Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Новая версия SIEM-системы КОМРАД: теперь с поддержкой масштабирования и без ограничений на производительность

22/11/2018

Группа компаний «Эшелон» представляет обновленную систему управления событиями информационной безопасности КОМРАД. Новая версия SIEM-системы поддерживает возможность масштабирования и включает ряд новых возможностей.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
Ответить
RSS
Методичка Меры защиты в ГИС. Усиление адаптированного базового набора мер, Разбор, мысли, вопросы по поводу усиления адаптированного базового набора мер
Добрый день. Мой пост тесно связан с 17 приказом и Методическим документом «Меры защиты информации в государственных информационных системах». Немного запоздалый разбор методички. Здесь я разбираю поабзацно этап уточнения адаптированного базового набора мер. Привожу свои мысли и оставляю вопросы которые появляются по ходу.
Целью для меня является создание документа под названием «уточнение адаптированного базового набора мер защиты информации» (уабнм).
Как Вам известно, выбор мер защиты информации для их реализации в информационной системе включает в себя:
определение базового набора мер;
адаптацию базового набора мер;
уточнение адаптированного базового набора мер;
дополнение уточненного адаптированного базового набора мер.
С определением и адаптацией вопросов не возникало. А вот уточнение вызвало у меня ряд вопросов. Прежде чем обращаться во ФСТЭК, поделюсь с вами. Авось, найдем какое то решение.
Итак. У меня разработаны: частная модель угроз (для конкретной ИСПДн), акт классификации, базовый набор мер, адаптированный базовый набор мер.
Исходными данными при уточнении адаптированного базового набора мер защиты информации являются перечень угроз безопасности информации и их характеристики (потенциал, оснащенность, мотивация), включенные в модель угроз безопасности информации.
«Уабнм» видится мне как смесь модели угроз и адаптированного «нм». С этим все ясно.
При уточнении адаптированного базового набора мер защиты информации для каждой угрозы безопасности информации, включенной в модель угроз, сопоставляется мера защиты информации из адаптированного базового набора мер защиты информации, обеспечивающая блокирование этой угрозы безопасности или снижающая вероятность ее реализации исходя из условий функционирования информационной системы.
А вот дальше…
В случае, если адаптированный базовый набор мер защиты информации не обеспечивает блокирование (нейтрализацию) всех угроз безопасности информации в него дополнительно включаются меры защиты информации, приведенные в разделе 3 настоящего методического документа. При этом содержание данной меры защиты информации определяется с учетом класса защищенности информационной системы и потенциала нарушителя в соответствии с разделом 3 настоящего методического документа.

Я буквально понимаю под этим следующее. Если адаптированный базовый набор мер защиты информации обеспечивает блокирование всех угроз безопасности, то этим «уанбм» завершается. Я делаю микс документ из модели угроз и сопоставления мер. Отписываю что меры для защиты выбраны верно и достаточны. И приступаю к следующему документу. А вот если адаптированный базовый набор мер защиты информации не обеспечивает блокирование (нейтрализацию) всех угроз безопасности информации то… дополнительно включаются меры защиты информации, приведенные в разделе 3 настоящего методического документа.
Однако описание процедуры уточнения на этом не заканчивается…
Таким образом, я вижу здесь разделение на два возможных документа
1. «Абнм» обеспечивает блокировку
2. «Абнм» не обеспечивает блокировку.
По идеи все, что идет ниже 4 абзаца в пункте «в» методического документы у нас должно относиться ко второму пункту. Однако это явно не написано и вот приходится мне гадать. Как же быть с документом первого типа ( «абнм» обеспечивает блокировку)

Итак, первый вариант. Казалось бы, после сопоставления перечня угроз безопасности из модели угроз и акта адаптации базового набора мы получаем уточненный адаптированный (уабнм). ОДНАКО требованиями другого абзаца мы должны включить (должны ли?) содержание мер в соответствии с разделом 3 настоящего методического документа.

Уточненный адаптированный базовый набор мер защиты информации подлежит реализации в информационной системе в соответствии с разделом 3 настоящего методического документа.
Да, здесь указано, что должно реализоваться «в соответствии», но в 3 разделе представлены требования к реализации и уточнению. Я так понимаю, нужно включать (в документ. Читай расписывать и выполнять требования представленные в методичке по каждой мере) и их. Но постойте! Раз у нас меры перекрывают все угрозы, к чему нам содержание базовой меры защиты информации в которую включены так же меры усиления (о том, что они обязательно должны быть и как я к этому пришел я напишу ниже).

Мне не ясно, этим абзацем ФСТЭК говорит про «Абнм» не обеспечивающего блокировку угроз или это для уточненных «абнм» обеспечивающего блокировку???

Собственно, ко всем абзацам ниже у меня тот же вопрос.

Требования к реализации мер защиты информации являются минимальными требованиями, выполнение которых должно быть обеспечено в информационной системе соответствующего класса защищенности, в случае если эта мера выбрана для реализации в качестве уточненной адаптированной базовой меры защиты информации. (почему у нас в начале предложения говорится про МЕРЫ а в конце про МЕРУ??)
в случае если эта мера выбрана для реализации в качестве уточненной адаптированной базовой. (здесь вопрос тот же. К какому уточненному варианту это относится).
Итак. Тen меня посещает одна идея. «Уабнм» представляет собой дикую смесь модели угроз и «абнм». Это в первой части. Во второй. Мы должны расписать «содержание базовой меры защиты информации» в случае если эта мера выбрана для реализации в качестве уточненной адаптированной базовой меры защиты информации.
Пример. Для класса К4 мера СОВ1 не является обязательной. В своем документе я делаю первую часть как писал выше. А вторую, в целях блокирования (нейтрализации) всех угроз безопасности информации дополнительно включаю меру защиты информации СОВ1, расписанную в 3 разделе методички. Здесь меня опять нагоняют сомнения. Может я не так все понял? «в случае если эта мера выбрана для реализации в качестве уточненной адаптированной базовой меры защиты информации.» означает что я должен по методички расписать все меры из «абнм». Ведь они выбраны мной для реализации. Ведь они становятся уточненными мерами после того как я сопоставил их с моделью угроз. Нет? Да ну, бред какой то! ОДНАКО возвращаемся к абзацу выше и: Уточненный адаптированный базовый набор мер защиты информации подлежит реализации в информационной системе в соответствии с разделом 3 настоящего методического документа.
Черт! Я не понимаю и не представляю как должен выглядеть документ и что он должен в себе содержать. Про модель угроз понятно. Надо ли расписывать по методичке «содержание базовой меры защиты информации» все меры или только те, которые мы выбрали в качестве дополнения адаптированных мер (Нет, это не этап дополнения. Это ФСТЭК так шутит в своем примере добавляя больше путаницы. Здесь нужно смотреть на мой пример с СОВ1)?
Переходим к усилению мер.
В зависимости от класса защищенности информационной системы минимальные требования к реализации уточненной адаптированной базовой меры защиты информации подлежат усилению для повышения уровня защищенности информации.
Усиления мер защиты информации применяются дополнительно к требованиям по реализации мер защиты информации, приведенным в подразделах «требования к реализации меры защиты информации».
Ну думаю, с этим то всё ясно. «требования к реализации меры защиты информации» нужно выполнять обязательно, а «требования к усилению меры защиты информации» дополнительно по усмотрению. Как бы не так.
Итоговое содержание каждой уточненной адаптированной базовой меры защиты информации, которое, как минимум, должно быть реализовано в информационной системе, приведено в таблице подраздела «содержание базовой меры защиты информации».
Отвертеться от мер усиления не получится. Опять возвращаемся к нашим баранам. Может здесь (Требования к реализации мер защиты информации являются минимальными требованиями, выполнение которых должно быть обеспечено в информационной системе соответствующего класса защищенности, в случае если эта мера выбрана для реализации в качеств…)имелось в виду следующее: Вот у тебя есть «абнм». Необходимо для каждого класса реализовать минимум. А для дополнительных мер (см пример с СОВ1) необходимо реализовать «содержание базовой меры защиты информации» с усилением? На этом раздел, оставивший нам так много вопросов, заканчивается. Ура.

Честно пытался понять. Не очень получилось. А что вы думаете по этому поводу?
Изменено: Сергей - 09.07.2014 12:05:25 (1)
Предлагаю не ломать головы. Методичку я рассматриваю как материал для облегчения написания ТТЗ, а что касается наборов мер, в самом Приказе ФСТЭК № 17 всё чётко написано:
Цитата


Выбор мер защиты информации для их реализации в информационной системе в рамках ее системы защиты информации включает:
определение базового набора мер защиты информации для установленного класса защищенности информационной системы в соответствии с базовыми наборами мер защиты информации, приведенными в приложении № 2 к настоящим Требованиям;
адаптацию базового набора мер защиты информации применительно к структурно-функциональным характеристикам информационной системы, информационным технологиям, особенностям функционирования информационной системы (в том числе предусматривающую исключение из базового набора мер защиты информации мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе);
уточнение адаптированного базового набора мер защиты информации с учетом не выбранных ранее мер защиты информации, приведенных в приложении № 2 к настоящим Требованиям, в результате чего определяются меры защиты информации, обеспечивающие блокирование (нейтрализацию) всех угроз безопасности информации, включенных в модель угроз безопасности информации;
дополнение уточненного адаптированного базового набора мер защиты информации мерами, обеспечивающими выполнение требований о защите информации, установленными иными нормативными правовыми актами в области защиты информации, в том числе в области защиты персональных данных.

Т.е. мы
1. Определили класс ГИС и выписали меры, предназначенные для такого класса.
2. Вычеркнули меры, которые перекрывают каналы утечки информации, которые для ГИС несвойственны, и назвали это АБНМ.
3. Вписали те, которые перекрывают действительные каналы утечки, и назвали это УАБНМ.
4. Заглянули в Приказ ФСТЭК № 21, в ФЗ о ГТ и куда там ещё нам по службе нужно заглянуть и дописали те меры, которые требуются в соответствии с нашей спецификой, и назвали результат ДУАБНМ.
Vitaly Bondarew, согласен со всем, кроме п.4. На этом этапе мы смотрим в свою модель угроз и думаем: все ли угрозы закрыты на 3-м этапе (уточнение). Если остались угрозы, от которых невозможно "защититься" 17-м приказом, открываем друге НМД (прежде всего СТР-К) и выбираем меры оттуда.
21-й приказ здесь не при чем, в нем оговорено, что ПДн в ГИС защищают в соответствии с приказом 17.
И уж тем более не при чем ФЗ о ГТ.
21-й приказ вышел позже 17-го, и в его табличке базовых мер защиты есть целых два новых раздела (реагирование на инциденты и управление конфигурацией). Поскольку на 99% таблички совпадают, скорее всего их в приказ 17 забыли дописать.
про ГТ это так, лирическое отступление. Он устанавливает необходимость организационных мер защиты информации (таких, как засекречивание, допуски и т.п.), требования по наличию сертифицированных СЗИ и т.п. Фразы общие, но основополагающие, генеральное основание для закупки СЗИ, так сказать.
Цитата
Vitaly Bondarew пишет:
скорее всего их в приказ 17 забыли дописать.
Они есть и в 17-м, только в виде процедур, предусмотренных при эксплуатации ГИС (см. п.16.2.). Более подробно они будут расписаны в методичках, которые пока пишутся.

Цитата
Vitaly Bondarew пишет:
про ГТ это так, лирическое отступление. Он устанавливает необходимость организационных мер защиты информации (таких, как засекречивание, допуски и т.п.), требования по наличию сертифицированных СЗИ и т.п. Фразы общие, но основополагающие, генеральное основание для закупки СЗИ, так сказать.
Надеюсь, что до засекречивания и оформления допуска к работе в ГИС дело не дойдет ;)
А что до сертифицированных СЗИ, то о них четко сказано в самом 17-м.
Закон о ГТ имеет отношение только к ГТ и ни к чему другому.
Смотря какая ГИС, если это какой-нибудь софт для силовиков, очень может быть совмещение статуса ГИС и секретки. При этом подход "посмотрел в 17-м - дополнил 21-м - дополнил требованиями государства и ведомства" не противоречит законодательству, поскольку в конечном счёте защита только усиливается.
Цитата
Vitaly Bondarew пишет:
Смотря какая ГИС, если это какой-нибудь софт для силовиков, очень может быть совмещение статуса ГИС и секретки. При этом подход "посмотрел в 17-м - дополнил 21-м - дополнил требованиями государства и ведомства" не противоречит законодательству, поскольку в конечном счёте защита только усиливается.
Если в ГИС есть ГТ, то работают требования по ЗГТ, а 17-й приказ придется отложить в сторону (см. само название приказа).
Дополнить-то можно чем угодно, можно и СИ, СО провести и от ПЭМИН защищаться со страшной силой. Вот только нужно ли? ;)
СИ для аттестации ИС в любом случае проводить придётся. Канал ПЭМИН ведь существует, а установить радиусы зон можно только специсследованиями у лицензиата.
Цитата
Vitaly Bondarew пишет:
СИ для аттестации ИС в любом случае проводить придётся. Канал ПЭМИН ведь существует, а установить радиусы зон можно только специсследованиями у лицензиата.
ОК. Провели СИ, нашли ПЭМИН. Дальше что будете делать? Защищать ГИС от наводок?
Вообще-то приказ 17 для того и писался, чтобы уйти от необходимость защищать ИС от УИТК. Иначе зачем было огород городить? Приказ как раз не обязывает от них защищаться, о чем разъясняли даже должностные лица ФСТЭК на конференциях.
Есть угроза - принимайте меры, нет - живите спокойно.
А дальше зависит от того, что выйдет дешевле. Или защита от УИТК, или плюнуть на ТЗКИ и шифровать.
Vitaly Bondarew, шифровать что, простите? Всю работу в ИС?
Страницы: 1
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку