Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

AppChecker’ом по Бляйхенбахеру

01/04/2019


Эксперты НПО «Эшелон» в результате исследования открытых программных проектов выявили критическую угрозу для интернет-приложений – возможность проведения атаки Бляйхенбахера! В настоящее время самым эффективным средством для заблаговременного предупреждения данной атаки является статический анализатор кодов AppChecker!

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 ... 8 9 10 11 12 ... 14 След.
RSS
[ Закрыто ] П-1119 по ПДн, Постановление от 1 ноября 2012 г. №1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных
http://www.kpda.ru/Solutions/KPDA вот у них есть на системное ПО сертификат НДВ


а СЗИ разве не будут прикладным ПО?
Цитата
yurgers пишет:
вот у них есть на системное ПО сертификат НДВ
Что-то не нашел я у них ни ФСТЭКовских ни ФСБшных сертификатов по НДВ
Сергей С. пишет:
Цитата
Сертификатов на отсутствие НДВ в прикладном и системном ПО я не нашел.
Пример - Сертификат на СПО Рутокен №1461 ФСТЭК РФ - Системное программное обеспечение Рутокен не содержит программных закладок и недекларированных возможностей. Классификация по уровню контроля отсутствия недекларированных возможностей (Гостехкомиссия России, 1999г.) — по 3 уровню контроля.
О чём пишет Сергей С. вообще непонятно, как же можно не найти сертификатов в стране тотальной и бесполезной сертификации.
Цитата
Что-то не нашел я у них ни ФСТЭКовских ни ФСБшных сертификатов по НДВ
Да, таких сертификатов пока ещё, не пруд пруди, но они уже есть см. например, http://www.altlinux.ru/products/altlinux-spt-fstec/

Кроме того, ещё немного (зато каких) появятся в ближайшее время, см. например, http://www.iso27000.ru/novosti-i-sobytiya/rossiiskie-vlasti-sertificirovali-windows-7-i-windows-server-2008

Вы не переживайте, выпустить несколько килограмм бумажек с голографической наклейкой в обмен на несколько килотонн денег (или, что много лучше, зелёных денег) для наших органов по защите от информации не проблема.

Всё будет развиваться по устоявшейся схеме - "Отстань, Родина, видишь у меня справка есть!".
Изменено: le cryptolog - 15.11.2012 17:37:00
Цитата
Svyazist пишет:
Пример - Сертификат на СПО Рутокен №1461 ФСТЭК РФ -
Системное программное обеспечение Рутокен не содержит программных закладок и
недекларированных возможностей. Классификация по уровню контроля отсутствия
недекларированных возможностей (Гостехкомиссия России, 1999г.) — по 3 уровню
контроля.
А Рутокен разве не СЗИ? Я об этом говорил, что РД ФСТЭК "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей" говорит только о ПО для СЗИ (то, что оно для Рутокена названо системным сути не меняет)

le cryptolog, читаем внимательно: Альт Линукс СПТ 6.0 — унифицированный дистрибутив для серверов и рабочих станций с встроенными программными средствами защиты информации, сертифицированными ФСТЭК России
Сертифицированы СЗИ, а не ОС.
Изменено: Сергей С. - 16.11.2012 10:13:01
Прошу сильно не пинать, поясните такие 2 вопроса.


1) Как я понимаю ИСПДН остались классы К1, К2, К3, К4 ? или теперь вместо низ УЗ 1-го, 2-го и 3-го, 4-го типа ?

2) В каких документах теперь надо отражать УЗ ?
Может кто кто выложить шаблоны этих документов ?
1. Теперь УЗ
2. Например Акт: комиссия в составе ... провела обследование ИСПДн... Исходные данные ... На основании ...Комиссия решила: установить 4 УЗ. Только рановато еще этим заниматься, пока нет РД ФСТЭК и ФСБ.
Т.е. в тех документах которые сейчас разрабатывают обычно при аттестации ИСПДН Писать пока что по старому мол ИСПДН К2 и так далее ? Пока что не стоит упоминать в документах об УЗ ? (Только рановато еще этим заниматься, пока нет РД ФСТЭК и ФСБ.)
Я правильно понял Вас Сергей ?
Цитата
Сергей С. пишет:
1. Теперь УЗ
2. Например Акт: комиссия в составе ... провела обследование ИСПДн... Исходные данные ... На основании ...Комиссия решила: установить 4 УЗ. Только рановато еще этим заниматься, пока нет РД ФСТЭК и ФСБ.
Как ранее писали приказ "Трех" тоже никто не отменял, там классификация и классы. Только принуждение к классификации из 781 "улетучилось". Поэтому пока нет новых НПА, а существует необходимость закрывать текущие договора-контракты - пользуемся старыми действующими НПА и новым ПП.
Всего то нужно: определить актуальные угрозы ( допустим в Модели угроз, причем самостоятельно)), определить УЗ (уровень защищенности) и построить СЗПДн, которая покроет (нейтрализует) актуальные угрозы и удовлетворит требования к установленному УЗ. И будет «щастье»…
Самая опасная проблема кроется в подготавливаемых НПА (нормативно-правовых актах) ФСБ и ФСТЭК, которые могут внести еще больше сумбура и разрозненности.
А угрозу по НДВ в модели угроз сделать неакутальной и тем самым подвести систему к 3 типу угроз. То есть УЗ будет в любом случае ниже 1.

Думаю Сергей меня поддержит ?
Звонок во ФСТЭК решил такой вопрос:
"Если все-таки актуальны угрозы НДВ для системного или прикладного ПО, то исходя из вида угрозы (на какую подсистему ЗИ эта угроза распространяется), она может быть закрыта путем применения серт. СЗИ для данной подсистемы."

Вот такой вот ответ. ;)

Но сугубо мое мнение: в случае наличия угрозы НДВ в MS Word, то никакое СЗИ не спасет от нарушения целостности, достоверности информации при ее редактировании и сохранения через MS Word, т.к. по умолчанию у него все права на редактирование файлов. И при сохранении ему ни что не мешает что-то дописать, что-то убрать и испортить.

Так что никакое СЗИ не закроет данную НДВ.

Кто хочет построить реальную защиту - не пользуйтесь указанным выше советом ФСТЭК.
Цитата
Гость пишет:
Писать пока что по старому мол ИСПДН К2 и так далее ? Пока что не стоит
упоминать в документах об УЗ ? (Только рановато еще этим заниматься, пока нет РД
ФСТЭК и ФСБ.)
Я правильно понял Вас Сергей ?
Да нет, по старому уже нельзя. Устанавливаем УЗ, а с защитой: на прошлой неделе слушал вебинар М.Ю. Емельянникова, его мнение, что 58 приказ действует в части, не противоречащей 1119ПП, т.е. применимо само положение, устанавливающее методы и способы защиты, а вот приложение к этому положению, которое в зависимомти от класса, уже неприменимо. Ну а трехглавый неприменим полностью.
Цитата
Антон Дмитриев пишет:
Вот такой вот ответ.
Так какой ответ то?
ИМХО НДВ могут быть настолько разными, что без их классификации по степени опасности и без поллитры модели нарушителя не разберешься.
Коллеги, советую ознакомиться с комментариями к ПП-1119 от НТЦ "Вулкан"
Цитата
Сергей С. пишет:
Так какой ответ то?
Это и был ответ:
"Если все-таки актуальны угрозы НДВ для системного или прикладного ПО, то исходя из вида угрозы (на какую подсистему ЗИ эта угроза распространяется), она может быть закрыта путем применения серт. СЗИ для данной подсистемы." ;)
Цитата
Lonely Pilot пишет:

Коллеги, советую ознакомиться с комментариями к ПП-1119 от
НТЦ "Вулкан"

http://www.ntc-vulkan.ru/about/news/news_106.html
Спасибо за статью, интересно было почитать.
Цитата
Антон Дмитриев пишет:
Если все-таки актуальны угрозы НДВ для системного или прикладного ПО
А мне эта фраза очень понравилась, получается что это ну очень редкое явление. А дальше понятно бред - НДВ в СПО и ППО оказываются влияют на систему ЗИ, а закрывать ее установкой СЗИ для защиты СЗИ :D
блин и что теперь делать... необходимо модель угроз составлять, времени ждать нет... а как её теперь составлять и что там писать, никто сказать не может =(( НДВ это проклятое...
просто написать : "угроза НДВ в сист и прикладном ПО неактуальна"...
Влдаислав, берите базовую МУ от ФСТЭК, там правда не НДВ, а уязвимости в СПО и ППО, по их же методике определяйте актуальные. Как - я писал в соседней ветке где классификация по новому ПП
Изменено: Сергей С. - 21.11.2012 12:51:43
!!!ФСТЭК выпустил новое информационное письмо про защиту ПДн. Уже про уровни защищенности)))
Подробности и ссылки тут:
http://80na20.blogspot.ru/2012/11/blog-post_21.html
Ссылка на модель
http://depositfiles.com/files/ytz261yzc
Александр, а в открытый файлообменник можно выложить? Например slil.ru
Страницы: Пред. 1 ... 8 9 10 11 12 ... 14 След.
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)