Автор обзора Юлия Добровольская, старший аналитик УЦСБ
Банк России дает разъяснения
На официальном сайте Банка России были опубликованы ответы на типовые вопросы, связанные с реализацией Положения Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств». Всего было рассмотрено 16 вопросов, касающихся различных аспектов выполнения установленных требований, включая в том числе:
— защиту ПДн при осуществлении переводов денежных средств;
— соотнесение требований Положения Банка с Постановление Правительства РФ от 13 июня 2012г. №584 «Об утверждении Положения о защите информации в платежной системе»;
— необходимость принятия мер по обработке несущественных рисков;
— отнесение информации, содержащейся в уведомлении клиента о совершении каждой операции с использованием электронного средства платежа и в чеке банкомата, к защищаемой информации;
— порядок информирования клиентов о различных угрозах и рисках при осуществлении переводов денежных средств, а также о мерах их нейтрализации;
— возможность применения несертифицированных, но официально ввезенных на территорию России, СКЗИ при оказании услуг дистанционного банковского обслуживания;
— необходимость выполнения требований Положений при осуществлении безналичных расчетов.
Обновленный ISO 27001
В конце прошлого месяца были опубликованы новые редакции стандартов ISO 27-й серии: ISO/IEC 27001:2013 и ISO/IEC 27002:2013. Сравнение старой и новой версий ISO/IEC 27001:2013 содержится в подготовленном BSI руководстве по переходу на новую версию стандарта. При пересмотре стандартов были учтены принципы и методология оценки рисков, изложенные в ISO 31000, а также требования директив ISO/IEC по унификации стандартов системы управления.
По сравнению с прошлой версией стандарта ISO/IEC 27001 значительно изменилась структура документа. Выделены новые блоки требований «Leadership» (Лидерство) и «Support» (Поддержка), акцентирующие внимание, соответственно, на необходимости демонстрации приверженности руководства системе управления ИБ, а также предоставлении необходимых ресурсов, наличию компетенций, повышении осведомленности и управлению коммуникациями.
Изменения произошли и в терминологической базе стандарта. Так вместо терминов stakeholders и asset owner появились соответственно Interested parties и Risk owner.
В новой редакции документа исчезло упоминание превентивных мер, вместо которых предлагается использовать иной подход, заключающийся в оценке выявленных несоответствий и принятии корректирующих мер.
Значительные изменения претерпели механизмы контроля, приведенные в приложении к стандарту. Их состав был серьезно переработан в части внутренней организации ИБ ( А.6.1 «Internal organisation»), контроля доступа (A.9 Access control), приобретения, разработки и обслуживания информационных систем (А.14 System acquisition, development and maintenance), и соответствия требованиям (А.18 Compliance). Помимо этого часть требований была исключена из состава механизмов контроля, а также выделены новые домены (A.13 Communications security, A.10 Cryptography, А.15 Supplier relationships). В целом число механизмов контроля сокращено до 114 (было 133).
Изменения на методологическом уровне связаны с исключением из текста стандарта детального описания рекомендуемого подхода к оценке рисков и постоянному улучшению СУИБ. Теперь компания может самостоятельно выбирать подходящую методологию, а метод «актив — угроза — уязвимость» и модель PDCA останутся как лучшие практики для этого стандарта.
В целом новая версия стандарта является более удобной и гармонизированной с современными стандартами ISO, однако отсутствие принципиально новых методологических изменений и слишком общий характер описания процессов управления ИБ снижает его практическую ценность в сравнении с другими методологиями (COBIT5, ITIL v3).
ГОСТ по защите виртуализации и облачных вычислений
На сайте технического комитета по стандартизации № 362 были опубликованы проекты новых ГОСТ по защите информации, разработанных ГНИИИ ПТЗИ ФСТЭК России:
— ГОСТ Р ХХХХХ-20ХХ «Защита информации. Требования по защите информации, обрабатываемой с использованием с использованием технологий „облачных вычислений“. Основные положения»;
— ГОСТ Р ХХХХХ-20ХХ «Защита информации. Требования по защите информации, обрабатываемой с использованием технологии виртуализации. Основные положения».
По плану работ ТК-362, работы по проектам ГОСТ по виртуализации и облачным вычислениям должны быть завершены в ноябре и в декабре представлены в Росстандарт.
Проект ГОСТ Р, посвященный защите информации, обрабатываемой с использованием технологии «облачных вычислений», определяет базовые термины и взаимосвязь между ними, состав и структуру информационных систем, построенных с использованием технологий «облачных вычислений», а также включает в себя обзор объектов защиты и угроз безопасности информации. Так как использование технологии «облачных вычислений» подразумевает всегда наличие двух сторон — поставщика и потребителя облачных услуг, все угрозы безопасности информации делятся в документе на два класса: для поставщиков облачных услуг и для потребителей. Характеристика угроз включает в себя описание способов их реализации и возможные последствия (нарушение целостности, доступности и конфиденциальности информации). Очевидно, что при определении сводного перечня угроз использовались существующие наработки Cloud Security Alliance (Top Threats to cloud computing).
В зависимости от вида облачных услуг ГОСТ определяет требования по защите информации. Всего в документе рассматривается 13 видов облачных услуг:
— аппаратное обеспечение как услуга (HaaS);
— безопасность как услуга (SecaaS);
— бизнес-процесс как услуга (BPaaS);
— данные как услуга (DaaS);
— доверие как услуга (TaaS);
— инфраструктура как услуга (IaaS);
— облачная среда разработки как услуга (SDPaaS);
— общение как услуга (CaaS);
— платформа как услуга (PaaS);
— подключение как услуга (NaaS);
— программное обеспечение как услуга (SaaS);
— прозрачность как услуга (TraaaS);
— рабочее место как услуга (WaaS).
Требования по защите информации включают в себя следующие меры:
— по идентификации и аутентификации субъектов и объектов доступа;
— по управлению доступом субъектов к объектам;
— по ограничению программной среды;
— по защите машинных носителей информации;
— по удалению остаточной информации;
— по регистрации событий безопасности;
— по криптографической защите хранимой и передаваемой информации;
— по антивирусной защите;
— по обнаружению (предотвращению) вторжений;
— по контролю (анализу) защищенности информации;
— по обеспечению доступности информации;
— по защите облачного сервера, его средств и систем связи и передачи данных;
— по межсетевому экранированию;
— по централизованному управлению.
Можно заметить, что меры по защите информации во многом напоминают формулировки требований, используемых в 21-ом и 17-ом приказах ФСТЭК России.
ГОСТ по защите информации, обрабатываемой с использованием технологии виртуализации, рассматривает требования по защите виртуализации в различных аспектах, включая виртуальные сети и СХД. Содержание документа во многом совпадает с положениями документов NIST, в частности, NIST 800-125 «Guide to Security for Full Virtualization Technologies», который, по-видимому, использовался при разработке ГОСТ.
В рассматриваемом документе даются определения терминов «виртуализация», «виртуальная машина», «гипервизор», появившиеся ранее в 21-ом и 17-ом приказах ФСТЭК России.
Среди объектов, подлежащих защит, рассматриваются:
— файлы виртуальных жестких дисков и файлы с настройками ВМ;
— гипервизоры;
— системное и прикладное ПО, используемое в виртуализации, и их данные;
— средства ЗИ и их данные;
— каналы передачи данных;
— сетевое оборудование и их данные;
— резервные копии данных.
В зависимости от типа виртуализации в ГОСТе определяется набор мер по защите информации. К рассматриваемым типам виртуализации относятся:
1. Виртуализация аппаратного обеспечения
2. Виртуализация программного обеспечения
3. Виртуализация с использование гипервизора I типа
4. Виртуализация с использование гипервизора II типа
5. Виртуализация вычислительных сетей
6. Виртуализация систем хранения
По каждому из типов виртуализации приводится его описание, характеристика угроз безопасности информации и перечень мер по защите.
В целом оба документа получились хорошо структурированными, не сложным для восприятия и достаточно подробными.