tag:blogger.com,1999:blog-4065770693499115314.post9209022299097545446..comments2023-10-02T12:01:53.774+03:00Comments on Бизнес без опасности: Можно ли исключать защитные меры при неактуальности угроз?Алексей Лукацкийhttp://www.blogger.com/profile/08434361034703403028noreply@blogger.comBlogger37125tag:blogger.com,1999:blog-4065770693499115314.post-36509935831506411712015-01-09T18:50:27.762+03:002015-01-09T18:50:27.762+03:00Увы...Увы...Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-84444564332681313632015-01-09T18:30:02.357+03:002015-01-09T18:30:02.357+03:00Здравствуйте!
Вот здесь у Вас были интересные рас...Здравствуйте! <br />Вот здесь у Вас были интересные рассуждения по поводу отраслевых МУ: http://lukatsky.blogspot.ru/2013/06/8_13.html <br />Прошло 1,5 года, а ситуация, как я понимаю, не изменилась? Или были даны какие-то разъяснения? С точки зрения законодательства, насколько легитимны МУ, разработанные в организациях своими силами? Aelinhttps://www.blogger.com/profile/17040613139621630762noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-56687778145683265202014-10-22T15:06:14.158+04:002014-10-22T15:06:14.158+04:00Звонил сейчас в Московский ФСТЭК. Сказали что по 2...Звонил сейчас в Московский ФСТЭК. Сказали что по 21 приказу такое возможно. А вот по 17 надо реализовывать бнмСергейhttps://www.blogger.com/profile/01568535309799474420noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-82502444820605355452014-10-21T22:50:17.180+04:002014-10-21T22:50:17.180+04:00Igor: скоро его выложат на сайте ФСТЭК
Сергей: ес...Igor: скоро его выложат на сайте ФСТЭК<br /><br />Сергей: если вы закрываете все 10-15 мерами, то и отлично. Вас никто не заставляет применять все 160+ мер.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-15000750141147946612014-10-21T14:33:33.198+04:002014-10-21T14:33:33.198+04:00Перед глазами сразу же встает картина : есть частн...Перед глазами сразу же встает картина : есть частная модель угроз, и все то многообразие мер защиты из 21 приказа. Сопоставив их, я вижу что мои угрозы нейтрализуются набором из 10-15 мер. Но позвольте, а что делать с остальными мерами? Следуя Вашей логики их можно исключить из адаптированного базового набора мер. Дальше у нас идет уточнение «абнм». На этом этапе мы проводим оценку возможности адаптированного базового набора мер защиты информации адекватно блокировать (нейтрализовать) все угрозы безопасности информации, включенные в модель угроз безопасности информации, или снизить вероятность их реализации исходя из условий функционирования информационной системы. В случае, если адаптированный базовый набор мер защиты информации не обеспечивает блокирование (нейтрализацию) всех угроз безопасности информации в него дополнительно включаются меры защиты информации… <br />Как то так.Сергейhttps://www.blogger.com/profile/01568535309799474420noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-5475067788220379462014-10-21T11:49:37.582+04:002014-10-21T11:49:37.582+04:00Алексей,
Вы пишите "..модель угроз, которая ...Алексей, <br />Вы пишите "..модель угроз, которая будет строиться по методике, которую в скором времени опубликуют.."<br />Можно подробнее насчет этой методики, есть ли проект и как с ним ознакомиться?Anonymoushttps://www.blogger.com/profile/06676175751285765478noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-2455667440996967312014-10-20T10:15:48.802+04:002014-10-20T10:15:48.802+04:00Подобными вопросами я задался сразу после выхода М...Подобными вопросами я задался сразу после выхода МД. "Меры защиты информации в ГИС". Там между прочим очень подробно расписан процесс выбора мер защиты. И есть очень любопытный абзац: <br />"Исходными данными при уточнении адаптированного базового набора мер защиты информации являются перечень угроз безопасности информации и их характеристики (потенциал, оснащенность, мотивация), включенные в модель угроз безопасности информации.<br />При уточнении адаптированного базового набора мер защиты информации для каждой угрозы безопасности информации, включенной в модель угроз, сопоставляется мера защиты информации из адаптированного базового набора мер защиты информации, обеспечивающая блокирование этой угрозы безопасности или снижающая вероятность ее реализации исходя из условий функционирования информационной системы." <br /><br />Проработав все угрозы и сопоставив их с мерами я увидел что остались меры защиты входящие в состав базового набора мер защиты информации для выбранного класса, но которые мне так и не удалось привязать к какой-то конкретной мере (например РСБ). Позвонил во ФСТЭК с вопросом: можно ли их не выполнять. На что получил ответ что их необходимо реализовать для усиления общей защищенности. <br />НА вопрос про отказ от мер защиты которые закрывают неактуальные угрозы ответили что их тоже необходимо реализовать для усиления общей защищенности.Сергейhttps://www.blogger.com/profile/01568535309799474420noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-46071699257304034782014-10-16T14:30:26.864+04:002014-10-16T14:30:26.864+04:00Александр, вы прочитайте, что я написал. Большинст...Александр, вы прочитайте, что я написал. Большинство угроз неактуально именно по причине структурных характеристики ИСАлексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-77466148188520461972014-10-16T14:29:18.694+04:002014-10-16T14:29:18.694+04:00Евгений: только прошедший оценку соответствия. Дру...Евгений: только прошедший оценку соответствия. Других быть не может. Вопрос только в форме оценки соответствияАлексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-62551846906127996602014-10-14T20:39:26.443+04:002014-10-14T20:39:26.443+04:00Алексей, смотреть можно с другой точки зрения, с т...Алексей, смотреть можно с другой точки зрения, с третьей, четвертой и т.д. Но в приказах остается пункт, о котором написал Михаил: угрозы мы начинаем учитывать на этапе уточнения, а все, что попало в состав мер ДО него, подлежит реализации и не не может быть исключено. <br />Регулятору-то что говорить? Ссылаться на Вас?Александр Германовичhttps://www.blogger.com/profile/18057556185866798562noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-82923714804966787932014-10-14T09:36:00.361+04:002014-10-14T09:36:00.361+04:00Алексей, а МСЭ прошедший оценку соответствия или к...Алексей, а МСЭ прошедший оценку соответствия или какой под руку попался? :)Евгенийhttps://www.blogger.com/profile/02773605232583360031noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-17324381568763140692014-10-14T07:28:06.444+04:002014-10-14T07:28:06.444+04:00Михаил, посмотри на это с другой точки зрения. Поч...Михаил, посмотри на это с другой точки зрения. Почему может быть неактуальна угроза? Нарушитель не хочет ее реализовывать или он не может ее реализовывать. Вопрос мотивации оставим в стороне пока и посмотрим на "не может". Почему не может? Структурно-функциональные характеристики ИС таковы. Например, у тебя может не быть атак в изолированном индустриальном сегменте, не подключенном к корпоративной сети, и находящемся в 500 км от ближайшего жилья. В данном примере угроза неактуальна именно из-за характеристик ИС. А это этап адаптации. И так почти с каждой угрозой.<br /><br />Еще пример. Актуальны ли атаки на уязвимости в Винде? В общем случае да. Но если особенности ИС таковы, что я использую регулярный анализ защищенности + управление патчами + МСЭ, у меня особенности таковы, что и угроза неактуальна и СОВ мне не нужныАлексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-60572347282148689252014-10-13T21:40:25.862+04:002014-10-13T21:40:25.862+04:00Алексей, в комментариях уже упоминался очень важны...Алексей, в комментариях уже упоминался очень важный момент, который рушит всю логику данного поста. <br />Все возможные действия с мерами с учетом актуальных угроз согласно п.21 Приказа 17 проводятся на этапе УТОЧНЕНИЯ, который следует ПОСЛЕ этапа адаптации. Результатом этапа уточнения станет уточненный адаптированный базовый набор мер.<br />При этом (здесь внимательно!!!) согласно п.22 Приказа 17 четко сформулирована необходимость реализации как минимум базового адаптированного набора мер (про уточненного ни слова). Базовый адаптированный набор формируется ДО учета актуальных угроз. А это, исходя из текста документа, означает только одно - неактуальные угрозы не могут служить основанием для исключения мер, которые надо реализовывать.Михаил Новокрещеновhttps://www.blogger.com/profile/16903730639021891273noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-85338560991428553282014-10-13T19:13:05.449+04:002014-10-13T19:13:05.449+04:00В заметке интерпретация того, что написано в прика...В заметке интерпретация того, что написано в приказе. Многие пункты приказа можно интерпретировать самым разным образом, что и имеет место на практике по причине отсутствия письменных разъяснений регулятора.Александр Германовичhttps://www.blogger.com/profile/18057556185866798562noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-26865667701237521602014-10-13T19:04:35.649+04:002014-10-13T19:04:35.649+04:00А там написано ровно тоже самое, что и написано в ...А там написано ровно тоже самое, что и написано в заметкеАлексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-50970072390850355922014-10-13T19:03:45.520+04:002014-10-13T19:03:45.520+04:00По 17-му тоже можно. Но по нему есть конкретные фо...По 17-му тоже можно. Но по нему есть конкретные формулировки, а по 21-му коллеги спорятАлексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-83877966665560793222014-10-13T18:57:45.042+04:002014-10-13T18:57:45.042+04:00"По 21-му приказу можно исключать меры без пр..."По 21-му приказу можно исключать меры без проблем"<br /><br />Осталось донести эту полезную мысль до всех сотрудников ФСТЭК. А то ведь они приказ будут читать, а там написано иначе :)Александр Германовичhttps://www.blogger.com/profile/18057556185866798562noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-63984934186816751362014-10-13T18:48:31.125+04:002014-10-13T18:48:31.125+04:00Алексей Лукацкий пишет...
Артем: сегодня был в ФСТ...Алексей Лукацкий пишет...<br />Артем: сегодня был в ФСТЭК :-) По 21-му приказу можно исключать меры без проблем<br /><br />А почему нельзя по 17-му? В чем разница?Anonymoushttps://www.blogger.com/profile/05550624551896549395noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-66771240986695370982014-10-13T17:32:39.112+04:002014-10-13T17:32:39.112+04:00Про воду передали на словах, естественно в акте за...Про воду передали на словах, естественно в акте замечаний нет - оно никому не надо. ZZubrahttps://www.blogger.com/profile/17309887397636383099noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-79720597417627066972014-10-13T17:28:41.354+04:002014-10-13T17:28:41.354+04:00У нас уже начали читать содержание. Юридически без...У нас уже начали читать содержание. Юридически безграмотно требовать перечень конфиденциальной информации. Странно, что они эту безграмотность допускают. Шаблон -суть перечень всех вопросов, которые должны быть установлены оператором по требованию закона, не может быть безграмотным))) ZZubrahttps://www.blogger.com/profile/17309887397636383099noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-33962771099150511152014-10-13T17:17:18.226+04:002014-10-13T17:17:18.226+04:00Артем: сегодня был в ФСТЭК :-) По 21-му приказу мо...Артем: сегодня был в ФСТЭК :-) По 21-му приказу можно исключать меры без проблем Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-53306986463483636302014-10-13T17:16:43.105+04:002014-10-13T17:16:43.105+04:00Константин: я не забываю. Я к тому, что правильный...Константин: я не забываю. Я к тому, что правильный процесс адаптации за счет структурных характеристик позволяет исключить многие вещи :-) Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-65631907169002360772014-10-13T14:35:11.910+04:002014-10-13T14:35:11.910+04:00Дорогой ZZubra, я не из РКН. Я занимаюсь консалтин...Дорогой ZZubra, я не из РКН. Я занимаюсь консалтингом. <br />То что вы делали шаблоны, это отлично. У меня тоже есть мои шаблоны. Но какие шаблоны вы требуете от РКН??? Вам в РКН сказали что ваша политика "вода"? Это даже в акт проверки записали? Покажите пожалуйста. Если вы готовили организации к проверкам, то доолжны знать, что РКН при проверках вообще не смотрит содержание документов. Точнее смотрит вскользь, в надежде найти ошибки в реквизитах документа или в фамилиях ответсвенных. <br />Воду как раз вы мутите. В РКН не будет шаблонов, потому что это юридически безграмотно. Мисник Николайhttps://www.blogger.com/profile/01432045651558261119noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-10951621309867853822014-10-13T12:26:22.873+04:002014-10-13T12:26:22.873+04:00Алексей, почему вы приводите факты "За",...Алексей, почему вы приводите факты "За", но совсем забываете факты "против"?<br />Вот, например, пункт 22<br />"При этом в информационной системе должен быть, как минимум,<br />реализован адаптированный базовый набор мер защиты информации,<br />соответствующий установленному классу защищенности информационной<br />системы."Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-72196621008418616722014-10-13T11:59:04.201+04:002014-10-13T11:59:04.201+04:00По правилам игры, ФСТЭК не может озвучивать свою т...По правилам игры, ФСТЭК не может озвучивать свою точку зрения. По правилам вежливости и уважения - их не надо спрашивать, чтобы не ставить в неудобное положение.<br /><br />Для Евгений<br />дык о том и речь, что эти признания и непризнания - суть тлен :) <br />Какие цели Вы перед собой ставите - те и достигаете наиболее оптимальным способом (учитывая затраты, прибыль и возможные потери по методам "пол-палец-потолок" или наиболее универсальным "авось"). <br />Пока правила игры явно и четко не прописаны (о чем и говорим), всегда можно выиграть в шахматы методом шашечной игры в "чапаева". И не важно какой области жизнедеятельности человека это касается.ZZubrahttps://www.blogger.com/profile/17309887397636383099noreply@blogger.com