Толкование Приложения А стандарта НБУ.

Толкование мероприятий по обеспечению безопасности из приложения А

Коллеги интересует ваше мнение по толкованию Приложения А стандарта НБУ. А именно мероприятий А.15.2. И еще точнее А.15.2.2 (Перевірка технічної відповідності). Можно ли считать данное мероприятие руководством к действию по проведению теста на проникновение в системы. Другими словами - можно ли обосновать проведение теста на проникновение (пентеста) положениями ГСТУ СУІБ 1.0/ISO/IEC 27001:2010 А.15.2.1 (белый ящик по сути) + А.15.2.2 (белый-серый-черный ящик)?
Прошу высказаться.

1 day ago

Vladimir Gninyuk Берем СОУ Н НБУ 65.1 СУІБ 2.0:2010

15.2.2 Перевірка технічної відповідності


"Якщо використовують тестування на проникнення або оцінка вразливості, повинна бути виявлена обачність, оскільки такі дії можуть призвести до компрометації безпеки системи. Такі тестування повинні бути запланованими, задокументованими та повторюваними."

Не понял, а в чем подвох?

Vladimir Gninyuk Как говорится: черным да по белому. Проникайте, только аккуратно

Volodymyr Styran Прошу уточнить: это была ирония? В принципе, таковы правила любого тестирования в продуктиве =) А отсутствие (или минимум) "побочных эффектов" при наличии качественного результата -- объективный показатель профессионализма тестирующего.

Vladimir Matviychuk, CISA, CISM 15.2.1 Не имеет отношения к пентестам.
15.2.2 Черным по белому написано, что "проверка может включать..." Другое дело, что :
- сугубо пентеста для удовлетворения требования не достаточно
- проведение пентеста для удовлетворения требования не обязательно

Vladimir Gninyuk Вопрос был, как я понял "о обосновании" и п15.2.2 это позволяет сделать ничего не выдумывая.

А почему 15.2.1 не имеет отношения? Здесь вопрос методологии. Если нам необходимо протестировать процедуры связанные с физ.проникновением (ну скажем 9.1.2.d) То как назвать такой тест?

Vladimir Tkachenko to Vladimir Matviychuk. Владимир а вот с этого места поподробнее. Как таз это больше всего интересует (15.2.1) - при белом ящике ведь требуется оценить адекватность и эффективность применяемых процедур и средств .
И по второму 15.2.2 - ты говоришь пентест необязательно. (Хотя как по мне он более объективен чем оценка защищенности) Т.е. можно делать экспертную оценку (как по КСЗИ) и предоставлять отчет какой-то о том, что посмотрели, проверили настройки (конфигов политик и пр) и сделали выводы. Я правильно понимаю?

Vladimir Matviychuk, CISA, CISM Я же и ответил про обоснование - обосновать можно. Вопрос в пользе.

Политики покрывают чуть-чуть больше чем физическую защиту. Если мы под каждый пункт будем делать разные попытки проникновения... Кроме того пентесты не пригодны для оценки эффективности работы контролей за период. Пункт 15.2.1 в основном сосредоточен на тестировании эффективности работы 10.10, который, в свою очередь, следит за всем остальным

Vladimir Matviychuk, CISA, CISM 2Vladimir Tkachenko - 15.2.2 Говорит, что пентест может быть включен в проверку. Но тестирование можно выполнить и альтернативными процедурами. Которые, кстати, занимают значительно меньше времени и ресурсов и дают более адекватную картину.
по 15.2.1 уже написал в предыдущем посте

Vladimir Gninyuk Володя, спорить не буду, потому, как с одной стороны можно развести полемику, что если "Пункт 15.2.1 в основном сосредоточен на тестировании эффективности работы 10.10", то, что есть метрикой эффективности? С другой стороны мне не понятно, что хочет автор. Что вкладывается в смисл слова «обосновать».

Если нужно «обосновать», что бы «денег заработать»,то мне кажется можно, если «людей попугать, что им без этого никак нельзя», то нельзя, так как это не етично, потому, как не коректно…

Меня вот эта тема с цветом ящиков сильно настораживает ;-))

Vladimir Matviychuk, CISA, CISM Так я же и не спорю :) Обосновать можно. Третий раз уже это пишу.
А цвет ящиков - это обоснование почему этот пентест дороже другого :)

Vladimir Tkachenko Автор хочет ясность внести. У нас же как всегда если не обязательно, то не делаем. А на основании чего риски можно оценить, если до этого не было никаких данных? Вот пентест (или его лайт версия - оценка уязвимостей во внутренней сети) дает какуб-то исходную картину от которой отталкиваться предлагаем дальше при внедрении СУИБ.

Vladimir Gninyuk При оценке рисков Вы будете стохастический подход использовать? Сколько тестов вы собираетесь проводить?

Vladimir Tkachenko Так Владимир стоп. Осторожно головой. Я объясню откуда появился мой вопрос (см. топик) Правда это отдельный топик но возможно с него надо было начинать...

Представим себе ПАТ "Супер банк". В котором не было 1) оценки рисков ИБ, 2) выделенного подразделения ИБ.

Для того чтобы провести оценку рисков можно принять за исходные данные
а) текущий уровень угроз по региону (который никто - ни CERT-UA, ни НБУ в настоящий момент дать не в состоянии ) - я имею ввиду стандартизированный список угроз и их текущий статус (за период) как это делается например здесь http://isc.sans.edu/infocon.html
б) данные предыдущих оценок рисков (не наш случай)
в) данные оценки защищенности (или пентеста)

Делаем вывод - ...

Volodymyr Styran Простите, что вмешиваюсь... Давайте отвлечемся от формулировок, и вернемся к сути.

Тест (на проникновение, и вообще) -- это _проверка_. Не инпут в риск менеджмент, а проверка. Проверка результата.

Как можно проверить то, чего нет?

Vladimir Tkachenko Владимиры давайте дожмем этот вопрос. :-) Проверка результата... Вов не совсем понял.

ЗАЧЕМ делать пентест? У меня в презентации по этому поводу есть аргументы "pro".

Но мой вопрос не в этом. А я спрашиваю даже не спрашиваю а утверждаю

1) Результаты пентеста - один из источников для оценки рисков ИТ
2) Вопрос был (см топик) - подразумевает ли 15.2 (и 15.2.2 в частности) ОБЯЗАТЕЛЬНЫЙ пентест. На что Вова который Матвийчук мне ответил ДА подразумевает, НЕТ не обязательно.

Еще мнения в студию. Это ста-но-вит-ся сов-сем ин-те-рес-ным ... (С робот Вертер из к/ф "Гостья из будущего")

Valentin Sysoev, CISM Якщо у банку не було ризик менеджменту, це не означає, що там ніяк не захищалися. Скільки у нас банків мають ризик менеджмент (мається на увазі інформаційні ризики) - одиниці, тим не менше якісь заходи безпеки впроваджували...
Тест на проникнення може бути дуже хорошим інпутом у ризик менеджмент для керівництва банку. Особливо соціальна інженерія (що є невід"ємною частиною пентесту). Керівництво банку за часту думає, що інформаційна безпека - це лише якісь жилізяки, і якщо їх купили, то уже захищенні. Такий же пентест може показати реальний стан речей, особливо якщо вдасться проникнути у системи завдяки соцінженерії.
От чудовий спосіб показати керівництву банку, що інформабезпека - це все ж таки поняття набагато ширше ІТ безпеки і необхідність впровадження ризик менеджменту!
Це як приклад!

Volodymyr Styran Я вижу тут нет согласия в формулировке.

Исследование уязвимостей -- да, хороший инпут для процесса управления рисками.

Какой инпут вы получите из пентеста? Что систему можно скомпрометировать? Какой из способов это сделать выбрал тестер? Что эффективная СУИБ еще не достроена, и есть к чему стремиться? На мой взгляд, эти результаты обладают сомнительной ценностью.

P.S. Я ни в коем случае не против тестирования систем безопасности. Просто метод тестирования нужно выбирать адекватно уровню зрелости.

Vladimir Gninyuk ТО: ВТ Я не понял насчет головы...

ТО: ВС Я згоден, що пентест, то"чудовий спосіб показати керівництву банку, що інформабезпека - це все ж таки поняття набагато ширше ІТ безпеки". Але як результати повязані з RA?

Vladimir Tkachenko Вова, спасибо. Поясню. В отчете мы (ну и не только мы) обычно пишем (и рисуем ;-) полную картину по векторам атак (например сетевой периметр, персонал, приложения, беспроводка и т.п.), что дает по сути срез (текущую картину) в информационной системе предприятия. И в деталях каждый информационный актив (охваченный в пентесте) по сути проверяется на реализацию некоторого пула рисков. Разве не так? Таким образом если ничего нет (в плане того, что брать за основу для оценки), то можем взять выяыленные угрозы во время пентеста. На безрыбье и рак рыба.

Valentin Sysoev, CISM To Volodymyr Styran: Абсолютно погоджуюся, але на практиці, набагато легше переконати керівництво у необхідності впровадження ИБ конкретним прикладом. Якщо їм показати, як людина зі сторони одержала доступ до секретної інформації, буде набагато ефективніше і ефектніше ніж величезний звіт про можливі ризики...
Знову ж таки, це лише один приклад того, коли пентест може бути стартом провадження СУІБ.
Щодо питання Володимира Ткаченка, особисто я думаю, що це є вимогою, але треба задати питання НБУ, що вони під цим розуміли...

Volodymyr Styran Володя (Ткаченко), VA также является частью пентеста. То, что вы делаете, скорее можно назвать VA.

Vladimir Tkachenko To Vladimir Gninyuk . ;-) Я про схоластический анализ. (И больше себе. Сорри).

Vladimir Tkachenko VA это VA. Его как раз можно прикрутить как исходник для RA.

Так ладно . Спасибо всем еще раз мы уже в сторону отлонились от вопроса. совсем. Поэтому подумаю может сформулирую дискуссию и по этому поводу. А пока дабы вернуться в русло - еще мнения по 15.2.2 - ОБЯЗАТЕЛЬНО ИЛИ НЕТ. (Жаль Лукьянов не пишет нам...)

Vladimir Matviychuk, CISA, CISM Какая-то тусовка Владимиров %). Валентин только выпадает из тренда.
Что-то внедрение стандарта перетекает в холивор по пентестам.

На тему с чего начинать, если ничего нет... Парочка противоположных мнений на тему: http://dorlov.blogspot.com/2010/02/blog-post.html

Valentin Sysoev, CISM Цікаво! В більшості погоджуюся із автором блогу. Тому і кажу, що пентест може бути чудовою відправною точкою, саме завдяки його результатам можна отримати "підтримку керівництва".
Є ще декілька способів: ROSI, TCO, іноді RA....
Ну і завдяки НБУ - це "вимога регулятора" :) Що є найбільш переконливим аргументом :)

Valentin Sysoev, CISM До речі, дуже важливий другий етап: оцінка існуючої ситуації і короткий, зрозумілий для бізнесу план дій!
Ну сусідній вітці обговорюється Road Map по впровадженню ISO 27001 - чудовий спосіб показати керівництву, що треба робити у зв"язку із виходом стандартів НБУ.Перевірено на практиці :)
Дублюю посилання:
http://auditagency.com.ua/uk/?r=blog_14_RoadMap

Vladimir Matviychuk, CISA, CISM Автор блога просто перевел две статьи :)

А поддержку руководства на пентест, ROSI, TCO тоже еще нужно получить ;)

По-человечески СУИБ лучше создавать через стратегическое планирование - тогда пентесты для получения поддержки не нужны.

Диспут об эффективности пентестов предлагаю вынести на следующее собрание UISG или хотя бы просто за пивом :)

Gleb Paharenko Add a comment... Send me an email for each new comment.

Click here to find out more!
Comments