02.07.2008

4 документа ФСТЭК: краткий анализ. "Базовая модель угроз"

Итак коснемся третьего из рассматриваемых документов ФСТЭК - "Базовой модели угроз безопасности персональных данных". Этот стастраничный документ поражает... своим отставанием от современной ситуации лет на 10-15.

Когда я только начинал читать этот манускрипт, у меня сложилось впечатление, что все это я уже где-то читал. И действительно дойдя до конца, я понял, что процентов на 80 "Базовая модель" является творческой переработкой статей и материалов из сети Интернет, посвященных безопасности, сетевым атакам, вирусам и т.п. Правда все эти материалы были опубликованы в начале-середине 90-х годов. Чего только стоит упоминание таких современных атак, как Land, Smurf, Ping of Death и т.п.

Раздел про вирусы поражает своим интеллектом - упоминание перехвата прерывания INT 13H, как основного канала попадания вирусов в систему, рассказ о звуковых и видеоэффектах и изменении палитры экрана, замена символов при вводе, форматирование дискет (я давно не видел компьютеров с Floppy-накопителями), заражение OBJ-файлов. Как вам такая фраза из документа, датированного 2008 годом: "Наиболее распространены компаньон-вирусы, использующие особенность DOS первым выполнять файлы с расширением .СОМ"? Какой COM, какой DOS? О чем говорят эти люди, отвечающие в стране за информационную безопасность?

Большой раздел посвящен сетевым атакам. Все бы ничего, если бы он не устарел еще до своего опубликования. Упоминание Back Orifice, NetBus, Nuke говорит само за себя. Рассказ о том, как перехватываются данные за счет подмены адресов и уязвимостей в ARP-протоколе было бы интересным, если бы не напоминало книгу "Атака из Интернет", выпущенную в середине 90-х и выложенную в Интернет в то же время.

O современных сетевых червях, DDoS-атаках, утечках данных через IM или e-mail, обходе средств защиты, атаках на прикладном уровне в данной модели угроз ни слова. Зато полно упоминаний таких "известных" в мире ИБ компаний, как Axent, CyberSafe, L-3, BindView и т.п. Помню, когда я упоминал эти компании в своих статьих и книжке конца 90-х, я еще тогда написал, что эти компании уже не существуют т.к. были поглощены более крупными игроками рынка ИБ. Авторы документа находятся в счастливом неведении о данном факте.

Поражают знания авторов документа в области вредономных программ. Среди их носителей среди видеоадаптеров и звуковых плат, которые почему-то названы встроенным носителем информации, также указан блок питания! Почему блок питания стал не только носителем информации, но и носителем вредоносного ПО я так и не смог понять. Видимо это результат закрытых исследований, проводимых уважаемым регулятором.

Что еще сказать про этот документ? В общем-то и нечего ;-( Упомянутые факты говорят сами за себя.

10 коммент.:

Alex Ott комментирует...

какой ужас, даже не верится :-(

Анонимный комментирует...

Странно... я нашёл моменты светлого будущего =)
"<...> Носителем ПДн является пользователь ИСПДн, осуществляющий голосовой ввод ПДн в ИСПДн, акустическая система ИСПДН воспроизводящая ПДн ... и физические поля ...в которых информация находит свое отражение в виде символов <...>" Раздел 4, 4

Алексей Лукацкий комментирует...

Не верится, но это так ;-( Я сам не думал, пока не прочитал ЭТО

oligarh комментирует...

Всё это не удивительно. ФСТЭК полностью деградировал. Проработав там пять лет по распределению, я понял одно, что вся эта контора - одно сплошное болото. Кто туда сейчас попадает - военные в должности капитанов и полковников (выпускников ВВУЗов туда перестали брать - на моей памяти последний в 2003 г.) - некоторые из них даже вордом толком не умеют пользоваться, а что уж говорить об их знаниях в ИБ. Чего стоит только один канал утечки ПЭМИН - в 80-х начале 90-х - я еще понимаю он был актуален, а сейчас когда в здании с не одной сотнею ПК, да еще вокруг куча электромагнитных помех (телефоны, СВЧ печки и т.п.) как можно выцепить изображение с монитора с одной частоты шириной в пол мегагерца (это максимум на мониторе 99 года). Реально эксперимент ставили в далеких 90 - всё это получалось на расстоянии 10 метров -НО какие тогда были мониторы !. И еще, во ФСТЭК до конца года сократят все военные должности - соответственно з/пл упадет в 2 раза (уже упала). Все кто более менее грамотные уже смываются - думаю там никого не останется. Так, что даже проверять ИСПДн будет - особенно в нашем регионе, некому :))

Анонимный комментирует...

Еще раз хочу вернуться к теме будущего... К сожалению у нас слаба общественная инициатива в данных вопросах. Почему нет российских стандартов де-факто вида RFC? Почему крупные компании не лобируют создание подобным нормативных документов, тк выполнить ЭТО и применить к ЧЕМУ-ТО будет стоить гораздо больше? Возможно, развивая это направление можно подготовить нормальные документы, пусть уровня де-факто, а потом ФСТЭК их примет. Но думаю ведущие интеграторы будут против :), ведь сколько можно поставить цисок для защиты от этих и других призрачных угроз =)))

Анонимный комментирует...

Snip
Я думаю большинству крупных компаний хватает уже существующих стандартов. Зачем лобировать и разрабатывать, что то свое если оно уже существует? А такой засады от ФСТЭКа просто никто не ожидал...да и если ожидал...как повлиять на ФСТЭК? Лоббировать какие то стандарты? Ну есть стандарт ЦБР, ФСТЭК я думаю в курсе о его существовании, знает, что ЦБ его проталкивает..но ведь никакой попытки разработать документы на его основе проще оказалось взять документы 15 летней давности :(

Алексей Лукацкий комментирует...

ведь сколько можно поставить цисок для защиты от этих и других призрачных угроз

Проблема в том, что в России нет НИ ОДНОЙ системы защиты (даже отечественной), которая могла бы реализовать требования даже к третьему однопользовательскому классу ИСПДн.

Andrey A Dengin комментирует...

Алексей, насколько мне известно из пяти новых документов ФСТЭК в тираж запущен лишь один - "Порядок проведения классификации ИСПД", остальные четыре, в том числе и тот, про который идет речь будут перерабатываться и выйдут в тираж не раньше осени этого года.

Алексей Лукацкий комментирует...

Они уже продаются в разных федеральных округах. Вполне официально.

Анонимный комментирует...

да полюбому у когото уже есть скан версии... дайте! а?