Выявление актуальности угрозы - Форум по вопросам информационной безопасности
Выявление актуальности угрозы - Форум по вопросам информационной безопасности
| Автор: all good | 88704 | 03.03.2018 10:17 |
|
to oko
я только недавно от регуляторов по согласованию модели... подход следующий: есть банк данных угроз и каждая угроза должна быть актуализирована с указанием причин отнесения к неактуальным, в том числе к той или иной вероятности реализации, нет необходимости обосновывать только угрозы связанные с неиспользованием технологий в которых УБИ могут возникать (суперкомпьютеры, грид - системы) сразу скажу, что администраторы системы относятся к внутренним нарушителям и они актуальны, другого не дано (непреднамеренные угрозы хотя бы), а вот реализация угрозы зависит от орг. и технических мер |
|
| Автор: oko | 88707 | 03.03.2018 17:42 |
|
to all good
Не берегут они русский лес... Я вообще формирую адаптивные мультиплекативные наборы (грубо говоря, группирую УБИ), потом отсекаю явно невозможные (по технологии), невозможные по потенциалу актуального нарушителя, по иным признакам, включая первичные меры защиты. В сухом остатке - 30-40 'сгруппированных угроз' (например, УБИ загрузки нештатной ОС включает в себя все УБИ из БДУ, прямо относящиеся к угрозам такого типа). Так проще анализировать и описывать. Но это только для ГИС и в рамках неутвержденной Методики15. Так что все равно потом приходится при согласовании объяснять и доказывать. С другой стороны, раз ФСТЭК не потрудился утвердить норм.методику + разъяснить однозначно для всех принйипы работы с БДУ, постольку имею полное право, imho... С ИСПДн сложнее, но подход, пожалуй, аналогичный за вычетом вопросов нарушителя и со ссылкой на Базовую модель в большей степени, чем на БДУ... Внутренний нарушитель аля админ или полноценный юзер без 'незнания, случайности' - это яма. Как НДВ, ага. И редко кто желает из нее выбираться. И, поскольку крайнее слово всегда за Заказчиком, постольку навскидку вспомню только пару объектов, где такого нарушителя ризнали актуальным и после от него защищались... |
|
| Автор: all good | 88716 | 04.03.2018 12:02 |
|
На самом деле в органах в которых есть согласованная базовая модель угроз, учитывающая технологический уровень и политики информационной безопасности, труда не составит разработать частную МУ при создании допустим еще одной ИС (сервиса)
Проблема связана с разработкой именно базовой МУ, которой и не уделяется необходимое внимание или она уже мхом поросла, изменения не вносятся и тд Так вот если базовой МУ для ИСПДн (может быть единой для всех информационных систем, не только в которых обрабатываются ПД) нет, придется по сути согласовывать частные....с ГИСами уже сложнее, там как не крути и модель угроз и ТЗ придется согласовывать... to oko Может я некорректно написал, но такой подход (описанный тобой) самый рабочий, регулятор об этом и говорит, что угрозы лучше сгруппировать и для групп описать неактуальность УБИ. Но вот неактуальность нарушителя в соответствии с его потенциалом определяетя 17 приказом в явном виде в соответствии с классом защищенности и по желанию оператора (заказчика) может быть повышен потенциал нарушителя, но актуализация угроз в зависимости от потенциала нарушителя уже относится к составлению частной МУ, так как, повторюсь, зависит от класса защищенности. Как перейти с 21 на 17 приказ?официальная позиция ФСТЭК, все информационные системы госов - государственные, у Минкомсвязи свои соображения в этой области, поэтому ФСТЭК устраивает, что ИС иные, но система защиты строится по 17 приказу |
|
| Автор: oko | 88724 | 04.03.2018 21:47 |
|
to all good
Из практики адекватных Базовых моделей не встречал. Поэтому все усложнялось - да, необходимостью согласовывать ЧМУ, собранную с 0... Про нарушителя имел в виду, что в 17 Приказе формулировка потенциала нарушителя (после изменений, внесенных 27 Приказом) несколько отличается от формулировок, приведенных как в Методике15, так и, внимание, в БДУ. Что, чисто юридически, теперь делает невозможным адекватно составить ЧМУ и другие документы, рассматривающие нарушителя, в контексте ГИС... И да, <официальная позиция ФСТЭК, все информационные системы госов - государственные> - откуда такая информация? То самое Постановление Правительства уже утвердили? Вроде как было на уровне разговоров, так и осталось (пусть и официальных разговоров направления "ФСТЭК - лицензиат", ага)... |
|
| Автор: all good | 88731 | 05.03.2018 08:17 |
|
to oko
ЦА ФСТЭК когда собирал у себя озвучил, что даже Консультант - ГИС, но разъяснения по вопросу отнесения ИС к ГИС они не дают, отправляют в Минкомсвязь, в том и парадокс...Минкомсвязь же относит к ГИС исключительно те системы, которые соответствуют ГИС в соответствии с 149 фз, но свою позицию не навязывают..., оставляют на откуп госам, получается, что ГИСом является система, создаваемая в соответствии с ФЗ или ПП, ну или по желанию самих органов, это с юридической точки зрения, по факту ФСТЭК интересует только система защиты информации и 187 фз с поправками в УК недвусмысленно об этом говорят |
|
| Автор: all good | 88732 | 05.03.2018 08:25 |
|
сразу конечно оговорюсь..., если такие системы относятся к КИИ, но это отдельная тема
|
|
Страницы: < 1 2 3
Просмотров темы: 6479
Добавить сообщение
Copyright © 2018-2022, ООО "ГРОТЕК"