Страницы: < 1 2 3 4 5 6 7 8 9 10 11 12 13 >
Автор: oko | 110110 | 23.06.2022 16:03 |
*в сторону*
Красивая картинка: вышел из строя сервер, или вообще вся ИС - народ вместо альтернативных методов коммуникации и работы тупо перешел в режим ожидания, а весь орган, мягко говоря, нефункционален на неопределенный срок, ага... Это только сисадмины курят медленно, потому что сервер перезагружается, ядро пересобирается, в базе индексы перерасчитываются (с) to CM На колу мачало - начинай сначала? Выходит, в Модели нарушителя "занизили", при проектировании/внедрении/оценке указали уже другого согласно п. 25, но угрозы (и, как следствие, меры их нейтрализации) от него не рассмотрели, потому что мухи (Модель) отдельно, а котлеты (Требования и их реализация) отдельно? А все из-за наличия "духа" цикла работ по ИБ/ЗИ, но недостаточно грамотной "буквы", ага... |
Автор: Денис | 110113 | 23.06.2022 18:46 |
to oko.
- Прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции (полномочия) Так-то нарушение работы имеется.. |
Автор: oko | 110114 | 23.06.2022 22:06 |
to Денис
В том и смысл: крайне малое количество ОИ настолько важны сами по себе, что могут нарушить функционирование целого органа. imho, атаки террористов и спецслужб, которые можно рассмотреть в таком ключе: либо физическое уничтожение ОИ+персонала (с нехилым резонансом), либо деза (с дальними многоходовками и опять-таки некислым резонансом)... За 3 часа падения сайта ФСБ намедни хоть одна функция оной службы была невыполнена/нарушена? И не надо говорить, что их сайт не входит в функциональные обязанности (а держит его вообще левый В.Пупкин). В том и суть... |
Автор: CM | 110117 | 24.06.2022 09:55 |
to oko:
> Выходит, в Модели нарушителя "занизили", при проектировании/внедрении/оценке указали уже другого согласно п. 25, но угрозы (и, как следствие, меры их нейтрализации) от него не рассмотрели, потому что мухи (Модель) отдельно, а котлеты (Требования и их реализация) отдельно? Да, отдельно. Угрозы и меры это разные "вещи", также как и документы формирования требований к защите информации (Модель УБИ, ТЗ, акты категорирования и классификации) отличаются от технической документации (проектная, рабочая, эксплуатационная) и они же отличаются и от организационно-распорядительной и исполнительной документации. Банальный пример из жизни про их отличия: вождение автомобиля в нетрезвом виде. Здесь есть угроза жизни и здоровью людям, и имуществу. И есть меры: классификация этого деяния, как общественно опасного, введение штрафов и наказаний за них, проведение проверок по выявлению случаев деяния, наказания за эти деяния, устранение последствий этих деяний. И все эти меры отражаются в разных документах разных ведомств и служб. А в случае реализации угрозы все эти ведомства и службы выполняют эти меры. Если Вы предлагаете угрозы и меры не разделять, а как-то объединить, то изложите хотя бы замысел... К вопросу о "занизили": Модель УБИ, как документ, не статичный, а изменяемый на всех стадиях создания и эксплуатации ГИС. И это прямо указано в п. 2.5 Методики оценки УБИ от 05.02.2021 и в п.п. 16.6, 18, 18.2 Требований, утвержденных приказом ФСТЭК от 11.02.2013 № 17. Поэтому "занижение", скорее всего, показывает на необходимость актуализации информации в Модели УБИ. to Денис: > Прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции (полномочия) Думаю, что этот вид возможного негативного последствия для некоторых ГИС будет актуальным в будущем. Приведу пример из недавних событий. На ПМЭФе руководитель Росреестра Олег Скуфинский заявил, что его ведомство уже с 29 июня этого года полностью перейдёт на электронный документооборот. Главное здесь не то, что ранее назывались и другие сроки этого "значимого" события, а то что деятельность этой службы становятся максимально зависимыми от функционирования ведомственной ГИС. С прекращением функционирования подобной ГИС будет "завязано" и прекращение (нарушение) функционирования самого гос органа. У подавляющего большинства гос органов похожей зависимости от работы ГИСов пока нет. Но время идёт и всё меняется. Пока бумажный документооборот первоочередной и его хакерскими атаками не остановишь. Поэтому и последствия прекращения (нарушения) функционирования ГИСов не такие негативные, как информационной системы Росреестра. В любом случае все ГИСы разные и у каждой степень влияния на исполнение полномочий (функций) гос органа будет разной. |
Автор: oko | 110118 | 24.06.2022 10:55 |
to CM
Замысел? Да без проблем - новый раздел УБИ в БДУ со своей связью "УБИ - объект воздействия (защиты) - меры защиты". Текущая реализация кривовата, но этого от регулятора ждали с самого выхода того же 17 Приказа... Впрочем, об этом уже на форуме говорил неоднократно: пока регулятор явно не проведет параллель между "Методикой УБИ" и "Мерами защиты информации в ГИС" (де факто в любых ИС), так и останется "белое пятно" между Моделью и Требованиями/их реализацией на конкретном ОИ. Но, твою ж налево, наличие "белого пятна" не должно влиять на фактическое положение дел по защите конкретного ОИ. И, если УБИ реально актуальна, то не закрывать ее какими-то мерами, ссылаясь на то, что Модель отдельно, а меры рассматриваем отдельно, - это верх идиотизма. Ну, или показатель наплевательского отношения оконечного безопасника к своим обязанностям и к ОИ в целом... Отдельной строкой про актуализацию Модели. Т.е. решили создать ИС -> провели моделирование с "низким" нарушителем -> внезапно (подчеркиваю) почитали Приказ 17 и увидели "не ниже усиленного" -> пошли повторно моделировать или вообще плюнули, исходя из вышеуказанного "белого пятна"? А потом все хором удивляются несуразице и лишним телодвижениям в стране в других сферах и структурах, ага... *в сторону* А наличие полнофункциональной системы электронного документооборота вовсе не значит, что реально важные решения, от которых зависит и срок, и направление, и стабильность функционирования гос.органа, не будут отныне приниматься ни в бумаге, ни "по звонку". И в этом есть один несомненный плюс (непреложный для той же ЗГТ): ни одна, даже самая продвинутая программа, никогда не сможет сама по себе открыть ящик стола (с) |
Автор: CM | 110119 | 24.06.2022 12:54 |
to oko:
> Замысел? Да без проблем - новый раздел УБИ в БДУ со своей связью "УБИ - объект воздействия (защиты) - меры защиты". Текущая реализация кривовата, но этого от регулятора ждали с самого выхода того же 17 Приказа... С обсуждением такой идеей уже встречался на просторах Интернета. И некоторые считают, что это решит проблемы создания СЗИ. И может быть в новых редакциях БДУ и НМД регулятора эта идея себя проявит. > ...так и останется "белое пятно" между Моделью и Требованиями/их реализацией на конкретном ОИ. Смотря что вкладывать в понятие "белого пятна". В действующих концепция НМД регулятора связь между УБИ и мерами защиты при создании СЗИ и оценки достаточности при аттестационных испытаниях. Т.е ответственность за определение УБИ лежит на владельце/операторе ГИС, выбор мер на разработчике СЗИ, а их оценка на органе органе по аттестации. Такая концепция исходит из приоритета архитектуры и особенностей функционирования каждой конкретной ГИС при ее защите. Здесь каждый раз надо думать, чтобы составить/скорректировать списки УБИ и мер. Если регулятор "свяжет" УБИ и мерами, то при создании СЗИ и аттестации ГИС приоритет будет у списка мер регулятора вне зависимости от особенностей объекта защиты. А здесь много думать не надо, просто проверить один составленный регулятором список УБИ+меры. Две разные "дороги". Если не устраивает первая "дорога", то не факт, что понравится вторая. Отечественный подход моделирования УБИ пошел по пути матриц MITRE ATT&CK. Пока я не видел, чтобы указанные в них техники кто-то нормативно "связывал" с мерами защиты. > Т.е. решили создать ИС -> провели моделирование с "низким" нарушителем -> внезапно (подчеркиваю) почитали Приказ 17 и увидели "не ниже усиленного" -> пошли повторно моделировать или вообще плюнули, исходя из вышеуказанного "белого пятна"? А потом все хором удивляются несуразице и лишним телодвижениям в стране в других сферах и структурах, ага... Увы. Если путать документы формирования требований к ЗИ с технической документацией и смешивать требования нормативки, то пятна будут не только белого цвета. Но здесь речь уже идёт не о нормативных требованиях, а о качестве исполнения работ и уровне квалификации исполнителей... > А наличие полнофункциональной системы электронного документооборота вовсе не значит, что реально важные решения, от которых зависит и срок, и направление, и стабильность функционирования гос.органа, не будут отныне приниматься ни в бумаге, ни "по звонку". И в этом есть один несомненный плюс (непреложный для той же ЗГТ): ни одна, даже самая продвинутая программа, никогда не сможет сама по себе открыть ящик стола (с) В том то и дело, что значит. Если единственный документооборот (приведенном примере это электронный) не работает, то ни какой звонок его не восполнит. Чтобы принять решение по присланным документам, их надо сначала получить. В примере с Росреестром это будут документы кадастрового учёта недвижимости, государственной регистрации прав на недвижимое имущество и сделок с ним. Предлагаете в случае чего звонить им и просить принять документы телефонограммой?! |
Автор: oko | 110120 | 25.06.2022 01:04 |
to CM
imho, пример с Росреестром и <в том и дело, что значит> == остановиться у "залипшего на красном" светофора и ждать до упора, пока его не починят. Ибо для того, чтобы продолжить движение, нужно вначале получить на это разрешение. Киборги человечество поработили, не иначе... Крайности же в выборе дорог были, есть и будут всегда - таков путь (с). Только это частности, в то время как нарушение логики и связности внутри любого процесса или цикла - это куда как более фундаментальная проблема, потому что в разы увеличивает энтропию. Последняя же, как известно, ведет к тепловой смерти Вселенной... *в сторону* Вообще, до чего же прекрасен мир, в котором люди имеют возможность рассуждать о качестве и квалификации, взяв за модус вивенди, что каждый исполнитель каждого этапа процесса (хрен с ним с циклом, ага) ответственен только за него, напряженно думает как бы что-то сопоставить/скорректировать для себя или за предыдущего исполнителя, и полностью при этом кладет на комплексность подхода. Действительно, вместо белых пятен целая радуга с бесконечно блюющими единорогами: божественно красиво и все одинаково в дерьме, ага... |
Автор: oko | 110121 | 25.06.2022 01:22 |
to CM
Еще один момент, связанный с вашим <А в случае реализации угрозы все эти ведомства и службы выполняют эти меры>. Так-то даже "другой регулятор", несмотря на карательный подход как модус операнди, понимает, что болезнь проще предупреждать, чем лечить. А у ФСТЭК красной строкой проходит: "... мер, направленных на блокирование (нейтрализацию) угроз безопасности информации ..." Либо ваш пример с угрозой в виде пьяного-за-рулем (про жизнь, здоровье и имущество - это скорее "последствия", пусть и потенциальные, как и сама угроза) был сам по себе некорректен, либо тут явное непонимание базовых принципов. В первом случае дело обыденное - неудачный пример. Во втором... пожалуй, вот он и корень зла текущей (и, подозреваю, всех предыдущих) полемики, ага... |
Автор: CM | 110123 | 26.06.2022 18:35 |
to oko:
Куча слов и хоть бы что-нибудь по предмету обсуждения... Были приведены 2 примера из жизни, показывающих последствие прекращения (нарушения) функций гос органа в случае нарушения функционирования ГИС и разницу между угрозой и мерами с документами их отражающих. |
Автор: Константин | 110124 | 27.06.2022 12:40 |
1. Скорее всего глупый вопрос, но тем не менее.. В какой момент проводится экспертная оценка негативных последствий? Правильно я понимаю, что например для ГИС, берем приложение 4 Методики, выбираем подходящие негативные последствия и уже по выбранным голосуем? Или экспертная оценка проводится уже на этапе выбора негативных последствий из приложения 4?
2. И в догонку, вытекает из первого вопроса. В ГИС есть ПДн, но при экспертной оценке угроза ПДн признаётся низкой и соотв. неактуальной. Такое возможно? Спасибо! |
Просмотров темы: 10066