Заметка о получении ГОСТ РО 0043-003-2012 и ГОСТ РО 0043-004-2013 (стандарты по аттестации)

После ссылки на ГОСТ РО 0043-003-2012 "Аттестация объектов информатизации. Общие положения" и ГОСТ РО 0043-004-2013 "Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний" в одной из старых записей, в мой блог постоянно приходят пользователи, находящиеся в поисках этих самых ГОСТов. И это не удивительно, данные стандарты носят обязательный характер для ГИСов и ряда других информационных систем, при этом они носят гриф "Для Служебного Пользования" (ДСП) и найти их в открытом доступе практически невозможно.

К сожалению, я не могу помочь моим читателям с получением текстов стандартов, но могу направить по правильному пути для их получения. Получить, а точнее, купить копию ГОСТ РО 0043-003-2012 и  ГОСТ РО 0043-004-2013 можно в организации ФГУП «СТАНДАРТИНФОРМ», на этой странице приведены контактные данные. Будьте готовы, что у вас запросят нотариально заверенную копию лицензий ФСТЭК по ТЗКИ. В некоторых случаях также запрашивали копии лицензий ФСБ на работу с гостайной, но это неправомерно - данные ГОСТы не относятся к сведениями, составляющим государственную тайну и применяются для информационных систем, которые могут не содержать гостайну.

Для ознакомления с сутью ГОСТ РО 0043-003-2012 рекомендую запись Артема Агеева, а  ГОСТ РО 0043-004-2013 предназначен скорее для органов по аттестации, чем для интеграторов и эксплуататоров аттестуемых информационных систем.

Трактование мер по обеспечению безопасности персональных данных и ГИС

При составлении таблицы выполнения продуктами Код Безопасности мер по обеспечению безопасности персональных данных, у нас с коллегами то и дело разгорались споры по трактовке этих самых мер.

Берем, к примеру, одну из первых мер - ИАФ.2, которая звучит как "Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных". Первый же вопрос - что такое мобильные и портативные устройства. Чем мобильные отличаются от портативных? Можем ли мы говорить, что ноутбук - это портативное устройство, а нетбук - мобильное? Никаких критериев и пояснений нет, значит - можем. Ставим уверенный плюс, даже если продукт работает только под Windows.

Идем дальше, ИАФ.5 - "Защита обратной связи при вводе аутентификационной информации", менеджеры продуктов предлагают варианты на перебой - подписывание авторизационного трафика при удаленном доступе, слежение за перехватом Windows API и детектирование кейлогеров при локальном вводе данных, использование токенов с PIN-кодами и так далее. А тут в твиттере выдвигают простое предположение:

И такие примеры можно привести практически по каждому пункту. Что делать интеграторам и разработчикам средств защиты? Моё мнение - трактовать меры по защите по своему усмотрению, по крайней мере, до выхода методических документов ФСТЭК, обещанных нам в конце этого года. Впрочем, правовой статус методических документов еще нужно будет выяснять, вполне возможно, что документы будут носить рекомендательный характер, если их обязательное применение не пропишут в очередном приказе ФСТЭК.

vGate Compliance Checker - обзор

В предыдущей заметке я поднял вопрос об аудите безопасности виртуальной инфраструктуры путем анализа конфигурации и мне поступило несколько вопросов по нашей бесплатной утилите vGate Compliance Checker.

vGate Compliance Checker позволяет быстро и просто проверить соответствие настроек виртуальной инфраструктуры требованиям отраслевых стандартов, рекомендаций и лучших практик. Поддерживается проверка ESX- и ESXi-серверов из состава VMware vSphere 4.1, VMware vSphere 5 и VMware vSphere 5.1. Предыдущая версия утилиты работает с ESX из состава VMware Infrastructure 3 и VMware vSphere 4.

Заметка об аудите безопасности виртуальной инфраструктуры путем анализа конфигурации

Тема автоматизированного аудита безопасности виртуальной инфраструктуры уже не раз поднималась в различных публикациях. Сегодня на Хабре появилась очередная статья по данной теме.
В статье автор приводит краткий обзор отличий угроз физической инфраструктуры от виртуальной, хотя, на мой взгляд, в части угроз, старая публикация на том же Хабре от компании КРОК более информативная и полна.
Суть же статьи сводится к анонсу разработки автоматизированного средства для аудита настроек виртуальной инфраструктуры для поиска ошибок в конфигурации. В конечном счете всё сводится к проверки на соответствие VMware Security Hardening Guides.
VMware Security Hardening Guides - это Exсel-документ, содержащий список критически важных настроек для ESXi, виртуальных машин, виртуальных сетей и т.д. По каждому параметру описана проблематика, приведено рекомендуемое значение параметра и различные комментарии.
Проверяя соответствие ВИ рекомендациям VMware Security Hardening Guides добиться закрытия угрозы неправильного конфигурирования ВИ нельзя. Существует еще много возможных вариантов реализации этой угрозы - неправильные настройки доступов, некорректные сетевые настройки виртуальных машин (например, добавление виртуальной машины во внутреннюю сеть администрирование - частая ошибка администраторов ВИ) и так далее.
Кроме того, уже существуют утилиты для автоматизированных проверок на соответствие требованиям - vGate Compliance Checker, VMware vCenter Configuration Manager Free Compliance Checkers (в отличие от vGate CC, не поддерживает vSphere 5.1) и другие.
Однако готового автоматизированного средства для реальной проверки правильности конфигурирования, а не проверки соответствия требованиям и рекомендациям, в данный момент на рынке нет. Кроме того, написать такое средство достаточно сложно - либо в нем нужно будет реализовывать сложную эвристику с множеством ложных срабатываний, либо процесс подготовки к автоматизированному аудиту будет сравним по сложности с самим аудитом.