tag:blogger.com,1999:blog-4065770693499115314.post3728421911644210205..comments2023-10-02T12:01:53.774+03:00Comments on Бизнес без опасности: Новости ФСТЭК по моделированию угрозАлексей Лукацкийhttp://www.blogger.com/profile/08434361034703403028noreply@blogger.comBlogger13125tag:blogger.com,1999:blog-4065770693499115314.post-12264390459852107162015-02-20T19:03:00.679+03:002015-02-20T19:03:00.679+03:00История появления прежней модели интересна, но не ...История появления прежней модели интересна, но не публичнаАлексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-57056247398403197272015-02-20T13:56:41.602+03:002015-02-20T13:56:41.602+03:00С моделированием угроз у нас беда. Многие модели д...С моделированием угроз у нас беда. Многие модели даже читать страшно, а уж, что для госорганов некоторые интеграторы пишут - вообще песня. И сразу возникает вопрос - для кого ФСТЭК базовую модель писал!?stan99https://www.blogger.com/profile/02533688193537540752noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-89869275847988049322015-02-18T16:35:53.625+03:002015-02-18T16:35:53.625+03:00"С чем я не согласен, так это с тем, что моде..."С чем я не согласен, так это с тем, что модель угроз не должна содержать перечня защитных мер, направленных на нейтрализацию определенных в процессе моделирования угроз. Я как раз считаю, что перечень защитных мер должен быть именно в модели угроз, чтобы было понятно, зачем это моделирование делалось. Но в любом случае, нарушением это не считается."<br /><br />о_0<br />-базовый набор мер,<br />-адаптированный базовый набор мер<br />-уточненный адаптированный базовый набор мер<br /><br />Исходными данными при уточнении адаптированного базового набора мер защиты информации являются перечень угроз безопасности информации и их характеристики (потенциал, оснащенность, мотивация), включенные в модель угроз безопасности информации.<br />При уточнении адаптированного базового набора мер защиты информации для каждой угрозы безопасности информации, включенной в модель угроз, сопоставляется мера защиты информации из адаптированного базового набора мер защиты информации, обеспечивающая блокирование этой угрозы безопасности или снижающая вероятность ее реализации исходя из условий функционирования информационной системы. <br />«Меры защиты информации... с ГИС» 2.3 (в) стр 12.<br /><br />как видите, методичка ясно дает понять что сопоставление актуальных угроз с мерами защиты происходит перед уточнением адаптированного базового набора мер. Сергейhttps://www.blogger.com/profile/01568535309799474420noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-36355604947967477692015-02-17T19:16:38.257+03:002015-02-17T19:16:38.257+03:00Ну, например, не все объекты включаешь в описание ...Ну, например, не все объекты включаешь в описание системыАлексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-23696136968794962202015-02-17T16:35:30.173+03:002015-02-17T16:35:30.173+03:00"Третья ошибка заключается в неверном определ..."Третья ошибка заключается в неверном определении объектов защиты". Можно чуть подробнее в чем заключается эта ошибка? Смотрел слайды у Прозорова - тоже непонятно.IBS2019https://www.blogger.com/profile/09326880310238578252noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-64634212897824336002015-02-17T13:53:57.993+03:002015-02-17T13:53:57.993+03:00Они как раз требуют описание ИСОни как раз требуют описание ИСАлексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-9210325948130789512015-02-17T13:53:18.839+03:002015-02-17T13:53:18.839+03:00Не для построения, а для создания СЗИНе для построения, а для создания СЗИАлексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-62449977461573532562015-02-17T13:35:34.947+03:002015-02-17T13:35:34.947+03:00" Ошибки - это же должны быть нарушения каких..." Ошибки - это же должны быть нарушения каких-то правил. А если правил нет, если нет методики, как можно говорить об "ошибках"? "<br /><br />А самое непонятное, как они определяют, правильно ли определены актуальные угрозы, даже не видя ИС и не читая материалы обследования?Александр Германовичhttps://www.blogger.com/profile/18057556185866798562noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-40761141404493736822015-02-17T13:30:43.322+03:002015-02-17T13:30:43.322+03:00Про четверокнижие они написали "не применяетс...Про четверокнижие они написали "не применяется" ;)<br /><br />Да и сложновато использовать тот же 58-й приказ для построения МУ.Александр Германовичhttps://www.blogger.com/profile/18057556185866798562noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-55757730236528405902015-02-17T12:49:40.837+03:002015-02-17T12:49:40.837+03:00Четверокнижие, 58-й приказ и т.п.Четверокнижие, 58-й приказ и т.п.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-88525443230465994942015-02-17T12:28:30.160+03:002015-02-17T12:28:30.160+03:00"планируют разработать ряд типовых моделей уг..."планируют разработать ряд типовых моделей угроз для распространенных систем и технологий"<br />Вообще говоря, это ключевое и вообще должно быть частью учебника по МУ. Мы так и сделали, разрабатывая перечень актуальных угроз. Общий список + порядка 15 дополнительных в зависимости от архитектуры и особенностей ИС. <br />А современный безопасник, выпускающийся с учебы, часто вообще не представляет, в чем разница между архитектурами ИС и какие они вообще бывают. И надо ли это учитывать. Например, какая разница между файл-серверной ИС и терминальным доступом к ИС? Или трехзвенной ИС? Где риски выше при атаке на АРМ? А на сервер? Но большинство же моделей угроз составляют единым списком ДЛЯ ВСЕЙ ИС, не разделяя на типы узлов.Сергей Городиловhttps://www.blogger.com/profile/16141528674715899373noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-38896205535788073712015-02-17T12:04:36.258+03:002015-02-17T12:04:36.258+03:00Вот мне интересно. Говорят "ошибки"... О...Вот мне интересно. Говорят "ошибки"... Ошибки - это же должны быть нарушения каких-то правил. А если правил нет, если нет методики, как можно говорить об "ошибках"? Например, оператор не учитывает имеющиеся уязвимости... так может у него методика такая, которая не учитывает уязвимости. Или говорят - неверно определены объекты защиты (защищают только информацию, а не технические средства) Но где у нас правила определения объекта защиты? Раз их нет, как можно говорить об ошибках?Сергей Борисовhttps://www.blogger.com/profile/14791407923386673039noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-32547250802944099762015-02-17T10:34:19.713+03:002015-02-17T10:34:19.713+03:00Интересно, что ФСТЭК понимает под устаревшей норма...Интересно, что ФСТЭК понимает под устаревшей нормативной базой? По-моему, кроме трехглавого приказа, они ничего не отменяли.Александр Германовичhttps://www.blogger.com/profile/18057556185866798562noreply@blogger.com