Тема: Перечень нарушителей для совмещенной модели угроз
Коллеги!
Есть ли необходимость осветить данный вопрос?
Клуб специалистов информационной безопасности
Клуб неформального общения специалистов в области информационной безопасности
Вы не вошли. Пожалуйста, войдите или зарегистрируйтесь.
Клуб специалистов информационной безопасности → Технические вопросы построения защиты ИСПДн → Перечень нарушителей для совмещенной модели угроз
Страницы 1
Чтобы отправить ответ, вы должны войти или зарегистрироваться
Коллеги!
Есть ли необходимость осветить данный вопрос?
а что, пусть тема будет. закрыть всегда успеете.
На банкире я давал описание нарушителя
внедренный агент входящий в число санкционированно допущенного персонала (инсайдер/секретоноситель).
Степень доверенности проверить не имею права на основании ТК и 152-ФЗ (сбор сведений о тайне личной жизни сотрудника, получение ПДн от третьих лиц, согласие на обработку ПДн, спецкатегории ПДн и т.д. и т.п.).
Данный нарушитель имеет высокую квалификацию и санкционированно предоставленные полномочия от пользователя до администратора (точное местоположение не определено).
Нарушитель может действовать как самостоятельно, так и в сговоре с другими лицами как внутри, так и вне периметра. Для связи с другими лицами может использовать как ТСПИ организации, так и личные средства коммуникации.В АСЗИ обрабатываются сведения конфиденциального характера (определенные 188 Указом)
1. На какой класс необходимо аттестовать данную АСЗИ? Стоимость внедрения для организации от 100 человек в арендуемых помещениях?
2. Какие пункты РД позволят обеспечить защиту от данного нарушителя?
3. Какова периодичность переаттестации если АСЗИ имеет подключение к ССОП?
Есть желающие попробовать ответить на вопросы?
Примечание: АСЗИ - автоматизированная система в защищенном исполнении
Оформите ваш запрос с учетом ссылок на нормативные документы ФСТЭК и присылайте-))
не забудьте учесть ОБИ КСИИ и модель нарушителя ФСБ, а также документы СВР.
Напомню, что согласно 149-ФЗ перечень конфиденциальной информации определяется ФЗ, а не указом президента.
внедренный агент входящий в число санкционированно допущенного персонала (инсайдер/секретоноситель).
Степень доверенности проверить не имею права на основании ТК и 152-ФЗ (сбор сведений о тайне личной жизни сотрудника, получение ПДн от третьих лиц, согласие на обработку ПДн, спецкатегории ПДн и т.д. и т.п.).
Данный нарушитель имеет высокую квалификацию и санкционированно предоставленные полномочия от пользователя до администратора (точное местоположение не определено).
Нарушитель может действовать как самостоятельно, так и в сговоре с другими лицами как внутри, так и вне периметра. Для связи с другими лицами может использовать как ТСПИ организации, так и личные средства коммуникации.В АСЗИ обрабатываются сведения конфиденциального характера (определенные 188 Указом)
1. На какой класс необходимо аттестовать данную АСЗИ? Стоимость внедрения для организации от 100 человек в арендуемых помещениях?
2. Какие пункты РД позволят обеспечить защиту от данного нарушителя?
3. Какова периодичность переаттестации если АСЗИ имеет подключение к ССОП?
Попробуем ответить об исходным ошибках:
1. Если мы не можем определить степень доверия - значит мы считаем, что любой сотрудник может украсть. Нам необходимо либо принять риск либо принять меры защиты.
Согласно принятой практики любой бизнес - это риск, который принимается либо данный бизнес даже не начинают.
2. Если мы считаем, что риск принять не можем, значит нам не следует нанимать людей, но данный вопросы не входит в компетенцию ИБ, это вопрос владельца бизнеса.
Если мы принимаем риск с принятием определенных действий, а именно разрешенных законом, то встает второй вопрос, почему внутреннего нарушителя мы не рассматриваем как нам рекомендуется документами ФСТЭК России и ФСБ России. Здесь я вижу искусственно поставленную проблему.
Оформите ваш запрос с учетом ссылок на нормативные документы ФСТЭК и присылайте-))
не забудьте учесть ОБИ КСИИ и модель нарушителя ФСБ, а также документы СВР.
Вот я и хотел бы "найти" эти ссылки по данной модели - банальная модель внутреннеего нарушителя ииз состава инсайдерова/секретносителей для коммерческой компании
Напомню, что согласно 149-ФЗ перечень конфиденциальной информации определяется ФЗ, а не указом президента.
По трехглавому закону к информации конфиденциального характера (ИКХ) относится и ГТ.
188 Указ не отменен и по нему к ИКХ ГТ не относится.
По существующим законодательным требованиям нет термина "конфиденциальная информация"
Попробуем ответить об исходным ошибках:
1. Если мы не можем определить степень доверия - значит мы считаем, что любой сотрудник может украсть. Нам необходимо либо принять риск либо принять меры защиты.
Риск критический т.ч. принять невозможно.
Предлагайте меры защиты. Желаетльно по "с учетом ссылок на нормативные документы ФСТЭК и присылайте-))
не забудьте учесть ОБИ КСИИ и модель нарушителя ФСБ, а также документы СВР"
Согласно принятой практики любой бизнес - это риск, который принимается либо данный бизнес даже не начинают.
Увы... Бизнес был начат до изменения "правил игры".
Вы предлагаете "свернуть бизнес" во всех коммерческих структурах РФ?!?
2. Если мы считаем, что риск принять не можем, значит нам не следует нанимать людей, но данный вопросы не входит в компетенцию ИБ, это вопрос владельца бизнеса.
<b>Первая критическая ошибка</b>
Этот вопрос входит в компетенцию ИБ.
Если мы принимаем риск с принятием определенных действий, а именно разрешенных законом, то встает второй вопрос, почему внутреннего нарушителя мы не рассматриваем как нам рекомендуется документами ФСТЭК России и ФСБ России. Здесь я вижу искусственно поставленную проблему.
В чем искусственность Вы видите? Как я написал выше это типовая модель внутреннего нарушителя для коммерческой компании и наиболее вероятный канал утечки информации конфиденциального характера.
to toparenko:
Почему не хотите рассмотреть нарушителя по документам регулятора? Вы ведь изначально отвергаете их классификацию. Да она не безупречна, хотя по сравнению с СТО-2004 учтен опыт реальных нарушений. Классификацию можно посмотреть на рисунке 3 Базовой модели угроз (классификация угроз НСД).
Насчет бизнеса - ведь игровые автоматы и казино свернули - тоже ведь не дали людям работать.
У меня все больше появляется ощущение, что больше всего про проблемы 152-ФЗ кричат те, кто не могут с ней справиться проверенными своими методами и даже не хотят развиваться.
Почему не хотите рассмотреть нарушителя по документам регулятора? Вы ведь изначально отвергаете их классификацию.
Не отвергаю, но не могу выполнить "Как правило, привилегированные пользователи информационной системы исключаются из числа потенциальных нарушителей" - т.к. это наиболее вероятный канал утечки информации.
Классификацию можно посмотреть на рисунке 3 Базовой модели угроз (классификация угроз НСД).
Рис. 4
"Обобщенная классификация ... аппаратуры перехвата речевой информации по ТКУИ" здесь не причем
Насчет бизнеса - ведь игровые автоматы и казино свернули - тоже ведь не дали людям работать.
Там хоть "резервации" выделили
У меня все больше появляется ощущение, что больше всего про проблемы 152-ФЗ кричат те, кто не могут с ней справиться проверенными своими методами и даже не хотят развиваться.
Это проходит при более внимательном изучении проблем создаваемых 152-ФЗ
Парламентарии и Минкомсвязи уже планируют изменять 152-ФЗ
Не отвергаю, но не могу выполнить "Как правило, привилегированные пользователи информационной системы исключаются из числа потенциальных нарушителей" - т.к. это наиболее вероятный канал утечки информации.
+1. Но защищаться от них ой как непросто. ;-(
Поэтому все и делают вид в отраслевых стандартах по защите ПД, что админы - "белые и пушистые" (ну или почти белые ;-)).
А вы почитайте, что пишут практики борьбы с инсайдерами в штатах - например, "Insider Threat: Protecting the Enterprise from Sabotage, Spying, and Theft" (можно найти в электронном виде). Там психология такого закрывания глаз на эту проблему очень хорошо описана...
я про рисунок 3 - классификация угроз НСД в Базовой модели угроз. не надо передергивать.
to toparenko:
Почему не хотите рассмотреть нарушителя по документам регулятора? Вы ведь изначально отвергаете их классификацию. Да она не безупречна, хотя по сравнению с СТО-2004 учтен опыт реальных нарушений. .
А Вы посмотрите http://www.fstec.ru/_licen/prik_proekt.doc - там целый раздел про доп. меры защиты при подключении к Интернет появился (понятно, что для защиты от специфических угроз в Интернет) и предлагаемые там меры выходят далеко за рамки того, что изначально было описано в требованиях к К1-К3. А почему? Да потому что модель нарушителя, предлагаемая регулятором, неадекватна. Сравните, например, требование парольной аутентификации даже в К1 и требование использовать усиленную аутентификацию при работе в Интернет в п.2.4 нового документа ;-)
я про рисунок 3 - классификация угроз НСД в Базовой модели угроз. не надо передергивать.
Понял
Я говорю про полную версию Базовой модели, а Вы про выписку, опубликованную в открытом доступе на сайте ФСТЭК.
Увы... В данном случае следует уточнять источник - в полной версии это рис.4, в выписке это рис.3.
Естественно ссылаюсь на открытый источник - тема ведь открытая. При указании закрытых документов ссылаемся на соотв. документы-)
Страницы 1
Чтобы отправить ответ, вы должны войти или зарегистрироваться
Клуб специалистов информационной безопасности → Технические вопросы построения защиты ИСПДн → Перечень нарушителей для совмещенной модели угроз
Currently installed 2 official extensions. Copyright © 2003–2009 PunBB.