tag:blogger.com,1999:blog-4065770693499115314.post4620690868064315612..comments2023-10-02T12:01:53.774+03:00Comments on Бизнес без опасности: Пора менять подходы к нейтрализации угрозы НДВАлексей Лукацкийhttp://www.blogger.com/profile/08434361034703403028noreply@blogger.comBlogger6125tag:blogger.com,1999:blog-4065770693499115314.post-83537272081015994312013-06-08T23:38:28.626+04:002013-06-08T23:38:28.626+04:00И конечно нужно помнить что НДВ: Функциональные во...И конечно нужно помнить что НДВ: Функциональные возможности ПО, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.<br /><br />Иными словами угроза того, что разработчик сокрыл от потребителя(архитектора СЗИ) функциональные возможности, архитектор СЗИ их не учел и целевая система ку ку...Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-23189609721821291462013-06-08T23:18:40.157+04:002013-06-08T23:18:40.157+04:00Конечно, оператор не может самостоятельно разрулит...Конечно, оператор не может самостоятельно разрулить вопрос с НДВ. Я предлагаю рассматривать этот вопрос в таком ключе: http://kaskadsecurity.blogspot.ru/2013/02/1119.html<br /><br />При этом компенсирующие меры должен обеспечить Оператор сам или привлечь специалистов. Но платить ему! Для компенсирующих мер можно придумать массу вещей главным образом закрывающих периметр и возможность восстановления с доп мерами контроля. Но пока об этом речи нет.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-28003919221965656842013-06-08T23:14:30.903+04:002013-06-08T23:14:30.903+04:00Остапа понесло...
1. "устаревшего подхода к ...Остапа понесло...<br /><br />1. "устаревшего подхода к поиску недокументированных возможностей, как к единственному методу проверки не только функциональности средства защиты, но и защищенности его самого"<br /><br />- Это никак не единственный метод! Тот же РД СВТ предполагает тестирование, включающее "перехват явных и скрытых запросов на доступ, правильное распознавание санкционированных и несанкционированных запросов, средства защиты механизма разграничения доступа, санкционированные изменения ПРД"<br /><br />2. Да, про SDLC пока намек, но во что он выльется пока не ясно, но это и намек на парадигму ответственности Разработчика! А это новость!<br /><br />3. Применение тестов на проникновение - скорее косвенная мера относящаяся к системе в целом. Может потянуть за собой комплекс компенсирующих мер, что так же интересно.<br /><br />4. вот следующую цитату я вообще не понял... для кого малореальная для кого возможная, для кого то невозможная... запутываешь ?<br /><br />"Пока "только НДВ" у нас остается для области гостайны и средств защиты информации при определенных классах и уровнях защищенности по 21-му и 17-му приказам ФСТЭК. Да и по линии ФСБ это вещь обязательная. Но как уже было показано ранее, предоставление исходников, без которых провести сертификацию на отсутствие НДВ даже для 4-го класса, задача малореальная для многих разработчиков. Тупик? Пока да."<br /><br />5. "зачем тратить колоссальные средства на проверку исходников ПО или железа"<br /><br />- при чем тут железо ?<br /><br />6. Ты как то ведешь к мысли что уязвимости, недостатки и т.п. искать не надо? Странно...<br /><br />7. "Может пора пересмотреть подход? Я бы предложил сначала четко очертить круг организаций.."<br />- очень странно ты предлагаешь поменять подход! Не сфера а организации...<br /><br />8. "Ну не является поиск НДВ (даже в средствах защиты) актуальной мерой нейтрализации угроз для данного вида информации ограниченного доступа"<br />- если угрозы наличия дырки в СрЗИ (есть в ней обход) не является актуальной - то пожалуй не нужно вообще использовать средства защиты!<br /><br />9. Теперь по "американского Минобороны и NIST"<br />9.1 "Инструментальные средства анализа кода" - применяются при НДВ да еще и сертифицированные!<br />9.2 "Анализ уязвимостей и угроз" - применяются!<br />9.3 ""Ручной" анализ кода" - применяется!<br />9.4. "Пентесты" - применяй нехочу! Хочешь сделать обязательным?<br />9.5 "Моделирование угроз" - см. РД и Гарантии проектирования!<br />9.6 "Проверка области тестирования/анализа" - смотри РД!<br />9.7. "Симуляция /эмуляция" - так же применяется, и в тех же случаях!<br /><br />10. "Наверное, можно придумать и что-то иное для замены не всегда нужной оценки соответствия на отсутствие НДВ." <br />- смотри в комплексе... все есть! Кроме НДВ полно проверок которые ты сейчас размазал в направление НДВ!<br /><br />11. "Тогда и задача оценки качества ПО будет решена"<br /><br />- не нужно путать качество ПО и безопасность ПО!<br />Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-75386909536210478192013-06-06T16:25:53.110+04:002013-06-06T16:25:53.110+04:00Алексей, вы с грифами разными по ГТ работали (секр...Алексей, вы с грифами разными по ГТ работали (секретно, сов.секретно, особой важности)?<br />Они все защищаются одними и теми же средствами по большей части, разница в настройках, в дальности ПЭМИН и т.д. Пришли иностранные производители 9с хорошими нароботками) и вытесняют тех, кто годами делал поделки для ГТ с рынка для конф., а еще и "утечку мозгов" организовали. Надо же хоть как-то и своих производителей подтягивать 9хотябы для ГТ) - вот НДВ это прямой способ узнать как что сделано у иностранцев))) Кроме того, банковская тайна о счете какого-нибудь политика может спровоцировать революционные настроения, а это плавно перетекает в национальную безопасноть... А информация о состоянии здоровья Фиделя Кастро, например...<br />Разное все и ПДн и налоговая и банковская тайна.<br />Согласен, подход надо менять. Самая действенная на мой взгляд, мера - деньги. Например страхование ответственности производителя ПО (он тогда сам будет SDLC применять). Tomashttps://www.blogger.com/profile/08380131738088408530noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-82569347693538868262013-06-06T09:09:13.909+04:002013-06-06T09:09:13.909+04:00Никакой - по жизни. Все лажаютНикакой - по жизни. Все лажаютАлексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-41829157499438940652013-06-06T08:43:44.671+04:002013-06-06T08:43:44.671+04:00А какая разница между доверием к производителю и д...А какая разница между доверием к производителю и доверием к испытательной лаборатории(органу по сертификации)? В РБК сегодня увидел интересную статью про Росаккредитацию - количество "липовых" сертификатов поражает.Anonymousnoreply@blogger.com