Новая Методика УБИ - Форум по вопросам информационной безопасности

Ознакомился с новой методикой УБИ от 05.02.2021. Покурил 17, 21, 31 и 239 приказы ФСТЭК. Долго думал...
Ну, с непонятками типа Н1-Н4, крайне похожими на Н1-Н6 у "другого" регулятора, но явно с ними не коррелирующими, - хрен с ними. Разные конторы, курс на сближение (как с классами сертификации СЗИ), плавали-знаем...
Ну ошибки в этих самых Н-типах (Приложения 8 и 9), когда в одном месте Н3, а в другом этому же нарушителю пишут Н4 - это тоже простительно. В конце концов, Приложение = Пример. И ничего, что бОльшая часть доморощенных экспертов, эксплуатантов и прочих воспринимают "Пример" как "Обязательно", а слово "Рекомендуется" возводят в абсолют. Мы давно в этой теме, уже привыкли, разберемся на месте и с каждым в отдельности...
Ну "тактика", которая теперь де факто определяет актуальность, - не страшно. Понятно, что любители "сценариев" и условные white hat, очевидно, кричали громче всех. Понятно, что при моделировании какой-нибудь гетерогенной ИС объем "сценариев" (если серьезно к делу подходить) легко сожрет леса Амазонки. И что "недостаточная полнота рассмотрения сценариев и тактик" будет отныне на первом месте в отказе согласования ЧМУ. Ничего, автоматизируемся, подстроимся, да и русский лес нам резать не впервой...

Но нахрена вводить разделение на "сценарии" и "способы"? Причем "способы" вроде как делают УБИ "возможной", а "сценарии" - "актуальной". В Проекте Методики-2020 сразу речь шла о "сценариях" без прочих промежуточных терминов. И не надо говорить, что такой подход позволит вписать в ЧМУ только потенциально актуальные УБИ (которые потом подвергнутся анализу на предмет наличия реальных "сценариев" в конкретной ИС), а не все подряд из БДУ - явно об этом не сказано, что значит, понимай как хочешь. Или что "сценарий" (в отличие от "способа") может быть нивелирован имеющимися СЗИ и орг.мерами. Попробуйте ради хохмы для какой-нибудь действующей ИС нивелировать сценарии нарушителя с "высоким потенциалом" с его ЭУНПИ и 0-day, ага...
И, главное, где численные или хотя бы формальные показатели? Где результирующие критерии на их основе? Пусть они набили оскомину еще в Методике-2008 (где, например, нельзя исходную защищенность "посчитать" лучше "средняя" для большинства случаев). Но отказ от введения хоть каких-то нормированных значений, imho, еще хуже, чем их неудачный подбор. Потому что в таком ракурсе каждая ЧМУ превратится в бумажку из сортира за подписью неизвестного художника. Вне зависимости от печатей и серьезности лиц, ее составлявших...

Еще посыпаю голову пеплом. В свое время при анализе Проекта Методики-2020 протупил и не задумался сразу, а теперь просто обалдел от понимания глубины прикола в новой Методике-2021. Для ясности: теперь официально получается, что "Высокий потенциал" однозначно = супернатурал с неограниченными возможностями. А как тогда прикажете понимать 17 Приказ с его требованием п. 25 для ГИС К1? СП, ПЭМИН, АВАК, АЭП - вот это все, причем по методикам ГТ, раз у нас "спецслужба"? Но при этом СЗИ с ОУД-4 и СВТ-5 и пропасть между К2 и К1 аж в целый "средний потенциал"? Да, японский бог, даже для ЗОКИИ 1 кат. такого явного требования нет, хотя, казалось бы, куда уж критичнее?

ЗЫ Все вышесказанное - полуночный крик души и как обычно на правах imho. Заодно от всей души поздравляю тех, кто решил, но не успел раньше, лицензироваться по мониторингу, ага...

Вообще актуальность, обусловленная наличием сценариев, может привести к тому, что кто-то "проворонит" сценарий для 0-day

to oko

Тут американские "партнеры" на неделях пообещали кибератаки но органы власти. Заодно и посмотрим, как работает нарушитель Н1 )) Результаты включеним в МУ.

А по методичке получается така петрушка: если имеется техническая возможность реализовать угрозу (т.е. способ) и есть нарушитель, который готов ее реализовать, то угроза актуальна, что мы там ни писали в "негативных последствиях", "объектах воздействия" и прочих пунктах... Это все мы пишем для регулятора. А для дела - перебираем весь БДУ, и если угроза может случиться в данной ИС, то она актуальна. Точка.

Угроз ПЭМИН/АВАК и НДВ в БДУ нет? Нет. Значит, и не пишем про них ничего. Меньше знаешь - крепче спишь ))

З.Ы. а вот и атака, собственно. Не открываются сайты Правительства, ГД, Роскомнадзора, ФСТЭК и ФСБ пока дышат...

to VM
+1

to WORM
Не согласен. П. 5.3.3: "возможная УБИ" = "нарушитель"+"объект"+"последствия"+"способ". А вот по п. 5.3.4: "актуальная УБИ" = "возможная УБИ" + "явный(ые) сценарий(ии)"...
И вся подобная оценка в изложениях Методики, imho, крайне тупая и относительная... Впрочем, все, что хотел сказать по новой Методике, уже сказал - чего лишний раз повторяться...

to oko
"нарушитель"+"объект"+"последствия"+"способ"

Ну так объект есть практически всегда. Разве что съемных МНИ у кого-то нет, остальные объекты воздействия в наличии.

Доказать, что способ есть, а сценария нет, вряд ли получиться.
Поэтому берем БДУ, откидываем технически невозможные угрозы, откидываем угрозы, которые доступны "более высокому" нарушителю, оставшиеся будут актуальны.

to WORM
Ага, и защищаемся от всего и сразу. А Модель в итоге состоит из одной единственной таблицы и приписки "такие-то угрозы технически не реализуемы в виду отсутствия ..."
Не, предлагаю иной продуктивный подход:
- способ (правильнее говорить, "вектор") всегда есть, но он потенциален;
- действующие СЗИ или исходные меры защиты закрывают тот или иной сценарий;
- пишем сценарии с оглядкой на оные меры защиты.
Поскольку сценариев для каждой УБИ и каждого способа может быть околобесконечное число (можно заморочиться и доказать математически, но откровенно вломм), постольку на любой проверке будем всегда не правы. С другой стороны, сохраним русский лес, да и Модель будет реально рабочая, а не похожа на N-мерный шар, ага...

oko,
оно, конечно, так, только от сотрудников 2-г управления не раз слышал:
1. СЗИ в МУ не учитывать!
2. Актуальных д.б не менее 100 угроз.

Такие вот хотелки у нашего регулятора.

В общем, нужны две МУ: одна - согласовать со ФСТЭК/ФСБ, другая - для защиты.

С СЗИ в МУ не учитывать логика на самом деле простая - любой тактический прогноз делается из соображения нулевого противодействия. Модель получается отвечает на вопрос - "как должно быть", вопрос "как сделать дёшево" из внимания упускается.

to all
Отсутствие СЗИ в Модели - это нормально для вновь создаваемых систем. НО:
- ГИС всегда позиционируются как АСЗИ, а там КСЗИ уже является неотъемлемой частью АС/ИС;
- при повторном моделировании УБИ для АС/ИС, ранее введенных в эксплуатацию, не учитывать структуру и функционал КСЗИ попросту глупо;
- при моделировании УБИ для АС/ИС, в составе которой имеется КСЗИ, но первичное моделирование не проводилось, получаем нонсенс аналогично предыдущему варианту.
И потом, ладно не учитывать сертиф.СЗИ, которые внедрены или будут внедряться в АС/ИС (все мы тут не маленькие дети и понимаем, что работы по ЗИ/ИБ обычно проводятся в один этап, включая аттетационные испытания - что бы там ни писал регулятор, но Заказчику это хрен объяснишь). Но не учитывать "исходные меры" - imho, верх идиотии. И, самое главное, где черта, определяющая отнесение тех или иных мер к "учитываемым" и "неучитываемым"? Методика конкретного ответа не дает (хотя предлагалось). Например, контрольно-пропускной режим учитывать следует или нет? Комлексное видеонаблюдение? Существующую парольную политику? А ведь спектр угроз при учете и без учета приведенного - это две большие разницы...