суббота, 19 ноября 2011 г.

Методология проведения Penetration testing

У начинающих специалистов по информационной безопасности возникает вопрос: политикой информационной безопасности компании требуется проведение тестов на проникновение или, другими словами Penetration testing, но как подходить к этой процедуре? Какие действия выполнять внутренними силами информационной безопасности или что обсуждать при заказе выполнения процедур от внешних организаций?
Привожу ссылки на наиболее распространенные руководства по этому вопросу. К сожалению, все руководства не русскоязычные.
  1. Technical guidance for Penetration Testing Execution Standard
  2. Open Web Application Security Project (OWASP) Testing Project
  3. A Penetration Testing Model
  4. NIST Special Publication 800-53 “Recommended Security Controls for Federal Information Systems and Organizations”
  5. Open-Source Security Testing Methodology Manual
  6. NSA IAM (National Security Agency Information Security Assessment Methodology)
  7. Cybersecurity Vulnerability Assessment Methodologies (Cybersecurity VAMs, Primatech Inc.)
  8. Information Systems Security Assessment Framework, OISSG (Open Information Systems Security Group)

среда, 2 ноября 2011 г.

Защита персональных данных в Украине. Требования закона.

В связи с введением соответствующего закона в Украине у руководства многих компаний возникает два вопрос «Что грозит за невыполнение требований этого закона?» и «Как обеспечить выполнение закона?».
Попытаюсь дать краткую информацию по этому вопросу.
В Украине действует закон № 2273 «О защите персональных данных», который вступил в силу с 1.01.2011. Этот закон регулирует взаимоотношения между субъектами, связанные с защитой персональных данных во время обработки. Основные требования, которые выдвигаются законом № 2273 к обработке персональных данных следующие:

  • Цель обработки персональных данных должна быть сформулирована во внутренней нормативной документации «владельца базы персональных данных»
  • Нужно обеспечить достоверность и правильность персональных данных, а также их обновление
  • Состав персональных данных должен отвечать цели обработки и быть ограничен подписанным соглашением физического лица
  • Первоисточником персональных данных являются выданные документы на имя физического лица либо подписанные данные, которые физическое лицо предоставляет о себе
  • Обработка персональных данных выполняется согласно целям, которые согласованы с физическим лицом
  • Обработка персональных данных без согласия физического лица запрещена кроме отдельных исключений
  • Персональные данные в форме, которая допускает идентификацию физического лица могут обрабатываться в течение срока, необходимого для достижения законной цели обработки данных
  • Обработка персональных данных в научных или статистических целях может выполнятся только в неперсонализированном виде
  • Типовой порядок обработки персональных данных в базах определяется уполномоченным государственным органом по вопросам защиты персональных данных

С 21.06.2011 вступило в силу положение Кабинета Министров Украины № 616 «Про Государственный реестр баз персональных данных и порядок его ведения». В этом документе излагаются требования по регистрации баз обработки персональной информации. По каждой из баз обработки персональной информации необходимо предоставить в Государственную службу по вопросам защиты персональных данных как минимум следующую информацию:

  • Информацию о владельце базы (стандартный набор реквизитов)
  • Именование и месторасположение базы персональных данных, включая информацию о лице, ответственном за ведение базы
  • Цель обработки персональных данных.
  • Информацию о других распорядителях персональных данных

Дополнительно можно предоставить еще следующую информацию:

  • Форму предоставления согласия на обработку персональных данных субъектами персональных данных
  • Способ ведения баз (электронный, бумажный и т.д.)
  • Источники получения персональных данных
  • Информацию о распространении и передаче персональных данных (третьим сторонам)
  • Информацию о передачи персональных данных за границу
  • Категории субъектов, относительно которых осуществляется обработка персональных данных
  • Категории персональных данных, которые обрабатываются
  • Типы информации, содержащиеся в базе (классификация)
  • Описание принятых мер по защите персональных данных от незаконной обработки и незаконного доступа

Невыполнение требований законодательства в области защиты персональных данных грозит штрафом в размере от 100 до 1000 необлагаемых минимумов. Если невыполнение закона приведет к незаконному доступу к персональным данным, сумма штрафа может составлять 10000 необлагаемых минимумов.