Потенциал нарушителя в Модели угроз - Форум по вопросам информационной безопасности

Читаю как есть, если хотите понять - читайте аналогично, я сейчас не занимаюсь поиском каких-то "отсылок", "теорий" или какого-то "скрытого/неявного" message, а все упоминания - рассматриваю цельно. Мы не рассуждаем на тему "как правильно было бы.. или как удобнее было бы..", мы рассуждаем как работать с тем что есть, что написано регулятором по факту, и как закрыть требования.
Если вы обосновываете отсутствие/неактуальность нарушителя, и как следствие - его потенциал (нет рук - нет печенья), то какие вы там угрозы собрались рассматривать с повышенным потенциалом, нарушитель которого к оному - отсутствует? (рит. впрс) сколько же можно для вас жевать, однако.. для измерения таких углов, не хватит транспортира..
"ЗТС.1", и иные требования приказа рассматриваются, например (ЗИС.20), если у вас технологии обработки и актуальны соответствующие угрозы.
"какого рожона в п. 26 требования сертификации СЗИ столь слабые. СЗИ по СВТ-5, МЭ-4, АВЗ-4 и т.д.": -не ниже. Опять проглатываете, получается какая-то особая диета, не поделитесь? (рит. впрс)... На основании чего вы определили что технические меры "столь слабые", неужто против нарушителя имеющего "практически неограниченные возможности"? (т.е. возможности всё-же ограничены получаются) На текущий момент требования к техническим мерам защиты КЗ1-3, указанные в 26 "не ниже...". Следуйте. Также не стоит забывать специфику различных ГИС/ИС/ОИ и экономическую ценность хранящейся в них информации + соотношение затраченных ресурсов злоумышленником <> стоимость полученной информации/нанесенному ущербу.
"тоже не ответили": -В очередной раз напоминаю, не собираюсь без конкретики ни о чем более говорить, проводите работу над ошибками. В подобном формате ни минуты своего времени не могу уделить. И подобный "сТИЛЬ" да еще и "Шекспира" не собираюсь оценивать дотягивает ли Шекспир до творчества "великого" кумира (всё правильно), такое ощущение, что пришел посмотреть на представление, даже не театр. Скажу вам честно, придерживаюсь позиции сдержанности, чтобы не разводить подобную подачу. В дальнейшем поступим так, любое "не по делу" даже в составе части аргументов, отличное от указанного мной формата выше, оставит вас одного на этом форуме в большом объеме собственных излитых неопрятных/непричёсанных субстанций. (оставаться тут и заниматься, как вы назвали, упаси.. "троллингом", мне не интересно)
А в заключении, на корректные вопросы ответил, включая дополнительные, работайте с тем что есть, основная рекомендация - читать по-русски, не проглатывая слова и не выдергивая из контекста (если мы все-таки по методике определяем потенциал нарушителя, а не по скользкой "отсылке", которую вы предложили в качестве аргумента). Также напомню, если не хотите думать - то можно под завышенные требования завести систему, как вы и предлагали вначале, правда в контексте "так надо", "так указывает регулятор", и приведенных "отсылок", что не является доказывающим фактором при рассмотрении пункта целиком. Если вы хотите чтобы предложения по правкам учли при актуализации разработанной нормативной документации, в последующих редакциях, то для начала, стоит направить оф. письмо с просьбой разъяснить (вероятно, и вопросы сами рассеется как дым...), в соответствующем порядке предоставления обращений, нам всем было бы очень интересно понаблюдать за развязкой данного события.

*в сторону*
Вспомнилось: тов. Нефедьев, разлогиньтесь!

to поИБ
Вот читаю ваш ответ: все вроде хорошо, буквы понятные, в слова складываются... Только подача уж больно вырвиглазная и оборот по-прежнему дешевый: "считаю вами сказанное лишь отсылкой... вот вам цитата безапелляционно... вообще-то ранее ответы все даны... и времени нет..." Коль нет и сказано все, то смысл продолжать? И уж тем паче смысл плодить такую простыню, в которой четверть занимает обсуждение чужой стилистики? Вы определились бы в своих возможностях и желаниях, ага...
Кстати, про ЗТС.1 меня терзает чувство дежа вю - кажись на форуме уже был деятель с подобными утверждениями... Так вот, любезный, я вас удивлю, но ТКУИ имеют прямое отношение к любым "техническим средствам". На базе которых, что очевидно, строятся любые информационные системы и инфраструктура. А возможности работы с ТКУИ как раз выделяют любого Н4-нарушителя по отношению к другим. Поэтому ваш опус про <если у вас технологии обработки и актуальны соответствующие угрозы> в контексте озвученного мной ранее примера попахивает то ли шизофазией, то ли полным незнанием материала...
Последнее: у вас методика имеется без противоречий и согласованная с регулятором по расчету экономических показателей от утечки/блокирования/иных воздействий на ПДн? И на ИОД, которая иная и в гос.органах, но без ГТ? Так с этого и надо было начинать! Скажите да и приведите выписку для подтверждения - уверен, вам все будут благодарны. И не поскупятся за ценой, если контакты оставите! Вот только если нет, то... мягко говоря, молчите про соотношение и стоимость...

А что до практики: объекты согласованы, меры приняты, а операторы на комплексность и логику не жалуются, да и перезаклада нет. Так что, любезный, спилили бы вы мушку для начала. И лучше часть фантазий оставьте при себе... во избежание, ага...

to Алексей
В декабрье прошлого года, когда вы тему начали, новой Методики еще не существовало (что понятно)...
Так-то она на сайте ФСТЭК России опубликована (жаль, форум не умеет ссылки скрывать): https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/2170-metodicheskij-dokument-utverzhden-fstek-rossii-5-fevralya-2021
Надеюсь, кстати, что вы Модель успели разработать и согласовать до вступления новой Методики в силу. А то разница огромная. Собственно, об этой разнице и новых противоречиях и накладках весь поток флуда в этой теме. И, судя по прошлым обсуждениям новой Методики на форуме, это будет продолжаться еще долго и периодически, ага...

oko, какая агрессия, какие срывы под конец года... каждый понимает в меру своей испорченности, сомневаюсь что образованный человек не мог бы читать дословно по-русски, с учетом правил, выученных задолго до устройства, как указано в документе… решили перестраховаться от требований регулятора - делайте как считаете нужным. Вариация трактовки единственная, если не вырывать слова из текста, напомню, мы обсуждали ваши 25 и 23 пункты 17 и 31 приказов. Оставайтесь с Шекспиром на форуме по ИБ.

to поИБ
imho, с Шекспиром оставаться лучше, чем без него. В конце концов, его тексты пережили столетия, а ваши и мои через месяц (в лучшем случае) канут в лету. Регулятора это тоже касается, пусть срок будет и больше (как в случае с РД НСД, ага)...
Еще раз: никакой перестраховки - банальный акцент на противоречиях в НМД. Упреждая новый виток цикла: стоп! Путем длительного переливания мы выяснили, что вы этих противоречий не видите или не разделяете. Пусть будет так - практика рассудит...
И да, любезный, никакой агрессии. В который раз: тут форум, а не симпозиум, не совещание в солидных кулуарах и не клуб благородных девиц. Плюс напоминаю - это вы занялись некропостингом при явном понимании (надеюсь), что мир и тема изменились с 2020 г. публикации. И, поскольку на вашу писанину отреагировал только я (за исключением ремарки от тов. sekira), то выбор оружия (читай, стилистики и аргументов) по всем правилам ведения драки (читай, словесной баталии) остается за мной. Так что не жалуйтесь теперь, ага...

Вопрос по Методике ФСТЭК 2021

Подскажите, пожалуйста, я правильно понимаю, что если на начальном этапе для ГИС выбрали возможное негативное последствие - "Прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции (полномочия)", то от спец служб иностранных государств уже не отбрехаться до самого конца?
Просто если это так, то все ГИСы +- тоже должны моделироваться с H4, так как они все отвечают за функции (полномочия) госорганов.
Или можно от этого уйти?

to Константин.

С чего это у Вас такие рассуждения?

Есть, например, ГИС ЖКХ. При проведении каких-либо работ нарушили работу сервера. В итоге предоставление какой-либо информации приостановлена. => Прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции (полномочия).

И это не обязательно спец.службы могут начудить.
Мы лично убираем угрозу от спец.служб, думая, что муниципальные/государственные учреждения не интересны спец. службам.


Мой совет - не используйте угрозы от спец.служб. Много гемороя будет.

2 Денис Очень полезно, большое спасибо!

Рассуждения идут из таблиц Методики

Приложение 6 к методике
Дестабилизация деятельности органов власти - Спец службы/Террористы-экстремисты
Приложение 7 к методике
Дестабилизация деятельности органов власти - Спец службы/Террористы-экстремисты
Приложение 8 к методике
Спец службы/Террористы-экстремисты - H4/H3
и тд

Но я уловил идею, еще раз, спасибо!

И ещё один вопрос тогда, в этой теме шли жаркие обсуждения, можно ли для ГИС выдвигать нарушителя ниже чем установлено в п.25 17го Приказа ФСТЭК

Допустим класс защищенности К2. Согласно 25 пункту орг.меры/сзи должны защищать от угроз БИ нарушителем не ниже усиленного базового (H2 в методике).

Значит ли это, что в модели угроз я не могу сделать вывод, что для моей ГИС соответствует нарушитель с базовым потенциалом (H1) ?

to Константин:

> Значит ли это, что в модели угроз я не могу сделать вывод, что для моей ГИС соответствует нарушитель с базовым потенциалом (H1) ?

Нет. Не значит.
Пункт 25 Требований, утвержденных приказом ФСТЭК от 11.02.2013 № 17, относится к организационным мерам и средствам защиты, применяемым в ГИС. Требования данного пункта должны учитываться при разработке технической документации на СЗИ ГИС (технический проект, рабочая и эксплуатационная документация).
В Вашем случае речь идёт о разработке модели УБИ, являющегося документом формирования требований к защите информации ГИС. В данном случае использование пункта 25 указанных Требований будет некорректным.

2 CM
Огромное спасибо!