Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

AppChecker’ом по Бляйхенбахеру

01/04/2019


Эксперты НПО «Эшелон» в результате исследования открытых программных проектов выявили критическую угрозу для интернет-приложений – возможность проведения атаки Бляйхенбахера! В настоящее время самым эффективным средством для заблаговременного предупреждения данной атаки является статический анализатор кодов AppChecker!

Обучение

002. Техническая защита информации. Способы и средства защиты информации от несанкционированного доступа.
24 - 28 июня 2019 года

026. Подготовка к CISSP и CISM (курс от профессионалов-практиков).
15 - 17 июля 2019 года

003. Тестирование на проникновение: технологии хакеров для аудита информационной безопасности.
5 - 7 августа 2019 года

006. Разработка безопасного ПО в соответствии с требованиями ГОСТ Р 56939­-2016.
5 - 7 августа 2019 года

039. Межсетевое экранирование и обнаружение сетевых атак. Администрирование ПАК «РУБИКОН».
12 - 13 августа 2019 года

010. Администрирование SIEM-системы КОМРАД.
14 - 15 августа 2019 года

016.1. Основы администрирования Astra Linux SE 1.6.
19 - 21 августа 2019 года

016.2. Системное администрирование, сервисы и сетевые приложения в Astra Linux SE 1.6.
22 - 26 августа 2019 года

016.3. Администрирование комплекса средств защиты и Astra Linux Directory в Astra Linux SE 1.6.
27 - 29 августа 2019 года

016.4. Администрирование Astra Linux SE 1.6: работа в смешанных сетях.
2 - 4 сентября 2019 года 

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2 3
Ответить
RSS
Типы актуальных угроз, Хотелось бы расставить все точки над И.
"..........и в иной форме". В иной. Что мне мешает оценить СЗИ в форме приемки?? В форме предварительных испытаний? Ничего....
Цитата
Андрей пишет:
А по поводу 330-ого... Бояться его не имеет смысла, но и без него хватает... Или не хватает, как считаете? Как оценивать соответствие будете?

Что до меня, то я все-таки остановлюсь на сертифицированных СЗИ :)
Просто мне обидно, что регуляторы игнорируют положения законодательства.....
Цитата
AlexG пишет:
Что до меня, то я все-таки остановлюсь на сертифицированных СЗИ
Просто мне обидно, что регуляторы игнорируют положения законодательства.....
Хахаха)) Аналогично :)
Вопрос уже давненько поднят. Издали бы уж какое-то письмо хотя бы, чтоб однозначно все понимали куда ветер дует.
Да и про актуальные угрозы НДВ в системном ПО, тоже методику хочу. Не вижу я пока способов объективно определить актуальность угрозы НДВ, не зря большинство под один тип АУ подгоняют... Не занимались этим вопросом?
Изменено: Андрей - 30.10.2013 14:45:37
Цитата
Андрей пишет:
Не вижу я пока способов объективно определить актуальность угрозы НДВ, не зря большинство под один тип АУ подгоняют... Не занимались этим вопросом?
Пока нет внятных рекомендаций регуляторов, определяем сами: угрозы неактуальны, тип 3 :)
Выпишу основные тезисы....

6. Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.
Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
7. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных", и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных".

Значит один пункт и одна статья, во исполнение которой есть НПА. Какие?...
п. 5 часть 1 статьи 18 ФЗ 152

1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться:

5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;

Часть 5 статьи 19 ФЗ 152

5. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.

содержание, характер и способ... с учётом кашерности ещё бы добавили...
А где пределы полномочий органов власти прописаны?
Я вот не пойму НДВ к НСД приравняли или мне показалось? Т.е. стоит средство защиты от НСД, значит НДВ закрыли? :)
Цитата
Андрей пишет:
Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов , создающих актуальную опасность несанкционированного , в том числе случайного, доступа
Еще бы узнать, что такое актуальная опасность :)
Цитата
Андрей пишет:
Федеральные органы исполнительной власти , осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации , Банк России , органы государственных внебюджетных фондов , иные государственные органы в пределах своих полномочий принимают нормативные правовые акты , в которых определяют угрозы
Что-то федеральные органы, за редким исключением, нихрена не принимают нормативные акты. И, похоже, принимать не собираются. Скорее всего, каждый оператор будет моделировать свои угрозы самостоятельно.
Цитата
Андрей пишет:
А где пределы полномочий органов власти прописаны?
С этим, как раз, проблемы нет: для каждого гос. органа есть "Положение о ... (например, о ФСТЭК, о Роспотребнадзоре, о Роскомнадзоре, и т.п). Там все написано: функции, задачи, полномочия.
Цитата
AlexG пишет:

"Положение о ...
Спасибо, поищу... Но не думаю, что много чем поможет. Причём здесь скажем Министерство образования и защита персданных?... Какие они там имеют полномочия по защите ПДн?... Так и остальные операторы: вроде руки развязали (защищайте как хотите, но отвечайте за это), а потом выставили ряд требований и уже не получается защищать как-то иначе вне рамок требований. А отвечает всё-равно оператор, уже вдвойне.
Честно говоря упустил из внимания информационном сообщении ФСТЭК № 240/24/1701 от 4 мая 2012 года(http://fstec.ru/component/attachments/download/350)
Обязательная сертификация СЗИ для защиты персональных данных.
По поводу определения типа актуальных угроз такая мысль появилась.
Если к примеру на связи с интернетом поставить МЭ сертифицированный на НДВ (опять же не понятен уровень контроля НДВ, любой что ли).
Хотя конечно Windows может изнутри творить чудеса, и смысла в этом пожалуй нет, разве что в учёте пакетов можно быть уверенным.

Хотя вот интересные факты: http://lukatsky.blogspot.ru/2012/09/blog-post_26.html
(рекомендую почитать http://daily.sec.ru/publication.cfm?pid=40211 в частности ссылки внизу сообщения)

В процессорах intel обнаружили закладки http://www.xakep.ru/post/58104/?mid=566414
Изменено: Андрей - 10.12.2013 14:27:38
21 приказ:
Для обеспечения 1 и 2 уровней защищенности персональных данных, а также для обеспечения 3 уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены угрозы 2-го типа, применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей.

Сеть крыть сертифицированным МЭ по НДВ. Локализовать гетерогенную винду и процессоры интел :)
Ругают регуляторов, отписки делают, а по сути, если помедитировать над документами выстраивается довольно стройная продуманная система. И методика кажись пока не нужна для данного вопроса, достаточно информационного сообщения для неверующих.
Изменено: Андрей - 10.12.2013 15:32:54
"Методика определения угроз безопасности информации в информационных системах" дождались уже в проекте
Цитата
Михаил Михайлов пишет:
"Методика определения угроз безопасности информации в информационных системах" дождались уже в проекте

Писал запрос во ФСТЭК. Ответили
Обращение по вопросу статуса методического документа «Методика определения угроз безопасности информации в информационных системах» в ФСТЭК России рассмотрено.
Проект методического документа «Методика определения угроз безопасности информации в информационных системах» был размещен на официальном сайте ФСТЭК России с целью общественного обсуждения и сбора замечаний и предложений по проекту указанного документа от специалистов в области информационной безопасности заинтересованных органов государственной власти и организаций.
В настоящее время проводится доработка проекта документа с учетом полученных замечаний и предложений.
Утверждение методического документа «Методика определения угроз безопасности информации в информационных системах» планируется до конца 2015 г.

У Лукацкого в твитере проходила информация что в первых числах ноября вступит в силу.
Пожскажите, пожалуйста, знающие люди!
Где скачать образец создания модель угроз. Времени дали 1 сутки!
Хэлп!
Цитата
Гость пишет:
Пожскажите, пожалуйста, знающие люди!
Где скачать образец создания модель угроз. Времени дали 1 сутки!
Хэлп!
Пишите в stertur@mail.ru с темой ОРД, пришлю
Цитата
Сергей Терехов пишет:
stertur@mail.ru
Сергей, благодарю!
Отправил.
Страницы: Пред. 1 2 3
Ответить
Читают тему (гостей: 5, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку