22 сентября, суббота 12:13
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Тестирование СЗИ и проверка работоспособности

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Тестирование СЗИ и проверка работоспособности

    Доброго времени суток, Коллеги!
    Вот вычитал в СТР-К и возникли вопросы.

    п.6.3.9 Тестирование всех функций СЗИ НСД с помощью специальных программных средств должно проводиться не реже 1 раза в год.

    Кто какие спец.программные средства (СПС) используете? Может посоветуете СПС ?!

    п.6.3.111.1 Периодически проверять работоспособность МЭ с помощью сканеров, имитирующих внешние атаки на внутреннюю сеть.

    Кто какие программы-сканеры использует? Сканер типа Паук и NMapWin?

    п.6.3.11.5 В целях контроля за правомерностью использования АП (абанентского пункта) и выявления нарушений требований по защите информации осуществлять анализ принимаемой из Сети и передаваемой в Сеть информации, в том числе на наличие "вирусов". Копии исходящей электронной почты и отсылаемых в Сеть файлов следует направлять в адрес защищенного архива АП для последующего анализа со стороны администратора (службы безопасности)

    Я так понял нужно ставить что-то вроде Дозор-джет для контентного анализа?! И само саюой пропускать через антивирь все документы исх/входяшие.

  • #2
    exploit, "давайте рассуждать логически" (с) Ирония судьбы или С лёгким паром
    6.3.9 Чтобы определить, чем тестировать СЗИ НСД, нужно знать, какие функции этих СЗИ тестировать. А для этого нужно знать, какие СЗИ вы используете и какие функции на них возложены.

    6.3.11.1 К примеру, Nessus, XSpider

    6.3.11.5 Давайте плясать от печки. Что за АП, какие требования к нему применяются?
    На наличие вирусов можно проверить почтовым антивирусом, в том числе и подключаемым к тому же Дозору. Или просто антивирусом, прикрученным к почтовику.

    Комментарий


    • #3
      6.3.11.1 К примеру, Nessus, XSpider

      Я бы сказал - сертифицированные ФСТЭКом.
      Сомневаюсь, что ФСТЭК может позволить пользоваться для чего-либо чем-нибудь несертифицированным.

      Комментарий


      • #4
        VSB Не подскажете, в каком документе написано, что, например, Банк не может использовать нечто, не сертифицированное ФСТЭКом?

        Комментарий


        • #5
          Согласен с sunny.
          Мы используем Nsauditor (http://www.nsauditor.com/)
          и XSpider (http://www.ptsecurity.ru).
          В сто БР 1.0-2006 про почту:
          "8.2.6.4. Электронная почта должна архивироваться. Архив должен быть доступен только подразделению (лицу) в организации, ответственному за обеспечение ИБ. Изменения в архиве не допускаются. Доступ к информации архива должен быть ограничен."
          Про антивирус:
          "8.2.5. Общие требования по обеспечению информационной безопасности средствами антивирусной защиты
          8.2.5.1. В организации должны применяться только официально приобретенные средства антивирусной защиты. Установка и регулярное обновление средств антивирусной защиты на автоматизированных рабочих местах и серверах АБС должны осуществляться администраторами АБС.
          Лучшей практикой является автоматическая установка обновлений антивирусного программного обеспечения.
          8.2.5.2. При обеспечении антивирусной защиты в организации должны быть разработаны и введены в действие инструкции по антивирусной защите, учитывающие особенности банковских технологических процессов. Особое внимание должно быть уделено антивирусной фильтрации трафика электронного почтового обмена.
          Лучшей практикой является построение эшелонированной централизованной системы антивирусной защиты, предусматривающей использование средств антивирусной защиты различных производителей и их раздельную установку на рабочих станциях, почтовых серверах и межсетевых экранах"

          Комментарий


          • #6
            Я писал это применительно к выполнению пунктов СТР-К, а не банковской деятельности в целом. Видимо неверно понял тему поста.

            Но и тут конечно не обязательно:
            "При проведении работ по защите негосударственных информационных ресурсов, составляющих коммерческую тайну, банковскую тайну и т.д., требования настоящего документа носят рекомендательный характер" п. 2.3. СТР-К.
            Насколько я знаю, требования Стандартов БР тоже бывают рекомендательные, правильно?
            Если же относиться к СТР-К иначе, то п. 2.16. СТР-К.

            Комментарий


            • #7
              и XSpider

              http://www.ptsecurity.ru/img/sert_fstec1.jpg

              Комментарий


              • #8
                VSB Да, стандарт Банка России по ИБ носит рекомендательный характер, по крайней мере, пока.
                А в рамках поставленного вопроса Вы, похоже, правы - если человек спрашивает, как ему выполнить требования СТР-К, значит, и 2.16 ему тоже надо выполнять.
                Думаю, все друг друга поняли, а автор темы нашёл благодаря Вам сертифицированное ФСТЭК средство.

                "Ревизор сети"
                ещё до кучи. Его сертификат.
                Последний раз редактировалось sunny; 24.01.2008, 18:46.

                Комментарий


                • #9
                  Спасибо! Будем использовать выше упомянуты средства. А кто-нибудь использовал NMapWin вот на него линк http://www.insecure.org/nmap ; а такие продукты: N-Stealth, SNMPWalk, Fpipe?

                  Комментарий


                  • #10
                    что касается сканеров сети.... Кто, что использует??

                    Комментарий


                    • #11
                      Сообщение от VSB Посмотреть сообщение
                      Сомневаюсь, что ФСТЭК может позволить пользоваться для чего-либо чем-нибудь несертифицированным.
                      Это сложный вопрос, на который до сих пор нет однозначного ответа даже у ФСТЭК.

                      Ф соответствии с законодательством ФСТЭК вправе регулировать деятельность по защите информации, которая подлежит защите в соответствии с федеральными законами. В СТР-К упоминается, что требуется использовать сертифицированные средства защиты. Но сам документ СТР-К принят с нарушением процедуры, описанной в постановлении провительстава о порядке разработки и государственной регистрации нормативно правовых актов органов исполнительной власти (документ не зарегистрирован в Минюсте и не опубликован). В соответствии с постановлением, никто не вправе требовать от организации исполнения подобных документов, и ФСТЭК с этим не спорти.

                      С другой стороны, деятельность по защите банковской тайны подпадает под положение о лицензировании деятельности по ТЗКИ. В силу этого положения банки обязаны получить лицензию, а для этого они обязаны аттестовать свои информационные системы. При аттестации ФСТЭК вправе опираться на свои внутренние нормативные документы, в том числе и на СТР-К. На этом основании ФСТЭК утверждает, что банки должны использовать сертифицированные СЗИ.

                      При этом они сами не уверены в законности такого требования, и обычно сами не навязываются.

                      Комментарий


                      • #12
                        Также остается вопрос, относится ли сканер к системе ЗАЩИТЫ информации? К контролю защиты. Да. Но вот к самой защите?.. Это еще вопрос.

                        Но на мой взгляд вопрос не такой уж и острый. Есть тот же X-Spider, который имеет сертификат ФСТЭК и МинОбороны. Nessus тоже сертифицирован (правда старая версия), Internet Scanner - тоже (тоже непоследняя версия). Так что выбор есть и неплохой даже среди сертифицированных продуктов.

                        Комментарий


                        • #13
                          Можно по подробнее узнать по аттестацию ФСТЭК. Я ничего такого раньше не слышал. И про лицензию тоже. Можно все разъяснить может еще кому-нибудь будет интересно !

                          Комментарий


                          • #14
                            Есть 504 постановление правительства по лицензированию деятельности по технической защите информации. Согласно мнению ФСТЭК любая организация, которая должна защищать информацию, подлежащую защите по закону (те же перс.данные или банковскую тайну), должна получать лицензию на этот вид деятельности. А одним из условий получения лицензии является использование сертифицированных средств защиты.

                            ЗЫ. Кстати, в 2007 году было уже несколько случаев приостановления деятельности банков на срок до 90 дней за нарушение данного постановления ;-(

                            Комментарий


                            • #15
                              + на сайте www.fstec.ru вывешено много документов.

                              Комментарий


                              • #16
                                Алексей Лукацкий Кстати, в 2007 году было уже несколько случаев приостановления деятельности банков
                                Есть что-нибудь поконкретнее? Какие именно, где..

                                Комментарий


                                • #17
                                  Сообщение от Алексей Лукацкий Посмотреть сообщение
                                  Есть 504 постановление правительства по лицензированию деятельности по технической защите информации. Согласно мнению ФСТЭК любая организация, которая должна защищать информацию, подлежащую защите по закону (те же перс.данные или банковскую тайну), должна получать лицензию на этот вид деятельности. А одним из условий получения лицензии является использование сертифицированных средств защиты.
                                  Да, есть такая проблема. По мнению ФСТЭК все без исключения юоидические лица, (поскольку все они ведут кадровый учет), должны получить у них лицензию или аутсорсить защиту у лицензиата. В любом случае, по их мнению, использование аттестация систем и использование сертифицированных средств защиты обязательны. Правда, об этом мало кто, кроме них знает, а сами они до сих пор не наглели.

                                  Сообщение от Алексей Лукацкий Посмотреть сообщение
                                  ЗЫ. Кстати, в 2007 году было уже несколько случаев приостановления деятельности банков на срок до 90 дней за нарушение данного постановления ;-(
                                  А вот с этого момента, если можно, поподробнее. Я не нашел ни одного обиженного/возмущенного админа ни на одном из форумов, даже слухов на наблюдается

                                  Комментарий


                                  • #18
                                    Сообщение от malotavr Посмотреть сообщение
                                    А вот с этого момента, если можно, поподробнее. Я не нашел ни одного обиженного/возмущенного админа ни на одном из форумов, даже слухов на наблюдается
                                    У меня информация из самой ФСТЭК. Деталями они не делятся ;-( Попробую узнать.

                                    Комментарий


                                    • #19
                                      А вот с этого момента, если можно, поподробнее.

                                      Насколько я помню, на прошлой infosecurity один из участников круглого стола по стандартизации намекал на подобные исходы, правда в основном поминал тогда еще 691.

                                      Также остается вопрос, относится ли сканер к системе ЗАЩИТЫ информации?

                                      Тут все достаточно просто - с точки зрения стандартной C.I.A сканер можно классифицировать как средство контроля целостности. Соотвественно - средство защиты. Естественно это одна из позиций, которую можно занимать, если она ...ээ... обоснована
                                      Только вот задание по безопасности под 15408 на сканер писать достаточно сложно ).
                                      Хотя если система распределенная - то проще.


                                      NMapWin

                                      nmap на настоящий момент наверное один из лучших _сканеров портов_. Его можно использовать для решения ряда задач (например - контроля целостности правил МЭ), но это только один из механизмов, реализуемых сканером уязвимостей (безопасности).
                                      Сейчас к нему пытаются "прикрутить" скритовый энжин, но что из этого получится - говорить рано.

                                      Комментарий


                                      • #20
                                        Сообщение от Алексей Лукацкий Посмотреть сообщение
                                        Также остается вопрос, относится ли сканер к системе ЗАЩИТЫ информации? К контролю защиты. Да. Но вот к самой защите?.. Это еще вопрос.
                                        Согласно 608-му постановлению сканер безопасности относится к средствам защиты информации и подлежит сертификации.

                                        Комментарий


                                        • #21
                                          Сообщение от Алексей Лукацкий Посмотреть сообщение
                                          У меня информация из самой ФСТЭК. Деталями они не делятся ;-( Попробую узнать.
                                          Итак. Не делятся они деталями, но... сказали, что у них появился персонал для проведения проверок и сверху им спустили план по таким проверкам. А как вы понимаете, если есть план, то каждая проверка должна закончиться найденными недостатками ;-(

                                          Комментарий

                                          Пользователи, просматривающие эту тему

                                          Свернуть

                                          Присутствует 1. Участников: 0, гостей: 1.

                                          Обработка...
                                          X