пятница, 17 февраля 2012 г.

Off-line трансляция с Уральского форума

Для тех, у кого на работах запрещен твиттер и прочие радости цивилизации, скачал и просеял твиты Лукацкого по теме Магнитогорской конференции.
Файл читать с конца :-)

 

Или же на GoogleDocs

понедельник, 13 февраля 2012 г.

Уральский форум

Пока все ушли на базу, читать улетели на уральский форум, я открыл програмку сего мероприятия и стал ее изучать. И всё мне в ней понравилось и про горнолыжный курорт тоже, только один нюанс идет поперек всему позитиву - надоевший всем интеграторский пиар, а именно вот эти шесть выступлений:
1. Подготовка к сертификации по PCI DSS в организациях банковской сферы. Кабест.
2. О способах оценки степени соответствия комплексу стандартов БР с применением различных технических средств. ДиалогНаука.
3. Лучшие практики по управлению доступом в рамках требований СТО БР ИББС, PCI DSS, 152 - ФЗ. Лета.
4. Мониторинг ИБ в банке. Новые сервисные технологии.
5. Практические аспекты построения систем мониторинга событий информационной безопасности в автоматизированных банковских системах. Диалог Наука.
6. Применение SoC для защиты от электронного мошенничества. Энвижн Груп.

Почему я так считаю? Да потому, что интерес представляют точки зрения регуляторов, представителей ИБ финансовых организаций, производителей СЗИ в обозначенной области, но уж никак не консалтеров. Имхо.

воскресенье, 12 февраля 2012 г.

Оценка hardware (перевод из книги CISA)

Во время проведения инфраструктурного и операционного аудита, оценка hardware должна рассматривать следующие вопросы:
  • Обеспечивается ли непрерывный мониторинг производительности hardware?
  • Какие критерии используются для оценки производительности hardware и основываются ли они на ретроспективном анализе логов ошибок, отчетов о выполнении заданий?
Оценка плана закупки hardware должна рассматривать следующие вопросы:
  • Сравнивается ли план закупки hardware с бизнес-планом организации для того, чтобы учитывать бизнес-требования?
  • Соответствует ли установленное, а также новое hardware инфраструктуре организации, закуплено ли оно в соответствии с планом?
  • Согласуется ли план закупок hardware с планом ИБ и учитывает ли он какие-либо недостатки в ИБ?
  • Учитывает ли план закупок hardware используемые устаревшие технологии и их замену новым оборудованием?
  • Адекватна ли документация спецификациям на hardware и требованиям к его установке?
Оценка критериев закупки ПК должна рассматривать следующие вопросы:
  • Разработаны ли политики ИБ в соответствии с которыми закупаются ПК и передаются сотрудникам?
  • Разработаны ли критерии и процедуры по которым закупаются ПК для сотрудников?
  • Проводится ли анализ цен, по которым закупаются ПК для сотрудников?
  • Дают ли скидки или другие преференции компании производители при покупках их ПК?
Контроль изменения в hardware должен рассматривать следующие вопросы:
  • Процесс внесения изменений формализован, документирован, согласован и утвержден?
  • Существует ли индивидуальная ответственность за соблюдение расписания по внесению изменений в конфигурации?
  • Существует ли разработанный график тестирования и установки нового hardware?
  • Оценивается ли ИБ департаментом документация, используемая операторами для проведения изменений?
  • Осуществляются ли планы проведения изменений своевременно, существует ли график проведения изменений в производственной среде?
  • Участвуют ли системные и прикладные программисты, а также персонал ИБ во всех изменениях hardware, при необходимости?
  • Не влияют ли проводимые изменения на эффективность и нормальное функционирование прикладного ПО в производственной среде?

Оценка системного ПО (перевод из книги CISA)

При проведении аудита системного ПО в части разработки, закупки или сопровождения должны учитываться следующие моменты:
Интервьюирование технического персонала проводится для:
  • процесса выбора и утверждения решений
  • тестирования процедур разработки ПО
  • оценки и утверждения процедур по результатам тестирования
  • процедур внедрения
  • требований к документированию
Оценка процедур выбора системного ПО проводится для:
  • выполнения короткосрочных и долгосрочных планов ИБ
  • выполнения процедур ИБ и их контроля
  • изучения возможностей ПО и их контроля
  • соответствия требованиям ИБ
  • соответствия возможностей ПО бизнес-целям
Оценка процесса выбора системы показывает, что:
  • цели предлагаемой системы соответствуют требованиям
  • критерии выбора применяются для всех предложенных систем
Оценка анализа затрат и выгод от системного ПО учитывает:
  • прямые финансовые вложения в продукт
  • стоимость обслуживания
  • стоимость оборудования и его необходимая мощность
  • обучение и требования к технической поддержке ПО
  • влияние продукта на другие продукты
  • влияние на безопасность данных
  • финансовую надежность поставщика услуг
Оценка процесса установки и внесения изменений показывает, что:
  • всё необходимое ПО обновляется с предшествующих версий на последние
  • изменения системного ПО планируются так, чтобы снизить влияние на ИБ
  • план тестирования предусматривает тестирование изменений перед их установкой
  • тестирование проводится в соответствии с планом
  • проблемы, выявленные в ходе тестирования, разрешены и изменения тестируются повторно
  • процедуры тестирования адекватны и дают гарантии того, что применение изменений будет корректным и не создаст новых проблем
  • любое ПО проверяется до того как оно попадет в производственную среду
  • должны быть процедуры отмены установки и/или возврата в прежнее состояние
Оценка уровня обслуживания системного ПО необходима, чтобы:
  • примененные изменения документировались
  • текущие версии системного ПО поддерживались производителем
Оценка уровня контроля за проведением изменений показывает, что:
  • доступ к библиотекам системного ПО ограничен только лицами, которым нужен такой доступ
  • изменения должны быть такие как это указывается в документации на них, а также протестированы до их применения
  • после их тестирования изменений должно быть разрешение на их применение в производственной среде
Оценка уровня документации включает:
  • отчеты об установке
  • таблицы параметров
  • выходные данные
  • рабочие логи или отчеты
Оценка тестирования и внедрения включает:
  • процедуры изменений
  • процедуры явного разрешения доступа
  • процедуры безопасного доступа
  • документирование требований
  • документирование тестирования систем
  • проведения аудита
  • контроль доступа в ПО установленного в производственной среде
Оценка документации в части предоставления прав доступа включает:
  • оценку процедур добавления, удаления или изменения прав доступа и их применения только после утверждения
  • оценку попыток нарушения прав доступа и их расследование
Оценка системы безопасности ПО:
  • процедуры должны запрещать обходить установленные логические контроли доступа
  • процедуры должны ограничивать ситуации с нарушением доступа в систему
  • процедуры должны управлять установкой патчей и содержать систему всегда обновленной
  • безопасность системного ПО должна быть достаточной
  • существующие физические и логические меры должны запрещать доступ пользователей к консолям с административными возможностями
  • пароли, установленные производителями, должны быть изменены во время установки

вторник, 7 февраля 2012 г.

Курсы по СКЗИ

В информагентстве блоге Лукацкого появился пост о заключении Минкомразвития на проект ПП РФ о лицензировании разработке и производству СКЗИ.
Согласно тексту ПП для проведения работ организация должна иметь в штате:
-        руководителя с образованием по ИБ или на худой конец 500 часов по ИБ
-        специалистов с образованием по ИБ или на худой конец 100 часов по ИБ
Я какое-то время назад заканчивал 72-часовые курсы по теме СКЗИ, поэтому эта тема мне знакома. Смотрим классификатор специальностей по нашей теме. Мне только не понятен код 090108. Может быть это не высшее образование?!

Вот самый интересный курс по теме переподготовки на специальность ИБ,  а также чтобы набрать нужные «свыше 500 аудиторских часов». Это «Академия Айти» - CSO. Программа профессиональной переподготовки руководителей и специалистов в области информационной безопасности 540 часов / 8 мес. с ценником 126 000 руб. А вот их косяк из буклета по курсам ИБ:

Я год назад интересовался этим курсом, даже запросил информацию о преподавательском составе и опыте их работе. Удивительно, но Академия мне эту информацию предоставила! До сих пор регулярно звонят с предложениями об этом курсе.
По 72-часовым курсам по теме СКЗИ сейчас есть следующие интересные предложения, на «выходе» которых помимо знаний будет документ о переподготовки государственного образца:
УЦ «Информзащита» только предлагает сумму из двух курсов:
-        БТ01. Безопасность информационных технологий. 5 дней с ценником 28 950 руб. и
-        Т010. Использование ЭЦП и PKI на основе "Удостоверяющего Центра "КриптоПро". 4 дня с ценником 29 810 руб.
«Академия Айти» - ИБ011. Обеспечение информационной безопасности с использованием шифровальных (криптографических) средств. 9 дней с ценником 35 000 руб.
УЦ «Маском» - М 7.0. Криптографическая защита информации в организации. Очно-заочное обучение 5+5 дней с ценником 42 800 руб.
Сейчас же предлагается увеличить количество часов с 72 до 100 часов! 100 часов это 12 дней. В принципе, можно уложиться и в 2 недели, как это сделано в Маскоме (трюк с заочными часами обучения). К чему это может привести:
-        нальют дополнительной воды в программу
-        увеличат ценник как минимум на треть
Что делать тем, кто уже имеет такие корочки? На мой взгляд, закон обратной силы не имеет и получится, так сказать, обратная совместимость. А, может быть, всё не так плохо как кажется? Ведь обучения знаний никогда не бывает много. Известна ведь фраза «Учиться, учиться и еще раз учиться» (с) Ленин, которую я полностью разделяю.