Потенциал нарушителя в Модели угроз - Форум по вопросам информационной безопасности

*в сторону*
Красивая картинка: вышел из строя сервер, или вообще вся ИС - народ вместо альтернативных методов коммуникации и работы тупо перешел в режим ожидания, а весь орган, мягко говоря, нефункционален на неопределенный срок, ага...
Это только сисадмины курят медленно, потому что сервер перезагружается, ядро пересобирается, в базе индексы перерасчитываются (с)

to CM
На колу мачало - начинай сначала?
Выходит, в Модели нарушителя "занизили", при проектировании/внедрении/оценке указали уже другого согласно п. 25, но угрозы (и, как следствие, меры их нейтрализации) от него не рассмотрели, потому что мухи (Модель) отдельно, а котлеты (Требования и их реализация) отдельно?
А все из-за наличия "духа" цикла работ по ИБ/ЗИ, но недостаточно грамотной "буквы", ага...

to oko.

- Прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции (полномочия)

Так-то нарушение работы имеется..

to Денис
В том и смысл: крайне малое количество ОИ настолько важны сами по себе, что могут нарушить функционирование целого органа.
imho, атаки террористов и спецслужб, которые можно рассмотреть в таком ключе: либо физическое уничтожение ОИ+персонала (с нехилым резонансом), либо деза (с дальними многоходовками и опять-таки некислым резонансом)...
За 3 часа падения сайта ФСБ намедни хоть одна функция оной службы была невыполнена/нарушена? И не надо говорить, что их сайт не входит в функциональные обязанности (а держит его вообще левый В.Пупкин). В том и суть...

to oko:

> Выходит, в Модели нарушителя "занизили", при проектировании/внедрении/оценке указали уже другого согласно п. 25, но угрозы (и, как следствие, меры их нейтрализации) от него не рассмотрели, потому что мухи (Модель) отдельно, а котлеты (Требования и их реализация) отдельно?

Да, отдельно. Угрозы и меры это разные "вещи", также как и документы формирования требований к защите информации (Модель УБИ, ТЗ, акты категорирования и классификации) отличаются от технической документации (проектная, рабочая, эксплуатационная) и они же отличаются и от организационно-распорядительной и исполнительной документации. Банальный пример из жизни про их отличия: вождение автомобиля в нетрезвом виде. Здесь есть угроза жизни и здоровью людям, и имуществу. И есть меры: классификация этого деяния, как общественно опасного, введение штрафов и наказаний за них, проведение проверок по выявлению случаев деяния, наказания за эти деяния, устранение последствий этих деяний. И все эти меры отражаются в разных документах разных ведомств и служб. А в случае реализации угрозы все эти ведомства и службы выполняют эти меры.
Если Вы предлагаете угрозы и меры не разделять, а как-то объединить, то изложите хотя бы замысел...
К вопросу о "занизили": Модель УБИ, как документ, не статичный, а изменяемый на всех стадиях создания и эксплуатации ГИС. И это прямо указано в п. 2.5 Методики оценки УБИ от 05.02.2021 и в п.п. 16.6, 18, 18.2 Требований, утвержденных приказом ФСТЭК от 11.02.2013 № 17. Поэтому "занижение", скорее всего, показывает на необходимость актуализации информации в Модели УБИ.

to Денис:

> Прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции (полномочия)

Думаю, что этот вид возможного негативного последствия для некоторых ГИС будет актуальным в будущем. Приведу пример из недавних событий. На ПМЭФе руководитель Росреестра Олег Скуфинский заявил, что его ведомство уже с 29 июня этого года полностью перейдёт на электронный документооборот. Главное здесь не то, что ранее назывались и другие сроки этого "значимого" события, а то что деятельность этой службы становятся максимально зависимыми от функционирования ведомственной ГИС. С прекращением функционирования подобной ГИС будет "завязано" и прекращение (нарушение) функционирования самого гос органа.
У подавляющего большинства гос органов похожей зависимости от работы ГИСов пока нет. Но время идёт и всё меняется. Пока бумажный документооборот первоочередной и его хакерскими атаками не остановишь. Поэтому и последствия прекращения (нарушения) функционирования ГИСов не такие негативные, как информационной системы Росреестра. В любом случае все ГИСы разные и у каждой степень влияния на исполнение полномочий (функций) гос органа будет разной.

to CM
Замысел? Да без проблем - новый раздел УБИ в БДУ со своей связью "УБИ - объект воздействия (защиты) - меры защиты". Текущая реализация кривовата, но этого от регулятора ждали с самого выхода того же 17 Приказа...
Впрочем, об этом уже на форуме говорил неоднократно: пока регулятор явно не проведет параллель между "Методикой УБИ" и "Мерами защиты информации в ГИС" (де факто в любых ИС), так и останется "белое пятно" между Моделью и Требованиями/их реализацией на конкретном ОИ. Но, твою ж налево, наличие "белого пятна" не должно влиять на фактическое положение дел по защите конкретного ОИ. И, если УБИ реально актуальна, то не закрывать ее какими-то мерами, ссылаясь на то, что Модель отдельно, а меры рассматриваем отдельно, - это верх идиотизма. Ну, или показатель наплевательского отношения оконечного безопасника к своим обязанностям и к ОИ в целом...
Отдельной строкой про актуализацию Модели. Т.е. решили создать ИС -> провели моделирование с "низким" нарушителем -> внезапно (подчеркиваю) почитали Приказ 17 и увидели "не ниже усиленного" -> пошли повторно моделировать или вообще плюнули, исходя из вышеуказанного "белого пятна"? А потом все хором удивляются несуразице и лишним телодвижениям в стране в других сферах и структурах, ага...

*в сторону*
А наличие полнофункциональной системы электронного документооборота вовсе не значит, что реально важные решения, от которых зависит и срок, и направление, и стабильность функционирования гос.органа, не будут отныне приниматься ни в бумаге, ни "по звонку". И в этом есть один несомненный плюс (непреложный для той же ЗГТ): ни одна, даже самая продвинутая программа, никогда не сможет сама по себе открыть ящик стола (с)

to oko:

> Замысел? Да без проблем - новый раздел УБИ в БДУ со своей связью "УБИ - объект воздействия (защиты) - меры защиты". Текущая реализация кривовата, но этого от регулятора ждали с самого выхода того же 17 Приказа...

С обсуждением такой идеей уже встречался на просторах Интернета. И некоторые считают, что это решит проблемы создания СЗИ. И может быть в новых редакциях БДУ и НМД регулятора эта идея себя проявит.

> ...так и останется "белое пятно" между Моделью и Требованиями/их реализацией на конкретном ОИ.

Смотря что вкладывать в понятие "белого пятна". В действующих концепция НМД регулятора связь между УБИ и мерами защиты при создании СЗИ и оценки достаточности при аттестационных испытаниях. Т.е ответственность за определение УБИ лежит на владельце/операторе ГИС, выбор мер на разработчике СЗИ, а их оценка на органе органе по аттестации. Такая концепция исходит из приоритета архитектуры и особенностей функционирования каждой конкретной ГИС при ее защите. Здесь каждый раз надо думать, чтобы составить/скорректировать списки УБИ и мер. Если регулятор "свяжет" УБИ и мерами, то при создании СЗИ и аттестации ГИС приоритет будет у списка мер регулятора вне зависимости от особенностей объекта защиты. А здесь много думать не надо, просто проверить один составленный регулятором список УБИ+меры. Две разные "дороги". Если не устраивает первая "дорога", то не факт, что понравится вторая.
Отечественный подход моделирования УБИ пошел по пути матриц MITRE ATT&CK. Пока я не видел, чтобы указанные в них техники кто-то нормативно "связывал" с мерами защиты.

> Т.е. решили создать ИС -> провели моделирование с "низким" нарушителем -> внезапно (подчеркиваю) почитали Приказ 17 и увидели "не ниже усиленного" -> пошли повторно моделировать или вообще плюнули, исходя из вышеуказанного "белого пятна"? А потом все хором удивляются несуразице и лишним телодвижениям в стране в других сферах и структурах, ага...

Увы. Если путать документы формирования требований к ЗИ с технической документацией и смешивать требования нормативки, то пятна будут не только белого цвета. Но здесь речь уже идёт не о нормативных требованиях, а о качестве исполнения работ и уровне квалификации исполнителей...

> А наличие полнофункциональной системы электронного документооборота вовсе не значит, что реально важные решения, от которых зависит и срок, и направление, и стабильность функционирования гос.органа, не будут отныне приниматься ни в бумаге, ни "по звонку". И в этом есть один несомненный плюс (непреложный для той же ЗГТ): ни одна, даже самая продвинутая программа, никогда не сможет сама по себе открыть ящик стола (с)

В том то и дело, что значит. Если единственный документооборот (приведенном примере это электронный) не работает, то ни какой звонок его не восполнит. Чтобы принять решение по присланным документам, их надо сначала получить. В примере с Росреестром это будут документы кадастрового учёта недвижимости, государственной регистрации прав на недвижимое имущество и сделок с ним. Предлагаете в случае чего звонить им и просить принять документы телефонограммой?!

to CM
imho, пример с Росреестром и <в том и дело, что значит> == остановиться у "залипшего на красном" светофора и ждать до упора, пока его не починят. Ибо для того, чтобы продолжить движение, нужно вначале получить на это разрешение. Киборги человечество поработили, не иначе...
Крайности же в выборе дорог были, есть и будут всегда - таков путь (с). Только это частности, в то время как нарушение логики и связности внутри любого процесса или цикла - это куда как более фундаментальная проблема, потому что в разы увеличивает энтропию. Последняя же, как известно, ведет к тепловой смерти Вселенной...

*в сторону*
Вообще, до чего же прекрасен мир, в котором люди имеют возможность рассуждать о качестве и квалификации, взяв за модус вивенди, что каждый исполнитель каждого этапа процесса (хрен с ним с циклом, ага) ответственен только за него, напряженно думает как бы что-то сопоставить/скорректировать для себя или за предыдущего исполнителя, и полностью при этом кладет на комплексность подхода. Действительно, вместо белых пятен целая радуга с бесконечно блюющими единорогами: божественно красиво и все одинаково в дерьме, ага...

to CM
Еще один момент, связанный с вашим <А в случае реализации угрозы все эти ведомства и службы выполняют эти меры>. Так-то даже "другой регулятор", несмотря на карательный подход как модус операнди, понимает, что болезнь проще предупреждать, чем лечить. А у ФСТЭК красной строкой проходит: "... мер, направленных на блокирование (нейтрализацию) угроз безопасности информации ..."
Либо ваш пример с угрозой в виде пьяного-за-рулем (про жизнь, здоровье и имущество - это скорее "последствия", пусть и потенциальные, как и сама угроза) был сам по себе некорректен, либо тут явное непонимание базовых принципов. В первом случае дело обыденное - неудачный пример. Во втором... пожалуй, вот он и корень зла текущей (и, подозреваю, всех предыдущих) полемики, ага...

to oko:

Куча слов и хоть бы что-нибудь по предмету обсуждения...
Были приведены 2 примера из жизни, показывающих последствие прекращения (нарушения) функций гос органа в случае нарушения функционирования ГИС и разницу между угрозой и мерами с документами их отражающих.

1. Скорее всего глупый вопрос, но тем не менее.. В какой момент проводится экспертная оценка негативных последствий? Правильно я понимаю, что например для ГИС, берем приложение 4 Методики, выбираем подходящие негативные последствия и уже по выбранным голосуем? Или экспертная оценка проводится уже на этапе выбора негативных последствий из приложения 4?
2. И в догонку, вытекает из первого вопроса. В ГИС есть ПДн, но при экспертной оценке угроза ПДн признаётся низкой и соотв. неактуальной. Такое возможно?
Спасибо!