Документ основан преимущественно на первой части отчета фокус-группы ITU по облачным вычислениям, посвященного именно терминологии. Собственно эта фокус-группа опубликовала 7 частей своего отчета, который включает различные интересные темы — преимущества облачных вычислений, архитектура и функциональные требования, безопасность (5-я часть) и др.
Второй разрабатываемый ГОСТ я также упоминал — «Уязвимости информационных систем. Классификация уязвимостей информационных систем». Пояснительная записка и первая редакция проекта стандарта размещена на портале Ростехрегулирования.
По обоим документам вы можете проявить активность и поучаствовать в обсуждении этих документов. Я не раз уже призывал перейти от критики к реальной работе и это одна из таких возможностей. Не упустите ее. Потом винить можно будет только себя ;-(
Обратим внимание на проект по классификации уязвимостей. Начнем с того, что классифицируются они в первую очередь по "по этапам жизненного цикла создания ИС" и предназначен он для "проектирования базы данных уязвимостей, которая будет использоваться отечественными средствами анализа защищенности (сканерами безопасности)"
Документ, сырой, много недочетов и вообще…
Но важно не это… Важно посмотреть кто же его делает и зачем!
Кто: ООО «ЦБИ»!!! только…
Зачем: под себя, под свой сканер безопасности?
Известное дело… кто хочет помочь коллегам ?
Еще нужно добавить, что это НИР вполне себе оплачиваемый государством?
В пояснительной записке сказано "В части уязвимостей в методических документах в настоящее вре-мя приведены только общие классы уязвимостей", и т.д.
Однако, предлагаемый документ тоже не пошёл дальше общих классов.
Пзабавило:
"5.2 Уязвимости ИС в соответствии с признаками классификации подразделяют на:
— группы;
— виды;
— типы."
А дальше вдруг:
"5.3 Класс 1 – уязвимости кода включает следующие группы:".
Предлагаемая классификация бесполезна. Не даёт внятных определений, подходов. Нужна такая классификация, которая позволит сказать, где критичная уязвимость, а где малозначная.
Отсылка к базовой модели угроз ПДн также не добавляет уважения к документу, потому что та модель угроз далеко не шедевр.
Про общие классы — эти же люди переводили и продолжают толкать общие критерии где про уязвимости таки что то есть.
"где критичная уязвимость, а где малозначная" — это можно определить только в "поле" для конкретной реализации АС/ИС.
Вообще уязвимость может иметь потэнциал, может не иметь реализации, зависит от целевой системы.
Вы тут будете лясы точить или авторам отпишитесь?
Этот комментарий был удален автором.
На портале ростехнадзора проблемы с регистрацией. Контактной информации в документах нет. Площадки для публичного обсуждения не наблюдается.
Пусть корячатся, раз взялись. Но уже видно, что концепция неудачная. Этакий акын — что вижу, то пою. Описывают не уязвимости, а какие бывают информационные технологии. От такой классификации для защиты информации никакой пользы.
Польза будет, если классифицировать с прицелом на защиту: этот класс закрывается экраном, этот класс закрывается шифрованием, этот класс закрывается модулем загрузки. И ничего страшного, если некоторые уязвимости окажутся в нескольких классах одновременно.
> Кто: ООО «ЦБИ»!!! только…
Справедливости ради — не только. Но собрать действительно представительный колектив разработчикам по ряду причин не удалось.
Документ получили все участники ТК-362, в том числе и мы. Отзыв готовлю. Если есть конкретные предложения (замечания к тексту не нужны, с ним итак все понятно), можете направлять мне.
Этот комментарий был удален автором.