10.02.2009

Концепция аудита ИБ от ФСТЭК

Совершенно случайно наткнулся на сайте ФСТЭК на проект "Концепции аудита ИБ систем информационных технологий и организаций", который разработан НПФ Кристалл (они же основные разработчики стандарта Банка России по ИБ).

Дословно я не вчитывался, но беглый просмотр документа показывает, что читать западные стандарты у нас научились. Везде идут отсылки на стандарты BSI (PD 3003, 3004), ISO 17799, CoBIT, ФЗ "Об аудиторской деятельности", стандарты аудита российской коллегии аудиторов, федеральные правила аудиторской деятельности, цикл PDCA и т.п.

В общем, документ выглядит очень нестандартно для ФСТЭК, которая очень редко использует не то что западный опыт, но и уже принятые российские нормативные акты не особо учитывает.

Документ был разработан еще в 2004 году, но до сих так и не принят ;-(

8 коммент.:

swan комментирует...

Запись вызвала в очередной раз шальную мысль... (боюсь оказаться непонятым но все таки...)

Понаписано столько стандартов, проектов стандартов, приказов, распоряжений, рекомендаций и т.п (ключевое слово Столько). Только для их прочтения, не говоря об осознании может уйти пол жизни.

Складывается ощущение что все эти документы мало того что отстают от технологий которые призваны защищать на пол года и более так и вообще отрываются от реальности и просто невыполнимы.

Алексей Лукацкий комментирует...

Зато сколько денег осваивается на написание таких стандартов ;-)

swan комментирует...

это точно...

Похоже мы приходим к осознанию ИБ в том числе как некой иерархической структуры абстрактных уровней аля модель OSI (имеется в виду базовая эталонная модель взаимодействия открытых систем).

где на низших уровнях абстракции находятся электронные элементы а на высших прикладная логика реализованная интерфейсами.

Например есть некое СрЗИ для windows. Пользователь работат на высшем уровне абстракции - интерфейсе СрЗИ. Само СрЗИ разработано на языке "С++" это средний уровень абстракции. Программы после компиляции выполняются в машинном коде - низший уровень абстракции. (при этом можно низшим считать и процессор ?)

Удивительно то, что всякие стандарты - они рассматривают вопросы ИБ в рамках некоего своего "уровня абстракции".
Можно утверждать что любые попытки обеспечить ИБ на высоком уровне абстракции без обеспечения ИБ на более низком(по сути реализующем на более низком уровне высший уровень) приводит к полной несостоятельности. При этом связь между технологиями не всегда просматривается. Проверить же обеспечение на низком уровне абстракции состоятельность более высокого уровня сложно - потому как системы строятся сверху вниз... ))) (если понятно...)

Вот простой пример...
Программист разработал программу на паскале... знает ли он что на самом деле происходит в ПК при выполнении программы. Ответ - нет не знает...
Компилятор выделывает с красивыми несколькими строчками такое!!! и превращает алгоритм работы программы в ТАКОЕ !!! вносит СТОЛЬКО избыточности !!!

это отдельный конечно разговор, но на вскидку проверено что простая API "MessageBOX" выводящая окошечко с кнопкой "ОК" вызывает около 450 000 машинных команд в системе.

Алексей Лукацкий комментирует...

Вот ты загнул ;-)

swan комментирует...

))) а я заранее извинился ?!

Aleks305 комментирует...

сейчас вообще этот проект этого документа удалили с сайта ФСТЭК.так что рано начали хвалить ФСТЭК, Алексей

Aleks305 комментирует...

сейчас вообще этот проект этого документа удалили с сайта ФСТЭК.так что рано начали хвалить ФСТЭК, Алексей

Алексей Лукацкий комментирует...

Да уж