Pages - Menu

Страницы

18.9.12

Хватит ругать наши ГОСТы по безопасности. Пора действовать!

6 сентября я писал про новые ГОСТы, которые должны появится в России в следующем годы. Но работа уже ведется и она не такая закрытая, как иногда кажется. В частности, Ассоциация RISSPA, представляющая Cloud Security Alliance в России, достигла договоренности с представителями ФСТЭК России о проведении публичного обсуждения терминологии облачных вычислений, которая в дальнейшем станет основной для использования в документах ФСТЭК по облачной тематике. RISSPA и ФСТЭК приглашают всех заинтересованных экспертов воспользоваться уникальным шансом и принять активное участие в формировании терминологии с учетом уже устоявшейся российской практики.

Документ основан преимущественно на первой части отчета фокус-группы ITU по облачным вычислениям, посвященного именно терминологии. Собственно эта фокус-группа опубликовала 7 частей своего отчета, который включает различные интересные темы - преимущества облачных вычислений, архитектура и функциональные требования, безопасность (5-я часть) и др.

Второй разрабатываемый ГОСТ я также упоминал - "Уязвимости информационных систем. Классификация уязвимостей информационных систем". Пояснительная записка и первая редакция проекта стандарта размещена на портале Ростехрегулирования.

По обоим документам вы можете проявить активность и поучаствовать в обсуждении этих документов. Я не раз уже призывал перейти от критики к реальной работе и это одна из таких возможностей. Не упустите ее. Потом винить можно будет только себя ;-(

9 комментариев:

  1. Обратим внимание на проект по классификации уязвимостей. Начнем с того, что классифицируются они в первую очередь по "по этапам жизненного цикла создания ИС" и предназначен он для "проектирования базы данных уязвимостей, которая будет использоваться отечественными средствами анализа защищенности (сканерами безопасности)"

    Документ, сырой, много недочетов и вообще...

    Но важно не это... Важно посмотреть кто же его делает и зачем!
    Кто: ООО «ЦБИ»!!! только...
    Зачем: под себя, под свой сканер безопасности?

    Известное дело... кто хочет помочь коллегам ?

    ОтветитьУдалить
  2. Еще нужно добавить, что это НИР вполне себе оплачиваемый государством?

    ОтветитьУдалить
  3. В пояснительной записке сказано "В части уязвимостей в методических документах в настоящее вре-мя приведены только общие классы уязвимостей", и т.д.

    Однако, предлагаемый документ тоже не пошёл дальше общих классов.

    Пзабавило:
    "5.2 Уязвимости ИС в соответствии с признаками классификации подразделяют на:
    - группы;
    - виды;
    - типы."

    А дальше вдруг:
    "5.3 Класс 1 – уязвимости кода включает следующие группы:".

    Предлагаемая классификация бесполезна. Не даёт внятных определений, подходов. Нужна такая классификация, которая позволит сказать, где критичная уязвимость, а где малозначная.

    Отсылка к базовой модели угроз ПДн также не добавляет уважения к документу, потому что та модель угроз далеко не шедевр.

    ОтветитьУдалить
  4. Про общие классы - эти же люди переводили и продолжают толкать общие критерии где про уязвимости таки что то есть.

    "где критичная уязвимость, а где малозначная" - это можно определить только в "поле" для конкретной реализации АС/ИС.
    Вообще уязвимость может иметь потэнциал, может не иметь реализации, зависит от целевой системы.

    ОтветитьУдалить
  5. Вы тут будете лясы точить или авторам отпишитесь?

    ОтветитьУдалить
  6. Этот комментарий был удален автором.

    ОтветитьУдалить
  7. На портале ростехнадзора проблемы с регистрацией. Контактной информации в документах нет. Площадки для публичного обсуждения не наблюдается.

    Пусть корячатся, раз взялись. Но уже видно, что концепция неудачная. Этакий акын - что вижу, то пою. Описывают не уязвимости, а какие бывают информационные технологии. От такой классификации для защиты информации никакой пользы.

    Польза будет, если классифицировать с прицелом на защиту: этот класс закрывается экраном, этот класс закрывается шифрованием, этот класс закрывается модулем загрузки. И ничего страшного, если некоторые уязвимости окажутся в нескольких классах одновременно.

    ОтветитьУдалить
  8. > Кто: ООО «ЦБИ»!!! только...

    Справедливости ради - не только. Но собрать действительно представительный колектив разработчикам по ряду причин не удалось.

    Документ получили все участники ТК-362, в том числе и мы. Отзыв готовлю. Если есть конкретные предложения (замечания к тексту не нужны, с ним итак все понятно), можете направлять мне.

    ОтветитьУдалить
  9. Этот комментарий был удален автором.

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.