tag:blogger.com,1999:blog-4065770693499115314.post4776754726672909567..comments2023-10-02T12:01:53.774+03:00Comments on Бизнес без опасности: Моделирование угроз в процессе разработки ПОАлексей Лукацкийhttp://www.blogger.com/profile/08434361034703403028noreply@blogger.comBlogger14125tag:blogger.com,1999:blog-4065770693499115314.post-61273430954842400582021-10-28T15:32:07.945+03:002021-10-28T15:32:07.945+03:00Да, Вы правы. Имеем, что есть.Да, Вы правы. Имеем, что есть.Алексейhttps://www.blogger.com/profile/03949943718178646272noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-79225608639032509192021-10-28T15:29:46.233+03:002021-10-28T15:29:46.233+03:00Алексей, так поэтому я в заметке и написал, что у ...Алексей, так поэтому я в заметке и написал, что у ФСТЭК <b>нет</b> процесса моделирования угроз. Требование есть. Список угроз есть. А процесса моделирования нет. То, что ИЛ, ОС, ФСТЭК не обращают на это внимание - это отдельный вопрос.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-31859180197315948122021-10-28T08:44:54.690+03:002021-10-28T08:44:54.690+03:00Максим, я описал Вам как моделировал УБИ по этому ...Максим, я описал Вам как моделировал УБИ по этому ГОСТ. У регулятора, ИЛ и ОС при сертификации вопросов и замечаний не было. Почему ГОСТ именно такой, лучше спросить у его разработчиков - ФСТЭК России и компании "Эшелон". Я там не работаю, поэтому комментировать полученный результат не могу.Алексейhttps://www.blogger.com/profile/03949943718178646272noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-48557144686611276012021-10-28T08:34:12.719+03:002021-10-28T08:34:12.719+03:00А как объяснить, что одна из мер по ГОСТ 58412 При...А как объяснить, что одна из мер по ГОСТ 58412 Приложение А и есть моделирование УБИ согласно ГОСТ 56939? <br />И где последовательность моделирования в ГОСТ 58412? Или описания "входными данными для процесса моделирования угроз безопасности в первую очередь сведения о проекте архитектуры программы.... " достаточно??? Где действительно низкоуровневое описание процесса моделирования?Maximhttps://www.blogger.com/profile/13716651855100063960noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-56323887927882578722021-10-28T06:55:01.925+03:002021-10-28T06:55:01.925+03:00Ещё раз. В ГОСТ в таблице А.1 есть перечень мер за...Ещё раз. В ГОСТ в таблице А.1 есть перечень мер защиты. Каждый разработчик указывает, какую угрозу какой мерой он закроет. Что не так? Что мешает принять все высокоуровневые угрозы за актуальные и принять меры, которые уже есть в ГОСТ? Для чего выдумывать что-то ещё? Добавление новых угроз ГОСТ позволяет, как и убрать неактуальные. Вам не кажется странным делать замечания в процесс моделирования угроз не сделав самому ни одну модель угроз при сертификации ПО?Алексейhttps://www.blogger.com/profile/03949943718178646272noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-33142620172213247312021-10-28T06:44:23.669+03:002021-10-28T06:44:23.669+03:00По этому вопросу проще всего обратиться в ИЛ ФСТЭК...По этому вопросу проще всего обратиться в ИЛ ФСТЭК. Если нет возможности, можно взять все 19 угроз из ГОСТ 58412, выбрать актуальные (для меня актуальными были все). Потом в таблице А.1 из ГОСТ Вы сопоставляете угрозы с мерами, которые реализованы у Вас. Типовые меры есть в таблице А.1. Каждую угрозу будет закрывать несколько мер защиты. Всё.Алексейhttps://www.blogger.com/profile/03949943718178646272noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-22666533732659280782021-10-28T06:36:48.476+03:002021-10-28T06:36:48.476+03:00Выдержка из ГОСТ 56939
п.5.2.3.1
"Для органи...Выдержка из ГОСТ 56939<br />п.5.2.3.1<br /><br />"Для организации работ, выполняемые в процессах жизненного цикла ПО. и подтверждения соответствия требованиям настоящего стандарта документация разработчика ПО должна содержать:<br />• описание используемой методологии моделирования угроз безопасности информации;<br />• список выявленных потенциальных угроз безопасности информации (при выявлении);<br />• описание проектных решений и/или указаний по применению разрабатываемого ПО. направленных на нейтрализацию выявленных потенциальных угроз безопасности информации.<br /><br />П р и м е ч а н и е — входными данными для процесса моделирования угроз безопасности информации являются в первую очередь сведения о проекте архитектуры программы (предполагаемых компонентах программы, их интерфейсах и концепции их совместного выполнения), а том числе информация о заимствованных у сторонних разработчиков ПО компонентах и информация из открытых источников (например, из банка данных угроз безопасности информации Федеральной службы по техническому и экспортному контролю (ФСТЗК России)], связанная с типовыми сценариями компьютерных атак и угрозами безопасности информации..... "<br /><br />И соответственно вопрос, как ГОСТ 58412 может быть методикой для этих требований? <br />Есть где-нибудь описание, как это все сопоставить?Maximhttps://www.blogger.com/profile/13716651855100063960noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-27642451646456934432021-10-27T22:15:58.415+03:002021-10-27T22:15:58.415+03:00Модель угроз - это не их перечень, а процедура для...Модель угроз - это не их перечень, а процедура для их выбора в зависимости от исходных данных. А ГОСТ ни слова не говорит про процедуру выбора. Ни про декомпозицию, ни про выделение активов, ни про информационные потоки между ними, ни про что это.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-47644156310303621252021-10-27T19:11:30.202+03:002021-10-27T19:11:30.202+03:00Не могу с Вами согласиться по вопросу невозможност...Не могу с Вами согласиться по вопросу невозможности разработки модели по ГОСТ. Десятки компаний- разработчиков, прошедших сертификацию могут подтвердить обратное. Да, в ГОСТ перечислены высокоуровневые угрозы. Разработчик может добавлять или убирать в зависимости от специфики. Для чего нужна излишняя детализация или тактики и техники в этом ГОСТ не очень понятно.Алексейhttps://www.blogger.com/profile/03949943718178646272noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-14850024730042506692021-10-27T17:40:16.681+03:002021-10-27T17:40:16.681+03:00Так по 58412 нельзя модель разработать - там прост...Так по 58412 нельзя модель разработать - там просто набор высокоуровневых угроз, не более. Это не модель, это перечень. В модели обоснование выбора должно быть.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-59745091160809678262021-10-27T12:37:31.957+03:002021-10-27T12:37:31.957+03:00Модель разрабатывается по ГОСТ 58412. В приложении...Модель разрабатывается по ГОСТ 58412. В приложении А ГОСТ (таблица А.1) каждой угрозе соответствует своя мера из ГОСТ Р 56939-2016. Разработчик у себя реализует меры из ГОСТ Р 56939-2016.Алексейhttps://www.blogger.com/profile/03949943718178646272noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-79247631632373222102021-10-27T12:22:01.946+03:002021-10-27T12:22:01.946+03:00Maxim: я не видел таких моделей, но говорят у разр...<b>Maxim:</b> я не видел таких моделей, но говорят у разработчиков есть. Вопрос в том, на основе какой методологии разработчики пишут свои модели? Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-42802965503857000502021-10-27T09:14:09.403+03:002021-10-27T09:14:09.403+03:00У разработчиков есть.У разработчиков есть.Алексейhttps://www.blogger.com/profile/03949943718178646272noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-78882915546899588762021-10-27T04:05:45.944+03:002021-10-27T04:05:45.944+03:00Очень нужная в настоящий момент тема.
Учитывая вк...Очень нужная в настоящий момент тема. <br />Учитывая включение БРПО в Приказ 239.<br />А есть реальные примеры модели угроз в рамках безопасной разработки при сертификации ПО во ФСТЭК?Maximhttps://www.blogger.com/profile/13716651855100063960noreply@blogger.com