• Рабочие часы: 10:00 - 19.00
  • info@globaltrust.ru

GlobalTrust

Метка: политики безопасности

image_pdfimage_print
Новости

Политика использования открытого программного обеспечения

Апр 26, 2025 #open source, #открытое ПО, #политики безопасности от GlobalTrust.ru

GlobalTrust продолжает публиковать основные положения организационно-распорядительных документов по обеспечению информационной безопасности, чтобы помочь организациям глубже разобораться и выстроить собственную политику в данной области.

Целью настоящей Политики является определение основных принципов, положений и требований, направленных на обеспечение безопасного использования в Обществе открытого ПО, а также проприетарного ПО, в состав которого входят отдельные компоненты открытого ПО.

Открытое ПО – это программное обеспечение, у которого исходный код доступен всем. На это ПО распространяется специальная свободная лицензия, позволяющая посмотреть, как сделана программа, найти уязвимости и написать что-то совместимое или похожее, или взять какой-нибудь алгоритм и сделать что-то на его основе, или найти недочёт и предложить улучшение.

Риски использования открытого ПО

Использование в Обществе открытого ПО сопряжено со следующими дополнительными рисками:

  • Повышенная вероятность заражения вредоносным ПО. Злоумышленники могут внедрять вредоносные изменения в открытый код. Это может привести к краже конфиденциальной информации, финансовым или репутационным потерям.
  • Задержки с обновлениями. Открытое ПО требует регулярного обновления, так как его уязвимости быстро становятся известными злоумышленникам. Однако обновления ПО могут привести к нестабильности работы приложений или проблемам с совместимостью.
  • Ошибки конфигурации. Открытые системы, такие как базы данных, веб-серверы и контейнерные платформы, требуют грамотной настройки. В случае, если администраторы забывают отключить дефолтные учётные записи, устанавливают слабые пароли или оставляют критически важные сервисы доступными из интернета, это создаёт благоприятные условия для атак.
  • Зависимость от сторонних разработчиков. К разработке отрытого ПО нередко привлекают фрилансеров или небольшие аутсорс-команды, у которых уровень компетенции в вопросах безопасности может существенно различаться. Это увеличивает вероятность использования уязвимого или даже намеренно вредоносного кода.
  • Вероятность изменения условий лицензии. Это влечёт за собой риск нарушения авторских прав и ограничения использования собственной программы на основе открытого кода.

Чтобы снизить риски, связанные с использованием открытого ПО, в Обществе должны тщательно проверяться продукты перед началом их использования, использоваться специальные инструменты для проверки надёжности библиотек, от которых зависит продукт, и быть создан чёткий план действий на случай возникновения проблем с безопасностью.

Нормативные ссылки

Настоящая Политика разработана на основе следующих нормативных документов Общества:

  • Политика информационной безопасности
  • Политика установки обновлений ПО
  • Политика контроля защищенности корпоративной сети
  • Политика обеспечения безопасности при разработке ПО
  • Политика управления информационными рисками
  • Политика инвентаризации информационных активов

Основные положения

Бесконтрольная установка открытого ПО в корпоративной сети сотрудниками Общества не допускается. Контроль установки и обновления открытого ПО осуществляется сотрудниками ОИТ, после анализа данного ПО и принятия соответствующих мер для снижения рисков, сопряженных с его использованием.

Учет используемого в Обществе открытого ПО осуществляется в реестре ПО, формируемого в соответствии с Политикой инвентаризации информационных активов.

Оценка рисков использования открытого ПО осуществляется в соответствии с Политикой управления информационными рисками.

Для снижения рисков использования открытого ПО, в Обществе должны применяться следующие меры:

  • Изучение ПО при выборе. Нужно обратить внимание на репутацию продукта, его историю, узнать о возможных происшествиях, связанных с безопасностью. Также стоит оценить частоту обновлений и активность сообщества. Особое внимание нужно уделить лицензии, под которой распространяется продукт.
  • Проверка надёжности библиотек, от которых зависит продукт. Для поиска вредоносных изменений в программных продуктах могут применяться различные анализаторы программных кодов, статические (SAST) и динамические (DAST).
  • Сканирование приложений на известные уязвимости и оперативное применение доступных исправлений безопасности (патчей, программных коррекций).
  • Оценка зрелости проекта и вероятности его развития/поддержки перед интеграцией в бизнес-процессы и в свой код. Стоит обратить внимание на число разработчиков, сопровождающих проект, и на частоту релизов.
  • Формирование списка приемлемых для организации стандартных лицензий (совместно с юридическим отделом), а также их совместимости с предназначением ПО в организации. ПО с несовместимыми лицензиями или вообще без лицензии нужно выводить из использования.
  • Проверка исходного кода пакетов перед использованием. Разработчики должны проверять исходный код пакетов перед использованием, уделяя внимания таким странным характеристикам, как наличие зашифрованных фрагментов в коде, перехват несвойственных функций и так далее.
  • Проверка цифровых подписей пакетов (при наличии).
  • Использование кода только от официальных поставщиков. Выбирая код от такого провайдера, можно получить техническую поддержку, что снижает риски безопасности.
  • Выстраивать процесс взаимодействия между специалистами СИБ и разработчиками ПО.

Принципы защитного кодирования

Процесс управления жизненным циклом открытого ПО должен соответствовать Политике обеспечения безопасности при разработке ПО.

При выборе открытого ПО для использования в Обществе должна приниматься во внимание степень применения разработчиками данного ПО принципов защитного кодирования.

Принципы защитного кодирования, применяемые для выявления и устранения ошибок и уязвимостей в разрабатываемом ПО, включают в себя следующее:

  • Приоритезация безопасности. Концепция заключается в том, чтобы приоритезировать безопасность на протяжении всего жизненного цикла разработки программного обеспечения. Это помогает обнаруживать и устранять недостатки на ранних стадиях, минимизируя вероятность игнорирования вопросов безопасности из-за сжатых сроков выполнения задач.
  • Проверка входных данных и кодирование выходных данных. Важно проверять все пользовательские вводы и кодировать выходные данные для предотвращения серьёзных уязвимостей.
  • Обработка ошибок и журналирование. Правильная обработка ошибок и ведение журналов является важным аспектом безопасного кодирования. Необходимо избегать раскрытия чувствительной информации в сообщениях об ошибках, которые могут быть видны пользователям.
  • Внедрение элементов управления идентификацией и аутентификацией. Чтобы повысить безопасность и свести к минимуму риск взлома, рекомендуется проверять личность пользователя с самого начала и интегрировать надёжные элементы управления аутентификацией в код приложения.
  • Контроль доступа. Включение хорошо продуманной стратегии авторизации на начальных этапах разработки приложения может значительно повысить общую безопасность.
  • Ведение журнала и обнаружение вторжений. Рекомендуется включить систему мониторинга, которая может обнаруживать и идентифицировать необычные события.
  • Регулярная оценка и пересмотр состояния безопасности. Важно регулярно оценивать и пересматривать состояние безопасности программного обеспечения на протяжении всего жизненного цикла разработки, обеспечивая непрерывное улучшение и корректировку по мере необходимости.

Условия лицензирования открытого ПО

При принятии решения об использовании открытого ПО, сотрудники ОИТ должны проанализировать и зафиксировать в реестре ПО условия его лицензирования, включая субкомпоненты и зависимости.

К используемому в Обществе открытому ПО предъявляются следующие требования по его лицензированию:

  • Доступ к исходным текстам. ПО должно предоставляться с исходными текстами, либо должен быть описан простой механизм получения доступа к ним, например, через интернет.
  • Возможность переработки. Должна быть разрешена модификация ПО, его исходных текстов, их использование в других программах и распространение производных программ на таких же условиях.
  • Отсутствие зависимости от иного ПО. Права, связанные с ПО, не должны зависеть от того, входит ли оно в состав какого-либо иного ПО или распространяется совместно с ним.
  • Отсутствие ограничений на иное ПО. Лицензия не должна накладывать ограничения на иное ПО, распространяемое вместе с лицензируемым ПО.
  • Технологическая нейтральность. Возможность реализации прав пользователя не должна зависеть от какой-либо технологии или стиля интерфейса.

Требования к качеству и обеспечению безопасности открытого ПО

При использовании Обществом открытого ПО предъявляются следующие требования к обеспечению его безопасности:

  • Регулярное тестирование и анализ безопасности. Частота проведения таких мероприятий может варьироваться в зависимости от размера проекта, его популярности и уровня риска.
  • Защита среды и сетевого сегмента, где используется открытое ПО. Это снизит вероятность взлома или использования уязвимостей в открытом ПО при атаке.
  • Применение принципа минимальных привилегий. Принцип ограничения доступа и разграничения прав пользователей помогает предотвратить распространение уязвимостей и потенциальных атак внутри системы.
  • Обучение разработчиков практикам безопасности. Это помогает им понять, как писать безопасный код, выявлять уязвимости и принимать меры безопасности на протяжении всего жизненного цикла разработки программного обеспечения.
  • Учёт регуляторных и лицензионных рисков. Каждое приложение и пакет, несмотря на открытый исходный код, имеет свою лицензию на использование. Риски реализуются, если лицензия оказывается несовместима с использованием приложения по предназначению.
  • Регулярное обновление. Компоненты с открытым исходным кодом, которые не обновляются регулярно, могут сделать программное обеспечение уязвимым к известным уязвимостям.
  • Мониторинг зависимостей. Необходимо регулярно отслеживать и проверять дерево зависимостей ПО, чтобы выявлять и устранять слабые звенья.
  • Использование специальных инструментов для управления зависимостями. Такие инструменты автоматически отслеживают обновления библиотек и зависимостей, проверяя их на наличие известных уязвимостей.
  • Использование специальных инструментов анализа состава ПО (SCA), которые помогают отслеживать компоненты открытого ПО в составе приложения, что существенно с точки зрения безопасности их применения.
  • Использование сканеров безопасности, которые сканируют ПО на наличие уязвимостей, вредоносного кода и устаревших компонентов.
  • Создание чёткого плана действий на случай возникновения проблем с безопасностью.

Анализ уязвимостей открытого ПО, применение сканеров безопасности и других специальных инструментов анализ ПО осуществляется в соответствии с Политикой контроля защищенности корпоративной сети.

Регулярное обновление открытого ПО, тестирование и установка программных коррекций (патчей) и исправлений безопасности осуществляется в соответствии с Политикой установки обновлений ПО.

Полную версию Политики использования открытого ПО можно найти в составе Универсального комполекта типовых документов по информационной безопасности GTS 1035.

Новости

Два способа обеспечить соответствие организации требованиям информационной безопасности. Опыт GlobalTrust

Сен 27, 2024 #152-ФЗ, #719-П, #ISO 27001, #ГОСТ Р 57580, #персональные данные, #политики безопасности от GlobalTrust.ru

Проблема обеспечения соответствия в области ИБ

Нормативная база РФ в области защиты информации развивается и в ширь и в глубь, а вместе с ней постоянно ужесточается административная и уголовная ответственность за нарушение установленных требований. Чтобы прочувствовать всю серьезность данного вопроса можно, например, ознакомиться с КоАП РФ Статья 13.11. Нарушение законодательства Российской Федерации в области персональных данных, предусматривающей миллионные штрафы для юридических лиц и сотни тысяч рублей для граждан и должностных лиц.

И это только одна из множества карательных статей. Еще серьезней обстоят дела в области регулирования безопасности объектов критической инфраструктуры, государственных информационных систем, платежных и банковских систем.

Если крупные бизнесы еще обладают достаточными ресурсами для реализации программ управления соответствием, то средний и малый бизнес порой оказывается совершенно беспомощным , неожиданно для себя сталкиваясь лицом к лицу с непреодолимыми нормативными требованиями в области ИБ. Будь то плановая или внеплановая проверка со стороны регулятора (Роскомнадзора, ФСТЭК, ФСБ, ЦБ РФ, Минфры), участие в тендере крупных заказчиков, заключении контрактов и т.д. Что делать бизнесу в такой ситуации?

Обширный многолетний опыт компании GlobalTrust в приведении организаций в соответствие с нормативными требованиями подсказывает два основных пути (две стратегии) решения данной проблемы.

Стратегия №1. Комплексный подход к обеспечению соответствия

Первая стратегия предполагает основательный подход к обеспечению соответствия требованиям ИБ, при котором организация обращается к специализированным компаниям, лицензиатам ФСТЭК России, для проведения комплекса мероприятий, призванных разом закрыть все узкие места.

Эти мероприятия начинаются с обследования организации, в ходе которого проводится интервьюирование и анкетирование должностных лиц, анализ внутренней регламентирующей документации, процессов, договоров, изучение состава и структуры корпоративной сети организации, инвентаризации и классификация активов, анализ угроз и многое другое.

По результатам обследования формируется внутренняя нормативная база организации в области ИБ, включающая в себя большой массив взаимосвязанных документов, разработанных с учетом существующих особенностей, возможностей и приоритетов организации.

Также производится проработка технических решений по системе защиты информации в формате техно-рабочего проекта с учетом принятых национальных стандартов в области проектирования защищенных систем. Затем осуществляется поставка, внедрение и сопровождение необходимых средств защиты информации и механизмов контроля.

Достоинства комплексного подхода к обеспечению соответствия

С соответствующими перечнями организационно-технических мероприятий можно ознакомиться, например, на сайте GlobalTrust в разделе Услуги. Такой основательный подход к обеспечению соответствия требованиям ИБ способен дать отличные результаты, при условии, что никто никуда не торопиться, а организация-заказчик способна и готова выделить достаточное количество финансовых средств и прочих ресурсов для решения данной задачи.

Ограничения комплексного подхода к обеспечению соответствия

Но во многих случаях ситуация такова, что нормативных требований много, они выглядят сложными и запутанными, а времени и средств на обеспечение соответствия этим требованиям у организации мало, т.к. на носу проверка регулятора, либо крупный тендер, либо заключение контракта с требовательным к ИБ заказчиком, либо просто надо закрыть данную проблему, отделавшись, при этом, малой кровью. Что делать в этом случае?

Стратегия №2. Начинаем с типовых документов

Существует более экономичная и быстрая стратегия обеспечения соответствия нормативным требованиям в области ИБ, позволяющая (на первых порах) пропустить наиболее трудоемкие этапы, связанные с проведением комплексного обследования организации и технического проектирования системы защиты информации). Основывается она на том соображении, что, поскольку нормативные требования и соответствующие проверки их выполнения носят сугубо формальный характер, то и процесс обеспечения соответствия им также должен носить формальный характер. Другими словами, на любое предписание регулятора в организации должны существовать внутренние документы, охватывающие данное предписания и закрывающие соответствующие вопросы (хотя бы на бумаге).

Это, конечно, не означает, что за этими документами ничего не стоит (не будем впадать в крайности), но в 99% проверяется именно наличие необходимой документации и прочих документальных свидетельств выполнения требований. Никто никогда не захочет разбираться в том, каким образом организация выполняет те или иные требования ИБ, если соответствующие процедуры, методы и средства не документированы (ну, разве что за большие деньги).

Таким образом, второй способ обеспечить соответствие требованиям ИБ заключается в использовании, разработанных в GlobalTrust, типовых организационно-распорядительных документов. Существуют наборы документов для операторов персональных данных, для финансовых организаций, для управления рисками ИБ, а также универсальные комплекты, охватывающие самый широкий круг требований по защите информации.

Достоинства подхода к обеспечению соответствия, основанного на использовании типовых документов

Эти документы с минимальными корректировками и дооформлением подойдут практически любой организации сразу и без существенных изменений, позволив обеспечить «бумажное соответствие» с минимально возможными затратами и в минимально возможный срок. После этого, организация сможет уже не торопясь и в меру своих реальных потребностей перейти к реализации процессов и мер, регламентируемых этими документами.

Ограничения подхода к обеспечению соответствия, основанного на использовании типовых документов

Есть здесь одно но. Приобретать комплекты документов за деньги, конечно, не хочется, т.к. существует общее представление о том, что в интернете можно найти все необходимое бесплатно, либо попросить у друзей. Другое дело приобретать за огромные деньги коммерческое ПО, но к этому уже все привыкли и за ценой никто не постоит, а вот с документацией ситуация иная.

Типовые документы – это комплексная услуга

Это так и выглядит, но только если смотреть на типовые документы как на продукт. Если это просто бумажка, которой вы собираетесь прикрыть причинное место, то разницы где вы ее возьмете особой нет. Но дело в том, что прикрыться просто так не получится. Эти бумажки надо правильно оформить, правильно позиционировать, адаптировать к особенностям организации, согласовать со всеми заинтересованными лицами, быть готовым отвечать на вопросы по содержанию этих бумажек и их взаимосвязям, устранить замечания проверяющих, доработать под свои реальные нужды, а затем еще и поддерживать в актуальном состоянии. Ведь за каждым организационно-распорядительным документом (политикой, положением, регламентом и т.п.) стоит набор весьма значимых для организации процессов, процедур, контролей и защитных мер.

Весь этот комплекс мероприятий по обеспечению соответствия требованиям ИБ (в их бумажной части) уже заложен GlobalTrust в стоимость комплектов типовых документов, включая гарантии соответствия требованиям нормативной базы и устранения возможных несоответствий, актуализацию документов и консультирование по их оформлению, доработке и адаптации, консультационную поддержку согласования и внедрения документов.

Выбор подхода к обеспечению соответствия: классика или agile

Развивая аналогию с ПО, где существует классическая (долгая) схема разработки и более легкая и востребованная на практике agile-стратегия, в области обеспечения соответствия требованиям ИБ организация может выбрать классическую схему – комплексный проект, либо agile-подход – типовые документы по ИБ с их последующей доработкой и внедрением.

Александр Астахов, GlobalTrust

Новости

Политики безопасности GlobalTrust для приведения финансовых организаций в соответствие с ГОСТ Р 57580 по усиленному уровню защиты информации

Апр 19, 2024 #ГОСТ Р 57580, #политики безопасности от GlobalTrust.ru

Компания GlobalTrust разработала комплект типовых политик информационной безопасности GTS 57580 (У), адаптированный специально для финансовых организаций, которым необходимо обеспечивать усиленный уровень защиты информации. Комплект включает в себя 10 типовых политик защиты информации, охватывающих все предъявляемые к финансовым организациям требования по обеспечению безопасности информации с учетом рекомендаций Банка России в области стандартизации процессов обеспечения ИБ (PC БР ИББС).

В соответствии с Положением Банка России от 17 апреля 2019 г. № 683-П  кредитные организации должны обеспечивать реализацию требований национального стандарта РФ ГОСТ Р 57580.1-2017 по защите информации для объектов информационной инфраструктуры, используемых для обработки, передачи, хранения защищаемой информации в целях осуществления банковских операций.

Системно значимые кредитные организации, кредитные организации, выполняющие функции оператора услуг платежной инфраструктуры системно значимых платежных систем, кредитные организации, значимые на рынке платежных услуг, должны реализовывать усиленный уровень защиты информации. Остальным кредитным организациям достаточно реализовать стандартный уровень защиты информации, определяемый ГОСТ Р 57580.1-2017.

Политики безопасности из комплекта GTS 57580 (У) также подойдут некредитным финансовым организациям (репозитарии, депозитарии, клиринговые организации, организаторы торговли, пенсионные фонды, брокеры, страховые компании и т.п.), которым в соответствии с Положением Банка России № 757-П, необходимо обеспечить соответствие ГОСТ Р 57580.1-2017 по усиленному или стандартному уровню защиты информации.

Некредитным финансовым организациям с минимальным уровнем защиты информации, подойдет упрощенная версия комплекта политик информационной безопасности GTS 57580 (M). К таким организациям относятся в частности банковские платежные агенты, небольшие пенсионные фонды, управляющие компании и т.п.

Все предоставляемые компанией GlobalTrust комплекты документов обеспечиваются гарантиями соответствия и актуальности, а также технической и консультационной поддержкой их адаптации и внедрения с учетом специфики конкретных финансовых организаций.

О компании GlobalTrust

Компания GlobalTrust с 2003 года осуществляет полное документальное обеспечение и сопровождение систем защиты информации и систем менеджмента информационной безопасности в организациях различного масштаба и сферы деятельности. С момента основания компании ее клиентами стали более 500 российских организаций. Эксперты GlobalTrust реализовали более 200 комплексных проектов по созданию и совершенствованию систем защиты информации.