Интересная судьба ждет ГОСТ Р "Система обеспечения информационной безопасности сети
связи общего пользования. Модель угроз и нарушителя информационной безопасности сетей и систем связи" и планируемый ГОСТ Р "Система обеспечения информационной безопасности сети связи общего пользования. Методика оценки вероятности риска
причинения ущерба сетям и системам связи"
Первый стандарт разрабатывается уже давно - чуть ли не семь лет. Его инициаторами стали Транстелеком и ЦНИИС, а потом к ним присоединился и МТС. Стандарт достаточно интересен, т.к. впервые подводит некоторую базу под создание модели угроз, от которой затем будут "танцевать" требования по защите. На заседании ТК362, которое прошло в пятницу в Воронеже, стандарт представлял один из его разработчиков - Дмитрий Соболев. Он вышел с инициативой о переносе даты окончания разработки с 2011-го на 2012-й год и все бы ничего, если бы с комментариями не вышел представитель 8-го управления ФСБ.
Представитель ФСБ резко раскритиковал стандарт. Среди замечаний я отметил бы несколько. Во-первых, по мнению ФСБ в стандарте не учтены многие объекты/субъекты - облака, террористы, хулиганы и т.д. Во-вторых, модель воздействия, являющаяся частью модели угроз, по мнению ФСБ, позволяет сделать потенциальному нарушителю далеко идущие выводы, а следовательно она должна быть грифованной. В выступлении Мурашова Н.Н. из ФСБ вообще прозвучала идея, что эта информация относится к гостайне. Затем была высказана идея, что операторы связи у нас обрабатывают данные спецпотребителей, а следовательно предлагаемый ГОСТ вообще не должен быть публичным ГОСТом. А также что его надо сделать межведомственным документом и согласовать между ФСБ, Минкомсвязи, ФСО, Минобороны и рядом других ведомств. На веское замечание из зала и от авторов, что стандарт рассчитан не на спецпотребителей, а на операторов связи, работающих с обычными гражданами, Мурашов заявил, что среди основных задач ФСБ числится защита граждан от различных угроз и поэтому наших соотечественников надо защитить от тлетворного влияния Запада, которое проявляется в том, что 98% всего Интернет-трафика проходит через несколько ключевых серверов в Рунете, производителями которых являются иностранные компании (знакомо, не так ли). А раз так, то надо обязать операторов связи жить по такой модели угроз, чтобы иностранным спецслужбам и террористам было неповадно изучать сколько времени сидит в "ВКонтакте" школьница Маша, и на каких игровых сайтах просиживает студент Илья. Вообще, мне операторов связи жаль. Невесло им становится жить в последнее время.
ЗЫ. Вообще ФСБ явно перегибает палку со своим подходом к модели нарушителя/угроз. Недавно узнал от коллеги из госоргана, что на их публичный сайт ФСБ пытается натянуть модель нарушителя Н5. На публичный сайт!!! Для тех, кто не в теме, Н5 - это когда в качестве нарушителя рассматривается лицо, которое имеет возможность привлекать различные научно-исследовательские институты для изучения возможности проведения атак (чуть больше про модели нарушителя ФСБ тут). Т.е. это уровень государства или очень крупного монополиста в какой-либо области (уровня Газпрома). Зачем такая модель нарушителя для публичного сайта, не понимаю.
ЗЗЫ. Кто внимательно читал мой вчерашний пост, тот обратил внимание на то, что на 2012 год у Росстандарта запланирована гармонизация ГОСТ Р ИСО/МЭК 15408-1 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий» Часть. 1. Введение и общая модель". Однако напомню, что СоДИТ в прошлом году уже сделал перевод этого стандарта на русский язык. Нестыковка какая-то...
связи общего пользования. Модель угроз и нарушителя информационной безопасности сетей и систем связи" и планируемый ГОСТ Р "Система обеспечения информационной безопасности сети связи общего пользования. Методика оценки вероятности риска
причинения ущерба сетям и системам связи"
Первый стандарт разрабатывается уже давно - чуть ли не семь лет. Его инициаторами стали Транстелеком и ЦНИИС, а потом к ним присоединился и МТС. Стандарт достаточно интересен, т.к. впервые подводит некоторую базу под создание модели угроз, от которой затем будут "танцевать" требования по защите. На заседании ТК362, которое прошло в пятницу в Воронеже, стандарт представлял один из его разработчиков - Дмитрий Соболев. Он вышел с инициативой о переносе даты окончания разработки с 2011-го на 2012-й год и все бы ничего, если бы с комментариями не вышел представитель 8-го управления ФСБ.
Представитель ФСБ резко раскритиковал стандарт. Среди замечаний я отметил бы несколько. Во-первых, по мнению ФСБ в стандарте не учтены многие объекты/субъекты - облака, террористы, хулиганы и т.д. Во-вторых, модель воздействия, являющаяся частью модели угроз, по мнению ФСБ, позволяет сделать потенциальному нарушителю далеко идущие выводы, а следовательно она должна быть грифованной. В выступлении Мурашова Н.Н. из ФСБ вообще прозвучала идея, что эта информация относится к гостайне. Затем была высказана идея, что операторы связи у нас обрабатывают данные спецпотребителей, а следовательно предлагаемый ГОСТ вообще не должен быть публичным ГОСТом. А также что его надо сделать межведомственным документом и согласовать между ФСБ, Минкомсвязи, ФСО, Минобороны и рядом других ведомств. На веское замечание из зала и от авторов, что стандарт рассчитан не на спецпотребителей, а на операторов связи, работающих с обычными гражданами, Мурашов заявил, что среди основных задач ФСБ числится защита граждан от различных угроз и поэтому наших соотечественников надо защитить от тлетворного влияния Запада, которое проявляется в том, что 98% всего Интернет-трафика проходит через несколько ключевых серверов в Рунете, производителями которых являются иностранные компании (знакомо, не так ли). А раз так, то надо обязать операторов связи жить по такой модели угроз, чтобы иностранным спецслужбам и террористам было неповадно изучать сколько времени сидит в "ВКонтакте" школьница Маша, и на каких игровых сайтах просиживает студент Илья. Вообще, мне операторов связи жаль. Невесло им становится жить в последнее время.
ЗЫ. Вообще ФСБ явно перегибает палку со своим подходом к модели нарушителя/угроз. Недавно узнал от коллеги из госоргана, что на их публичный сайт ФСБ пытается натянуть модель нарушителя Н5. На публичный сайт!!! Для тех, кто не в теме, Н5 - это когда в качестве нарушителя рассматривается лицо, которое имеет возможность привлекать различные научно-исследовательские институты для изучения возможности проведения атак (чуть больше про модели нарушителя ФСБ тут). Т.е. это уровень государства или очень крупного монополиста в какой-либо области (уровня Газпрома). Зачем такая модель нарушителя для публичного сайта, не понимаю.
ЗЗЫ. Кто внимательно читал мой вчерашний пост, тот обратил внимание на то, что на 2012 год у Росстандарта запланирована гармонизация ГОСТ Р ИСО/МЭК 15408-1 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий» Часть. 1. Введение и общая модель". Однако напомню, что СоДИТ в прошлом году уже сделал перевод этого стандарта на русский язык. Нестыковка какая-то...
"среди основных задач ФСБ числится защита граждан от различных угроз и поэтому наших соотечественников надо защитить от тлетворного влияния Запада"
ОтветитьУдалитьЗанавес. Я бы аплодировал стоя.
Особенно принимая во внимание предстоящие поправки в закон о противодействии терроризму, по которому граждане будут вынуждены от него сами и защищаться...
ОтветитьУдалитьНда.
Так железный занавес подняли и фитиль холодной войны задули
ОтветитьУдалитьОт перевода до гармонизации - тонны переписки и месяцы официальных согласований текста, не обязательно аутентичного
ОтветитьУдалить"Недавно узнал от коллеги из госоргана, что на их публичный сайт ФСБ пытается натянуть модель нарушителя Н5"
ОтветитьУдалитьа какие это Н5?
"это уровень государства или очень крупного монополиста в какой-либо области (уровня Газпрома)"
Н5 - ОПГ, а государство - Н6.
Газпром - нарушитель? )))
"Зачем такая модель нарушителя для публичного сайта, не понимаю"
Какая такая? Фишка Н5 в том, что следует из этого положения, а в современных условиях спорить с ними поменьшей мере странно.
Также можно не учитывать угрозы, которые в зависимости от конкретных условий.
Какая ОПГ? ОПГ в состоянии привлечь НИИ в области криптографии?
ОтветитьУдалитьнапример, не сможет заказать работу по оценке уязвимости ПО с которым взаимодействует криптография?
ОтветитьУдалить