10.10.2014

Базовый - значит минимальный?

На данную заметку меня натолкнула статья "Как уйти от оценки соответствия СЗИ", в которой делается интересный, но неверный вывод "Простой пример: 2 уровень защищенности ПДн, СОВ обязательна, хошь-не хошь". Я с ним сталкиваюсь достаточно регулярно, разговаривая об алгоритме выбора защитных мер по 17/21/31-му приказам.


Алгоритм, действительно, отличается от того, что было раньше. Сейчас появилась свобода выбора и она многих вводит в ступор. Это вам не СТР-К, не четверокнижие и не 58-й приказ, который содержал закрытый перечень защитных мер. Вот их надо было обязательно выполнять, хошь-не хошь. В новых приказах ситуация совершенно другая.

Да, начинается все с перечня базовых мер. Многие считают, и считают неправильно, что эти меры являются минимально возможным перечнем, который нельзя урезать. А ведь это совсем не так! В приказах четко написано, что "исключение из базового набора мер возможно, если какие-либо информационные технологии не используются в информационной системе, или присутствуют структурно-функциональные характеристики, не свойственные информационной системе". То есть ни о каком минимально допустимом перечне речи не идет. Что же такое базовый набор?

Все просто. Это набор мер, рекомендуемых "по умолчанию". Вот не хотите вы пересматривать защитные меры исходя из используемых вами технологий или особенностей информационной системы. Не хотите строить свою модель угроз. Не хотите адаптировать защитные меры под себя. Вот для вас и разработан базовый набор, как набор "лучших практик". Во время разработки проектов приказов очень много дискуссий было именно на тему, что включать, а что нет, в этот базовый набор, так как все понимали, что потребитель будет отталкиваться от него при построении своей системы защиты.


Однако, если вы считаете, что базовый набор вам не подходит. Например, у вас нет каких-либо угроз, технологий или процессов, то вы можете спокойной урезать этот набор до необходимого вам. Именно вам, а не интегратору, лицензиату или еще кому-то. Это требует определенных усилий и времени, но зато и результат будет оптимальным. А можно пойти по старинке и взяв за основу базовый набор, реализовать его в своей системе. Тоже возможно.

В любом случае у вас есть свобода действий, которой вы можете воспользоваться, а можете и нет. Главное, что не стоит думать, что базовый набор - это минимальный перечень защитных мер.

8 коммент.:

Ronin комментирует...

Поражает вольность трактовки нормативных документов. Прям так и сказано где-то, что можно не писать модель угроз и не определять актуальные угрозы, взяв только базовый набор мер? А как тогда УЗ оценить вообще?

И где в приказе и методике определения мер защиты сказано, что можно исключать меры из базового набора на основании актуальности/неактуальности угроз? Про информационные технологии и структурно-функциональные характеристики сказано, а про угрозы ничего, не нужно домысливать.
Если подключения к другим сетям или Интернету нет, то да, IDS можно исключить, а вот если есть подключение к общей LAN, то сказать, что угроза на наш взгляд неактуальна и потому исключаем, нельзя. Это если упростить

Евгений комментирует...

>... вот если есть подключение к общей LAN, то сказать, что угроза на наш взгляд неактуальна и потому исключаем, нельзя
А почему нельзя сказать? )) Вот не боимся мы хакеров и все тут

Michael комментирует...

Как раз на неделе на курсах там растолковывали правильную интепретацию базового набора в контексте 17-го приказа - похоже, что позиция ФСТЭК такая же, как описал Алексей.

Проблема как всегда: чтобы пользоваться свободой на благо, создавать новое, адаптировать - надо головой думать, а это для некоторых непозволительная роскошь.

Andrey комментирует...

Ronin, если уж так строго подходить к трактовке нормативки, то актуальные угрозы определяет не оператор, а товарищи, указанные в ч.5 ст.19 ФЗ-152

Николай Тактаев комментирует...

Действительно на этапе адаптации можно исключить меры несоответствующие инфраструктуре.
Но почему вы толкуйте пункт уточнения набора мер для нейтрализацию актуальных угроз как позволяющий отказаться от всех остальных не выбранных в модели не ясно.
Он явно подразумевает ДОБАВЛЕНИЕ мер нейтрализующих угрозы признанные актуальными в модели.

И модель угроз вовсе не конкурирует с базовым перечнем. Она создается в любом случае исходя из прямых требований закона фз-152 ст.19 ч.2 1) и далее во всех нижестоящих нормативных актах.

Т.е. не базовый перечень или модель угроз а базовый перечень и модель угроз (естесвенно из базового перечня можно выкинуть пункты не характерные для вашей ИС как это прямо и указано в нормативке)

Александр Германович комментирует...

Собственно, в заметке вовсе не идет речь об этапах выбора мер. Просто отмечено, что прошедшие оценку соответствия СЗИ нужны для защиты только от тех угроз, которые признаны актуальными.
Более того: в Приказах 17/21 не указано, что базовый набор можно уменьшать с учетом актуальных угроз. Учитывать можно только отсутствие инф. технологий и структ.-функц. характеристик.

Что же до порядка выбора мер защиты, то регулятор, особенно на местах, смотрит на него очень по разному. В частности, есть мнение, что на 4-м этапе ("дополнение уточненного адаптированного базового набора") ОБЯЗАТЕЛЬНО нужно реализовать меры, предусмотренные другими НПА ФСТЭК. Проще говоря, не взирая ни на какие актуальные угрозы и технологии обработки, требования СТР-К все равно нужно выполнять: такова, дескать, формулировка Приказов.
И уж тем более трудно убедить такого проверяющего в том, что из набора мер можно исключить СОВ, если уровень защищенности 1 или 2, а ИС локальная и без подключения. Логика простая: "Написано - значит, должно быть выполнено". А оно таки написано.

Dorofeev комментирует...

Слышал, в некоторых регионах при аттестации уже требуют СОВ.

Алексей Лукацкий комментирует...

Александр Германович: система защиты по 21-му приказу вообще нейтрализует только актуальные угрозы. Нейтрализация неактуальных угроз в принципе в систему защиты входить не должна