Расширенный поиск
Тел.: +7 (925) 203-9511
Факс: +7 (495) 967-7600
E-mail: shop@globaltrust.ru
ICQ: 195623651

Не смогли дозвониться? Мы позвоним сами!
   Главная    Каталог    Ваши вопросы    Новинки    Словарь терминов     Статьи 

                      ВАША КОРЗИНА
    Товаров: 0 шт., 
    Сумма: 0 у.е.
  
    Оформить заказ

      Каталог
  Русские редакции стандартов
  Типовые документы и политики безопасности
  Программные средства менеджмента информационной безопасности
  Антивирусные программы для защиты от вредоносного ПО
  Программные средства управления доступом и идентификационной информацией
  ПО для мониторинга событий безопасности
  ПО для мониторинга действий пользователей
  СЗИ от НСД к информации. Комплексная защита конечных точек
  Средства контроля защищенности и сканеры безопасности
  Средства аутентификации и управление ключевой инфраструктурой
  Программные межсетевые экраны
  Средства предотвращения утечки информации (DLP-системы)
  Криптографические средства (шифрование, дешифрование, электронная подпись, восстановление паролей)
  Средства резервного копирования и восстановления данных
  Операционные системы и приложения
  Универсальные программно-аппаратные комплексы (UTM) для защиты периметра корпоративной сети
  Программно-аппаратные межсетевые экраны
  Системы предотвращения вторжений (IDS/IPS)
  Серверы защищенного удаленного доступа, VPN-шлюзы, SSL-VPN шлюзы
  Антивирусные шлюзы и котентные фильтры
  Аппаратные идентификаторы, токены, смарт-карты, генераторы одноразовых паролей, защищенные флэшки
  Учебные курсы
  Услуги по анализу защищенности корпоративной сети
  Услуги по обеспечению соответствия ФЗ-152 О персональных данных
  Услуги по разработке и внедрению Системы Управления Информационной Безопасностью
  Стандарты и руководства на английском
  Инструментальные комплекты (на английском)
  Книги по информационной безопасности и защите информации

      Разделы
  Оплата и доставка
  О магазине
  Контакты
  Партнерская программа
  Поставщики
  Бонусная программа
  Политика возврата платежа
  Обратная связь
  Партнерам

      Покупателям
  Логин:
     Пароль:
  

  
  Забыли пароль?
  Зарегистрироваться



 Статьи, Увлекательное путешествие по страницам российского банковского стандарта информационной безопасности – Часть первая
  • Антивирусная защита
    Безопасность от Microsoft: шаг к обновленному миру?
    Выбор оптимального антивирусного решения для малого и среднего бизнеса
  • Аппаратные и программные файрволлы
    Актуальные тенденции: средства сетевой защиты
    Шесть советов от Stonesoft
    Как защитить удаленный банкинг?
    Защита по-крупному. Воплощение стандарта XTM для large-сегмента
    Практические преимущества Fireware® XTM
    Использование сервиса WatchGuard's Gateway Antivirus для защиты электронной почты
    Когда брандмауэры конфликтуют
  • Аудит информационной безопасности
    Фарминг DNS. Кто-то отравил источник!
    COBIT для ИТ аудиторов
    Аудит безопасности информационных систем
    Анализ защищенности корпоративных автоматизированных систем
  • Защита конечных пользователей
    Как защищать персональные данные в интернете
    Информационный бронежилет для простых пользователей
    Мы уверенны в безопасности мобильных устройств, утверждают пользователи
    Пользователи и безопасность
    Новые вопросы, старые ответы
  • Защита от инсайдеров
    WikiLeaks, нормы и глобальная конкурентоспособность. Причины для пересмотра вашей стратегии предотвращения утери данных (DLP)
    Внутренние угрозы: новый вызов корпоративным службам ИБ
    Шифрование мобильных устройств
    Новый подход к защите ПК от Symantec
    Как организовать эффективную систему предотвращения утечки конфиденциальной информации из коммерческой организации
    Как защищаться от инсайдера?
  • Кибератаки и кибертерроризм
    Черный DDOS
    Атака c воздуха
    Остерегайтесь обратных каналов
    Хаки, фрики и черви: события, которые изменили безопасность Интернет
    Свобода киберпространства
    Самые успешные проекты американского правительства в области информационной безопасности
    Реалии и мифы кибертерроризма
    Особенности обеспечения информационной безопасности промышленных систем
  • Мнения
    Нужен ли пользователю интернет-паспорт?
    Facebook и бесконечные разговоры о тайне частной жизни
    Боб Мур знает, как не быть уволенным
    Что мешает развитию ИБ в России?
    InfoSecurity Europe 2006: свежие впечатления
    Почему ВУЗ не способен подготовить специалиста по информационной безопасности?
  • Новинки программного обеспечения
    Microsoft Windows Server 2008. Обзор новых возможностей и некоторые практические заметки.
  • Стандарты информационной безопасности
    Увлекательное путешествие по страницам российского банковского стандарта информационной безопасности – Часть первая
    Введение в COBIT
    Международный опыт управления информационной безопасностью для российских компаний
    История стандарта BS 7799
    BSI и BS 7799 – Видение разработчиков
  • Управление информационной безопасностью
    Как управлять рисками информационной безопасности?
    Как построить и сертифицировать систему управления информационной безопасностью?
    Как организовать эффективную систему предотвращения утечки конфиденциальной информации из коммерческой организации
    Разработка и внедрение эффективных политик информационной безопасности
    Практика управления информационной безопасностью
  • Управление событиями, изменениями и инцидентами
    Программные средства аудита изменений компании NetWrix для обеспечения соответствия нормативным требованиям в области информационной безопасности
  •  Статья   Увлекательное путешествие по страницам российского банковского стандарта информационной безопасности – Часть первая

    Александр Астахов, CISA

    11.03.2008

    Эпиграф

    Каждый человек может и должен пользоваться всем тем, что выработал совокупный разум человечества, но вместе с тем должен своим разумом проверять данные, выработанные всем человечеством.

    Л.Н. Толстой, «Путь жизни»

    Пролог. Часть 1. Рождение и триумфальное шествие российского банковского стандарта информационной безопасности

    Собрались как-то лучшие специалисты-безопасники под эгидой Ассоциации Российских Банков и порешили, что не могут существовать банки в современных условиях без стандартов информационной безопасности. Однако стандартов в этой сфере к тому времени в мире было разработано несметное количество. Осведомленные люди поговаривали о существовании сотен различных стандартов, которые не только применить, но и прочитать было не под силу, даже нашим мудрецам. Как не утонуть в этом бескрайнем океане информации, какие стандарты внедрять, каким требованиям следовать. И почли своим долгом устранить существующую неразбериху и задать нужное направление для банковской системы РФ, разработав собственный стандарт, учитывающий и наш менталитет и особенности отечественных банков. Заодно и существующий мировой опыт обобщить и адаптировать к нашим условиям было бы не худо.

    Сказано - сделано. В ход пошли и наши ГОСТы, и дюжина стандартов ISO/IEC, не забыли также и BSI и даже мудреные иностранные методики оценки рисков CRAMM и OCTAVE. И вот на свет появился наш первенец, по-российски широкий своим охватом, слегка мудреный, немного бесшабашный, немного противоречивый. Получил он название «Стандарт Банка России. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» и был введен в действие с первого января, когда наша страна отмечала приход нового 2006 года, в котором уже намеревалась вступить в ВТО.

    Встретило российское банковское сообщество новый стандарт безопасности с воодушевлением, несмотря на критические высказывания отдельных специалистов, которые, однако, не смели возвысить свой голос супротив большинства, ибо собирались продолжать работу в банковской сфере и дальше. Вот уже десятки российских банков, рапортуют об успешном внедрении, сотни становятся на этот тернистый путь, остальные одобряют и готовятся примкнуть к первому эшелону.

    Пролог. Часть 2. Неожиданная дилемма и ее счастливое разрешение

    Однако вопрос о том, как же быть с международными стандартами, все не давал спокойно спать банковским специалистам-безопасникам. Тем более что пока пестовали банковский стандарт, международные стандарты стали один за другим превращаться в ГОСТы с легкой руки ФАСМ и ФСТЭК. Как нам быть? – возопили они к своим авторитетам. Должны ли мы соответствовать еще и, например, ISO 27001 или хватит нам своего собственного стандарта? И сказали им авторитеты: «Уж коли вам неймется, можете внедрять ISO 27001 в дополнение к нашему стандарту, но никак не наоборот». И закручинились простые банковские специалисты-безопасники. Ведь немыслимое же это дело – сразу два таких серьезных стандарта внедрять. Да иностранные партнеры еще и не хотят признавать наш банковский стандарт. Как только речь об этом заходит, сразу спрашивают сертификаты международного образца.

    И решили тут российские консультанты, хоть они у нас и не в чести, помочь своим собратьям банкирам и нарисовать для них таблицу объемную, сопоставляющую наш банковский стандарт с ISO 27001, так чтобы от одного к другому можно было без труда переходить и обратно возвращаться. Назвали они эту таблицу мудреным иностранным словом mapping, т.к. подходящего слова для обозначения столь непривычного дела в русском языке не нашлось. И стали консультанты внимательно вчитываться в текст нашего банковского стандарта и стали рассуждать об увиденном, да сравнивать со стандартами международными. И вот что они рассказали......

    Концептуальная парадигма, к которой не стоит относиться слишком критически

    Пропустим малоинтересные, но обязательные вступительные разделы, и начнем с раздела 5, который называется «Исходная концептуальная схема (парадигма) обеспечения информационной безопасности организаций БС РФ», где речь идет «о противоборстве собственника и злоумышленика за контроль над информационными активами». Звучит интригующе. Только никакого противоборства между собственниками банка и злоумышленниками быть не может, т.к. собственники банка (коими являются владельцы акций или долей в уставном капитале банка, либо государство, если банк государственный) могут вообще не иметь прямого отношения к управлению банком, его деятельности и, тем более, обеспечению его безопасности. На самом деле в противоборстве реально принимает участие не собственник, а весь персонал банка. Однако поскольку часть персонала может находиться и по другую сторону баррикад (вспомним об инсайдерской угрозе), то правильно было бы вести речь о высшем руководстве банка во главе с председателем правления, на которого и возлагается вся тяжесть ответственности, в случае, если баррикады оказались прорванными, а собственникам, клиентам, партнерам банка или государству был нанесен реальный ущерб. Поэтому в стандартах международных (ISO 27001, ISO 27002 и т.д.) собственники фигурируют лишь в качестве стороны, которая может пострадать в результате инцидентов безопасности. Субъектом, к которому предъявляются требования по защите информации, в них выступает организация в целом, либо ее высшее руководство (top management).

    Приведенное же в банковском стандарте определение собственника только еще более запутывает читателя: «Под собственником здесь понимается субъект хозяйственной деятельности, имеющий права владения, распоряжения или пользования активами, который заинтересован или обязан (согласно требованиям законов или иных законодательных или нормативно-правовых актов) обеспечивать защиту активов от угроз, которые могут снизить их ценность или нанести ущерб собственнику». Данное определение охватывает самый широкий круг юридических и физических лиц, которые обладают не только правом владения, но и распоряжения, а также пользования активами банка, включая партнеров и клиентов, пользующиеся активами банка, а также всех его акционеров. Вот какая масштабная парадигма получается! К счастью данная парадигма в остальной части стандарта развития не нашла. Видимо при разработке последующих разделов использовались другие источники. Поэтому далее по тексту стандарта в качестве субъекта фигурирует организация или ее руководство, которое местами для разнообразия называется менеджментом, либо требования формулируются в обезличенной форме.

    Лежащее в основе парадигмы банковского стандарта «противоборство за контроль над информационными активами» привлекает внимание еще и тем, что это далеко не единственная и даже не основная цель обеспечения ИБ. Уничтожение активов, нарушение их доступности или раскрытие их содержимого без получения контроля над ними – не менее серьезные угрозы. Вообще говоря, получение контроля над информационными активами – это лишь один из этапов реализации некоторых видов угроз, который по какой-то причине положен в основу парадигмы обеспечения ИБ авторами данного стандарта.

    Определение злоумышленника в банковском стандарте позаимствовано из ст. 27 УК РФ: «Под злоумышленником здесь понимается лицо, которое совершает или совершило заранее обдуманное действие с осознанием его опасных последствий или не предвидело, но должно было и могло предвидеть возможность наступления этих последствий ... Далее по тексту данные лица именуются злоумышленниками (нарушителями)». Это определение нельзя назвать удачным, поскольку нарушения ИБ не всегда являются уголовно наказуемыми деяниями. Нарушители ИБ не всегда являются злоумышленниками и не всегда могут предвидеть последствия своих действий или бездействия. Поэтому в данном случае стоило опираться не на Уголовный Кодекс, а, не усложняя вопроса, понимать под нарушителем ИБ лицо, которое в результате умышленных или неумышленных действий может нанести ущерб информационным активам организации.

    Немного перемудрили с определениями – не беда. В конечном счете, как уже было замечено, данная парадигма не имеет непосредственной связи с требованиями, изложенными далее по тексту стандарта, т.к. опирается на иные источники разработки. А обсуждаем мы ее здесь исключительно для того, чтобы было понятно одно из коренных отличий данного стандарта от его международных собратьев. В международных стандартах нет такой путаницы с определениями, излагаемые в них парадигмы, если и не безупречны, то, по крайней мере, они полностью соответствуют современным представлениям об ИБ. Это объясняется тем, что международные стандарты имеют многолетнюю историю развития и применения, к их разработке приложили руку большое количество специалистов и организаций, и они прошли через строгие согласовательные процедуры. Если даже в них и существуют ошибки (как, например, выявленные при переводе на русский язык третьей части BS 7799), то они носят скорее характер опечаток и ни в коем случае не вводят читателя в заблуждение.

    «Необязательные» процессы менеджмента ИБ или сказ о том, как достигнутое руководством осознание принципов ИБ не находит практического воплощения из-за недостатка времени

    Процессный подход к управлению ИБ был позаимствован разработчиками банковского стандарта из ISO 27001, а исходная модель Деминга получила в нем свое дальнейшее развитие. Продолжая перелистывать страницы, мы узнаем из п. 5.16. что «Обеспечение ИБ организации включает реализацию и поддержку процессов осознания ИБ и процессов менеджмента ИБ». Если с процессами менеджмента ИБ все, более менее, ясно, то процессы осозная ИБ – это уже относительно новое направление современной мысли. «Процессы осознания», стоящие по замыслу разработчиков стандарта чуть выше над процессами менеджмента, оказывается «имеют отношение к руководству организации и определяют его ответственность в части реализации принципов обеспечения информационной безопасности организаций БС РФ, определенных положениями настоящего стандарта, а также требованиями раздела 5 “Ответственность высшего руководства организации” международного стандарта ISO/IEC IS 27001». Другими словами «процессы осознания», включат в себя осознание руководством организации принципов обеспечения ИБ, сформулированных в данном стандарте (представляется нахмуренное лицо председателя правления банка, пытающегося осознать «принципы»), а также демонстрацию приверженности руководства, управление ресурсами, осведомленностью и компетентностью согласно требованиям раздела 5 ISO 27001.

    Далее мы узнаем, что процессы менеджмента носят необязательный характер, в том смысле, что они могут распространяться не на всю организацию. Вот что говориться об этом в банковском стандарте: «Процессы осознания ИБ должны охватывать всю организацию, а процессами менеджмента ИБ может быть охвачена ее часть или части. Обоснованием тому может быть ограниченность в ресурсах или времени». Другими словами, руководство банка должно охватить своим осознанием и продемонстрировать свою приверженность ИБ в отношении всех подразделений, систем и бизнес процессов, а внедрять процессы менеджмента ИБ только в тех подразделениях, на которые у него хватит времени и ресурсов. Это как-раз тот случай, когда в политике ИБ, утвержденной руководством, декларируется, например, намерение проводить ежегодный аудит банковской системы, однако соответствующих процесс отсутствует из-за недостатка времени у персонала службы внутреннего аудита. На этот раз разработчики банковского стандарта оказались слишком близки к реальности. В самую точку попали. Ведь во многих организациях дела с безопасностью именно так и обстоят. Осознание принципов обычно охватывает всю организацию, чего нельзя сказать о процессах управления. Тем не менее, вряд ли стоило узаконивать данную ситуацию в стандарте.

    Модель угроз, к сожалению, без угроз

    Пропустим следующий раздел «6. Основные принципы обеспечения информационной безопасности организаций БС РФ» как не имеющий прикладного значения. Чтение принципов конечно должно вдохновить как руководство организации, так и рядовых сотрудников, однако нам практикам нужны требования или, по крайней мере, рекомендации. Поэтому перемещаемся на один пункт вперед к разделу 7 «Модели угроз и нарушителей информационной безопасности организаций БС РФ». В этом разделе, к сожалению, не приводится даже краткого перечня угроз, зато дается описание уровней информационной инфраструктуры организации, а также перечисляются источники угроз для каждого из этих уровней и, между прочим, упоминаются некоторые виды внутренних и внешних нарушителей. Банковские специалисты по ИБ тщетно будут искать в адресованном им стандарте типовую модель угроз и нарушителей, которые согласно определению стандарта являются «основным инструментом менеджмента ИБ организации». А ведь так хотелось эти модели здесь увидеть! Хотя бы краткий обобщенный список угроз, пусть даже в виде отдельного приложения. Но не будем столь придирчивы. В конце концов, в разработке находится банковская методология оценки рисков ИБ, и это еще можно будет сделать там.

    Неопределенность, порождающая ущерб

    Раз уж речь зашла об оценке рисков ИБ, то следует отметить весьма нестандартный подход к определению понятия риска, выраженный в банковском стандарте: «риск: неопределенность, предполагающая возможность потерь (ущерба)». Красивое определение, философское и охватывающее любые виды рисков! Что же касается риска информационной безопасности, то, согласно определению данного стандарта, это «неопределенность, предполагающая возможность ущерба состояния защищенности интересов (целей) организации». Другими словами, речь идет об ущербе, который может понести не сама организация, а ее состояние защищенности, и причиной всему является неопределенность! Угрозы ИБ рассматриваются в данном стандарте как некие внешние факторы, которые «непосредственно влияют на операционные риски деятельности организации», по-видимому, делая существующую неопределенность еще более неопределенной. Каким образом операционные риски связаны с рисками ИБ, открытым текстом не говориться, однако отмечается, что они «сказываются на бизнес-процессах организации». Как существующая неопределенность (операционный риск) может сказываться на бинес-процессах далее не раскрывается, но, видимо, этот вопрос уже переходит в область философии и поэтому не рассматривается в данном стандарте, как имеющем чисто прикладное значение.

    Если взять семейство международных стандартов ISO 27000, то там понятие риска формулируется несколько по-иному, как «комбинация вероятности события и его последствий» (это определение перекочевало в BS 7799-3 (ISO 27005) из ISO Guide 73:2002). Далее последовательно излагается подход к управлению рисками ИБ, определяется порядок действий по анализу, оцениванию и обработке рисков, а также объясняется каким образом вероятность угрозы, величина уязвимости, ценность актива и размер ущерба связаны между собой и позволяют получать оценку величины риска ИБ. Это те вещи, которые, к сожалению, не смог позаимствовать у своих собратьев наш банковский стандарт. Однако снова вспомним о готовящейся банковской методологии оценки рисков ИБ. Уж она то должна расставить все по своим местам. Только удастся ли авторам стандарта в конечном итоге разобраться с неопределенностью и с тем, как на нее влияют угрозы? Пока же продолжаем пользоваться первоисточниками.

    Эпилог

    Пролистав примерно половину стандарта, сделаем остановку, оставив впереди самые интересные разделы. Не будем делать скоропалительных выводов, ведь работа над совершенствованием банковского стандарта не прекращается.

    Вообще, эти консультанты много чего еще наговорили. Но кто у нас в России слушает консультантов? Уж только если у читателя будет к тому особый интерес, тогда может быть и напишем продолжение ... или опровержение?

    Источник: iso27000.ru



    Все статьи  



    Каталог по брендам    
       8man
       Acronis
       ActivIdentity
       Aladdin
       BSI
       CA
       Check Point
       Digital Security
       DrWeb
       eEye
       ElcomSoft
       eScan
       ESET
       Falcongaze
       Fortinet
       GFI
       GlobalTrust
       Handy Backup
       Imperva
       InfoGov
       Information Shield
       IronKey
       IT Governance
       Juniper
       Kaspersky
       Kerio
       KTE Labs
       Lumension Security
       McAfee
       Microsoft
       MobileIron
       NetworkProfi
       NetWrix
       Outpost24
       Panda
       PineApp
       Positive Technologies
       Q1 Labs
       SearchInform
       SonicWALL
       Sourcefire
       SpectorSoft
       Stonesoft
       Strohl Systems
       Symantec
       Trend Micro
       WatchGuard
       Websense
       Zecurion
       АлтэксСофт
       Аналитические бизнес решения
       АтомПарк
       Газинформсервис
       Код Безопасности
       Конфидент
       Цифровые Технологии

    Новости    
    01.07.2015 GFI LanGuard получил награду «Лучший инструмент для управления уязвимостями»
    30.06.2015 GlobalTrust присвоен статус золотого партнера компании GFI
    23.07.2014 Специальная акция: VIP-клиент GFI Software
    17.07.2014 Fortinet: сертифицированные ФСТЭК решения
    17.06.2014 Продукты линеек eToken ГОСТ и JaCarta ГОСТ от "Аладдин Р.Д." сертифицированы ФСБ России в соответствии с требованиями 63-ФЗ "Об электронной подписи"
    05.06.2014 Stonesoft, McAfee Group Company, объявляет о получении продленного сертификата ФСТЭК России на систему предотвращения вторжений с функцией межсетевого экрана StoneGate IPS
    Архив новостей  

    Товары дня    
    SpectorSoft Spector 360 Recon

    SpectorSoft Spector 360 Recon
     Купить0 руб.
    FG-100D-BDL Бандл FortiGate-100D с годовой подпиской

    FG-100D-BDL Бандл FortiGate-100D с годовой подпиской
     Купить245850 руб.
    SPS 53102 SpectorSoft Spector 360 для сетей, 1 лицензия (при покупке 50-99 корпоративных лицензий)

    SPS 53102 SpectorSoft Spector 360 v.8,1 лицензия (при покупке 100-249 лицензий)
     Купить5300 руб.

      Copyright 2006-2012 © GTrust.ru Создание интернет магазина: BORNET.ru  
    Тел.: +7 (925) 203-9511 Факс: (495) 967-7600
    E-mail: shop@globaltrust.ru; ICQ: 195623651