23.11.11

Особенности национальной стандартизации

Интересная судьба ждет ГОСТ Р "Система обеспечения информационной безопасности сети
связи общего пользования. Модель угроз и нарушителя информационной безопасности сетей и систем связи" и планируемый ГОСТ Р "Система обеспечения информационной безопасности сети связи общего пользования. Методика оценки вероятности риска
причинения ущерба сетям и системам связи"

Первый стандарт разрабатывается уже давно - чуть ли не семь лет. Его инициаторами стали Транстелеком и ЦНИИС, а потом к ним присоединился и МТС. Стандарт достаточно интересен, т.к. впервые подводит некоторую базу под создание модели угроз, от которой затем будут "танцевать" требования по защите. На заседании ТК362, которое прошло в пятницу в Воронеже, стандарт представлял один из его разработчиков - Дмитрий Соболев. Он вышел с инициативой о переносе даты окончания разработки с 2011-го на 2012-й год и все бы ничего, если бы с комментариями не вышел представитель 8-го управления ФСБ.

Представитель ФСБ резко раскритиковал стандарт. Среди замечаний я отметил бы несколько. Во-первых, по мнению ФСБ в стандарте не учтены многие объекты/субъекты - облака, террористы, хулиганы и т.д. Во-вторых, модель воздействия, являющаяся частью модели угроз, по мнению ФСБ, позволяет сделать потенциальному нарушителю далеко идущие выводы, а следовательно она должна быть грифованной. В выступлении Мурашова Н.Н. из ФСБ вообще прозвучала идея, что эта информация относится к гостайне. Затем была высказана идея, что операторы связи у нас обрабатывают данные спецпотребителей, а следовательно предлагаемый ГОСТ вообще не должен быть публичным ГОСТом. А также что его надо сделать межведомственным документом и согласовать между ФСБ, Минкомсвязи, ФСО, Минобороны и рядом других ведомств. На веское замечание из зала и от авторов, что стандарт рассчитан не на спецпотребителей, а на операторов связи, работающих с обычными гражданами, Мурашов заявил, что среди основных задач ФСБ числится защита граждан от различных угроз и поэтому наших соотечественников надо защитить от тлетворного влияния Запада, которое проявляется в том, что 98% всего Интернет-трафика проходит через несколько ключевых серверов в Рунете, производителями которых являются иностранные компании (знакомо, не так ли). А раз так, то надо обязать операторов связи жить по такой модели угроз, чтобы иностранным спецслужбам и террористам было неповадно изучать сколько времени сидит в "ВКонтакте" школьница Маша, и на каких игровых сайтах просиживает студент Илья. Вообще, мне операторов связи жаль. Невесло им становится жить в последнее время.

ЗЫ. Вообще ФСБ явно перегибает палку со своим подходом к модели нарушителя/угроз. Недавно узнал от коллеги из госоргана, что на их публичный сайт ФСБ пытается натянуть модель нарушителя Н5. На публичный сайт!!! Для тех, кто не в теме, Н5 - это когда в качестве нарушителя рассматривается лицо, которое имеет возможность привлекать различные научно-исследовательские институты для изучения возможности проведения атак (чуть больше про модели нарушителя ФСБ тут). Т.е. это уровень государства или очень крупного монополиста в какой-либо области (уровня Газпрома). Зачем такая модель нарушителя для публичного сайта, не понимаю.

ЗЗЫ. Кто внимательно читал мой вчерашний пост, тот обратил внимание на то, что на 2012 год у Росстандарта запланирована гармонизация ГОСТ Р ИСО/МЭК 15408-1 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий» Часть. 1. Введение и общая модель". Однако напомню, что СоДИТ в прошлом году уже сделал перевод этого стандарта на русский язык. Нестыковка какая-то...

7 коммент.:

Alexey Volkov комментирует...

"среди основных задач ФСБ числится защита граждан от различных угроз и поэтому наших соотечественников надо защитить от тлетворного влияния Запада"

Занавес. Я бы аплодировал стоя.

Alexey Volkov комментирует...

Особенно принимая во внимание предстоящие поправки в закон о противодействии терроризму, по которому граждане будут вынуждены от него сами и защищаться...

Нда.

Алексей Лукацкий комментирует...

Так железный занавес подняли и фитиль холодной войны задули

Анонимный комментирует...

От перевода до гармонизации - тонны переписки и месяцы официальных согласований текста, не обязательно аутентичного

Анонимный комментирует...

"Недавно узнал от коллеги из госоргана, что на их публичный сайт ФСБ пытается натянуть модель нарушителя Н5"
а какие это Н5?

"это уровень государства или очень крупного монополиста в какой-либо области (уровня Газпрома)"
Н5 - ОПГ, а государство - Н6.
Газпром - нарушитель? )))

"Зачем такая модель нарушителя для публичного сайта, не понимаю"
Какая такая? Фишка Н5 в том, что следует из этого положения, а в современных условиях спорить с ними поменьшей мере странно.

Также можно не учитывать угрозы, которые в зависимости от конкретных условий.

Алексей Лукацкий комментирует...

Какая ОПГ? ОПГ в состоянии привлечь НИИ в области криптографии?

Анонимный комментирует...

например, не сможет заказать работу по оценке уязвимости ПО с которым взаимодействует криптография?