Defining and Scoping Continuous Security Monitoring

Definitions
CM can be broadly defined by the following:
Continuous monitoring is ongoing observance with intent to provide warning. A continuous
monitoring capability is the ongoing observance and analysis of the operational states of systems
to provide decision support regarding situational awareness and deviations from expectations.
This definition applies to both Cybersecurity and general IT domains (e.g., network management). In this
publication, we focus on the Cybersecurity domains, but the architecture presented is applicable to
general IT domains as well. Because of the effort and expense involved in creating an effective CM
solution, such solutions should be leveraged for as many uses as possible. We strive in this publication to
support use across both Cybersecurity and IT management domains.
To focus on Cybersecurity, we now redefine CM in the context of security risk management using the
NIST Special Publication (SP) 800-137 definition:
Information security continuous monitoring is defined as “maintaining ongoing awareness of
information security, vulnerabilities, and threats to support organizational risk management
decisions.”
Note: The terms “continuous” and “ongoing” in this context mean that security controls and
organizational risks are assessed and analyzed at a frequency sufficient to support risk-based security
decisions to adequately protect organization information.
For purposes of designing a technical reference architecture in this publication, we provide a more
granular and process-focused description. From this we extract essential characteristics for CM
implementations.
Continuous security monitoring is a risk management approach to Cybersecurity that maintains a
picture of an organization’s security posture, provides visibility into assets, leverages use of
automated data feeds, monitors effectiveness of security controls, and enables prioritization of
remedies.
The essential characteristics for CM that can be derived from this definition are the following:
• Maintains a picture of an organization’s security posture
• Measures security posture
• Identifies deviations from expected results
• Provides visibility into assets
• Leverages automated data feeds
• Monitors continued effectiveness of security controls
• Enables prioritization of remedies
• Informs automated or human-assisted implementation of remedies
These characteristics support the EA view of CM provided in Section 3.
NISTIR 7756, Second Draft – January 2012
10
2.2 Scoping and External System Interfaces
It is the intent of the architecture presented in this publication to clearly scope and bound our technical
CM solution. Thus, we make a delineation in our model between what capabilities a technical CM
implementation provides (e.g., providing analysis of events) and the external systems to which it
interfaces. Multiple external systems will interface with any CM capability. For example, CM
implementations must interface with asset management systems for a CM capability to determine what
assets exist.
These external systems and technologies can be categorized to include at least 11 domains (see Figure 1)
that could interface with a CM capability.9
Figure 1. Continuous Monitoring Data Domains
Although the tools supporting these domains are not a core part of the technical CM capability, they need
to be instrumented to interface with CM solutions. For this reason, they are included in our model but are
clearly shown as external entities so that we can describe the needed interface requirements.
9

)))))))))))))))))))

Вот это реальный распил денег ((( настолько глупо и не проффесионально

В России до сих пор так и не заработала система мониторинга электронных СМИ, которая должна была появиться в стране до конца прошлого года. По мнению представителя Роскомнадзора Михаила Воробьева, виновата в этом компания-разработчик, не справившаяся с техническим заданием ведомства. Об этом сообщает CNews.

О создании системы интернет-цензуры стало известно еще в марте прошлого года, напоминает CNews. По словам представителей Роскомнадзора, данный проект понадобился для того, чтобы отслеживать появление сомнительных материалов в онлайн-изданиях, число которых растет ежедневно. Согласно техническому заданию, система должна была уметь проверять текстовые и графические материалы, а также аудио- и видеозаписи на предмет нарушения законодательства СМИ. Контракт на выполнение заказа получила компания "ДатаЦентр", из всех участников тендера предложившая минимальную цену за выполнение работ - всего 4,6 миллиона рублей вместо 15 миллионов рублей, запланированных чиновниками на данный проект.

В ноябре 2011 года Роскомнадзор получил программно-аппаратный комплекс (ПАК), который позволит проверять интернет-СМИ на предмет экстремистского и другого противозаконного контента, который презентовала компания "ДатаЦентр". ПАК представлял собой сервер, установленный в здании Роскомнадзора, и программное обеспечение, которое на тот момент дорабатывалось.

Мощности техники хватало, чтобы в режиме реального времени отслеживать все публикации и комментарии в каждом из официально зарегистрированных интернет-СМИ. Такая система должна была начать эксплуатироваться уже к концу декабря прошлого года. Однако этого не произошло.

"У приемочной комиссии был ряд замечаний к системе, однако еще до конца декабря компания их устранила и предоставила ведомству соответствующий акт. Несмотря на это, работу так и не приняли, и 30 декабря Роскомнадзор направил нам письмо с обоснованием, которое мы еще не получили", - комментирует CNews гендиректор "ДатаЦентра" Илья Коробейников.

Что за - одно и тоже каждый год -у Минсвязи раннее весеннее обострение

Необходимо понять, что установка систем контроля IMEI заставит операторов доумощнять сеть сигнализации SS7, и за это будут платить абоненты.

Минкомсвязи не планирует "привязывать" сим-карты к мобильным телефонам, сообщаетИТАР-ТАСС со ссылкой на представителей ведомства.

Мобильный номер абонента никак не будет связан с индивидуальным идентификатором аппарата (IMEI), пояснили в Минкомсвязи. Вместо этого планируется создать для операторов базу IMEI, чтобы пресечь использование краденых сотовых телефонов.

Решение о том, вносить ли в базу IMEI своего аппарата, будет принимать сам абонент на добровольных началах. Если идентификатор есть в базе, то в случае кражи телефона его законный владелец может сообщить об утрате, и аппарат попадет в "черный список". Повторно подключить такой телефон к мобильной сети на территории РФ не удастся.

Эти ссылки уже вызывают смех)

Неужели теперь каждый чиновник при любом сбое, будет орать, что эта злобные хаЦкеры и атака типа DDoS ))) Работали бы лучше и меньше воровали -

Сайт Федерального космического агентства России подвергся DDoS-атаке в ночь с воскресенья на понедельник, 16 января. Об этом сообщает "Интерфакс" со ссылкой на начальника пресс-службы Роскосмоса Алексея Кузнецова.

По его словам, из-за атаки сайт ведомства не смог своевременно сообщить о факте падения "Фобос-Грунта". Утром 16 января на веб-ресурсе Роскосмоса висела стандартная "заглушка" от хостинговой компании "Мастерхост", которая гласила: "Виртуальный сервер не существует или временно не функционирует".

очень интересный подход - криптография как сервис

HSM Portal - Cloud Security

The Cryptomathic HSM Portal is a cryptographic service which allows HSMs to be securely shared across a wide variety of applications in a cloud-like environment - cutting the total number of HSMs needed and making huge cost savings. It ensures uniform integration of various HSMs into a high-performance cluster, which gives excellent availability and load-sharing capabilities. In short it now becomes possible to hot swap HSMs both to replace and move between HSM manufacturers with zero downtime.

The flexible and interoperable system architecture enables all applications in need of data security or cryptography to be seamlessly integrated into a new or existing cloud of HSMs. HSM-level security can now be applied to applications, previously viewed as being too costly to implement. With the ability to securely share HSMs in the cloud, combined with centralised and remote management, HSM Portal now provides the world's first viable solution for crypto as a service.

Enhance ICS-CERT Security Advisories with Vulnerability Scoring

The purpose of this paper is to describe the developing field of security automation technology, particularly the Security Content Automation Protocol, and applications of those technologies to improving the cyber security of the Smart Grid.  The audience for this document includes individuals responsible for maintaining or verifying the security of Smart Grid systems.  This includes asset owners, system integrators, security consultants and vendor product managers.

The Smart Grid is a rapidly developing technological domain containing both Information Technology (IT) systems and Industrial Control Systems (ICS), and while these domains are known to require different technical security controls to protect their assets, the overall process of risk management for IT and ICS systems is similar. 

First, we describe security frameworks applicable to the Smart Grid and demonstrate that they all require broadly similar activities, described here as Asset Identification, Security Planning, System Assessment and Continuous Monitoring.  This paper reflects current research in the field of Smart Grid security, and we discuss security requirements such as the North American Electric Reliability Corporation’s (NERC) Critical Infrastructure Protection requirements, the International Society of Automation’s ISA99 standard for cyber security of automation and Industrial Control Systems and the National Institute of Standards and Technology’s Interagency Report (NISTIR) 7628 Guidelines for Smart Grid Cyber Security and demonstrates the ways in which these documents contain activities that map to the processes in the Department of Energy’s draft Electricity Sector Cybersecurity Risk Management Process Guidelines, with additional references to documents developed by the National Institute of Standards and Technologies (NIST) pursuant to the Federal Information Management Security Act of 2002 (FISMA). 

Next, the paper describes the Security Content Automation Protocol (SCAP) at a high level, discussing the different languages, reporting formats, enumerations and data feeds that comprise the protocol, and provides an overview of currently validated SCAP products.

Then we provide a number of specific technical recommendations that could be undertaken to promote the use of SCAP to automate security processes in the Smart Grid and Industrial Control Systems more broadly.  These recommendations include:

• Adopt the Asset Identification Format for Smart Grid Component Inventories
• Enhance ICS-CERT Security Advisories with Vulnerability Scoring
• Use of Asset Reporting Format for Interoperable Compliance Reporting
• Utilize Common Platform Enumeration
• Utilize Common Vulnerability Enumeration
• Extend OVAL Support to Smart Grid Systems
• Automate Smart Grid Continuous Monitoring
• Develop Security Checklists for Smart Grid Systems

The document then offers some conclusions and provides a list of references and web resources for additional information.

Нашел интересный документ про GRID

Automating Smart Grid Security

Applications of the Security Content Automation Protocol to the Smart Grid for Risk Management Activities

Date:  December 7, 2011

Version: 1.4

Prepared for

National Institute of Standards and Technology

 Under Contract Number: SB13110CN0101

Интересное мнение Минсвязи по определению международной безопасности

Для информации

19 января 2012 г. в 14.00 в офисе АДЭ - заседание рабочей группы "Стандартизация информационной безопасности"

На заседании состоится обсуждение проектов вкладов администрации связи Российской Федерации для представления на совещании ИК 17 МСЭ-Т с 20 февраля по 2 марта 2012 г.
Ведущий заседания- А.С.Кремер, председатель ИК17 МСЭ-Т
На заседание приглашаются члены рабочей группы и заинтересованные представители организаций - членов АДЭ.

Надо брать

http://suchen.mobile.de/fahrzeuge/showDetails.html?lang=ru&id=155849425&pageNumber=1&__lp=35&scopeId=C&sortOption.sortBy=searchNetGrossPrice&makeModelVariant1.makeId=9000&makeModelVariant1.modelId=30&makeModelVariant1.searchInFreetext=false&makeModelVariant2.searchInFreetext=false&makeModelVariant3.searchInFreetext=false&minFirstRegistrationDate=2008-01-01&damageUnrepaired=ALSO_DAMAGE_UNREPAIRED&export=ALSO_EXPORT&tabNumber=2

Федеральная служба Российской Федерации по контролю за оборотом наркотиков

Вот хочу показать выдержки из проекта Соглашения. По отказу в Питере была информация о возбуждении уголовных дел против операторов.

Вот -

СОГЛАШЕНИЕ

о взаимодействии

Федеральная служба Российской Федерации по контролю за оборотом наркотиков и организации, осуществляющие свою деятельность в сфере Интернет индустрии, указанные в приложении №1 к данному соглашению, осуществляющие свою деятельность на территории Российской Федерации, именуемые в дальнейшем Стороны,............

Статья 2.

Действия в отношении противоправного контента.

2.1. Федеральная служба Российской Федерации по контролю за оборотом наркотиков (ФСКН) непосредственно, а также силами уполномоченных общественных организаций, осуществляет следующие действия в отношении противоправного контента:

А) поиск (мониторинг) информации и прием заявлений, обращений граждан (в том числе на условиях анонимности) о противоправном контенте;

Б) проверку доступности противоправного контента;

В) категоризацию противоправного контента в соответствии с внутренними нормативными документами и Регламентом о взаимодействии;

Г) установление места размещения противоправного контента;

Д) уведомление хостинг-провайдеров, администраторов Интернет-ресурсов, регистраторов доменных имен о факте размещения (делегирования доменного имени) ими противоправного контента;

Е) контроль доступности противоправного контента, в отношении которого было послано такое уведомление;

Ж) осуществляет в отношении противоправного контента действия, предусмотренные уголовным и уголовно-процессуальным законодательством Российской Федерации, а также иными законами и нормативными актами (в том числе в области связи, в области информации).....................

по получении уведомления решения суда в течение 48 часов при наличии технической возможности блокируют публичный доступ к противоправному контенту, адрес которого (URL) содержится в решении уведомлении, о чем незамедлительно оповещают отправителя уведомления;

Е) в соответствии с законодательством РФ предоставляют ФСКН информацию о владельце противоправного контента (администраторе сайта\домена), а также собственно доступ к противоправному контенту для совершения действий, предусмотренных законодательством;

О требованиях по обеспечению защиты информации при осуществлении переводов денежных средств

Вот тоже занятный документ. Разработан ЦБ РФ (проект). Операторы связи, как участники НПС, замечания то дали, но пока тишина-учли ли их ))))

Чистый Интернет -АиФ

презентация по лояльности

Добрый вечер коллеги, я все о том , что хочет ввести в 2012 Лига безопасного Инета - по консолидации и саморегулированию отраслевого сообщества в целях формирования в России безопасной интернет-среды и защиты пользователей от незаконного и опасного контента, а так же участвует в рабочих группа по созданию законов и подзаконных актов, направленных на создание юридической базы по вовлечению операторов связи в процесс создания доверенного Интернета.

        При этом надо отметить, что все прошлые годы  процесс по созданию нормативной базы в данной области еще не завершен. 

       Также  существующие на рынке системы, препятствующие распространению вредоносных программ, SPAM\SPIM\SPIT, продуктов функционирования бот-сетей, и иной вредоносной и опасной нагрузки в настоящее время не решают указанной проблемы и неэффективны исходя из принципа «цена-качество».

        Наше мнение -  до утверждения изменений в законы и подзаконные акты в данной области, использовать существующий практический опыт операторов связи при обеспечении защиты пользователей в сети Интернет.  

P.S. Также службе по наркотикам хочет со всеми соглашение заключить, также по до судебному закрытию "плохих" сайтов.

Архитектура национальных центров безопасности функционирования IP-сетей

Презентация по кибербезопасности