пятница, 27 февраля 2015 г.

Блог переехал

С сегодняшнего дня блог компании доступен на нашем официальном сайте. Все последующие публикации будут размещаться там.

Ссылка - https://rvision.pro/blog/

вторник, 20 января 2015 г.

Обновление Compliance Manager 1.3

С 19 января пользователям системы R-Vision доступна новая версия модуля Compliance Manager, включающая в себя следующие изменения:
  • В базу контролируемых требований добавлены требования Приказа ФСБ № 378 об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации.
  • В базу контролируемых требований добавлены требования Положения 382-П с учетом корректив, определенных указанием 3361-У.
  • В базу контролируемых требований добавлен стандарт по информационной безопасности Национального Банка Республики Беларусь - СТБ 34.101.68-2013.
  • В базу контролируемых требований добавлены требования Приказа ФСТЭК № 31 по обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критических важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.
  • Обновлен список платежных систем в соответствии с актуальными сведениями с сайта Центрального Банка.
  • Убрано ограничение оценки показателей М1-М6 по направлениям БИТП и ОЗПД значениями связанных показателей в оценке соответствия по 382-П.
  • Устранена проблема сброса фильтра при одновременной работе нескольких пользователей в одной оценке.
  • Добавлена возможность изменить обоснование уже выставленной оценки для характеристики без изменения оценки.
  • Добавлена возможность экспортировать в excel файл список документов на вкладке "Документы".
  • Реализовано сохранение значений одноименных атрибутов документов при смене типа документа.
  • Добавлена возможность настройки состава отображаемых столбцов в списке документов на вкладке "Документы", в качестве отображаемых столбцов могут быть выбраны в т.ч. атрибуты документов. 
  • Внесены изменения в работу функции импорта списка документов из файла, исключена ошибка, возникавшая при импорте файлов, содержащих дополнительные элементы форматирования.
  • Добавлены 2 новых типа диаграмм для вкладки "Обзор", позволяющие отобразить результаты проведенных оценок.
  • Внесены небольшие корректировки в работу интерфейса с целью повышения удобства работы с системой.
Краткий видео-обзор новых возможностей модуля можно посмотреть по ссылке:


пятница, 28 ноября 2014 г.

Обновление Incident Manager 1.5

С 26 ноября пользователям системы R-Vision доступна новая версия модуля Incident Manager, включающая в себя следующие изменения:
  • Добавлена возможность импортировать данные по инцидентам из файлов KliKO.
  • В форму редактирования события включены поля даты и времени завершения события
  • Внесены коррективы в форму Сводного отчета по инцидентам информационной безопасности
  • Добавлена опция выбора страны нахождения организации
  • Добавлены дополнительные справочники для описания инцидентов в соответствии с требованиями РС БР ИББС-2.5-2014
  • Добавлена возможность создания отчета по зафиксированным событиям безопасности
  • Добавлена возможность редактировать описание возможного уровня ущерба от реализации инцидента в качественных величинах (Настройки > Справочники > Уровни ущерба)
  • Реализованы ряд улучшений по интерфейсу модуля, повышающих удобство работы с системой
  • Добавлена возможность добавлять в форму описания инцидентов собственные поля типа "выпадающий список"
  • Добавлена возможность создавать собственные справочники для описания инцидентов информационной безопасности
  • Добавлена возможность настройки количества и наименования возможных уровней критичности инцидентов (Настройки > Справочники > Уровни критичности)
Краткий видео-обзор новых возможностей модуля можно посмотреть по ссылке:

http://www.youtube.com/watch?v=LP4RqZGT0fw


понедельник, 8 сентября 2014 г.

Новые функциональные возможности в R-Vision: Incident Manager

С сегодняшнего дня пользователям R-Vision: Incident Manager доступно обновление, содержащее дополнительные функциональные возможности: 

1) Архивирование событий и инцидентов

В новом обновлении становится доступной возможность архивировать не только инциденты, но и события. Архив перенесен из отдельного раздела в виде фильтра в разделы "События" и "Инциденты".

2) Уведомление пользователей

Добавлено 2 вида уведомлений по электронной почте:
  • Уведомление ответственного за обработку инцидента и/или рабочей группы об изменения в инциденте. Данная опция (активируется отдельно) позволит участникам группы, занимающимся обработкой инцидента, быть в курсе всех происходящих изменений.
  • Уведомление по заданным правилам. Данная опция позволяет настроить уведомление определенных пользователей в случае добавления в систему событий или инцидентов, отвечающих определенным условиям (например, уровень критичности, принадлежность к определенному объекту инфраструктуры и проч.)

3) Общее журналирование всех действий в модуле

Помимо журнала изменений, фиксировавшего действия в рамках конкретного инцидента (в текущей версии), теперь в интерфейсе системы добавлен отдельный раздел "Журнал", содержащий данные по всем операциям, совершаемым пользователями в модуле.


4)  Оптимизирована работа интерфейса и устранены некоторые недочеты в работе модуля

В первую очередь оптимизирована работа с большим объемом данных на вкладках "События" и "Инциденты", скорость работы интерфейса теперь не пострадает даже в случае просмотра и обработки нескольких тысяч событий / инцидентов. Также устранены некоторые недочеты в работе модуля, которые были выявлены в процессе эксплуатации решения нашими клиентами.


среда, 18 июня 2014 г.

Изменения в порядке оценки соответствия требованиям стандарта Банка России

Распоряжениями Банка России от 17 мая 2014 года № Р-399 и № Р-400 с 1 июня 2014 года введены в действие:
  • пятая редакция стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (регистрационный номер СТО БР ИББС-1.0-2014); 
  • четвертая редакция стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014» (регистрационный номер СТО БР ИББС-1.2-2014); 
В данной публикации будут рассмотрены ключевые изменения в порядке оценки соответствия требованиям новой редакции стандарта Банка России. 

1) Изменилось количество требований, по которым проводится оценка соответствия

Стандарт претерпел довольно серьезные изменения как в количественном, так и в качественном плане. Количественные изменения представлены в таблице и на диаграмме ниже:

СТО БР 2010      
СТО БР 2014      
Изменение
Общее количество частных показателей
425
491
+ 66
Групповой показатель M1
20
21
+ 1
Групповой показатель M2
17
19
+ 2
Групповой показатель M3
32
54
+ 22
Групповой показатель M4
16
12
- 4
Групповой показатель M5
23
24
+ 1
Групповой показатель M6
14
16
+ 2
Групповой показатель M7
25
23
- 2
Групповой показатель M8
13
7
- 6
Групповой показатель M9
23
60
+ 37
Групповой показатель M10
5
14
+ 9
Групповой показатель M11
14
15
+ 1
Групповой показатель M12
7
6
- 1
Групповой показатель M13
12
11
- 1
Групповой показатель M14
6
6
-
Групповой показатель M15
21
22
+ 1
Групповой показатель M16
4
4
-
Групповой показатель M17
4
4
-
Групповой показатель M18
7
8
+ 1
Групповой показатель M19
9
8
- 1
Групповой показатель M20
14
13
- 1
Групповой показатель M21
8
6
- 2
Групповой показатель M22
9
11
+ 2
Групповой показатель M23
9
10
+ 1
Групповой показатель M24
10
8
- 2
Групповой показатель M25
8
9
+ 1
Групповой показатель M26
8
8
-
Групповой показатель M27
10
11
+ 1
Групповой показатель M28
14
14
-
Групповой показатель M29
4
4
-
Групповой показатель M30
27
28
+ 1
Групповой показатель M31
8
9
+ 1
Групповой показатель M32
12
13
+ 1
Групповой показатель M33
8
9
+ 1
Групповой показатель M34
4
4
-



2) Изменилась методика оценки для частных и групповых показателей, а также итоговых показателей соответствия

В новой редакции стандарта используется схема оценки показателей, аналогичная той, что используется для оценки требований Положения № 382-П. Для каждого частного показателя определена категория оценки, которая в свою очередь определяет то, по каким свойствам (документирование, выполнение) оценивается данный показатель и какая при этом используется шкала оценки. 

Важным плюсом такого подхода является то, что теперь не приходится гадать по каким критериям (наличие документации, выполнение деятельности) необходимо оценивать показатели (ранее это был предмет споров между экспертами). Из "минусов" же можно отметить, что для показателей 1-ой категории наличие внутренней регламентирующей документации теперь является обязательным. Отсутствие или частичное наличие документов, устанавливающих порядок выполнения требования, является основанием для выставления нулевой оценки для показателя. 

На смену весовым показателям, которые ранее задавались для каждого частного показателя, пришли корректирующие коэффициенты, значения которых определяются исходя из количества частных показателей, оценка которых равна нулю.

3) Учет уточняющих вопросов заменен на учет результатов оценки степени выполнения требований 382-П 

Оценка групповых показателей М1 - М6 по-прежнему ведется по трем направлениям: БПТП, БИТП и ОЗПД, однако теперь для оценки по направлению ОЗПД не требуется оценивать и учитывать уточняющие вопросы (фактически они убраны из стандарта), а вот для оценки по направлению БПТП необходимо учитывать результаты актуальной оценки соответствия требованиям Положения Банка России № 382-П. 

Более подробная информация об изменения в стандартах Банка России, а также о подходах к обеспечению контроля за соответствием различных требований нормативных документов по информационной безопасности мы расскажем на вебинаре, который пройдет 19 июня в 11:00 по московскому времени. Подробности и ссылка для регистрации на вебинар тут - http://rvision.pro/event/vebinar-rvision-compliance-manager-1-0/.

пятница, 16 мая 2014 г.

Практический риск-менеджмент: часть 2 (подходы к оценке рисков)

В данной заметке в рамках серии публикаций по практическому риск-менеджменту мы затронем вопрос различных подходов к оценке рисков, их сильных и слабых сторон. 


На представленном рисунке вы можете видеть 4 возможных подхода к проведению оценки рисков, составленных с использованием 2х критериев: степени субъективности результатов оценки и сложности / ресурсоемкости проведения оценки. 

Тип 1. Неформальная / интуитивная оценка.  Данный вид оценки изначально очень близок многим специалистам в силу того, что таким способом оценки пользуется практически каждый человек в своей повседневной жизни принимая те или иные решения (перебежать дорогу на красный свет в связи с тем, что вокруг нет машин; оснастить загородный дом пожарной сигнализацией в связи с тем, что есть опасения что дом может сгореть из-за лесного пожара и проч.).  Решения об уровне риска, степени его допустимости и возможных мерах по минимизации риска принимаются на интуитивном уровне, основываясь на опыте, которым обладает специалист, выполняющий подобную оценку. 

На первый взгляд, этот минималистский подход к управлению рисками может показаться совершенно безответственным, т.к. подразумевает отсутствие осведомленности или даже нежелание признать реальные угрозы и уязвимости . Тем не менее, использование интуитивной логики эксперта может быть вполне разумным там, где фактические риски являются относительно низкими, или иными словами, где стоимость активов незначительна, связанные с ними уязвимости не критичны и соответствующие угрозы либо не существуют, либо по крайней мере весьма маловероятны.

Иначе говоря, неформальный подход, основанный на беглой, интуитивной оценке рисков может быть совершенно приемлемым при определенных условиях, когда возможные риски не стоят того, чтобы тратить дополнительные ресурсы на более тщательный анализ.

Тип 2. Оценка группой экспертов в предметной области

Данный подход подразумевает проведение оценки рисков группой экспертов, обладающих компетенцией в области оценки рисков, а также обладающих необходимым пониманием особенностей функционирования объекта / процесса / системы, для которых выполняется оценка. Субъективность мнений экспертов в данном случае компенсируется тем, что результатом является взвешенное мнение большинства, а разнообразие знаний и опыта экспертов дает основание предполагать, что никакие реальные уязвимости и угрозы, которые могут привести к реализации рисков информационной безопасности, не останутся без внимания. 

Основным барьером в реализации данного подхода к оценке рисков является отсутствие возможности для большинства организаций собрать рабочую группу экспертов, обладающих необходимой компетенцией в области оценки рисков, а также владеющих знанием предмета.  Сложности могут возникнуть и с организацией совместной работы экспертов, в связи с тем, что возникнет необходимость в использовании определенных инструментов для взаимодействия, обсуждения и хранения результатов.

Тип 3. Использование принятых стандартов / моделей

Данный подход подразумевает отказ от проведения оценки рисков экспертами компании и использование уже существующих моделей угроз, реестров рисков и стандартов по безопасности, разработанных регуляторами, сообществами, отраслевыми игроками.  В данном случае фактически весь процесс оценки и выявления актуальных рисков выполняется сторонним лицом, а полученный результат используется в качестве перечня возможных рисков, а также способов их минимизации. 

Субъективность данного метода определяется тем, кто является разработчиком принимаемых моделей угроз / рисков / стандартов по безопасности.  Преимуществом данного подхода безусловно является низкая ресурсоемкость и отсутствие необходимости в наличии высококлассных экспертов для проведения оценки рисков в штате организации. 

Тип 4. Формальная оценка в соответствии с заданной методологией

Данный подход является предпочтительным с точки зрения большинства международных и российских стандартов и нормативных документов. Не смотря на то, что ни один из существующих нормативных документов не предписывает использование какой-либо определенной методологии, тем не менее утверждается необходимость использования системного, формального, повторяемого метода оценки рисков. 

В настоящее время существует достаточно большое количество методик оценки рисков информационной безопасности (см. часть 1 (методики)), которые могут быть использованы в качестве основы для организации формальной оценки. Плюсом формального подхода является то, что субъективное мнение конкретного эксперта в меньшей степени оказывает влияние на результат оценки. 

К недостаткам данного подхода можно отнести ресурсоемкость, которая заключается в необходимости наличия в компании эксперта (как минимум одного), обладающего необходимым опытом в использовании применяемых методик оценки,  наличия специализированной аналитической базы (базы описывающей всю совокупность возможных угроз и их составляющих), которая является обязательной компонентой формальной оценки рисков и по сути оказывает серьезное влияние на качество получаемых результатов. 

понедельник, 7 апреля 2014 г.

Внедрение GRC. 12 советов из реальной практики

В данной заметке мы приводим фрагмент перевода статьи "12 tips for implementing GRC" с сайта http://www.csoonline.com, в котором специалисты по информационной безопасности, управлению рисками и соответствием требованиям делятся практическими советами по внедрению средств автоматизации процессов по общему управлению, риск-менеджменту и контролю соответствия (т.н. GRC-решений). 

Dave Notch, CISO, Thomson Reuters
  • Первый совет от меня: не пытайтесь сразу все сделать идеально, даже если кажется что вы знаете что вы хотите получить. Используйте итеративный подход. Это позволит в динамике оценивать достигнутый прогресс, а также требования заинтересованных сторон (которые зачастую могут меняться, либо могут быть не известны в начале проекта).
  • Будьте готовы "выкинуть" часть проделанной работы.  По мере того, как вы будете понимать потребности и желания тех, для кого предназначена внедряемая GRC-система, вам возможно придется отказаться от некоторых достигнутых результатов. Не принимайте это на свой счет, это нормально, это часть естественного процесса обучения и адаптации.
  • Наладьте нормальный процесс управления активами (это не имеет никакого отношения к выбору технического решения). До тех пор, пока у вас нет четкого представления о том, чем вы владеете, у вас не получится определить истинные причины возникающих проблем.  В своей компании мы разделили все активы на 3 категории и используем эту модель как призму для анализа всех имеющихся процессов и взаимосвязей. 
  • Сформируйте команду, состоящую из представителей юридического отдела, кадровой службы, ИТ и безопасности. Это позволит избежать ненужного дублирования в деятельности и разрабатываемых нормативных документах.  Такой подход в том числе облегчает жизнь, когда вам в силу служебной необходимости приходится вникать в вопросы из смежных областей.  А в условиях современных крупных компаний это не редкость. Совместная работа позволяет значительно проще обрабатывать подобные ситуации, когда они возникают. 
Kristen Knight, Privacy Director/Sr. Privacy Officer, NA Philips Electronics North America
  • Убедитесь что вы понимаете то влияние, которое окажет внедряемый продукт на операционную деятельность компании, до того как начнете проект. GRC-решения по своей сути ориентированы на использование широким кругом лиц. Даже деятельность топ-менеджмента компании может быть затронута внедряемым решением, поэтому убедитесь заранее что они готовы пройти через обучение и адаптацию процессов под новый инструментарий.  Если бы я полностью осознавала особенности продукта во время принятия решения о его покупке, то я бы поняла насколько проблематично будет  привлечь к обучению очень занятых топ-менеджеров. 
  • Автоматизация деятельности, реализуемая GRC-решениями, требует определенной зрелости существующих процессов в организации. Все сотрудники компании должны одинаково понимать каким образом будет использоваться инструментарий в их деятельности. В нашем случае это не сработало по причине того, что только небольшое количество лиц, ответственных за контроль соблюдения требований по защите персональных данных, обладали необходимой экспертизой для того чтобы корректно заполнить предоставляемый системой опросник. 
  • Будьте готовы к тому, что внедрение системы займет больше времени чем предполагалось. Но в тоже самое время не бойтесь "дернуть стоп-кран", если вы видете что все идет не так, как планировалось. В конечном итоге не стоит забывать, что основной задачей проекта является успешно работающая система.
Tom Malta, Senior Technology Risk Executive in financial services, including Goldman Sachs, Morgan Stanley, and BNY Mellon
  • Очень важно понимать, что в конечно итоге вы получаете инструмент, который нуждается во внимании и наполнении его необходимой информацией. Поэтому внедрение GRC-решения должно сопровождаться принятием необходимых политик и процедур. Если у вас нет собственных процедур, то бывает проще использовать встроенные процедуры, предлагаемые в продукте. 
  • Постоянно взаимодействуйте с сотрудниками и руководством, доносите до заинтересованных сторон сведения о том, на какой стадии в настоящее время находится проект. 
  • Внедрение GRC процессов не должно быть завязано исключительно на внедрении какого-то решения. Есть несколько простых вещей, которые вы можете реализовать очень быстро для того чтобы обеспечить поддержку инициативам в области управления рисками и соответствием требованиями, такие как, например, создание специализированных отчетов, привязанных к установленным в компании ключевым показателям (KPI). 
Jeff Bardin, veteran CISO from Investor's Bank & Trust, State Street Bank and Hanover Insurance Group
  • Проведите пилотное внедрение всех модулей продукта в качестве предварительного проекта по оценке применимости решения в вашей компании. Если пилотное внедрение окажется успешным, то можете смело переходить к полноценному внедрению. Как правило следование этому правилу позволит сократить итоговую стоимость внедрения, а также значительно быстрее добиться необходимого результата. 
  • Большинство GRC-решений поставляются вместе с некоторыми коннекторами, которые обеспечивают интеграцию с другими системами безопасности и источниками данных. Используйте эту интеграцию для повышения эффективности работы системы.