Вопрос по выбору возможных угроз - Форум по вопросам информационной безопасности

Адрес документа: http://lib.itsec.ru/forum.php?sub=20140&from=0

К списку тем | Добавить сообщение


Автор: monk1818 | 98578 06.08.2018 12:07
Доброго всем времени суток!!! в скором времени начинаю делать модель угроз для ИСПДн. подскажите пожалуйста, правильно ли я понял.....при выборе угроз мы должны руководствоваться перечнем ФСТЭКа.....посмотрел - там около 210 наименований.....получается мы должны перелистать все 210 эти угрозы и у себя в перечне определить их как возможные - а потом из них определить актуальные для нашей ИСПДн.....или нужно в модели все 210 штук переписать и потом уже там же определить возможные и актуальные....? благодарю за Ваши ответы заранее....

Автор: Константин | 98588 06.08.2018 13:39
2 monk
Я для своей системы определил, что нарушители у меня низкого уровня. И отобрал угрозы по этому признаку, на данный момент их в базе 120.
Плюс можно убрать если какие-то технологии не используются - Облачные технологии, большие данные, виртуалки и тд

Прошел месяц

Автор: monk1818 | 101704 14.09.2018 09:18
Уважаемые коллеги, читал форум и находил подобные вопросы но не могу найти как бы обоснованного ответа....может из за каши в голове уже......подскажите если можно, вот при разработке Модели угроз по документу 2008 года столкнулся с вопросом - при пользовании банком фстэка там есть зависимость актуальности от потенциала нарушителя.....внимание вопрос: КАК МНЕ ОПРЕДЕЛИТЬ ПОТЕНЦИАЛ ЭТОГО НАРУШИТЕЛЯ?))) описанные условно в модели 2008 года без таких обозначений - а проект 2015 - это всего лишь проект и обосновывать им нельзя. я конечно могу сказать, что я сам экспертным путем выявил их но все же все понимают)) так как быть?) спасибо!!!

Автор: WORM, MK | 101719 14.09.2018 10:32
Как определить потенциал нарушителя не знает никто, в т.ч. и ФСТЭК. Типичный случай "сделай то, не знаю что". Регуляторы это любят.
Поэтому либо придется пользоваться кривым и не утвержденным проектом 2015 г, либо " я сам экспертным путем". Юридически второй путь более предпочтителен.
Более того, если у вас обычная ИСПДн (не ГИС), то использовать БДУ вы не обязаны: нигде про это не написано. А вот использовать методики 2008 г нужно: они как раз для ИСПДн и делались.

Автор: 4 | 101724 14.09.2018 11:01
Возможных нарушителей мотивированно определяем в частной модели угроз для каждой ИСПДн. От этого и пляшем.

Автор: monk1818 | 101726 14.09.2018 11:18
to WORM, а если не использовать банк угроз - откуда брать возможные угрозы? только описывать возможныиз модели 2008 года (по техническим каналам, НСД, акустика и т.д)?

Автор: WORM, MK | 101734 14.09.2018 12:33
Откуда брать? Тем же экспертным методом. Другого метода нет.

Автор: oko | 101753 14.09.2018 15:00
to monk1818
При смежном использовании БДУ и Методики2008 для ИСПДн (другую методику не утверждали, так что де юре только эта) вам совершенно не нужны потенциалы нарушителей. Потому что в Методике зависимости УБИ от нарушителя не выстроены. И актуальность в ней определяется иначе, чем это выражено в Методике-2015 и, как следствие, декларировано в БДУ...
Если же хотите развлечься и/или связать воедино все и вся, то копайте в направлении: "Угрозы НДВ по ПП РФ + классы СКЗИ под них + классы нарушителей под классы СКЗИ + пояснения в БДУ про "что есть потенциал нарушителя". Но это весьма скользкий пути...

Автор: monk1818 | 101754 14.09.2018 15:10
to oko, здравствуйте коллега, тогда возникает вопрос. открываю я БДУ и вижу там в описании каждой угрозы - потенциал нарушителя необходимый для этой угрозы. как мне понять что допустим что значит нарушитель с высоким потенциалом? я так понял что БДУ создавался под углом взора на проект 2015 года....и если им пользоваться, то надо ее брать во внимание (по мнению авторов БДУ видимо) но вот ее не утвердили....или этим БДУ вообще не пользоваться а использовать только угрозы описанные в документе 2008 года.....я поэтому и спрашиваю у Вас - опытных, как лучше поступить. Спасибо)

Автор: oko | 101813 15.09.2018 03:12
to monk1818
Дык, вопрос и в первый раз был понятен...
Ещё раз: по Методике2008 (читай, при моделировании УБИ для ИСПДн) потенциалы нарушителей (не БДУ вообще, а только потенциалы) не используются. Хотите использовать? скрещивайте их самостоятельно со всеми вытекающими последствиями. УБИ в 2008 актуализируются без оглядки на потенциал, возможности и, в целом, сценарии атак...

Кратко: УБИ можете брать и из Базовой модели, и из БДУ (ФСТЭК рекомендует). Считаете для них вероятности и опасности по принципу пол-палец-потолок, добавляете доп.факторы (если есть) = актуальность/неактуальность. Все остальное - с позиции М2008 самодеятельность...

Если не хотите бумагомарательства ради бумаги, то делаете свою методику из компиляции М2008 и М2015 + М2015 ФСБ + БДУ во всей красе + ГОСТы + доп.факторы и взгляд на сценарии атак. Получаете Франкенштейна, которым можно пользоваться, но будет крайне тяжко согласовать с регуляторами. Хотя для ИСПДн этого обычно и не требуется, ага...

Автор: monk1818 | 102102 19.09.2018 09:20
*В сторону немного*

уважаемые коллеги, про банк угроз все вроде стало более-менее ясно....) подскажите...я вот нигде не могу найти ответ на вопрос ( обоснованный) ....в ГИС допустим сказано что нужно пользоваться этим банком фстэка....а в обычной ИСПДн получается если я не буду им пользоваться то это карается?) ну в смысле я допустим при создании модели описал как возможные угрозы только угрозы из методики 2008....(хоть и устаревшие)....будет ли нарушением, если придет проверяющий и посмотрит, что в модели нет угроз из банка ФСТЭК ....с одной стороны документ устаревший и по логике вроде как нужно актуализировать угрозы (по банку ФСТЭК) а с другой....документ полностью соответствует методике 2008 года (вопрос об устаревании рассматриваемых в ней угроз - это другой вопрос).....просто нигде не написано что в обычной ИСПДн я должен использовать банк угроз ФСТЭК....либо я где то упустил....спасибо!)

Автор: malotavr | 102104 19.09.2018 11:19
А никого не должно интересовать, чему там соответствует или не соответствует ваша модель угроз :)

При аттестации теперь должен проводиться анализу уязвимостей. Система не должна получить аттестат соответствия, если в ней есть уязвимости, которыми может воспользоваться нарушитель. Методики анализа уязвимостей еще разрабатываются, но если коротко, то аттестатор должен исходить из своего представления об угрозах, а не из вашего. Если вы смогли закрыться от всех возможных угроз, аттестация прошла успешно, и претензий к вам нет. Если показали возможность реализации угроз, а такая угроза моделью не предусмотрена, то уже неважно, чему соответствует ваша модель - аттестат вы все равно получить не должны.

Так что наказывать вас будут за реальные косяки, а не за бессмысленные бумажки.

Так в теории. На практике аттестаторы, умеющие проводить тестирование на проникновение - это из области фантастики. ФСТЭК заявляет, что некомпетентных будет постепенно давить, но это, опять же, длительный процесс.

Автор: monk1818 | 102107 19.09.2018 11:54
to malotavr. как это не должно интересовать? есть четкое предписание, что модель угроз должна быть в соответствии с методикой ФСТЭКа от 2008 года ибо другой нет.

Автор: oko | 102127 19.09.2018 17:29
to malotavr
При всем уважении, но разные у нас с вами колокольни в этом вопросе по частностям. Как минимум про пен-тест, который далеко не так важен во многих случаях. Впрочем, с <...наказывать вас будут за реальные косяки, а не за бессмысленные бумажки...> полностью согласен...

to monk1818
В третий раз закинул он невод? (с)
Для "чистой" ИСПДн (без примесей, ага) берете Методику 2008 (за основу расчета показателей и оформления итоговой ЧМУ) + Базовую модель (для общего развития) + БДУ.ФСТЭК (за основу классификаторов УБИ). Объединяете, но не смотрите на "потенциал нарушителя", ибо он в Методику 2008 не вписывается никак. Считаете исходную защищенность ИС. Берете банк данных УБИ (тот же БДУ). Оцениваете по каждой УБИ принципиальную возможность ее реализации. Отсеиваете принципиально невозможные. Для остальных экспертным методом в соответствии с Методикой 2008 считаете Вероятность и Опасность реализации УБИ. Делаете выводы об актуальности...
Вместо БДУ можно использовать любой другой банк данных (хоть свой собственный, накопленный за годы работы). Но ФСТЭК настаивает на использовании именно БДУ - внезапно, ага...

ЗЫ Каждые полгода эта тема всплывает на моей памяти - учитесь уже читать внимательно ответы и парсить на их предмет форум...

Автор: monk1818 | 102129 19.09.2018 17:39
to oko.

Благодарю Вас за отклики! Ответ получен. по поводу парсинга и ответов....ну сами же понимаете, что у нас то, что было актуально и считалось за истину полгода назад - сегодня может быть огромной ошибкой...понимаю как устают многие отвечать на одно и то же...надеюсь когда - нибудь тоже стану трехглазым вороном в это сфере))

Автор: sekira | 102140 19.09.2018 22:26
"что некомпетентных будет постепенно давить"
А где критерии? И судьи кто...
Идее в эту тему 10 лет а воз поныне.

Автор: malotavr | 102148 20.09.2018 11:13
sekira,
это позиция Лютикова. Аттестаторы, которые умеют только оценивать соответствие бумагам, ФСТЭК не нужны. Других пока нет, но это не значит, что так оно и должно оставаться.

По поводу "воз и ныне там" - требование о проведении теста на проникновение при аттестации (сформулировано другими словами, но смысл тот же) появилось в 17 приказе только в прошлом году. Понятно, что за год мало кто перестроится, но через год-два за отсутствие опких тестов при внедрении начнут наказывать. По анализу уязвимостей методички тоже разрабатываются.

Автор: oko | 102173 20.09.2018 17:16
to malotavr
<это позиция Лютикова> - официальная? Метатрон, помнится, тоже был гласом божьим, да только где он теперь и чем все кончилось...
<По анализу уязвимостей методички тоже разрабатываются> - про виртуализацию, помнится, тоже так говорилось году в 2012...
<...появилось в 17 приказе только в прошлом году...> - главное, что до сих пор не ясно, в каких случаях де юре обязательно применять 17 Приказ, ага...
И кстати, <сформулировано другими словами, но смысл тот же> - это какой конкретно пункт? Imho, ничего в 17 Приказе по смыслу с пен-тестом согласующегося нет...

Автор: Dfg | 102196 21.09.2018 18:33
Вот Банк России в своё время нарисовал 10 угроз и хватит.
http://www.garant.ru/products/ipo/prime/doc/71259068/

Действительно, чего тонким слоем размазывать на пару сотен угроз. Эти угрозы каждый день появляются , можно и на тысячу раскатать. Издать 4хтомник "CyberВойна и CyberМир ЧМУ".

Автор: malotavr | 102218 22.09.2018 10:05
П. 17.2
"испытания системы защиты информации путем осуществления попыток несанкционированного доступа (воздействия) к информационной системе в обход ее системы защиты информации."

В первоначальном проекте изменений вместо этой формулировки было тестирование еа проникновение, но потом кто-то подсказал, что будет коллизия с ГОСТ 15408 - там "тестированием проникновения" названа верификация уязвимостей.

По виртуализации провели НИР, который показал, что нет там ничего, что требовало бы каких-то специальных функций безопасности.. Поэтому в 17 приказе блок ЗСВ дублирует требования других блоков, а в 239 его вообще нет

Автор: oko | 102219 22.09.2018 15:11
to malotavr
Если мне не изменяет память, то <испытания системы защиты информации путем осуществления попыток несанкционированного доступа...> присутствуют и в ГОСТ по аттестации, и в большинстве других документов ФСТЭК. Базис такого подхода при приемо-сдаче АС/ИС был заложен еще в СТР-К причем с аналогичными формулировками. Так что не аргумент, потому что ни рамок, ни сколько-нибудь конкретных примеров и методик до сих пор нет. Можно ограничиться тестированием собственного функционала СЗИ (на примере обычной СЗИ НСД уровня ОС: перебор паролей, попытка выхода за пределы ЗПС и проч. мелочевка). А пен-тест как бы глубже, комплекснее в моем понимании. И, зачастую, с объектом защиты напрямую не связан: атаки по побочным каналам и через транспортную/вторичную инфраструктуру как бы намекают. Что явно не учтено в приведенной выжимке из 17 Приказа, ага...
Про ЗСВ смешно. Положим, как защитить VMWare-инфраструктуру или, заранее извиняюсь за пошлость, Hyper-V, на текущий момент "условно понятно" (наше отечественное суперПО аля VGate или зарубежные встроенные механизмы, если без требований сертификации, ага). А что делать со встроенной средой виртуализации во многих UEFI? А с паравиртуализацией OpenVZ? А с Docker/Kubernetes, столь распространенными сегодня в web-ИС? И, самое наболевшее, что делать с сертиф.ОС, на базе которых разворачивается гипервизор? НИР они провели, грамотеи хреновы, доказали, $#@!!&^, что ничего специфического нет...

Автор: malotavr | 102298 25.09.2018 13:29
> Базис такого подхода при приемо-сдаче АС/ИС был заложен еще в СТР-К причем с аналогичными формулировками.

Справедливости ради, в СТР-К подобного быть не могло: "16.6. ... По результатам анализа уязвимостей должно быть подтверждено, что в информационной системе отсутствуют уязвимости, содержащиеся в банке данных угроз безопасности информации ФСТЭК России, а также в иных источниках, или их использование (эксплуатация) нарушителем невозможно."

А анализ уязвимостей, в соответствии с 17.2, это еще и составная часть аттестации.

> > Можно ограничиться тестированием собственного функционала СЗИ (на примере обычной СЗИ НСД уровня ОС: перебор паролей, попытка выхода за пределы ЗПС и проч. мелочевка). А пен-тест как бы глубже, комплекснее в моем понимании.

Разумеется, можно ограничить область проведения анализа, его вообще можно провести по принципу "ну не шмогла я, не шмогла". И можно даже ткнуть пальцем в конкретного разработчика, который на основе такого трюка заявляет, что его решение обеспечивает защиту от APT-атак.

Но это уже вопрос добросовестности аттестатора и наличия у ФСТЭК достаточного админресурса, чтобы аттестация перестала быть профанацией. Намерение такое есть.

Просмотров темы: 4408


Copyright © 2004-2019, ООО "ГРОТЕК"

Rambler's Top100 Rambler's Top100