SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

Напишите нам на marketing@securituvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на marketing@securituvision.ru или закажите демонстрацию

Обзор публикации NIST SP 800-88 "Guidelines for Media Sanitization"

Обзор публикации NIST SP 800-88 "Guidelines for Media Sanitization"
17.10.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |    


Руслан Рахметов, Security Vision

Экстенсивный рост объема данных в электронном виде в результате ускоренных процессов автоматизации и цифровизации привел к необходимости грамотного управления всеми этапами жизненного цикла конфиденциальной информации и физических накопителей, её содержащих. Эволюция технологий хранения данных также привела к появлению в компаниях множества устаревших накопителей, которые содержат корпоративную информацию, но при этом выводятся из эксплуатации. Примерами могут стать жесткие диски на магнитных накопителях (HDD), ленточные накопители предыдущих поколений (LTO-7 и предыдущие), компакт-диски (CD/DVD), а также дискеты и старые флешки. При устаревании указанных накопителей в момент вывода из эксплуатации перед утилизации крайне важно обеспечить очистку накопителей от конфиденциальной информации. Аналогичный подход следует использовать и при передаче устройств и накопителей третьим лицам - например, при ремонте вне офиса, при продаже сотрудникам или при передаче на благотворительные цели. Документ NIST SP 800-88 Rev. 1 "Guidelines for Media Sanitization" («Рекомендации по очистке носителей данных») содержит рекомендации по удалению конфиденциальной информации с носителей различных типов в зависимости от критичности данных, с указанием ролей и ответственных за процесс очистки. Ниже мы подробно рассмотрим положения данного документа.


В соответствии с категоризацией документа NIST SP 800-88, для санитизации (очистки) накопителей можно применять следующие способы:

1. Очистка (Clear) - логическое удаление информации во всех доступных пользователю областях данных с применением штатного функционала перезаписи информации или сброса устройства к заводским настройкам, после чего, однако, остается возможность восстановить данные в специализированных лабораториях.

2. Удаление (Purge) - применение логических и физических методов удаления информации, после воздействия которых невозможно восстановить данные даже в специализированных лабораториях.

3. Уничтожение (Destroy) - физическое уничтожение накопителя или устройства с данными, после которого невозможно восстановить информацию даже в специализированных лабораториях.

Решения об удалении информации и санитизации накопителей требуется принимать на протяжении всего жизненного цикла информационных систем, а критичные факторы, влияющие на такие действия, следует учитывать в самом начале, перед разработкой системы. Следует принимать во внимание схему информационных потоков, спецификации и характеристики устройств и накопителей, взаимосвязи между информационными системами. При этом обеспечение конфиденциальности информации зависит и от защиты физических накопителей и устройств: следует учесть, что одним из способов несанкционированного получения доступа к конфиденциальной информации является получение доступа к выброшенным или выставленным на продажу накопителям и устройствами (ноутбуки, смартфоны, сетевое оборудование, а также серверы и рабочие станции) с осуществлением попыток получения доступа к хранящимся на них файлам. Злоумышленники могут этого достичь либо путем покупки бывшего в употреблении оборудования компании, либо путем поиска выброшенных на свалку устройств и накопителей, либо путем восстановления информации с некорректно очищенных накопителей (например, при недостаточном классе использованного компанией устройства для физического уничтожения накопителей). Особое внимание следует уделять не самим накопителям как таковым, а той информации, которая на них обрабатывалась: компания может утилизировать и новые накопители без информации, и накопители, содержащие общедоступные сведения (например, дистрибутивы ПО, доступные в интернете), но задачей информационной безопасности будет выявление и корректная очистка именно тех устройств, на которых хранилась защищаемая информация. Не следует забывать и про уничтожение печатных копий документов: шредеры также разделяются на классы и позволяют измельчать распечатки с гарантированной невозможностью восстановления. Кроме уничтожения распечаток в шредерах, их также можно сжигать в специальных печах, не допускающих восстановления информации и защищенных от случайного вылета страниц из печи с потоком горячего воздуха.


С развитием технологий хранения данных меняются и способы их гарантированного уничтожения. Так, методы, которые применяли для накопителей с магнитными дисками, такие как размагничивание в устройствах-дегауссерах, не применимы к накопителям, использующим другие физические принципы, например, к твердотельным накопителям (SSD/NVMe). Электронные накопители небольшого размера, такие как USB-флешки и карты памяти (SD/microSD), представляют сложность для устройств-измельчителей (особые шредеры), поскольку требуется, чтобы минимальная единица измельчения была меньше, чем физические габариты уничтожаемого накопителя: например, могут возникнуть трудности с миниатюрными microSD-картами, емкость которых доходит до 1 Тб. Кроме того, некоторые модели накопителей содержат встроенную в микропрограмму функцию гарантированного удаления информации, при этом доверие реализованной вендором функции может быть под вопросом до проведения независимого исследования. Еще одним вызовом в современном киберпространстве будет потребность в гарантированном уничтожении данных в мобильных устройствах и в облачных инфраструктурах. В обоих случаях можно воспользоваться методом криптографического стирания (Cryptographic erase), при котором удаляется не сама зашифрованная информация, а ключ шифрования. Однако, доверие к данному способу также зависит от вендоров-производителей мобильных устройств и от облачных провайдеров: в первом случае важна корректность реализации как самого шифрования всей чувствительной информации, так и надежность удаления ключа шифрования (и отсутствие где-либо его копии), а во втором случае требуется убедиться, что провайдер не сохраняется копию незашифрованной информации или ключа шифрования в незащищенной области (например, в оперативной памяти или в резервных копиях / репликах данных).


В документе NIST SP 800-88 рекомендуется использовать криптографическое стирание в следующих случаях:

1. Когда конфиденциальная информация была зашифрована до того, как была записана на носитель (включая и сами данные, и копии данных).

2. Когда известно место хранения накопителя с ключом шифрования и когда можно очистить данные накопители.

3. Когда известны все места хранения ключей шифрования и можно их очистить.

4. Когда ключи шифрования сами зашифрованы ключом доступа и можно гарантированно удалить эти ключи доступа.

5. Когда есть уверенность в том, что пользователь сможет осознанно применять необходимые функции шифрования.


Криптографическое стирание не рекомендуется применять в следующих случаях:

1. Когда шифрование накопителя было включено после того, как туда была записана конфиденциальная информация.

2. Когда неизвестно, была ли записана конфиденциальная информация на накопитель до включения шифрования.


При выборе метода очистки данных организациям следует руководствоваться следующими характеристиками:

1. Какой тип и объем накопителя следует очистить?

2. Каковы требования конфиденциальности к данным, хранящимся на накопителе?

3. Будет ли накопитель работать в пределах контролируемой зоны?

4. Будет ли очистка проводиться силами самой организации или силами подрядчика?

5. Какое количество накопителей потребуется очистить?

6. Какова доступность инструментов и оборудования для проведения санитизации?

7. Каков уровень подготовленности сотрудников для работы с инструментами и оборудованием для проведения санитизации?

8. Как долго будет проводится санитизация?

9. Какова стоимость санитизации с учетом инструментов, подготовки, проверки выполненных действий?


Распределение ответственных и ролей за процесс очистки носителей данных согласно документу NIST SP 800-88 может быть следующим:

1. Руководитель организации отвечает за выделение адекватных ресурсов для обеспечения успешности процессов выявления мест хранения накопителей и корректной санитизации.

2. Руководитель ИТ отвечает за соблюдение требований политики по ИБ и за соответствие процессов санитизации ее положениям.

3. Владелец информационной системы должен убедиться в наличии методов обеспечения конфиденциальности информации и накопителей в соответствии с уровнем её критичности.

4. Владелец информации отвечает за понимание уровня критичности информации в его зоне ответственности и за понимание пользователями информации правил очистки данных.

5. Руководитель ИБ отвечает за создание и применение политики ИБ в части удаления информации и очистки накопителей с применением принципов релевантности и оперативности, а также имеет доступ к ресурсам и инструментарию для выполнения процедур санитизации.

6. Пользователи отвечают за знание и понимание уровня конфиденциальности обрабатываемой ими информации и за корректность ее использования.


Подкасты ИБ NIST Стандарты ИБ

Рекомендуем

Обзор публикации NIST SP 1800-22 (Draft) "Mobile Device Security: Bring Your Own Device (BYOD)"
Обзор публикации NIST SP 1800-22 (Draft) "Mobile Device Security: Bring Your Own Device (BYOD)"
Динамический анализ исходного кода
Динамический анализ исходного кода
Обзор публикации NIST SP 800-161 Rev. 1 (Draft) "Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations"
Обзор публикации NIST SP 800-161 Rev. 1 (Draft) "Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations"
SGRC по закону. ГИС, ПДн, проект ГОСТ
SGRC по закону. ГИС, ПДн, проект ГОСТ
Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №6 «Используйте киберразведку для борьбы с атакующими»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №6 «Используйте киберразведку для борьбы с атакующими»
Обзор публикации NIST SP 800-128 "Guide for Security-Focused Configuration Management of Information Systems"
Обзор публикации NIST SP 800-128 "Guide for Security-Focused Configuration Management of Information Systems"
Обзор публикации NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges"
Обзор публикации NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges"
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
Обзор средств информационной безопасности: сетевая защита
Обзор средств информационной безопасности: сетевая защита
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Кибербезопасность, киберустойчивость, киберучения – что это?
Кибербезопасность, киберустойчивость, киберучения – что это?

Рекомендуем

Обзор публикации NIST SP 1800-22 (Draft) "Mobile Device Security: Bring Your Own Device (BYOD)"
Обзор публикации NIST SP 1800-22 (Draft) "Mobile Device Security: Bring Your Own Device (BYOD)"
Динамический анализ исходного кода
Динамический анализ исходного кода
Обзор публикации NIST SP 800-161 Rev. 1 (Draft) "Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations"
Обзор публикации NIST SP 800-161 Rev. 1 (Draft) "Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations"
SGRC по закону. ГИС, ПДн, проект ГОСТ
SGRC по закону. ГИС, ПДн, проект ГОСТ
Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №6 «Используйте киберразведку для борьбы с атакующими»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №6 «Используйте киберразведку для борьбы с атакующими»
Обзор публикации NIST SP 800-128 "Guide for Security-Focused Configuration Management of Information Systems"
Обзор публикации NIST SP 800-128 "Guide for Security-Focused Configuration Management of Information Systems"
Обзор публикации NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges"
Обзор публикации NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges"
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
Обзор средств информационной безопасности: сетевая защита
Обзор средств информационной безопасности: сетевая защита
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Кибербезопасность, киберустойчивость, киберучения – что это?
Кибербезопасность, киберустойчивость, киберучения – что это?

Похожие статьи

Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
Безопасность переводов и оплаты товаров через СБП. Часть 1
Безопасность переводов и оплаты товаров через СБП. Часть 1
Нормативные документы по ИБ. Часть 5. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 5. Обзор российского и международного законодательства в области защиты персональных данных
Обзор публикации NIST SP 800-161 Rev. 1 (Draft) "Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations"
Обзор публикации NIST SP 800-161 Rev. 1 (Draft) "Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations"
Обзор публикации NIST SP 1800-5 "IT Asset Management"
Обзор публикации NIST SP 1800-5 "IT Asset Management"
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 2
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 2
Управление информационной безопасностью (ISO 27000)
Управление информационной безопасностью (ISO 27000)
Управление информационной безопасностью (Менеджмент ИБ)
Управление информационной безопасностью (Менеджмент ИБ)

Похожие статьи

Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
Безопасность переводов и оплаты товаров через СБП. Часть 1
Безопасность переводов и оплаты товаров через СБП. Часть 1
Нормативные документы по ИБ. Часть 5. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 5. Обзор российского и международного законодательства в области защиты персональных данных
Обзор публикации NIST SP 800-161 Rev. 1 (Draft) "Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations"
Обзор публикации NIST SP 800-161 Rev. 1 (Draft) "Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations"
Обзор публикации NIST SP 1800-5 "IT Asset Management"
Обзор публикации NIST SP 1800-5 "IT Asset Management"
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 2
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 2
Управление информационной безопасностью (ISO 27000)
Управление информационной безопасностью (ISO 27000)
Управление информационной безопасностью (Менеджмент ИБ)
Управление информационной безопасностью (Менеджмент ИБ)