Страницы: < 1 2 3 4 5 6 7 8 9 10 11 12 13 >
Автор: Константин | 110290 | 18.08.2022 17:59 |
2 CM Спасибо!
|
Автор: Константин | 110420 | 30.09.2022 11:59 |
День добрый!
Вопрос по поводу сценариев, а точнее п.5.3.5 и последнего абзаца насчет ГИС на этапе эксплутации. Там сказано, что для каждой возможной угрозы БИ определяется множество возможных сценариев ее реализации. А во втором абзаце этого пункта 5.3.5 сказано, что при наличии хотя бы одного сценария угрозу считается актуальной. Не понятно, как разделять возможные сценарии и сценарии изза которых угроза будет считаться актуальной? Или раз определяем возможные сценарии для всех возможных угроз, то все они будут актуальными? Где та грань между возможными сценариями и сценариями изза которых угроза становится актуальной и как это показать в МУ? Спасибо! |
Автор: CM | 110421 | 30.09.2022 14:31 |
to Константин:
Удивительно, что у Вас до сих пор появляются вопросы по Методике оценки УБИ. Был уверен, что Вы уже ведёте мастер-классы по моделированию угроз... ;-) Что касается абзацев 2 и 3 в п. 5.3.5 методики: 2 является продолжением мысли в 1 абзац и посвящен ЭТАПУ СОЗДАНИЯ систем, а 3 абзац посвящен ЭТАПУ ЭКСПЛУАТАЦИИ систем. В методике упоминается, что модель меняющейся документ "по ходу жизни системы": при создании и в ходе эксплуатации (см. п.п. 2.5, 4.4, 5.2.5 методики). Интересуемый п. 5.3.5 изложен в том же стиле. > Не понятно, как разделять возможные сценарии и сценарии изза которых угроза будет считаться актуальной? Или раз определяем возможные сценарии для всех возможных угроз, то все они будут актуальными? Где та грань между возможными сценариями и сценариями изза которых угроза становится актуальной и как это показать в МУ? Это Вы ещё не сравнивали определение актуальных УБИ в формулировке в п. 2.1 методики... Интересуемая Вас "грань" проведена в пунктах 5.3.3 и 5.3.4. Актуальность может быть только у возможных УБИ и она определяется наличием сценариев их реализации. При дословном разборе "актуальность" это свойство у возможных УБИ. Но если делать поправку не "сырость" всей методики, то можно опустить этот нюанс. Если УБИ возможные = [нарушитель (источник угрозы); объекты воздействия; способы реализации угроз; негативные последствия], то УБИ актуальные = [УБИ возможные] + [тактики и техники]. |
Автор: Константин | 110422 | 30.09.2022 15:21 |
2 CM Спасибо, но я так, если честно, и не понял)
например, актуальные УБИ выбираются из списка возможных. И возможные, и актуальные, должны быть отражены в МУ. Вот и вопрос касательно сценариев... Получается для системы в эксплуатации нужно для всего списка возможных угроз, рисовать возможные сценарии.. меня просто отправили на устранение недостатков с указанием на п.5.3.1 и п. 5.3.5 указав и там и там на возможные сценарии. Как я сделал у себя в МУ. Определил актуальных нарушителей и их потенциал. Взял из БДУ перечень. Написал, что это перечень возможных УБИ. Определил, какие из них актуальные и для них указал сценарии. Но видимо оказался не прав. И сценарии надо указать для всех возможных. Вот теперь сижу гадаю, потому что конкретики в ответе не было. Просто тогда не работает условие методики о том, что наличие хотя бы одного сценария, признаёт угрозы актуальной. Потому что придется сценарии указывать для всех возможных угроз. Как-то так. Надеюсь ясно изложил, что хотел сказать) |
Автор: Константин | 110423 | 30.09.2022 15:46 |
Или может так задать вопрос, что они хотят видеть в разделе 7 рекомендуемой структуры
"описание возможных сценариев реализации угроз безопасности информации; " Достаточно ли будет привести список актуальных угроз и сценариев для них? Или это возможные сценарии это как возможные угрозы и их должны больше. И уже из этих возможных сценариев я должен выбирать те, которые сделают возможные УБИ актуальными. |
Автор: CM | 110424 | 30.09.2022 16:14 |
to Константин:
Возможные и актуальные УБИ описаны в одном разделе методики (5.3). По сути это одни и те же угрозы, которые отличает между собой только наличие сценариев (тактики + техники). Посмотрите ещё раз п. 5.3.1: сначала определяются возможные УБИ (п. 5.3.3), а потоп оценивается их актуальность, которая определяется наличием сценария (п. 5.3.4). В ходе действий до раздела 5.3 все полученные угрозы являются возможными. А когда их дополняешь тактиками и техниками (сценарием), то угрозы становятся актуальными. Простота и незамысловатость формулировок тактик и техник составлены регулятором таким образом, что подобрать тактики и техники возможным УБИ позволяет всегда. Использование в методике определений "возможные" и "актуальные" избыточно. Иначе можно "утонуть" в рассуждениях почему возможная угроза не может быть актуальной и т.п. Но пока исходим из того, что есть. |
Автор: CM | 110425 | 30.09.2022 16:21 |
to Константин:
> Достаточно ли будет привести список актуальных угроз и сценариев для них? Актуальные УБИ содержат в себе сценарии. Без сценариев нет актуальности (см. п. 5.3.4 методики). > Или это возможные сценарии это как возможные угрозы и их должны больше. Возможных сценариев в методике не предусмотрено. В методике возможными могут быть только угрозы. Возможных УБИ может быть больше актуальных УБИ только в одном теоретическом случае: если Вам не удалось подобрать тактики и техники (сценарий) каким-то их возможных угроз. |
Автор: Константин | 110426 | 30.09.2022 16:27 |
2 CM большое спасибо за помощь!
|
Автор: Константин | 110427 | 30.09.2022 17:17 |
Подскажите, пожалуйста, а как должно выглядеть рассмотрение уязвимостей БДУ для используемого ПО? Вот вижу уязвимость, которая подходит для указанного ПО, а дальше ? или достаточно написать, что такие уявзимости есть?
|
Автор: CM | 110428 | 30.09.2022 18:00 |
to Константин:
Не сочтите за "Капитана Очевидность", но с найденной уязвимостью всего 2 пути: если можем устранить - устраняем, если не можем устранить - не устраняем. Помним, что для устранения уязвимостей требуется время. Риски по неустранимым уязвимостям, конечно, надо учитывать в дальнейшей работе и по возможности разрабатывать компенсирующие меры. Вариант с заменой ПО, как источника уязвимости, больше соответствует пословице: "Если проблема решается деньгами, то это не проблема, а расходы". |
Просмотров темы: 10062