; margin-left: 71.4pt; text-align: justify; text-indent: -18pt;"><span style="font-size: small;"><span style="line-height: 115%;">·<span style="-moz-font-feature-settings: normal; -moz-font-language-override: normal; font-size-adjust: none; font-stretch: normal; font-style: normal; font-variant: normal; font-weight: normal; line-height: normal;"> </span></span><span style="line-height: 115%;">Пожаров;</span></span></div><div class="MsoListParagraphCxSpMiddle" style="font-family: Verdana,sans-serif; margin-left: 71.4pt; text-align: justify; text-indent: -18pt;"><span style="font-size: small;"><span style="line-height: 115%;">·<span style="-moz-font-feature-settings: normal; -moz-font-language-override: normal; font-size-adjust: none; font-stretch: normal; font-style: normal; font-variant: normal; font-weight: normal; line-height: normal;"> </span></span><span style="line-height: 115%;">Наводнений;</span></span></div><div class="MsoListParagraphCxSpMiddle" style="font-family: Verdana,sans-serif; margin-left: 71.4pt; text-align: justify; text-indent: -18pt;"><span style="font-size: small;"><span style="line-height: 115%;">·<span style="-moz-font-feature-settings: normal; -moz-font-language-override: normal; font-size-adjust: none; font-stretch: normal; font-style: normal; font-variant: normal; font-weight: normal; line-height: normal;"> </span></span><span style="line-height: 115%;">Землетрясений;</span></span></div><div class="MsoListParagraphCxSpLast" style="font-family: Verdana,sans-serif; margin-left: 71.4pt; text-align: justify; text-indent: -18pt;"><span style="font-size: small;"><span style="line-height: 115%;">·<span style="-moz-font-feature-settings: normal; -moz-font-language-override: normal; font-size-adjust: none; font-stretch: normal; font-style: normal; font-variant: normal; font-weight: normal; line-height: normal;"> </span></span><span style="line-height: 115%;">Цунами и т.д.</span></span></div><div class="MsoNormal" style="font-family: Verdana,sans-serif; text-align: justify; text-indent: 35.4pt;"><span style="font-size: small;"><span style="line-height: 115%;">В модели угроз, природные катаклизмы занимают небольшое пространство, однако о них тоже не стоит забывать. И в обязательном порядке включать в модель угроз. Во внимание необходимо принимать абсолютно все разновидности угроз. В сфере защиты информации большое внимание уделяется угрозам, связанных с деятельностью человека, преднамеренным или случайным. </span></span></div><div class="MsoNormal" style="font-family: Verdana,sans-serif; text-align: justify; text-indent: 35.4pt;"><span style="font-size: small;"><span style="line-height: 115%;">Человек, это физическое лицо, которое стремиться нанести ущерб вашей организации или попросту злоумышленник. Действия и описание злоумышленника описывает модель нарушителя. Злоумышленник может быть внешним, действующий за пределами контролируемой зоны и внутренний, действующий в пределах контролируемой зоны. </span></span></div><div class="MsoNormal" style="font-family: Verdana,sans-serif; text-align: justify; text-indent: 35.4pt;"><span style="font-size: small;"><span style="line-height: 115%;">К внешним нарушителям могут быть:</span></span></div><div class="MsoListParagraphCxSpFirst" style="font-family: Verdana,sans-serif; margin-left: 53.4pt; text-align: justify; text-indent: -3.75pt;"><span style="font-size: small;"><span style="line-height: 115%;">1.<span style="-moz-font-feature-settings: normal; -moz-font-language-override: normal; font-size-adjust: none; font-stretch: normal; font-style: normal; font-variant: normal; font-weight: normal; line-height: normal;"> </span></span><span style="line-height: 115%;">Конкуренты;</span></span></div><div class="MsoListParagraphCxSpMiddle" style="font-family: Verdana,sans-serif; margin-left: 53.4pt; text-align: justify; text-indent: -3.75pt;"><span style="font-size: small;"><span style="line-height: 115%;">2.<span style="-moz-font-feature-settings: normal; -moz-font-language-override: normal; font-size-adjust: none; font-stretch: normal; font-style: normal; font-variant: normal; font-weight: normal; line-height: normal;"> </span></span><span style="line-height: 115%;">Члены ОПГ;</span></span></div><div class="MsoListParagraphCxSpMiddle" style="font-family: Verdana,sans-serif; margin-left: 53.4pt; text-align: justify; text-indent: -3.75pt;"><span style="font-size: small;"><span style="line-height: 115%;">3.<span style="-moz-font-feature-settings: normal; -moz-font-language-override: normal; font-size-adjust: none; font-stretch: normal; font-style: normal; font-variant: normal; font-weight: normal; line-height: normal;"> </span></span><span style="line-height: 115%;">Недобросовестные партнеры</span></span></div><div class="MsoListParagraphCxSpLast" style="font-family: Verdana,sans-serif; margin-left: 53.4pt; text-align: justify; text-indent: -3.75pt;"><span style="font-size: small;"><span style="line-height: 115%;">4.<span style="-moz-font-feature-settings: normal; -moz-font-language-override: normal; font-size-adjust: none; font-stretch: normal; font-style: normal; font-variant: normal; font-weight: normal; line-height: normal;"> </span></span><span style="line-height: 115%;">Разведывательные службы иностранных государств и т.д. </span></span></div><div class="MsoNormal" style="font-family: Verdana,sans-serif; text-align: justify; text-indent: 35.4pt;"><span style="font-size: small;"><span style="line-height: 115%;">Ко внутренним нарушителям, как правило, относятся работники организации, использующие легально предоставленные права и полномочия. Ими могут быть:</span></span></div><div class="MsoListParagraphCxSpFirst" style="font-family: Verdana,sans-serif; margin-left: 53.4pt; text-align: justify; text-indent: -18pt;"><span style="font-size: small;"><span style="line-height: 115%;">1.<span style="-moz-font-feature-settings: normal; -moz-font-language-override: normal; font-size-adjust: none; font-stretch: normal; font-style: normal; font-variant: normal; font-weight: normal; line-height: normal;"> </span></span><span style="line-height: 115%;">Сотрудники, получившие легальный доступ в информационную систему, а также легальный доступ в КЗ; </span></span></div><div class="MsoListParagraphCxSpMiddle" style="font-family: Verdana,sans-serif; margin-left: 53.4pt; text-align: justify; text-indent: -18pt;"><span style="font-size: small;"><span style="line-height: 115%;">2.<span style="-moz-font-feature-settings: normal; -moz-font-language-override: normal; font-size-adjust: none; font-stretch: normal; font-style: normal; font-variant: normal; font-weight: normal; line-height: normal;"> </span></span><span style="line-height: 115%;">Сотрудники, имеющие легальный доступ в КЗ, но не имеющие доступ в информационную систему (уборщица, водитель…);</span></span></div><div class="MsoListParagraphCxSpLast" style="font-family: Verdana,sans-serif; margin-left: 53.4pt; text-align: justify; text-indent: -18pt;"><span style="font-size: small;"><span style="line-height: 115%;">3.<span style="-moz-font-feature-settings: normal; -moz-font-language-override: normal; font-size-adjust: none; font-stretch: normal; font-style: normal; font-variant: normal; font-weight: normal; line-height: normal;"> </span></span><span style="line-height: 115%;">Сотрудники, имеющие легальный доступ в информационную систему, но не имеющие доступ в КЗ (удаленные сотрудники).</span></span></div><div class="MsoNormal" style="font-family: Verdana,sans-serif; text-align: justify; text-indent: 35.4pt;"><br />
</div><div class="MsoNormal" style="font-family: Verdana,sans-serif; text-align: justify; text-indent: 35.4pt;"><span style="font-size: small;"><b><i><u><span style="line-height: 115%;">Риски.</span></u></i></b></span></div><div class="MsoNormal" style="font-family: Verdana,sans-serif; text-align: justify; text-indent: 35.4pt;"><span style="font-size: small;"><span style="line-height: 115%;">Все риски должны быть учтены и зафиксированы, но для их обработки, организация сама для себя определяет критерии такого выбора. Риски могут быть приняты или не приняты. Для неприятия риска могут быть использованы два параметра: </span></span></div><div class="MsoNormal" style="font-family: Verdana,sans-serif; text-align: justify; text-indent: 35.4pt;"><span style="font-size: small;"><span style="line-height: 115%;">- низкая стоимость риска или когда внедрение системы защиты экономически не выгодно.</span></span></div><div class="MsoNormal" style="font-family: Verdana,sans-serif; text-align: justify;"><span style="font-size: small;"><span style="line-height: 115%;">Определение риска может быть как качественным, так и количественным.</span></span></div><div class="MsoNormal" style="font-family: Verdana,sans-serif; line-height: 150%; text-align: justify; text-indent: 35.4pt;"><span style="font-size: small;"><span style="line-height: 150%;">Качественное определение риска – это определение, где риск оценивается экспертом или группой экспертов. Качественное определение риска всегда является субъективным, так как чаще всего основывается на мнении и знании эксперта определенной области. «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденная заместителем директора ФСТЭК России говорит нам, что оценка проводится качественным путем. В этом же документе не указано, что является экспертной оценкой и кто может ее осуществлять. Но следуя простой человеческой логики, мы приходим к мнению, что эксперт этот тот человек, который прошел необходимые курсы повышения квалификации согласованные со ФСТЭК и\или ФСБ России. Только такой человек может делать оценку рисков и составлять модель угроз. Для оценки рисков существуют отдельные методики и программы, которые можно найти в глобальной сети. Их немного, но они есть. На мой взгляд, выражение риска должно носить определенный финансовый показатель, по которому будет хорошо виден ущерб, нанесённый компании, в результате атаки на активы или в результате не применения мер защиты. Такой показатель можно взять из процентов годового оборота или годовой прибыли, самое главное что бы этот показатель был достаточно четким и имел под собой как математическое, так и логическое обоснование. </span></span></div><div class="MsoNormal" style="font-family: Verdana,sans-serif; text-align: justify;"><span style="font-size: small;"><b><i><u><span style="line-height: 115%;">Меры защиты:</span></u></i></b></span></div><div class="MsoNormal" style="font-family: Verdana,sans-serif; text-align: justify; text-indent: 35.4pt;"><span style="font-size: small;"><span style="line-height: 115%;">Меры защиты информации, применяемые в компании, могут быть организационными или техническими.</span></span></div><div class="MsoNormal" style="font-family: Verdana,sans-serif; text-align: justify; text-indent: 35.4pt;"><span style="font-size: small;"><span style="line-height: 115%;">Организационные меры, менее затратные по отношению к техническим, но наиболее эффективные, что подтверждается многолетней практикой. К числу организационных мер относятся:</span></span></div><div class="MsoNormal" style="font-family: Verdana,sans-serif; text-align: justify; text-indent: 35.4pt;"><span style="font-size: small;"><span style="line-height: 115%;">- создание службы безопасности на предприятии;</span></span></div><div class="MsoNormal" style="font-family: Verdana,sans-serif; text-align: justify; text-indent: 35.4pt;"><span style="font-size: small;"><span style="line-height: 115%;">- внедрение положения о защите информации в компании;</span></span></div><div class="MsoNormal" style="font-family: Verdana,sans-serif; text-align: justify; text-indent: 35.4pt;"><span style="font-size: small;"><span style="line-height: 115%;">- ограничение числа лиц к определенному виду информации;</span></span></div><div class="MsoNormal" style="font-family: Verdana,sans-serif; text-align: justify; text-indent: 35.4pt;"><span style="font-size: small;"><span style="line-height: 115%;">- постоянный мониторинг событий связанных с нарушением информационной безопасности;</span></span></div><div class="MsoNormal" style="font-family: Verdana,sans-serif; text-align: justify; text-indent: 35.4pt;"><span style="font-size: small;"><span style="line-height: 115%;">Организационные меры играют большую роль в обеспечении безопасности активов. Организационные меры – это тот единственный рычаг управления, который остается, когда другие методы и средства отсутствуют или не могут обеспечить необходимый уровень защиты. </span></span></div><div class="MsoNormal" style="font-family: Verdana,sans-serif; text-align: justify; text-indent: 35.4pt;"><span style="font-size: small;"><span style="line-height: 115%;">Технические средства защиты информации, как правило, являются дополнением к организационным мерам и призваны устранить недостатки организационных мер. Для защиты компьютерных систем чаще всего используются технические средства способствующие предотвращению несанкционированного доступа к таким системам. К основным методам защиты информации от НСД как правило относят:</span></span></div><div class="MsoListParagraphCxSpFirst" style="font-family: Verdana,sans-serif; margin-left: 71.4pt; text-align: justify; text-indent: -18pt;"><span style="font-size: small;"><span style="line-height: 115%;">·<span style="-moz-font-feature-settings: normal; -moz-font-language-override: normal; font-size-adjust: none; font-stretch: normal; font-style: normal; font-variant: normal; font-weight: normal; line-height: normal;"> </span></span><span style="line-height: 115%;">Аутентификация и авторизация;</span></span></div><div class="MsoListParagraphCxSpMiddle" style="font-family: Verdana,sans-serif; margin-left: 71.4pt; text-align: justify; text-indent: -18pt;"><span style="font-size: small;"><span style="line-height: 115%;">·<span style="-moz-font-feature-settings: normal; -moz-font-language-override: normal; font-size-adjust: none; font-stretch: normal; font-style: normal; font-variant: normal; font-weight: normal; line-height: normal;"> </span></span><span style="line-height: 115%;">Разграничение прав доступа (мандатный и дискреционный);</span></span></div><div class="MsoListParagraphCxSpMiddle" style="font-family: Verdana,sans-serif; margin-left: 71.4pt; text-align: justify; text-indent: -18pt;"><span style="font-size: small;"><span style="line-height: 115%;">·<span style="-moz-font-feature-settings: normal; -moz-font-language-override: normal; font-size-adjust: none; font-stretch: normal; font-style: normal; font-variant: normal; font-weight: normal; line-height: normal;"> </span></span><span style="line-height: 115%;">Криптографическая защита;</span></span></div><div class="MsoListParagraphCxSpMiddle" style="font-family: Verdana,sans-serif; margin-left: 71.4pt; text-align: justify; text-indent: -18pt;"><span style="font-size: small;"><span style="line-height: 115%;">·<span style="-moz-font-feature-settings: normal; -moz-font-language-override: normal; font-size-adjust: none; font-stretch: normal; font-style: normal; font-variant: normal; font-weight: normal; line-height: normal;"> </span></span><span style="line-height: 115%;">Резервирование и восстановление;</span></span></div><div class="MsoListParagraphCxSpLast" style="font-family: Verdana,sans-serif; margin-left: 71.4pt; text-align: justify; text-indent: -18pt;"><span style="font-size: small;"><span style="line-height: 115%;">·<span style="-moz-font-feature-settings: normal; -moz-font-language-override: normal; font-size-adjust: none; font-stretch: normal; font-style: normal; font-variant: normal; font-weight: normal; line-height: normal;"> </span></span><span style="line-height: 115%;">Обнаружение и предотвращение атак и т.д.</span></span></div><div class="MsoNormal" style="font-family: Verdana,sans-serif; text-align: justify; text-indent: 35.4pt;"><span style="font-size: small;"><span style="line-height: 115%;">Информация может быть считана и с предметов находящихся в непосредственной близости от источника информации – это канал утечки информации. Основным признаком такого канала является физическая природа носителя. По этому признаку выделяют акустические, оптические, радиоэлектронные и материально-вещественные носители информации. Такие носители информации также необходимо защищать техническими устройствами. </span></span></div><div class="MsoNormal" style="font-family: Verdana,sans-serif; text-align: justify; text-indent: 35.4pt;"><span style="font-size: small;"><span style="line-height: 115%;">Не следует также забывать и о правовых нормах защиты информации, но надо помнить, что при использовании законодательных мер, с сотрудниками компании необходимо постоянно проводить разъяснительную работу. Правовые меры эффективны только при постоянном общении с сотрудниками компании. В модели угроз необходимо указывать меры по предотвращению угрозы. На сколько детально вы это будете делать, зависит только от вас. Вы можете просто написать один из вариантов: технические меры или организационные, а можете детально описать выбранный вами метод включая полное описание мер защиты информации.</span></span></div><div class="MsoNormal" style="font-family: Verdana,sans-serif; text-align: justify; text-indent: 35.4pt;"><span style="font-size: small;"><span style="line-height: 115%;">Это краткая инструкция как писать модель угроз, что включать в нее и на что стоит обратить внимание. </span></span></div></div>А.С. Макаренкоhttp://www.blogger.com/profile/03988045552836095015noreply@blogger.com0tag:blogger.com,1999:blog-2496507244515215377.post-66734860147435931372011-04-05T07:22:00.000-07:002011-04-05T07:23:57.686-07:00Сертифицированное ПО для защиты виртуальных инфраструктур<div dir="ltr" style="text-align: left;" trbidi="on"><div class="separator" style="clear: both; text-align: center;"><b><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhxIObopsJMauFg7XFlHKX_GSks8cJ06f6FK-DSTA7PGyDNrMDnUnhkd6D2dX2Px8VoK7p1ptlBPLgpyJMdhlNWgglvKAF8d6T9COig6x2f9IiMNVLNpuM3awgcmfMGeweP1hYTErcfogc/s1600/logo.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhxIObopsJMauFg7XFlHKX_GSks8cJ06f6FK-DSTA7PGyDNrMDnUnhkd6D2dX2Px8VoK7p1ptlBPLgpyJMdhlNWgglvKAF8d6T9COig6x2f9IiMNVLNpuM3awgcmfMGeweP1hYTErcfogc/s1600/logo.png" /></a></b></div><span style="font-size: small;"><span class="news-date-time"><b>04.04.2011 года</b> </span></span><b><span style="font-size: small;">Компания «Код Безопасности» объявила об успешном прохождении продуктом vGate 2 сертификационных испытаний и получении им сертификата соответствия Федеральной службы по техническому и экспортному контролю (ФСТЭК России). <a href="https://www.safe-line.ru/press-center/news/9433/">Новость полностью.</a></span></b></div>А.С. Макаренкоhttp://www.blogger.com/profile/03988045552836095015noreply@blogger.com0tag:blogger.com,1999:blog-2496507244515215377.post-29891117765846245272011-04-02T01:40:00.000-07:002011-04-02T01:55:30.874-07:00ПДн и автомобили<div dir="ltr" style="text-align: left;" trbidi="on"><br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiJiHE1eE8v-FFWva6z3NCu-oq80dhR0_3x0ozl-d7CWU12WAr05-cgZoFRO804rgN9bfMAH8OWu6utzR9NEnLcmUdj70skEbPQEqTnRLH0K1pamh7rn2J8cA5OpEE8QKUUJMrnrTptrvA/s1600/%25D0%25B2%25D0%25B0%25D0%25B7.jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="128" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiJiHE1eE8v-FFWva6z3NCu-oq80dhR0_3x0ozl-d7CWU12WAr05-cgZoFRO804rgN9bfMAH8OWu6utzR9NEnLcmUdj70skEbPQEqTnRLH0K1pamh7rn2J8cA5OpEE8QKUUJMrnrTptrvA/s200/%25D0%25B2%25D0%25B0%25D0%25B7.jpg" width="200" /></a></div><div style="text-align: justify;"> Решил я на днях заказать себе автомобиль, мой уже старенький и бывавший вида "железный конь" явно нуждается в замене. Покатался по салонам, посмотрел цены и комплектации. В одном из салонов обратил внимание на договор купли продажи автомобиля, одним из пунктов которого было.. </div><div class="MsoNormal"></div><a name='more'></a> ..При осуществлении Вами покупки продуктов или услуг у ООО «дед мороз», предоставляемые Вами персональные данные будут сохранены в наших файлах для дальнейшего использования. Это осуществляется с несколькими целями, включая обслуживание клиентов, маркетинг, исследования рынка, получения данных о продажах, отзыв автомобилей, подтверждение данных, а также для связи с Вами. Дальше идет целых 20 строчек разъяснения кто и зачем будет использовать мои ПДн... <br />
<div></div><div class="MsoNormal" style="text-align: justify;"> ...Перечень персональных данных, на обработку которых дает свое согласие Покупатель: </div><div style="text-align: justify;"><ol><li>ФИО;</li>
<li> Год, месяц, дата и место рождения;</li>
<li>Половая принадлежность и т.д;</li>
</ol></div><div style="text-align: justify;"></div><div class="MsoNormal" style="text-align: justify;"> В конце пункта идет пояснение, что если покупатель не согласен с условиями хранения, целями обработки, а также условиями использования его ПДн, то в этом случае необходимо уведомить дилера. Каким способом уведомить, не совсем понятно. То ли надо писать письмо в российское представительство, то ли надо просто сказать об этом менеджеру, мне пока не известно. В следующее посещение салона обязательно поинтересуюсь у дилера. Далее Вы даете согласие на обработку Ваших ПДн и ставите свой автограф под этим пунктом. Пункт о ПДн завершён. </div><div class="MsoNormal" style="text-align: justify;">Меня очень заинтересовало и как же обстоят дела с защитой ПДн у наших дилеров. И вот целый день катаясь по разным автосалонам, смотря машины от ВАЗ-а до Porche и требуя в каждом салоне показать мне тот самый договор купли-продажи автомобиля я пришел к выводу что:</div><div class="MsoNormal" style="text-align: justify;"> Из 5 дилеров торгующих автомобилями, только у 2 оказался пункт о персональных данных. А с учетом того, что эти дилеры продают более 10 автомобильных марок, средняя продажа автосалона, это около 100 машин в месяц, то можно посчитать сколько людей отдали свои ПДн на растерзание автомобильным компаниям. Вот такие вот дела. </div></div>А.С. Макаренкоhttp://www.blogger.com/profile/03988045552836095015noreply@blogger.com0tag:blogger.com,1999:blog-2496507244515215377.post-69367792819106311682011-03-16T23:17:00.000-07:002011-03-16T23:18:13.667-07:00Правовые акты по ЗИ<div dir="ltr" style="text-align: left;" trbidi="on"><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEidgH-oaB_MQKaZK5Yv0g8eXzo6v6jHEe_dbyrK2jPdzEs6aAOaYaNDwpta0m2K5XV6l-rgfebo4m7KGEMbeVfZRhEYBtAPd3O-8tCvBaxms9wktDSIxwHUoyPkQFAMxSv6JAR2-ozsjrw/s1600/%25D0%259D%25D0%259F%25D0%2590.jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEidgH-oaB_MQKaZK5Yv0g8eXzo6v6jHEe_dbyrK2jPdzEs6aAOaYaNDwpta0m2K5XV6l-rgfebo4m7KGEMbeVfZRhEYBtAPd3O-8tCvBaxms9wktDSIxwHUoyPkQFAMxSv6JAR2-ozsjrw/s320/%25D0%259D%25D0%259F%25D0%2590.jpg" width="220" /></a></div><div style="text-align: justify;"> С появлением Федерального закона №152 "О персональных данных" от 27.07.2006 года, многим компаниям надо получить лицензию по ТЗКИ. Не будем сейчас рассуждать зачем она им, достаточно упоминуть, что таких компаний стало на порядок больше. Процедура получения лицензий описана в ФЗ №128 "О лицензировании отдельных видов деятельности" от 08.08.2001 года, ПП №504 "О лицензировании деятельности по технической защите конфиденциальной информации". Одним из пунктов лицензионного требования к соискателю лицензии является:</div><span style="font-family: "Times New Roman","serif"; font-size: 12pt; line-height: 115%;">"...наличие нормативных правовых актов, нормативно-методических и методических документов по вопросам технической защиты информации в соответствии с перечнем, установленным Федеральной службой по техническому и экспортному контролю..."</span><span style="font-family: "Times New Roman","serif"; font-size: 12pt; line-height: 115%;"></span><br />
<a name='more'></a><br />
<span style="font-family: "Times New Roman","serif"; font-size: 12pt; line-height: 115%;">Но нигде не сказано, какие именно нормативные акты должны там быть, но есть отсылка на перечень, который имеется в </span><span style="font-family: "Times New Roman","serif"; font-size: 12pt; line-height: 115%;">Федеральной службой по техническому и экспортному контролю. Что ж следует ознакомится с этим перечнем, идем на официальный сайт ФСТЭК в раздел<span style="font-size: small;"> </span></span><span style="font-size: small;">"Информационно-справочная система по документам в области технической защиты информации". </span><br />
Внимательно ознакомившись со списком предлагаемых нам документов, понимаем, что часть документов устарело и уже не имеют силы, часть документов заменена, более новыми версиями. Поэтому соискателю надо быть очень внимательным при составлении такого списка. Теперь о некоторых нюансах составления данного списка:<br />
<div style="text-align: justify;">1. Не надо брать список документов с сайта и в таком виде включать в лицензионное дело. Таким образом Вы покажете, что не знакомы с действующим законодательством и существующими НПА в сфере защиты информации. Мой Вам совет, потратить немного времени и сделать свой адекватный список. А кто не хочет этим заниматься, тот может взять список <a href="http://www.itsec.ru/articles2/licences/documents-tzki">отсюда.</a> Однако следует помнить, что жизненный цикл у документов тоже существует ;-)</div><div style="text-align: justify;">2. При составлении списка, ранжируйте документы по юридической силе: ФЗ, УП, ПП и т.д. и т.п.</div><div style="text-align: justify;">ЗЫ, удачи в получении лицензии...</div><br />
<br />
</div>А.С. Макаренкоhttp://www.blogger.com/profile/03988045552836095015noreply@blogger.com2tag:blogger.com,1999:blog-2496507244515215377.post-61594383233704797492011-03-15T00:33:00.000-07:002011-03-15T00:33:58.283-07:00Очередной юбилей клуба ИТ-директоров Юга России<div dir="ltr" style="text-align: left;" trbidi="on"><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgSNj3MkzOLoxT5DrjtBqzy59hIsZ_9lRcGD-e6mGeVStQr6_wmArR1Tc79IV8UUvU6T72K-8G-4hv6jIRTPD84Ea1J3G09cznPpqk2jL-iUH1S8TR35CeyM6DlEBNJ5f42YAO-t1xsRUU/s1600/cio+club.jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgSNj3MkzOLoxT5DrjtBqzy59hIsZ_9lRcGD-e6mGeVStQr6_wmArR1Tc79IV8UUvU6T72K-8G-4hv6jIRTPD84Ea1J3G09cznPpqk2jL-iUH1S8TR35CeyM6DlEBNJ5f42YAO-t1xsRUU/s1600/cio+club.jpg" /></a></div><div style="font-family: Verdana,sans-serif;"><span style="font-size: small;">24 марта 2011 года в 18:30 <a href="http://www.clubcio.ru/index.php">CIO CLUB Юг</a> празднует свое 4-летие</span></div><a name='more'></a><span style="font-size: small;"><span style="font-family: Verdana,sans-serif;">Встреча пройдет в РЦ GoodZone по адресу г. Ростов-на-Дону ул. Зорге, д.33, ТРЦ Талер. </span></span> <br />
<br />
<div style="font-family: Verdana,sans-serif;"><span style="font-size: small;">В программе вечера: награждение членов и партнеров, дружеский турнир по боулингу, веселая лотерея и отличное настроение в кругу коллег и друзей! </span></div><div style="font-family: Verdana,sans-serif;"><span style="font-size: small;"><br />
</span></div><div style="font-family: Verdana,sans-serif;"><span style="font-size: small;">ВНИМАНИЕ! Предварительная регистрация ОБЯЗАТЕЛЬНА! </span></div><div style="font-family: Verdana,sans-serif;"><span style="font-size: small;">Участие для членов Клуба бесплатное.</span></div><div style="font-family: Verdana,sans-serif;"><span style="font-size: small;">Пройти регистрацию можно <a href="http://www.clubcio.ru/bitrix/reg.php">тут</a>..</span></div></div>А.С. Макаренкоhttp://www.blogger.com/profile/03988045552836095015noreply@blogger.com0tag:blogger.com,1999:blog-2496507244515215377.post-77535151848535040762011-03-14T06:22:00.000-07:002011-03-14T06:23:26.813-07:00Обучение по ПДн<div dir="ltr" style="text-align: left;" trbidi="on"><div class="separator" style="clear: both; text-align: center;"><img border="0" height="148" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh4rHAk3T57J4pPUb8-_EsvBfPw0nSxOd4lOwmZAictj_PrZcm9qsCOwoK_dtqeYXuIh9RJvcGVueygPrGVJjMp2me2yafoEmdLyym8-BEdssW7Nxyt-IGoDHWvIahnxhMs59Y3OHMlmCY/s320/logokopiya.png" width="320" /><span id="goog_1272395992"></span><span id="goog_1272395993"></span></div><br />
<div style="font-family: Verdana,sans-serif;"><span style="font-size: small;"> С 04.04.2011 года в Краснодаре <a href="http://academy.it.ru/ru/program/school/ib/ib-protection/index.php?product_id4=4881">Академия АйТи</a> проведёт обучение по теме:<b> Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных. </b></span></div><a name='more'></a><span style="font-size: small;"><span style="font-family: Verdana,sans-serif;"> Настоящий курс содержит 72 часа лекционных и практических занятий и является курсом повышения квалификации. Материал курса согласован со ФСТЭК России. </span></span><br />
<span style="font-size: small;"><span style="font-family: Verdana,sans-serif;">Курс состоит из 4 частей:</span></span><br />
<span style="font-size: small;"><span style="font-family: Verdana,sans-serif;"></span><span style="font-family: Verdana,sans-serif;">1. </span><span style="font-family: Verdana,sans-serif;">Организационно-правовые основы технической защиты конфиденциальной информации и обеспечения безопасности персональных данных.</span></span><br />
<div style="font-family: Verdana,sans-serif;"><span style="font-size: small;">2. Выявление угроз и уязвимостей безопасности персональных данных.</span></div><span style="font-size: small;"><span style="font-family: Verdana,sans-serif;">3. Рекомендации и основные мероприятия по организации и техническому обеспечению безопасности персональных данных.</span></span><span style="font-family: "Times New Roman","serif"; font-size: 12pt;"> </span><br />
<span style="font-size: small;"><span style="font-family: Verdana,sans-serif;"> Думаю курс будет интересен специалистам в области защиты информации, сотрудникам отвечающим за работу с персональными данными. </span></span><span style="font-family: "Times New Roman","serif"; font-size: 12pt;"> </span></div>А.С. Макаренкоhttp://www.blogger.com/profile/03988045552836095015noreply@blogger.com1tag:blogger.com,1999:blog-2496507244515215377.post-53965023835182117562011-03-12T02:54:00.000-08:002011-03-13T03:05:51.182-07:00Этапы Аудита<div dir="ltr" style="text-align: left;" trbidi="on"><div class="10" style="font-family: Verdana,sans-serif; margin-top: 0cm; text-indent: 35.4pt;"><span style="font-size: small;">В 21 веке не осталось компании, которая в своем бизнесе не использует информационные технологии для улучшения качества предоставляемых услуг, не использует глобальную сеть (</span><span lang="EN-US" style="font-size: small;">Internet</span><span style="font-size: small;">) для связи с партнёрами по всему миру и не обрабатывает данные на компьютерах. Компьютеризация огромными шагами идет по стране. Президент России Д. Медведев поддерживает использование в школах электронных книг, разные ведомства внедряют у себя системы электронного документооборота. Каждый день компьютеров и устройств, основанных на микропроцессорах, становится в сотни раз больше, чем было вчера. <a href="http://a-makarenko.blogspot.com/p/blog-page.html">Далее.. </a></span></div></div>А.С. Макаренкоhttp://www.blogger.com/profile/03988045552836095015noreply@blogger.com0tag:blogger.com,1999:blog-2496507244515215377.post-1220689796086689152011-03-11T11:05:00.000-08:002011-03-11T11:05:13.567-08:00Хороший админ - админ долго работающий у ВАС!<div dir="ltr" style="text-align: left;" trbidi="on">Расскажу на ночь весёлую сказку про пароли и ушедших админов. Понимаю, что сказка стара, но что поделать, коль события этой сказки постоянно происходят в нашей жизни.<br />
Жили были две компании, одна та, которая оказывала услуги (КА), друга та, которая эти услуги потребляла (КБ). Жили они дружно и счастливо, достаточно долго, и вот между ними пробежала черная кошка. Спустя полгода, пришлось мне принимать участие в одном проекте по внедрению СЗИ в КБ. В один прекрасный момент, после аудита ИБ, выясняется, что до сих пор, (более полугода) КА или ее системные администраторы не сменили пароли к учётным записям с повышенными привелегиями в своей информационной системе после расторжения контракта с КБ. А это каналообразующее оборудование, более 20 серверов, системы электронной корреспонденции и многое другое. Остается надеяться, что КБ оказалась достаточно порядочной, чтобы не воспользоваться предоставленными возможностями...<br />
До каких пор, мы, люди отвечающие за безопасность компании, так не уважительно будем относиться к своей работе?<br />
Вопрос конечно риторический. <br />
<br />
<br />
<br />
<br />
</div>А.С. Макаренкоhttp://www.blogger.com/profile/03988045552836095015noreply@blogger.com1tag:blogger.com,1999:blog-2496507244515215377.post-17609503409474459182011-03-10T05:46:00.000-08:002011-03-17T09:30:24.796-07:00eScan. Всё в одном.<div dir="ltr" style="text-align: left;" trbidi="on"><div style="font-family: Arial,Helvetica,sans-serif;"><span style="font-size: small;"> В конце прошлого года компания <b><span style="line-height: 115%;">MicroWorld </span></b></span><span style="font-size: small; line-height: 115%;">пришла </span><span style="font-size: small; line-height: 115%;">на рынок ИБ России с линейкой <a href="http://www.avescan.ru/">антивирусных решений</a>. </span><span style="font-size: small; line-height: 115%;">В течении последних месяцев компания серьезно сконцентрировалась на маркетинге.</span></div><div style="font-family: Arial,Helvetica,sans-serif;"><span style="font-size: small; line-height: 115%;"> Появились публикации о продукте</span><span style="font-size: small;"><b><span style="line-height: 115%;"> <a href="http://www.3dnews.ru/news/antivirusnie-resheniya-escan-11-vihodyat-na-rossiyskiy-rinok">тут</a> и <a href="http://www.thg.ru/technews/20101025_214000.html">тут</a></span></b></span><span style="font-size: small; line-height: 115%;">. Даже у нас на местных форумах мелькают баннеры с их продуктами. Надо было протестировать этот продукт и на одной партнерской конференции я выиграл коробочную версию продукта </span><span style="color: black; font-size: small;">eScan 11 Internet Security Suite и решил попробовать дома этот продукт. </span><br />
<a name='more'></a><span style="color: black; font-size: small;"><br />
</span><br />
<span style="color: black; font-size: small;"> По приезду домой сразу решил опробовать продукт. Инсталляция тривиальная , как всегда нажимаем кнопку "далее" и ждём установки программы. После установки сразу полез пробовать разные фичи заявленные компанией.</span></div><div style="font-family: Arial,Helvetica,sans-serif;"><span style="color: black; font-size: small;">1. Блокировка USB устройств. Функция на самом деле достаточно нужна и интересная в корпоративном сегменте, когда многие системные администраторы закрывают пользователям возможность пользоваться usb устройствами. На моем домашнем компьютере я тестировал флешки, жесткий диск и фотоаппарат. Из протестированных мной 3 флешек, доступ я смог закрыт 2, одна почему не блокировалась, то ли сказался год выпуска (ей уже более 5 лет, то ли еще что-то). К жесткому диску, перекрыть доступ не получилось, писать я смог на него даже после блокировки, а вот фотоаппарат сработал на ура. SD карточка на нем блокировалась. </span></div><div style="font-family: Arial,Helvetica,sans-serif;"><span style="color: black; font-size: small;">2. Игровой режим тестировался на играх call of duty и king's bounty, то ли с моим компьютером ничего не происходило то ли так и задумано, но ни каких окон и предупреждений не выскакивало. </span></div><div style="font-family: Arial,Helvetica,sans-serif;"><span style="color: black; font-size: small;">3. Что меня расстроило так это поведение брандмауэра, по каким то ему известным причинам он вдруг переставал пускать torrent'ы. Лечилось перезапуском службы. Что не есть хорошо, и доводило меня до белого каления. </span></div><div style="font-family: Arial,Helvetica,sans-serif;"><span style="color: black; font-size: small;">4. Что порадовало так это создание диска аварийного восстановления, можно создать образ и далее при заражении восстановить точку. С этим я экспериментировать не стал, поверим на слово. </span></div><div style="font-family: Arial,Helvetica,sans-serif;"><span style="color: black; font-size: small;">5. И самое главное - ловля вирусов. Не буду заниматься рекламой и антирекламой продуктов. Могу сказать, что как и любой антивирус он видит некоторые вирусы, которых не видят другие продукты, но с той же легкостью не обращает внимание на другие известные вирусы.</span></div><div style="font-family: Arial,Helvetica,sans-serif;"><span style="color: black; font-size: small;">Впрочем, продукт достаточно интересный, особенно с учётом диска восстановления, и блокировкой usb устройств. Думаю со временем, системные администраторы обратят на него внимание. </span></div><div style="font-family: Arial,Helvetica,sans-serif;"><span style="color: black; font-size: small;">А тем временем PR компания данного продукта большими шагами идет по стране. </span></div><div style="font-family: Arial,Helvetica,sans-serif;"><span style="color: black; font-size: small;"><br />
</span></div><div style="font-family: Arial,Helvetica,sans-serif;"><span style="color: black; font-size: small;">Зы сертификацию во ФСТЭК обещали сделать к лету 2011 года. Будем ждать.Еще одним сертифицированным решением будет больше. </span></div></div>А.С. Макаренкоhttp://www.blogger.com/profile/03988045552836095015noreply@blogger.com0