понедельник, 29 июля 2013 г.

205-ФЗ - расширение полномочий органов прокуратуры в части доступа к ПДн

С 3 августа вступает в силу Федеральный закон № 205-ФЗ от 23 июля 2013 года "О внесении изменений в отдельные законодательные акты Российской Федерации в связи с уточнением полномочий органов прокуратуры Российской Федерации по вопросам обработки персональных данных", который вносит изменения в 168-ФЗ (о прокуратуре), 152-ФЗ (о персональных данных) и 323-ФЗ (об основах охраны здоровья).

В 152-ФЗ вносится разрешение обрабатывать специальные персональные данные (без согласия субъектов) органам прокуратуры, при осуществлении прокурорского надзора.

понедельник, 22 июля 2013 г.

Разъяснение действия ПП-266 - ответ СВР

В первой версии записи "Нужно ли использовать сертифицированные СЗИ в ИСПДн?" моего блога я рассматривал вопрос оценки соответствия СЗИ и апеллировал к постановлению Правительства №266 от 21.04.2010, в обсуждениях на площадке DLP-Expert эксперты убедили меня, что это постановление относится только к загранучреждениям. Однако я не поленился отправить запрос в правительство, который был перенаправлен в Службу внешней разведки:

Публикация персональных данных и конфиденциальной информации в социальных сетях

Многие пользователи совершенно не задумываются о безопасности свои персональных данных и конфиденциальной информации. Выложить в Twitter фотографию своей банковской карты? Легко! Разместить скан паспорта в Инстаграме? Конечно! Опубликовать служебные пароли Вконтакте? Без проблем!
Давайте посмотрим, что интересного можно найти в популярных социальных сетях.

вторник, 16 июля 2013 г.

Информационное сообщение ФСТЭК с разъяснениями по 17 и 21 приказам

ФСТЭК выпустила информационное сообщение от 15 июля 2013 г. N 240/22/2637 с разъяснением различных вопросов, касающихся 21 и 17 приказов ФСТЭК. В частности, даны разъяснения об указании уровня контроля отсутствия НДВ в сертификатах на СОВ/АВЗИ.

Краткое содержание данного информационного сообщения:
  1. 21 приказ ФСТЭК вступил в силу со 2 июня 2013 г., 17 приказ вступает в силу с 1 сентября 2013 года. Переаттестация ИС не нужна.
  2. При обработке ПДн в ГИС нужно руководствоваться 17 приказом, с учетом п. 27 этого приказа (соответствие мер по защите классов ГИС и уровней защищенности ПДн).
  3. Оценка эффективности принимаемых мер по защите производится оператором или привлеченным лицензиатом, методики составляются на своё усмотрение, можно проводить оценку эффективности в виде аттестации по ГОСТ РО 0043-003-2012. Для ГИС - в рамках обязательно аттестации, методики - по ГОСТ РО 0043-004-2013.
  4. Требования 17-го приказа распространяются на муниципальные ИС, если иное явно не предусмотрено законодательством.
  5. СТР-К и РД АС не отменяются 17 приказом и продолжают действовать. СТР-К применяется для реализации мер по защите технических средств (ЗТС.1), остальное из СТР-К применяется по решению операторов, если это не противоречит 17 приказу.
  6. В приказах ФСТЭК термин "информационная система" имеет то же значение, что и термин "автоматизированная система" (грубо говоря).
  7. В сертификатах на СОВ и СрЗИ уровень контроля НДВ не указывается, но в ИСПДн и ГИС используется, подразумевая его наличие. Подробнее в моей заметке об указании уровня контроля отсутствия НДВ в сертификатах на СОВ/АВЗИ.
  8. Дополнительные меры по нейтрализации 1 и 2 типов угроз выбираются оператором, но ФСТЭК планирует выпуск отдельных документов по вопросам тестирования на проникновение и защищенному программированию.
  9. ФСТЭК завершает разработку методических документов по описанию содержания мер защиты и порядку моделирования угроз в ИСПДн и ГИС. Ориентировочный срок утверждения документов – IV квартал 2013 г.
  10. ФСТЭК работает над методическими документами, определяющими порядок обновления ПО в аттестованных ИС, порядок выявления и устранения уязвимостей в
    ИС, порядок реагирования на инциденты.
  11. Разъяснений ПП-1119 по определению типов угроз ПДн и порядка определения
    уровней защищенности от ФСТЭК не будет, разъяснить может только Правительство, у ФСТЭК нет полномочий.

пятница, 12 июля 2013 г.

Негосударственные организации и 17 приказ ФСТЭК (на примере ВУЗов и ФИС ЕГЭ и Приема)

В свете скорого вступления в силу 17-го приказа ФСТЭК, утверждающего требования о защите информации в ГИСах, у нас с коллегами  возникло обсуждение о защите информации в негосударственных ВУЗах, которые осуществляют подключение к ГИС "ФИС ЕГЭ и Приема", который присутствует в Реестре федеральных государственных информационных систем и однозначно подпадает под действие 17-го приказа.

понедельник, 8 июля 2013 г.

Защищаем виртуальную инфраструктуру по требования 21 и 17 приказов ФСТЭК

Важность защиты виртуальной инфраструктуры не вызывает вопросов, список новых угроз, возникающих при переходе от физических серверов к виртуальным, обширен, и ФСТЭК впервые в 21 и 17 приказах не обошел эту проблему стороной. Давайте разберемся, какие средства защиты информации способны выполнить базовые меры из требований приказов ФСТЭК.

Рассмотрим базовые мерами по защите, указанные в 11 разделе "Защита среды виртуализации (ЗСВ)" таблицы из приложений к приказам ФСТЭК:

пятница, 5 июля 2013 г.

Заметка об указании уровня контроля отсутствия НДВ в сертификатах на СОВ/АВЗИ

Не раз уже приходилось слышать, что получившие недавно сертификаты на СОВ и АВЗИ продукты нельзя использовать в ИСПДн с высоким уровнем защищенности ПДн из-за отсутствия в сертификатах указания на проведение испытаний по уровню контроля отсутствия НДВ.
С одной стороны, если смотреть на 21-й приказ ФСТЭК, это действительно так:
Для обеспечения 1 и 2 уровней защищенности персональных данных, а также для обеспечения 3 уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены угрозы 2-го типа, применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей.
Но текущая позиция ФСТЭК такова - в требованиях к СОВ и АВЗИ для каждого класса указан требуемый оценочный уровень доверия и уровень контроля отсутствия НДВ (уровни контроля соответствуют классу защиты, для 5-6 классов - требование не предъявляется).

При прохождении сертификационных испытаний проверки на отсутствие НДВ выполняются в полном объеме, в соответствии с "РД НДВ", однако по каким-то своим причинам в сертификат как отдельный тип испытаний результат данных проверок не вписываются. Таким образом, при наличии сертификата на СОВ/АВЗИ продукт считается прошедшим испытания на отсутствие НДВ по соответствующему классу, однако напрямую это нигде не написано.

Но, так как документального подтверждения факта прохождение проверки на отсутствие НДВ нет, как нет и официальных разъяснений от регулятора, использование СОВ и АВЗИ без сертификата на НДВ остается на страх и риск оператора.

Возможно, моя информация по данному вопросу является не полной, приглашаю к дискуссии в комментариях.

четверг, 4 июля 2013 г.

Опасность пользования чужими Wi-Fi сетями

Публикации на тему законодательства и "бумажной" безопасности у меня получаются не очень хорошо, поэтому попробую себя в другом жанре - поговорим о безопасности практической. Темой сегодняшнего поста будет опасность пользования чужими Wi-Fi сетями.
Я думаю, многие специалисты уже знакомы с этой темой, но и они, возможно, найдут в этой статье что-нибудь новое для себя.

Начнем разговор с открытых Wi-Fi сетей, так любимых многими за отсутствие паролей, доступность во многих публичных местах и, обычно, неплохую скорость интернета (если сравнивать с доступом по мобильным сетям). Но открытые сети таят в себе очень большую опасность - весь трафик буквально "витает в воздухе", никакого шифрования и защиты от перехвата. Любой пользователь без специальных знаний, с помощью готовых программ может перехватить и проанализировать весь ваш трафик.

Давайте посмотрим, как это происходит - для демонстрации я перевел свою домашнюю точку доступа в режим открытой сети:


Затем, я подключился к этой сети с ноутбука и с Android-планшета, на планшет я установил приложение Intercepter-NG, оно доступно также под Windows. Приложение требует права супер-пользователя, после запуска стартовое окно приглашает провести сканирование доступных в зоне видимости компьютеров:


Отметив свой ноутбук (IP 192.168.0.101) - перехожу на следующий экран и запускаю перехват пакетов. После этого на ноутбуке открываю Яндекс:


Сниффер уверенно отловил открытие страниц, а если перейти на вкладку с изображением печенья, то можно просмотреть и список всех моих Cookie-файлов, которые мой браузер на ноутбуке передавал и получал при просмотре сайтов. При этом нажав на любую из строчек Intercepter-NG открывает браузер и подставляет перехваченные Cookie, таким образом даже не отловив момент авторизации жертвы на интересующем сайте, можно войти в его открытую сессию. Данный тип атаки носит называние "session hijacking" - "похищение" сессии.


Итак, я продемонстрировал на практике, что защита в открытой Wi-Fi сети отсутствует в принципе. Но в заголовке этого поста написано "чужих" Wi-Fi сетей, а не "открытых". Перейдем к другому аспекту беспроводной безопасности - перехвату трафика внутри закрытой сети. 
Я перенастроил роутер, включив WPA2 с pre-shared ключем (такой тип защиты Wi-Fi сетей используется в 80% точек доступа):


Снова подключаюсь к сети с ноутбука и планшета и вновь запускаю Intercepter-NG - при сканировании он вновь видит ноутбук - выбираю его и запускаю перехват трафика, параллельно с ноутбука захожу на несколько сайтов с HTTP-Basic авторизацией, и вот что вижу на планшете:


Трафик успешно перехвачен - "злоумышленник" теперь знает мой пароль к веб-интерфейсу роутера и еще одному сайту. Кроме того, session hijacking так же работает - ведь перехватывается весь трафик.

В случае использования WEP и WPA всё очень просто, для шифрования разных устройств в одной сети используются одинаковые ключи. Так как "злоумышленник" тоже знает этот ключ и сидит в этой же сети, он всё так же перехватывает весь трафик и расшифровывает его знакомым ключом.
Я же использовал WPA2, в которой эта проблема была решена и клиенты используют разные ключи шифрования, однако в нем присутствует серьезная уязвимость и, зная ключ авторизации и перехватив определенный набор пакетов можно раскрыть так называемый Pairwise Transient Key - ключ, которым шифруется трафик для интересующего нас клиента.

Как показала практика, частично решить проблему можно включением опции AP Isolation, которую поддерживают большинство современных Wi-Fi-роутеров:


Однако это не панацея, пропадает возможность перехвата с помощью Intercepter-NG под Android, но более функциональные утилиты, например, Airodump-ng продолжают работать. Подробнее различие в работе этих утилит и причины неработоспособности Intercepter-NG я не изучал, отложив эту тему на потом.
Кроме этого, узнать включена ли изоляция в той сети, куда вы подключаетесь (например, в кафе или на мероприятии) без практической проверки нельзя.

В опасности использования чужих Wi-Fi сетей мы разобрались, остается вопрос защиты. Способов достаточно много, основная идея - дополнительное шифрование всего трафика, а уж методов реализации достаточно - строгое использование SSL везде, где это возможно (HTTPS, SSH, SFTP, SSL-POP, IMAP4-SSL и т.д.), подключение через VPN, использование распределенной сети шифрования типа TOR и так далее. Эта тема достаточно обширна и ей стоит посвятить отдельную запись.

среда, 3 июля 2013 г.

Корректировка записи об использовании сертифицированных СЗИ в ИСПДн

Как правильно подсказали коллеги в обсуждении на DLP-expert и в твиттере, я ошибся на счет применения постановления Правительства РФ № 266 от 21 апреля 2010 г., подробный анализ этого документа уже делался Алексеем Волковым и самую главную фразу:
"Организация и проведение обязательной сертификации продукции осуществляются в порядке, определяемом федеральным органом исполнительной власти, уполномоченным в области внешней разведки, в пределах его компетенции"
я ненамеренно пропустил. Поэтому предыдущий пост был откорректирован - ссылка на ПП-266 была убрана. Основным аргументом остается применение информационного сообщения ФСТЭК и постановления Правительства РФ № 330 от 15 мая 2010 г. с грифом ДСП, законность действия которого обосновал Михаил Емельянников в Facebook-комментариях на  DLP-expert:
...ПП-330 ... выпущено до ФЗ-261, устанавливающего обязательность опубликования, и вполне легитимно по этой причине.. 

вторник, 2 июля 2013 г.

Анализ документа RISSPA по проблемам выбора СЗИ для виртуализированных инфраструктур


Санкт-Петербургское отделение ассоциация профессионалов в области информационной безопасности RISSPA подготовило и опубликовало брошюру «Проблема выбора средств защиты информации для виртуализированных инфраструктур». Ознакомится с информационным сообщением и самой брошюрой можно на сайте RISSPA.

К сожалению, в документе есть ряд недостатков, о которых и хотелось бы написать.

Вводная часть документа выполнена неплохо, касаемо угроз виртуальной инфраструктуре, лучшими материалами по этой теме является корпоративный пост компании КРОК на Хабре и обзор на нашем сайте. Но, в целом, основные моменты указаны и в брошюре RISSPA.

Главная идея по защите виртуализации также отражена правильно:
 "Надежную систему защиты виртуализированной инфраструктуры необходимо строить сразу в нескольких направлениях: одновременно применять защитные механизмы, встроенные в платформу виртуализации, специализированные средства защиты, а также те средства защиты,которые уже используются в инфраструктуре компании."
Не забыли упомянуть и о разных классах средств защиты, но когда речь зашла непосредственно о СЗИ - всё смешалось в одну кучу, затруднив восприятие информации. В таблице, в которой перечислены средства защиты и выполняемые ими базовые меры, много несоответствий.Так, например, Cisco ASA 1000V являясь классическим межсетевым экраном ASA, адаптированным для виртуальной инфраструктуры, согласно таблицы  RISSPA обладает функциональностью по идентификация и аутентификация субъектов и объектов в виртуальной инфраструктуре, управляет перемещением виртуальных машин, контролирует целостность конфигурации и осуществляет резервное копирование данных. Аналогичная ситуация и с многими другими указанными в таблице СЗИ.  Конечно, в документе указано замечание, что таблица составлена на основе информации, предоставленной разработчиками средств защиты и разработчики ставили отметку, даже если средство "может участвовать в выполнении технической меры" или "может поддерживать выполнение технической меры", но это откровенное лукавство.

Отдельного внимания заслуживает и следующая фраза из брошюры:
"Необходимость использования сертифицированных средств защиты информации по-прежнему остается одним из самых спорных вопросов"
Ответ на этот вопрос совершенно однозначный, но почему-то эксперты продолжают считать его спорным.

Если рассматривать брошюру  RISSPA в целом - проделана хорошая работа по обобщению разрозненной информации и сделан еще один шаг в сторону популяризации необходимости защиты виртуальной инфраструктуры. Кроме того, теперь мы можем добавить новый значок в презентацию по vGate:

В ближайшее время я подготовлю статью со своими рекомендациями по выбору средств защиты виртуализации, подписывайтесь на обновления блога по RSS, читайте меня в Twitter.

Нужно ли использовать сертифицированные СЗИ в ИСПДн?


После выхода приказа ФСТЭК №21 от 18 февраля 2013 года эксперты приступили к обсуждению вопроса – обязательно ли использовать сертифицированные средства защиты информации (СЗИ) при создании системы защиты ИСПДн. Операторы персональных данных замерли в ожидании их решения. Но к единой точки зрения эксперты не пришли, поэтому я попробую еще раз разобраться в этом вопросе.

К сожалению, при написании 21 приказа специалисты ФСТЭК и приглашенные эксперты использовали следующую формулировку, которая и вызывает вопросы:

«4. Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.»

По этому пункту приказа, однозначно не следует, что любые средства защиты информации должны быть сертифицированы, причем понимать вопроса сразу два. Во-первых, можно понимать данный пункт как карт-бланш на использование любых СЗИ, в том числе и сертифицированных, во-вторых, многие специалисты настаивают на мнении, что процедура оценки соответствия – это не обязательно сертификация по требованиям безопасности информации.

Для однозначного ответа на первый вопрос о необходимости использования только СЗИ, прошедших процедуру оценки соответствия,  достаточно обратиться к постановлению Правительства РФ № 1119 от 1 ноября 2012 г. "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", в 13 пункте которого указано, что для обеспечения 4-го уровня защищенности ПДн необходимо выполнить следующее требование:

«г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз»

В остальные уровни защищенности ПДн это требования также входит. На основании этого пункта, обязательно применение СЗИ, прошедших процедуру оценки соответствия, для нейтрализации актуальных угроз. Неактуальные угрозы можно защищать любыми СЗИ, но неактуальные угрозы никто, как правило, не защищает.

Остается только вопрос о расшифровке термина "процедура оценки соответствия". Есть мнения, что оценкой соответствия может быть не только обязательная сертификация в системе сертификации ФСТЭК, но и декларирование соответствия (разработчиком СЗИ) или добровольная сертификация – в негосударственных системах сертификации.
Обратимся к истории, в отмененном постановлении Правительства РФ № 781 от 17 ноября 2007 г. было четкое указание, что оценка соответствия проводится с помощью экспертизы ФСТЭК или ФСБ. А вот в новом постановлении такого пункта уже нет, но сохраняет своё действие  постановление Правительства РФ № 330 от 15 мая 2010 г., выпущенное под грифом ДСП, которым было принято "Положение об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов её проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения.", в соответствии с которым оценка соответствия проводится в форме обязательной сертификации.

Дополнительные разъяснения по данному вопросу даны в информационном сообщении ФСТЭК № 240/24/1701 от 4 мая 2012 года, в котором однозначно указана позиция регулятора – СЗИ, используемые для защиты персональных данных, подлежат обязательной сертификации в системе сертификаии ФСТЭК на соответствия требованиям, установленным ФСТЭК.
Это должно развеять все сомнения и дать однозначный ответ - процедура оценки соответствия - это только сертификация по требованиям безопасности информации