18.09.2012

Хватит ругать наши ГОСТы по безопасности. Пора действовать!

6 сентября я писал про новые ГОСТы, которые должны появится в России в следующем годы. Но работа уже ведется и она не такая закрытая, как иногда кажется. В частности, Ассоциация RISSPA, представляющая Cloud Security Alliance в России, достигла договоренности с представителями ФСТЭК России о проведении публичного обсуждения терминологии облачных вычислений, которая в дальнейшем станет основной для использования в документах ФСТЭК по облачной тематике. RISSPA и ФСТЭК приглашают всех заинтересованных экспертов воспользоваться уникальным шансом и принять активное участие в формировании терминологии с учетом уже устоявшейся российской практики.

Документ основан преимущественно на первой части отчета фокус-группы ITU по облачным вычислениям, посвященного именно терминологии. Собственно эта фокус-группа опубликовала 7 частей своего отчета, который включает различные интересные темы - преимущества облачных вычислений, архитектура и функциональные требования, безопасность (5-я часть) и др.

Второй разрабатываемый ГОСТ я также упоминал - "Уязвимости информационных систем. Классификация уязвимостей информационных систем". Пояснительная записка и первая редакция проекта стандарта размещена на портале Ростехрегулирования.

По обоим документам вы можете проявить активность и поучаствовать в обсуждении этих документов. Я не раз уже призывал перейти от критики к реальной работе и это одна из таких возможностей. Не упустите ее. Потом винить можно будет только себя ;-(

9 коммент.:

Евгений Родыгин комментирует...

Обратим внимание на проект по классификации уязвимостей. Начнем с того, что классифицируются они в первую очередь по "по этапам жизненного цикла создания ИС" и предназначен он для "проектирования базы данных уязвимостей, которая будет использоваться отечественными средствами анализа защищенности (сканерами безопасности)"

Документ, сырой, много недочетов и вообще...

Но важно не это... Важно посмотреть кто же его делает и зачем!
Кто: ООО «ЦБИ»!!! только...
Зачем: под себя, под свой сканер безопасности?

Известное дело... кто хочет помочь коллегам ?

Евгений Родыгин комментирует...

Еще нужно добавить, что это НИР вполне себе оплачиваемый государством?

Neskazhui комментирует...

В пояснительной записке сказано "В части уязвимостей в методических документах в настоящее вре-мя приведены только общие классы уязвимостей", и т.д.

Однако, предлагаемый документ тоже не пошёл дальше общих классов.

Пзабавило:
"5.2 Уязвимости ИС в соответствии с признаками классификации подразделяют на:
- группы;
- виды;
- типы."

А дальше вдруг:
"5.3 Класс 1 – уязвимости кода включает следующие группы:".

Предлагаемая классификация бесполезна. Не даёт внятных определений, подходов. Нужна такая классификация, которая позволит сказать, где критичная уязвимость, а где малозначная.

Отсылка к базовой модели угроз ПДн также не добавляет уважения к документу, потому что та модель угроз далеко не шедевр.

Евгений Родыгин комментирует...

Про общие классы - эти же люди переводили и продолжают толкать общие критерии где про уязвимости таки что то есть.

"где критичная уязвимость, а где малозначная" - это можно определить только в "поле" для конкретной реализации АС/ИС.
Вообще уязвимость может иметь потэнциал, может не иметь реализации, зависит от целевой системы.

Алексей Лукацкий комментирует...

Вы тут будете лясы точить или авторам отпишитесь?

Neskazhui комментирует...
Этот комментарий был удален автором.
Neskazhui комментирует...

На портале ростехнадзора проблемы с регистрацией. Контактной информации в документах нет. Площадки для публичного обсуждения не наблюдается.

Пусть корячатся, раз взялись. Но уже видно, что концепция неудачная. Этакий акын - что вижу, то пою. Описывают не уязвимости, а какие бывают информационные технологии. От такой классификации для защиты информации никакой пользы.

Польза будет, если классифицировать с прицелом на защиту: этот класс закрывается экраном, этот класс закрывается шифрованием, этот класс закрывается модулем загрузки. И ничего страшного, если некоторые уязвимости окажутся в нескольких классах одновременно.

malotavr комментирует...

> Кто: ООО «ЦБИ»!!! только...

Справедливости ради - не только. Но собрать действительно представительный колектив разработчикам по ряду причин не удалось.

Документ получили все участники ТК-362, в том числе и мы. Отзыв готовлю. Если есть конкретные предложения (замечания к тексту не нужны, с ним итак все понятно), можете направлять мне.

malotavr комментирует...
Этот комментарий был удален автором.