Сообщения

Сообщения за апрель, 2017

ИБ. НПА. Анализ уязвимостей ГИС

Изображение
Продолжаем рассматривать недавние изменения в приказ ФСТЭК России №17. В этот раз – анализ уязвимостей ГИС. Теперь анализ уязвимостей ГИС требуется проводить на 3 из 6 этапах жизненного цикла системы защиты ГИС: формирования требований, внедрения и аттестации. 1. На этапе анализа угроз безопасности информации ГИС, необходимо провести анализ возможных уязвимостей ИС, используя при этом БДУ ФСТЭК России, а также иные источники данных об уязвимостях в качестве исходных данных. В модель угроз нужно включить описание возможных уязвимостей ИС. Основное отличие от других этапов кроется в слове “возможных”. Не фактических, а именно возможных. А при наличие хорошей фантазии, у нас будет возможно всё. На сколько я понимаю, тут нужна некая классификация всех возможных уязвимостей и исключение неподходящих типов уязвимостей по определенным причинам (отсутствие объекта воздействия, определенные структурные характеристики, неиспользуемые ИТ).  Проблема в том, что в БДУ ФСТЭК в раз

ИБ. Почему старая методика угроз не подходит для моделирования угроз ГИС?

Изображение
Как вы, наверное, знаете, недавно в приказ ФСТЭК №17 “Требования о защите информации, не содержащей государственную тайну, содержащуюся в государственных информационных системах” были внесены неоднозначные изменения, по которым есть вопросы и проблемы с их применением.  Сегодня давайте обсудим одну из таких проблем:   теперь при моделировании угроз необходимо использовать “новую” БДУ ФСТЭК России, а новой методики моделирования угроз не предвидится.  Далее подробно … В соответствии с пунктом 14 приказа, обаятельным этапом формирования требований к защите информации в ГИС является: “ определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработку на их основе модели угроз безопасности информации;” По сути это две отдельных работы, требования к каждой из которых детализируются в пункте 14.3 приказа: I. Определение угроз “14.3. Угрозы безопасности информации определяются по ре