Size: a a a

2018 October 18

Д

Дима Шахов in КИИ 187-ФЗ
Так вот если и строить SoC нужно четко понимать на какой тип нарушителя мы ориентируемся, потому что подходы совершенно разные, более того разные вычислительные мощности оборудования которые будут предоствращать атаки. Если мы говорим об атаках извне, то мы имеем чаще всего набор неких сервисов, на уявзимость которых и нужно контролировать объект и это не тоже самое что контролировать потоки информации внутри системы, ибо там сервисов и уязвимостей гораздо больше, к тому же там существенное значение имеют оргмероприятия
источник

DK

Dmitry Kuznetsov in КИИ 187-ФЗ
Дима Шахов
Это с чего это стало древностью? это действующие документы, и моделирования нарушителей и угроз в КИИ делать нужно будет именно по ним, иначе противоречия
Эта древность действовала вместе с двумя другими, ныне отмененными, документами по ПД. С тех пор уже и 58 приказ успели принять и отменить, и 21 приказ принять. Ее РАЗРЕШЕНО применять по решению оператора системы, но нигде не сказано, что ей НУЖНО руководствоваться. Но я бы не советовал ввиду ее неадекватности
источник

Д

Дима Шахов in КИИ 187-ФЗ
Dmitry Kuznetsov
Эта древность действовала вместе с двумя другими, ныне отмененными, документами по ПД. С тех пор уже и 58 приказ успели принять и отменить, и 21 приказ принять. Ее РАЗРЕШЕНО применять по решению оператора системы, но нигде не сказано, что ей НУЖНО руководствоваться. Но я бы не советовал ввиду ее неадекватности
17, 21 и 31 приказы абсолютно адекватны. В совокупност с методичкой по мерам защиты в ГИС. Кроме того есть требования по аттестации а 17 приказе, а в 239 нет.
источник

DK

Dmitry Kuznetsov in КИИ 187-ФЗ
Дима Шахов
17, 21 и 31 приказы абсолютно адекватны. В совокупност с методичкой по мерам защиты в ГИС. Кроме того есть требования по аттестации а 17 приказе, а в 239 нет.
И где в упомянутых четырех документах говорится про невозможность атаки со стороны самостоятельного внутреннего нарушителя? :)
источник

Д

Дима Шахов in КИИ 187-ФЗ
Dmitry Kuznetsov
И где в упомянутых четырех документах говорится про невозможность атаки со стороны самостоятельного внутреннего нарушителя? :)
Говорится как раз.. я  ктому что внешний и внутренний нарушитель, суть разные вещи и возможности. И методы защиты разные. Госсопка вот против какого вида нарушителя направлена?
источник

И

Иван in КИИ 187-ФЗ
Дима Шахов
Говорится как раз.. я  ктому что внешний и внутренний нарушитель, суть разные вещи и возможности. И методы защиты разные. Госсопка вот против какого вида нарушителя направлена?
Это не важно. Сам факт нарушения. Как внутренний так и внешний. Угроза.
источник

DK

Dmitry Kuznetsov in КИИ 187-ФЗ
Дима Шахов
Говорится как раз.. я  ктому что внешний и внутренний нарушитель, суть разные вещи и возможности. И методы защиты разные. Госсопка вот против какого вида нарушителя направлена?
Она направлена против компьютерных атак со стороны любого нарушителя. Вы можете с этим не соглашаться, но это просто факт.

Просто вы так уверенно написали, что это написано в документах про КИИ, что я на минутку малодушно усомнился в своей памяти :)
источник

Д

Дима Шахов in КИИ 187-ФЗ
Иван
Это не важно. Сам факт нарушения. Как внутренний так и внешний. Угроза.
Это очень важно... потому что внешний нарушитель это 5-6 опубликованных серивсов присущих конркетному процессу и именно их и нужно контролировать. В ы IDS если поставите перед МЭ, получите 1000 атак в день, причем на сервисы которых у вас и нет в системе, а если в периметре после МЭ, то получите уже адекватную картину. Отсюда вопрос в Госсопку вы что будете передавать? весь мусорный трафик инета?
источник

Д

Дима Шахов in КИИ 187-ФЗ
В общем я к тому, что отправная точка в кии - это атака и её сценарий, на совершенно конкретном объекте
источник

DK

Dmitry Kuznetsov in КИИ 187-ФЗ
Дима Шахов
Это очень важно... потому что внешний нарушитель это 5-6 опубликованных серивсов присущих конркетному процессу и именно их и нужно контролировать. В ы IDS если поставите перед МЭ, получите 1000 атак в день, причем на сервисы которых у вас и нет в системе, а если в периметре после МЭ, то получите уже адекватную картину. Отсюда вопрос в Госсопку вы что будете передавать? весь мусорный трафик инета?
В ГосСОПКА передается информация об инциденте, включая ту техническую информацию, которая относится к инциденту. Это может быть информация о срабатывании сигнатур IDS, это может быть сэмпл трафика, это может быть выгрузка событий из SIEM. Что именно передавать, решает субъект КИИ или обсдуживающий его центр ГосСОПКА.
источник

И

Иван in КИИ 187-ФЗ
Дима Шахов
Это очень важно... потому что внешний нарушитель это 5-6 опубликованных серивсов присущих конркетному процессу и именно их и нужно контролировать. В ы IDS если поставите перед МЭ, получите 1000 атак в день, причем на сервисы которых у вас и нет в системе, а если в периметре после МЭ, то получите уже адекватную картину. Отсюда вопрос в Госсопку вы что будете передавать? весь мусорный трафик инета?
Я как раз и говорю, что отправлять ВСЕ не совсем корректно. Надо иметь фильтрацию тех инцидентов, которые происходят на объектах субъекта. И, рас субъект произвел оценку по критериям опираясь не на то, что может быть у кого-то, возникни инцедент подобного характера, а опираясь именно на то, как этот инцидент повлияет конкретно на субъект. То что у субъекта, это не критично, может быть критично для кого-то, это да. Но тогда этот кто-то должен предусмотреть этот вариант развития именно на своих объектах.
источник

AP

Alexander Petrovich in КИИ 187-ФЗ
Коллеги, а с точки зрения ФЗ какое будет самое полное и точное определение понятия ГИС, в рамках процесса категорирования ? От этого понимания зависит будет ли наша МО отнесена к соответствующему списку со всеми вытекающими последствиями либо нет.
Спасибо.
источник

И

Иван in КИИ 187-ФЗ
Dmitry Kuznetsov
В ГосСОПКА передается информация об инциденте, включая ту техническую информацию, которая относится к инциденту. Это может быть информация о срабатывании сигнатур IDS, это может быть сэмпл трафика, это может быть выгрузка событий из SIEM. Что именно передавать, решает субъект КИИ или обсдуживающий его центр ГосСОПКА.
Вот главное или субъект или центр. Главнее центр. Тогда в этом случае мнение субъекта не нужно. Так получается?!
источник

Д

Дима Шахов in КИИ 187-ФЗ
Dmitry Kuznetsov
В ГосСОПКА передается информация об инциденте, включая ту техническую информацию, которая относится к инциденту. Это может быть информация о срабатывании сигнатур IDS, это может быть сэмпл трафика, это может быть выгрузка событий из SIEM. Что именно передавать, решает субъект КИИ или обсдуживающий его центр ГосСОПКА.
Это в пересчете на деньги нереально дорого, передавать информацию просто об инциденте, потму что от архитектры ИС зависят ложно-положительные срабатывания и если внешний нарушитель это 5-6 сервисов, то внутреннний это 20, это разные сигнатурные базы, разное оборудование
источник

VV

Vladimir V. in КИИ 187-ФЗ
Дорого - это не забота регулятора
источник

Д

Дима Шахов in КИИ 187-ФЗ
Vladimir V.
Дорого - это не забота регулятора
Но это забота проф.сообщества
источник

И

Иван in КИИ 187-ФЗ
Дима Шахов
Это в пересчете на деньги нереально дорого, передавать информацию просто об инциденте, потму что от архитектры ИС зависят ложно-положительные срабатывания и если внешний нарушитель это 5-6 сервисов, то внутреннний это 20, это разные сигнатурные базы, разное оборудование
То что передавать нужно информацию как о внешних так и о внутренних инцидентах - тут спору нет. Нужно. "ложно-положительные" - это нужно уметь фильтровать. Я об этом  и говорю.
источник

VV

Vladimir V. in КИИ 187-ФЗ
Дима Шахов
Но это забота проф.сообщества
И? Мнение сообщества окажет на них хоть малейшее влияние?
источник

Д

Дима Шахов in КИИ 187-ФЗ
Vladimir V.
И? Мнение сообщества окажет на них хоть малейшее влияние?
Уверен, что да. От подхода зависит. Потому что невыполнимая задача=необязательная задача. Для многих владельцев КИИ, нереально при существующей архитектуре ИС реализовать все требования регулятора
источник

DK

Dmitry Kuznetsov in КИИ 187-ФЗ
Иван
Вот главное или субъект или центр. Главнее центр. Тогда в этом случае мнение субъекта не нужно. Так получается?!
1. Не "главнее", а "компетентнее" :) По методическим рекомендациям центр ГосСОПКа, сталкиваясь с инцидентами у своих подопечных, должен со временем выделять типовые, повторяющиеся инциденты и для них делать типовые сценарии реагирования. Типовой сценарий реагирования включает в себя и то, какую информацию нужно включать в карточку инцидента.

Если инциент вызван вирусной атакой, то берется образец вируса и, может быть, вердикты антиввирусных средств, его детекстящих. Если DDoS, то сэмпл трафика - но не весь трафик, а только "атакующие" сессии, чтобы можно было идентифицировать IP-адреса атакующих узлов.

Но это - обязаность центра ГосСОПКА. Если центр ГосСОПКА еще не сталкивался с подобными инцидентами и не знает, какая информация будет полезной, или если это делает сам субъект (который имеет полное право быть совершенно некомпетентным в вопросах реагирования на атаки), то сообщается только основная информация об инциденте.

2. И опять же, тут путаница понятий "атака"  и "инцидент". Центр ГосСОПКА может (или обязан, если того требует соглашение с НКЦКИ) информировать ФСБ и об атаках тоже. Не обо всех атаках, но об атаках, несущих, по мнению центра, реальную угрозу.

Субъект КИИ не обязан уметь разбираться в сортах... В атаказю Все, что от него требуется - столкнулся с инцидентам (т.е. когда нарушена работа защирщаемой системы) - сообщи. Об атаках он сообющать не обязан вообще.
источник