Security Vision - информационная безопасность от А до Я
By SecurityVision
Security Vision - информационная безопасность от А до ЯJun 07, 2021
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
В современном цифровом мире киберугрозы эволюционируют настолько быстро и приобретают такие масштабы, что специалисты и методологи информационной безопасности вынуждены регулярно пересматривать концепции и парадигмы защиты информации. Периодически, раз в 2-3 года, на рынке средств защиты информации появляется новый класс продуктов, обещающий защиту от новейших киберугроз: так было с Next Generation Firewall (межсетевые экраны нового поколения), с системами DLP (решения для предотвращения утечек данных), с SIEM-системами и далее с решениями по защите облачных платформ, системами выявления аномалий, платформами для работы с данными киберразведки.
Обзор публикации NIST SP 1800-22 "Mobile Device Security: Bring Your Own Device (BYOD)"
Массовый переход сотрудников на удаленную работу во время пандемии сопровождался беспрецедентным ростом количества личных устройств (смартфонов, ноутбуков), подключенных к корпоративным сетям. Действительно, далеко не все компании заранее озаботились закупкой резервных устройств, которые можно было бы оперативно выдать сотрудникам для удаленной работы. При таком подходе, когда личные и зачастую неконтролируемые устройства подключаются к корпоративным ресурсам (таким как VPN-шлюзы, веб-сервисы, электронная почта и т.д.), киберриски возрастают многократно.
Обзор публикации NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges"
В современном мире всеобъемлющей цифровизации и диджитализации большинства бизнес-процессов обмен информацией играет ключевую роль, будь то пересылка файлов по электронной почте, предоставление онлайн-сервиса заказчикам, совместное использование облачной инфраструктуры или передача информации через VPN-туннель между компаниями-партнерами. Во всех случаях, как правило, речь идет о необходимости согласовать единый формат обмена и защиты информации, заключить юридически значимые договоренности о правилах обмена и соблюдении конфиденциальности, поддерживать выбранный способ обмена и корректно завершить взаимодействие по достижении цели.
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
Процессы цифровизации в последние годы затронули множество секторов экономики, и, в частности, современное производство, добычу полезных ископаемых, энергетику, транспорт, медицину уже невозможно представить без автоматизированных систем управления технологическими процессами (АСУТП, англ. Industrial Control Systems, ICS), SCADA-систем, программируемых логических контроллеров (ПЛК), распределенных систем управления. Данные средства являются составными частями OT-инфраструктуры (от Operational Technology), которые могут взаимодействовать с классической IT-инфраструктурой и являться объектами кибератак.
Обзор публикации NIST SP 800-161 Rev. 1 (Draft) "Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations"
Ряд резонансных киберинцидентов, произошедших в последнее время (такие как атаки на ИТ-гигантов SolarWinds и Kaseya), поставили мировое сообщество перед фактом: невозможно однозначно доверять даже самым проверенным и изученным информационным системам. Причина заключается в возможности проведения атак на цепочки поставок (англ. "supply chain attacks") путем несанкционированного внедрения атакующими вредоносного кода и/или недекларированных возможностей в программное и/или аппаратное обеспечение, которое поставляется третьим лицом (ИТ-вендором, производителем, сторонними разработчиками).
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
Новости об обнаружении опасных уязвимостей в популярных приложениях и операционных системах публикуются на профильных ресурсах практически ежедневно, при этом наиболее громкие уязвимости получают даже имена собственные - так было, например, с HeartBleed (CVE-2014-0160), EternalBlue (CVE-2017-0144), Log4Shell (CVE-2021-44228). Обнаружение подобного рода уязвимостей, ошибок конфигурирования или реализации протоколов становится значимым событием, поскольку вслед за публикацией исследователем или вендором технической информации злоумышленники начинают разрабатывать эксплойты в надежде атаковать пока что непропатченные системы (о важности процесса управления уязвимостями мы говорили в одной из предыдущих статей).
Обзор публикации NIST SP 800-40 "Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology"
Как мы писали в одной из ранних публикаций, уязвимость - это некий недостаток создания/конфигурирования/использования программно-технического средства или информационной системы, который может негативно повлиять на обеспечение кибербезопасности ИТ-актива, при этом атакующие используют (эксплуатируют) уязвимости в самом активе или в его защите для осуществления вредоносных действий. Список уязвимостей непрерывно пополняется, так, например, в реестре CVE (Common Vulnerabilities and Exposures) организации MITRE на конец января 2022 года задокументировано почти 170 тысяч уязвимостей, среди которых встречаются по-настоящему разрушительные, эксплуатация которых может привести к захвату всей ИТ-инфраструктуры.
Обзор публикаций NIST SP 800-213 "IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements"
Экстенсивное развитие микроэлектронной промышленности и сетей передачи данных, а также разработка и внедрение новых специализированных и энергоэффективных сетевых технологий и протоколов, таких как 5G, Bluetooth Low Energy, LoRa, Zigbee и Z-Wave, в течение последних 10 лет привели к формированию целого класса недорогих и высокопроизводительных устройств - так называемых устройств «Интернета Вещей» (англ. IoT, Internet of Things).
Изменения в регулировании обработки биометрических персональных данных и их влияние на рынок
К сфере обработки биометрических данных (а это, в первую очередь применение технологий распознавания по лицу и голосу) в последние несколько лет значительно повысился интерес со стороны государства. Это внимание обусловлено как возможностями, предоставляемыми данными технологиями, так и новыми (порожденными) угрозами.
Фреймворк COBIT 2019
В одном ряду с наиболее авторитетными зарубежными организациями, работающими над проблематикой методического обеспечения защиты информации, такими как ISO (International Organization for Standardization, Международная организация по стандартизации), NIST (National Institute of Standards and Technology, Национальный институт стандартов и технологии) и CIS (Center for Internet Security, Центр Интернет-Безопасности), стоит организация ISACA. Аббревиатура ISACA изначально означала Information Systems Audit and Control Association, т.е. Ассоциация по аудиту и контролю информационных систем, однако в последнее время название ISACA используется как имя собственное.
Подробнее - https://www.securityvision.ru/blog/freymvork-cobit-2019/
Защита от DDoS-атак
В новостях регулярно публикуют сообщения об атаках на сайты крупных банков, на сервисы государственных услуг и различные социальные сети, в результате чего данные интернет-ресурсы становятся недоступными для посетителей.
Это - DDoS атаки...
Что такое DLP системы и как они применяются
Разрабатывая модель угроз и нарушителя для организации, опытный специалист по кибербезопасности не должен упускать из виду угрозы, создаваемые инсайдерами - внутренними нарушителями, а также должен задуматься о применении DLP-систем для предотвращения утечек данных (DLP - Data Leak/Leakage/Loss Prevention).
Подробнее - Что такое DLP системы и как они применяются
Обзор стандартов Банка России. Безопасность финансовых (банковских) операций
В последние годы Центральный банк уделяет особое внимание финансовым технологиям (финтеху) как источнику повышения конкурентоспособности российского платежного пространства, развития внутренней конкуренции, повышения качества и безопасности оказываемых на финансовом рынке услуг.
Подробнее - Обзор стандартов Банка России. Безопасность финансовых (банковских) операций
Киберразведка (Threat Intelligence)
В ранее опубликованной статье, посвященной индикаторам компрометации, мы обсудили виды и типы индикаторов компрометации (Indicators of Compromise, IoC), которые используются в такой сфере кибербезопасности, как киберразведка (CyberThreat Intelligence, сокращают часто CTI или просто TI, от Threat Intelligence). В данной статье мы обсудим, что такое TI, как и зачем применять методы киберразведки, какую пользу получит бизнес от использования технологии threat intelligence. Приступим!
Актуальные тренды кибербезопасности в 2021 году
Скорость развития и изменения киберпространства в последние годы поражает воображение уже не только неискушенных пользователей, но и маститых специалистов в области ИТ и ИБ. Происходит экспоненциальное развитие даже не объема обрабатываемых данных, количества подключенных к интернету устройств или приложений/сервисов, но и самих концепций и технологий, а всеобъемлющая цифровизация и переход большинства бизнесов в онлайн в связи с пандемией лишь ускорили данный тренд.
Подробнее - Актуальные тренды кибербезопасности в 2021 году
Информационное взаимодействие с АСОИ «ФинЦЕРТ» Банка России через API
В условиях цифровизации и повсеместного перехода на безналичные способы оплаты проблема обеспечения кибербезопасности с каждым годом становится всё более актуальной. Динамика объема и количества несанкционированных операций с использованием платежных карт неуклонно растет от года к году.
Security Vision 5.0: швейцарский нож в информационной безопасности
Мы продолжаем обзор возможностей новой версии платформы Security Vision, начатый ранее https://www.securityvision.ru/blog/obzor-novykh-vozmozhnostey-platformy-upravleniya-protsessami-info.... На этот раз мы хотели бы глубже осветить основные отличия нашего продукта от тех, что представлены на рынке, и те механизмы, которые лежат в основе платформы и позволяют оптимизировать практически любой процесс информационной безопасности и смежных областей.
Ситуационная осведомленность в кибербезопасности
Ситуационная осведомленность – это модель оценки обстановки. Одним из наиболее известных исследователей в этой области является Мика Эндсли, где она сформировала следующее определение: ситуационная осведомленность — это восприятие элементов и событий окружающей среды по отношению к времени или пространству, понимание их значения и проекция их статуса в ближайшем будущем.
Разбор терминологии. Кибербезопасность, киберустойчивость, киберучения – что это?
Как правило, большинство терминов, связанных с информационными технологиями, приходит в российские сообщества и нормативные документы из различных англоязычных международных стандартов. Таким образом в последние несколько лет в индустрии информационной безопасности стали активно применяться термины с приставкой кибер-, в частности - «кибербезопасность».
Искусственный интеллект в информационной безопасности
Скорость развития и изменения киберпространства в последние 3-5 лет поражает воображение уже не только неискушенных пользователей, но и маститых специалистов в области ИТ и ИБ. Происходит экспоненциальное развитие даже не объема обрабатываемых данных, количества подключенных к интернету устройств или приложений/сервисов, но и самих концепций и технологий, а всеобъемлющая цифровизация и переход большинства бизнесов в онлайн в связи с пандемией лишь ускорили данный тренд.
Тренды информационной безопасности. Часть 3
Вопросы обеспечения конфиденциальности персональных данных стали подниматься практически сразу после начала широкого применения средств вычислительной техники для обработки сведений, касающихся физических лиц. Именно поэтому еще в 1981 году была подписана Конвенция №108 Совета Европы о защите физических лиц при автоматизированной обработке персональных данных. Разумеется, с развитием информационных технологий надежная защита личной информации стала необходимым условием для успешной работы как коммерческих, так и государственных структур - ни клиенту интернет-магазина, ни пользователю государственного сервиса не захочется стать жертвой утечки его персональных данных.
Тренды информационной безопасности. Часть 2
Термин «Интернет вещей» (IoT - internet of things) подразумевает большое количество элементов электроники потребительского уровня, непрерывно подключенных к разнообразным сетями, в т.ч. к интернет, для взаимодействия между собой, с владельцем и с разнообразными интернет-сервисами. Примерами IoT-устройств могут быть: смарт-телевизоры, «умные колонки», фитнес-трекеры, элементы «умного дома» (датчики, бытовая техника, системы безопасности), веб-камеры, автомобильные и транспортные системы и т.д. С развитием сетей 5G количество устройств «интернета вещей» будет лишь расти, поскольку сети нового поколения поддерживают высокоскоростную передачу данных с малым расходом электроэнергии и взаимодействие устройств непосредственно друг с другом.
Тренды информационной безопасности. Часть 1
Направление информационной безопасности, или кибербезопасности, достаточно молодо. Еще лет 10-15 назад специалисту по ИБ приходилось объяснять коллегам и друзьям, чем же он занимается. Однако, в настоящее время вопросы защиты информации, киберустойчивости, хакерских атак обсуждаются на уровне первых лиц государств, а темы кибербезопасности и защиты от мошенников не сходят с главных страниц новостных сайтов. При этом, как и любое другое современное направление бизнеса, информационная безопасность эволюционирует - причем не только в части тактик и техник хакерских атак, новых компьютерных уязвимостей или средств защиты информации. Меняются сами концепции защиты: например, такой подход, как «безопасность контролируемого информационного периметра», столь знакомый и понятный еще 5-10 лет назад, теперь уже не имеет практического применения в большинстве случаев, а удаленная работа в связи с пандемией только усилила устаревание данной концепции. В настоящей статье мы рассмотрим наиболее яркие и актуальные на наш взгляд современные тренды в области информационной безопасности.
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 3
В сегодняшней публикации рассмотрим международный стандарт ISO/IEC 27004:2016, который также посвящен проблематике измерения, оценки и анализа эффективности системы управления информационной безопасностью (СУИБ) и описывает, как выстроить процесс измерения эффективности ИБ в организациях.
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 2
Разумеется, для целостного подхода следует обратиться к международным лучшим практикам и стандартам, которые описывают рекомендованные подходы к количественному измерению качества процессов кибербезопасности. Такими рекомендациями являются публикация NIST SP 800-55 и стандарт ISO/IEC 27004:2016.
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 1
Перед руководителями подразделений информационной безопасности зачастую стоят вопросы не столько организации выполнения непосредственных функций по защите информации и реагированию на инциденты, сколько необходимость демонстрации эффективности кибербезопасности и защиты годовых бюджетов, которые компания готова выделить на ИБ.
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 1
В предыдущей паре статей мы рассмотрели ряд вопросов, которые должна решить компания в самом начале процесса приведения обработки персональных данных в соответствие положениям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»:
Особенности обеспечения безопасности в платежных процессах за счет технологии
Основные требования по обеспечению информационной безопасности финансовых технологий, определенные Центральным банком в своих нормативных актах, можно разделить на три группы:
- требования к инфраструктуре, представленные в основном требованиями ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер»
- требования к прикладному программному обеспечению, которые сводятся к требованию анализа на уязвимости исходных кодов приложений, непосредственно взаимодействующих с сетью интернет
- требования к технологии.
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0.0
Изменения коснулись множества аспектов, от дизайна и архитектуры до наполнения модулей и принципов работы с данными. Однако общий подход остался неизменным: Security Vision - это платформа автоматизации и оркестрации процессов информационной безопасности, гибкость которой позволяет оптимизировать практически любое направление деятельности ИБ. Вне зависимости от выбранных функциональных модулей (IRP/SOAR/SGRC) продукт меняет парадигму зонтичных решений, открывая огромное пространство возможностей.
Практическая защита персональных данных. Где компания обрабатывает ПДн?
где компания обрабатывает персональные данные? Но сначала необходимо понять, что вообще понимается под термином «Обработка персональных данных».
Практическая защита персональных данных
В этом году исполняется 15 лет Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных». За столь уже продолжительный срок закон и подзаконные акты к нему претерпели существенные изменения, пройдя путь от жестких требований до того, что мы имеем сейчас. Я занимаюсь защитой персональных данных с самого начала и видел все происходящие изменения в требованиях по обработке и защите, наблюдал, как изменялись взгляды регуляторов (ФСТЭК России, ФСБ России и Роскомнадзора). В данной статье я постараюсь рассмотреть динамику и изменения 152-ФЗ, сопутствующих требований и подходов регуляторов.
Что такое SGRC? Основные понятия и применение
Уважаемые читатели, в предыдущих статьях мы узнали об основных концепциях информационной безопасности, Центрах SOC, системах SIEM и IRP, а также о защите КИИ. В данной статье мы поговорим про системы SGRC, которые могут интегрироваться как с IRP-платформами, так и с SIEM-системами, а также активно применяются в Центрах SOC. Сегодня мы узнаем, что такое SGRC, как применять и настраивать системы SGRC. Начнем!
Что такое IRP, где используется и как внедряется
Друзья, в предыдущих статьях мы с вами познакомились с основными концепциями информационной безопасности, узнали о Центрах SOC и выяснили, что такое SIEM. В сегодняшней публикации мы продолжим говорить про средства защиты информации, применяемые при реагировании на инциденты информационной безопасности: у нас на очереди платформы реагирования на инциденты ИБ - Incident Response Platform. Интересно, что такое IRP, где и как используется? Тогда - вперед!
Управление рисками информационной безопасности. Часть 7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019
В предыдущей публикации мы рассмотрели первые два шага процесса управления рисками по стандарту ISO/IEC 27005:2018: определение контекста и оценку рисков. В данной публикации мы обсудим дальнейшие этапы риск-менеджмента, а также рассмотрим стандарт IEC 31010:2019 как источник подробной информации о техниках оценки рисков.
Управление рисками информационной безопасности. Часть 6. Стандарт ISO/IEC 27005:2018
В предыдущих публикациях мы раскрыли методы управления рисками в соответствии с документами NIST SP серии 800. Специальные публикации NIST SP 800-39, NIST SP 800-37 и NIST SP 800-30 предлагают логически связанный системный подход к оценке и обработке рисков, а документы NIST SP 800-53, NIST SP 800-53A и NIST SP 800-137 предлагают конкретные меры по минимизации рисков ИБ. Однако следует иметь ввиду, что данные документы по своей сути носят лишь рекомендательный характер и не являются стандартами (например, в отличие от документов NIST FIPS), а также то, что изначально они разрабатывались для компаний и организаций из США.
Управление рисками информационной безопасности. Часть 5. Стандарт NIST SP 800-30 (продолжение). Стандарт NIST SP 800-137
В предыдущей публикации мы описали все основные термины, используемые в стандарте NIST SP 800-30. Перейдем теперь к обзору непосредственно этапов проведения оценки рисков в соответствии с данным документом.
Управление рисками информационной безопасности. Часть 4. Стандарт NIST SP 800-30
Обсудив в предыдущих публикациях NIST SP 800-39 и 800-37, необходимо перейти к NIST SP 800-30, который вместе с уже рассмотренными документами формирует фреймворк управления рисками (Risk Management Framework, RMF).
Управление рисками информационной безопасности. Часть 3. Стандарт NIST SP 800-37
В предыдущей публикации мы говорили о стандарте NIST SP 800-39, который является основным и самым высокоуровневым из серии документов фреймворка управления рисками (Risk Management Framework). В текущей публикации перейдем к документу NIST SP 800-37 ”Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy” («Фреймворк управления рисками для информационных систем и организаций: жизненный цикл систем для обеспечения безопасности и конфиденциальности»).
Управление рисками информационной безопасности. Часть 2. Стандарт NIST SP 800-39
Обсудив в предыдущей публикации основные понятия риск-менеджмента, перейдем к детальному рассмотрению некоторых документов по управлению рисками ИБ.
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Обсудив в предыдущих публикациях основы информационной безопасности и законодательные нормы по защите информации, следует перейти к описанию риск-ориентированного подхода для обеспечения кибербезопасности. В этой и последующих статьях мы обсудим основы риск-менеджмента, анализа и расчета рисков в области информационной безопасности, рассмотрим соответствующие нормативные документы, а также применение методов анализа рисков информационной безопасности.
Применение стандарта ISO 31000
Обсуждая процессы управления рисками, мы зачастую делаем акцент на процессах, характерных именно для обеспечения информационной безопасности. Однако, риск-менеджмент применяется в организациях не только для управления киберрисками. В различных крупных компаниях, в первую очередь финансовых, применяются фреймворки управления бизнес-рисками для обработки финансовых, юридических, проектных, репутационных и иных рисков. В данной публикации мы рассмотрим стандарт ISO 31000:2018 ”Risk management – Guidelines” («Менеджмент риска - Рекомендации»), который дает общие рекомендации и описывает фреймворк, принципы и сам процесс управления бизнес-рисками без привязки конкретно к рискам ИБ. Приступим!
Положение Банка России № 716-П и управление операционными рисками
Целью данной статьи является краткое и доступное объяснение смысла управления операционными рисками в кредитных организациях, а также того, какую роль в этом играет новое Положение Банка России № 716-П.
Обзор Положения Банка России от 23 декабря 2020 г. №747-П
Положение Банка России от 23 декабря 2020 г. №747-П «О требованиях к защите информации в платежной системе Банка России» было официально опубликовано 15 февраля 2021 года. Однако, это не полностью новое положение, а по сути, развитие (расширение) положения Банка России 672-П (с таким же названием, опубликованным 26 марта 2019 года и уже утратившим силу).
Менеджмент инцидентов информационной безопасности. Стандарт ГОСТ Р ИСО/МЭК ТО 18044-2007
В данной статье рассмотрим стандарт ГОСТ Р ИСО/МЭК ТО 18044-2007, который объяснит вам принципы и поможет выстроить систему управления инцидентами информационной безопасности с учетом международной практики (ISO/IEC TR 18044:2004).
Комплекс документов СТО БР ИББС. Отраслевой стандарт Банка России
В данной статье мы познакомимся с документами отечественного стандарта обеспечения информационной безопасности организаций банковской системы РФ – СТО БР ИББС, а также проясним ситуацию по обязательности его применения в 2021 году.
Особенности обеспечения защиты информации в платежных процессах за счет технологий
Особенности обеспечения защиты информации
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 1.
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 1. Основные понятия и парадигма
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 6
Основы риск- и бизнес-ориентированной информационной безопасности. Основные понятия и парадигма. Часть 6
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 5
Основы риск- и бизнес-ориентированной информационной безопасности. Основные понятия и парадигма. Часть 5
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4
Основы риск- и бизнес-ориентированной информационной безопасности. Основные понятия и парадигма. Часть 4