Новая Методика УБИ - Форум по вопросам информационной безопасности

to WORM
Кстати, про НДВ, ПЭМИН и проч. Есть п. 5.2.3, согласно которому многое определяется типом нарушителя. И если "высокий", то все не так очевидно становится...

"И если "высокий", то все не так очевидно становится..."

Ага. И открываем Модель 2025 и начинаем читать, что там есть у нашего нарушителя Н1. Хе-хе.

З.Ы. Вот завтра буду не лекции, которую проводит представитель 2-го упр. по номой методичке. Узнаю что-нибудь новенькое - отпишусь...

> оно, конечно, так, только от сотрудников 2-г управления не раз слышал:
> 1. СЗИ в МУ не учитывать!

Первый раз слышу про такую позицию представителя регулятора. Данная позиция чем-то объясняется?
Если исходить из того, что средства защиты информации и организационные меры создают в ИС условия для угроз, тогда понятно почему для конкретной ИС определяются именно актуальные угрозы из числи всех возможных. Если СЗИ не учитывать, то это равносильно исключению условий и становится не совсем понятным в чем заключается цель работы по определению актуальных угроз?! Анализ угроз ради анализа самих угроз, как работа ради работы?
Скорее всего, имеет место быть какое-то недопонимание позиции представителя регулятора или данная позиция была высказана в определенном контексте...

> З.Ы. Вот завтра буду не лекции, которую проводит представитель 2-го упр. по номой методичке. Узнаю что-нибудь новенькое - отпишусь...

Если у вас будет возможность, уточните на лекции позицию регулятора по статусу Модели УБИ, как документа. К какому виду документации она относится: технической, организационно-распорядительной или какой-то другой?

to WORM
Не придирки ради, но конкретики для - не Н1, а все-таки Н4 (теперь по ФСТЭК) или Н6 (как всегда по ФСБ)...
Хотя 25ую навскидку не помню. Но и упоминания Н-типов нарушителей в ней тоже не припоминаю...

to CM
А нет у нее статуса - основополагающий документ как-никак. На ЧМУ базируется итоговое ТЗ на создание АС, а все стадии и разделение на ПД, ЭД и проч., предусмотренные ГОСТ, начинаются с ТЗ. В том же 17 Приказе ФСТЭК России ЧМУ тоже выделяется в отдельную часть - проектная, техническая, эксплуатационная и орг.-распор. документация (согласно п. 17.1) идут позже...
В этом контексте, правда, не ясно, к чему относить переработанные ЧМУ для эксплуатируемых объектов (например, по сроку давности или по факту появления новых УБИ/уязвимостей/требований регулятора)...

to all
Ради хохмы сварганил картинку: разница подходов при моделировании по старым БазовойМодели+Методике2008 и Методике2021. Залил сюда: https://ibb.co/gwRBp0y
Было бы неплохо обсудить, ежели в чем ошибаюсь

*вдогонку*
Ага, и сам же заметил косяк - залил не финальный вариант. Там из "Сценариев" не следствие в "Сравнительный анализ...", а "=" в "Актуальность по каждой УБИ", разумеется...
Вот так правильно: https://ibb.co/6YDnrdm

> А нет у нее статуса - основополагающий документ как-никак. На ЧМУ базируется итоговое ТЗ на создание АС, а все стадии и разделение на ПД, ЭД и проч., предусмотренные ГОСТ, начинаются с ТЗ.

У любого документа должен быть статус. Иначе сложность понимания предмета его содержания будет продолжаться долго, пока наработанная практика не установит де-факто. Даже самый основополагающий документ (Конституцию) юристы рассматривают в качестве основного закона, имеющего наивысшую юридическую силу. Что-то вроде "первого закона над всеми законами на определенной территории". И на практике это подтверждается (не вдаваясь в подробности в качество такого применения).
И да. Мне известно, что статус Модели УБИ, как документа, сейчас ничем не определен. Поэтому интересует хотя бы устная позиция представителей регулятора по данному вопросу.
"Основополагающий" не дает представление о статусе Модели УБИ, как документа. Не имеется же в виду "выше Конституции"?! Как с ним работать, как с техническим документом (ТД) или как с организационно-распорядительным (ОРД)? В условиях предложенного термина этот вопрос будет звучать примерно так: Модель УБИ будет основополагающим для каких видов документов - технических или организационно-распорядительных?
Ответ на данный вопрос дает возможность использовать принципы, применяемые для определенного рода документов и, тем самым, позволяет "сгладить" недостатки Методики оценки УБИ при разработке Модели УБИ.
Например, если Модель УБИ это ТД, то, для его разработки целесообразно использовать "технические" стандарты, вводить и актуализировать в составе ТД. В какой именно комплект ТД (ТП / РД / ЭД / ПрД / КД или иной) это уже другой вопрос. Если Модель УБИ это ОРД, то его разработку следует вести с учетом правил, предусмотренных для такого рода документов, вводя его в состав приказов, положений, других ОРД и уже там периодически актуализировать.

> В том же 17 Приказе ФСТЭК России ЧМУ тоже выделяется в отдельную часть - проектная, техническая, эксплуатационная и орг.-распор. документация (согласно п. 17.1) идут позже...

Если рассматривать в целом Требования, утвержденные приказом ФСТЭК России № 17, то Модель УБИ появляется при формировании требований к защите информации, проверяется ее актуальность при создании ГИС и должна периодически актуализироваться в ходе эксплуатации ГИС. Вероятно именно по этой причине в пункте 17.1 данных Требований модель угроз указывается в самом начале списка ИСХОДНЫХ ДАННЫХ ДЛЯ АТТЕСТАЦИИ ГИС. Это совсем не означает, что последовательность перечисления данного пункта наделяет модель угроз "основополагающими свойствами". Например, в пункте 14 Требований мероприятие по определению УБИ (по итогам которого и разрабатывается документ Модель УБИ), едет третьим после принятия решения о необходимости защиты информации, содержащейся в ГИС, и классификации ГИС.
Или только в период аттестации ГИС Модель УБИ становится "основополагающей" на основании пункта 17.1 Требований?!...

> В этом контексте, правда, не ясно, к чему относить переработанные ЧМУ для эксплуатируемых объектов (например, по сроку давности или по факту появления новых УБИ/уязвимостей/требований регулятора)...

"Концепция" Требований, утвержденных приказом ФСТЭК России № 17, позволяет применять 3 подхода: (1) либо переработки Модели угроз проводить как смену редакции одного и того же документа путем внесения в него изменений и дополнений; (2) либо каждую новую Модель угроз проводить в качестве нового документа, отменяющего предыдущий вариант Модели; ()3 либо, использовать "смешанный" подход - "незначительные" изменения (субъективно на ваше усмотрение) вносить изменениями и дополнениями в действующую редакцию Модели УБИ, а после "существенных" изменений (опять же субъективно на ваше усмотрение) выпускать новый документ, отменяя предыдущий.

> Вот так правильно:
> https://ibb.co/6YDnrdm

Формально пунктом 1.8 Методики оценки УБИ "Базовая модель..." не отменена. Это может означать, что ее надо будет как-то учитывать при определении актуальных УБИ. Пусть даже формально в составе исходных данных.

*в сторону*
Слушаю все это и понимаю лесбиянок (с)

to CM
1. "Основополагающий" документ в контексте обсуждения данного топика - это базовый документ, на основании которого строятся мероприятия по защите информации в ИС (в частности). Наряду с порядком классификации и проч. требухой, любезно придуманной "за нас" регулятором. Легким движением руки провести аналогию "основополагания" с Конституцией, imho, это круто. У меня родилась встречная аналогия с "агасофией", но упоминать ее, пожалуй, не буду (во избежание, ага)...
2. Если так интересует статус ЧМУ в иерархии законодательных и иных актов, то он явно <= статусу любого Приказа ФСТЭК России, указывающего необходимость моделирования УБИ. И, исходя из положения ЧМУ в том же 17 Приказе ФСТЭК России, "статус" ЧМУ для эксплуатанта должен быть >= проектной документации и ТЗ на создание ИС или КСЗИ (на начальном ли этапе, на этапе модернизации ли). А где конкретно в своей внутренней иерархии его разместит эксплуатант - регулятору до лампочки (что, в целом, правильно). Руководствоваться ЧМУ как ОРД или ЭД нельзя - нечего там "эксплуатировать" и нечем "распоряжаться". Зато есть от чего "отталкиваться". Потому и "основополагающий", ага...
3. П. 17.1 был приведен для наглядности, что ЧМУ официально ни в ЭД, ни в ПД, ни в ОРД не вписывается. Так что не надо натягивать"основополагание" на аттестацию - это уже чужие извращенные фантазии, мне и своих достаточно...
4. По "Концепции" Требований вы сами придумали или это из курилки с регулятором выросло? Тогда почему в штыки воспринимается тезис тов. WORM об отсутствии СЗИ в ЧМУ? Мало ли чего в курилке обсуждается - за всем не уследишь...
5. Суть проблемы ЧМУ для эксплуатируемых объектов была в том, что переработанная ЧМУ уже формально не имеет связи с ТЗ и, соответственно, требованиями, предъявляемыми к КСЗИ. И, за исключением случая выявления новых уязвимостей (замечу, не УБИ, а уязвимостей, которые, кстати, не единственный "способ" реализации УБИ согласно новой Методике 2021), наличие новых выводов в "новой" ЧМУ не будет являться основанием для переработки ИС, КСЗИ и принятию новых мер защиты. Было бы в Приказах сказано, что ЧМУ крайне важна и для эксплуатируемых объектов - читай, после переработки ЧМУ цикл всегда должен повторяться заново, начиная с переработки требований и мер защиты, - был бы другой коленкор...
6. Формально, Базовая модель и не нужна ни для ИСПДн, ни для ГИС и т.д. Потому что в Приказах регулятора о ней ни слова. Формально новая Методика 2021 тоже не упоминает Базовую модель (как минимум в причину наличия БДУ). И опять-таки формально структура Базовой модели в корне противоречит новой Методике. Так что предлагаю оставить Базовую модель (и излишний формализм) на задворках истории, чтобы легче было дышать. И без них проблем хватает, ага...

> "Основополагающий" документ в контексте обсуждения данного топика - это базовый документ, на основании которого строятся мероприятия по защите информации в ИС (в частности).
> Зато есть от чего "отталкиваться". Потому и "основополагающий",

Для ГИС базовым документом, на основании которого выбираются и строятся мероприятия по защите информации, являются Требования, утвержденные приказом ФСТЭК России № 17, а не разрабатываемая Модель УБИ. Начиная с пункта 20 данных Требований определяются и организационные и технические меры из утвержденного в них состава именуемого БАЗОВЫМ. Модель УБИ же посвящена угрозам, а не мерам, и используется при формировании требований к защите информации вместе с другими документами (решения, акты, концепции, требования).
Поэтому свойство "основополагающего" документа у Модели УБИ остается весьма дискуссионным: по отношению к чему, к кому или к какому периоду времени?
Исходя из предлагаемого другого термина ("отталкиваться") эти вопросы могут звучать так: отталкиваться от чего и к чему приталкиваться? Кто и в какой период времени должен делать эти отталкивания?

На высказывания пункта 2: Модель УБИ не относится к иерархии законодательных актов. Интересовало мнение представителей регулятора о статусе этого документа: свойство (как говорят юристы "какова его природа") и вид.
На мой взгляд Модель УБИ можно использовать и в составе ТД и в составе ОРД. Отличия будут в организации построения всей многолетней работы с данным документом и, вероятнее всего, в редакционных особенностях содержания и оформления документа.
Много раз лично на практике встречал, когда модель угроз разрабатывалась в составе технического проекта разными исполнителями и в разных субъектах страны, и случаи, когда модель угроз вводилась приказами (распоряжениями) и связывалась с соответствующими организационными решениями по срокам и ответственным лицам.

На высказывания пункта 3: никто ничего на аттестацию не натягивал. Была показана некорректность приведенного вами примера с перечислением исходных данных для аттестации в пункте 17.1 Требований.

> Суть проблемы ЧМУ для эксплуатируемых объектов была в том, что переработанная ЧМУ уже формально не имеет связи с ТЗ

Ну, прямой связи между моделями угроз (первоначальной ее редакции или переработанной) и ТЗ - нет, если речь не идёт о выполнении работ или оказании услуг, предметом которых является сама Модель УБИ (разработка, переработка). Разумеется, что при эксплуатации объектов задачи практически всех исполнителей работ (услуг) не связаны напрямую с Моделью УБИ (обслуживание, сопровождение и др.). Может имеются в виду какие-то опосредованные связи, то такие всегда имеют место быть.

По высказываниям пункта 6: Как раз формально Базовая модель остается действующим документом и именно на это обращалось внимание. В пункте 14.3 Требований говорится, что для определения УБИ используются "иные источники, содержащие сведения об уязвимостях и угрозах безопасности информации", кроме БДУ ФСТЭК России. Базовая модель, опять же формально, содержит указанные сведения. Применение Базовой модели при оценке угроз пока остается не совсем ясной.
Если противоречие Базовой модели по сравнению с Методикой оценке УБИ видится в только структуре документов, то очевидно, что разные документы с разным предметом содержания долны иметь и разную структуру. Может под противоречиями документов закладывались какие-то иные менее очевидные различия?!...

*в сторону*
И нечего скалить зубы. Если бы Киплинг имел в виду то же, что и вы, он бы выразился "Rabbit's balls" (с)

1. <Для ГИС базовым документом ... являются Требования> - спасибо, кэп!
2. Вроде как <Модель УБИ же посвящена угрозам, а не мерам, и используется при формировании требований к защите информации вместе с другими документами> == <базовый документ, на основании которого строятся мероприятия по защите информации в ИС (в частности). Наряду с порядком классификации и проч. требухой>? Если семантический функционал не подводит, то к чему это обсуждение? Разве что ради смакования "основополагания" и "отталкивания". Но в это лучше на форуме филологов играть...
3. <Была показана некорректность приведенного вами примера с перечислением исходных данных для аттестации в пункте 17.1 Требований> - еще раз для тех, кто в танке. В п. 17.1 перечисляются все итоговые документы для ИС (потому что аттестация - финальный этап построения и внедрения КСЗИ). И там русским по белому указано, что есть ТЗ, есть ЧМУ, а есть ЭП, ПД и ОРД. Если бы регулятор относил ЧМУ к одному из подобных типов документов, он бы так и сказал (например, ОРД, включая ЧМУ)...
4. <Ну, прямой связи между моделями угроз ... и ТЗ - нет> - а как же п. 14.4? Там опять-таки русским по белому сказано, что требования, предъявляемые к КСЗИ, описываются в ТЗ, но определяются на основании классификации ИС и выводов ЧМУ. Так что прямую связь не заметит только слепой *вырезано* любитель докопаться до основ и импульса, ага */вырезано*...
5. <В пункте 14.3 Требований говорится, что для определения УБИ используются "иные источники...> - вот в Методике 2021 как раз рассказано, что это за "иные источники". И, внезапно, среди них Базовой модели нет. Больше того скажу, упоминания "иных источников" в Приказе 21 ФСТЭК России, посвященном ИСПДн (для которых Базовая модель и писалась), вообще нет...
6. <...очевидно, что разные документы с разным предметом содержания долны иметь и разную структуру> - очевидно, что имеется явная иерархия "Базовая модель ФСТЭК -> Базовая модель ведомства -> Частная модель подведа или организации или конкретной ИС". И в таком ракурсе "Базовая модель", противоречащая букве и духу времени, не достойна жизни. И может использоваться исключительно в качестве источника "для общего развития" (как это было со старой Методикой ФСБ России, из которой любой "непосвященный" мог легко узнать, что же такое нарушитель типа "Нх")...

> Разве что ради смакования "основополагания" и "отталкивания". Но в это лучше на форуме филологов играть...

Ну, если не смогли толком объяснить свои термины на техническом форуме, то есть большие сомнения, что это вам удастся на форуме филологов...

> В п. 17.1 перечисляются все итоговые документы для ИС (потому что аттестация - финальный этап построения и внедрения КСЗИ). И там русским по белому указано, что есть ТЗ, есть ЧМУ, а есть ЭП, ПД и ОРД. Если бы регулятор относил ЧМУ к одному из подобных типов документов, он бы так и сказал (например, ОРД, включая ЧМУ)...

Повторно обращаю внимание, что в пункте 17.1 Требований говорится не об итоговых документах, а об исходных данных. Понятие "итоговые документы" в Требованиях, вообще, не используется. Применение несуществующих терминов или их подмена другими искажает смысл изложенного.
Проектная и эксплуатационная документация тоже указаны раздельно, хотя оба относятся к технической документации (ТД), о которой и говорилось изначально. Написанное раздельно в перечислении не исключает возможность объединять документы в комплекты по видам. Про примеры из личного опыта, когда Модель УБИ включалась в состав проектной документации и использовалась в составе ОРД, уже писал. Какой-то критики со стороны регулятора по этому поводу не встречалось.
Любые предположения о поведении регулятора (чтобы он сказал и что не сказал) останутся всего лишь предположениями. Увы.

По высказыванию в пункте 4: опять имеет место искажение сказанного мной.