Потенциал нарушителя в Модели угроз - Форум по вопросам информационной безопасности

to oko:

> В этом главная ошибка ваших рассуждений и примеров - "актуальные УБИ -> адаптивный набор мер защиты" и точка.

Приписывать то, чего не было, прямо скажем дурной тон. Вот дословно то, что Вам не понравилось изначально и что являлось предметом всего дальнейшего обсуждения:
>> Пункт 25 Требований, утвержденных приказом ФСТЭК от 11.02.2013 № 17, относится к организационным мерам и средствам защиты, применяемым в ГИС. Требования данного пункта должны учитываться при разработке технической документации на СЗИ ГИС (технический проект, рабочая и эксплуатационная документация).
>> В Вашем случае речь идёт о разработке модели УБИ, являющегося документом формирования требований к защите информации ГИС. В данном случае использование пункта 25 указанных Требований будет некорректным.

В дальнейшем предмет обсуждения касался различия между УБИ и меры защиты, как сущностями, с приведением тому примеров.
Дополнительно Вами была изложена идея о возложении на регулятора связи между УБИ и мерами. Но поскольку эта идея не нова и ранее обсуждения по ней уже встречал, то развивать ее со своей стороны не стал.

> Хотите порвать этот цикл или внести в него избыточность, заявляя, что меры выбираются безотносительно актуальных УБИ или что любой этап цикла можно выполнять сам по себе до посинения, потому что ответственность за моделирование, ответственность за меры, ответственность за оценку и т.д. несут разные люди - ваше право.

Опять же: ничего подобного я не заявлял.
Предлагаю остаться каждому при своем мнении и дальнейшие обсуждения прекратить.

to CM
Нет уж, давайте (с)
Пару раз предлагал остаться при своих и намекал на бессмысленность диалога, но бесконечная вера в победу разума над желудком заставляет давать шанс даже в самых запущенных случаях...
Primo, я не зря задавал наводящие вопросы в стилистике "считаете, что УБИ отдельно, меры отдельно?" (на что, напоминаю, вы дали утвердительный ответ, внеся в диалог абстрактное "вещи" и позже бесконечно ими оперируя, меняя на "сущности")? Смысл здесь не в тупом чтении документа как такового, а в парадоксальном влиянии такого подхода на процесс (цикл) работ по ЗИ в ИС. Процесс (цикл) уже продемонстрировал в прошлый раз и, насколько понимаю, принципиальных возражений у вас к такой демонстрации нет...
Secundo, получается, что ваше "разделение" УБИ и мер по принципу буквы (УБИ на первом этапе, ответственность за них своя; меры на другом этапе - ответственность своя) вредит и безбожно нарушает указанный процесс (цикл). Примером тому момент, с которого начался новый виток споров в этой теме: дозволено ли в Модели рассмотреть "низкого" нарушителя (и, соответственно, не рассматривать УБИ от более высоких потенциалов в принципе), в то время как в 25 пункте Приказа предписано блокировать/нейтрализовать иной (не ниже) потенциал. Потому что, внезапно:
- Приказ оперирует только мерами защиты, но не нарушителем и не УБИ;
- в то же время Приказ предписывает выбирать меры защиты, исходя из актуальных УБИ (в том числе);
- в свою очередь, Приказ явно определяет для какого класса ИС какого нарушителя нужно рассматривать в качестве опорной точки (выше можно, ниже нельзя);
- и класс ИС определяется до начала этапа моделирования УБИ и нарушителей.
Вывод прост и беспощаден: лица, определившие класс ИС (если, конечно, у них не туннельное зрение и кроме Приложения 1 Приказа они ничего не читают), должны знать о предписанном для данного класса ИС нарушителе. Лица, проводящие моделирование, должны учитывать этот потенциал (и выше, если есть предпосылки) нарушителя и, как следствие, расширять область актуализируемых УБИ. А лица, проводящие проектирование, должны выбирать меры защиты, исходя из результатов моделирования и с учетом всех положений Приказа в целом, а не только разделов, касающихся проектирования/внедрения. Именно поэтому считаю ваш ответ тов. Константину (с чего, собственно, все и началось) и юридически, и фактически безграмотным и вредным...
Также, поскольку в Приказе регулятора "меры защиты", а в Методиках того же (подчеркиваю) регулятора УБИ и нарушитель, постольку именно регулятору необходимо явно прописать эти следствие/связь: при каких УБИ какие меры защиты выбирать. Не обязательно с полной детализацией, но хотя бы на уровне логики. И идея эта не моя - она появилась сразу по выходу 17 Приказа и БДУ, когда логический и юридический коллапс увидели все причастные...
Тут важно понимать, что "меры защиты" по Приказам расписаны весьма условно и наличие такой явно декларируемой связи не будет провоцировать "туннели" у эксплуатантов/безопасников (если они сами этого не захотят, ага). Т.е. это не приведет к ситуации "Согласно УПД.02 обязательно включаем в SecretNet дискреционку и мандатку с полным разграничением" - гибкость останется. Это к вопросу о вашем страхе, цитирую: <... при создании СЗИ и аттестации ГИС приоритет будет у списка мер регулятора вне зависимости от особенностей объекта защиты... > Так-то при наличии Приказа с перечнем мер, при наличии БДУ (и при наличии самого регулятора, ага) везде и всегда приоритет будет у списков/перечней/позиции самого регулятора...
Суть претензий ясна или опять начнете упрекать в вырывании фраз из контекста и прочем дурном тоне?

to oko:

> Смысл здесь не в тупом чтении документа как такового, а в парадоксальном влиянии такого подхода на процесс (цикл) работ по ЗИ в ИС.

Сможете конкретно указать какие именно мои слова являются "тупым чтением документа"?

> что ваше "разделение" УБИ и мер по принципу буквы (УБИ на первом этапе, ответственность за них своя; меры на другом этапе - ответственность своя).

Во-первых, нормативные и методические документы регулятора разделяют понятия УБИ и мер. Поэтому это не мое разделение, но я его придерживаюсь в своих рассуждениях. Во-вторых, обращал внимание, что модель УБИ, как документ, не статичный, а изменяемый на ВСЕХ СТАДИЯХ СОЗДАНИЯ и ЭКСПЛУАТАЦИИ ГИС, как это указано в НМД ФСТЭКа.

> лица, определившие класс ИС (если, конечно, у них не туннельное зрение и кроме Приложения 1 Приказа они ничего не читают), должны знать о предписанном для данного класса ИС нарушителе.

Увы, но при определении класса защищенности ГИС ни модель угроз ни сведения о нарушителе не используются вне зависимости от наличия (отсутствия) знаний о них. Акты классификации ГИС вместе с моделями УБИ относятся к документам формирования требований к защите информации ИС. Причем классы ГИС аналогично моделям УБИ не являются чем-то статичным и тоже могут в дальнейшем пересматриваться.

> Лица, проводящие моделирование, должны учитывать этот потенциал (и выше, если есть предпосылки) нарушителя и, как следствие, расширять область актуализируемых УБИ.

Да, разделом 5 с приложением № 8 методики оценки УБИ (от 05.02.2021) предусматривается учитывать уровни возможностей нарушителя (ранее используемый схожий термин "потенциал") при определении / оценки актуальных угроз и разработке Модели УБИ.

> А лица, проводящие проектирование, должны выбирать меры защиты, исходя из результатов моделирования и с учетом всех положений Приказа в целом, а не только разделов, касающихся проектирования/внедрения. Именно поэтому считаю ваш ответ тов. Константину (с чего, собственно, все и началось) и юридически, и фактически безграмотным и вредным...

Да, пунктом 15.1 Требований, утвержденными приказом ФСТЭК от 11.02.2013 № 17, предусматривается выбирать меры защиты в ходе проектирования СЗИ ГИС с отражением результатов проектирования в проектной документации. Выбор мер защиты описан в пункте 21 в разделе III указанных Требований вместе с рассматриваемым пунктом 25. Ни о каком разделении требований приказа или частичности применения документа речи не было. В последний раз цитирую:
>> Пункт 25 Требований, утвержденных приказом ФСТЭК от 11.02.2013 № 17, относится к организационным мерам и средствам защиты, применяемым в ГИС. Требования данного пункта должны учитываться при разработке технической документации на СЗИ ГИС (технический проект, рабочая и эксплуатационная документация).
>> В Вашем случае речь идёт о разработке модели УБИ, являющегося документом формирования требований к защите информации ГИС. В данном случае использование пункта 25 указанных Требований будет некорректным.

И в чем именно в моих рассуждениях заключается "и юридическая и фактическая безграмотность и вредность"?!

to CM
Безграмотность и вредность в том, что тов. Константин, следуя вашему совету, сможет сделать следующее:
- при моделировании указать Н1, когда, положим, 25 пункт говорит "не ниже Н2";
- при проектировании/внедрении забить на результаты моделирования и предусмотреть/реализовать меры защиты для нарушителя "не ниже Н2", выбрав их, мягко говоря, "экспертным методом" безотносительно УБИ (ведь модель эти УБИ от "не ниже Н2" тупо не рассматривала);
- далее до ввода в эксплуатацию, оценки и т.п. вилка: либо оставить все как есть (и опять-таки забить), либо, pro bono commune, повторно провести моделирование угроз с актуализацией конкретных УБИ от "не ниже Н2" (ПОТОМУ ЧТО МОДЕЛЬ НЕ СТАТИЧНА И ИЗМЕНЯЕМА НА ВСЕХ СТАДИЯХ, ага), чтобы удостовериться (или доказать лицам, проводящим последующую оценку) в правильности выбранных ранее мер (или внести в них изменения).
В первом случае явно страдает защищенность ИС (или не страдает, если "экспертным методом" удалось предусмотреть меры защиты по принципу "пальцем в небо", что редко). Во втором случае неоправданно повышаются трудозатраты и, зачастую, экономические затраты на создание/внедрение/эксплуатацию. И, в определенных случаях, это можно рассмотреть как нецеленаправленное расходование бюджетных средств со всеми вытекающими...
Если вы подтверждаете, что именно этот вариант предлагали тов. Константину, то это и есть "тупое чтение документов" (потому что классификация, моделирование, проектирование и т.п. - это действительно разные стадии, но принципом комплексности вы пренебрегаете, ага). Если не подтверждаете, то убедительная просьба - прекратите жевать и объясните внятно, что вы имеете в виду, когда раз от раза приводите одни и те же выжимки из Приказов, в контексте означенной проблемы...

ЗЫ Регулятор-то УБИ и меры разделяет. Но я говорил об отсутствии явно декларированной регулятором "связи" между УБИ и мерами защиты. И объяснял, почему она нужна. Либо плохо объяснил, либо наше общение перешло на новый уровень - бессмысленный и беспощадный троллинг, ага...

to oko:

> Безграмотность и вредность в том, что тов. Константин, следуя вашему совету, сможет сделать следующее: ...

Здесь мои рассуждения о нормативных требованиях подменяются Вашими предположениями о возможном поведении третьих лиц. Ни одна из высказанных мной формулировок не порождают весь объем предполагаемых Вами событий. Опять очередное искажение высказанного мной ранее. Да ещё это неуемное желание "приписать" что-то дополнительное.
Думаю, что пришло время извиниться за необоснованные обвинения в "тупом чтении документов" и "юридической и фактической безграмотности и вредности". Без этого дальнейший диалог будет невозможным.

to CM
Непосредственно порождают, любезнейший... Цитирую для наглядности:
<Допустим класс защищенности К2. Согласно 25 пункту орг.меры/сзи должны защищать от угроз БИ нарушителем не ниже усиленного базового (H2 в методике) ... Значит ли это, что в модели угроз я не могу сделать вывод, что для моей ГИС соответствует нарушитель с базовым потенциалом (H1) ?>
<Нет. Не значит. ... В Вашем случае речь идёт о разработке модели УБИ, являющегося документом формирования требований к защите информации ГИС. В данном случае использование пункта 25 указанных Требований будет некорректным> и <... Модель УБИ, как документ, не статичный, а изменяемый на всех стадиях создания и эксплуатации ГИС ... Поэтому "занижение", скорее всего, показывает на необходимость актуализации информации в Модели УБИ>
Следствие, что при таком подходе либо страдает защищенность оконечной ИС, либо совершаются абсолютно лишние телодвижения (трудозатраты, экономические затраты и т.п., что тоже отрицательно влияет на весь процесс работ в ИС в целом), не заметит только слепой...
И да, готов извиниться за обвинения во вреде, безграмотности и проч., если вы, primo, не работаете в сфере ЗИ/ИБ, secundo, все эти 3 страницы переписки ведете из принципа "лишь бы язык почесать" и, tertio, имеете врожденные проблемы с логикой, анализом причинно-следственных связей и оценкой последствий собственных слов и действий, ага...

Еще вопрос возник.

Ранее Денис подсказал, что можно уйти от рассмотрения нарушителя в лице спец служб предположив, что они не актуальны для системы.

Подскажите, пожалуйста, а, как обстоит дело с объектами и компонентам воздействия? требуется ли рассматривать исчерпывающий перечень включая средства защиты информации и тд Или тоже можно предполагать, что СЗИ на то и СЗИ, чтобы не включать их в объект воздействия?

И не совсем ясно в МУ надо указывать конкретные объекты воздействия например СУБД PostgreSQL или достаточно написать СУБД ? для ГИС, которая находится в эксплуатации.

to Константин
Соотношение "трудозатраты - необходимость - квалификация" же: если сможете до косточек рассмотреть каждый компонент ИС под микроскопом и сформировать непротиворечивый набор актуальных угроз - не вопрос. "Глубину" анализа объектов воздействия (защиты), возможностей нарушителей и тем более сценариев определяют эксперты-авторы Модели (с оглядкой на необходимый минимум Методики и здравый смысл, разумеется). Важно, однако, чтобы потом этот набор данных не превратился в кирпич, который невозможно использовать для формирования корректного набора мер защиты "без поллитры", ага...
Что до СЗИ... imho, в простейшем случае делите на "иностранные \ отечественные", "с открытым кодом \ проприетарные", "локальные \ облачные", "с соблюдением условий интеграции \ используемые абы как и кем-то левым настроенные" (последние два примера скорее о взаимовлиянии СЗИ на процессы и ИС в целом) и рассматривайте возможные риски их эксплуатации в контексте значимости ИС и актуального нарушителя (как с той же Cisco до известных событий, ага). При этом следует помнить, что СЗИ обычно являются первым "эшелоном", с которым сталкивается нарушитель. Впрочем, тут главное не переиграть самого себя, как в хохме про "для защиты ИОД ставим СКЗИ -> для защиты СКЗИ ставим СДЗ -> для защиты СДЗ опечатываем сист.блок -> для контроля печатей заводим эл.журнал -> для защиты журнала внедряем ЭП -> для реализации ЭП ставим СКЗИ -> ..."...
С другой стороны, регулятор настоятельно просит не учитывать СЗИ в Модели. imho, для соблюдения логики тогда следует учитывать только СЗИ, неотделимые от ИС (как, например, аппаратные МЭ, служащие единственными маршрутизаторами сетевой инфраструктуры, на базе которой реализована ИС). И, если так, то подобные СЗИ тоже следует подвергнуть цензу. Как минимум по факту наличия/отсутствия действующих сертификатов регулятора (в случае Профиля, а не ТУ, ага), наличия/отсутствия известных уязвимостей, наличия/отсутствия имеющихся архитектурных/конфигурационных особенностей ИС, позволяющих "обойти" используемые СЗИ или захватить управление ими...

ЗЫ А вообще,работы по действующим ИС (тем более ГИС) в контексте существующих Приказов и Методик - это та еще головная боль...

2 oko благодарю