tag:blogger.com,1999:blog-4065770693499115314.comments2023-10-02T12:01:53.774+03:00Бизнес без опасностиАлексей Лукацкийhttp://www.blogger.com/profile/08434361034703403028noreply@blogger.comBlogger16991125tag:blogger.com,1999:blog-4065770693499115314.post-55044013349164688532021-12-23T19:59:05.527+03:002021-12-23T19:59:05.527+03:00Этот комментарий был удален администратором блога.Jane Deutschhttps://www.blogger.com/profile/16403299378895904384noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-81125001374561763722021-11-30T23:33:02.240+03:002021-11-30T23:33:02.240+03:00Так lukatsky.ru/feed есть жеТак lukatsky.ru/feed есть жеАлексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-41732271262565196472021-11-30T19:29:15.597+03:002021-11-30T19:29:15.597+03:00А RSS в ём будет?А RSS в ём будет?pvphttps://www.blogger.com/profile/11639864343812601577noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-28422510111425098732021-11-20T16:31:17.267+03:002021-11-20T16:31:17.267+03:00Этот комментарий был удален администратором блога.Cipriana Costashttps://www.blogger.com/profile/03935766072938458256noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-41167637470720117162021-11-11T20:32:41.152+03:002021-11-11T20:32:41.152+03:00Ну за 10 лет многое поменялось
Ну за 10 лет многое поменялось<br />Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-92071160426773188102021-11-11T16:12:22.399+03:002021-11-11T16:12:22.399+03:00На 21.07.2021 актуальны следующие формы оценки соо...На 21.07.2021 актуальны следующие формы оценки соответствия: испытание, регистрация, подтверждение соответствия, приемка и ввод в эксплуатацию объекта, строительство которого закончено, и в иной форме (абзац 2 части 3 статьи 7 Федерального закона от 27.12.2002 № 184-ФЗ). <br />Стас К.https://www.blogger.com/profile/07182952818971789743noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-19949082905076124122021-11-03T10:43:32.945+03:002021-11-03T10:43:32.945+03:00Алексей, доброго времени суток!
В октябре вышло По...Алексей, доброго времени суток!<br />В октябре вышло Постановление Правительства Российской Федерации от 23.10.2021 № 1815 "Об утверждении перечня случаев осуществления сбора и обработки используемых для идентификации либо идентификации и аутентификации биометрических персональных данных в информационных системах организаций...", которое значительно ограничивает, а в некоторых случаях делает невозможным обработку биометрии (например, отпечаток пальца) в СКУД, т.к. с марта 2022 требуется аккредитация такой организации (уставник от 500 млн руб, резерв на случай компенсации ущерба от 100 млн руб, серт. СКЗИ, 2 спеца по ИБ и пр.), что для большинства ООО невыполнимо.<br />При этом на многих производствах запрещено использование бейджа на веревочке, тросике и пр. по технике безопасности - только биометрия.<br />Интересно, исходя из каких побуждений в перечень была включена СКУД и проходил ли этот законопроект какую-то экспертную оценку? Наверное, скоро тоже будут вносится изменения на N листах....Dmitriy Savelievhttps://www.blogger.com/profile/01328275034672761314noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-16040991511750832192021-10-30T18:13:03.744+03:002021-10-30T18:13:03.744+03:00Не самая лучшая концепция законотворчестваНе самая лучшая концепция законотворчестваАлексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-27739333338826845292021-10-30T13:49:39.574+03:002021-10-30T13:49:39.574+03:00Этот комментарий был удален администратором блога.Janani UKPhttps://www.blogger.com/profile/02346000150645718280noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-79932050771508214862021-10-30T12:10:15.736+03:002021-10-30T12:10:15.736+03:00Слегка перефразировав Нэнси Пелоси: "Закон не...Слегка перефразировав Нэнси Пелоси: "Закон необходимо принять, чтобы понять его последствия" 😊Valery Estekhinhttps://www.blogger.com/profile/15095089539299883165noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-82001542072950040192021-10-30T05:20:15.157+03:002021-10-30T05:20:15.157+03:00Этот комментарий был удален администратором блога.Putri Adiratnaahttps://www.blogger.com/profile/10218229744092300092noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-1309325892508200012021-10-29T05:48:55.206+03:002021-10-29T05:48:55.206+03:00Этот комментарий был удален администратором блога.Артур Борис https://www.blogger.com/profile/01327192336002470589noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-61273430954842400582021-10-28T15:32:07.945+03:002021-10-28T15:32:07.945+03:00Да, Вы правы. Имеем, что есть.Да, Вы правы. Имеем, что есть.Алексейhttps://www.blogger.com/profile/03949943718178646272noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-79225608639032509192021-10-28T15:29:46.233+03:002021-10-28T15:29:46.233+03:00Алексей, так поэтому я в заметке и написал, что у ...Алексей, так поэтому я в заметке и написал, что у ФСТЭК <b>нет</b> процесса моделирования угроз. Требование есть. Список угроз есть. А процесса моделирования нет. То, что ИЛ, ОС, ФСТЭК не обращают на это внимание - это отдельный вопрос.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-39971031006043118132021-10-28T08:53:27.103+03:002021-10-28T08:53:27.103+03:00Этот комментарий был удален администратором блога.sowmyahttps://www.blogger.com/profile/18299934057342935043noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-31859180197315948122021-10-28T08:44:54.690+03:002021-10-28T08:44:54.690+03:00Максим, я описал Вам как моделировал УБИ по этому ...Максим, я описал Вам как моделировал УБИ по этому ГОСТ. У регулятора, ИЛ и ОС при сертификации вопросов и замечаний не было. Почему ГОСТ именно такой, лучше спросить у его разработчиков - ФСТЭК России и компании "Эшелон". Я там не работаю, поэтому комментировать полученный результат не могу.Алексейhttps://www.blogger.com/profile/03949943718178646272noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-48557144686611276012021-10-28T08:34:12.719+03:002021-10-28T08:34:12.719+03:00А как объяснить, что одна из мер по ГОСТ 58412 При...А как объяснить, что одна из мер по ГОСТ 58412 Приложение А и есть моделирование УБИ согласно ГОСТ 56939? <br />И где последовательность моделирования в ГОСТ 58412? Или описания "входными данными для процесса моделирования угроз безопасности в первую очередь сведения о проекте архитектуры программы.... " достаточно??? Где действительно низкоуровневое описание процесса моделирования?Maximhttps://www.blogger.com/profile/13716651855100063960noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-56323887927882578722021-10-28T06:55:01.925+03:002021-10-28T06:55:01.925+03:00Ещё раз. В ГОСТ в таблице А.1 есть перечень мер за...Ещё раз. В ГОСТ в таблице А.1 есть перечень мер защиты. Каждый разработчик указывает, какую угрозу какой мерой он закроет. Что не так? Что мешает принять все высокоуровневые угрозы за актуальные и принять меры, которые уже есть в ГОСТ? Для чего выдумывать что-то ещё? Добавление новых угроз ГОСТ позволяет, как и убрать неактуальные. Вам не кажется странным делать замечания в процесс моделирования угроз не сделав самому ни одну модель угроз при сертификации ПО?Алексейhttps://www.blogger.com/profile/03949943718178646272noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-33142620172213247312021-10-28T06:44:23.669+03:002021-10-28T06:44:23.669+03:00По этому вопросу проще всего обратиться в ИЛ ФСТЭК...По этому вопросу проще всего обратиться в ИЛ ФСТЭК. Если нет возможности, можно взять все 19 угроз из ГОСТ 58412, выбрать актуальные (для меня актуальными были все). Потом в таблице А.1 из ГОСТ Вы сопоставляете угрозы с мерами, которые реализованы у Вас. Типовые меры есть в таблице А.1. Каждую угрозу будет закрывать несколько мер защиты. Всё.Алексейhttps://www.blogger.com/profile/03949943718178646272noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-22666533732659280782021-10-28T06:36:48.476+03:002021-10-28T06:36:48.476+03:00Выдержка из ГОСТ 56939
п.5.2.3.1
"Для органи...Выдержка из ГОСТ 56939<br />п.5.2.3.1<br /><br />"Для организации работ, выполняемые в процессах жизненного цикла ПО. и подтверждения соответствия требованиям настоящего стандарта документация разработчика ПО должна содержать:<br />• описание используемой методологии моделирования угроз безопасности информации;<br />• список выявленных потенциальных угроз безопасности информации (при выявлении);<br />• описание проектных решений и/или указаний по применению разрабатываемого ПО. направленных на нейтрализацию выявленных потенциальных угроз безопасности информации.<br /><br />П р и м е ч а н и е — входными данными для процесса моделирования угроз безопасности информации являются в первую очередь сведения о проекте архитектуры программы (предполагаемых компонентах программы, их интерфейсах и концепции их совместного выполнения), а том числе информация о заимствованных у сторонних разработчиков ПО компонентах и информация из открытых источников (например, из банка данных угроз безопасности информации Федеральной службы по техническому и экспортному контролю (ФСТЗК России)], связанная с типовыми сценариями компьютерных атак и угрозами безопасности информации..... "<br /><br />И соответственно вопрос, как ГОСТ 58412 может быть методикой для этих требований? <br />Есть где-нибудь описание, как это все сопоставить?Maximhttps://www.blogger.com/profile/13716651855100063960noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-27642451646456934432021-10-27T22:15:58.415+03:002021-10-27T22:15:58.415+03:00Модель угроз - это не их перечень, а процедура для...Модель угроз - это не их перечень, а процедура для их выбора в зависимости от исходных данных. А ГОСТ ни слова не говорит про процедуру выбора. Ни про декомпозицию, ни про выделение активов, ни про информационные потоки между ними, ни про что это.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-47644156310303621252021-10-27T19:11:30.202+03:002021-10-27T19:11:30.202+03:00Не могу с Вами согласиться по вопросу невозможност...Не могу с Вами согласиться по вопросу невозможности разработки модели по ГОСТ. Десятки компаний- разработчиков, прошедших сертификацию могут подтвердить обратное. Да, в ГОСТ перечислены высокоуровневые угрозы. Разработчик может добавлять или убирать в зависимости от специфики. Для чего нужна излишняя детализация или тактики и техники в этом ГОСТ не очень понятно.Алексейhttps://www.blogger.com/profile/03949943718178646272noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-14850024730042506692021-10-27T17:40:16.681+03:002021-10-27T17:40:16.681+03:00Так по 58412 нельзя модель разработать - там прост...Так по 58412 нельзя модель разработать - там просто набор высокоуровневых угроз, не более. Это не модель, это перечень. В модели обоснование выбора должно быть.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-79001711964319208762021-10-27T15:07:58.280+03:002021-10-27T15:07:58.280+03:00Этот комментарий был удален администратором блога.pavithrasrihttps://www.blogger.com/profile/15076934460929480056noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-59745091160809678262021-10-27T12:37:31.957+03:002021-10-27T12:37:31.957+03:00Модель разрабатывается по ГОСТ 58412. В приложении...Модель разрабатывается по ГОСТ 58412. В приложении А ГОСТ (таблица А.1) каждой угрозе соответствует своя мера из ГОСТ Р 56939-2016. Разработчик у себя реализует меры из ГОСТ Р 56939-2016.Алексейhttps://www.blogger.com/profile/03949943718178646272noreply@blogger.com