VM
только те, которые могут привести к возникновению КИ
А зачем их пояснять, если уже кто-то их определил как "могут привести"?
Size: a a a
2019 October 23
S
И пояснять 200+ угроз по каждому критическому процессу его владельцу при категорировании?
не увидел где есть обязательство "пояснять угрозы" - есть критический процесс, если на него через реализацию угрозы может быть оказано воздействие, значит угроза актуальная
VM
Нет такого обязательства, есть комиссия и взаимодействие в её рамках между ибшником и например владельцем БП
S
в соотвествии с 239 приказом ФСТЭК России в качестве исходных данных для анализа угроз безопасности информации используется банк данных угроз безопасности информации, которую ведет ФСТЭК России, а также источники, содержащие иные сведения об уязвимостях и угрозах безопасности информации.
Модель угроз безопасности информации должна содержать краткое описание архитектуры значимого объекта, характеристику источников угроз безопасности информации, в том числе модель нарушителя, и описание всех угроз безопасности информации, актуальных для значимого объекта.
Описание каждой угрозы безопасности информации должно включать:
а) источник угрозы безопасности информации;
б) уязвимости (ошибки), которые могут быть использованы для реализации (способствовать возникновению) угрозы безопасности информации;
в) возможные способы (сценарии) реализации угрозы безопасности информации;
г) возможные последствия от реализации (возникновения) угрозы безопасности информации.
Для разработки модели угроз безопасности информации должны применяться методические документы, разработанные и утвержденные ФСТЭК России.
То есть в сухом остатке, в МУ угроз необходимо включать только актуальные угрозы, в качестве исходных данных использовать БДУ ФСТЭК
Модель угроз безопасности информации должна содержать краткое описание архитектуры значимого объекта, характеристику источников угроз безопасности информации, в том числе модель нарушителя, и описание всех угроз безопасности информации, актуальных для значимого объекта.
Описание каждой угрозы безопасности информации должно включать:
а) источник угрозы безопасности информации;
б) уязвимости (ошибки), которые могут быть использованы для реализации (способствовать возникновению) угрозы безопасности информации;
в) возможные способы (сценарии) реализации угрозы безопасности информации;
г) возможные последствия от реализации (возникновения) угрозы безопасности информации.
Для разработки модели угроз безопасности информации должны применяться методические документы, разработанные и утвержденные ФСТЭК России.
То есть в сухом остатке, в МУ угроз необходимо включать только актуальные угрозы, в качестве исходных данных использовать БДУ ФСТЭК
А что именно подразумевается под методическими документами ФСТЭК, которые должны применяться при разработке МУ с учетом использования БДУ?
S
А что именно подразумевается под методическими документами ФСТЭК, которые должны применяться при разработке МУ с учетом использования БДУ?
видимо те МД, которые регулятором еще не разработаны, ибо МД по КСИИ и ПДН - можно применять, но не обязаны
S
видимо те МД, которые регулятором еще не разработаны, ибо МД по КСИИ и ПДН - можно применять, но не обязаны
Не понял, что такое МД по КСИИ и ПДн, в плане разработки МУ. Если речь, в т.ч. о методики от 2008, то как её использовать с учетом БДУ.
S
Не понял, что такое МД по КСИИ и ПДн, в плане разработки МУ. Если речь, в т.ч. о методики от 2008, то как её использовать с учетом БДУ.
Да, это те самые методички. Их можно использовать больше для оценки актуальности угроз, расчета коэффициентов, а угрозы из БДУ добавить ибо иного пока не дано. Рано или поздно от ФСТЭК должны появится соотвествующие методички под 187-ФЗ, в том числе под 239 приказ.
S
Да, это те самые методички. Их можно использовать больше для оценки актуальности угроз, расчета коэффициентов, а угрозы из БДУ добавить ибо иного пока не дано. Рано или поздно от ФСТЭК должны появится соотвествующие методички под 187-ФЗ, в том числе под 239 приказ.
Т.е. МД по КСИИ пока ждем
os
Можно сделать свою методику с учетом особенностей АИС и учесть требования ПП1119, 378 приказа, 795 приказа, 239 приказа, 489 приказа, а также угрозы и уязвимости из БДУ ФСТЭК. Лютиков и Торбенко согласны на такой подход.
VM
oldman sysadmin
Можно сделать свою методику с учетом особенностей АИС и учесть требования ПП1119, 378 приказа, 795 приказа, 239 приказа, 489 приказа, а также угрозы и уязвимости из БДУ ФСТЭК. Лютиков и Торбенко согласны на такой подход.
Да, нормально работает технология.
PP
А 795 это про что?
VM
Т.е. МД по КСИИ пока ждем
КСИИ отменили. Нет их более. Только два дока не отменили из этой ветви законодательства. Как раз для КИИ
И
Добрый день!
Помогите, пожалуйста, определится.
У оператора связи (лицензии в сфере связи есть, деятельность в сфере связи есть) предоставляющего абонентам (физ. лица) доступ к сети интернет и кабельного телевидения.
1. Есть маршрутизатор который разрешает/запрещает доступ в интернет абонентам.
2. Есть сервер Астра (на нем формируется поток телевизионных каналов для абонентов)
2. Есть биллинговая система, которая управляет маршрутизатором (при положительном счете - включает абонента, при отрицательном - выключает)
Скажите, являются ли данные серверы объектами КИИ, и если являются то каждый из них это самостоятельный объект КИИ?
Или все таки это один объект КИИ (информационная система), в количестве 3 серверов и информационно-телекоммуникационной сети?
Я склоняюсь к тому, что каждый по отдельности.
Помогите, пожалуйста, определится.
У оператора связи (лицензии в сфере связи есть, деятельность в сфере связи есть) предоставляющего абонентам (физ. лица) доступ к сети интернет и кабельного телевидения.
1. Есть маршрутизатор который разрешает/запрещает доступ в интернет абонентам.
2. Есть сервер Астра (на нем формируется поток телевизионных каналов для абонентов)
2. Есть биллинговая система, которая управляет маршрутизатором (при положительном счете - включает абонента, при отрицательном - выключает)
Скажите, являются ли данные серверы объектами КИИ, и если являются то каждый из них это самостоятельный объект КИИ?
Или все таки это один объект КИИ (информационная система), в количестве 3 серверов и информационно-телекоммуникационной сети?
Я склоняюсь к тому, что каждый по отдельности.
А
Ильяс
Добрый день!
Помогите, пожалуйста, определится.
У оператора связи (лицензии в сфере связи есть, деятельность в сфере связи есть) предоставляющего абонентам (физ. лица) доступ к сети интернет и кабельного телевидения.
1. Есть маршрутизатор который разрешает/запрещает доступ в интернет абонентам.
2. Есть сервер Астра (на нем формируется поток телевизионных каналов для абонентов)
2. Есть биллинговая система, которая управляет маршрутизатором (при положительном счете - включает абонента, при отрицательном - выключает)
Скажите, являются ли данные серверы объектами КИИ, и если являются то каждый из них это самостоятельный объект КИИ?
Или все таки это один объект КИИ (информационная система), в количестве 3 серверов и информационно-телекоммуникационной сети?
Я склоняюсь к тому, что каждый по отдельности.
Помогите, пожалуйста, определится.
У оператора связи (лицензии в сфере связи есть, деятельность в сфере связи есть) предоставляющего абонентам (физ. лица) доступ к сети интернет и кабельного телевидения.
1. Есть маршрутизатор который разрешает/запрещает доступ в интернет абонентам.
2. Есть сервер Астра (на нем формируется поток телевизионных каналов для абонентов)
2. Есть биллинговая система, которая управляет маршрутизатором (при положительном счете - включает абонента, при отрицательном - выключает)
Скажите, являются ли данные серверы объектами КИИ, и если являются то каждый из них это самостоятельный объект КИИ?
Или все таки это один объект КИИ (информационная система), в количестве 3 серверов и информационно-телекоммуникационной сети?
Я склоняюсь к тому, что каждый по отдельности.
Объект - это ИС, ИТС или АСУ ТП. Определение дано в ст 2, п 7) 187-фз.
И
Билинг - АСУ ТП, т.к. управляет процессом (включает/выключает)
маршрутизатор и сервер Астра - ИС?
а сети созданные для взаимодействия их функционирования - ИТС?
маршрутизатор и сервер Астра - ИС?
а сети созданные для взаимодействия их функционирования - ИТС?
AV
при проведении категорирования Субъект КИИ помимо всего прочего рассматривает возможные действия нарушителей, анализирует угрозы БИ, которые могут привести к возникновению КИ. Затем включает сведения об угрозах и категориях нарушителей в "Сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий". Чтобы два раза не подходить к снаряду, я бы рекомендовал сразу делать МУ.
Модель нарушителя есть. МУ - нет. Полноценную модель угроз для каждого ОКИИ делать - лишняя трата ресурсов. Потому лучше ограничусь перечнем актуальных угроз.
V
Здесь приведены ссылки на все метреки по угрозам при категорировании. Посмотрите дитовскую, в ней есть примеры заполнения https://valerykomarov.blogspot.com/2019/09/blog-post_24.html
AV
И ещё, 235 приказ фстэк регламентирует требования к созданию систем безопасности значимых объектов кии. А есть ли подобные требования для незначимых окии?
V
В 187-фз нет никаких требований по обеспечению безопасности незначимых ОКИИ, так что и приказов не может быть, только об инцидентах сообщать, но это уже приказы фсб
DK
В 187-фз нет никаких требований по обеспечению безопасности незначимых ОКИИ, так что и приказов не может быть, только об инцидентах сообщать, но это уже приказы фсб
Не исключено, что они появятся