Страницы: < 1 2 3 4 5 6 7 8 9 10 11 12 13 >
Автор: oko | 110208 | 15.07.2022 17:17 |
to Константин
Де юре связь не расписана. Де факто - можно поступать сообразно логике (и отсеивать тактики/техники по принципу актуализированных нарушителей предварительно). Да и нужно бы - иначе многомиллионные сценарии станут на пару порядков еще... мнэ... миллионнее. А русский лес как ни крути нужно беречь. Тем более сейчас, ага... |
Автор: CM | 110210 | 16.07.2022 15:56 |
to Константин:
> А есть ли взаимосвязь в МУ между тактиками-техниками и возможностями нарушителя ? И какая ? ну например Т1 доступна для H1, а Т10 H1 уже не потянет. Или любая тактика-техника доступна любому нарушителю ? > ошибься, спрашиваю про взаимосвязь в Методике.. Судя по ранее заданным вопросам с Методикой оценки УБИ (от 05.02.2021) Вы ознакомились и ответ для Вас очевиден, что в действующей редакции документа взаимосвязь между тактиками-техниками и уровнями возможностей нарушителя не прописана. Да и задачи такой в Методике не было. Уровень возможностей нарушителя определяет возможность им реализации угрозы. Условная характеристика "совокупности уровня компетентности, оснащенности ресурсами, и мотивации для реализации УБИ". А тактики и техники используются при описании сценария, как некоего "набора действий" выполняемых нарушителем для проведения атак. В Методике определены "основные тактики" и "типовые техники", которые сами по себе могут быть присущи любому нарушителю. |
Автор: oko | 110211 | 17.07.2022 23:04 |
*в сторону*
Представил, как группа лиц в "веселых поясах" напряженно изучает выхлоп Shodan. А инсайдер-бухгалтер после отправки "мылом" украденных документов изо всех сил нагнетает трафик в канал связи. Изнутри, ага... |
Автор: Константин | 110212 | 18.07.2022 10:16 |
2 oko CM Спасибо!
|
Автор: Константин | 110260 | 11.08.2022 16:57 |
Подскажите, пожалуйста, какие документы хочеть видеть ФСТЭК в разделе МУ для ГИС (не КИИ)-
"Нормативные правовые акты, методические документы, национальные стандарты, используемые для оценки угроз безопасности информации и разработки модели угроз" На сайте БДУ в разделе документы под этот раздел подходят всего два документа: 1.Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка) Утверждена Заместителем директора ФСТЭК России 15 февраля 2008 г. 2.Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных Утверждена Заместителем директора ФСТЭК России 14 февраля 2008 г. соотв. меняем второй документ на актуальный. А что ещё? |
Автор: Константин | 110261 | 11.08.2022 17:00 |
ну наверное ТЗ на ГИС ещё можно указать
|
Автор: Константин | 110262 | 11.08.2022 18:01 |
И еще вдогонку такой вопрос:
В 2018 году при согласовании модели угроз ФСТЭК выставлял следующие замечания исправления для ГИС находящейся в эксплуатации: - отсутствует перечень ПО применяемого в системе (вендор, название, версия, тип и тд) с учетом которого производится описание возможных уязвимостей системы - отсутствует перечень аппаратно-программных средств и тех устройств - отсутствует описание возможных уязвимостей системы с использование БДУ на основании типа ПО, наименование ОС и типа аппаратной платформы, названия и версии ПО. В описании целесообразно отразить уровень опасности каждой уязвимости Подскажите это актуально для составления МУ по нынешнему методическому документу ФСТЭК ? Я про наименования и версии используемого ПО и тех средств + их уязвимсоти согласно БДУ |
Автор: CM | 110263 | 12.08.2022 07:49 |
to Константин:
> Подскажите, пожалуйста, какие документы хочеть видеть ФСТЭК в разделе МУ для ГИС (не КИИ) Методика оценки УБИ от 11.02.2021 не предусматривает разработку разных моделей угроз для ГИС и КИИ. ГИС может быть и объектом КИИ, а может им и не быть. Модель угроз будет одна. Она может включать в себя моделирование/определение угроз при использовании СКЗИ (по Методическим рекомендациям, утв. 8 Центром ФСБ России от 31 марта 2015 года № 149/7/2/6-432) или такое моделирование/определение оформляется отдельным документов. Я на практике рекомендую оформлять раздельно. Если Модель угроз оформляется только по требованиям ФСТЭК (без учета требований ФСБ), то основными документами для неё будут: - Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119; - Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2013 года № 17 (зарегистрировано в Минюсте России 31 мая 2013 года, регистрационный № 28608); - Методика оценки угроз безопасности информации (методический документ, утвержденный ФСТЭК России 5 февраля 2021 года); - Банк данных УБИ ФСТЭК России - Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (методический документ, утвержденный директором ФСТЭК России 15 февраля 2008 года); - Акт классификации защищенности ГИС; - Акт определения типа актуальных угроз безопасности персональных данных и установления уровня их защищенности при обработке в ГИС (при наличии обработки ПДн); - Техническое задание на создание СЗИ ГИС (при наличии). Если Модель угроз включает оценку требований при использовании СКЗИ, то в перечень можно добавить документы: - Методические рекомендации по разработке правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности (утверждены руководством 8 Центра ФСБ России от 31 марта 2015 года № 149/7/2/6-432); - Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденные Приказом ФСБ России от 10 июля 2014 года № 378 (рег. в Минюсте России от 18 августа 2014 года № 33620); - Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденная приказом ФАПСИ от 13 июня 2001 года № 152 (зарегистрировано в Минюсте России от 31 мая 2013 года № 28608) - ЕСЛИ НА ЭТОТ ДОКУМЕНТ ПО ТЕКСТУ ЕСТЬ ОТСЫЛКА. При наличии технической и эксплуатационной документации на ГИС можно указать Технический паспорт, схему функциональной структуры, структурную схему, схему организации криптографической защиты (к разделам оценке требований при использовании СКЗИ) и описания к этим схемам, а также соглашения и регламенты информационного взаимодействия с соответствующими схемами в случае функционирования ГИС на базе информационно-телекоммуникационной инфраструктуры ЦОДа. > Подскажите это актуально для составления МУ по нынешнему методическому документу ФСТЭК ? Я про наименования и версии используемого ПО и тех средств + их уязвимсоти согласно БДУ Актуально. Спрашивать будут, иначе как без схем, перечней и описаний ПО, технических средств и средств защиты, изложенное в Модели угроз проверить по существу? Помните, что Модель угроз является документом формирования требований к защите информации его лучше не превращать в техническую документацию. Достаточное для проверки Модели угроз описание используемого ПО, технических средств и средств защиты приводится в Техническом паспорте. Если данный документ есть, то в Модели угроз достаточно на него и его реквизит сделать отсылку, а при отправке Модели угроз ОБЯЗАТЕЛЬНО приложить документ. Если данного документа нет, то описание ПО, технических средств и средств защиты лучше вынести в отдельное приложение к Модели угроз. Обязанность отправки копий паспортов ГИС при согласовании моделей нормативно не предусмотрено, но и не запрещена. Поэтому если документ Модель угроз отправляется в адрес ведомства на согласование, то другие копии документов можно приложить справочно, обеспечивая рассмотрение документа в ходе его согласования. Аналогично можно поступать и со схемами, описаниями и т.д. |
Автор: Константин | 110264 | 12.08.2022 09:36 |
2 CM Большое спасибо!
|
Автор: Константин | 110265 | 12.08.2022 09:50 |
2 CM
Я ни в коем случае не пытаюсь докопаться, но где в Методике оценки угроз 2021 написано про то, что в МУ должны быть отражены уязвимости используемого ПО и его характеристики ? Мы же всё опираемся на пункты методики при составлении МУ, вы ранее отвечая на мои вопросы тоже при ответе ссылались на пункты методики. |
Просмотров темы: 10068