15.02.2010

Моделирование угроз (часть 1)

Перед новогодними праздниками пришла мне в голову идея, что надо больше нести света в массы ;-) А то все критика, да критика. Вариантов такого света было немало, но начать я решил с выкладывания в свободный доступ курса по моделированию угроз, который я читал в прошлом году в некоторых учебных центрах. И вот настал момент такой (с) Али-Баба и сорок разбойников

Ввиду большого объема презентации (400 слайдов), курс разбит на 5 частей - как раз получается на всю рабочую неделю. Это последняя версия, которую я читал. Я планировал внести туда еще ряд нововведений, но в связи с отсутствием заказов на его чтение, я эту задачу пока отложил.

19 коммент.:

Ригель комментирует...

Все-таки ты уходишь от угроз то к источникам (моделированию нарушителей), то к вероятностям (оценке рисков) - это специально?

Сергей комментирует...

Алексей, не хотите к нам кросспостом на cio-world.ru? С удовольствием разместим

Dmitry Evteev комментирует...

хороший материал! Алексей, а может разрешите скачку всех пяти частей?:)

андрей в. комментирует...

Спасибо Алексей! Читаю с большим удовольствием. Отмечаю, что труд систематизации знаний часто недооценивается.

Алексей Лукацкий комментирует...

Ригелю: Ну модель угроз без описания источников - не модель, на мой взгляд. А у ФСБ вообще модель угроз плавно перетекает в модель нарушителя.

С точки зрения рисков, я это делаю специально. На словах я говорю, что очень часто и регуляторы и специалисты подменяют одно понятие другим. Да и на уровне многих стандартов эти термины очень часто похожи очень сильно - комбинация ущерба и вероятности.

Сергею: Я не против.

Dmitry: Я подумаю :-)

Андрею: Спасибо.

Сергей комментирует...

Алексей, написал на корпоративный, пришел автоответ

Александр комментирует...
Этот комментарий был удален автором.
Александр комментирует...

Уважаемый Алексей, извините что не в тему, не могли бы вы посоветовать сертифицированные модели маршрутизаторов Cisco подходящих для ИС гос. органов согласно указу президента "О мерах по обеспечению ИБ РФ при использовании информационно-телекоммуникационных сетей международного обмена информацией" от 17 марта 2008 №351. У нас несколько ИПДН, одна из них 1го класса, получается что МЭ должен быть не ниже 2 класса. В реестре ФСТЭК я не нашел подходящего МЭ Cisco...

Алексей Лукацкий комментирует...

Александр, ответ на ваш вопрос разбивается на несколько частей.

1. Для ИСПДн 1-го класса МСЭ должен быть не ниже 3-го, а не 2-го класса. Дополнительным условием для ИСПДн 1-го класса является сертификат на НДВ. Этим условиям удовлетворяет Cisco ASA 5500.

2. Указанные вами требования могут быть снижены при создании собственной модели угроз. В этом случае вы можете попробовать обойтись и без НДВ и тогда вам подойдет Cisco ISR, как МСЭ. Но это надо уже смотреть более детально.

Алексей Т. комментирует...

2 Александр:
"Для обеспечения безопасного межсетевого взаимодействия в ИСПДн
1 класса рекомендуется использовать МЭ не ниже третьего уровня защищенности." Откуда Вы взяли второй?
НЕ успел ответить - Автор Вам все пояснил. :-)

Александр комментирует...

Спасибо за ответ!
Дело в том, что 2й класс я взял не с потолка, а из нашей ведомственной "Концепции ИБ"... Цитирую: "Для обеспечения безопасного межсетевого взаимодействия в ИСПДн 1 класса необходимо использовать межсетевые экраны уровня защищенности не ниже 2го."
Вот и как же теперь быть? Доказывать центру, что они не правы?

Алексей Т. комментирует...

С учетом того, что 2 и 3 классы это две большие разницы (сертифицировать по 2 классу намного сложнее - гостайна ;-)), придется доказывать, что нужен МЭ 3 класса.

Алексей Лукацкий комментирует...

Упоминание 2-го класса МСЭ для ИСПДн 1-го - это скорее всего лоббирование интересов одного из российских производителей МСЭ. Либо в Концепции написано еще что-то, что требует для ИСПДн 1-го класса использовать МСЭ 2-го класса. Например, речь идет о какой-либо гостайне.

Александр комментирует...

Ну для гостайны у нас имеется отдельная "секретка", у секретчика теоретически свой сертифицированный ПК, который в принципе можно и не подключать в ЛВС, все равно не нужно.
Насчет лоббирования чьих-то интересов сомневаюсь, скорее всего просто некомпетентность разработчиков документа. Самое интересное, всячески советуют понижать класс систем, а рядом сами завышают требования для МЭ...идиотизм.

Александр комментирует...

Еще один вопрос, если позволите:)
Насколько я понимаю, к сертифицированной "циске" должен идти бумажный сертификат ФСТЭК с голограммой и печатями, а так же наклейка на самом корпусе? Судя по всему, многие поставщики о таком даже не слышали, можете посоветовать какого-нибудь надежного диллера?

Алексей Т. комментирует...

Вам скорее нужен не поставщик а организация, которая выполнит сертификацию - есть такие на рынке, рекламировать не стоит. Она вашу Ciscу проверит, сертифицирует экземпляр и выдаст вам бумажный сертификат с голограммой. По-моему сейчас уже это поставлено на поток и времени занимает немного. Возможно автор как представитель Cisco знает такие органы по сертификации/испытательные лаборатории, за которые Cisco не стыдно.

Andy_AiF комментирует...

    Тоже с удовольствием узнаю, ибо собираемся потратиться на 5510-ю :-)

Алексей Лукацкий комментирует...

Все просто. Сейчас сертификация производства ASA реализовано через АМТ. Остальные наши партнеры имеют опыт сертификации отдельных экземпляров или партий ASA. Поэтому выбирать можно почти любого, указав одним из условий поставки сертификат ФСТЭК.

Либо сертифицировать уже купленное устройство в близкой вам лаборатории.

Александр комментирует...

Спасибо за помощь!