Чем аудит информационной безопасности отличается от экспертизы?

Аудит - анализ соответствия принятой политике безопасности и операционным процедурам, обнаружение нарушений безопасности и выдача рекомендаций (O‘z DSt 2927:2015).
Экспертиза имеет более узкий смысловой диапазон и применяется чаще для получения ответа на конкретно поставленные вопросы. Например, судебно-медицинская экспертиза, баллистическая экспертиза, экспертиза уровня ущерба. Иногда, термин «экспертиза ИБ» мы применяем во избежание коннотации (смешивания) с финансовым аудитом, который давно определён в законодательстве Узбекистана.
Проще говоря, аудит - более широкое понятие. В ходе аудита ИБ может быть проведено несколько экспертиз, которые будут частью аудита.
Именно термин «аудит» используется во всех национальных и международных стандартах (ISO 270xx, PCI DSS, SWIFT CSCF). Но в том же так называемом опроснике nis.uz всё-таки используется термин «3.1.3 Проведение экспертизы состояния информационной безопасности».
Итак, оба термина «аудит ИБ» и «экспертиза ИБ» имеют много общего, но именно «Аудит ИБ» более корректное и содержательное (субстантивное) понятие.
Аудит информационной безопасности является нелицензируемым видом деятельности, для её проведения не требуется каких либо лицензий или разрешений.
Ранее мы отмечали, что в инициативном порядке обеспечиваем соответствие наших аудиторов требованиям профильных стандартов. Рекомендуем учитывать это (а не только цену) при выборе исполнителя аудита ИБ.

Аудит ИБ не является сертификацией (подтверждением соответствия объектов требованиям технических регламентов) и не является аттестацией объектов информатизациидля проведения этого вида работ уполномоченным органом выдается отдельный документ ‑ разрешение.

Узнать, что входит в состав аудита информационной безопасности и заказать его вы можете связавшись с нами.

 

Об атаке на сайты госорганов

20 ноября 2017 г. мы стали свидетелями атаки злоумышленников на сайты госорганов Узбекистана.
Что можно сделать, чтобы не пострадать в следующий раз?
1. Провести экспертизу информационной безопасности. Мы профессионально занимаемся этим уже 7 лет. Подтверждение этого - ни один из наших заказчиков, у которых мы проводили экспертизу за последний год, не пострадал от этой атаки.
2. Провести инвентаризацию - кто и как следит за доступностью сайта организации, размещением материалов, существуют ли альтернативные каналы связи с потребителями услуг на случай недоступности сайта.
3. Нужно понимать, что взлом сайта это очень неприятный инцидент, но реальный ущерб от него относительно невысок. Серьезные, а то и катастрофические последствия могут иметь атаки на основные ресурсы организации. Есть ли у вас план действий на этот случай?

Материалы по теме:
1. Мининфоком «Приняты оперативные меры по устранению последствий кибератаки».
2. Газета.uz «Ряд госсайтов недоступен из-за атаки».
3. Статья ITTS «Семь правил информационной безопасности».

 

Новый стандарт по информационной безопасности от SWIFT - Customer Security Controls Framework (CSCF) и требования к банкам

Customer Security Controls FrameworkВ марте 2017 года SWIFT выпустил свой стандарт по ИБ Customer Security Controls Framework 1.0 (CSCF). Все клиенты SWIFT (имеющие собственный BIC, которые выглядят так ASBKUZ22, NBFAUZ2X) должны до 31 декабря 2017 г. отчитаться перед SWIFT о соответствии новому стандарту CSCF.
Для этого нужно собрать данные о соответствии стандарту и предоставить их в SWIFT через специальный интерфейс - KYC Registry Security Attestation Application
Что нужно сделать для оценки:
1. Определить область действия стандарта - какое оборудование и системы входят в так называемый scope. Определить тип архитектуры (A1, A2, A3, B) - от этого зависит какие пункты стандарта будут обязательными, а какие рекомендуемыми.
2. Собрать сведения о соответствии по всем обязательным пунктам стандарта CSCF.
3. Ввести все полученные данные в специальное приложение KYC-SA.

Сам стандарт имеет технический уклон, содержит подробное описание каждого требования и его обоснование. Также в стандарте приводится таблица соответствия его пунктов другим отраслевым стандартам (PCI DSS, ISO 27002, NIST)

До конца 2017 года нужно отправить в SWIFT данные о соответствии стандарту CSCF, в течение 2018 года собранные данные будут анализироваться SWIFT, а с 2019 года все сведения о несоответствиях будут передаваться местным регуляторам (для нас это, очевидно, будет Центральный банк РУ) - см. график справа.

ITTS готово провести оценку соответствия требованиям SWIFT CSCF и помочь банкам со сбором данных и отправкой их в SWIFT.

Также рекомендуем статью нашего коллеги Андрея Гайко из Digital Security и вебинар Безопасность SWIFT.

SWIFT - Общество всемирных межбанковских финансовых каналов связи (от англ. Society for Worldwide Interbank Financial Telecommunications) — международная межбанковская система передачи информации и совершения платежей. В настоящий момент членами SWIFT являются более 10 000 организаций.

 

Обзор стандартов O’z DSt 2814:2014, O’z DSt 2815:2014, O’z DSt 2816:2014, O’z DSt 2817:2014

Специалисты IT-TEAM-SERVICE подготовили обзор государственных стандартов O’z DSt 2814:2014, O’z DSt 2815:2014, O’z DSt 2816:2014, O’z DSt 2817:2014 по классификации от несанкционированного доступа, требованиям к межсетевым экранам, контроля недокументированных возможностей и уровней защищенности средств вычислительной техники.

O’z DSt 2814:2014 «Информационная технология, Автоматизированные системы, Классификация по уровню защищенности от несанкционированного доступа к информации»
Этот стандарт устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в автоматизированных системах различных классов.
«4.6 Выбор класса АС производится заказчиком и разработчиком с привлечением специалистов по защите информации.
...
4.9 Третья группа - изолированные однопользовательские системы с полным доступом.
Вторая группа - многопользовательские системы с равными правами к информации разного уровня конфиденциальности.
Первая группа - многопользовательские системы с разделением прав доступа к  информации разного уровня конфиденциальности.
...
14.2 При обработке или хранении в АС информации, не отнесенной к государственным секретам, в рамках СЗИ НСД организациям и предприятиям с различной формой собственностью, а также частным лицам рекомендуются меры общего характера.
14.3 При разработке АС, предназначенной для обработки или хранения информации, отнесенной к государственным секретам и конфиденциальной информации, необходимо учитывая требования O‘z DSt 2815, O‘z DSt 2816 и O‘z DSt 2817 определить классы защищенности АС.»
В зависимости от присвоенного класса определяются и требования по защите от НСД - схема 2.

O’z DSt 2815:2014 «Информационная технология. Межсетевые экраны. Классификация по уровню защищенности от несанкционированного доступа к информации»
Стандарт устанавливает классификацию межсетевых экранов (МСЭ, файрволов, брандмауэров) по уровню защищенности от несанкционированного доступа к информации в соответствии с показателями защищенности.
Стандарт предназначен для применения заказчиками и разработчиками межсетевых экранов, сетей распределенных автоматизированных систем при формулировании требований по защите от несанкционированного доступа к информации.

Самый низкий класс защищенности - третий, применяемый для обеспечения безопасного взаимодействия АС, обрабатывающей конфиденциальную информацию, с внешней средой, второй - для обеспечения безопасного взаимодействия АС, обрабатывающей информацию с грифом «секретно», самый высокий - первый, применяемый для безопасного взаимодействия АС, с грифом «совершенно секретно».

O’z DSt 2816:2014 «Информационная технология. Классификация программного обеспечения средств защиты информации по уровню контроля отсутствия недекларированных возможностей.»

Стандарт устанавливает классификацию программного обеспечения (как отечественного, так и импортного производства) средств защиты информации, предназначенного для защиты информации ограниченного доступа, в том числе и встроенных в общесистемное и прикладное ПО, по уровню контроля отсутствия в нем недекларированных возможностей.
Стандарт предназначен для специалистов испытательных лабораторий, заказчиков, разработчиков программного обеспечения средств защиты информации при его контроле в части отсутствия недекларированных возможностей.
Самый высокий уровень контроля - первый, определяется для ПО,используемого при защите информации с грифом «Совершенно секретно» (СС) и выше.
Второй уровень контроля достаточен для ПО, используемого при защите информации с грифом «Секретно» (C).
Самый низкий уровень контроля - третий, достаточен для ПО, используемого при защите конфиденциальной информации.

В зависимости от присвоенного класса определяются и уровени контроля отсутствия НДВ - схема 4.

O’z DSt 2817:2014 «Информационная технология. Средства вычислительной техники. Классификация по уровню защищенности от несанкционированного доступа к информации»
Стандарт устанавливает классификацию средств вычислительной техники по уровню защищенности от несанкционированного доступа к информации в соответствии с показателями защищенности.
Показатели защищенности средств вычислительной техники применяются к общесистемным программным средствам и операционным системам (с учетом архитектуры ЭВМ).
СВТ по уровню защищенности от НСД к информации подразделяются на семь классов.
Самый низкий класс - седьмой, самый высокий - первый.

Седьмой класс присваивают СВТ, к которым предъявлялись требования по защите от НСД к информации, но при оценке защищенность СВТ оказалась ниже уровня требований шестого класса

Тексты стандартов на сайте Агентства «УЗСТАНДАРТ»

Мы готовы проконсультировать Вам по вопросам стандартизации в области информационной безопасности, провести экспертизу уровня информационной безопасности, разработать нормативные документы.

 

На конференции ОБСЕ по кибербезопасности

Jaisha J. Wray and Anton Rakitskiy22-23 сентября 2017 года сотрудник ITTS принял участие в международной конференции, организованной ОБСЕ, «О роли информационных и коммуникационных технологий (ИКТ) в контексте региональной и международной безопасности».
Кроме обмена опытом между специалистами, особо нужно отметить новый формат - проведение учений на базе абстрактного сценария проблемной ситуации в реальной инфраструктуре и в киберпространстве. При этом группам специалистов из разных стран было предложено выработать меры по снижению напряженности и установлению доверительного диалога между странами.
В кулуарах конференции с сотрудником ITTS А. Ракитским имели краткие беседы:

 

ITTS на ICTFORUM 2017

ITTS on ICTFORUM 2017, Uzbekistan, TashkentСотрудник ITTS принимает участие в работе ICTFORUM 2017. Краткие итоги по секции "EGOVERNMENT UZBEKISTAN":
И.о. директора центра UZINFOCOM Азиз Мухитдинов рассказал, что единый системный интегратор будет не только разработчиком систем, но скорее координатором, "дирижером", управляющим поставщиками и исполнителями. При этом не менее 30% от объемов реализуемых проектов должны будут выполняться отечественными негосударственными компаниями.

Региональный директор IDC Андрей Беклемишев в рассказе о трансформации умных городов. Привел примеры и негативного влияния новых технологий и борьбы с ним нетехническими методами. Так в Париже для борьбы с массовыми несанкционированными запусками дронов применяются ловчие птицы - соколы. Также при ошибке в проекте, внедрение и эксплуатация, например, модернизированной системы освещения, она может оказаться дороже, чем прежняя.
В рамках панельной дискуссии обсудили доступность электронных госуслуг для рядовых пользователей. Отмечено, что технологии составляют лишь 20% от объема необходимых работ, большая часть проблемы - излишнее регулирование (требуются излишние справки, выписки) и неоптимальная работа самих госорганов, которая занимает много времени, они работают по-старинке.

По секции Секция «ИТ ИНФРАСТРУКТУРА»:
О критическом значении интернета и связи на экономику рассказал специалист Всемирного банка Раджендра Сингх. Несмотря на снижение цен и увеличение пропускной способности интернета, она остаётся очень низкой. Сейчас в Узбекистане это всего 2.1 кб/с на одного человека, что очень мало по сравнению с соседними странами и в несколько сотен раз ниже, чем у мировых лидеров - выше 500 кб/с у США и Сингапура. Для решения проблемы предложена программа Digital CASA. Кстати, медленный интернет ещё и сильно сдерживает развитие всех облачных технологий в стране.
Кумар Клиффорд из VEON рассказал, что переход на модели аутсорсинга, привлечения внешних консультантов и использования облаков оправдан экономически, т.к. сопровождение ИТ не является основой бизнеса для большинства компаний. Переход на сервис-модели и облака выгоден ещё и переводом затрат на ИТ из капитальных в операционные затраты, их легче прогнозировать. Сейчас в облако перемещается даже такая "древняя" технология как PBX (офисная телефония). Появились новые варианты - STaaS - Storage as a Service и DRaaS - Disaster Recovery as a Service.
Дмитрий Юдин из Oracle рассказал о пробеме Shadow IT (теневой ИТ), когда в обход согласованных способов работы рядовые пользователи начинают сами искать сторонние инструменты - обмен файлами через файлообменники.
Шинья Кукита из NEC выдвинул тезис, что если для экономики угля и нефти, результатом которой является транспорт, энергетика, промышленность, то для современной цифровой экономики основным "полезным ископаемым" являются данные, информация. А роль насосов и экскаваторов берет на себя IoT - Internet of Things (интернет вещей).

По секции «ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ»:
Кстати, на этой секции слушателей было больше, чем на всех остальных вместе взятых.
Валерий Зубанов из "Лаборатории Касперского" рассказал о проблемах с обеспечением ИБ критически важной инфраструктуры. Одна из основных проблем систем АСУТП (SCADA) - эксплуатанты, даже зная о уязвимости, боятся устанавливать обновления, т.к. это обновление может привести к выходу из строя оборудования. При этом само оборудование часто произведено много лет назад, когда подходы к ИБ были иными. Хакеры экономят и используют давно известные уязвимости для атак, а не покупают 0day.
Еркебулан Туткабаев из Fortinet рассказал, что теперь вектор атак сместился на ransomware. При этом заражения происходят даже если у пользователя установлен антивирус, т.к. используются уязвимости нулевого дня - существуют специальные биржи, где можно купить вирусы, заказать DoS-атаки.
Ержан Калиев из Checkpoint отметил, что сигнатурный метод анализа вирусов уже не работает. Передовая технология сейчас это "песочница", где все файлы сначала проверяются в изолированной среде и только потом, после тщательного анализа, передаются на исполнение пользователю. По словам Е. Калиева уровень качества детектирования в песочнице Checkpoint достигает 99.9%
"Данные - валюта XXI века" - заявил Сергей Базылько из Oracle, весь бизнес сейчас крутится вокруг обработки данных, на этом хорошо зарабатывают (AliExpress, Uber, Ebay, AirBnB - прим. ITTS).

Подписывайтесь на наш канал в Telegram - https://t.me/ittsuz

 

О масштабных преобразованиях в подведомственных структурах Мининфокома

Information Security CenterПостановлением Президента Республики Узбекистан от 29 августа 2017 года №ПП-3245 «О мерах по дальнейшему совершенствованию системы управления проектами в сфере информационно-коммуникационных технологий» предусмотрены масштабные преобразования. Мы приводим основные моменты, касающиеся наших коллег, партнёров и вопросов обеспечения безопасности.

1. На базе Центра «Узинфоком» (с которым у ITTS подписан меморандум) образуется Единый интегратор по созданию и поддержке государственных информационных систем, в задачи которого включены, в том числе, меры по обеспечению технологической безопасности инфраструктуры системы «Электронное правительство».

2. Центр обеспечения информационной безопасности (ЦОИБ) преобразуется в Центр информационной безопасности и содействия в обеспечении общественного порядка (предположительная аббревиатура - ЦИБиСвООП).
2.1 Одной из задач центра определено создание единого аппаратно-программного комплекса «Безопасный город».
2.2 Кабинету Министров Республики Узбекистан поручено в месячный срок принять постановление об организации деятельности Центра.
Uzinfocom
3. Вводится должность заместителя министра Мининфокома, ответственного за реализацию проекта «Безопасный город».

Официальные источники и ссылки:
1. Постановление Президента Республики Узбекистан от 29 августа 2017 года №ПП-3245 «О мерах по дальнейшему совершенствованию системы управления проектами в сфере информационно-коммуникационных технологий»
2. Информационное сообщение о преобразовании ЦОИБ
3. Статья «Проект «Безопасный город» охватит весь Узбекистан» на Газета.uz

 

Страница 1 из 12

<< В начало < Назад 1 2 3 4 5 6 7 8 9 10 Вперёд > В конец >>