Автор: oko | 109026 | 17.02.2021 01:55 |
Ознакомился с новой методикой УБИ от 05.02.2021. Покурил 17, 21, 31 и 239 приказы ФСТЭК. Долго думал...
Ну, с непонятками типа Н1-Н4, крайне похожими на Н1-Н6 у "другого" регулятора, но явно с ними не коррелирующими, - хрен с ними. Разные конторы, курс на сближение (как с классами сертификации СЗИ), плавали-знаем... Ну ошибки в этих самых Н-типах (Приложения 8 и 9), когда в одном месте Н3, а в другом этому же нарушителю пишут Н4 - это тоже простительно. В конце концов, Приложение = Пример. И ничего, что бОльшая часть доморощенных экспертов, эксплуатантов и прочих воспринимают "Пример" как "Обязательно", а слово "Рекомендуется" возводят в абсолют. Мы давно в этой теме, уже привыкли, разберемся на месте и с каждым в отдельности... Ну "тактика", которая теперь де факто определяет актуальность, - не страшно. Понятно, что любители "сценариев" и условные white hat, очевидно, кричали громче всех. Понятно, что при моделировании какой-нибудь гетерогенной ИС объем "сценариев" (если серьезно к делу подходить) легко сожрет леса Амазонки. И что "недостаточная полнота рассмотрения сценариев и тактик" будет отныне на первом месте в отказе согласования ЧМУ. Ничего, автоматизируемся, подстроимся, да и русский лес нам резать не впервой... Но нахрена вводить разделение на "сценарии" и "способы"? Причем "способы" вроде как делают УБИ "возможной", а "сценарии" - "актуальной". В Проекте Методики-2020 сразу речь шла о "сценариях" без прочих промежуточных терминов. И не надо говорить, что такой подход позволит вписать в ЧМУ только потенциально актуальные УБИ (которые потом подвергнутся анализу на предмет наличия реальных "сценариев" в конкретной ИС), а не все подряд из БДУ - явно об этом не сказано, что значит, понимай как хочешь. Или что "сценарий" (в отличие от "способа") может быть нивелирован имеющимися СЗИ и орг.мерами. Попробуйте ради хохмы для какой-нибудь действующей ИС нивелировать сценарии нарушителя с "высоким потенциалом" с его ЭУНПИ и 0-day, ага... И, главное, где численные или хотя бы формальные показатели? Где результирующие критерии на их основе? Пусть они набили оскомину еще в Методике-2008 (где, например, нельзя исходную защищенность "посчитать" лучше "средняя" для большинства случаев). Но отказ от введения хоть каких-то нормированных значений, imho, еще хуже, чем их неудачный подбор. Потому что в таком ракурсе каждая ЧМУ превратится в бумажку из сортира за подписью неизвестного художника. Вне зависимости от печатей и серьезности лиц, ее составлявших... Еще посыпаю голову пеплом. В свое время при анализе Проекта Методики-2020 протупил и не задумался сразу, а теперь просто обалдел от понимания глубины прикола в новой Методике-2021. Для ясности: теперь официально получается, что "Высокий потенциал" однозначно = супернатурал с неограниченными возможностями. А как тогда прикажете понимать 17 Приказ с его требованием п. 25 для ГИС К1? СП, ПЭМИН, АВАК, АЭП - вот это все, причем по методикам ГТ, раз у нас "спецслужба"? Но при этом СЗИ с ОУД-4 и СВТ-5 и пропасть между К2 и К1 аж в целый "средний потенциал"? Да, японский бог, даже для ЗОКИИ 1 кат. такого явного требования нет, хотя, казалось бы, куда уж критичнее? ЗЫ Все вышесказанное - полуночный крик души и как обычно на правах imho. Заодно от всей души поздравляю тех, кто решил, но не успел раньше, лицензироваться по мониторингу, ага... |
Автор: VM | 109080 | 10.03.2021 11:05 |
Вообще актуальность, обусловленная наличием сценариев, может привести к тому, что кто-то "проворонит" сценарий для 0-day
|
Автор: WORM, МК | 109081 | 10.03.2021 11:29 |
to oko
Тут американские "партнеры" на неделях пообещали кибератаки но органы власти. Заодно и посмотрим, как работает нарушитель Н1 )) Результаты включеним в МУ. А по методичке получается така петрушка: если имеется техническая возможность реализовать угрозу (т.е. способ) и есть нарушитель, который готов ее реализовать, то угроза актуальна, что мы там ни писали в "негативных последствиях", "объектах воздействия" и прочих пунктах... Это все мы пишем для регулятора. А для дела - перебираем весь БДУ, и если угроза может случиться в данной ИС, то она актуальна. Точка. Угроз ПЭМИН/АВАК и НДВ в БДУ нет? Нет. Значит, и не пишем про них ничего. Меньше знаешь - крепче спишь )) |
Автор: WORM, МК | 109082 | 10.03.2021 12:42 |
З.Ы. а вот и атака, собственно. Не открываются сайты Правительства, ГД, Роскомнадзора, ФСТЭК и ФСБ пока дышат...
|
Автор: oko | 109083 | 10.03.2021 14:50 |
to VM
+1 to WORM Не согласен. П. 5.3.3: "возможная УБИ" = "нарушитель"+"объект"+"последствия"+"способ". А вот по п. 5.3.4: "актуальная УБИ" = "возможная УБИ" + "явный(ые) сценарий(ии)"... И вся подобная оценка в изложениях Методики, imho, крайне тупая и относительная... Впрочем, все, что хотел сказать по новой Методике, уже сказал - чего лишний раз повторяться... |
Автор: WORM, МК | 109084 | 10.03.2021 17:04 |
to oko
"нарушитель"+"объект"+"последствия"+"способ" Ну так объект есть практически всегда. Разве что съемных МНИ у кого-то нет, остальные объекты воздействия в наличии. Доказать, что способ есть, а сценария нет, вряд ли получиться. Поэтому берем БДУ, откидываем технически невозможные угрозы, откидываем угрозы, которые доступны "более высокому" нарушителю, оставшиеся будут актуальны. |
Автор: oko | 109085 | 10.03.2021 17:55 |
to WORM
Ага, и защищаемся от всего и сразу. А Модель в итоге состоит из одной единственной таблицы и приписки "такие-то угрозы технически не реализуемы в виду отсутствия ..." Не, предлагаю иной продуктивный подход: - способ (правильнее говорить, "вектор") всегда есть, но он потенциален; - действующие СЗИ или исходные меры защиты закрывают тот или иной сценарий; - пишем сценарии с оглядкой на оные меры защиты. Поскольку сценариев для каждой УБИ и каждого способа может быть околобесконечное число (можно заморочиться и доказать математически, но откровенно вломм), постольку на любой проверке будем всегда не правы. С другой стороны, сохраним русский лес, да и Модель будет реально рабочая, а не похожа на N-мерный шар, ага... |
Автор: WORM, МК | 109086 | 10.03.2021 18:20 |
oko,
оно, конечно, так, только от сотрудников 2-г управления не раз слышал: 1. СЗИ в МУ не учитывать! 2. Актуальных д.б не менее 100 угроз. Такие вот хотелки у нашего регулятора. В общем, нужны две МУ: одна - согласовать со ФСТЭК/ФСБ, другая - для защиты. |
Автор: VM | 109087 | 11.03.2021 10:07 |
С СЗИ в МУ не учитывать логика на самом деле простая - любой тактический прогноз делается из соображения нулевого противодействия. Модель получается отвечает на вопрос - "как должно быть", вопрос "как сделать дёшево" из внимания упускается.
|
Автор: oko | 109088 | 11.03.2021 11:10 |
to all
Отсутствие СЗИ в Модели - это нормально для вновь создаваемых систем. НО: - ГИС всегда позиционируются как АСЗИ, а там КСЗИ уже является неотъемлемой частью АС/ИС; - при повторном моделировании УБИ для АС/ИС, ранее введенных в эксплуатацию, не учитывать структуру и функционал КСЗИ попросту глупо; - при моделировании УБИ для АС/ИС, в составе которой имеется КСЗИ, но первичное моделирование не проводилось, получаем нонсенс аналогично предыдущему варианту. И потом, ладно не учитывать сертиф.СЗИ, которые внедрены или будут внедряться в АС/ИС (все мы тут не маленькие дети и понимаем, что работы по ЗИ/ИБ обычно проводятся в один этап, включая аттетационные испытания - что бы там ни писал регулятор, но Заказчику это хрен объяснишь). Но не учитывать "исходные меры" - imho, верх идиотии. И, самое главное, где черта, определяющая отнесение тех или иных мер к "учитываемым" и "неучитываемым"? Методика конкретного ответа не дает (хотя предлагалось). Например, контрольно-пропускной режим учитывать следует или нет? Комлексное видеонаблюдение? Существующую парольную политику? А ведь спектр угроз при учете и без учета приведенного - это две большие разницы... |
Просмотров темы: 3679