нужна помощь - Форум по вопросам информационной безопасности

Виктор, - | 67797
Но есть одно НО, сертификат могут аннулировать. А во вторых данный сертификат не закроет весь максимальный срок действия аттестата соответствия.

--oko
Примеров хватает, но их надо обезличивать перед сливом в Сеть. Что повлечет за собой еще большую путаницу - объект-то совершенно не будет раскрыт и, следовательно, все выводы модели будут порождать у стороннего читателя такой обезличенной лабуды два извечных вопроса: "как?" и... мнэ... "зачем?".
---

Какую детализацию угроз предпочитаете делать? :)
Высокоуровневая или дробить помельче? Тоненький документик или талмуд? В базе ФСТЭК уже под 200 угроз обозначено.

to Dfg
От общего к частному. Группировка угроз по направлениям и среде реализации -> конкретизация групп, требующих разбора и анализа + отсеивание тех, что явно не вписываются (например, все, что касается виртуализации, если виртуализации нет в принципе) -> детализация угроз в каждой оставшейся группе -> описание и анализ имеющихся уязвимостей в ИС -> сравнение с актуализированным ранее потенциалом у нарушителей -> рассмотрение иных факторов, влияющих на защищенность по выбранным угрозам -> анализ реализованных защитных мероприятий = выводы. Очень условная схема. На практике все любопытнее и более... мнэ... индивидуально, что ли...
Кстати, бОльшая часть угроз в БДУ, увы, к большинству защищаемых систем попросту не применима. И их фактическое количество, требуемое к рассмотрению, чаще всего не более 30. Так что приходится комбинировать БДУ с другими базами и ресурсами, а также с личным опытом. Итоговый "вес" документа, если отбросить вступление, описание системы и разбор нарушителей - листов 15-20 (чаще всего в формате таблиц и графов). Не люблю талмуды - с ними потом никто не хочет работать...

to Oko
Ну вот ФСТЭК говорит, что мол используйте БДУ для своих моделей угроз. Но там действительно странно все построено. Вот вцепились в BIOS.

Угроза аппаратного сброса пароля BIOS
Угроза восстановления предыдущей уязвимой версии BIOS
Угроза использования поддельных цифровых подписей BIOS
Угроза использования слабых криптографических алгоритмов BIOS
Угроза исчерпания запаса ключей, необходимых для обновления BIOS
Угроза нарушения изоляции среды исполнения BIOS
Угроза невозможности управления правами пользователей BIOS
Угроза несанкционированного выключения или обхода механизма защиты от записи в BIOS
Угроза несанкционированного использования привилегированных функций BIOS
Угроза подмены резервной копии программного обеспечения BIOS
Угроза программного сброса пароля BIOS
Угроза сбоя процесса обновления BIOS
Угроза установки уязвимых версий обновления программного обеспечения BIOS

Зачем все это перечислять, если все эти угрозы можно свести к 1й угрозе - несанкционированное воздействие на аппаратный уровень ИС.
И все.
Закроем описательно не только биосы, но сотни других угроз.

С этой точки зрения мне нравится подход Банка России, 10 угроз и все довольны. :)
http://www.consultant.ru/document/cons_doc_LAW_195662/

to Dfg
Угрозы у ЦБ как раз групповые и "размытые" - можно что угодно под каждую группу подвести. Вообще, подход дифференцирования УБИ несколько неверен. Тогда надо косвенные и прямые выделять (что и приходится делать). Ведь куча УБИ связана между собой. Реализация одной может повлечь за собой только другую(ие) УБИ, которые уже приведут к нарушению К, Ц или Д.
А угрозы в БДУ наоборот, нихрена явно не группированы по месту применения (про потенциал нарушителей пока не говорим, хотя и там иногда возникают сомнения о правильности группировки). Зато они определяют место приложения и возникновения УБИ более точно. К примеру, угрозы, направленные на тот же BIOS, рассмотреть можно. Но, если у нас старая мать образца начала 2000х, то ни о каких "слабых криптографических алгоритмах BIOS" или "невозможности управления правами пользователей BIOS" говорить не приходится. Эти УБИ, imho, вообще внесены в БДУ по причине наличия новых СДЗ уровня BIOS. Ради них весь сыр бор. Ибо использовать чистый UEFI для защиты закон все также не позволяет (ну, почти)
Короче говоря, единого инструмента для описания УБИ пока нет (и вряд ли появится в будущем). Поэтому каждый лепит Модель, исходя из своих навыков и надобностей. Но ФСТЭК хотя бы предложил нечто похожее на "узаконенный" инструмент - за это стоит сказать разработчикам БДУ спасибо... :)

Всем добрый день. Помогите разобраться в ситуации.
Есть организация "А", которая планирует провести первичную аттестацию АС по требованиям ГТ (в организации других аттестаованных АС нет). Для аттестации необходимо наличие так называемых документов заявителя (Например: Техпаспорт, Акт категорирования, акт классификации и т. д.). Некоторые документы будут иметь гриф, поэтому разрабатывать такие документы организация "А" при помощи АС не может. Соответственно, организация "А" заключает договор с организацией "Б" (которая, в свою очередь имеет соответствующие лицензии) на подготовку таких документов.
Вопрос: кто в итоге должен подписывать и утверждать такие документы? какая организация? или обе организации? Помогите разобраться.

Приветствую!
1. Большинство лицензиатов с радостью за отдельную плату в договоре разрабатывают "за Заказчика" полный комплект "предаттестационной документации". Это проще, чем заключать договор на выпуск и печать этих же документов своими силами, но на базе вообще сторонней конторы...
2. Если "А" заключает с "Б" договор на разработку подготовительных документов, то в графе "Утверждаю" будет стоять подпись руководителя "А", в графах "Разработал" - сотрудников "Б", и может добавиться графа "Согласовано" - руководитель "Б" (зависит от установленной процедуры делопроизводства в "Б"). Зачастую указывается еще "для нужд такой-то организации"...
3. Если "А" заключает с "Б" договор исключительно на набор и печать (читай, использование ресурсов аттестованной АС "Б" сотрудниками "А"), то в графах "Утверждаю" и "Разработал" будут стоять подписи руководителя/сотрудников "А", а вот в "фонарике" (штампе на ГТ-документах) - ФИО исполнителя из числа сотрудников "Б". В такой ситуации советую детально разобрать вопрос с секретчиками "Б", начав с кодовой фразы "малыши", ага :)