Год назад был опубликован пресс-релиз о том, что банк24 намерен стать первым российским банком, сертифицированным по 27001. Как обстоят успехи с этим начинанием? По срокам бы уже пора. Если не сертификационный, то хоть предварительный аудит провели?
Мужики и дамы, честно, эта тема сама началась... А то сейчас боюсь прилетит человек 100 сказать что точка опять себя пиарит. :-)
Значит так, проект 27001 у нас еще наложился на проект по внедрению Колвира (софтинка уже кстати стоит, крутится, уже кое-что перенесли, играемся, хотя в
целом очень непростой проект).
По 27001 сделали реестр информационных активов (тяжко было), сделали реестр рисков присущим всем информ активам, плюс прочих рисков (физич безопасность, люди и проч - еще тяжелее).
Запустили процесс работы по рискам и инцедентам -
завертелось. Попутно куча рисков поприкрывали...
Столкнулись с непониманием со стороны регулятора процессного подхода к ИБ (существующий ЦБшный стандарт устарел еще до рождения, там все базируется НЕ на риск-ориентированном и процессном подходе, он полоно полезных советов типа подчинить
ИБ такому-то заму, поставить заглушки туда и сюда и проч). Но вроде в ходе объяснения лед тронулся...
Пробивочный аудит через пару месяцев. У нас есть желание все сделать хорошо и насовесть, для себя же стараемся, вроде как мы 1ые этот проект начали, должны и закончить 1ыми (серьезные
люди меньше года такими вещами не занимаются, покупка сертификатов не считается).
интересно, что афтар понимает под СУИБ?
может быть ПОИБ (подсистема обеспечения информационной безопасности)? :-) просто первый раз вижу такую аббревиатуру (СУИБ)
Вообще, стандартов именно "управления" - достаточно много. Тот же ISO17799 говорит о том, как правильно организовать управление ИБ, ISO9001 - о том, как организовать
систему управления качеством.
Справедливости ради, само по себе внедрение этих стандартов не гарантирует качества продукции или безопасности системы. Но позволяет достичь оных проще, чем изобретая "свой путь".
Справедливости ради, само по себе внедрение этих стандартов не гарантирует качества продукции или безопасности системы. Но позволяет достичь оных проще, чем изобретая "свой путь".
«Свой путь» все равно будет основан на best
practices. :-) В том числе и по указанным стандартам. :-)
Любой стандарт - это "набор общих фраз в записной книжке аудитора". Обязательно должно быть то, а не забыли ли они это. Как от методологии перейти к формированию и практической реализации конкретных процедур, в конкретной организации, не написано нигде. Даже в best practices.
СУИБ в
разных организациях будет отличаться как разные дети в разных семьях. Хотя у каждого должны быть голова и две ноги. А если три ноги, то это уже "не стандарт".
Любой стандарт - это "набор общих фраз в записной книжке аудитора". Обязательно должно быть то, а не забыли ли они это.
Трудно поспорить ;-)
Но, сравните, например PCI DSS, где четко написано "должно быть СДЕЛАНО то-то и то-то"
(например, шифрование базы или столбца с PANом) и все стандарты по "организации", где постановка дается в стиле "должен быть назначен ответственный и определен порядок".
Второй тип стандартов тоже полезен, но он дает наставления именно по организации процесса, а не по конкретным делам.
p.s. Интересно, а кто как выполняет требование стандарта ЦБ "если в системе ведение логов не предусмотрено, фиксацию событий надо реализовать орг. мерами". Ставим за каждым сотрудником человека с блокнотом? :-)
Любой стандарт - это "набор общих фраз в записной книжке аудитора". Обязательно должно быть то, а не забыли ли они это. Как от методологии перейти к формированию и практической реализации конкретных процедур, в конкретной организации, не написано
нигде. Даже в best practices.
СУИБ в разных организациях будет отличаться как разные дети в разных семьях. Хотя у каждого должны быть голова и две ноги. А если три ноги, то это уже "не стандарт".
+1
Как геном: кислоты одинаковые — последовательность
разная. :-)
Столкнулись с непониманием со стороны регулятора процессного подхода к ИБ (существующий ЦБшный стандарт устарел еще до рождения, там все базируется НЕ на риск-ориентированном и процессном подходе, он полоно полезных советов типа подчинить ИБ
такому-то заму, поставить заглушки туда и сюда и проч). Но вроде в ходе объяснения лед тронулся...
С регулятором Св.области конечно не очень повезло.
Что касается процессного подхода, то что СТО БР ИББС, что 27001 в этом смысле ничем не отличаются. Другое дело, что структура
СУИБ (перечень процессов) различаются. Ну и различаются, естественно, методики их оценки. В СТО, кроме того, выделены контроли, которые обязательно должны быть внедрены, независимо от существующих рисков. Это основные отличия.
Правильно ли я понял, что "сделали реестр информационных активов"
- означает "реализовали процесс управления активами"?
Без базового набора реализованных и реально работающих процессов предварительный аудит будет не слишком полезным.
Лучше сначала сделать документацию по СУИБ, а уж потом внедрять контроли.
Задача аудиторов убедиться в том,
что вы построили реально работающую СУИБ, а вовсе не искать незакрытые риски. Так что по аналогии с 9001 смотреть документацию будут с пристрастием.
Цитата: От пользователя: Cybervlad
Интересно, а кто как выполняет требование стандарта ЦБ "если в системе ведение логов
не предусмотрено, фиксацию событий надо реализовать орг. мерами". Ставим за каждым сотрудником человека с блокнотом?
Ага, это вообще отдельная песня. Приходится упирать на ролевые принципы и "двойное управление". Практически любой этап банковского технологического процесса можно
рассматривать как составной со своими исполнителями на каждом этапе (это конечно в теории, на практике дико непрактично). Соответственно задача сводится к разграничении ролей и реализации контроля выхода каждого из этапов. Тут конечно засад много. Опять такит зависит от того, как выглядит регламент
соотвествующего процесса. В этом смысле 9001 - может стать как большим подспорьем, так и большой проблемой. В конечном счете решение проблемы - некий аналог процедуры управления сбоями из 9001.
p.s. Интересно, а кто как выполняет требование стандарта ЦБ "если в системе ведение логов не предусмотрено, фиксацию событий надо реализовать орг. мерами". Ставим за каждым сотрудником человека с блокнотом?
Здравая мысля, а мы
то голову ломали :-)
Ну или одного большого человека с одним большим блокнотом.
Фу, ну зачем же так нетехнологично? :-)
За спиной у каждого сотрудника - видеокамера, перед ним - микрофон. Ну или просто рекордер экранов и кейлоггер ;-)
А если тонкий клиент?
Можно конечно аппаратные логгеры втыкать прям в разрыв USB клавы :-D
А вообще интересно, сколько подобные архивы занимают, как ими управлять и,
главное, как в них ориентироваться?
Думается, что в реальности это такая же утопия, как и реализация двойного контроля.
Думается, что в реальности это такая же утопия, как и реализация двойного контроля.
Естественно. Я ж просто прикалывался...
Если нету в системе протоколирования, то "оргмерами" его врядли заменить можно.
На уровне системы,
конечно, можно навтыкать "навесной" защиты. Но даже если поставить тот же SecretNet, он будет вести журнал запуска задач и протокол обращения к файлам, но он не сможет во внятных терминах протоколировать работу программы на прикладном уровне...
Что до "тонкого клиента" - лог в этом случае
просто на сервере ведется.
А логгер в разрыв клавиатуры еще тучу лет назад на thinkgeek продавался... http://www.keykatcher.com/
Цитата: От пользователя: Cybervlad p.s. Интересно, а кто как выполняет требование стандарта ЦБ "если в системе ведение логов не предусмотрено, фиксацию событий надо реализовать орг. мерами". Ставим за каждым сотрудником человека с блокнотом?
Цитата: От пользователя: Boris Dyakonov Здравая мысля, а мы то голову ломали Ну или одного большого человека с одним большим блокнотом.
А можно ближе к контексту про оргмеры, глава, пункт? Любой серьезный документ требует конкретики.
В одном случае оргмеры - это
единственный способ решения задачи. В другом - вынужденная мера, если жаба давит денег дать на толковое, проверенное сотнями компаний решение, а меры принамать какие-то надо. В третьем случае оргмеры - просто профанация.
Пример когда оргмеры - это единственное решение
"5.11.
Соблюдение политики ИБ в значительной степени является элементом корпоративной этики, поэтому на уровень ИБ в организации серьезное влияние оказывают отношения как в коллективе, так и между коллективом и собственником или менеджментом организации, представляющим интересы собственника. Поэтому этими
отношениями необходимо управлять. Понимая, что наиболее критичным элементом безопасности организации является ее персонал, собственник должен всемерно поощрять решение проблемы ИБ." (СТО)
Оргмеры - это не просто злобный дядька с бальшим блокнотом, это комплекс обучения, воспитания,
мотивирования 100% пользователей на осознаное выполнение требований ИБ.
В идеале оргмеры, защитное ПО и железо сбалансированы и находятся в динамике улучшения. К этому СУИБ и стремиться.
А можно ближе к контексту про оргмеры, глава, пункт? Любой серьезный документ требует конкретики.
Т.е. с текстом стандарта Вы не знакомы.
См. 8.2.4.3, последний дефис:
Цитата:
- регистрация действий персонала и
пользователей в специальном электронном журнале.
Данный электронный журнал должен быть доступным для чтения, просмотра, анализа, хранения и резервного копирования только администратору ИБ. При невозможности под держки данного режима эксплуатирующимися в организации БС РФ
аппаратно -программ ными средствами, реализация данного требования должна быть обеспечена организаци онными и/или административными мерами.
Цитата: От пользователя: Дотошный
Оргмеры - это не просто злобный дядька с бальшим блокнотом, это комплекс обучения,
воспитания, мотивирования 100% пользователей на осознаное выполнение требований ИБ.
Очень правильные слова. Вы случайно лекции по ИБ не читаете? :-)
Теория - это "сферические кони в вакууме". И они дружно скачут лесом, когда дело доходит до практики.
Попробуйте предложить,
каким образом, скажем, в АБС "Банкир ПРО" реализовать "электронный журнал", фиксирующий, например, событие "доступ к информации о счете" (знакомые с системой знают, что получить эту информацию можно совсем даже не одним способом).
Вести лог SQL-транзакций и на лету парсить его эвристическим
анализатором? :-)
Что до "тонкого клиента" - лог в этом случае просто на сервере ведется.
Мы ведь рассматриваем ситуацию, когда прикладуха не ведет достаточно детализированные логи самостоятельно.
Цитата: От пользователя: Cybervlad
Попробуйте предложить, каким образом, скажем, в АБС "Банкир ПРО" реализовать "электронный журнал", фиксирующий, например, событие "доступ к информации о счете" (знакомые с системой знают, что получить эту информацию можно совсем даже не одним
способом).
С АБС "Банкир ПРО" не знаком, зато знаю другие системы, не банковские. Судя по отзывам Cybervladа -эта АБС совсем не дружит с ИБ и СТО: "8.2.4.2. *В составе АБС* должны применяться встроенные механизмы защиты информации, а также могут использоваться сертифицированные или разрешенные к применению
средства защиты информации от НСД." (Не в этом ли причина замены АБСки в банк24.ру? :-) )
В современных системах логируются все обращения пользователя к конфиденциальной информации. Механизм реализован на уровне приложения, поэтому не нужно парсить лог SQL-транзакций :-)
Обходят
это так: узнают у ИТшников когда смена базы на учебной системе для поддержания актуальности, смотрят че надо, после замены базы - логи чистые. Можно параноидально бэкапить логи перед сменой учебной базы, но остануться пользователи, которые повседневно работают с этой информацией. И т.д. - вечная
борьба меча и щита.
Вот тут и включаются оргмеры: до каждого доводится ответственность за разглашение, конкретно указывается, что нельзя разглашать. Эти мы повышаем стоимость социальной инженерии для шпиёнов.
И конечно стоит поменять такую АБС, а если жаба давит или банк не в
состоянии перейти на современное ПО - тогда остаются голимые оргмеры. Для этих случаев ЦБ и оставил лазейку (8.2.4.3, последний дефис)
Написано не ради спора, а как средство общения с умными, компетентными специалистами :cool:
С АБС "Банкир ПРО" не знаком, зато знаю другие системы, не банковские.
Цитата: От пользователя: Дотошный
В современных системах логируются все обращения пользователя к конфиденциальной информации.
Поскольку
Цитата: От пользователя: Дотошный
Любой серьезный документ требует конкретики.
хотелось бы услышать перечень этих "современных систем".
Почи 15 лет информационная безопасность была моей основной профессией, и на этом поприще
я "наелся". Систем, понимающих разницу между "конфиденциальной" и обычной информацией в дикой природе я не встречал. "Заготовок" - полно. Тот же RSBAC с моделями Белл-ЛаПадулы и Кларка-Вильсона. Но это все на уровне "системных" объектов.
Много ли прикладухи? :-) Слышал только про МСВС и систему
защищенного документооборота на ее базе (с СУБД в составе роты). Но это разработка в интересах военных, и ее сложно применить в гражданском бизнесе. Мандатные модели доступа хороши только в теории...
Внимание! сейчас Вы не авторизованы и не можете подавать сообщения как зарегистрированный пользователь.
Чтобы авторизоваться, нажмите на эту ссылку (после авторизации вы вернетесь на
эту же страницу)
