Страницы

вторник, 25 августа 2020 г.

Единообразие и/или безобразие?


   Отсутствие единой терминологии в области защиты информации - давно наболевшая проблема. Появление нового ГОСТ "Защита информации. Обнаружение, предупреждение и ликвидация последствий компьютерных атак и реагирование на компьютерные инциденты. Термины и определения"  можно только приветствовать. Но решает ли он вышеупомянутую проблему? Нет, не решает.

   Начнем традиционно,с пояснительной записки:

 В самом проекте ГОСТ они также упоминаются. Авторы утверждают, что использовали 187-ФЗ как источник информации. Но как то вольно они это сделали.
187-ФЗ
ГОСТ
критическая информационная инфраструктура - объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов
критическая информационная инфраструктура; КИИ: Объекты КИИ, а также сети связи, используемые для организации взаимодействия таких объектов
Категорирование объекта критической информационной инфраструктуры представляет собой установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения
категорирование объекта критической информационной инфраструктуры; категорирование объекта КИИ : Комплекс мероприятий, проводимых ФСТЭК России и субъектом КИИ, по определению категории значимости принадлежащего данному субъекту КИИ на праве собственности, аренды или ином законном основании объекта КИИ, который обрабатывает информацию, необходимую для обеспечения выполнения критических процессов, и (или) осуществляет управление, контроль или мониторинг критических процессов.
компьютерная атака - целенаправленное воздействие программных и (или) программно-аппаратных средств на объекты критической информационной инфраструктуры, сети электросвязи, используемые для организации взаимодействия таких объектов, в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности обрабатываемой такими объектами информации
компьютерная атака: Целенаправленное несанкционированное сетевое компьютерное воздействие (или их последовательность) на информационный ресурс, осуществляемое нарушителем с применением программных и (или) программно-аппаратных средств и информационных технологий в целях реализации попыток нарушения и (или) прекращения функционирования информационного ресурса или реализации угрозы безопасности информации, обрабатываемой таким ресурсом.
К силам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, относятся:
1) подразделения и должностные лица федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;
2) организация, создаваемая федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, для обеспечения координации деятельности субъектов критической информационной инфраструктуры по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты (далее - национальный координационный центр по компьютерным инцидентам);
3) подразделения и должностные лица субъектов критической информационной инфраструктуры, которые принимают участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак и в реагировании на компьютерные инциденты.
силы государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации; силы ГосСОПКА:  Национальный координационный центр по компьютерным инцидентам (НКЦКИ), центры ГосСОПКА  и другие подразделения и должностные лица субъектов ГосСОПКА, которые принимают участие в обнаружении компьютерных атак, предупреждении компьютерных атак, ликвидации последствий компьютерных атак и реагировании на компьютерные инциденты.
под информационными ресурсами Российской Федерации понимаются информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления, находящиеся на территории Российской Федерации, в дипломатических представительствах и (или) консульских учреждениях Российской Федерации.
информационные ресурсы Российской Федерации: Информационные ресурсы, находящиеся на территории Российской Федерации, в дипломатических представительствах и (или) консульских учреждениях Российской Федерации.
информационный ресурс: Информационный актив и используемая для его обработки ИИ

  Сети связи это совсем не только сети электросвязи. Определение дает 126-ФЗ "О связи":
сеть связи - технологическая система, включающая в себя средства и линии связи и предназначенная для электросвязи или почтовой связи. Авторы ГОСТ включили в КИИ РФ "сеть почтовой связи", которой нет в 187-ФЗ.
"Сеть почтовой связи представляет собой совокупность объектов почтовой связи и почтовых маршрутов операторов почтовой связи, обеспечивающих прием, обработку, перевозку (передачу), доставку (вручение) почтовых отправлений, а также осуществление почтовых переводов денежных средств". И вообще почтовая связь регулируется отдельным 176-ФЗ.
  Так компьютерная атака должна быть сетевой или нет? Для субъектов КИИ разница существенная.
  Если посмотреть определения типов и техник проведения компьютерных атак, то они четко проводятся исключительно внешним нарушителем. Проект ГОСТ представлен ФСТЭК и ФСТЭК же очень отрицательно относиться к попыткам субъектов КИИ обосновать невозможность проведения компьютерных атак в силу автономной работы своих ОКИИ и их недоступность для внешнего нарушителя.
    С ГосСОПКА получается "зоопарк", если не внести изменения в 187-ФЗ. Для субъектов КИИ самая главная опасность - подразделения субъекта КИИ, ответственные за реагирование на КА, по ГОСТ получают статус центров ГосСОПКА. Что повлечет необходимость выполнения всех требований ФСБ к уровню оснащения и квалификации.
   Замечу, что ГОСТ предусматривает исключительно автоматизированную обработку КИ и событий ИБ. Никаких бумажных журналов, только электронные записи. Останется только информирование с подключением к технической инфраструктуре НКЦКИ.
    Такое ощущение, что работы по написанию различных документов в ФСТЭК  и ТК 362 не синхронизированы. Проект ГОСТ и проект методики моделирования угроз задает разные определения для одних и тех же терминов.Причем различаются даже на уровне концепции: в методике "потенциал нарушителя" относится к "возможностям нарушителя", а в ГОСТ это "затраченные усилия нарушителя ".
   Вывод: единообразный подход к использованию терминов не обеспечивается.
Обсуждать сами определения терминов ГОСТ в формате заметки блога не реальная задача. Проект ГОСТ очень "сырой", над ним еще работать и работать.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite

9 комментариев:

  1. А вот определение категорирования в ГОСТе мне больше понравилось.

    ОтветитьУдалить
  2. Взято из пп127 и представляет яркий пример как не надо давать определения терминов. Очень многословное, сложноподчиненное определение с нечеткими формулировками. В законе дано лаконично и чёткое определение, кратко и по делу.

    ОтветитьУдалить
  3. Но самое интересное в другом, а зачем оно вообще в ГОСТ? какое отношение имеет категорирование ОКИИ к реагированию на КА?

    ОтветитьУдалить
  4. В 187-ФЗ оно слишком лаконичное, что оставляет поле для споров.
    Согласен, что при заявленной тематике ГОСТа наличие данного определения там излишне. Однако приведённая в ГОСТе редакция (не помню, что в ПП-127 есть определение категорирования) позволяет категорировать не все объекты без разбора. Хорошо это или плохо, не знаю. Но видно, что составители ГОСТа, на мой взгляд, подразумевали наличие недосказанностей в определении из 187-ФЗ и хотели как-то это поправить, придав больше конкретики. Вот только проблема в том, что это надо делать не через ГОСТ, а через ФЗ.
    Другой момент, который сохраняется в обоих редакциях - участие в категорировании ФСТЭК. По моему мнению, регулятора не надо подключать к категориованию, т.е. проверку результатов категорирования необходимо вынести из процесса категориования на отдельный этап, не входящий непосредственно в само категорирование.

    ОтветитьУдалить
  5. Авторы ГОСТ деликатно обозначили это в тексте, как "адаптирован из п. 5 пп127"

    ОтветитьУдалить
  6. Если отбросить весь туман слов, то категорирование - это определение категории значимости. Кто бы мог подумать то. Отличное определение.

    ОтветитьУдалить
  7. Жаль лайков нет :...) за такую иронию лайкнул бы несколько раз )

    ОтветитьУдалить
  8. И еще. По указанной ссылке не могу перейти на ГОСТ. Открыв раздел публикации этих проектов - этого ГОСТа там не обнаружил. Переместили или убрали?

    ОтветитьУдалить
    Ответы
    1. https://fstec.ru/tk-362/deyatelnost-tk362/306-plany/2161-plan-na-2021-god
      он на доработке

      Удалить