Контактная информация:
Тел.:
Эл. почта: sr-danil@yandex.ru
Позволю себе дать некоторые комментарии по требованиям ФСТЭКа к ИСДПн класса 2 или 3.
Требования к ИСПДн 2го и 3го классов полность идентичны. Различия между требованиями к ИС с разными режимами работы — минимальны. Поэтому все их можно рассмотреть за раз.
Велика вероятность, что я что-то тут упустил, но я постарался рассмотреть все варианты ИСПДн и систем защиты. Будут вопросы, пожелания, возражения — пишите (можно и по эл. почте), приглашаю к обсуждению.
Надеюсь, если будет польза от данной заметки, получится пройтись по всему приказу № 58.
Итак, на повестке дня обсуждаются положения п. 2.3 приложения к приказу № 58 ФСТЭКа:
а) управление доступом:
идентификация и проверка подлинности пользователя при входе в систему по паролю условно-постоянного действия длинной не менее шести буквенно-цифровых символов;
Странно, но нет требования к наличию идентификатора (хотя оно есть в многопользовательских ИС с равными правами, см. п. 2.2). Хотя чуть ниже пишется, что идентификатор должен быть зафиксирован в журнале ИС. Значит он должен быть, одим паролем не обойтись.
Идентификатор – это логин, не обязательно использовать какой-либо физический токен. Главное что бы у пользователя был идентификатор (логин) и пароль (мин. 6 символов). Порядок смены и прочей работы с паролями регламентируются оператором самостоятельно.
б) регистрация и учет:
регистрация входа (выхода) пользователя в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения информационной системы. В параметрах регистрации указываются дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная), идентификатор (код или фамилия) пользователя, предъявленный при попытке доступа;
Банальные системные логи. Любая ОС может вести такие в любом удобном для администратора виде. СЗИ всяко такое умеет делать.
учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета с отметкой об их выдаче (приеме);
Обычные журналы учета и маркировка носителей. Носители выдавать под личную роспись (обязательно) и (желательно) на определенное время (в рамках рабочего дня). Форма журнала – свободная.
в) обеспечение целостности:
обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. При этом целостность программных средств проверяется при загрузке системы по контрольным суммам компонентов средств защиты информации, а целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации;
Целостность программной среды обеспечивается (в большинстве случаев систем подобного класса) орг. мерами: 1)при сдаче ИСПДн в эксплуатацию АИБ контролирует программную среду на отсутствие декомпиляторов и отладчиков; 2) пользователи клянутся мамой, что из интернета ничего подобного качать не будут, гадостей вытворять – тоже. Можно организовать защищенную программную среду: запрещено запускать все, что явно не разрешено. Но это накладно, хотя мега админы наверняка могут такое организовать.
Проверка по контрольным суммам. В любой СЗИ такая функция должна быть и надо только ее настроить, чтобы она проверяла (как минимум) компоненты СЗИ и ОС. В ОС GNU/Linux – так же есть возможность малой кровью реализовать данное требование встроенными утилитами (bash, md5). Для ОС MS Windows нужно отдельно скачать утилиту для подсчета контрольных сумм (но тут возникает угроза НДВ, но мы ее проигнорируем, как маловероятную) и так же написать скрипт для проверки целостности при загрузке. В MS Windows есть еще такая штука, как Windows File Protection, на нее то же можно обратить внимание.
физическая охрана информационной системы (устройств и носителей информации), предусматривающая контроль доступа в помещения информационной системы посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения информационной системы и хранилище носителей информации;
Дополнительных пояснений не требуется. Наверное надо создать что-то типа регламента доступа в помещения ИСПДн и инструкцию по мерам тезнической укрепленности. Хотя в малых ИСПДн хватит только реализации мер, без лишних бумажек.
периодическое тестирование функций системы защиты персональных данных при изменении программной среды и пользователей информационной системы с помощью тест-программ, имитирующих попытки несанкционированного доступа;
При внесении изменений в настройки ПО в ИСПДн (обновление, установка, переконфигурирование) необходимо проводить тестирование функций обеспечения безопасности. Видимо не обязательно всех сразу, а только тех, которые были затронуты внесенными изменениями. Это же относится и к изменению в составе пользователей ИСПДн (пришел новенький или уволился кто-то – проводите тест). А вдруг админ чего напутал при установке ПО и открыл критическую уязвимость или сотрудник на прощанье выключил СЗИ из вредности? Вот поэтому и надо тестировать систему защиты.
При простом составе СЗПДн, думаю можно обойтись и без тест-программ и провести регламентное тестирование в ручную, но тогда лучше этот регламент разработать и утвердить заранее. Если СЗПДн большая и сложная можно взять что-то вроде сканеров безопасности. На сегодня знаком только с одним: XSpider 7.
наличие средств восстановления системы защиты персональных данных, предусматривающих ведение двух копий программных компонент средств защиты информации, их периодическое обновление и контроль работоспособности.
При получении дистрибутива СЗИ у вас будет диск – эталонный носитель. С этого диска делаем копию (или две?) – рабочую копию, с которой и будет производиться установка. Периодически диски надо проверять и обновлять. Мера необходима для восстановления СЗПДн в случае если что-то пошло не так, а единственный диск не читается. В таком случае работу в ИСПДн прийдется остановить и долго ждать, когда разработчик пришлет копию СЗИ, а это не правильно (ведь остановиться никто не даст, а система защиты не работает – нет обеспечения должного уровня безопасности информации).
Хорошо бы озадачиться полным бэкапом всей программной части ИСПДн – в виде образа диска. Хранить в защищенном хранилище, что бы враги не установили закладки в резервную копию системы.
Не стоит забывать, что данные требования — это минимум, которому должна удовлетворять система защиты персональных данных в ИС. Как можно видеть, все они имеют под собой некое обоснование и не требуют сверхусилий для их реализации. Все остальные «фишечки» зависят уже от модели угроз.
Заметки → RSS-фиды May 14, 2010, 1 комментария
Сайт по-немногу растет и развивается, причем в нескольких направлениях и для разной аудитории, и с разной периодичность. Дабы всем было удобно, создал несколько разных rss-лент:
Надеюсь стало удобней.
Заметки → 7 мая May 07, 2010
7 мая — день радио. Небольшой такой, местный, праздник студентов радиотехнического факультета ТУСУРа. Сам был таким, знаю. Вот новый год — это домашний и семейны праздник, а 7 мая — это хороший и добрый корпоратив студентов ТУСУРа, который сближает и заставляет вспомнить родной вуз хоть раз в году. Ну а кто пошел работать по специальности связанной с радиотехникой, так еще и основной профессиональный праздник.
В общем, с праздником всех тех кто к нему причастен и студентов РТФ ТУСУРа.
Особенно ярко 7 мая проходит для студентов живущих (проживавших) в общежитии № 6 (РТФ). Подъем в 7 утра. Марш бросок — тренировка перед вечерним проходом — до радиотехнического корпуса. Речь декана. Первая пара. Гулянка до вечера. Немного передохнуть, отоспаться (у нормальных студентов праздник начинается в ночь с 6 на 7 мая) и с новыми силами на парад по улицам Кировского района г. Томска. к 20:00 общий сбор на Дворце спорта и дискотека. А потом спать ибо устали. Думаю, сегодня так оно и осталось.
Заметки → Debian, nmap and alien Apr 27, 2010
Оказывается в Debian Squeeze nmap 5.00, хотя актуальная — 5.21. Пол интернета обошел в поисках нового deb-пакета или продвинутого репозитария. И ничего. А на оф. сайте (http://nmap.org/) для скачки доступны только rpm-пакеты. И вот только чуть позже до меня дошло, что можно конвертировать rpm to deb.
Чудо конdертер — это alien и работает он элементарно: 1. качаем последний nmap в rpm-пакете; 2. alien nmap-5.21-1.i386.rpm; 3. ставим: dpkg -i nmap_5.21-2_i386.deb
Что интересно, в версии 5.21 появилась опция -sn (No port scan) вместо -PN, но help & man остались от прежней версии (а man вообще подсунули с устаревшим переводом от версии 4.76). И на всякий случай. Версия перевода Справочного руководства Nmap несколько устарело, читайте оригинал: Nmap Reference Guide.
Заметки → Алгоритм создания паролей Apr 05, 2010, 2 комментария
Не претендуя на оригинальность, но достаточно интересно. Наткнулся в сети на интересный алгоритм генерации паролей. Полезно использовать как для обучения рядовых пользователей ПК в компании, так и для собственного применения.
Алгоритм:
Взято из комментариев к статье «Как залатать человеческие уязвимости?».
Лично я пользуюсь программой для хранения паролей. Уже вошло в привычку и нисколько не отвлекает. В замен неудобств одни плюсы: не нужно помнить десятки различных паролей, можно генерировать довольно сложные пароли, все пароли уникальны.
К такому способу я пришел через хранение паролей сначала на бумаге, потом в .txt. А как у вас обстоят дела с паролями?
ПД → Движемся дальше Mar 10, 2010
Вот и случилось то, чего все мы так долго ждали. Отменены два методических документа ФСТЭКа: «Общие мероприятия» и «Рекомендации».
Вышло решение первого заместителя ФСТЭКа об отмене данных документов. Полный текст можно найти в новости «Отменены два методических документа ФСТЭКа» (там же ссылка на первоисточник, там же можно и пообсуждать столь интересную новость).
Сколько было потрачено времени на внимательное чтение этих документов. Сколько нервных клеток убито на доказывание своей правоты, на то, что именно твоя трактовка талмуда верна. И все за зря. Но это не так.
А
Ну что же. Итог прекрасен.
ПД → Все только начинается Mar 02, 2010
Прошу вашего внимания. У меня несколько заявлений.
Он ещё не вступил в законную силу, но думаю ждать осталось не долго (официальной публикации и ещё 10 дней).
Приказ опубликован 5 марта, через 10 дней вступит в силу — 15 марта 2010 г.
Наверное это будет знаковый приказ — «приказ № 58»,
Дополнительно, можно почитать блог А. Лукацкого (Новый документ ФСТЭК по защите ПДн) и статью Так держать или не играйте в азартные игры с профессионалами (тов. Malotavr).
Зачем он нужен? Собирать те материалы по вопросам обработки и защиты ПДн, которые интересны мне лично. Надеюсь они и вам будут полезны. Ещё хочется все просто и доступно рассказать, разложить по полочкам. В общем, поглядим что получится.
Приглашаю всех к обсуждению. Раздел о ПД открыт для авторских публикаций (вдруг вам захочется поделиться опытом с читателями).
Заметки → Есть задачка Feb 26, 2010, 3 комментария
Простая такая.
Если:
2 + 3 = 10
7 + 2 = 63
6 + 5 = 66
8 + 4 = 96
Тогда:
9 + 7 = ???
Найденное число является паролем чтобы открыть файл, который можно найти на сайте.
Заметки → Немного изменений Feb 25, 2010, 1 комментария
Давно хотел привести вид сайта в порядок, да вот все руки не доходили. Сегодня, между делом, дабы дать мозгам передышку, решил взглянуть что и как можно переделать.
Хорошо, что дизайн совсем простой. Переписывать почти ничего не пришлось. Вид блога тоже изменился, в унисон основному сайту.
По моему стало лучше. Когда информации много, в узкой колонке ее проще читать. Я так постоянно делаю, с помощью простенького add-on‘а Readability (удобная штука, попробуйте).
Осталось начать периодически сюда что-то писать. Вот Вам что интересно?
ПД → Изменения в ФЗ №152 Jan 27, 2010
29 декабря 2009 г. в «Российской газете» был опубликован федеральный закон №363-ФЗ «О внесении изменений в статьи 19 и 25 Федерального закона «О персональных данных». Таким образом вступили в действие две поправки: