SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Обзор публикации NIST SP 800-88 "Guidelines for Media Sanitization"

Обзор публикации NIST SP 800-88 "Guidelines for Media Sanitization"
17.10.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |    



Руслан Рахметов, Security Vision


Экстенсивный рост объема данных в электронном виде в результате ускоренных процессов автоматизации и цифровизации привел к необходимости грамотного управления всеми этапами жизненного цикла конфиденциальной информации и физических накопителей, её содержащих. Эволюция технологий хранения данных также привела к появлению в компаниях множества устаревших накопителей, которые содержат корпоративную информацию, но при этом выводятся из эксплуатации. Примерами могут стать жесткие диски на магнитных накопителях (HDD), ленточные накопители предыдущих поколений (LTO-7 и предыдущие), компакт-диски (CD/DVD), а также дискеты и старые флешки. При устаревании указанных накопителей в момент вывода из эксплуатации перед утилизации крайне важно обеспечить очистку накопителей от конфиденциальной информации. Аналогичный подход следует использовать и при передаче устройств и накопителей третьим лицам - например, при ремонте вне офиса, при продаже сотрудникам или при передаче на благотворительные цели. Документ NIST SP 800-88 Rev. 1 "Guidelines for Media Sanitization" («Рекомендации по очистке носителей данных») содержит рекомендации по удалению конфиденциальной информации с носителей различных типов в зависимости от критичности данных, с указанием ролей и ответственных за процесс очистки. Ниже мы подробно рассмотрим положения данного документа.


В соответствии с категоризацией документа NIST SP 800-88, для санитизации (очистки) накопителей можно применять следующие способы:

1. Очистка (Clear) - логическое удаление информации во всех доступных пользователю областях данных с применением штатного функционала перезаписи информации или сброса устройства к заводским настройкам, после чего, однако, остается возможность восстановить данные в специализированных лабораториях.

2. Удаление (Purge) - применение логических и физических методов удаления информации, после воздействия которых невозможно восстановить данные даже в специализированных лабораториях.

3. Уничтожение (Destroy) - физическое уничтожение накопителя или устройства с данными, после которого невозможно восстановить информацию даже в специализированных лабораториях.

Решения об удалении информации и санитизации накопителей требуется принимать на протяжении всего жизненного цикла информационных систем, а критичные факторы, влияющие на такие действия, следует учитывать в самом начале, перед разработкой системы. Следует принимать во внимание схему информационных потоков, спецификации и характеристики устройств и накопителей, взаимосвязи между информационными системами. При этом обеспечение конфиденциальности информации зависит и от защиты физических накопителей и устройств: следует учесть, что одним из способов несанкционированного получения доступа к конфиденциальной информации является получение доступа к выброшенным или выставленным на продажу накопителям и устройствами (ноутбуки, смартфоны, сетевое оборудование, а также серверы и рабочие станции) с осуществлением попыток получения доступа к хранящимся на них файлам. Злоумышленники могут этого достичь либо путем покупки бывшего в употреблении оборудования компании, либо путем поиска выброшенных на свалку устройств и накопителей, либо путем восстановления информации с некорректно очищенных накопителей (например, при недостаточном классе использованного компанией устройства для физического уничтожения накопителей). Особое внимание следует уделять не самим накопителям как таковым, а той информации, которая на них обрабатывалась: компания может утилизировать и новые накопители без информации, и накопители, содержащие общедоступные сведения (например, дистрибутивы ПО, доступные в интернете), но задачей информационной безопасности будет выявление и корректная очистка именно тех устройств, на которых хранилась защищаемая информация. Не следует забывать и про уничтожение печатных копий документов: шредеры также разделяются на классы и позволяют измельчать распечатки с гарантированной невозможностью восстановления. Кроме уничтожения распечаток в шредерах, их также можно сжигать в специальных печах, не допускающих восстановления информации и защищенных от случайного вылета страниц из печи с потоком горячего воздуха.


С развитием технологий хранения данных меняются и способы их гарантированного уничтожения. Так, методы, которые применяли для накопителей с магнитными дисками, такие как размагничивание в устройствах-дегауссерах, не применимы к накопителям, использующим другие физические принципы, например, к твердотельным накопителям (SSD/NVMe). Электронные накопители небольшого размера, такие как USB-флешки и карты памяти (SD/microSD), представляют сложность для устройств-измельчителей (особые шредеры), поскольку требуется, чтобы минимальная единица измельчения была меньше, чем физические габариты уничтожаемого накопителя: например, могут возникнуть трудности с миниатюрными microSD-картами, емкость которых доходит до 1 Тб. Кроме того, некоторые модели накопителей содержат встроенную в микропрограмму функцию гарантированного удаления информации, при этом доверие реализованной вендором функции может быть под вопросом до проведения независимого исследования. Еще одним вызовом в современном киберпространстве будет потребность в гарантированном уничтожении данных в мобильных устройствах и в облачных инфраструктурах. В обоих случаях можно воспользоваться методом криптографического стирания (Cryptographic erase), при котором удаляется не сама зашифрованная информация, а ключ шифрования. Однако, доверие к данному способу также зависит от вендоров-производителей мобильных устройств и от облачных провайдеров: в первом случае важна корректность реализации как самого шифрования всей чувствительной информации, так и надежность удаления ключа шифрования (и отсутствие где-либо его копии), а во втором случае требуется убедиться, что провайдер не сохраняется копию незашифрованной информации или ключа шифрования в незащищенной области (например, в оперативной памяти или в резервных копиях / репликах данных).


В документе NIST SP 800-88 рекомендуется использовать криптографическое стирание в следующих случаях:

1. Когда конфиденциальная информация была зашифрована до того, как была записана на носитель (включая и сами данные, и копии данных).

2. Когда известно место хранения накопителя с ключом шифрования и когда можно очистить данные накопители.

3. Когда известны все места хранения ключей шифрования и можно их очистить.

4. Когда ключи шифрования сами зашифрованы ключом доступа и можно гарантированно удалить эти ключи доступа.

5. Когда есть уверенность в том, что пользователь сможет осознанно применять необходимые функции шифрования.


Криптографическое стирание не рекомендуется применять в следующих случаях:

1. Когда шифрование накопителя было включено после того, как туда была записана конфиденциальная информация.

2. Когда неизвестно, была ли записана конфиденциальная информация на накопитель до включения шифрования.


При выборе метода очистки данных организациям следует руководствоваться следующими характеристиками:

1. Какой тип и объем накопителя следует очистить?

2. Каковы требования конфиденциальности к данным, хранящимся на накопителе?

3. Будет ли накопитель работать в пределах контролируемой зоны?

4. Будет ли очистка проводиться силами самой организации или силами подрядчика?

5. Какое количество накопителей потребуется очистить?

6. Какова доступность инструментов и оборудования для проведения санитизации?

7. Каков уровень подготовленности сотрудников для работы с инструментами и оборудованием для проведения санитизации?

8. Как долго будет проводится санитизация?

9. Какова стоимость санитизации с учетом инструментов, подготовки, проверки выполненных действий?


Распределение ответственных и ролей за процесс очистки носителей данных согласно документу NIST SP 800-88 может быть следующим:

1. Руководитель организации отвечает за выделение адекватных ресурсов для обеспечения успешности процессов выявления мест хранения накопителей и корректной санитизации.

2. Руководитель ИТ отвечает за соблюдение требований политики по ИБ и за соответствие процессов санитизации ее положениям.

3. Владелец информационной системы должен убедиться в наличии методов обеспечения конфиденциальности информации и накопителей в соответствии с уровнем её критичности.

4. Владелец информации отвечает за понимание уровня критичности информации в его зоне ответственности и за понимание пользователями информации правил очистки данных.

5. Руководитель ИБ отвечает за создание и применение политики ИБ в части удаления информации и очистки накопителей с применением принципов релевантности и оперативности, а также имеет доступ к ресурсам и инструментарию для выполнения процедур санитизации.

6. Пользователи отвечают за знание и понимание уровня конфиденциальности обрабатываемой ими информации и за корректность ее использования.


Подкасты ИБ NIST Стандарты ИБ

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют