Единообразие и/или безобразие?

   Отсутствие единой терминологии в области защиты информации - давно наболевшая проблема. Появление нового ГОСТ "Защита информации. Обнаружение, предупреждение и ликвидация последствий компьютерных атак и реагирование на компьютерные инциденты. Термины и определения"  можно только приветствовать. Но решает ли он вышеупомянутую проблему? Нет, не решает.

   Начнем традиционно,с пояснительной записки:

 В самом проекте ГОСТ они также упоминаются. Авторы утверждают, что использовали 187-ФЗ как источник информации. Но как то вольно они это сделали.

187-ФЗ	ГОСТ
критическая информационная инфраструктура - объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов	критическая информационная инфраструктура; КИИ: Объекты КИИ, а также сети связи, используемые для организации взаимодействия таких объектов
Категорирование объекта критической информационной инфраструктуры представляет собой установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения	категорирование объекта критической информационной инфраструктуры; категорирование объекта КИИ : Комплекс мероприятий, проводимых ФСТЭК России и субъектом КИИ, по определению категории значимости принадлежащего данному субъекту КИИ на праве собственности, аренды или ином законном основании объекта КИИ, который обрабатывает информацию, необходимую для обеспечения выполнения критических процессов, и (или) осуществляет управление, контроль или мониторинг критических процессов.
компьютерная атака - целенаправленное воздействие программных и (или) программно-аппаратных средств на объекты критической информационной инфраструктуры, сети электросвязи, используемые для организации взаимодействия таких объектов, в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности обрабатываемой такими объектами информации	компьютерная атака: Целенаправленное несанкционированное сетевое компьютерное воздействие (или их последовательность) на информационный ресурс, осуществляемое нарушителем с применением программных и (или) программно-аппаратных средств и информационных технологий в целях реализации попыток нарушения и (или) прекращения функционирования информационного ресурса или реализации угрозы безопасности информации, обрабатываемой таким ресурсом.
К силам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, относятся: 1) подразделения и должностные лица федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации; 2) организация, создаваемая федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, для обеспечения координации деятельности субъектов критической информационной инфраструктуры по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты (далее - национальный координационный центр по компьютерным инцидентам); 3) подразделения и должностные лица субъектов критической информационной инфраструктуры, которые принимают участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак и в реагировании на компьютерные инциденты.	силы государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации; силы ГосСОПКА:  Национальный координационный центр по компьютерным инцидентам (НКЦКИ), центры ГосСОПКА  и другие подразделения и должностные лица субъектов ГосСОПКА, которые принимают участие в обнаружении компьютерных атак, предупреждении компьютерных атак, ликвидации последствий компьютерных атак и реагировании на компьютерные инциденты.
под информационными ресурсами Российской Федерации понимаются информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления, находящиеся на территории Российской Федерации, в дипломатических представительствах и (или) консульских учреждениях Российской Федерации.	информационные ресурсы Российской Федерации: Информационные ресурсы, находящиеся на территории Российской Федерации, в дипломатических представительствах и (или) консульских учреждениях Российской Федерации. информационный ресурс: Информационный актив и используемая для его обработки ИИ

  Сети связи это совсем не только сети электросвязи. Определение дает 126-ФЗ "О связи":
сеть связи - технологическая система, включающая в себя средства и линии связи и предназначенная для электросвязи или почтовой связи. Авторы ГОСТ включили в КИИ РФ "сеть почтовой связи", которой нет в 187-ФЗ.
"Сеть почтовой связи представляет собой совокупность объектов почтовой связи и почтовых маршрутов операторов почтовой связи, обеспечивающих прием, обработку, перевозку (передачу), доставку (вручение) почтовых отправлений, а также осуществление почтовых переводов денежных средств". И вообще почтовая связь регулируется отдельным 176-ФЗ.
  Так компьютерная атака должна быть сетевой или нет? Для субъектов КИИ разница существенная.
  Если посмотреть определения типов и техник проведения компьютерных атак, то они четко проводятся исключительно внешним нарушителем. Проект ГОСТ представлен ФСТЭК и ФСТЭК же очень отрицательно относиться к попыткам субъектов КИИ обосновать невозможность проведения компьютерных атак в силу автономной работы своих ОКИИ и их недоступность для внешнего нарушителя.
    С ГосСОПКА получается "зоопарк", если не внести изменения в 187-ФЗ. Для субъектов КИИ самая главная опасность - подразделения субъекта КИИ, ответственные за реагирование на КА, по ГОСТ получают статус центров ГосСОПКА. Что повлечет необходимость выполнения всех требований ФСБ к уровню оснащения и квалификации.
   Замечу, что ГОСТ предусматривает исключительно автоматизированную обработку КИ и событий ИБ. Никаких бумажных журналов, только электронные записи. Останется только информирование с подключением к технической инфраструктуре НКЦКИ.
    Такое ощущение, что работы по написанию различных документов в ФСТЭК  и ТК 362 не синхронизированы. Проект ГОСТ и проект методики моделирования угроз задает разные определения для одних и тех же терминов.Причем различаются даже на уровне концепции: в методике "потенциал нарушителя" относится к "возможностям нарушителя", а в ГОСТ это "затраченные усилия нарушителя ".
   Вывод: единообразный подход к использованию терминов не обеспечивается.
Обсуждать сами определения терминов ГОСТ в формате заметки блога не реальная задача. Проект ГОСТ очень "сырой", над ним еще работать и работать.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite