Контакты
Подписка
МЕНЮ
Контакты
Подписка

Новая Методика УБИ - Форум по вопросам информационной безопасности

Новая Методика УБИ - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: oko | 109026 17.02.2021 01:55
Ознакомился с новой методикой УБИ от 05.02.2021. Покурил 17, 21, 31 и 239 приказы ФСТЭК. Долго думал...
Ну, с непонятками типа Н1-Н4, крайне похожими на Н1-Н6 у "другого" регулятора, но явно с ними не коррелирующими, - хрен с ними. Разные конторы, курс на сближение (как с классами сертификации СЗИ), плавали-знаем...
Ну ошибки в этих самых Н-типах (Приложения 8 и 9), когда в одном месте Н3, а в другом этому же нарушителю пишут Н4 - это тоже простительно. В конце концов, Приложение = Пример. И ничего, что бОльшая часть доморощенных экспертов, эксплуатантов и прочих воспринимают "Пример" как "Обязательно", а слово "Рекомендуется" возводят в абсолют. Мы давно в этой теме, уже привыкли, разберемся на месте и с каждым в отдельности...
Ну "тактика", которая теперь де факто определяет актуальность, - не страшно. Понятно, что любители "сценариев" и условные white hat, очевидно, кричали громче всех. Понятно, что при моделировании какой-нибудь гетерогенной ИС объем "сценариев" (если серьезно к делу подходить) легко сожрет леса Амазонки. И что "недостаточная полнота рассмотрения сценариев и тактик" будет отныне на первом месте в отказе согласования ЧМУ. Ничего, автоматизируемся, подстроимся, да и русский лес нам резать не впервой...

Но нахрена вводить разделение на "сценарии" и "способы"? Причем "способы" вроде как делают УБИ "возможной", а "сценарии" - "актуальной". В Проекте Методики-2020 сразу речь шла о "сценариях" без прочих промежуточных терминов. И не надо говорить, что такой подход позволит вписать в ЧМУ только потенциально актуальные УБИ (которые потом подвергнутся анализу на предмет наличия реальных "сценариев" в конкретной ИС), а не все подряд из БДУ - явно об этом не сказано, что значит, понимай как хочешь. Или что "сценарий" (в отличие от "способа") может быть нивелирован имеющимися СЗИ и орг.мерами. Попробуйте ради хохмы для какой-нибудь действующей ИС нивелировать сценарии нарушителя с "высоким потенциалом" с его ЭУНПИ и 0-day, ага...
И, главное, где численные или хотя бы формальные показатели? Где результирующие критерии на их основе? Пусть они набили оскомину еще в Методике-2008 (где, например, нельзя исходную защищенность "посчитать" лучше "средняя" для большинства случаев). Но отказ от введения хоть каких-то нормированных значений, imho, еще хуже, чем их неудачный подбор. Потому что в таком ракурсе каждая ЧМУ превратится в бумажку из сортира за подписью неизвестного художника. Вне зависимости от печатей и серьезности лиц, ее составлявших...

Еще посыпаю голову пеплом. В свое время при анализе Проекта Методики-2020 протупил и не задумался сразу, а теперь просто обалдел от понимания глубины прикола в новой Методике-2021. Для ясности: теперь официально получается, что "Высокий потенциал" однозначно = супернатурал с неограниченными возможностями. А как тогда прикажете понимать 17 Приказ с его требованием п. 25 для ГИС К1? СП, ПЭМИН, АВАК, АЭП - вот это все, причем по методикам ГТ, раз у нас "спецслужба"? Но при этом СЗИ с ОУД-4 и СВТ-5 и пропасть между К2 и К1 аж в целый "средний потенциал"? Да, японский бог, даже для ЗОКИИ 1 кат. такого явного требования нет, хотя, казалось бы, куда уж критичнее?

ЗЫ Все вышесказанное - полуночный крик души и как обычно на правах imho. Заодно от всей души поздравляю тех, кто решил, но не успел раньше, лицензироваться по мониторингу, ага...

Просмотров темы: 118

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*