Контакты
Подписка
МЕНЮ
Контакты
Подписка

Вопрос по выбору возможных угроз - Форум по вопросам информационной безопасности

Вопрос по выбору возможных угроз - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: < 1 2 3 >

Автор: monk1818 | 102102 19.09.2018 09:20
*В сторону немного*

уважаемые коллеги, про банк угроз все вроде стало более-менее ясно....) подскажите...я вот нигде не могу найти ответ на вопрос ( обоснованный) ....в ГИС допустим сказано что нужно пользоваться этим банком фстэка....а в обычной ИСПДн получается если я не буду им пользоваться то это карается?) ну в смысле я допустим при создании модели описал как возможные угрозы только угрозы из методики 2008....(хоть и устаревшие)....будет ли нарушением, если придет проверяющий и посмотрит, что в модели нет угроз из банка ФСТЭК ....с одной стороны документ устаревший и по логике вроде как нужно актуализировать угрозы (по банку ФСТЭК) а с другой....документ полностью соответствует методике 2008 года (вопрос об устаревании рассматриваемых в ней угроз - это другой вопрос).....просто нигде не написано что в обычной ИСПДн я должен использовать банк угроз ФСТЭК....либо я где то упустил....спасибо!)

Автор: malotavr | 102104 19.09.2018 11:19
А никого не должно интересовать, чему там соответствует или не соответствует ваша модель угроз :)

При аттестации теперь должен проводиться анализу уязвимостей. Система не должна получить аттестат соответствия, если в ней есть уязвимости, которыми может воспользоваться нарушитель. Методики анализа уязвимостей еще разрабатываются, но если коротко, то аттестатор должен исходить из своего представления об угрозах, а не из вашего. Если вы смогли закрыться от всех возможных угроз, аттестация прошла успешно, и претензий к вам нет. Если показали возможность реализации угроз, а такая угроза моделью не предусмотрена, то уже неважно, чему соответствует ваша модель - аттестат вы все равно получить не должны.

Так что наказывать вас будут за реальные косяки, а не за бессмысленные бумажки.

Так в теории. На практике аттестаторы, умеющие проводить тестирование на проникновение - это из области фантастики. ФСТЭК заявляет, что некомпетентных будет постепенно давить, но это, опять же, длительный процесс.

Автор: monk1818 | 102107 19.09.2018 11:54
to malotavr. как это не должно интересовать? есть четкое предписание, что модель угроз должна быть в соответствии с методикой ФСТЭКа от 2008 года ибо другой нет.

Автор: oko | 102127 19.09.2018 17:29
to malotavr
При всем уважении, но разные у нас с вами колокольни в этом вопросе по частностям. Как минимум про пен-тест, который далеко не так важен во многих случаях. Впрочем, с <...наказывать вас будут за реальные косяки, а не за бессмысленные бумажки...> полностью согласен...

to monk1818
В третий раз закинул он невод? (с)
Для "чистой" ИСПДн (без примесей, ага) берете Методику 2008 (за основу расчета показателей и оформления итоговой ЧМУ) + Базовую модель (для общего развития) + БДУ.ФСТЭК (за основу классификаторов УБИ). Объединяете, но не смотрите на "потенциал нарушителя", ибо он в Методику 2008 не вписывается никак. Считаете исходную защищенность ИС. Берете банк данных УБИ (тот же БДУ). Оцениваете по каждой УБИ принципиальную возможность ее реализации. Отсеиваете принципиально невозможные. Для остальных экспертным методом в соответствии с Методикой 2008 считаете Вероятность и Опасность реализации УБИ. Делаете выводы об актуальности...
Вместо БДУ можно использовать любой другой банк данных (хоть свой собственный, накопленный за годы работы). Но ФСТЭК настаивает на использовании именно БДУ - внезапно, ага...

ЗЫ Каждые полгода эта тема всплывает на моей памяти - учитесь уже читать внимательно ответы и парсить на их предмет форум...

Автор: monk1818 | 102129 19.09.2018 17:39
to oko.

Благодарю Вас за отклики! Ответ получен. по поводу парсинга и ответов....ну сами же понимаете, что у нас то, что было актуально и считалось за истину полгода назад - сегодня может быть огромной ошибкой...понимаю как устают многие отвечать на одно и то же...надеюсь когда - нибудь тоже стану трехглазым вороном в это сфере))

Автор: sekira | 102140 19.09.2018 22:26
"что некомпетентных будет постепенно давить"
А где критерии? И судьи кто...
Идее в эту тему 10 лет а воз поныне.

Автор: malotavr | 102148 20.09.2018 11:13
sekira,
это позиция Лютикова. Аттестаторы, которые умеют только оценивать соответствие бумагам, ФСТЭК не нужны. Других пока нет, но это не значит, что так оно и должно оставаться.

По поводу "воз и ныне там" - требование о проведении теста на проникновение при аттестации (сформулировано другими словами, но смысл тот же) появилось в 17 приказе только в прошлом году. Понятно, что за год мало кто перестроится, но через год-два за отсутствие опких тестов при внедрении начнут наказывать. По анализу уязвимостей методички тоже разрабатываются.

Автор: oko | 102173 20.09.2018 17:16
to malotavr
<это позиция Лютикова> - официальная? Метатрон, помнится, тоже был гласом божьим, да только где он теперь и чем все кончилось...
<По анализу уязвимостей методички тоже разрабатываются> - про виртуализацию, помнится, тоже так говорилось году в 2012...
<...появилось в 17 приказе только в прошлом году...> - главное, что до сих пор не ясно, в каких случаях де юре обязательно применять 17 Приказ, ага...
И кстати, <сформулировано другими словами, но смысл тот же> - это какой конкретно пункт? Imho, ничего в 17 Приказе по смыслу с пен-тестом согласующегося нет...

Автор: Dfg | 102196 21.09.2018 18:33
Вот Банк России в своё время нарисовал 10 угроз и хватит.
http://www.garant.ru/products/ipo/prime/doc/71259068/

Действительно, чего тонким слоем размазывать на пару сотен угроз. Эти угрозы каждый день появляются , можно и на тысячу раскатать. Издать 4хтомник "CyberВойна и CyberМир ЧМУ".

Автор: malotavr | 102218 22.09.2018 10:05
П. 17.2
"испытания системы защиты информации путем осуществления попыток несанкционированного доступа (воздействия) к информационной системе в обход ее системы защиты информации."

В первоначальном проекте изменений вместо этой формулировки было тестирование еа проникновение, но потом кто-то подсказал, что будет коллизия с ГОСТ 15408 - там "тестированием проникновения" названа верификация уязвимостей.

По виртуализации провели НИР, который показал, что нет там ничего, что требовало бы каких-то специальных функций безопасности.. Поэтому в 17 приказе блок ЗСВ дублирует требования других блоков, а в 239 его вообще нет

Страницы: < 1 2 3 >

Просмотров темы: 4407

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*