tag:blogger.com,1999:blog-4065770693499115314.post1183884984630009007..comments2023-10-02T12:01:53.774+03:00Comments on Бизнес без опасности: Сравнение ПП-781 и ПП-1119Алексей Лукацкийhttp://www.blogger.com/profile/08434361034703403028noreply@blogger.comBlogger28125tag:blogger.com,1999:blog-4065770693499115314.post-61504856172294508742012-12-05T15:51:50.695+04:002012-12-05T15:51:50.695+04:00Алексей, не могли бы вы подсказать по п. 21 из ваш...Алексей, не могли бы вы подсказать по п. 21 из вашей таблички: где именно в ФЗ-152 звучит это требование?Anonymoushttps://www.blogger.com/profile/04213936879272684166noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-51480349500961336372012-11-08T18:30:34.619+04:002012-11-08T18:30:34.619+04:00Когда был только проект - я нализировал классифика...Когда был только проект - я нализировал классификацию по принципу принадлежности к НДВ.http://elvis.ru/upload/iblock/149/tam_na_nevedannyh_dorojkah.pdf Получилось, что ничего страшного, соглашусь с А. Лукацким - хуже не стало, а это уже хорошо.vsvhttps://www.blogger.com/profile/12779372237305726132noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-37694512058792501992012-11-08T15:24:47.038+04:002012-11-08T15:24:47.038+04:00Если смотреть в толковый словарь, то эксперт - это...Если смотреть в толковый словарь, то эксперт - это сведущее лицо, специалист, привлекаемый для того, чтобы высказать свое мнение, дать заключение по поводу какого-нибудь дела, вопроса.<br /><br />Сказать "все говно" - это не экспертиза, это ...здобольство ;-) Ничего личного!Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-29724991373061066782012-11-08T14:31:27.662+04:002012-11-08T14:31:27.662+04:002 Evgeniy West Никакого отношения к ПП 1119 ФСТЭК ...2 Evgeniy West Никакого отношения к ПП 1119 ФСТЭК не имеет, не разрабатывала, не консультировала. Отсюда и расхождения. Алексей Т.https://www.blogger.com/profile/18336548034862391527noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-20756527540780764822012-11-08T13:45:42.616+04:002012-11-08T13:45:42.616+04:00Так вот кто виноват что документы такие фиговые вы...Так вот кто виноват что документы такие фиговые выходят.... Недовольное экспертное сообщество ! А я то думал....Александр Бондаренкоhttps://www.blogger.com/profile/09563907230879696218noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-51744469239180334852012-11-08T12:38:01.251+04:002012-11-08T12:38:01.251+04:00Ознакомился с проектом ФСТЭК, Требования
о защите ...Ознакомился с проектом ФСТЭК, Требования<br />о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах.<br />В данном документе классификация ИС - по Классам защищенности (К) = [уровень значимости информации; масштаб системы].УЗ = [(конфиденциальность, степень ущерба) (целостность, степень ущерба) (доступность, степень ущерба)], масштаб ИС делится на федеральный, региональный, объектовый. Уровней значимости 4ре, в зависимости от ущерба обладателю КИ (оператору) при нарушении К/Ц/Д, при чем Информация имеет минимальный уровень значимости (УЗ 4), если ущерб от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности) не установлен, но при этом информация подлежит защите в соответствии с законодательством Российской Федерации.) Если проводить параллель с ПП1119 примерно так же 4 класса/уровня зависящих от масштаба и значимости информации. Но про НДВ ничего, расхождения в уровнях/классах или так и должно быть..Ну допустим так должно, глядя в будущее (я в гос.орг), что же получается, необходимо сначала определить типы угроз/масштаб, уровень защищенности -> выполнить мероприятия по ПП 1119, затем определить класс защищенности -> актуальные/неакт. угрозы-> выполнить меры указанные в требованиях ФСТЭК) Едрен батон! ФСБ еще не читал) А в целом у ФСТЭКа хороший документ получился, этапы разработки, реализации, эксплуатации...привязки к ГОСТам, подробные требования и меры, все хорошо бы, но то ли это чего ждали, читал ли ФСТЭК ПП1119?)по проекту требования применяются с 1 февраля 2013 на модернизируемые или вновь создаваемые ИС. Как по вашему, Алексей, все вяжется и нужен ли этот документ?)Ost Евгенийhttps://www.blogger.com/profile/17317105799064571458noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-31337388946476459412012-11-08T01:21:01.201+04:002012-11-08T01:21:01.201+04:00Это ты товарищу сержанту расскажешь ;)
А вообще да...Это ты товарищу сержанту расскажешь ;)<br />А вообще да... Не к ночи.... Тьфу тьфу...Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-83844952814455834942012-11-08T01:13:29.922+04:002012-11-08T01:13:29.922+04:00НДВ и МВД? Рифма неудачная ;-)НДВ и МВД? Рифма неудачная ;-)Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-1162269162063940202012-11-08T01:11:05.711+04:002012-11-08T01:11:05.711+04:00Что в мире актуальнее
Угрозы НДВ?
С утра вода холо...Что в мире актуальнее<br />Угрозы НДВ?<br />С утра вода холодная?<br />проверка МВД?<br />Икра, вино игристое?<br />С колбаской бутерброд?<br />Чего вы так волнуетесь?<br />Идемте спать, народ!Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-29095457443221724272012-11-08T01:04:00.002+04:002012-11-08T01:04:00.002+04:00В первой редакции проектов постановлений не было т...В первой редакции проектов постановлений не было типов угроз - были типы нарушителей, которые тоже были привязаны к НДВ и которые вытекали из 6-ти классов нарушителя ФСБ. КН1-КН3 были равны УН3 (а сейчас это уровень актуальных угроз 3). КН4-КН5 = УН2, а сейчас угрозы типа 2. Ну и КН6 = УН1, т.е. угрозы 1-го типа. Т.к. большинство компаний живет у нас в модели КН1-КН3, то и угрозы у них будут только 3-го типа.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-46900994184523399362012-11-08T01:01:19.586+04:002012-11-08T01:01:19.586+04:00Алексей Т.: документ ФСБ уже готов. ФСТЭКовский на...Алексей Т.: документ ФСБ уже готов. ФСТЭКовский на подходе. Если власти не затеят очередную игру по смене руководства того или иного ведомства или не начнется каких-либо социальных волнений, то выпустят до конца года. ФСБшный так уж точно.<br /><br />Что касается популярности блога, то спасибо ;-) Но наверное это еще и потому, что темы поднимаются актуальные. Но не такие актуальные как угрозы НДВАлексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-78845896046500773922012-11-07T16:33:50.673+04:002012-11-07T16:33:50.673+04:00А не, забыл, популярность эксплуатируемого нами в ...А не, забыл, популярность эксплуатируемого нами в качестве форума блога за эти 6 лет выросла неимоверно :-)))))Алексей Т.https://www.blogger.com/profile/18336548034862391527noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-8564245458345014812012-11-07T16:31:47.712+04:002012-11-07T16:31:47.712+04:00А самый главный вопрос все обходят - что дальше? П...А самый главный вопрос все обходят - что дальше? Поручение правительства выполнено, все отчитались, ждем документы ФСТЭК и ФСБ. Сколько, когда, как?Зачем выпускать одно ПП, подвешенное в воздухе? Опять неразбериха, суета, тревога, проекты тормозятся, конец года - деньги остаются. Вы верите в скорый выход документов регуляторов? Я лично нет. И ни у кого нет надежды, что они все расставят по своим местам.Скорее опять все запутают. И дело не в корыстных непрофессиональных интеграторах, дело в непоследовательности регуляторов - выпускайте всё сразу, не томите...В общем возвращаемся в 2006 год, а 6 лет работы можно в топку...Алексей Т.https://www.blogger.com/profile/18336548034862391527noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-34491051965782955982012-11-07T14:44:00.805+04:002012-11-07T14:44:00.805+04:00Ригель - угу конечно !Ригель - угу конечно !Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-84736328074851853492012-11-07T12:48:41.408+04:002012-11-07T12:48:41.408+04:00"По поводу актуальности НДВ.
Прошу подумать в..."По поводу актуальности НДВ.<br />Прошу подумать вот о такой парадигме:..."<br /><br />О чем я вчера и написал. Уровни абстракции явно связаны с НДВ. Их определение жизненно необходимо для понимания своих действий и их планирования, т.к. существование человека в условиях неопределенности не естественно и вызывает отторжение.<br /><br />В связи с поднятым вопросом вспомнились системы лечения детей с ДЦП с помощью БОС (http://ru.wikipedia.org/wiki/%C1%E8%EE%EB%EE%E3%E8%F7%E5%F1%EA%E0%FF_%EE%E1%F0%E0%F2%ED%E0%FF_%F1%E2%FF%E7%FC). Ну очень много аналогий ((((<br /><br />Ну и про системы. Системы состоят из подсистем, надсистем и т.п. Попытка разработать систему без учета и понимания надсистемы и подсистем вряд ли может называться системных подходом. Но постулируется именно он. Вот если бы мы работали по теории хаоса... ну или какой другой не системный подход имели.ZZubrahttps://www.blogger.com/profile/17309887397636383099noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-8750862709047018542012-11-07T12:29:58.488+04:002012-11-07T12:29:58.488+04:00Если угрозы, работающие на низших уровнях, имеют о...Если угрозы, работающие на низших уровнях, имеют отражение в высшие, это не отменяет существования на высших уровнях своих собственных угроз, не имеющих причин в низших, угу?Ригельhttps://www.blogger.com/profile/03649888229386031334noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-61771130912658310152012-11-07T12:16:04.175+04:002012-11-07T12:16:04.175+04:00Посему - любая угроза на системном уровне (по опре...Посему - любая угроза на системном уровне (по определению НДВ - закладка) - не может не влиять на прикладной уровень.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-61405657730051602772012-11-07T12:07:52.602+04:002012-11-07T12:07:52.602+04:00По поводу актуальности НДВ.
Прошу подумать вот о т...По поводу актуальности НДВ.<br />Прошу подумать вот о такой парадигме:<br />Любая информационная система состоит из слоев определяющих уровни абстракции. Например, вспомним модель сетевого взаимодействия OSI.<br />Важно понимать, что обеспечение нормальной работы прикладного уровня прямо зависит от работы транспортного, канального и т.п. - всех уровней которые ниже!<br />Тоже самое и с информационной системой - наличие любой актуальной угрозы высшего уровня может быть отображено на угрозы более низкого уровня.<br />Понимаете о чем глаголю! Если в системе есть хоть одна актуальная угроза - она может быть вызвана уязвимостями/закладками более низкого, скажем системного уровня! Это про НДВ... Но опустимся ниже. Даже внезапное отключение питания - актуальная угроза приводящая к уничтожению защищаемых данных.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-81913752876292825372012-11-07T11:53:50.017+04:002012-11-07T11:53:50.017+04:00Кстати проблемы с "наличием НДВ" не толь...Кстати проблемы с "наличием НДВ" не только независимые эксперты отмечали, но и вполне зависимые специалисты ФСТЭК. Налицо принцип "предлагай не предлагай". Позиция аффтора уже давно вызывает непонимание... Свой среди чужих, чужой среди своих :-)Алексей Т.https://www.blogger.com/profile/18336548034862391527noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-34639276496726355162012-11-07T11:06:52.057+04:002012-11-07T11:06:52.057+04:00"(все только критикуют)"
Алексей - слишк..."(все только критикуют)"<br />Алексей - слишком часто обобщаешь...<br />Но твой прием и позиция теперь понятны. Таким вот провокационным образом "шевелишь сонный рой"...<br />Это не вполне честно ?!<br />Коллеги тебе этого не простят ;)<br />Ну и с праздником ВОСР !!! ? ноября все-таки...Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-56401839109543398702012-11-07T10:58:40.741+04:002012-11-07T10:58:40.741+04:00"Так что стало хуже-то?"
А то и стало, ч..."Так что стало хуже-то?"<br />А то и стало, что без изменений, все также плохо. При этом история цивилизации нам говорит, что государство, которое постоянно не улучшается, не усиливается, в итоге проигрывает и сходит с мировой сцены. И усиление это не в гранитноподобном Путине, который всегда готов показать кузькину мать западу, и поддерживающих его силовиках, а в постоянной работе по увеличению <b>эффективности</b> всех частей государства - органов власти, бизнеса, граждан. Так вот эффективности ИБ в нашей стране нет уже 20 лет. Догоним ли?Евгенийhttps://www.blogger.com/profile/02773605232583360031noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-37029613400548851222012-11-07T10:34:05.438+04:002012-11-07T10:34:05.438+04:00Да явно видно что постановление писали ”под лоббис...Да явно видно что постановление писали ”под лоббистов“. Они скоро себя проявят. Больше всего бесит, что его писали ФСБшники-специалисты в РЕЖИМЕ, а кроме вялых: назначение ответственного и определение списка лиц, ничего выдать не смогли. Сдулись все специалисты... Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-89507226648021674362012-11-07T09:37:14.097+04:002012-11-07T09:37:14.097+04:00Отвечая на поставленный вопрос: Хуже стало то, что...Отвечая на поставленный вопрос: Хуже стало то, что не стало ни хуже, ни лучше. А что изменилось то по большому счету – а перелили из пустого в порожнее и как бы вот …. Складывается впечатление, что все кто на этом блоге обсуждают данную проблему, похожи на «ёжика» в тумане, слышать то мы слышим и даже видим, а вот откуда ….., хотелось бы ознакомиться с концептом, глядишь и поутихло бы, и зря мы все это …. Может в этом кроется причина, что ни Вас, уважаемые господа, ни Нас не слышат или от лукавого все это ….<br />Опять же возвращаясь …. Что бы понять «средину», надо увидеть «начало».<br />Anonymoushttps://www.blogger.com/profile/16906515483468129878noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-84778234027564455482012-11-07T09:22:27.616+04:002012-11-07T09:22:27.616+04:00Алексей, все не так. Делали и предлагали очень мно...Алексей, все не так. Делали и предлагали очень много - все в урну. С Ригелем полностью солидарен - сама идея зависимости от угроз НДВ при полном, подчеркиваю, полном, отсутствии механизмов противостояния им или хотя бы снижения рисков - бредовая. От насморка предлагают лечиться гипсованием ноги. Признал НДВ в ОС актуальной угрозой - защищайся сертифицированным МЭ и IDS, ну, и создай подразделение по техзащите. Если нет требования сертификации ОС и приклада по НДВ - зачем вообще говорить о таких угрозах. Про незнание законов умолчу - и про общедоступные данные, и про сотрудников оператора, и про журналы сообщений и журналы безопасности. И не верю, что всем разрешат идти очевидным путем- признать угрозы НДВ неактуальными и спать спокойно. Тогда все это городить было не за чем. Михаил Юрьевич Емельянниковhttps://www.blogger.com/profile/02718738745562762098noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-33203040914157124142012-11-07T08:32:27.946+04:002012-11-07T08:32:27.946+04:00Алексей!
Присоединяюсь к недовольству наездами на...Алексей! <br />Присоединяюсь к недовольству наездами на ничегонеделанье. Для первой редакции я составлял постатейный разбор проекта и для КАЖДОГО пункта приводил предложение формулировок или предложение по переделке. Аналогично после заявления Тачкова из ФСБ в самом начале разработки новой версии их документов составлялась и направлялась им такая портянка. Так что возмущение "пока никто не предложил" как минимум неверно )))) (По этому постановлению я не писал такой же портянки только из-за отпускной лени :) совпало так). Причем я по своим взглядам и соответственно предложениям начительно ближе к идеологии регуляторов, нежели форумное большинство. А вопросы сейчас все задают только в надежде, что регуляторы читают блоги и в приказах развеют все эти вопросы, учтут недопонимание исполнителей так сказать. Можно сказать форма предложений несколько отличается от стандартно-бюрократической, и настало время проявить "профессиональную гражданскую позицию" работникам регуляторов )))) (сразу отмету возражения "а оно им надо", как нивилирующее написание замечаний экспертами").<br /><br />Принципиально же проблема лежит гораздо глубже, как вчера с моей таблицей и ее "удобностью". Сейчас я начал знакомиться с "теорией клубов" (http://polit.ru/media/files/2012/10/27/Dolgin_Blok_Final_1.pdf), которая достаточно четко описывает модель "ничегонеделанья" и способы преодоления такой ситуации. Так вот, на мой взгляд, бессмысленно организовывать совместную работу без ВЗАИМНЫХ уступок и ЧЕТКО ЗАЯВЛЕННЫХ ПРАВИЛ. Гражданского (бесплатной работы для всех, волонтерстdа на ниве ИБ) взаимодействия при таком раскладе не получится. Действующая модель уже себя дискредитировала. Я пока не слышал ни от кого, что его замечания ФСБ или ФСТЭК при разработке документов учел. Причем Вы явно сейчас не в "нашем" клубе - "сотрудник" ТК и различных отгосударственных комиссий есть в глазах общественности "бюрократ" ))) и заявление, что Ваше замечание було реализовано, только будет подтверждать правило "пробившегося" )))))<br />Это конечно лично Ваше мнение, но, наверное, неправильно себя противопоставлять "обидевшемуся" на отсутствие "обратной связи" "сообществу". Регуляторам не так сложно было бы взять и открыто разобрать предложения и причины их отклоненний, например в узком кругу, с приглашением Емельянникова, Волкова, Лукацкого, Бондаренко, Тораненко (простите, если ошибся в фамилиях), которые бы потом остальным донесли бы о самом факте такого встречного движения, что явно бы подстегнуло то самое "волонтерство ИБ".<br />Заранее с извинениями за "если кого обидел", но свое мнение хотел донести.ZZubrahttps://www.blogger.com/profile/17309887397636383099noreply@blogger.com