Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Новая версия SIEM-системы КОМРАД: теперь с поддержкой масштабирования и без ограничений на производительность

22/11/2018

Группа компаний «Эшелон» представляет обновленную систему управления событиями информационной безопасности КОМРАД. Новая версия SIEM-системы поддерживает возможность масштабирования и включает ряд новых возможностей.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
RSS
Можно ли исключать меры защиты при неактуальности угроз????, 21/17 ПДн
Доброго времени суток уважаемые форумчане!

Уже больше года как вышли замечательные документы: 21 и 17 приказ. Жил я не тужил, защиту ПДн делал. Покой мой нарушил методический документ «Меры защиты информации в государственных информационных системах». К достоинствам этого документа, несомненно, можно отнести подробнейшие инструкции по выбору итогового набора мер защиты (базовый набор мер, адаптированный базовый набор мер, уточненный адаптированный базовый набор мер и наконец, дополненный уточненный адаптированный базовый набор мер! Ух) и подробного описания требований к реализации и усилению выбранных мер.
Конечно, оставались меры, которые сложно было реализовать в определенных ИС, но всегда была возможность компенсации:

Сформированный набор мер защиты информации может содержать меры защиты информации, которые по каким-либо причинам (высокая стоимость, отсутствие апробированных технических реализаций, неприемлемо большие сроки реализации, отсутствие компетенции для эксплуатации и другие) делает невозможным или крайне затруднительным их реализацию в информационной системе в рамках ее системы защиты информации.
В таких случаях у заказчика, оператора и разработчика (проектировщика) есть возможность заменить соответствующие меры защиты информации на компенсирующие меры защиты информации.
«Меры защиты информации в государственных информационных системах», 2.3 (д), стр 14.

Проработав этот замечательный документ я по новому взглянул на свои документы и добавил к ним ряд новых. В частности очень горжусь проработанным документом сопоставления модели угроз с мерами защиты.

Исходными данными при уточнении адаптированного базового набора мер защиты информации являются перечень угроз безопасности информации и их характеристики (потенциал, оснащенность, мотивация), включенные в модель угроз безопасности информации.
При уточнении адаптированного базового набора мер защиты информации для каждой угрозы безопасности информации, включенной в модель угроз, сопоставляется мера защиты информации из адаптированного базового набора мер защиты информации, обеспечивающая блокирование этой угрозы безопасности или снижающая вероятность ее реализации исходя из условий функционирования информационной системы.
«Меры защиты информации..» 2.3 (в) стр 12.

Все стало наглядней и понятней. (Это я сейчас так говорю. По началу все было очень плохо. Вот так вот : http://ispdn.ru/forum/messages/forum1/topic3535/message49054/index.php#message49054 )
После сопоставления угроз и мер, у меня оставались меры, которые я не смог привязать к какой либо угрозе (например РСБ). В начале лета я собрался таки с мыслями и позвонил во ФСТЭК с вопросом: нужно ли их выполнять? (вообще я много чего спрашивал, и по поводу усиления уточненных мер тоже). На что получили ответ что нужно выполнять для усиления общей защищенности. Надо, так надо. Прошло пол года, я потихоньку делаю защиту и попутно допиливаю документы приводя их в порядок под так стремительно меняющееся законодательство (за последний месяц как вышел из отпуска вышли поправки к 211, новый приказ ФСБ по СКЗИ, ожидается документ «Требования к средствам контроля съемных машинных носителей информации») и тут известный блогер Лукацкий возвращает меня к моим старым мыслям на счет отказа от мер. (http://lukatsky.blogspot.ru/2014/10/blog-post_13.html ) .

Резюмируя, исключать защитные меры, опираясь на неактуальность угроз, возможно.
Аргументы его достойны. Логика в его словах есть. Однако четкой позиции ФСТЭК по этому вопросу нет (в РД написано одно, а в главном офисе говорят другое).
Перед глазами сразу же встает картина : есть частная модель угроз, и все то многообразие мер защиты из 21 приказа. Сопоставив их, я вижу что мои угрозы нейтрализуются набором из 10-15 мер. Но позвольте, а что делать с остальными мерами? Следуя логики Лукацкого их можно исключить из адаптированного базового набора мер. Дальше у нас идет уточнение «абнм». На этом этапе мы проводим оценку возможности адаптированного базового набора мер защиты информации адекватно блокировать (нейтрализовать) все угрозы безопасности информации, включенные в модель угроз безопасности информации, или снизить вероятность их реализации исходя из условий функционирования информационной системы. В случае, если адаптированный базовый набор мер защиты информации не обеспечивает блокирование (нейтрализацию) всех угроз безопасности информации в него дополнительно включаются меры защиты информации…
Как то так.

Эта заметка вызвала оживленную дискуссию среди моих коллег. Пока я сочиняю вопросы для ФСТЭК, предлагаю Вам обсудить данные идеи. Что скажите?
Все уже сказано у Лукацкого.

Если вас приедет проверять Лукацкий, то меры можно исключать. А если приедет ФСТЭК - то лучше оставить. :)
В приказах не указано, что можно исключать - значит, нельзя.
Более того, ФСТЭК считает, что меры усиления тоже обязательны, если они предусмотрены для данного класса ГИС.
Считаю, что обсуждать нечего. Применяемые меры защиты, напрямую зависят от актуальных угроз. Угрозы от структурно-функциональных особенностей ИСПДн. Лукацкий абсолютно верно написал. Только и ФСТЭК считает точно также, судя по изданным им документам. А вот есть мнение отдельных представителей ФСТЭК, которых жизнь со временем поправит ))))))).
ICQ 377238542
AlexG,
Андрей,
Звонил сейчас в Московский ФСТЭК, ответ держал Носов Игорь Анатольевич. Сказал если вы закрываете все актуальные угрозы 10-15 мерами, то и отлично. Вас никто не заставляет применять все 160+ мер. НО это по 21 приказу, ибо там коммерческая организация. В ГИСах нужно выполнить бнм.
Думаю, что это личное мнение Носова И.А. Если у вас не используются системы виртуализации, а меры прописаны, как базовые, то как вы их примените, на что!? Заявлять, что должен быть выполнен полный базовый набор - ОЧЕВИДНАЯ ГЛУПОСТЬ.

Структурно-функциональные особенности ИСПДн - Набор актуальных угроз - Меры защиты.

На днях закончил Модель угроз для одной организации. При УЗ 3, низкой опасности и всего остального по минимуму у меня вышло ровно 100 мер. Так что какие 10-15 мер!? Откуда все это!?
ICQ 377238542
Цитата
Андрей пишет:
Думаю, что это личное мнение Носова И.А. Если у вас не используются системы виртуализации, а меры прописаны, как базовые, то как вы их примените, на что!? Заявлять, что должен быть выполнен полный базовый набор - ОЧЕВИДНАЯ ГЛУПОСТЬ.

Структурно-функциональные особенности ИСПДн - Набор актуальных угроз - Меры защиты.

На днях закончил Модель угроз для одной организации. При УЗ 3, низкой опасности и всего остального по минимуму у меня вышло ровно 100 мер. Так что какие 10-15 мер!? Откуда все это!?
а у меня УЗ 2, тонкие клиенты. пользователи работают только в браузере и не имеют возможности сохранять инфу на ж\д. при передаче по каналам связи у меня все шифруется. и всего навсего 5 актуальных угроз которые я закрываю 10-15 мерами. ...

Мнение Носова оно устное. пишу письмо во ФСТЭК. Верное дело.
Цитата
Симак пишет:
всего навсего 5 актуальных угроз которые я закрываю 10-15 мерами
Силен )))))
ICQ 377238542
А список своих угроз не напишешь?
ICQ 377238542
Цитата
Андрей пишет:
А список своих угроз не напишешь?
Просмотр информации на дисплее сотрудниками, не допущенными к обработке ПДн
Кража ПЭВМ
Утрата ключей доступа
Доступ к информации, модификация, уничтожение лицами, не допущенными к ее обработке
Угроза выявления паролей
Андрей,
или вот простой пример: у меня не актуальна угроза "Просмотр информации на дисплее сотрудниками, не допущенными к обработке ПДн" Зачем мне реализовывать ИАФ 5 и ЗТС 4 для 2 класса или УЗ2 для которых они обязательны.
Цитата
Симак пишет:
Просмотр информации на дисплее сотрудниками, не допущенными к обработке ПДн
Кража ПЭВМ
Утрата ключей доступа
Доступ к информации, модификация, уничтожение лицами, не допущенными к ее обработке
Угроза выявления паролей
То есть ты просто взял угрозу из "Базовой модели..." и решил актуальна она для тебя или нет?
ICQ 377238542
Андрей, ты же знаешь, там целая методика определения актуальности. +согласована с заказчиком...
Ключевое слово - "согласована с заказчиком" )))))))
ICQ 377238542
Страницы: 1
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)