четверг, 6 июня 2013 г.

Образование. О вендорах и ВУЗах [Upd]

Все говорят об ужасном качестве образования в области ИБ, а кто реально готов помочь ВУЗам в образовании молодежи? Говорить об интеграторах в данной статье не буду –  у каждого из них свой подход в этом деле (кто регулярно принимает студентов на практику/стажировку, кто преподает на кафедрах ИБ) [Upd: решил выделить отдельную графу и добавлять в нее стажировки для студентов в различных городах, которые организовывают вендоры/интеграторы/пр.]… Хочу поговорить о вкладе в образовательный процесс вендоров.
Попробую перечислить вендоров, а также степень их участия в образовательном процессе, с которыми приходилось общаться по данному вопросу.
Программы вендоров:
1.   «Positive Education» (PositiveTechnologies)   - однозначный лидер в этом направлении. Ими разработана целая образовательная программа «Практическая безопасность», в рамках которой ВУЗу предоставляются в том числе и различные лабораторные работы (разработаны тестовые виртуальные инфраструктуры) по «Анализу защищенности», «Тестированию на проникновение», «Анализ безопасности веб-приложений» и др. Также, помимо образовательной программы – Positive может представить полнофункциональную версию X-Spider (10 лицензий по 16 IP каждая), задания по CTF и много другое.

2.   Код Безопасности – централизованная политика поработе с ВУЗами ведется. Как и в случае с "Позитивом", предварительно между ВУЗом и вендором должно быть подписано соглашение о сотрудничестве. Компания предоставляет «академические лицензии» своих продуктов со скидкой

3.   Алладин-РД – централизованная политика по работе с ВУЗами отсутствует. Компания совместно с рядом других вендоров и ТУСУРом разработала достаточно неплохое учебное пособие для ВУЗов «Аутентификация: теория и практика обеспечения безопасного доступа к информационным ресурсам»  (в открытом доступе первые 2 части книги, 3я же (лабораторные работы, ну и сами инфраструктуры на виртуальных машинах) предоставляется при покупке издания, либо можно попробовать обратиться в Алладин ней J). По запросу – можно получить спец цены на оборудование для академических целей.

4.   Лаборатория Касперского – постоянно проводят гранты, олимпиады, конференции и пр. Детальней об образовательных инициативах Лаборатории.

5.   StoneSoft - централизованная политика по работе с ВУЗами отсутствует. Компания по запросу для академических целей может предоставить большие скидки на продукты, а также учебные материалы по продуктам.

6.    DrWeb:  
·  «Стипендия DrWeb» - компания в течение 3-х организовывала гранты на лучшие научные исследования и разработки антивирусных средств защиты информации (правда в настоящий момент времени данный проект завершен);
·  Сертификация студентов по продуктам и решениям компании;
·  Конкурсы и лекции для ВУЗов.

7.     Digital Security – Представляет бесплатную академическую лицензию своего продукта Digital Security Office.

8.     SearchInform  -  Безвозмездно предоставляет ВУЗам свой продукт «Контур информационной безопасности SearchInform». Помимо предоставления продукта – осуществляется как информационноая и техническая поддержка, так и помощь в написании методических материалов/предоставление готовых материалов. По окончанию курса обучения по продукту, студенты могут получить соответствующий сертификат.

9.     СКБ Контур – Компания предоставляет большой набор программ для студентов (стажировки, конференции, соревнования, гранты). Правда большая часть «плюшек» доступна только для студентов и выпускников г. Екатеринбурга.

Стажировка у вендора/интегратора:
Москва:
1.     Инфосистемы Джет – подготовка ИТ-аналитиков. Правда в этом году программа уже завершена. Следите за новостями на сайте компании.
2.     Positive Technologies - набирает студентов на летнюю практику (2013г). Обращаться к devteev@ptsecurity.ru.

Екатеринбург:
1.     СКБ Контур – возможность для студентов пройти стажировку в компании (разработка программного обеспечения).

Краснодар:
1.      ЗАО "Сириус"  - ежегодно организует стажировки для студентов по направлению "информационная безопасность". За дополнительной информацией можно обращаться ко мне.

Бесплатная сертификация:
Также, хочу сказать пару слов о возможностях для студентов по получению «бесплатных» сертификатов (не только ИБ, но и ИТ) еще до устройства на работу.
1.     VMWare:
Материалы для изучения доступны в том числе и на русском языке.
2.      «Дистанционный университет «Интуит»  - множество бесплатных курсов.
3.     Dr. Web - Сертификация студентов по продуктам и решениям компании.

Если я ошибся по каким-то из вендров и кто-то обладает более актуальной информацией – просьба меня поправить.
Если кто-то знает о подобной инициативе других вендоров – пишите, добавлю в общий список.


вторник, 4 июня 2013 г.

ЗПДн. И снова про Информационное сообщение ФСТЭК от 20 ноября 2012 г. № 240/24/4669

Ниже речь пойдет об информационном сообщении ФСТЭК «Об особенностях защиты персональных данных при их обработке в информационных системах персональных данных и сертификации средств защиты информации, предназначенных для защиты персональных данных» от 20 ноября  2012 г. № 240/24/4669, а точнее об одном из его пунктов, а именно о:
 «Предполагается, что нормативный правовой акт ФСТЭК России, устанавливающий состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, будет применяться к информационным системам персональных данных, для которых решение о создании системы защиты информации будет принято после вступления в силу указанного нормативного правового акта».
Как только данное письмо вышло в свет – все обрадовались, что те система защиты ПДн, которые уже созданы или создаются (информационные системы, решение о создании системы защиты информации которых было принято до вступления в силу Приказа ФСТЭК №21) – можно эксплуатировать/создавать по требованиям Приказа ФСТЭК №58, но только тогда не были учтены следующие факторы:
  •  слово «предполагается» нам говорит о том, что может быть так будет, а может быть и нет…
  • в проекте приказа ФСТЭК №21 была фраза «Установить, что настоящий приказ применяется для обеспечения безопасности персональных данный во вновь создаваемых (модернизируемых) информационных системах персональных данных», но в утвержденной версии Приказа данная фраза отсутствует…

Да и в базе «Консультант+» данное письмо отсутствует, что ставит под большой вопрос его юридический статус.

Собственно, учитывая вышесказанное, Приказ ФСТЭК №21 и его требования – «нам в помощь»…

воскресенье, 2 июня 2013 г.

ЗПДн. ПП 1119, Приказ ФСТЭК №21 и Модель угроз

Попробую привести порядок построения Модели Угроз (далее МУ), в соответствии с требованиями Постановления Правительства от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и требованиями Приказа ФСТЭК от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
При составлении МУ буду опираться на действующие в настоящий момент нормативные и правовые акты, а также рекомендации регуляторов.
Общая блок-схема построения МУ представлена на Рисунке 1.

 Рисунок 1

          1. В соответствии с требованиями ПП № 1119 – определяем уровень защищенности исследуемой ИСПДн (по Таблице, представленной на Рисунке 2.)


Рисунок 2

Что касается типа угроз, который мы будем рассматривать в качестве актуального - в соответствии со ст. 7 ПП №1119 «Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда…», включив «фантазию» и «экспертный подход» - можем попробовать снизить планку рассматриваемых угроз до 2-го или 3-го типа (правда все это будет профанацией... но тут уж как сможете обосновать). Если оценивать объективно - кроме как применять СПО, имеющее сертификаты ФСТЭК на отсутствие НДВ, другого легального способа уйти от угроз 1-го типа, не вижу....
После определения уровня защищенности рассматриваемой нами ИС – переходим непосредственно к определению перечня угроз безопасности персональных данных (УБПДн).

2. Формируем список возможных УБПДн, которые могут быть нейтрализованы требованиями из Приказа ФСТЭК №21, а также добавляем в перечень угрозы, связанные с использованием в ИС «новых информационных технологий» и для которых не определены меры обеспечения их безопасности в Приказе ФСТЭК №21 (Рисунок №3).

Рисунок 3

3. По итогу сопоставления «Требование/Мера Приказа ФСТЭК №21» и «Возможных угроз» мы можем сформировать итоговый перечень угроз безопасности ПДн, который и будем рассматривать далее.

4. К сформированному перечню возможных УБПДн применяем «Методику определения актуальных угроз безопасности ПДн при их обработке в ИСПДн» ФСТЭК (Рисунок 4.)



Рисунок 4

4. По итогу определения перечня актуальных угроз, мы также сможем сформировать и перечень тех требований, которые нам необходимо выполнить, а также составить перечень контрмер (как организационного, так и технического характера), которые нам необходимо применить для нейтрализации актуальных угроз и выполнения «актуальных» требований (Рисунок 5).


Рисунок 5