6 сентября я писал про новые ГОСТы, которые должны появится в России в следующем годы. Но работа уже ведется и она не такая закрытая, как иногда кажется. В частности, Ассоциация RISSPA, представляющая Cloud Security Alliance в России, достигла договоренности с представителями ФСТЭК России о проведении публичного обсуждения терминологии облачных вычислений, которая в дальнейшем станет основной для использования в документах ФСТЭК по облачной тематике. RISSPA и ФСТЭК приглашают всех заинтересованных экспертов воспользоваться уникальным шансом и принять активное участие в формировании терминологии с учетом уже устоявшейся российской практики.
Документ основан преимущественно на первой части отчета фокус-группы ITU по облачным вычислениям, посвященного именно терминологии. Собственно эта фокус-группа опубликовала 7 частей своего отчета, который включает различные интересные темы - преимущества облачных вычислений, архитектура и функциональные требования, безопасность (5-я часть) и др.
Второй разрабатываемый ГОСТ я также упоминал - "Уязвимости информационных систем. Классификация уязвимостей информационных систем". Пояснительная записка и первая редакция проекта стандарта размещена на портале Ростехрегулирования.
По обоим документам вы можете проявить активность и поучаствовать в обсуждении этих документов. Я не раз уже призывал перейти от критики к реальной работе и это одна из таких возможностей. Не упустите ее. Потом винить можно будет только себя ;-(
Документ основан преимущественно на первой части отчета фокус-группы ITU по облачным вычислениям, посвященного именно терминологии. Собственно эта фокус-группа опубликовала 7 частей своего отчета, который включает различные интересные темы - преимущества облачных вычислений, архитектура и функциональные требования, безопасность (5-я часть) и др.
Второй разрабатываемый ГОСТ я также упоминал - "Уязвимости информационных систем. Классификация уязвимостей информационных систем". Пояснительная записка и первая редакция проекта стандарта размещена на портале Ростехрегулирования.
По обоим документам вы можете проявить активность и поучаствовать в обсуждении этих документов. Я не раз уже призывал перейти от критики к реальной работе и это одна из таких возможностей. Не упустите ее. Потом винить можно будет только себя ;-(
9 коммент.:
Обратим внимание на проект по классификации уязвимостей. Начнем с того, что классифицируются они в первую очередь по "по этапам жизненного цикла создания ИС" и предназначен он для "проектирования базы данных уязвимостей, которая будет использоваться отечественными средствами анализа защищенности (сканерами безопасности)"
Документ, сырой, много недочетов и вообще...
Но важно не это... Важно посмотреть кто же его делает и зачем!
Кто: ООО «ЦБИ»!!! только...
Зачем: под себя, под свой сканер безопасности?
Известное дело... кто хочет помочь коллегам ?
Еще нужно добавить, что это НИР вполне себе оплачиваемый государством?
В пояснительной записке сказано "В части уязвимостей в методических документах в настоящее вре-мя приведены только общие классы уязвимостей", и т.д.
Однако, предлагаемый документ тоже не пошёл дальше общих классов.
Пзабавило:
"5.2 Уязвимости ИС в соответствии с признаками классификации подразделяют на:
- группы;
- виды;
- типы."
А дальше вдруг:
"5.3 Класс 1 – уязвимости кода включает следующие группы:".
Предлагаемая классификация бесполезна. Не даёт внятных определений, подходов. Нужна такая классификация, которая позволит сказать, где критичная уязвимость, а где малозначная.
Отсылка к базовой модели угроз ПДн также не добавляет уважения к документу, потому что та модель угроз далеко не шедевр.
Про общие классы - эти же люди переводили и продолжают толкать общие критерии где про уязвимости таки что то есть.
"где критичная уязвимость, а где малозначная" - это можно определить только в "поле" для конкретной реализации АС/ИС.
Вообще уязвимость может иметь потэнциал, может не иметь реализации, зависит от целевой системы.
Вы тут будете лясы точить или авторам отпишитесь?
На портале ростехнадзора проблемы с регистрацией. Контактной информации в документах нет. Площадки для публичного обсуждения не наблюдается.
Пусть корячатся, раз взялись. Но уже видно, что концепция неудачная. Этакий акын - что вижу, то пою. Описывают не уязвимости, а какие бывают информационные технологии. От такой классификации для защиты информации никакой пользы.
Польза будет, если классифицировать с прицелом на защиту: этот класс закрывается экраном, этот класс закрывается шифрованием, этот класс закрывается модулем загрузки. И ничего страшного, если некоторые уязвимости окажутся в нескольких классах одновременно.
> Кто: ООО «ЦБИ»!!! только...
Справедливости ради - не только. Но собрать действительно представительный колектив разработчикам по ряду причин не удалось.
Документ получили все участники ТК-362, в том числе и мы. Отзыв готовлю. Если есть конкретные предложения (замечания к тексту не нужны, с ним итак все понятно), можете направлять мне.
Отправить комментарий