СОИБ. Лучшие практики. 20 наиболее важных мер ИБ от CIS

Как-то я пропустил момент, когда Twenty Critical Security Controls for Effective Cyber Defense или Top 20 от SANS превратился в The Center for Internet Security (CIS) Critical Security Controls for Effective Cyber Defense. Произошло это между версиями 4.1 и 5. Далее для повышения эффективности объединились некоммерческие организации Council on CyberSecurity(CCS) и the Center for Internet Security (CIS). А октябре 2015 года вышла уже версия 6.0

Принципы и основная структура документа не изменились. Подробности о них можно почитать одной из предыдущих статей этого блога. Давайте посмотрим, что существенного изменилось:

       

Убрали категорирование подконтролей по сложности и цели (Quick wins, Visiblity, Improved, Advanced)

       

Добавили категорирование подконтролей по области защиты: System, Network, Application

       

Существенно повысили приоритет меры “контролируемое использование административных привилегий” (Controlled Use of Administrative Privileges) – с 12 на 5 место

       

Удалили из числа 20 наиболее важных меру “Разработка защищенной сети” (Secure Network Engineering), которая заключалась в разработке и применении дизайна сети с разделением на зоны разной степени защищенности

       

Добавили новую меру в число наиболее важных “Безопасная работа электронной почты и web сайтами” (Email and Web Browser Protections), которая включает правильную настройку email клиентов и web браузеров, фильтрацию и аудит web и email трафика

       

Для простоты планирования и оценки пронумеровали все подмеры вторым уровнем (CSC 1.1, CSC 1.2, … , CSC 2.1, CSC 2.2, …)

       

Разделы мер, связанные с измерениями (Metric) и тестированием (Test) вынесли в отдельный документ A Measurement Companion to the CIS Critical Security Controls. Измерения ИБ стали более четкими, с разделением по подпунктам (1.1, 1.2, …), с указанием рекомендуемых диапазонов значений для разных уровней риска.

       

Поменялся (а точнее потерялся) рекомендованный план применения Top 20. В версии 4.1 предлагалось начать с обязательного внедрения первых 5 мер + наиболее быстрых и эффективных подмер (quick wins) из всех мер, далее нужно было запланировать и поэтапно внедрять более сложные подмеры, обеспечивая при этом их постоянный мониторинг и измерение. В версии 6.0 говорится о необходимости внедрения в первую очередь первых 5 мер (связано с национальной публичной компанией Cyber Hygiene, в которой более простым языком описана необходимость и применение первых 5 мер, и которая рассчитывает на максимально широкий круг пользователей), далее порядок применения на усмотрение организации, но нужны все 20 мер.

Что осталось прежним: концепция, заключающаяся в том, что внедрение этих Top 20 мер защитит от большинства угроз ИБ; меры и подмеры отсортированы в порядке приоритета и в таком же порядке их предлагается внедрять (сначала CSC 1 потом CSC 2 … ,  сначала CSC 1.1 потом CSC1.2 ….); простота мер, их небольшое количество, четкие схемы взаимодействия, простота измерений и проверки, а так-же большое количество организаций и экспертов работающих над совершенствованием документа – делают его полезной лучшей практикой.

К сожалению, для версии 6.0 пока нет таблицы соответствия мерам NIST800-53, а эту таблицу я использовал для построения соответствия с мерами из приказов ФСТЭК 17, 21, 31.  Но думаю, что в ближайшее время обновлю таблицу из предыдущей статьи.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Карта утечек: к Яндекс.Еде добавили ГИБДД, СДЭК, Билайн и Wildberries

Сайт слитых данных сервиса доставки, наделавший весной много шума, существенно расширил свой арсенал. Адреса и телефоны клиентов “Яндекс.Еды” теперь дополняют данные ГИБДД, СДЭКа, Avito, Wildberries, «Билайна» и ВТБ. В двух частях представлены досье на известных персон.

 

 

Создатели сообщили, что на новую версию сайта их подтолкнул ничтожный размер штрафа, выписанный сервису доставки в прошлый раз.

“Суд оштрафовал "Яндекс.Еду" на 60 тыс. руб. за утечку данных клиентов, т.е. наши адреса доставки и личностные данные стоят 0.009 руб. за пользователя (6397035 пользователей)”, — говорится на сайте. 

Искать информацию можно по одной из трех опций: номеру телефона или фамилии, просто “тапнуть” точку на интерактивной карте. Больше всего данных по Москве — 22 000 записей. Автор статьи нашла по своему номеру сведения «Билайн», интернетом которого пользовалась 8 лет назад, а также адрес доставки СДЭК примерно того же периода.

Найти себя по фамилии сложнее. Алгоритм не позволяет фильтровать данные по имени и отечеству. Так на “Афанасьев” система выдала 40 000 записей. В найденных досье значатся марка, цвет, номера и год регистрации автомобилей. Часть профилей содержат данные маркетплейса Wildberries: ФИО, телефон, электронную почту и адрес доставки. В некоторые досье внесены имена и адреса электронной почты аккаунтов «ВКонтакте».

В обновленной версии теперь отдельно содержатся сведения о публичных персонах. Они разбиты на две части. Можно узнать, что за полгода Ксения Собчак потратила на доставку еды 23 тыс. рублей, а Елизавета Пескова почти 90 000.

В сервисе Яндекса Forbes прокомментировали, что «никаких новых инцидентов не фиксировали”.

“Предпринимаем все возможное, чтобы минимизировать распространение информации злоумышленниками — добиваемся блокировки и разделегирования ресурсов, на которых появляется база», — говорят представители "Яндекс.Еды".

Также пресс-служба сервиса добавила, что компания работает не только над общим усилением информационной безопасности, но и «над инструментами, которые дадут пользователям возможность видеть, какие данные хранятся в системе, и удалять их по своему желанию».

 

В Wildberries и Avito утечки отрицают, оправдывая опубликованный “урожай” парсингом. Роскомнадзор ситуацию пока не комментировал.

Интересно, что на сайте есть раздел “Обратная Связь”. Создатели обещают удалить персональные данные из системы, если им позвонить. Телефон указан там же. Журналистке Anti-Malware.ru ответил мужчина. Он был удивлен звонку и заявил, что о карте данных не знает и отношения к ней не имеет.

Предыстория: Суд оштрафовал “Яндекс.Еду” в конце апреля. Сама утечка произошла в конце февраля. 1 марта сервис заявил, что слив ПДн клиентов случился по вине инсайдера. Эта база и стала основой интерактивной карты, которая сегодня расширилась.

В начале мая мы выпустили большой материал “Утечка данных пользователей Яндекс.Еды: новые угрозы”, в котором подробно разбираем причины и возможные последствия инцидента.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru