tag:blogger.com,1999:blog-4065770693499115314.post5601081004069935736..comments2023-10-02T12:01:53.774+03:00Comments on Бизнес без опасности: Новые проекты Постановлений Правительства по персданным. Твердая четверка!Алексей Лукацкийhttp://www.blogger.com/profile/08434361034703403028noreply@blogger.comBlogger51125tag:blogger.com,1999:blog-4065770693499115314.post-7444994642366238322012-09-26T08:18:12.232+04:002012-09-26T08:18:12.232+04:00Как правильно заметил vsv, ждем от Правительства с...Как правильно заметил vsv, ждем от Правительства списка актуальных угроз. Потом уже и будем смотреть, кто позитивнееАлексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-44511711731444824322012-09-26T03:58:35.979+04:002012-09-26T03:58:35.979+04:00to Евгений: тем более на этапе выявления уязвимост...to Евгений: тем более на этапе выявления уязвимости кто однозначно может сказать была она случайная или намеренная.<br />Аукнется нам еще это НДВ... Не вижу я здесь позитива, как видит его А.Лукацкий.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-20402631148437098952012-09-26T03:42:39.640+04:002012-09-26T03:42:39.640+04:00Угрозы, связанные с наличием случайно внесенных пр...<i>Угрозы, связанные с наличием случайно внесенных программных ошибок (ака переполнение буфера, integer overflow и проч.) признаем существенными и актуальными, боремся с ними организацией постоянного patch-менеджемента. Сертификация на НДВ не нужна. Так годится?</i><br />Можно и так, только само определение НДВ шире и вряд ли кто (ФСБ и ФСТЭК) в своих поднормативных актах будет делить эти угрозы на случайные и намеренные. Угрозы за счет НДВ и всё тут.<br />А дальше либо используй ПО (системное и прикладное) с сертификатом на НДВ, либо используй сканер уязвимостей и получай лицензию на ТЗКИ или заключай договор с лицензиатом (тогда сканер будет использовать он).<br />Имхо, вполне логичная позиция регуляторов, так как угрозы связанные с использованием уязвимостей за счет НДВ для нарушения КДЦ персданных наиболее актуальны (в отличие угроз, связанных с применением ТКУИ, то есть за счет ПЭМИН), и в тоже время сводят свободу действий операторов при защите ИСПДН на нет: либо сертификат, либо ТЗКИ на постоянной основе. А скорее всего и то и другое в одном флаконе...Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-77296939611404143972012-09-25T21:00:31.241+04:002012-09-25T21:00:31.241+04:00vsv: Петр Ляпин ссылается на позицию ФСТЭК, высказ...vsv: Петр Ляпин ссылается на позицию ФСТЭК, высказанную в информационном письме ФСТЭК от 30-го мая 2012 года согласно которой лицензия ФСТЭК, если не извлекается прибыль, организации не нужна. Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-21998636357982189242012-09-25T18:45:40.891+04:002012-09-25T18:45:40.891+04:00Исходя из изложенного, считаем вероятность угроз, ...Исходя из изложенного, считаем вероятность угроз, связанных с применением сознательно внедренных НДВ, маловероятными, следовательно сами угрозы неактуальными.<br />Угрозы, связанные с наличием случайно внесенных программных ошибок (ака переполнение буфера, integer overflow и проч.) признаем существенными и актуальными, боремся с ними организацией постоянного patch-менеджемента. Сертификация на НДВ не нужна. Так годится?Евгенийhttps://www.blogger.com/profile/02773605232583360031noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-76230295212846418622012-09-25T18:15:00.279+04:002012-09-25T18:15:00.279+04:00Уважаемый П. Ляпин, к сожалению, приведенная Вами ...Уважаемый П. Ляпин, к сожалению, приведенная Вами цитата (на сколько я помню из письма Гапонова)- устарела и, в сове время, много обсуждалась, так что думаю, что ссылаться на нее не стоит, надо смотреть в действующие документы, атам, как Вы правильно заметили - оговорок нет.<br /><br />Уважаемый г. Атаманов. Если внимательно прочитать постановление, то там говориься по угрозы, СВЯЗАННЫЕ с НДВ, но никто не называет их угрозами. Так что, как Вы говорите, элеменнтарная логика в НПА - есть. Надо только хотеть ее увидеть. А ругать регуляторов и так есть за что...vsvhttps://www.blogger.com/profile/12779372237305726132noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-81236162260368416162012-09-25T17:44:38.135+04:002012-09-25T17:44:38.135+04:00к vsv:
к вопросу о "Так что контролировать м...к vsv:<br /><br />к вопросу о <i>"Так что контролировать можно, но имея для этого лицензию, так как этот ВИД РАБОТ подлежит лицензированию"</i><br /><br />есть мнение (<a href="http://fstec.ru/_razd/Doc27.pdf" rel="nofollow">ФСТЭК</a>) что получение лицензии на ТЗКИ не требуется в случае если работы выполняются для собственных нужд. Или в терминах указанного документа:<br /><i>"...получение юридическим лицом лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации является обязательным в случае, если эта деятельность направлена на получение прибыли от выполнения работ или оказания услуг по технической защите конфиденциальной информации и (или) она необходима для достижения целей деятельности, предусмотренных в учредительных документах юридического лица..."</i><br /><br />Однако, ни в положениях 99-ФЗ (ред. от 28.07.2012) "О лицензировании отдельных видов деятельности", ни в положениях Постановления Правительства РФ от 03.02.2012 N 79 "О лицензировании деятельности по технической защите конфиденциальной информации" (вместе с "Положением о лицензировании деятельности по технической защите конфиденциальной информации")внятной оговорки о собственных нуждах нет. Да собственно, никакой оговорки нет.Peter Lyapinhttps://www.blogger.com/profile/05905525770335028521noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-21733248553155949812012-09-25T17:13:17.801+04:002012-09-25T17:13:17.801+04:00Коллеги, зная наших законодателей, привязка к НДВ ...Коллеги, зная наших законодателей, привязка к НДВ отнюдь не случайна...<br />Учитывая опыт всех последних лет и сквозящую во всех НПА необходимость использования сертифицированных средств для всего и вся, неужели вы действительно верите, что регуляторы во так просто откажутся от этого???<br />толковать появление НДВ в док-те уровня ПП мы можем по разному, однако самым правильным будет просить у регуляторов дополнительных разъяснений по данному поводу и как можно скорее...<br /><br />P.S Как минимум с принятием сих док-в можно отбросить приказ 58, который был принят (указано в его шапке) во исполнение отменяемого прямым текстом ПП-781.Dmitriy Naymushinhttps://www.blogger.com/profile/12813620173352397974noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-79771271634805982202012-09-25T17:01:18.354+04:002012-09-25T17:01:18.354+04:001 По поводу продолжающейся критики "улучшенно...1 По поводу продолжающейся критики "улучшенного" варианта ПП: дерьмо, даже если улучшаются отдельные его параметры (например, пропадает неприятный запах) всё равно остаётся дерьмом. И, как гласит народная мудрость, конфетку из него сделать не удастся ни при каких обстоятельствах.<br />2. По сути самих ПП: без слёз читать эту галиматью просто нельзя. У вас видимо уже "глаз замылился" от чтения подобных "документов" и вы привыкли к этому стилю. Но ведь там "отдыхает" не только логика и методология, но и бедный русский язык. <br />3. По содержанию: НДВ - это не угроза. Это - уязвимость. Угроза - проявленное желание или возможность причинить вред. Угроза - атрибут внешней среды. НДВ - свойство ПО - атрибут самой системы (в данном случае - ИСПДн). Угрозы информации: некорректное уничтожение ; искажение; несанкционированное изменение статуса; некорректное изменение условий доступа. НДВ могут быть использованы для реализации угрозы, их наличие повышает вероятность реализации угроз, но сами НДВ угрозой не являются. Это - элементарная логика, но её нет в НПА. Да и откуда логике взяться в НПА, если её нет, к сожалению, даже в суждениях специалистов. Атаманов Г. А.https://www.blogger.com/profile/04116790425053577120noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-50445543265169610092012-09-25T15:51:47.959+04:002012-09-25T15:51:47.959+04:00И неще. А Лукацкому. на "...т.к. контроль за ...И неще. А Лукацкому. на "...т.к. контроль за соблюдением требований этих постановлений осуществляю Я САМ..."<br />Так-то оно так, но не совсем. Контроль МОЖЕт проводиться оператором самостоятельно. И проект ПП дает такое право. Но здесь уместно вспомнить ПП от 03.02.2012г. № 79 "О ЛИЦЕНЗИРОВАНИИ ДЕЯТЕЛЬНОСТИ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ", где сказано (п.2):"Под технической защитой конфиденциальной информации понимается ВЫПОЛНЕНИЕ РАБОТ и или)оказание услуг по ее защите..." А еще там есть (п.4):"...лицензированию подлежат следующие виды работ и услуг:... б) контроль защищенности конфиденциальной информации от<br />несанкционированного доступа и ее модификации в средствах и системах<br />информатизации." Так что контролировать можно, но имея для этого лицензию, так как этот ВИД РАБОТ подлежит лицензированию. Оператор задумается: надо ли ему получать лицензию или пригласить лицензиата. Думаю, что перевесит второе. А вот срок он МОЖЕТ определить сам и сделать периодичность в 3 года.<br /><br /><br />vsvhttps://www.blogger.com/profile/12779372237305726132noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-67342971710883409032012-09-25T15:36:32.197+04:002012-09-25T15:36:32.197+04:00А. Лукацкому на "ЕЩЕ РАЗ: актуальность угроз ...А. Лукацкому на "ЕЩЕ РАЗ: актуальность угроз определяет ОПЕРАТОР."<br /> перечитал, сразу не заметил. Алексей. Вы немного не правы. Согласно п. 3 пректа ПП "оператор прводит определение ТИПА угроз, но не актуальность. Актуальность определяется по дкументам, разработатнным в соотвествии ч. 5 ст. 19 заккона, то есть по МУ федералов и ведомств...vsvhttps://www.blogger.com/profile/12779372237305726132noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-45427678572312298992012-09-25T15:02:16.183+04:002012-09-25T15:02:16.183+04:002 vsv: ну это на усмотрение оператора при составле...2 vsv: ну это на усмотрение оператора при составлении модели угроз и отнесении себя к 3-му уровню защищенности. А вот как посчитает РКН/ФСБ/ФСТЭК никто не знает. И как правильно тоже никто не знает. ЗАмкнутый круг - "Видишь суслика? - Нет... - Я тоже не вижу. А он - есть! …"Алексей Т.https://www.blogger.com/profile/18336548034862391527noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-29422060751170819012012-09-25T14:41:09.727+04:002012-09-25T14:41:09.727+04:00vsv +1vsv +1Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-26081973471557891302012-09-25T14:30:55.398+04:002012-09-25T14:30:55.398+04:00Коллеги, а если уязвимость известна и описана (да ...Коллеги, а если уязвимость известна и описана (да еще и патчи под нее делаются) - является ли она НЕДЕКЛАРИРОВАННОЙ возможностью? Она же задекларирована!vsvhttps://www.blogger.com/profile/12779372237305726132noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-23639250102442028182012-09-25T12:51:33.390+04:002012-09-25T12:51:33.390+04:002 Евгений: мы не обсуждаем сейчас ни сертификацию ...2 Евгений: мы не обсуждаем сейчас ни сертификацию ни ошибки, говорим о том, что фраза "угрозы, связанные с наличием НДВ" некорректны и неоднозначны с учетом текущего определения НДВ.К тому же кто Вам сказал, что ошибка или уязвимость в ПО не может быть заложена сознательно и не является закладкой? Где грань? Отсюда и противоречия...Алексей Т.https://www.blogger.com/profile/18336548034862391527noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-19486986949784148612012-09-25T11:53:52.256+04:002012-09-25T11:53:52.256+04:00Нет, ну дорогие товарищи, если уж вы относите к НД...Нет, ну дорогие товарищи, если уж вы относите к НДВ и простые уязвимости - ошибки допущенные программистами при разработке (переполнение буфера, math overflow и т.п.) - то вы хотите сказать, сертификация по НДВ поможет все эти ошибки найти и устранить??? И все наши СЗИ, прошедшие НДВ, вылетают в тупые ошибки по каким-либо другим причинам, а программный текст в них идеален?? Не смешите мои тапочки.<br />Евгенийhttps://www.blogger.com/profile/02773605232583360031noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-51176367502763986732012-09-25T10:59:59.962+04:002012-09-25T10:59:59.962+04:00А кто-нибудь понял, что такое "электронный жу...А кто-нибудь понял, что такое "электронный журнал сообщений" из п.6б ?LAYhttps://www.blogger.com/profile/13285702642725274088noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-18911474864732275782012-09-25T10:52:12.173+04:002012-09-25T10:52:12.173+04:00Согласен с Алексеем, позитивная динамика очевидна....Согласен с Алексеем, позитивная динамика очевидна. Хотя еще и не светлое будущее.<br /><br />В поддержание общего тренда по критике НД вставлю реплику по проекту Постановления по уровням:)<br /><br /><b>Из того что вроде по делу:</b><br />п.1.б. - "информационная система обрабатывает биометрические персональные данные, если в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность <b>и которые используются оператором для установления личности субъекта персональных данных</b>, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных;"<br />Иными словами, если РКН (или суд в последствии) не сможет доказать что оператор использовал биометрические ПДн для установления личности субъекта ПДн, то ИСПДн оператора относится к тем ИС, которые не обрабатывают биометрические ПДн? <br />Как-то так получается при буквальном прочтении… Алексей?<br /><br /><b>Не совсем по делу:</b><br />п.1.д., п.4, п.6 - "… сотрудников оператора. …не являющихся сотрудниками оператора."<br />Это я к чему... Трудовой Кодекс РФ принят 11 лет назад! (30.12.2001) И про "сотрудников" он ничего не знает! "Работники" есть, да.<br />Это к вопросу о единообразии и системности при разработке НПА в нашей суровой действительности.<br />Peter Lyapinhttps://www.blogger.com/profile/05905525770335028521noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-6202274700441480162012-09-25T10:22:44.352+04:002012-09-25T10:22:44.352+04:00Вот, кстати, полностью разделяю мнение Евгения Род...Вот, кстати, полностью разделяю мнение Евгения Родыгина - нет паники на тему НДВ, но нужно и осозновать, что не просто так это все в документ внесено и потом пусть оператор докажет проверяющим, что это он эксперт - многие не будут связываться. Поэтому такие неоднозначные трактовки могут обернуться проблемами.<br />Ещё раз, как уже писали многие, НДВ - не только и исключительно закладка и реализуется данная уязвимость не только разработчиком. смотрим РД:<br />"Недекларированные возможности - функциональные возможности ПО, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации. Реализацией недекларированных возможностей, в частности, являются программные закладки."<br />Закладка - только вариант, но нарушение конфиденциальности из-за функционала, не соответствующего описанию в докуметации может быть вызвано и множеством других уязвимостей.<br /><br />Как уже писал, пока спорить не имеет большого смысла - нужны следующие частные требования, да и эти постановления пока не утвердили и имеет смысл обратиться с просьбой конкретизации положений по НДВ и общедоступным ПДн - большая ясность лишней не будет точно.Roninhttps://www.blogger.com/profile/02898838967362730044noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-67814454047893337072012-09-25T09:36:28.598+04:002012-09-25T09:36:28.598+04:00Алексей, повторю еще раз: если бы в документе было...Алексей, повторю еще раз: если бы в документе было написано "угрозы программных или аппаратных закладок" - ок, проблемы нет. Но под угрозу, связанную с наличием НДВ можно подтянуть все что угодно, в том числе "Ваши угрозы вирусов, утечек, ddos, НСД, саботажа, нарушения целостности, отказуемость" (странный и противоречивый набор, кстати ;-)). Либо переписывать формулировку НДВ (а она ооооочень много раз встречается в разных документах), либо переделывать ПП. Либо получаем очень неоднозначную трактовку.Алексей Т.https://www.blogger.com/profile/18336548034862391527noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-19827395936781956822012-09-25T08:09:25.955+04:002012-09-25T08:09:25.955+04:00В каких? Для меня актуальны угрозы вирусов, утечек...В каких? Для меня актуальны угрозы вирусов, утечек, ddos, НСД, саботажа, нарушения целостности, отказуемость и т.д. А вот угроза НДВ неактуальна ;-) Да еще и опасна, т.к. потребует обновлять сертифицированные СЗИ, а это головная боль. Обновление систем я делаю не из-за НДВ, а для обеспечения бесперебойности функционирования систем. Ну и так далее. Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-17944180110491605952012-09-25T05:16:07.687+04:002012-09-25T05:16:07.687+04:00забывают про важный элемент описания угроз - наруш...<i>забывают про важный элемент описания угроз - нарушителя. А ведь из самого описания НДВ следует, что нарушителем является разработчик ПО - Микрософт, Оракл, Касперский...</i><br />Если исходить из точки зрения нарушитель=разработчик, то есть "кто виноват что есть уязвимость", то да. Только обычно нарушитель=злоумышленник, то есть "кому выгодно найти и использовать"...<br />А поиском уязвимостей, за счет НДВ, и их дальнейшим применением занимаются все кому не лень, и только потом разработчик устраняет.<br /><br />И если бы угрозы уязвимостей на счет НДВ были бы неактуальны, то на кой во всех нормативных и не очень документах, требования на обновление ПО (установку патчей) идет одним из первых?Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-42354571181978240552012-09-25T00:18:22.721+04:002012-09-25T00:18:22.721+04:00"Я, как ЭКСПЕРТ, увтерждаю, что наличие НДВ в..."Я, как ЭКСПЕРТ, увтерждаю, что наличие НДВ в системном и прикладном ПО, - это угроза НЕАКТУАЛЬНАЯ. Если бы это было не так, то рынок средств защиты, сертифицированных на отсутствие НДВ, у нас был бы просто колоссальным, а он мизерный. По требованиям ФСТЭК - сертификация на отсутствие НДВ (хоть на системном, хоть на прикладном уровне) нужна для гостайны!"<br />- Нужно понимать что включение в документ формулировки НДВ а не скажем "уязвимостей" - уже говорит о многом! И привязывается именно к определенному РД.<br />- НДВ, исходя из определения РД на системном уровне есть даже не говоря про уязвимости! Взять хотя бы недокументированные API windows. <br />- Априорная актуальность велика! Но, она должна быть не априорной а выводиться исходя из условий эксплуатации, архитектуры, наличии средств и т.п. Тут оператор должен поиграться!<br />- НДВ относится не только к ГТ но и к конфиденциалке - 4 уровень для того и придуман.<br />- Рынок НДВ не колоссален по двум причинам. 1 - нет никакого рынка. 2 - проверяется только ПО относящееся к СрЗИ - тоесть выполняющее функции защиты и часто не все а только модули выполняющие функции. <br /><br />"Кто может СО ССЫЛКАМИ на нормативные документы опровергнуть ход моих размышлений, то милости прошу."<br />- Алексей суров, но отходчив!<br /><br />"Чего все так взъелись на эти документы и ищут черную кошку в темной комнате?"<br />- на мой взгляд, с НДВ переборщили. Понятно, что оператору неплохо бы хотябы латать уязвимости которые выявлены и для них выпущены патчи но НДВ вставлено грубо, не элегантно...(ругай)<br />- мне бы хотелось, чтобы в документе был хоть как то упомянут процесс... сам понимаешь чисто эстетически хочется даже без нотки просьбы...<br /><br />Ну и на последок про актуальность - я бы на проверки ходил со сканером уязвимостей! Запустил - и обеспечил себя отчетами по моей работе, а проверяемый пусть закрывает и выдумывает почему неактуальны "НДВ"! Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-17033521226745709252012-09-24T23:44:23.525+04:002012-09-24T23:44:23.525+04:00Кстати Евгений это не Я! А Гамма может НПП а не НП...Кстати Евгений это не Я! А Гамма может НПП а не НПО! Алексей ты тут кое что напутал... Уточню когда жена пустит к компьютеру...Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-30502712856370363402012-09-24T22:54:05.932+04:002012-09-24T22:54:05.932+04:00И если говорить о разработчиках ПО, то наши сертиф...И если говорить о разработчиках ПО, то наши сертифицированные СЗИ содержат столько недекларированных глюков, что иностранные спецслужбы захотели бы, не смогли бы так навредить. До сих пор с ужасом вспоминаю программу расчета ПЭМИН от многоуважаемой НПО "Гамма". :)Евгенийhttps://www.blogger.com/profile/02773605232583360031noreply@blogger.com