понедельник, 25 ноября 2013 г.

ФСТЭК - обсуждение мер по защите ГИС


ФСТЭК приглашает обсудить проект документа с мерами по защиты информации в ГИС. Соответствующее информационное сообщение размещено на сайте службы. Сам документ доступен в разделе "Техническая защита информации" - "Документы" - "Проекты" или по прямой ссылке.

Замечания по документу предлагается оформлять в соответствии с приложением к информационному сообщению и направлять по электронной почте project@fstec.

В ближайшее время постараюсь написать свой анализ данного документа.

пятница, 1 ноября 2013 г.

Уязвимости гипервизора – угроза виртуальной инфраструктуре и облаку

При переходе от физической инфраструктуры к виртуальной возникает множество новых угроз. При расширении виртуализации до облака их список расширяется, а возможный ущерб от их эксплуатации многократно возрастает. В этой статье хотелось бы поговорить про одну из основных «новых» угроз в виртуальной среде – уязвимости гипервизора. Рассмотрим основные классы уязвимостей гипервизоров на примере VMware vSphere и возможные пути защиты от их эксплуатации.

понедельник, 28 октября 2013 г.

Обзор проекта ГОСТ по защите информации в "облаках"

Мой предыдущий обзор проекта ГОСТ по защите виртуализации вызвал небольшой ажиотаж и стал самой популярной записью в блоге за последний месяц, поэтому я решил написать обещанный обзор второго документа, подготовленного ТК №362 - проекта ГОСТ по защите информации, обрабатываемой с использованием технологий "облачных вычислений".

понедельник, 21 октября 2013 г.

VMware Certified Associate - бесплатная сертификация специалиста

Компания VMware представила новые базовые курсы по трем направлениям - виртуализация, облака и VDI. В честь запуска курсов и открытия онлайн-сертификации по ним, предоставляется бесплатный доступ к обучению и сдаче экзамена до конца октября.

Перечень курсов:

понедельник, 7 октября 2013 г.

Sесure World 2013

Последние пару недель выдались тихими, сразу после посещения DLP Russia, о которой уже написали, наверное, все посетившие мероприятия коллеги, я ушел в отпуск и был занят далекими от информационной безопасности делами. Но отпуск прошел и нужно возвращаться в строй.

Серьезные статьи ждут вас чуть позже, а сейчас хотелось бы пригласить вас на конференцию Sесure World 2013. Конференция однодневная, проходит 10 октября в Санкт-Петербурге (место проведения - Холидей ИНН, Московский пр., 97).

План проведения мероприятия почти классический - вступительная часть, четыре тематических секции и демо-зона. От нашей компании во второй секции будет выступать региональный представитель Денис Полянский с темой «Защита виртуальной инфраструктуры компании». Также у нас будет стенд в демо-зоне, где я буду демонстрировать наши продукты и отвечать на вопросы посетителей.

Кроме докладов от вендоров, на конференции запланированы три интересных выступления от государственных организаций:
  1. «Реализация концепции информационной безопасности Ленинградской области», докладчик - заместитель руководителя ГКУ ЛО "Оператор электронного правительства" (Правительство Ленинградской области) Андрей Свистунов;
  2. «Использование средств аутентификации граждан», докладчик - технический директор  УОС (Универсальная электронная карта) Игорь Орлов;
  3. «Кибербезопасность в современных условиях. ИБ Открытого университета», докладчик -  CIO СПБГУ Илья Горбунов.
Зарегистрироваться на мероприятие можно по этой ссылке.

P.S. В тот же день в Москве проходит Kaspersky Virtualization Conference 2013, на которой выступит Хамаганов Яков, менеджер по продукту vGate.

среда, 11 сентября 2013 г.

РД НДВ - выполнение проверки "Контроль соответствия исходных текстов ПО его объектному (загрузочному) коду"

Давно собирался сделать две вещи - начать писать статьи про проведение сертификационных испытаний по "РД НДВ" и выложить какой-нибудь свой проект на GitHub, переведя его в open-source. Пришло время совместить приятное с полезным и сегодня я открываю цикл статей про сертификацию программного обеспечения на соответствие требованиям по уровням контроля отсутствия недекларированных возможностей.

среда, 4 сентября 2013 г.

Обучающий семинар по защите виртуализации (Санкт-Петербург)

Наша компания проводит регулярные семинары для партнеров в Санкт-Петербургском офисе. В ближайшее время состоится обучающий семинар по защите виртуализации. Это будет новый для нас формат, все предыдущие мероприятия были теоретическими и проводились в формате презентаций, планируемый семинар будет практическим - мы будем в реальном времени демонстрировать развертывание и настройку нашего продукта по защите виртуальной инфраструктуры - vGate.

Семинар пройдет 20 сентября, начало в 10:30, планируемое время окончания - 15:00.
Место проведения: г. Санкт-Петербург, Пискаревский пр-т, д. 2, корп. 3, лит. А, БЦ «Бенуа», 2 этаж, офис 210, схема проезда.

К сожалению, у нас не очень большой размер помещения, поэтому количество участников семинара очень ограничено, в данный момент свободно всего около 5 мест. Форма регистрации на семинар располагается тут (необходима регистрация как партнера).


понедельник, 2 сентября 2013 г.

Обзор проекта ГОСТ по защите виртуализации

На сайте технического комитета по стандартизации № 362 ("Защита информации") выложен проект ГОСТ Р ХХХХХ-20ХХ «Защита информации. Требования по защите информации, обрабатываемой с использованием технологии виртуализации . Основные положения», разработанный ФАУ "ГНИИИ ПТЗИ ФСТЭК России". Данный стандарт рассматривает требования по защите виртуализации во всех аспектах, в том числе виртуальные сети, СХД и sandbox'ы. В данной статье приведен мой обзор этого документа.

суббота, 24 августа 2013 г.

Заметка о получении ГОСТ РО 0043-003-2012 и ГОСТ РО 0043-004-2013 (стандарты по аттестации)

После ссылки на ГОСТ РО 0043-003-2012 "Аттестация объектов информатизации. Общие положения" и ГОСТ РО 0043-004-2013 "Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний" в одной из старых записей, в мой блог постоянно приходят пользователи, находящиеся в поисках этих самых ГОСТов. И это не удивительно, данные стандарты носят обязательный характер для ГИСов и ряда других информационных систем, при этом они носят гриф "Для Служебного Пользования" (ДСП) и найти их в открытом доступе практически невозможно.

К сожалению, я не могу помочь моим читателям с получением текстов стандартов, но могу направить по правильному пути для их получения. Получить, а точнее, купить копию ГОСТ РО 0043-003-2012 и  ГОСТ РО 0043-004-2013 можно в организации ФГУП «СТАНДАРТИНФОРМ», на этой странице приведены контактные данные. Будьте готовы, что у вас запросят нотариально заверенную копию лицензий ФСТЭК по ТЗКИ. В некоторых случаях также запрашивали копии лицензий ФСБ на работу с гостайной, но это неправомерно - данные ГОСТы не относятся к сведениями, составляющим государственную тайну и применяются для информационных систем, которые могут не содержать гостайну.

Для ознакомления с сутью ГОСТ РО 0043-003-2012 рекомендую запись Артема Агеева, а  ГОСТ РО 0043-004-2013 предназначен скорее для органов по аттестации, чем для интеграторов и эксплуататоров аттестуемых информационных систем.

четверг, 22 августа 2013 г.

Трактование мер по обеспечению безопасности персональных данных и ГИС

При составлении таблицы выполнения продуктами Код Безопасности мер по обеспечению безопасности персональных данных, у нас с коллегами то и дело разгорались споры по трактовке этих самых мер.

Берем, к примеру, одну из первых мер - ИАФ.2, которая звучит как "Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных". Первый же вопрос - что такое мобильные и портативные устройства. Чем мобильные отличаются от портативных? Можем ли мы говорить, что ноутбук - это портативное устройство, а нетбук - мобильное? Никаких критериев и пояснений нет, значит - можем. Ставим уверенный плюс, даже если продукт работает только под Windows.

Идем дальше, ИАФ.5 - "Защита обратной связи при вводе аутентификационной информации", менеджеры продуктов предлагают варианты на перебой - подписывание авторизационного трафика при удаленном доступе, слежение за перехватом Windows API и детектирование кейлогеров при локальном вводе данных, использование токенов с PIN-кодами и так далее. А тут в твиттере выдвигают простое предположение:


И такие примеры можно привести практически по каждому пункту. Что делать интеграторам и разработчикам средств защиты? Моё мнение - трактовать меры по защите по своему усмотрению, по крайней мере, до выхода методических документов ФСТЭК, обещанных нам в конце этого года. Впрочем, правовой статус методических документов еще нужно будет выяснять, вполне возможно, что документы будут носить рекомендательный характер, если их обязательное применение не пропишут в очередном приказе ФСТЭК.

среда, 7 августа 2013 г.

vGate Compliance Checker - обзор

В предыдущей заметке я поднял вопрос об аудите безопасности виртуальной инфраструктуры путем анализа конфигурации и мне поступило несколько вопросов по нашей бесплатной утилите vGate Compliance Checker.
vGate Compliance Checker позволяет быстро и просто проверить соответствие настроек виртуальной инфраструктуры требованиям отраслевых стандартов, рекомендаций и лучших практик. Поддерживается проверка ESX- и ESXi-серверов из состава VMware vSphere 4.1, VMware vSphere 5 и VMware vSphere 5.1. Предыдущая версия утилиты работает с ESX из состава VMware Infrastructure 3 и VMware vSphere 4.

понедельник, 5 августа 2013 г.

Заметка об аудите безопасности виртуальной инфраструктуры путем анализа конфигурации

Тема автоматизированного аудита безопасности виртуальной инфраструктуры уже не раз поднималась в различных публикациях. Сегодня на Хабре появилась очередная статья по данной теме.
В статье автор приводит краткий обзор отличий угроз физической инфраструктуры от виртуальной, хотя, на мой взгляд, в части угроз, старая публикация на том же Хабре от компании КРОК более информативная и полна.
Суть же статьи сводится к анонсу разработки автоматизированного средства для аудита настроек виртуальной инфраструктуры для поиска ошибок в конфигурации. В конечном счете всё сводится к проверки на соответствие VMware Security Hardening Guides.
VMware Security Hardening Guides - это Exсel-документ, содержащий список критически важных настроек для ESXi, виртуальных машин, виртуальных сетей и т.д. По каждому параметру описана проблематика, приведено рекомендуемое значение параметра и различные комментарии.
Проверяя соответствие ВИ рекомендациям VMware Security Hardening Guides добиться закрытия угрозы неправильного конфигурирования ВИ нельзя. Существует еще много возможных вариантов реализации этой угрозы - неправильные настройки доступов, некорректные сетевые настройки виртуальных машин (например, добавление виртуальной машины во внутреннюю сеть администрирование - частая ошибка администраторов ВИ) и так далее.
Кроме того, уже существуют утилиты для автоматизированных проверок на соответствие требованиям - vGate Compliance CheckerVMware vCenter Configuration Manager Free Compliance Checkers (в отличие от vGate CC, не поддерживает vSphere 5.1) и другие.
Однако готового автоматизированного средства для реальной проверки правильности конфигурирования, а не проверки соответствия требованиям и рекомендациям, в данный момент на рынке нет. Кроме того, написать такое средство достаточно сложно - либо в нем нужно будет реализовывать сложную эвристику с множеством ложных срабатываний, либо процесс подготовки к автоматизированному аудиту будет сравним по сложности с самим аудитом.

понедельник, 29 июля 2013 г.

205-ФЗ - расширение полномочий органов прокуратуры в части доступа к ПДн

С 3 августа вступает в силу Федеральный закон № 205-ФЗ от 23 июля 2013 года "О внесении изменений в отдельные законодательные акты Российской Федерации в связи с уточнением полномочий органов прокуратуры Российской Федерации по вопросам обработки персональных данных", который вносит изменения в 168-ФЗ (о прокуратуре), 152-ФЗ (о персональных данных) и 323-ФЗ (об основах охраны здоровья).

В 152-ФЗ вносится разрешение обрабатывать специальные персональные данные (без согласия субъектов) органам прокуратуры, при осуществлении прокурорского надзора.

понедельник, 22 июля 2013 г.

Разъяснение действия ПП-266 - ответ СВР

В первой версии записи "Нужно ли использовать сертифицированные СЗИ в ИСПДн?" моего блога я рассматривал вопрос оценки соответствия СЗИ и апеллировал к постановлению Правительства №266 от 21.04.2010, в обсуждениях на площадке DLP-Expert эксперты убедили меня, что это постановление относится только к загранучреждениям. Однако я не поленился отправить запрос в правительство, который был перенаправлен в Службу внешней разведки:

Публикация персональных данных и конфиденциальной информации в социальных сетях

Многие пользователи совершенно не задумываются о безопасности свои персональных данных и конфиденциальной информации. Выложить в Twitter фотографию своей банковской карты? Легко! Разместить скан паспорта в Инстаграме? Конечно! Опубликовать служебные пароли Вконтакте? Без проблем!
Давайте посмотрим, что интересного можно найти в популярных социальных сетях.

вторник, 16 июля 2013 г.

Информационное сообщение ФСТЭК с разъяснениями по 17 и 21 приказам

ФСТЭК выпустила информационное сообщение от 15 июля 2013 г. N 240/22/2637 с разъяснением различных вопросов, касающихся 21 и 17 приказов ФСТЭК. В частности, даны разъяснения об указании уровня контроля отсутствия НДВ в сертификатах на СОВ/АВЗИ.

Краткое содержание данного информационного сообщения:
  1. 21 приказ ФСТЭК вступил в силу со 2 июня 2013 г., 17 приказ вступает в силу с 1 сентября 2013 года. Переаттестация ИС не нужна.
  2. При обработке ПДн в ГИС нужно руководствоваться 17 приказом, с учетом п. 27 этого приказа (соответствие мер по защите классов ГИС и уровней защищенности ПДн).
  3. Оценка эффективности принимаемых мер по защите производится оператором или привлеченным лицензиатом, методики составляются на своё усмотрение, можно проводить оценку эффективности в виде аттестации по ГОСТ РО 0043-003-2012. Для ГИС - в рамках обязательно аттестации, методики - по ГОСТ РО 0043-004-2013.
  4. Требования 17-го приказа распространяются на муниципальные ИС, если иное явно не предусмотрено законодательством.
  5. СТР-К и РД АС не отменяются 17 приказом и продолжают действовать. СТР-К применяется для реализации мер по защите технических средств (ЗТС.1), остальное из СТР-К применяется по решению операторов, если это не противоречит 17 приказу.
  6. В приказах ФСТЭК термин "информационная система" имеет то же значение, что и термин "автоматизированная система" (грубо говоря).
  7. В сертификатах на СОВ и СрЗИ уровень контроля НДВ не указывается, но в ИСПДн и ГИС используется, подразумевая его наличие. Подробнее в моей заметке об указании уровня контроля отсутствия НДВ в сертификатах на СОВ/АВЗИ.
  8. Дополнительные меры по нейтрализации 1 и 2 типов угроз выбираются оператором, но ФСТЭК планирует выпуск отдельных документов по вопросам тестирования на проникновение и защищенному программированию.
  9. ФСТЭК завершает разработку методических документов по описанию содержания мер защиты и порядку моделирования угроз в ИСПДн и ГИС. Ориентировочный срок утверждения документов – IV квартал 2013 г.
  10. ФСТЭК работает над методическими документами, определяющими порядок обновления ПО в аттестованных ИС, порядок выявления и устранения уязвимостей в
    ИС, порядок реагирования на инциденты.
  11. Разъяснений ПП-1119 по определению типов угроз ПДн и порядка определения
    уровней защищенности от ФСТЭК не будет, разъяснить может только Правительство, у ФСТЭК нет полномочий.

пятница, 12 июля 2013 г.

Негосударственные организации и 17 приказ ФСТЭК (на примере ВУЗов и ФИС ЕГЭ и Приема)

В свете скорого вступления в силу 17-го приказа ФСТЭК, утверждающего требования о защите информации в ГИСах, у нас с коллегами  возникло обсуждение о защите информации в негосударственных ВУЗах, которые осуществляют подключение к ГИС "ФИС ЕГЭ и Приема", который присутствует в Реестре федеральных государственных информационных систем и однозначно подпадает под действие 17-го приказа.

понедельник, 8 июля 2013 г.

Защищаем виртуальную инфраструктуру по требования 21 и 17 приказов ФСТЭК

Важность защиты виртуальной инфраструктуры не вызывает вопросов, список новых угроз, возникающих при переходе от физических серверов к виртуальным, обширен, и ФСТЭК впервые в 21 и 17 приказах не обошел эту проблему стороной. Давайте разберемся, какие средства защиты информации способны выполнить базовые меры из требований приказов ФСТЭК.

Рассмотрим базовые мерами по защите, указанные в 11 разделе "Защита среды виртуализации (ЗСВ)" таблицы из приложений к приказам ФСТЭК:

пятница, 5 июля 2013 г.

Заметка об указании уровня контроля отсутствия НДВ в сертификатах на СОВ/АВЗИ

Не раз уже приходилось слышать, что получившие недавно сертификаты на СОВ и АВЗИ продукты нельзя использовать в ИСПДн с высоким уровнем защищенности ПДн из-за отсутствия в сертификатах указания на проведение испытаний по уровню контроля отсутствия НДВ.
С одной стороны, если смотреть на 21-й приказ ФСТЭК, это действительно так:
Для обеспечения 1 и 2 уровней защищенности персональных данных, а также для обеспечения 3 уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены угрозы 2-го типа, применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей.
Но текущая позиция ФСТЭК такова - в требованиях к СОВ и АВЗИ для каждого класса указан требуемый оценочный уровень доверия и уровень контроля отсутствия НДВ (уровни контроля соответствуют классу защиты, для 5-6 классов - требование не предъявляется).

При прохождении сертификационных испытаний проверки на отсутствие НДВ выполняются в полном объеме, в соответствии с "РД НДВ", однако по каким-то своим причинам в сертификат как отдельный тип испытаний результат данных проверок не вписываются. Таким образом, при наличии сертификата на СОВ/АВЗИ продукт считается прошедшим испытания на отсутствие НДВ по соответствующему классу, однако напрямую это нигде не написано.

Но, так как документального подтверждения факта прохождение проверки на отсутствие НДВ нет, как нет и официальных разъяснений от регулятора, использование СОВ и АВЗИ без сертификата на НДВ остается на страх и риск оператора.

Возможно, моя информация по данному вопросу является не полной, приглашаю к дискуссии в комментариях.

четверг, 4 июля 2013 г.

Опасность пользования чужими Wi-Fi сетями

Публикации на тему законодательства и "бумажной" безопасности у меня получаются не очень хорошо, поэтому попробую себя в другом жанре - поговорим о безопасности практической. Темой сегодняшнего поста будет опасность пользования чужими Wi-Fi сетями.
Я думаю, многие специалисты уже знакомы с этой темой, но и они, возможно, найдут в этой статье что-нибудь новое для себя.

Начнем разговор с открытых Wi-Fi сетей, так любимых многими за отсутствие паролей, доступность во многих публичных местах и, обычно, неплохую скорость интернета (если сравнивать с доступом по мобильным сетям). Но открытые сети таят в себе очень большую опасность - весь трафик буквально "витает в воздухе", никакого шифрования и защиты от перехвата. Любой пользователь без специальных знаний, с помощью готовых программ может перехватить и проанализировать весь ваш трафик.

Давайте посмотрим, как это происходит - для демонстрации я перевел свою домашнюю точку доступа в режим открытой сети:


Затем, я подключился к этой сети с ноутбука и с Android-планшета, на планшет я установил приложение Intercepter-NG, оно доступно также под Windows. Приложение требует права супер-пользователя, после запуска стартовое окно приглашает провести сканирование доступных в зоне видимости компьютеров:


Отметив свой ноутбук (IP 192.168.0.101) - перехожу на следующий экран и запускаю перехват пакетов. После этого на ноутбуке открываю Яндекс:


Сниффер уверенно отловил открытие страниц, а если перейти на вкладку с изображением печенья, то можно просмотреть и список всех моих Cookie-файлов, которые мой браузер на ноутбуке передавал и получал при просмотре сайтов. При этом нажав на любую из строчек Intercepter-NG открывает браузер и подставляет перехваченные Cookie, таким образом даже не отловив момент авторизации жертвы на интересующем сайте, можно войти в его открытую сессию. Данный тип атаки носит называние "session hijacking" - "похищение" сессии.


Итак, я продемонстрировал на практике, что защита в открытой Wi-Fi сети отсутствует в принципе. Но в заголовке этого поста написано "чужих" Wi-Fi сетей, а не "открытых". Перейдем к другому аспекту беспроводной безопасности - перехвату трафика внутри закрытой сети. 
Я перенастроил роутер, включив WPA2 с pre-shared ключем (такой тип защиты Wi-Fi сетей используется в 80% точек доступа):


Снова подключаюсь к сети с ноутбука и планшета и вновь запускаю Intercepter-NG - при сканировании он вновь видит ноутбук - выбираю его и запускаю перехват трафика, параллельно с ноутбука захожу на несколько сайтов с HTTP-Basic авторизацией, и вот что вижу на планшете:


Трафик успешно перехвачен - "злоумышленник" теперь знает мой пароль к веб-интерфейсу роутера и еще одному сайту. Кроме того, session hijacking так же работает - ведь перехватывается весь трафик.

В случае использования WEP и WPA всё очень просто, для шифрования разных устройств в одной сети используются одинаковые ключи. Так как "злоумышленник" тоже знает этот ключ и сидит в этой же сети, он всё так же перехватывает весь трафик и расшифровывает его знакомым ключом.
Я же использовал WPA2, в которой эта проблема была решена и клиенты используют разные ключи шифрования, однако в нем присутствует серьезная уязвимость и, зная ключ авторизации и перехватив определенный набор пакетов можно раскрыть так называемый Pairwise Transient Key - ключ, которым шифруется трафик для интересующего нас клиента.

Как показала практика, частично решить проблему можно включением опции AP Isolation, которую поддерживают большинство современных Wi-Fi-роутеров:


Однако это не панацея, пропадает возможность перехвата с помощью Intercepter-NG под Android, но более функциональные утилиты, например, Airodump-ng продолжают работать. Подробнее различие в работе этих утилит и причины неработоспособности Intercepter-NG я не изучал, отложив эту тему на потом.
Кроме этого, узнать включена ли изоляция в той сети, куда вы подключаетесь (например, в кафе или на мероприятии) без практической проверки нельзя.

В опасности использования чужих Wi-Fi сетей мы разобрались, остается вопрос защиты. Способов достаточно много, основная идея - дополнительное шифрование всего трафика, а уж методов реализации достаточно - строгое использование SSL везде, где это возможно (HTTPS, SSH, SFTP, SSL-POP, IMAP4-SSL и т.д.), подключение через VPN, использование распределенной сети шифрования типа TOR и так далее. Эта тема достаточно обширна и ей стоит посвятить отдельную запись.

среда, 3 июля 2013 г.

Корректировка записи об использовании сертифицированных СЗИ в ИСПДн

Как правильно подсказали коллеги в обсуждении на DLP-expert и в твиттере, я ошибся на счет применения постановления Правительства РФ № 266 от 21 апреля 2010 г., подробный анализ этого документа уже делался Алексеем Волковым и самую главную фразу:
"Организация и проведение обязательной сертификации продукции осуществляются в порядке, определяемом федеральным органом исполнительной власти, уполномоченным в области внешней разведки, в пределах его компетенции"
я ненамеренно пропустил. Поэтому предыдущий пост был откорректирован - ссылка на ПП-266 была убрана. Основным аргументом остается применение информационного сообщения ФСТЭК и постановления Правительства РФ № 330 от 15 мая 2010 г. с грифом ДСП, законность действия которого обосновал Михаил Емельянников в Facebook-комментариях на  DLP-expert:
...ПП-330 ... выпущено до ФЗ-261, устанавливающего обязательность опубликования, и вполне легитимно по этой причине.. 

вторник, 2 июля 2013 г.

Анализ документа RISSPA по проблемам выбора СЗИ для виртуализированных инфраструктур


Санкт-Петербургское отделение ассоциация профессионалов в области информационной безопасности RISSPA подготовило и опубликовало брошюру «Проблема выбора средств защиты информации для виртуализированных инфраструктур». Ознакомится с информационным сообщением и самой брошюрой можно на сайте RISSPA.

К сожалению, в документе есть ряд недостатков, о которых и хотелось бы написать.

Вводная часть документа выполнена неплохо, касаемо угроз виртуальной инфраструктуре, лучшими материалами по этой теме является корпоративный пост компании КРОК на Хабре и обзор на нашем сайте. Но, в целом, основные моменты указаны и в брошюре RISSPA.

Главная идея по защите виртуализации также отражена правильно:
 "Надежную систему защиты виртуализированной инфраструктуры необходимо строить сразу в нескольких направлениях: одновременно применять защитные механизмы, встроенные в платформу виртуализации, специализированные средства защиты, а также те средства защиты,которые уже используются в инфраструктуре компании."
Не забыли упомянуть и о разных классах средств защиты, но когда речь зашла непосредственно о СЗИ - всё смешалось в одну кучу, затруднив восприятие информации. В таблице, в которой перечислены средства защиты и выполняемые ими базовые меры, много несоответствий.Так, например, Cisco ASA 1000V являясь классическим межсетевым экраном ASA, адаптированным для виртуальной инфраструктуры, согласно таблицы  RISSPA обладает функциональностью по идентификация и аутентификация субъектов и объектов в виртуальной инфраструктуре, управляет перемещением виртуальных машин, контролирует целостность конфигурации и осуществляет резервное копирование данных. Аналогичная ситуация и с многими другими указанными в таблице СЗИ.  Конечно, в документе указано замечание, что таблица составлена на основе информации, предоставленной разработчиками средств защиты и разработчики ставили отметку, даже если средство "может участвовать в выполнении технической меры" или "может поддерживать выполнение технической меры", но это откровенное лукавство.

Отдельного внимания заслуживает и следующая фраза из брошюры:
"Необходимость использования сертифицированных средств защиты информации по-прежнему остается одним из самых спорных вопросов"
Ответ на этот вопрос совершенно однозначный, но почему-то эксперты продолжают считать его спорным.

Если рассматривать брошюру  RISSPA в целом - проделана хорошая работа по обобщению разрозненной информации и сделан еще один шаг в сторону популяризации необходимости защиты виртуальной инфраструктуры. Кроме того, теперь мы можем добавить новый значок в презентацию по vGate:

В ближайшее время я подготовлю статью со своими рекомендациями по выбору средств защиты виртуализации, подписывайтесь на обновления блога по RSS, читайте меня в Twitter.

Нужно ли использовать сертифицированные СЗИ в ИСПДн?


После выхода приказа ФСТЭК №21 от 18 февраля 2013 года эксперты приступили к обсуждению вопроса – обязательно ли использовать сертифицированные средства защиты информации (СЗИ) при создании системы защиты ИСПДн. Операторы персональных данных замерли в ожидании их решения. Но к единой точки зрения эксперты не пришли, поэтому я попробую еще раз разобраться в этом вопросе.

К сожалению, при написании 21 приказа специалисты ФСТЭК и приглашенные эксперты использовали следующую формулировку, которая и вызывает вопросы:

«4. Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.»

По этому пункту приказа, однозначно не следует, что любые средства защиты информации должны быть сертифицированы, причем понимать вопроса сразу два. Во-первых, можно понимать данный пункт как карт-бланш на использование любых СЗИ, в том числе и сертифицированных, во-вторых, многие специалисты настаивают на мнении, что процедура оценки соответствия – это не обязательно сертификация по требованиям безопасности информации.

Для однозначного ответа на первый вопрос о необходимости использования только СЗИ, прошедших процедуру оценки соответствия,  достаточно обратиться к постановлению Правительства РФ № 1119 от 1 ноября 2012 г. "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", в 13 пункте которого указано, что для обеспечения 4-го уровня защищенности ПДн необходимо выполнить следующее требование:

«г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз»

В остальные уровни защищенности ПДн это требования также входит. На основании этого пункта, обязательно применение СЗИ, прошедших процедуру оценки соответствия, для нейтрализации актуальных угроз. Неактуальные угрозы можно защищать любыми СЗИ, но неактуальные угрозы никто, как правило, не защищает.

Остается только вопрос о расшифровке термина "процедура оценки соответствия". Есть мнения, что оценкой соответствия может быть не только обязательная сертификация в системе сертификации ФСТЭК, но и декларирование соответствия (разработчиком СЗИ) или добровольная сертификация – в негосударственных системах сертификации.
Обратимся к истории, в отмененном постановлении Правительства РФ № 781 от 17 ноября 2007 г. было четкое указание, что оценка соответствия проводится с помощью экспертизы ФСТЭК или ФСБ. А вот в новом постановлении такого пункта уже нет, но сохраняет своё действие  постановление Правительства РФ № 330 от 15 мая 2010 г., выпущенное под грифом ДСП, которым было принято "Положение об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов её проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения.", в соответствии с которым оценка соответствия проводится в форме обязательной сертификации.

Дополнительные разъяснения по данному вопросу даны в информационном сообщении ФСТЭК № 240/24/1701 от 4 мая 2012 года, в котором однозначно указана позиция регулятора – СЗИ, используемые для защиты персональных данных, подлежат обязательной сертификации в системе сертификаии ФСТЭК на соответствия требованиям, установленным ФСТЭК.
Это должно развеять все сомнения и дать однозначный ответ - процедура оценки соответствия - это только сертификация по требованиям безопасности информации