Обзор стандартов O’z DSt 2814:2014, O’z DSt 2815:2014, O’z DSt 2816:2014, O’z DSt 2817:2014

Специалисты IT-TEAM-SERVICE подготовили обзор государственных стандартов O’z DSt 2814:2014, O’z DSt 2815:2014, O’z DSt 2816:2014, O’z DSt 2817:2014 по классификации от несанкционированного доступа, требованиям к межсетевым экранам, контроля недокументированных возможностей и уровней защищенности средств вычислительной техники.

O’z DSt 2814:2014 «Информационная технология, Автоматизированные системы, Классификация по уровню защищенности от несанкционированного доступа к информации»
Этот стандарт устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в автоматизированных системах различных классов.
«4.6 Выбор класса АС производится заказчиком и разработчиком с привлечением специалистов по защите информации.
...
4.9 Третья группа - изолированные однопользовательские системы с полным доступом.
Вторая группа - многопользовательские системы с равными правами к информации разного уровня конфиденциальности.
Первая группа - многопользовательские системы с разделением прав доступа к  информации разного уровня конфиденциальности.
...
14.2 При обработке или хранении в АС информации, не отнесенной к государственным секретам, в рамках СЗИ НСД организациям и предприятиям с различной формой собственностью, а также частным лицам рекомендуются меры общего характера.
14.3 При разработке АС, предназначенной для обработки или хранения информации, отнесенной к государственным секретам и конфиденциальной информации, необходимо учитывая требования O‘z DSt 2815, O‘z DSt 2816 и O‘z DSt 2817 определить классы защищенности АС.»
В зависимости от присвоенного класса определяются и требования по защите от НСД - схема 2.

O’z DSt 2815:2014 «Информационная технология. Межсетевые экраны. Классификация по уровню защищенности от несанкционированного доступа к информации»
Стандарт устанавливает классификацию межсетевых экранов (МСЭ, файрволов, брандмауэров) по уровню защищенности от несанкционированного доступа к информации в соответствии с показателями защищенности.
Стандарт предназначен для применения заказчиками и разработчиками межсетевых экранов, сетей распределенных автоматизированных систем при формулировании требований по защите от несанкционированного доступа к информации.

Самый низкий класс защищенности - третий, применяемый для обеспечения безопасного взаимодействия АС, обрабатывающей конфиденциальную информацию, с внешней средой, второй - для обеспечения безопасного взаимодействия АС, обрабатывающей информацию с грифом «секретно», самый высокий - первый, применяемый для безопасного взаимодействия АС, с грифом «совершенно секретно».

O’z DSt 2816:2014 «Информационная технология. Классификация программного обеспечения средств защиты информации по уровню контроля отсутствия недекларированных возможностей.»

Стандарт устанавливает классификацию программного обеспечения (как отечественного, так и импортного производства) средств защиты информации, предназначенного для защиты информации ограниченного доступа, в том числе и встроенных в общесистемное и прикладное ПО, по уровню контроля отсутствия в нем недекларированных возможностей.
Стандарт предназначен для специалистов испытательных лабораторий, заказчиков, разработчиков программного обеспечения средств защиты информации при его контроле в части отсутствия недекларированных возможностей.
Самый высокий уровень контроля - первый, определяется для ПО,используемого при защите информации с грифом «Совершенно секретно» (СС) и выше.
Второй уровень контроля достаточен для ПО, используемого при защите информации с грифом «Секретно» (C).
Самый низкий уровень контроля - третий, достаточен для ПО, используемого при защите конфиденциальной информации.

В зависимости от присвоенного класса определяются и уровени контроля отсутствия НДВ - схема 4.

O’z DSt 2817:2014 «Информационная технология. Средства вычислительной техники. Классификация по уровню защищенности от несанкционированного доступа к информации»
Стандарт устанавливает классификацию средств вычислительной техники по уровню защищенности от несанкционированного доступа к информации в соответствии с показателями защищенности.
Показатели защищенности средств вычислительной техники применяются к общесистемным программным средствам и операционным системам (с учетом архитектуры ЭВМ).
СВТ по уровню защищенности от НСД к информации подразделяются на семь классов.
Самый низкий класс - седьмой, самый высокий - первый.

Седьмой класс присваивают СВТ, к которым предъявлялись требования по защите от НСД к информации, но при оценке защищенность СВТ оказалась ниже уровня требований шестого класса

Тексты стандартов на сайте Агентства «УЗСТАНДАРТ»

Мы готовы проконсультировать Вам по вопросам стандартизации в области информационной безопасности, провести экспертизу уровня информационной безопасности, разработать нормативные документы.

 

На конференции ОБСЕ по кибербезопасности

Jaisha J. Wray and Anton Rakitskiy22-23 сентября 2017 года сотрудник ITTS принял участие в международной конференции, организованной ОБСЕ, «О роли информационных и коммуникационных технологий (ИКТ) в контексте региональной и международной безопасности».
Кроме обмена опытом между специалистами, особо нужно отметить новый формат - проведение учений на базе абстрактного сценария проблемной ситуации в реальной инфраструктуре и в киберпространстве. При этом группам специалистов из разных стран было предложено выработать меры по снижению напряженности и установлению доверительного диалога между странами.
В кулуарах конференции с сотрудником ITTS А. Ракитским имели краткие беседы:

 

ITTS на ICTFORUM 2017

ITTS on ICTFORUM 2017, Uzbekistan, TashkentСотрудник ITTS принимает участие в работе ICTFORUM 2017. Краткие итоги по секции "EGOVERNMENT UZBEKISTAN":
И.о. директора центра UZINFOCOM Азиз Мухитдинов рассказал, что единый системный интегратор будет не только разработчиком систем, но скорее координатором, "дирижером", управляющим поставщиками и исполнителями. При этом не менее 30% от объемов реализуемых проектов должны будут выполняться отечественными негосударственными компаниями.

Региональный директор IDC Андрей Беклемишев в рассказе о трансформации умных городов. Привел примеры и негативного влияния новых технологий и борьбы с ним нетехническими методами. Так в Париже для борьбы с массовыми несанкционированными запусками дронов применяются ловчие птицы - соколы. Также при ошибке в проекте, внедрение и эксплуатация, например, модернизированной системы освещения, она может оказаться дороже, чем прежняя.
В рамках панельной дискуссии обсудили доступность электронных госуслуг для рядовых пользователей. Отмечено, что технологии составляют лишь 20% от объема необходимых работ, большая часть проблемы - излишнее регулирование (требуются излишние справки, выписки) и неоптимальная работа самих госорганов, которая занимает много времени, они работают по-старинке.

По секции Секция «ИТ ИНФРАСТРУКТУРА»:
О критическом значении интернета и связи на экономику рассказал специалист Всемирного банка Раджендра Сингх. Несмотря на снижение цен и увеличение пропускной способности интернета, она остаётся очень низкой. Сейчас в Узбекистане это всего 2.1 кб/с на одного человека, что очень мало по сравнению с соседними странами и в несколько сотен раз ниже, чем у мировых лидеров - выше 500 кб/с у США и Сингапура. Для решения проблемы предложена программа Digital CASA. Кстати, медленный интернет ещё и сильно сдерживает развитие всех облачных технологий в стране.
Кумар Клиффорд из VEON рассказал, что переход на модели аутсорсинга, привлечения внешних консультантов и использования облаков оправдан экономически, т.к. сопровождение ИТ не является основой бизнеса для большинства компаний. Переход на сервис-модели и облака выгоден ещё и переводом затрат на ИТ из капитальных в операционные затраты, их легче прогнозировать. Сейчас в облако перемещается даже такая "древняя" технология как PBX (офисная телефония). Появились новые варианты - STaaS - Storage as a Service и DRaaS - Disaster Recovery as a Service.
Дмитрий Юдин из Oracle рассказал о пробеме Shadow IT (теневой ИТ), когда в обход согласованных способов работы рядовые пользователи начинают сами искать сторонние инструменты - обмен файлами через файлообменники.
Шинья Кукита из NEC выдвинул тезис, что если для экономики угля и нефти, результатом которой является транспорт, энергетика, промышленность, то для современной цифровой экономики основным "полезным ископаемым" являются данные, информация. А роль насосов и экскаваторов берет на себя IoT - Internet of Things (интернет вещей).

По секции «ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ»:
Кстати, на этой секции слушателей было больше, чем на всех остальных вместе взятых.
Валерий Зубанов из "Лаборатории Касперского" рассказал о проблемах с обеспечением ИБ критически важной инфраструктуры. Одна из основных проблем систем АСУТП (SCADA) - эксплуатанты, даже зная о уязвимости, боятся устанавливать обновления, т.к. это обновление может привести к выходу из строя оборудования. При этом само оборудование часто произведено много лет назад, когда подходы к ИБ были иными. Хакеры экономят и используют давно известные уязвимости для атак, а не покупают 0day.
Еркебулан Туткабаев из Fortinet рассказал, что теперь вектор атак сместился на ransomware. При этом заражения происходят даже если у пользователя установлен антивирус, т.к. используются уязвимости нулевого дня - существуют специальные биржи, где можно купить вирусы, заказать DoS-атаки.
Ержан Калиев из Checkpoint отметил, что сигнатурный метод анализа вирусов уже не работает. Передовая технология сейчас это "песочница", где все файлы сначала проверяются в изолированной среде и только потом, после тщательного анализа, передаются на исполнение пользователю. По словам Е. Калиева уровень качества детектирования в песочнице Checkpoint достигает 99.9%
"Данные - валюта XXI века" - заявил Сергей Базылько из Oracle, весь бизнес сейчас крутится вокруг обработки данных, на этом хорошо зарабатывают (AliExpress, Uber, Ebay, AirBnB - прим. ITTS).

Подписывайтесь на наш канал в Telegram - https://t.me/ittsuz

 

О масштабных преобразованиях в подведомственных структурах Мининфокома

Information Security CenterПостановлением Президента Республики Узбекистан от 29 августа 2017 года №ПП-3245 «О мерах по дальнейшему совершенствованию системы управления проектами в сфере информационно-коммуникационных технологий» предусмотрены масштабные преобразования. Мы приводим основные моменты, касающиеся наших коллег, партнёров и вопросов обеспечения безопасности.

1. На базе Центра «Узинфоком» (с которым у ITTS подписан меморандум) образуется Единый интегратор по созданию и поддержке государственных информационных систем, в задачи которого включены, в том числе, меры по обеспечению технологической безопасности инфраструктуры системы «Электронное правительство».

2. Центр обеспечения информационной безопасности (ЦОИБ) преобразуется в Центр информационной безопасности и содействия в обеспечении общественного порядка (предположительная аббревиатура - ЦИБиСвООП).
2.1 Одной из задач центра определено создание единого аппаратно-программного комплекса «Безопасный город».
2.2 Кабинету Министров Республики Узбекистан поручено в месячный срок принять постановление об организации деятельности Центра.
Uzinfocom
3. Вводится должность заместителя министра Мининфокома, ответственного за реализацию проекта «Безопасный город».

Официальные источники и ссылки:
1. Постановление Президента Республики Узбекистан от 29 августа 2017 года №ПП-3245 «О мерах по дальнейшему совершенствованию системы управления проектами в сфере информационно-коммуникационных технологий»
2. Информационное сообщение о преобразовании ЦОИБ
3. Статья «Проект «Безопасный город» охватит весь Узбекистан» на Газета.uz

 

Об упрощении процедуры заказа услуг по информационной безопасности для государственных органов

Хорошая новость для наших заказчиков из государственных органов - теперь заключение договоров на проведение экспертизы информационной безопасности, на разработку политики информационной безопасности и другие наши услуги существенно упрощается. Это определено постановлением Президента Республики Узбекистан от 23 августа 2017 года №ПП-3237.

1. Полностью отменяется требование по осуществлению государственных и корпоративных закупок товаров и услуг на сумму до 100 тысяч долларов США посредством электронных торгов на Узбекской Республиканской товарно-сырьевой бирже.
До 1 января 2018 года введен порядок, согласно которому:
2. Государственные и корпоративные закупки на сумму в эквиваленте менее 1 тысячи долларов США по одному контракту осуществляются путём заключения прямых договоров с поставщиками по итогам отбора наиболее лучших предложений по цене, качеству и срокам поставки товаров (работ, услуг).
3. Для проектов в эквиваленте от 1 тысячи до 100 тысяч долларов США по одному контракту осуществляется путем отбора наилучших предложений, оцениваемых ведомственными конкурсными комиссиями, создаваемыми заказчиками.

Оптимизация сферы закупок в будущем, ориентировочно в 2018 году, планируется путём введения Единого информационного портала государственных закупок и принятия закона «О государственных закупках».

Официальные источники:
Постановление Президента Республики Узбекистан от 23 августа 2017 года №ПП-3237 с комментарием на сайте УзА
Постановление Президента Республики Узбекистан от 23 августа 2017 года №ПП-3237 на официальном сайте Президента Республики Узбекистан

 

Информационная безопасность в быту

Если необходимость соблюдения норм пожарной безопасности или мытье рук перед едой для всех очевидна, то с вопросами личной информационной безопасности всё обстоит не так хорошо. Приведенный перечень мер далеко не исчерпывающий, но даже соблюдение этих простых правил уже позволит избежать массы проблем при использовании информационных технологий. Составитель - начальник отдела ИБ IT-TEAM SERVICE Узбекистан Антон Ракитский.

Данная статья вышла в информационно-аналитическом журнале сферы связи и информатизации ICTNEWS в номере №8 (142) за 2017 г. под названием "Информационная безопасность: не разбрасывайтесь личными данными".

Основная особенность мер информационной безопасности - их превентивность, т.е. если к проблеме заранее подготовиться, то потери можно будет минимизировать. Решение проблемы после её возникновения может стоить очень дорого.

1. Сейчас очень широко распространена двухфакторная аутентификация, когда кроме пароля для доступа к сервису или сайтам нужно знать ещё что-то, например, временный код, получаемый через SMS. Также к конкретному номеру телефона «привязываются» практически все мессенджеры - Telegram, Viber, WhatsАpp. Через мобильный телефон работает большинство сервисов оплаты услуг, блокируются и активируются пластиковые карты Visa и MasterCard. Поэтому важно произвести инвентаризацию SIM-карт и их владельцев. Очень часто подключение к оператору сотовой связи происходит спонтанно, при этом договор с оператором связи может заключаться на родственников, знакомых, у которых в нужный момент был при себе паспорт. Спустя несколько лет многие уже и не помнят, на кого именно был заключен договор. И только когда возникает необходимость замены SIM-карты, выясняется, что даже если она оформлена на близких родственников, операторы связи отказываются её переоформлять без их присутствия. Поэтому, если вам очень дорог конкретный номер телефона нужно официально переоформить его на себя. Если же лицо, на которое номер оформлен, уже недоступно - как минимум перевести работу всех сервисов (восстановление паролей, платежные системы) на оформленные на вас номера телефонов. Ещё лучше полностью «съехать» с чужого номера пока он ещё работает, чтобы ваши знакомые узнали ваш номер заранее, а не когда выйдет из строя SIM-карта и вас не смогут найти.

Information Security at home from IT-TEAM SERVICE2. Основной телефонный аппарат может в любой момент выйти из строя - упасть с высоты, в воду, перегреться, выйти из строя при перепрошивке. Поэтому удобным будет завести резервный телефонный аппарат, один на семью вполне достаточно. Это может быть совсем простая древняя «трубка». Так вы останетесь на связи пока будете решать проблему с основным аппаратом. По этой же причине удобно иметь и запасную SIM-карту, ведь основной аппарат может быть полностью утрачен - украден/потерян. Поэтому пока вы доберетесь до офиса оператора связи для восстановления основной SIM-карты вы будете на связи, хоть и по другому номеру - всё лучше, чем ничего. Но помнить, что при нулевом балансе и долгой неактивности оператор отключит резервный номер, расторгнув контракт.

3. Сделать резервную копию всех важных данных. Определить какие данные, хранящиеся на компьютере или мобильном телефоне, наиболее важны для Вас. Проще всего сделать это, представив, что компьютер или телефон полностью вышли из строя. О потере каких данных вы будете жалеть больше всего? Вот для них и нужно делать резервную копию. Как минимум это будет архив фотографий, копии важных документов. Хорошим решением будет хранить резервную копию отдельно, на съемном носителе - флеш-накопителе или съемном жестком диске, в отключенном виде, в идеале в нескольких копиях и в разных помещениях. Также нужно периодически проверять, что резервная копия в порядке, все нужные файлы «читаются», открываются.

4. Аккуратно обращаться с носителями данных. При обмене любыми данными через съемные носители нужно следить, чтобы на них не содержалось информации, разглашение которой для вас нежелательно. Отдавая флешку или диск в чужие руки, даже на минуту, нужно понимать, что любые данные с них могут быть удалены или просто уничтожены (из-за вируса, например), и даже полностью скопированы на сторонний компьютер, а вы этого, скорее всего, не заметите. Поэтому лучше всего для обмена данными использовать отдельный накопитель, на котором не будет ничего кроме того что нужно в данный конкретный момент. И уж точно на таком обменном носители не должны храниться ключи электронной цифровой подписи и другие важные для вас данные. Нужно понимать, что простое удаление данных с носителя не уничтожает их полностью, даже с очищенного носителя. Можно частично восстановить ранее записанные на него файлы. Поэтому лучший вариант - хранение важных данных на отдельном носителе, который не попадает в чужие руки.

Хотите узнать о проблемах с безопасностью в вашей организации - обращайтесь нам. Мы проведём экспертизу и проконсультируем по всем вопросам в сфере ИБ.

Подписывайтесь на наш канал - http://t.me/ittsuz

 

Дайджест отчета Symantec ISTR по итогам 2016 года

The underground marketplace of cyber criminalSymantec ISTR это периодически публикуемый отчет с обширной статистикой и аналитикой в области информационной безопасности (ИБ). Для сбора данных используется разветвленная сеть датчиков, ловушек, систем сбора статистики, в том числе и встроенная в программное обеспечение (ПО), выпускаемое компанией Symantec.
Очередной, 22-й выпуск отчета посвящен итогам 2016 года и рассказывает о том, как простые тактики и новые изобретения позволили злоумышленникам поднять уровень угроз в интернете на новый уровень.
С полным вариантом отчета Symantec ISTR 22 на английском языке можно ознакомиться на официальном сайте Symantec.
Краткий обзор этого отчета подготовили специалисты IT-TEAM SERVICE Узбекистан А. Ан и А. Ракитский.

Основные тренды угроз ИБ в 2016 году это:
• Явное использование взломов и утечек в политической борьбе. Самый яркий пример - предвыборная кампания в США.
• Использование доступных, встроенных в операционные системы, механизмов для реализации атак. Поиск новых уязвимостей и разработка эксплоитов - весьма трудоёмкий процесс, поэтому злоумышленники всё чаще используют встроенные служебные утилиты (PowerShell) и макросы в документах для своих атак. Использование легальных служебных утилит и функций при грамотном использовании позволяет злоумышленникам долгое время оставаться незамеченными, а функционал таких инструментов практически не отличается от традиционных вирусов.
• Очередная волна использования электронной почты для начала атак. По статистике каждое 131-е письмо несло угрозу и это высший показатель за последние пять лет. Электронная почта - один из популярнейших каналов связи, при этом рассылка почты с вредоносными вложениями и ссылками не требует эксплуатации каких-то уязвимостей. Доступные для аренды ботнеты по рассылке таких писем позволяют злоумышленникам рассылать фишинговые письма сотнями тысяч в день и надеяться, что найдутся легкомысленные получатели, которые последуют инструкциям из письма и пройдут по ссылке, запустят у себя на компьютере прикрепленный файл или документ с опасным макросом. Отчасти снижение роли новых неизвестных уязвимостей (т.н. уязвимостей 0-го дня) и их эксплуатации связано с расширением программ Bug Bounty, когда производители ПО и сервисов выплачивают вознаграждение за обнаружение уязвимостей в их продуктах.
• Рост количества вирусов-вымогателей и сумм выкупа. Сформировалась целая бизнес модель, когда вирус попадает на компьютер жертвы, шифрует важные пользовательские данные и предлагает их расшифровать за выкуп. Расчет у создателей таких вирусов простой - кто-то из тысяч заразившихся наверняка заплатит выкуп за возможность доступа к своим данным. Эксперты отмечают и рост сумм выкупа в среднем до $1077 в 2016 году с $294 годом ранее. Успех этой модели приводит к тому, что её использует всё большее число злоумышленников.
•  Угрозы ИБ выходят на новые рубежи. Происходит полноценное вовлечение интернета вещейи облачных технологий в проблематику ИБ. Так в 2016 отмечено создание полноценных ботнетов на базе камер наблюдения и сетевых роутеров.

Электронная почта: вирусы, спам и фишинг
Как отмечалось выше, электронная почта остаётся важным каналом распространения угроз ИБ. Совершенствуются механизмы социальной инженерии, вредоносные письма, которые призывают совершить какие-то действия в системах, приходят в рабочее время и оформлены часто как обычная деловая переписка для того чтобы не вызвать подозрений у пользователей. Стабильно высокой остаётся и доля спама, в прошлом году этот показатель составил 53% от всех писем и удерживается на этом уровне уже в течение трех лет.
Для рассылки спама шире используются техники snowshoe и hailstorm (снегоступы и град). Техника snowshoe подразумевает использование для рассылки спама очень большого количества ip-адресов, с каждого из которых отправляется совсем небольшое количество спам-писем. Это позволяет частично обходить фильтры, а если они и срабатывают, то часть таких писем всё равно дойдет до получателя. Техника hailstorm является усовершенствованным вариантом snowshoe, только рассылки спама производится в очень короткий период. В результате традиционные спам-фильтры просто не успевают получить обновление и спам проходит до получателя.

Киберпреступность и теневая экономика.
Начало 2016 года было ознаменовано одной из самых дерзких банковских краж в истории (инцидент Banswift). Преступники смогли украсть 81 миллион долларов США и только их собственные ошибки и бдительность сотрудников банка предотвратили дальнейшее хищение уже одного миллиарда долларов. Злоумышленники, используя слабости в системе защиты банка, смогли получить учетные данные банка для работы в системе SWIFT. Сами переводы средств они осуществили накануне длинных выходных и использовали специально разработанные вирусы для сокрытия следов и усложнения дальнейшего расследования. В итоге большая часть денег была переведена на счета казино на Филиппинах и дальнейшие следы их теряются.
В статистике количества утечек данных по странам с большим отрывом лидирует США, но, по мнению экспертов, это связано с тем, что офисы крупнейших IT-компаний располагаются там, сама страна весьма густо населена, а население широко использует информационные технологии во всех сферах жизни и существует строгое законодательство, обязывающее раскрывать данные о таких утечках. В тех странах, где законодательно не закреплена обязанность отчитываться об утечках, такие случаи чаще всего вообще не афишируются.
В отчете опубликованы приблизительные расценки на услуги киберкриминала. Так, данные одной кредитной карты международной платежной системы продаются в среднем за $20-60, скан-копии документов - $1-3 за штуку, организация DDoS атак - $5-20 за час и т.д.

 

Страница 1 из 11

<< В начало < Назад 1 2 3 4 5 6 7 8 9 10 Вперёд > В конец >>