Потенциал нарушителя в Модели угроз - Форум по вопросам информационной безопасности

to поИБ
Давай-те еще раз уточним, правильно ли я понимаю ситуацию. Вы предлагаете в ГИС К1 вне зависимости от явного "должны обеспечивать защиту от УБИ, связанных в высоким потенциалом нарушителя" через МУ обосновать отсутствие мотивации у Н4 (возможно, и других) и, как следствие, отказ от актуализации соответствующих УБИ из перечня БДУ? Потому что "нарушители определяются методикой, а не приказами ФСТЭК"?
Если так, то попрошу вас честно ответить на вопрос: вы моделирование УБИ ради процесса моделирования проводите или все-таки для оптимизации/разработки/обеспечения системы защиты оконечного объекта информатизации в дальнейшем?

ЗЫ Тащем-та, вместо цитирования килотонн текстов регулятора, проще давать короткую ссылку или номер нужного документа. Нормативка-то открытая, да и читать тут, думаю, каждый умеет. Обратить внимание на какой-то конкретный момент - одно дело. Но копипастить пункты и наименования документов, особенно содержащих непечатные символы переноса и т.п. (которые движок форума не переваривает) - это попросту бессмысленно...

oko, отвечаю на вопрос по моделированию: -В обоих случаях, но первый вариант ("ради процесса моделирования") не совсем корректный, т.к. финальное детище то, для чего мы все же эти угрозы моделируем - доработка/разработка системы защиты (интерпретирую это так, у меня 3 подхода: 1) программа "минимум", 2) программа "максимум", 3) "минимум"+, из которых обязательным является соблюдение требований регулятора не завышая требования к системе.). В виду того, что предпочтения, как мы знаем, у заказчика бывают разные и весьма специфические, в том числе повышенные требования к системе защиты в целом, либо в отдельных её частях... приходится учитывать все варианты при моделировании/проектировании, в том числе компромиссные решения. Если мы говорим о формулировках, то я указываю то, как читать не вырывая из контекста.
"явного "должны обеспечивать защиту от УБИ, связанных в высоким потенциалом нарушителя"": -не поверите, я не спорю с требованиями, что принятые меры и средства защиты должны обеспечивать защиту для соответствующих классов и связанных с ними потенциалами нарушителей. Подчеркну как раз по основам, по-дефолту, принцип построения системы защиты строится на таких понятиях как, например, целесообразность, достаточность и эффективность принятых мер, достаточность для... в первую очередь выполнения требований регулятора, во вторую уже для предпочтений заказчика, при этом, занижать требования к системе - не имеем права, завышать - сколько угодно (чем бы дитя не тешилось...).
Можно воспринимать как оказанную любезность, в виде двухформатного изложения (сталкивался с разным контингентом людей, длительной писаниной мне заниматься некогда и излагаю в форме наиболее понятной, надеюсь). "Лишними" уточнениями, как было отмечено, подчеркиваю на чём заостряю внимание, а при разборе приходится заострять внимание на всем. oko, ценю выборочные ответы.

to поИБ
А, любезности... ну, допустим...
Тогда у меня еще одна просьба (ибо модуль экстрасенсорики подсказывает одно, модуль юриспруденции другое, а модуль семантического анализа вообще зависает после взгляда на простыню с припиской про длительную писанину, ага) - уточните, пожалуйста:
1. Любая Модель для ГИС К1 обязана делать Н4 нарушителя актуальным вне зависимости от, не так ли?
2. При создании любой Модели под ГИС К2 допустимо по умолчанию (и, при отсутствии железобетонных доказательств) вообще не рассматривать Н3-Н4 нарушителей, не так ли?
Собственно, конкретно и коротко смысл основных моих претензий к существующей ситуации, на базе которых и сложился наш с вами увлекательный диалог, ага...

ЗЫ А то ходим вокруг да около, мотивацию поминаем, нечто невнятное про методику вместо приказов, частных методрекомендаций "другого" регулятора при разборе несуразицы с обозначением нарушителей теперь и т.д...

oko, вы со своими вопросами вошли в цикл, ответы на все перечисленные вопросы указаны выше, в т.ч. с разбором последовательности определения нарушителей и угроз..
Пункты 25 и 23 Приказов 17 и 31, соответственно, на которые ссылаетесь, не указывают условие соответствия для определенного КЗ - соответствующего потенциала нарушителя. Данные пункты о том, что организационные меры и средства... должны обеспечивать.. Переформулирую: меры и средства должны защищать от определенного пула угроз. Пул угроз, кстати, мы определяем в соответствии с той же Методикой. Требование не к КЗ, а к мерам и средствам защиты. (в том, что вас не устраивает формулировка в таком виде мы уже разобрались)
Где увидели, хотя бы близко к тексту "для 1 класса защищенности должны быть актуальны нарушители с высоким потенциалом"? (рит.впрс.) Напомню, решение повышения уровня/класса защищенности, учета возможностей нарушителей с более высоким потенциалом от определенного ранее - волевое-аргументированное либо параноидальное аргументированное решение.
В формулировках всё предельно ясно разъяснено, зачем тогда вообще говорить об определении потенциала нарушителей в 14.3 Приказа ФСТЭК №17? (рит.впрс.)
Рекомендую поговорить с хорошим психологом про ваш, вероятно неудачный, "конец года" мне не интересно ваше моральное/этическое состояние, тем более это не относится к теме разговора, также как и необъяснимая агрессия/напряжение.. замечу, я теряю интерес к подобному формату, дальнейшие неаргументированные позиции рассматривать не планирую. Позиция разъяснена и обоснована - читайте документы не вырывая из контекста (подсказываю, у каждого подпункта есть верхнеуровневые пункты, и часто, похожие найденные слова/фразы, очевидно и логично, рассматриваются вкупе с основным текстом, а не вырезанными из контекста, именно поэтому, не могу согласиться с позицией, что указанные пункты 25 и 23 говорят нам о соответствии для КЗ соответствующего потенциала нарушителя, что в результате обесценивало бы работу по моделированию нарушителей в рамках настоящей методики)

*в сторону*
Нашла коса на камень - идет война на память лет... (с)
Без шуток, обожаю обороты про вырывание из контекста и про "ответ дан выше - вы что, читать не умеете?". А когда им (оборотами) владеют все участники - это ж праздник какой-то - бесконечный цикл переливания из пустого в порожнее, приносящий кучу лулзов, и в котором каждый остается при своих. Откровенно жаль его (цикл) разрывать, но все-таки попробуем...

to поИБ
Т.е. не согласны. Подозреваю, с обоими пунктами, пусть явно сказано было только про первый, а дальше пошли отсылки к психологам (хотя в упор не понимаю, в какой альтернативной реальности эти психологи-волшебники живут - то ли у них декабрь еще не наступил, то ли они могут его отсрочить - но не суть)...
imho, любезный, вам стоило не трижды цитировать упомянутые пункты нормативки, а коротко и с пониманием (надеюсь) дела уточнить: регулятор уточнил "организационные", а не "все применяемые" меры защиты. Тогда и вопрос обязаловки такого-то класса нарушителя для рассматриваемого ОИ вроде бы автоматически снимается...
Итого последовательность получается: "обследовали ОИ" -> "определили макс.класс нарушителя внутреннего" -> "определили макс.класс внешнего" -> "выбрали пул УБИ из БДУ, исходя из классов нарушителей" -> "актуализировали УБИ (с учетом уязвимостей, интерфейсов, сценариев, принятых мер защиты и т.д. по Методике-2021)" -> "разработали техн.часть КСЗ, исходя из актуализированных УБИ" -> "разрботали орг.часть КСЗ аналогично, но с учетом обязаловки регулятора (для той же ГИС К1 - учли УБИ, связанные с активностью нарушителя Н4)". Верно?
Тогда, pro bono commune, растолкуйте мне, далекому от части ИБ без правовых основ (опустим этот нюанс, ага), пару моментов на примере той же ГИС К1:
1. Если по выводам Модели обосновано наличие нарушителя, допустим, не выше Н2, и на этапе проектирования КСЗ все (подчеркиваю) УБИ удалось перекрыть техн.мерами, то какие из них следует и следует ли перекрывать орг.мерами? Причем орг.мерами, направленными против Н4 по обязаловке, предусмотренной регулятором...
2. Каким волшебным способом орг.меры должны противодействовать нарушителю, который (цитирую Методику-2021) "Имеет возможность долговременно и незаметно для операторов систем и сетей реализовывать угрозы безопасности информации"? Только про мониторинг 24/7 не надо, пожалуйста, - инструменты мониторинга (техн.часть КСЗ) реализованы против возможностей Н2 и не учитывают, например, ЭУНПИ и НДВ, т.е. априори активность Н4 не выявят...
И к вопросу обесценивания моделирования: если результаты Модели говорят, допустим, об актуальности группы УБИ, связанных с Н2 (и неактуальности Н3-Н4 и связанных с ними УБИ), а регулятор требует орг.мер от Н4, то в целом (комплексно) для оконечного защищаемого ОИ зачем тогда нужна такая Модель?

Сразу укажу собственное мнение: для решения подобных противоречий не следует заниматься ерундой, а читать нормативку всю и комплексно - и еще на этапе моделирования учитывать обязаловку, предусмотренную регулятором для актуализации нарушителей. Правда, тогда придется продираться сквозь новые противоречия, как-то:
- ТКУИ, которых вроде бы по умолчанию быть не должно (с позиции отсутствия обязаловки техн.мер), но вроде как препятствовать им следует (с позиции обязаловки орг.мер);
- ЭУНПИ, которые Н4 может внедрять (согласно Методике-2021), но защищаться от них по умолчанию следует только организационно (с позиции обязаловки требований).
Но это уже совсем другая история. Нам бы точки над i пока в принципиальных вопросах расставить, ага...

ЗЫ Взяли себе, понимаешь, за modus operandi "тов. oko не устраивает формулировка", да только сути проблемы и вытекающих противоречий так и не уловили...

Uno "...регулятор уточнил "организационные", а не "все применяемые" меры защиты.": - п. 12. Приказа ФСТЭК №17, п. 25. далее.. что там регулятор уточнил про организационные, вы уж либо ссылайтесь на пункты, чтобы было понятно о чем вы говорите, складывается что вы о чем-то другом, за все время дискуссии я вижу ссылку на 2 пункта из 17, 31 и короткую *в сторону* отсылку на 77. Однозначно со знанием дела гласите. Рекомендую следовать своим же советам на счет "..цитирования килотонн.." было бы странно отклоняться от правильного подхода аргументации.
Dos "...какие из них следует и следует ли перекрывать орг.мерами": -поправлю, угрозы и требования 17, 21 закрываться не только одним из орг. или тех. мер.
Cuatro "Каким волшебным способом...": - отправляйтесь в п. 12... еще раз.. отсылка к мерам защиты (и не только организационным), эти функционал этих мер должен закрывать угрозы связанные с потенциалом для соответствующих систем КЗ_. Всё, на этом останавливайтесь читать, скрытого подтекста тут нет (конечно, если у вас вдруг не оказалось официальных разъяснений регулятора... если таковых нет, то читаем по-русски, учитывая правила русского языка, логические "и", "или" и т.д.) никакой связи в этих пунктах нет с определением для соответствующего уровня КЗ соответствующих угроз и потенциала нарушителей.
В заключении, Бесспорно, если подобные "противоречия" позиционировать как оные, и на базе этого формировать ТЗ с повышенными требованиями к системе, регулятор вам ничего не скажет, т.к. будут выполняться требования-сверх (хотя можно банально прочитать по-русски, как написано в документе). Напоминаю последний раз, без аргументов/ссылок, можете глагольствовать сколько вашей душе угодно, ответов более не будет, учитывая то, что вы отвечаете весьма выборочно. Полагаю, стоит задуматься в подобном подходе, как это выглядит со стороны, а также изливание неопрятной/непричёсанной субстанции под названием "ответ" на форум, хотя... "С другой стороны, бывало ли в Рунете иначе?...".

to поИБ
Любезный, не сочтите за труд, но можете уточнить один нюанс: вы тут ради троллинга (с использованием моих любимых методов флуда, чего греха таить, ага) или реального обсуждения сложившейся ситуации и противоречий для? Просто по первому варианту премного благодарен (серьезно) - хоть повод появляется от работы отвлечься и душу отвести...
А вот если по второму, то (навеяно одним забавным фильмом на фоне):
1. Где "Tres"? И что, ответьте, приключилось с "Quatro"? Ведь кривизна подачи аргументов сомненья порождает... в их достоинствах...
2. Читайте 25 пункт Приказа так, как просите меня, - сиречь без тайных смыслов, однозначно и с точкой на конце: организационную защиту потенциал определяет. И все. Иных там мер защиты не дано... А заодно, любезный, уясните, что более по тексту регулятор к "потенциалу" не дает отсылок (за исключением 14-3 пункта, где коротко Методику цитирует). Теперь понятна суть противоречий?
3. И, кстати, с вами регулятор не согласен: технической и орг. реализации, на Требованья и угроз противодействие направленных, достаточно. О чем в любом Приказе без труда мы все найдем тот час же подтвержденье. Приказ 17, п. 12, например... постойте! вы же на него уже ссылались! Неужто это было сделано с издевкой? Ну ладно, ради полноты картины мы можем и к перс.данным обратиться: "Состав и содержанье организационных и технических..." и далее по тексту. Или опять "читайте по-другому"? Название противоречит документу? Внезапно, но... навряд ли...
4. И главное... вас спрашивал про мер организационных полноту при Н4 нарушителе наличьи. А вы что сделали? На регулятора таблицу отослали? Удобно - только это не ответ... по существу вопроса, ежели серьезно...
Хотя, конечно, поступайте как хотите - здесь нет возможности вам доказать обратное... с учетом радикальности подхода... аргументации, что вроде бы и есть, но выводы вы явно делать не хотите...
Пусть будет занавес... до новых встречь в эфире...

Давайте дадим шанс, раз хоть какие-то ссылки привели и небольшую работу над ошибками проделали. "регулятор уточнил "организационные", а не "все применяемые" меры защиты.","Иных там мер защиты не дано. И все....": -Откуда же одни организационные меры, откуда вы это взяли, где регулятор уточнил? Цитирую тот же 25 пункт: Организационные меры и средства защиты информации, применяемые в информационной системе. Теперь нашлась пропажа..? Средства защиты вы самостоятельно проглотили, либо отнесли к организационным уже второй раз, хотя весь документ усыпан формулировками орг. и тех.. Собственно, если пишут средства защиты, то могу оценивать в т.ч. технические средства.
Далее, Потенциал нарушителей определяется в ходе оценки их возможностей, проводимой при определении угроз безопасности информации, на этапе моделирования угроз, по методике от 5 февраля 2021 года, вот теперь всё. Интересно, что регулятору в дополнение, чтобы размыть ваши сомнения, нужно указать в документе, если не сослаться на разработанную ими же методику в п.14.3?
Интересно смотреть, как пытаются зацепиться на надуманную "отсылку", вы же не пасхалку, как какое-то упоминание ищите, в документ вкладывали смысл и логику, а некоторые заметив знакомое слово бегут впереди паровоза.. (говорю же, если вам удобно рассматривать в параноидальном аргументированном формате, что регулятор вдруг придерется к сформированной модели угроз - дерзайте, это право любого, завышать требования и накручивать систему защиты можно, но пункт то не о соответствии КЗ потенциалу нарушителя.
Со мной регулятор не согласен? С тем, что угрозы закрываются техническими и/или организационными мерами, в зависимости от рассматриваемых угроз, при условии, что данных мер достаточно? (рит. впрс.) Документ на официальном сайте ФСТЭК читаете, или сторонний ресурс (...поток сознания, так называемый)

*в сторону*
На сей раз достаточного фона нет, поэтому продолжу не в стилистике Шекспира (и переводе Пастернака, ага)...

to поИБ
Вы поймали меня на подмене формулировки. Браво! Или нет? Момент-то был с подвохом...
Primo, вы же сами предлагали читать по-русски. "Организационные меры и средства защиты информации..." = "только организационные" (иной смысл был бы при "Организационные и технические меры защиты..."). Ведь опус про "технические меры" регулятор дал в п. 26. И тут уж понимать возможно как угодно, не так ли? Хотя согласен, "организационные средства защиты" - это какой-то оксюморон...
Secundo, если уж нарушитель Н4 позиционируется по новой Методике как "спецслужба" (с практически неограниченными возможностями), то какого рожона в п. 26 требования сертификации СЗИ столь слабые? Или, возможно, эта "спецслужба" другая (и СЗИ, соответственно, должны быть проще, чем в ГТ)? И как, скажите на милость, СЗИ по СВТ-5, МЭ-4, АВЗ-4 и т.д. могут противостоять такому нарушителю? Вот и выходит, что решать вопрос остается только орг.мерами. Одна проблема: как его решать орг.мерами не ясно (и вы, любезный, тоже не ответили)...
Tertio, что до таблицы мер защиты (с учетом "усилений" по методдокументу 2014), так это только путаницу вносит (особенно при отсутствии обязаловки ЗТС.1). О чем вам неоднократно и писал, с чего наш с вами диалог, можно сказать, и начался...

Вердикт: не надо было регулятору столь радикально "Высокий" потенциал описывать, забыв, что оный потенциал к ГИС К1 приписан обязательно. Вот сделали бы "Средний" в обязаловку, а рассмотрение "спецслужбы" исключительно по согласованию - был бы полный порядок и с логикой, и с действием. А так К2 от К1 по мерам не особо отличается, но почему-то в нем плясать необходимо от Н2 на обязательной основе. А дальше пропасть и сразу Н4. Куда Н3-то дели? Такой радикальности даже в ЗОКИИ 1 категории нет (хотя, казалось бы, куда уж круче, учитывая разницу ответственности за нарушения в ЗОКИИ и в ГИС, ага)...

Впрочем, да, модуль экстрасенсорики подсказывает, что вновь вы не поймете. Что раз указано "Организационные меры и средства защиты...должны обеспечивать...защиту от УБИ, связанных с...нарушителем" с таким-то потенциалом (не ниже), то это, #%!@*, и значит, что подобный нарушитель (не ниже) должен быть по умолчанию актуален по Модели. Не из прихоти (по волевому решению Оператора перестраховаться), и не геморроя ради. А явно: в ГИС К1 считайте, что Н4 актуален (и дальше разбирайте УБИ, связанные с ним, - вот их уже допускается "просеять" и обосновать - зависит от объекта). Иначе будет противоречие Модели Требованиям, что значит, что Модель такая нахрен не нужна...

ЗЫ И да, пожалуйста, прожуйте, а потом пишите. Поскольку ваше <угрозы и требования 17, 21 закрываться не только одним из орг. или тех. мер.> весьма похоже на известное "Не все сегодня могут смотреть в завтрашний день" (с). Не удивительно, что вечером вчера я понял вас превратно...
Или хотя бы в свете <неопрятной/непричёсанной субстанции под названием "ответ" на форум> вначале разберитесь с бревном в собственном глазу, ага...

Добрый день!

Эту тему я создавал и уже составил (утвердил) Модель угроз, но документ "Методика оценки угроз безопасности информации" (утв. Федеральной службой по техническому и экспортному контролю 5 февраля 2021 г.) я что-то не помню....