связи общего пользования. Модель угроз и нарушителя информационной безопасности сетей и систем связи» и планируемый ГОСТ Р «Система обеспечения информационной безопасности сети связи общего пользования. Методика оценки вероятности риска
причинения ущерба сетям и системам связи»
Первый стандарт разрабатывается уже давно — чуть ли не семь лет. Его инициаторами стали Транстелеком и ЦНИИС, а потом к ним присоединился и МТС. Стандарт достаточно интересен, т.к. впервые подводит некоторую базу под создание модели угроз, от которой затем будут «танцевать» требования по защите. На заседании ТК362, которое прошло в пятницу в Воронеже, стандарт представлял один из его разработчиков — Дмитрий Соболев. Он вышел с инициативой о переносе даты окончания разработки с 2011-го на 2012-й год и все бы ничего, если бы с комментариями не вышел представитель 8-го управления ФСБ.
Представитель ФСБ резко раскритиковал стандарт. Среди замечаний я отметил бы несколько. Во-первых, по мнению ФСБ в стандарте не учтены многие объекты/субъекты — облака, террористы, хулиганы и т.д. Во-вторых, модель воздействия, являющаяся частью модели угроз, по мнению ФСБ, позволяет сделать потенциальному нарушителю далеко идущие выводы, а следовательно она должна быть грифованной. В выступлении Мурашова Н.Н. из ФСБ вообще прозвучала идея, что эта информация относится к гостайне. Затем была высказана идея, что операторы связи у нас обрабатывают данные спецпотребителей, а следовательно предлагаемый ГОСТ вообще не должен быть публичным ГОСТом. А также что его надо сделать межведомственным документом и согласовать между ФСБ, Минкомсвязи, ФСО, Минобороны и рядом других ведомств. На веское замечание из зала и от авторов, что стандарт рассчитан не на спецпотребителей, а на операторов связи, работающих с обычными гражданами, Мурашов заявил, что среди основных задач ФСБ числится защита граждан от различных угроз и поэтому наших соотечественников надо защитить от тлетворного влияния Запада, которое проявляется в том, что 98% всего Интернет-трафика проходит через несколько ключевых серверов в Рунете, производителями которых являются иностранные компании (знакомо, не так ли). А раз так, то надо обязать операторов связи жить по такой модели угроз, чтобы иностранным спецслужбам и террористам было неповадно изучать сколько времени сидит в «ВКонтакте» школьница Маша, и на каких игровых сайтах просиживает студент Илья. Вообще, мне операторов связи жаль. Невесло им становится жить в последнее время.
ЗЫ. Вообще ФСБ явно перегибает палку со своим подходом к модели нарушителя/угроз. Недавно узнал от коллеги из госоргана, что на их публичный сайт ФСБ пытается натянуть модель нарушителя Н5. На публичный сайт!!! Для тех, кто не в теме, Н5 — это когда в качестве нарушителя рассматривается лицо, которое имеет возможность привлекать различные научно-исследовательские институты для изучения возможности проведения атак (чуть больше про модели нарушителя ФСБ тут). Т.е. это уровень государства или очень крупного монополиста в какой-либо области (уровня Газпрома). Зачем такая модель нарушителя для публичного сайта, не понимаю.
ЗЗЫ. Кто внимательно читал мой вчерашний пост, тот обратил внимание на то, что на 2012 год у Росстандарта запланирована гармонизация ГОСТ Р ИСО/МЭК 15408-1 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий» Часть. 1. Введение и общая модель». Однако напомню, что СоДИТ в прошлом году уже сделал перевод этого стандарта на русский язык. Нестыковка какая-то…
Н5 не так страшен. Надо доказать что нет прохода во внутреннюю сеть. А с госорганом бороться госорган вполне может 🙂 А со стандартами да, плохо. Просто переводов мало
"среди основных задач ФСБ числится защита граждан от различных угроз и поэтому наших соотечественников надо защитить от тлетворного влияния Запада"
Занавес. Я бы аплодировал стоя.
Особенно принимая во внимание предстоящие поправки в закон о противодействии терроризму, по которому граждане будут вынуждены от него сами и защищаться…
Нда.
так вроде "звериный оскал империализма" и его чада неизбывного (терроризм) никто не отменял 🙂
Так железный занавес подняли и фитиль холодной войны задули
от того, что мы стали частью системы, сама система не изменилась. "У Британии нет друзей. У Британии есть только собственные интересы"
От перевода до гармонизации — тонны переписки и месяцы официальных согласований текста, не обязательно аутентичного
"Недавно узнал от коллеги из госоргана, что на их публичный сайт ФСБ пытается натянуть модель нарушителя Н5"
а какие это Н5?
"это уровень государства или очень крупного монополиста в какой-либо области (уровня Газпрома)"
Н5 — ОПГ, а государство — Н6.
Газпром — нарушитель? )))
"Зачем такая модель нарушителя для публичного сайта, не понимаю"
Какая такая? Фишка Н5 в том, что следует из этого положения, а в современных условиях спорить с ними поменьшей мере странно.
Также можно не учитывать угрозы, которые в зависимости от конкретных условий.
Какая ОПГ? ОПГ в состоянии привлечь НИИ в области криптографии?
например, не сможет заказать работу по оценке уязвимости ПО с которым взаимодействует криптография?