Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

В России хотят создать мегарегулятора информационной безопасности, взяв пример с США

18/11/2017

В рамках реализации программы «Цифровая экономика» предлагается определить единый госорган, ответственный за требования к средствам информационной безопасности.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2 3
Ответить
RSS
ФСТЭК - не обманули, Проект приказа по ПДн
Цитата
Cug пишет:
осле составления модели угроз и выделения из перечня угроз актуальных провОдите анализ и устанавливаете, есть ли среди актуальных угрозы, основывающиеся на использовании НДВ в системном ПО (для первого типа угроз) или в прикладном (для второго типа угроз). Нет? - Вам повезло!
а как это делается - будет описано в документах ФСТЭК, которые выйдут непонятно когда)
Сейчас же выход один - в модели угроз подвести угрозы НДВ к неактуальным на основе "экспертного мнения" и выйти на УЗ 3 или 4.
Я понимаю, о чем вы спрашиваете - как сделать вывод, то самое экспертное мнение, что в вашей ИСПДн угрозы 1 и 2 неактуальны. Пока этого никто не знает, поэтому просто делайте так, как описано выше :)
Сложилось мнение (мотивировать пока не могу), что если все в КЗ - уйдем от угроз 1-го типа, если сертифицированы по НДВ СЗИ - уйдем от угроз второго типа. И будет нам счастье. Мнение, как обычно, исключительно мое и исключительно скромное.
Цитата
Cug пишет:
если все в КЗ - уйдем от угроз 1-го типа
угрозы 1 типа - угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе

Интересно узнать, как бумажка об определении контролируемой зоны спасёт от дыры в операционной системе? :)
Настя, смотрите свой пост выше. КЗ+режим даст неактуальность угроз, связанных с непосредственным доступом к АРМ. Вкупе с МЭ (ессно сертифицированным) поможет сделать неактуальным угрозы НСД. А при наличии резервного копирования - неактуальными угрозы нарушения целостности (незначительный негативный ущерб для субъектов ПДн, либо ущерб отсутствует). Ну да, получилось чуток побольше, чем определение границ КЗ :D
Цитата
Cug пишет:
Настя, смотрите свой пост выше. КЗ+режим даст неактуальность угроз, связанных с непосредственным доступом к АРМ. Вкупе с МЭ (ессно сертифицированным) поможет сделать неактуальным угрозы НСД. А при наличии резервного копирования - неактуальными угрозы нарушения целостности (незначительный негативный ущерб для субъектов ПДн, либо ущерб отсутствует). Ну да, получилось чуток побольше, чем определение границ КЗ :D
вы написали


Цитата
Cug пишет:
если все в КЗ - уйдем от угроз 1-го типа
угрозы 1 типа - это в том числе и НДВ программного обеспечения.

При чем тут

Цитата
Cug пишет:
непосредственный доступ к АРМ
Цитата
Cug пишет:
угрозы НСД
Цитата
Cug пишет:
угрозы нарушения целостности
???
Настя, в актуальности угрозы играет роль ее реализуемость, если угроза практически не реализуема, ущерб от нее не ведет к значительным негативным последствиям - она не актуальна.
КЗ позволяет исключить возможность нарушения конфиденциальности имени не допущенного к обработке ПДн пользователя. Роль НДВ ОС в этой угрозе следующая - легального пользователя нет на месте, в неконтролируемую зону входит нарушитель в смокинге, используя недекларированную возможность системы (дежурный пароль на систему, о котором не знает админ, но знает разработчик СПО, который и пришел в смокинге). Используя другую НДВ той же угрозы сливает сформированный скрытый файл в формате *.таблица_с_именами_полей на свою флешку и наносит непоправимый значительный негативный ущерб субъектам ПДн - пенсионерам, опекаемым пользователем АРМа - членом совета пенсионеров.
Но все угрозы мне не выдумать. Согласитесь, что определение КЗ+режим+МЭ+СЗИ НСД+резервирование позволяет сделать неактуальными значительную часть угроз. Ну хорошо, хорошо, уговорили - просто определение КЗ не дает должного эффекта, но без нее и режима нет препятствий для использования НДВ, и никакие СЗИ НСД не помогут.
Cug, вы правда считаете, что тот (или те), кто оставил бэкдор в операционке, ПРИДЁТ в организацию и будет там что-то скидывать на флешку?
Цитата
Cug пишет:
КЗ позволяет исключить возможность нарушения конфиденциальности имени не допущенного к обработке ПДн пользователя.
в продолжение предыдущего вопроса - вы разве не понимаете, что все эти манипуляции обычно предусматривают реализацию по сети?)))
Хоть какой вы МЭ поставьте, огородите вашу комнатку забором, если через ССОП передаются данные, то если реализация угрозы ведёт к значительным негативным последствиям для субъектов, угроза будет актуальной! Да и получается, даже если не передаются через ССОП по методике..
Настя, хм.. А где здесь НДВ в системном ПО? То, что оно все обрабатываемые данные сует в сеть?
Цитата
Cug пишет:
А где здесь НДВ в системном ПО?
уточните ваш вопрос - где это здесь?


Цитата
Cug пишет:
То, что оно все обрабатываемые данные сует в сеть?
это элемент технологического процесса обработки данных.. о чем вы?..
Настя, все, что я писал выше - попытка понять, как сделать неактуальными угрозы, связанные с НДВ в системном ПО. Вы в посте #47 описываете реализацию угрозы, которую я рассматривал в посте #46, с использованием ССОП. Но где в данном варианте реализации угрозы использование НДВ в системном ПО?
Мое предположение - угрозы, связанные с НДВ в системном ПО, при наличии МЭ могут быть реализованны только при непосредственном (физическом) доступе к АРМ. От чего и должны спасти определение КЗ и соблюдение режима.
Цитата
Cug пишет:
Мое предположение - угрозы, связанные с НДВ в системном ПО, при наличии МЭ могут быть реализованны только при непосредственном (физическом) доступе к АРМ. От чего и должны спасти определение КЗ и соблюдение режима.
я считаю, что наличие/отсутствие угрозы НДВ не зависит от того, введён ли режим и бумажка, определяющая границы КЗ. Про актуальность - вопрос, она зависит от исходной защищенности системы, от вероятности реализации угрозы и от её опасности для субъекта.
В любом случае, пока нет разъясняющих документов ФСТЭК, вижу выход в определении угрозы НДВ как неактуальной по методике на основе того самого "экспертного мнения" :)
Настя, собственно я об том же. Экспертное мнение должно свестись к тому, что вероятность реализации угрозы низкая (маловероятно).
Страницы: Пред. 1 2 3
Ответить
Читают тему (гостей: 3, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку