Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1 2 3 4 След.
Ответить
RSS
Типы актуальных угроз, Хотелось бы расставить все точки над И.
Всем добрый день. В связи с выходом 21 Приказа ФСТЭК мне ещё раз хотелось бы уточнить, чем я должен руководствоваться при определении Типа актуальных угроз.
Например, у меня в офисе стоит полностью лицензионное ПО (как системное так и прикладное) , но без сертификатов по НДВ. Могу ли я указать, что для меня актуальны угрозы только третьего типа, потому, что я считаю что в лицензионном ПО нет НДВ (сугубо мое мнение направленное на экономию средств при последующей покупке СЗИ). Или же я должен указывать, что для меня актуальны угрозы 1-го типа, из-за отсутствия необходимых сертификатов?
Когда выйдет документ "Методика определения актуальных угроз, связанных с наличием НДВ в СПО и ППО" тогда и будет понятно, а сейчас пока все рассуждения вилами по воде писаны.
Сейчас пока считайте, что для вас такие угрозы не актуальны и пусть вам проверяющий докажет обратное.
Что-то мне подсказывает, что мало кто из производителей прикладного софта будет получать сертификаты на отсутствие НДВ для своих поделок.
Изменено: Сергей - 22.05.2013 11:21:57
я написал так:

В результате проведенных мероприятий по анализу и выявлению актуальных угроз, сведений, содержащихся в АС\ИСПДн Организации и структурно‑функциональных особенностей АС\ИСПДн, сотрудниками ООО «Рога и копытки» было установлено, что угрозы 1-го и 2-го типа не являются актуальными для АС\ИСПДн Организации. В частности, реализация угроз, связанных с наличием недокументированных (недекларированных) возможностей в системном и (или) прикладном программном обеспечении считается маловероятной ввиду использования сертифицированного\лицензионного системного программного обеспечения и защищенности АС\ИСПДн от сетей связи общего пользования и (или) сетей международного информационного обмена посредством сертифицированных СЗИ\или изолированности сети от сетей общего пользования.
А ещё можно добавить, что производители системного ПО (Microsoft) дорожат своей репутацией и всвязи с этим не имеют цели добывать закрытую информацию, либо иным образом воздействовать на работоспособность системы.
Цитата
Андрей пишет:
А ещё можно добавить, что производители системного ПО (Microsoft) дорожат своей репутацией и всвязи с этим не имеют цели добывать закрытую информацию, либо иным образом воздействовать на работоспособность системы.
Домыслы. Притянуто за уши.
Цитата
Домыслы. Притянуто за уши.
Цитата
Когда выйдет документ "Методика определения актуальных угроз, связанных с наличием НДВ в СПО и ППО" тогда и будет понятно, а сейчас пока все рассуждения вилами по воде писаны.
Представляете масштаб скандала "Майкрософт производит ПО для иностранной разведки!", "В органах гос. власти запрещено использовать ПО Майкрософт", "Майкрософт подставил Кролика Роджера". Кто является легальных пользователем ПО Майкрософт, в основном те, кто по роду своей деятельности обязан отвечать за лицензированность. Итог: потеря большей части Российского рынка.
Пускай домыслы, но как сказал коллега Методики нет.
Цитата
Андрей пишет:
Представляете масштаб скандала "Майкрософт производит ПО для иностранной разведки!", "В органах гос. власти запрещено использовать ПО Майкрософт", "Майкрософт подставил Кролика Роджера"
Представляю. Тот же Сноуден предоставил информацию что практически все ведущие высокотехнологичные компании предоставляют спецслужбам США доступ к данным своих пользователей. Чем Майкрософт хуже с их закрытым кодом?
Короче, я бы такую фразу ни за что не использовал.
Цитата
Тот же Сноуден...
А если он просто засланец спецслужб. И сказал это, что бы отвлечь весь мир от поиска реальных угроз утечки. У спецслужб что ли нет иных способов получения закрытой информации?...
Цитата
Тот же Сноуден...
А если он просто засланец спецслужб. И сказал это, что бы отвлечь весь мир от поиска реальных угроз утечки. У спецслужб что ли нет иных способов получения закрытой информации?...
Хорошо, Ваш вариант уйти от актуальности угроз 1-ого типа? Можете представить хоть один пример?
Лучший ответ был дан практически сразу

Цитата
Евгений пишет:
я написал так:

В результате проведенных мероприятий по анализу и выявлению актуальных угроз, сведений, содержащихся в АС\ИСПДн Организации и структурно‑функциональных особенностей АС\ИСПДн, сотрудниками ООО «Рога и копытки» было установлено, что угрозы 1-го и 2-го типа не являются актуальными для АС\ИСПДн Организации. В частности, реализация угроз, связанных с наличием недокументированных (недекларированных) возможностей в системном и (или) прикладном программном обеспечении считается маловероятной ввиду использования сертифицированного\лицензионного системного программного обеспечения и защищенности АС\ИСПДн от сетей связи общего пользования и (или) сетей международного информационного обмена посредством сертифицированных СЗИ\или изолированности сети от сетей общего пользования.
Я делал точно также. Модель угроз + акт об определении уровня защищенности с текстом похожим на вышеприведенный.
Sat_Kelman, спасибо за помощь!
Ум за разум заносит уже. Методику бы действительно издали наконец-то...
Т.е. в данном случае сам оператор решает, что угрозы НДВ неактуальны и на этом вопрос закрыт.
А вот если ИСПДн в органах госвласти? Тогда ответственность на себя берёт аттестующая фирма в соответствии с 17-ым приказом? На лицензионность сослаться? Изолированность от сетей МЭ Cisco с кучей НДВ? Сноуден что-то говорил о сговоре корпораций Майкрософт и Циско? Я вижу тут один выход - рубить все сети и проводить спецпроверку, а то мало ли сигналы читают шпионские спутники с жучков в материнских платах ПК.
Тут несколько сложнее и проще одновременно!
1. Спецпроверкой вы с ндв не справитесь это несколько разные вещи, и спец проверкой лучше не заморачиваться.
2. Все сети вы все равно не отрубите - работать все таки надо и информационный обмен обеспечивать придеться.
3. А определить тип угроз может и лицензиат, а можете и вы разницы не будет. Сейчас что ФСТЭК, что ФСБ соглашаются - адекватных критериев для определения типов угроз нет. Поэтому все отдано на откуп оператора как вы определите, так и будет правильно. Главное здесь чтобы документ с определением 3 (ну или на ваш выбор 1 , 2 ) типа угроз был.
То что написал Евгений исчепывающе, на практике регуляторам при проведении проверки хватает и меньшего обоснования, и даже просто определили 3 уровень и все.
Валентин С, спасибо за ответ.
Ещё могу добавить, что из модели угроз верхнего уровня можно сделать определённые выводы о типе АУ.
Не слышно про появление методики определения типа актуальных угроз ничего?
Цитата
Андрей пишет:
Не слышно про появление методики определения типа актуальных угроз ничего?
Не только слышно, она, не поверите, существует уже почти 6 лет. Это "Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (утверждена ФСТЭК России 14 февраля 2008 г.). Угрозы безопасности определяются по «Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (утверждена ФСТЭК России 15 февраля 2008 г.) где и про системное и про прикладное ПО говорится. Методики действующие. По базовой модели определяете угрозы, по Методике для каждой угрозы определяете актуальность. По актуальности - УЗ.
Цитата
Gosha пишет:
По базовой модели определяете угрозы, по Методике для каждой угрозы определяете актуальность. По актуальности - УЗ.
Этот ответ мне больше нравится, спасибо! [IMG]

Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные сналичием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе. (ППРФ 1119)

Честно говоря не нашёл в методике как вывести, что угроза актуальная не связана с НДВ.
Например актуальна угроза: Доступ (проникновение) в операционную среду компьютера с использованием штатных средств. Связана с НДВ? Да, конечно. Но как ни крути использовать НДВ будут либо разработчики, либо высококвалифицированный нарушитель, а они не смогут добраться до этих средств обработки информации, т.к. нет подключения к сетям международного информационного обмена. Угроза в плане НДВ не актуальна. Но те же пользователи, имеющие доступ к информации, могут и без НДВ добыть её ("используя штатные средства" ;) , почему и ставится сертифицированное средство защиты от НСД с возможностью аудита и т.п.

Хочу дополнения к методикам.
Расписываете модель нарушителей - внешних и внутренних. Внешним к вам доступа нет или вы такая мелкая сошка, что для серьёзных взломщиков никакого интереса не представляете, ну типа того. Далее пишете, что пользователи у вас кристально честные люди, ангелы, матом не ругаются, бабушек через дорогу переводят и ждать от них угроз безопасности просто смешно. Т.е. все угрозы от любых нарушителей - неактуальны. В итоге актуальными остаются угрозы только от вирусов. Лечится установкой антивируса и МЭ если связь с инетом. Всё. Это если вы деньги считаете. Ну а если стоит цель освоить бюджет - тут поле непаханное, есть куда миллионы зарыть.
Изменено: Gosha - 18.10.2013 09:15:16
Цитата
Gosha пишет:
В итоге актуальными остаются угрозы только от вирусов. Лечится установкой антивируса и МЭ если связь с инетом. Всё. Это если вы деньги считаете. Ну а если стоит цель освоить бюджет - тут поле непаханное, есть куда миллионы зарыть.
Угрозы от вирусов связаны с НДВ? Конечно, только за счёт НДВ и работает вирус сейчас. В системном или прикладном програмном обеспечении НДВ рассматриваем? Конечно в системном, прикладное-то не так популярно. Если в системном, то УЗ минимум 2-ой. Тогда межсетевым экраном не отписаться, нужно ещё и СОВ сертифицированное.
А средства аудита? "Белые и пушистые" имеют легальный доступ к информации, у меня б руки зачесались слить пару человек, если за эту информацию хоть 500 рублей заплатят. Не бывает отсутствия угроз связанных с персоналом.
Вы ещё скажите, что можно использовать несертифицированные СЗИ, как мужчина в видео про подготовку ко встрече с Роскомнадзором сказал (http://www.risspa.ru/volkov_personal_data_170812). Если деньги считаете...
Цитата
Андрей пишет:
А средства аудита? "Белые и пушистые" имеют легальный доступ к информации, у меня б руки зачесались слить пару человек, если за эту информацию хоть 500 рублей заплатят. Не бывает отсутствия угроз связанных с персоналом.
Хотя конечно про аудит погорячился. Где-то ведь разрешено пользователям пользоваться мобильными телефонами с камерой. А это значит, что никакой аудит в виде ПО такое не поймает. Но есть же требования...

адаптацию базового набора мер по обеспечению безопасности персональных данных с учетом
1) структурно-функциональных характеристик информационной системы,
2) информационных технологий,
3) особенностей функционирования информационной системы (в том числе исключение из базового набора мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе, или структурно­-функциональными характеристиками, не свойственными информационной системе);
Пользователь есть? Системой пользуется? Вопросов быть не может, аудит однозначно. А всё что ведёт аудит должно быть сертифицировано.

При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учетом экономической целесообразности на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных.
В этом случае в ходе разработки системы защиты персональных данных должно быть проведено обоснование применения компенсирующих мер для обеспечения безопасности персональных данных.
Не приходилось обосновывать экономическую целесообразность? Писать бред про стоимость одного символа информации? :))
Общался я с многими работниками ФСТЭК - нормальные, понимающие люди и не было случая чтобы они кого закошмарили по поводу защиты ПДн. Наоборот. Главный принцип - разумная достаточность. Рассказали реальный случай. Приходят на проверку в небольшую организацию, а там ответственной поставили молодую девушку. Она так рьяно взялась за дело что признала актуальными угрозами вообще всё что возможно. Пробила закупку СЗИ вплоть до защиты от ПЭМИН (!!!!!!!) аж на несколько миллионов. Проверяющие из ФСТЭК офигели, покрутили пальцем у виска. Сами расчитали актуальность и оказалось что эти миллионы смело можно записывать в ущерб организации. Нужными оказались только СЗИ на несколько тысяч. Не надо параноить насчёт защиты, смотрите реально на вещи. У вас ведь не гостайна. Защищайте действилтельно актуальные угрозы, не не любые возможные. Да, возможно всё, но не обязательно актуально.
Gosha, о какой разумной достаточности разговор, если 21-ый приказ поставил точку в выборе средств защиты. Теперь только сертифицированные.
В октябре 2012 года мы ещё могли рассуждать (https://www.youtube.com/watch?v=9KyP1sa6RO8#), теперь всё однозначно.
Сейчас вопрос стоит в том как сделать экономическое обоснование применения не сертифицированных средств защиты.
Понятно, что средства защиты должны быть актуальны. Зачем от ПЭМИН защищать, если контролируемая зона шире распространения ПЭМИН, но докажите изначально. Зачем межсетевой экран и СОВ, если Ethernet разъёма нет в системнике?.. :)

Но до сих пор не понятно что такое НДВ в системном ПО... Мы от него не защищаемся, устанавливая средства защиты, но с повышением уровня защищённости мы получаем кучу затрат на разного рода СЗИ. На***? Зачем эти СЗИ, если они не закрывают НДВ?

"Состав и содержание мер по обеспечению безопасности персональных данных, НЕОБХОДИМЫХ для обеспечения каждого из уровней защищенности персональных данных, приведены в приложении к настоящему документу".
Т.е. пока не закрыли требование аудит соответствия не пройти!

"в) для обеспечения 4 уровня защищенности персональных данных ПРИМЕНЯЮТСЯ:
средства вычислительной техники не ниже 6 класса;
системы обнаружения вторжений и средства антивирусной защиты не ниже 5 класса;
межсетевые экраны 5 класса"

НЕОБХОДИМО для обеспечения каждого из уровней защищенности выполнить меры по обеспечению безопасности при помощи ПРИМЕНЕНИЯ сертифицированных под определённый класс средств защиты.
Изменено: Андрей - 23.10.2013 12:24:42 (последний абзац подправил)
Страницы: 1 2 3 4 След.
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку