SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Обзор публикации NIST SP 800-88 "Guidelines for Media Sanitization"

Обзор публикации NIST SP 800-88 "Guidelines for Media Sanitization"
17.10.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |    



Руслан Рахметов, Security Vision


Экстенсивный рост объема данных в электронном виде в результате ускоренных процессов автоматизации и цифровизации привел к необходимости грамотного управления всеми этапами жизненного цикла конфиденциальной информации и физических накопителей, её содержащих. Эволюция технологий хранения данных также привела к появлению в компаниях множества устаревших накопителей, которые содержат корпоративную информацию, но при этом выводятся из эксплуатации. Примерами могут стать жесткие диски на магнитных накопителях (HDD), ленточные накопители предыдущих поколений (LTO-7 и предыдущие), компакт-диски (CD/DVD), а также дискеты и старые флешки. При устаревании указанных накопителей в момент вывода из эксплуатации перед утилизации крайне важно обеспечить очистку накопителей от конфиденциальной информации. Аналогичный подход следует использовать и при передаче устройств и накопителей третьим лицам - например, при ремонте вне офиса, при продаже сотрудникам или при передаче на благотворительные цели. Документ NIST SP 800-88 Rev. 1 "Guidelines for Media Sanitization" («Рекомендации по очистке носителей данных») содержит рекомендации по удалению конфиденциальной информации с носителей различных типов в зависимости от критичности данных, с указанием ролей и ответственных за процесс очистки. Ниже мы подробно рассмотрим положения данного документа.


В соответствии с категоризацией документа NIST SP 800-88, для санитизации (очистки) накопителей можно применять следующие способы:

1. Очистка (Clear) - логическое удаление информации во всех доступных пользователю областях данных с применением штатного функционала перезаписи информации или сброса устройства к заводским настройкам, после чего, однако, остается возможность восстановить данные в специализированных лабораториях.

2. Удаление (Purge) - применение логических и физических методов удаления информации, после воздействия которых невозможно восстановить данные даже в специализированных лабораториях.

3. Уничтожение (Destroy) - физическое уничтожение накопителя или устройства с данными, после которого невозможно восстановить информацию даже в специализированных лабораториях.

Решения об удалении информации и санитизации накопителей требуется принимать на протяжении всего жизненного цикла информационных систем, а критичные факторы, влияющие на такие действия, следует учитывать в самом начале, перед разработкой системы. Следует принимать во внимание схему информационных потоков, спецификации и характеристики устройств и накопителей, взаимосвязи между информационными системами. При этом обеспечение конфиденциальности информации зависит и от защиты физических накопителей и устройств: следует учесть, что одним из способов несанкционированного получения доступа к конфиденциальной информации является получение доступа к выброшенным или выставленным на продажу накопителям и устройствами (ноутбуки, смартфоны, сетевое оборудование, а также серверы и рабочие станции) с осуществлением попыток получения доступа к хранящимся на них файлам. Злоумышленники могут этого достичь либо путем покупки бывшего в употреблении оборудования компании, либо путем поиска выброшенных на свалку устройств и накопителей, либо путем восстановления информации с некорректно очищенных накопителей (например, при недостаточном классе использованного компанией устройства для физического уничтожения накопителей). Особое внимание следует уделять не самим накопителям как таковым, а той информации, которая на них обрабатывалась: компания может утилизировать и новые накопители без информации, и накопители, содержащие общедоступные сведения (например, дистрибутивы ПО, доступные в интернете), но задачей информационной безопасности будет выявление и корректная очистка именно тех устройств, на которых хранилась защищаемая информация. Не следует забывать и про уничтожение печатных копий документов: шредеры также разделяются на классы и позволяют измельчать распечатки с гарантированной невозможностью восстановления. Кроме уничтожения распечаток в шредерах, их также можно сжигать в специальных печах, не допускающих восстановления информации и защищенных от случайного вылета страниц из печи с потоком горячего воздуха.


С развитием технологий хранения данных меняются и способы их гарантированного уничтожения. Так, методы, которые применяли для накопителей с магнитными дисками, такие как размагничивание в устройствах-дегауссерах, не применимы к накопителям, использующим другие физические принципы, например, к твердотельным накопителям (SSD/NVMe). Электронные накопители небольшого размера, такие как USB-флешки и карты памяти (SD/microSD), представляют сложность для устройств-измельчителей (особые шредеры), поскольку требуется, чтобы минимальная единица измельчения была меньше, чем физические габариты уничтожаемого накопителя: например, могут возникнуть трудности с миниатюрными microSD-картами, емкость которых доходит до 1 Тб. Кроме того, некоторые модели накопителей содержат встроенную в микропрограмму функцию гарантированного удаления информации, при этом доверие реализованной вендором функции может быть под вопросом до проведения независимого исследования. Еще одним вызовом в современном киберпространстве будет потребность в гарантированном уничтожении данных в мобильных устройствах и в облачных инфраструктурах. В обоих случаях можно воспользоваться методом криптографического стирания (Cryptographic erase), при котором удаляется не сама зашифрованная информация, а ключ шифрования. Однако, доверие к данному способу также зависит от вендоров-производителей мобильных устройств и от облачных провайдеров: в первом случае важна корректность реализации как самого шифрования всей чувствительной информации, так и надежность удаления ключа шифрования (и отсутствие где-либо его копии), а во втором случае требуется убедиться, что провайдер не сохраняется копию незашифрованной информации или ключа шифрования в незащищенной области (например, в оперативной памяти или в резервных копиях / репликах данных).


В документе NIST SP 800-88 рекомендуется использовать криптографическое стирание в следующих случаях:

1. Когда конфиденциальная информация была зашифрована до того, как была записана на носитель (включая и сами данные, и копии данных).

2. Когда известно место хранения накопителя с ключом шифрования и когда можно очистить данные накопители.

3. Когда известны все места хранения ключей шифрования и можно их очистить.

4. Когда ключи шифрования сами зашифрованы ключом доступа и можно гарантированно удалить эти ключи доступа.

5. Когда есть уверенность в том, что пользователь сможет осознанно применять необходимые функции шифрования.


Криптографическое стирание не рекомендуется применять в следующих случаях:

1. Когда шифрование накопителя было включено после того, как туда была записана конфиденциальная информация.

2. Когда неизвестно, была ли записана конфиденциальная информация на накопитель до включения шифрования.


При выборе метода очистки данных организациям следует руководствоваться следующими характеристиками:

1. Какой тип и объем накопителя следует очистить?

2. Каковы требования конфиденциальности к данным, хранящимся на накопителе?

3. Будет ли накопитель работать в пределах контролируемой зоны?

4. Будет ли очистка проводиться силами самой организации или силами подрядчика?

5. Какое количество накопителей потребуется очистить?

6. Какова доступность инструментов и оборудования для проведения санитизации?

7. Каков уровень подготовленности сотрудников для работы с инструментами и оборудованием для проведения санитизации?

8. Как долго будет проводится санитизация?

9. Какова стоимость санитизации с учетом инструментов, подготовки, проверки выполненных действий?


Распределение ответственных и ролей за процесс очистки носителей данных согласно документу NIST SP 800-88 может быть следующим:

1. Руководитель организации отвечает за выделение адекватных ресурсов для обеспечения успешности процессов выявления мест хранения накопителей и корректной санитизации.

2. Руководитель ИТ отвечает за соблюдение требований политики по ИБ и за соответствие процессов санитизации ее положениям.

3. Владелец информационной системы должен убедиться в наличии методов обеспечения конфиденциальности информации и накопителей в соответствии с уровнем её критичности.

4. Владелец информации отвечает за понимание уровня критичности информации в его зоне ответственности и за понимание пользователями информации правил очистки данных.

5. Руководитель ИБ отвечает за создание и применение политики ИБ в части удаления информации и очистки накопителей с применением принципов релевантности и оперативности, а также имеет доступ к ресурсам и инструментарию для выполнения процедур санитизации.

6. Пользователи отвечают за знание и понимание уровня конфиденциальности обрабатываемой ими информации и за корректность ее использования.


Подкасты ИБ NIST Стандарты ИБ

Рекомендуем

Защита данных и носителей информации от вирусов и взлома
Защита данных и носителей информации от вирусов и взлома
Образование в ИБ. Ожидание vs Реальность
Образование в ИБ. Ожидание vs Реальность
Управление мобильными устройствами
Управление мобильными устройствами
Что такое социальная инженерия и как от нее защититься
Что такое социальная инженерия и как от нее защититься
Интернет вещей и безопасность
Интернет вещей и безопасность
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Lessons Learned: почему никогда не стыдно взять и всё переделать
Lessons Learned: почему никогда не стыдно взять и всё переделать
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Уязвимости
Уязвимости
Пентесты
Пентесты
Конфиденциальная информация
Конфиденциальная информация

Рекомендуем

Защита данных и носителей информации от вирусов и взлома
Защита данных и носителей информации от вирусов и взлома
Образование в ИБ. Ожидание vs Реальность
Образование в ИБ. Ожидание vs Реальность
Управление мобильными устройствами
Управление мобильными устройствами
Что такое социальная инженерия и как от нее защититься
Что такое социальная инженерия и как от нее защититься
Интернет вещей и безопасность
Интернет вещей и безопасность
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Lessons Learned: почему никогда не стыдно взять и всё переделать
Lessons Learned: почему никогда не стыдно взять и всё переделать
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Уязвимости
Уязвимости
Пентесты
Пентесты
Конфиденциальная информация
Конфиденциальная информация

Похожие статьи

Три слона, на которых держится логирование в Windows
Три слона, на которых держится логирование в Windows
Какими навыками должен овладеть специалист SOC
Какими навыками должен овладеть специалист SOC
Деловые игры рыцарей круглого стола
Деловые игры рыцарей круглого стола
Безопасность использования облачных хранилищ
Безопасность использования облачных хранилищ
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Возможности новой версии продукта «Управление активами и инвентаризацией» на платформе Security Vision 5
Возможности новой версии продукта «Управление активами и инвентаризацией» на платформе Security Vision 5
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Возможности новой версии продукта Security Vision UEBA
Возможности новой версии продукта Security Vision UEBA
Что такое средства доверенной загрузки и для чего они применяются
Что такое средства доверенной загрузки и для чего они применяются
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
Динамические плейбуки
Динамические плейбуки

Похожие статьи

Три слона, на которых держится логирование в Windows
Три слона, на которых держится логирование в Windows
Какими навыками должен овладеть специалист SOC
Какими навыками должен овладеть специалист SOC
Деловые игры рыцарей круглого стола
Деловые игры рыцарей круглого стола
Безопасность использования облачных хранилищ
Безопасность использования облачных хранилищ
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Возможности новой версии продукта «Управление активами и инвентаризацией» на платформе Security Vision 5
Возможности новой версии продукта «Управление активами и инвентаризацией» на платформе Security Vision 5
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Возможности новой версии продукта Security Vision UEBA
Возможности новой версии продукта Security Vision UEBA
Что такое средства доверенной загрузки и для чего они применяются
Что такое средства доверенной загрузки и для чего они применяются
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
Динамические плейбуки
Динамические плейбуки