Я уже писал про новый РД ФСТЭК по системам обнаружения вторжений. И вот вчера на сайте ФСТЭК было выложено информационное письмо об утверждении требований к системам обнаружения вторжений. Собственно, это письмо говорит тоже, что и моя заметка, являясь кратким введение в новый РД. Помимо письма ФСТЭК выложила и 6 профилей защиты, на базе которых должны создаваться IPS уровня сети и уровня узла. Т.к. IPS 1-3-го классов предназначены для защиты гостайны, то на сайте ФСТЭК выложены профили только для 4-6 классов для каждого из двух типов IPS (6-й класс NIPS, 5-й класс NIPS, 4-й класс NIPS, 6-й класс HIPS, 5-й класс HIPS и 4-й класс HIPS).
29 июля Gartner выпустил свой очередной отчет по технологиям
Forrester в конце прошлого года принял решение о том
Зашел у меня тут разговор с коллегами, которые работают
Тут в одном закрытом клубе по ИБ зашла речь о регуляторах
Помню, проходил я несколько лет назад стажировку в
Думаю, многие из вас если не знакомы с законом Гудхарта
Знаете, чем Gartner навредил рынку ИБ? Он приучил нас
Документы добавлены сегодня (27.03.2012).
Алексей, подскажите — Cisco IPS и AIP-SSM под какой класс защиты подойдут?
Я конечно не читал еще основного документа, но ЕСЛИ это надо делать при проектировании системы защиты для одного компа в бухгалтерии (который подключен к интернету для отчетности в ПФР и ФНС), то это супер мега жесть.
З.Ы. Зато гибко как! И идеологически (с точки зрения ИБ) правильно. Кто бы еще о бедных людях вспомнил.
В терминах ФСТЭК нельзя писать, что IPS узла — это HIPS. в общеприянятом понимании HIPS (Host-based Intrusion Prevention System) — это решение не использующее вирусную базу (сигнатуры) и не занимается детектированием ее элементов. Суть работы системы HIPS можно выразить кратко: «разрешенное действие — запрещенное действие».
А вот цитата из методики ФСТК для узла 4 класса: "возможность выполнять анализ собранных данных с целью обнаружения вторжений с использованием сигнатурного и эвристических методов;"
Андрей, ты не совсем прав. Эвристика — это и есть то, что ты описываешь. И сигнатуры для HIPS — это шаблоны, по которым определяются НСД
Сергей, мы сейчас обсуждаем с сертификационными лабораториями этот вопрос
Алексей, я думаю, — это ФСТК не совсем правы. Они разводят понятия эвристики и сигнатур: Методика для СОВ на уздле, п 5.1.1.6 "…должны выполнять анализ собранных данных с целью обнаружения вторжений с использованием сигнатурных методов, эвристических методов." Т.е. сигнатуры по их мнению — это не шаблоны поведения, как составная часть эвристики экспертного уровня.
Если принять допуск на корявые определения в документе, тогда можно сделать вывод, что они имели в виду именно HIPS.
2 Андрей Ерин:
База решающих правил — составная часть СОВ, содержащая информацию о вторжениях (сигнатуры), на основе которой СОВ принимает решение о наличии вторжения (атаки).
Вторжение (атака) – действие, целью которого является осуществление несанкционированного доступа к информационным ресурсам.
Определения из текста ПЗ. Так что сигнатура — что, про что Алексей написал.
Эх… Сначала радуешься, что наконец-то к 15408 перейти решили, потом читаешь и понимаешь, что рано радовался 🙂