NY
Указывайте что сотрудники проходят жёсткий отбор, уведомлены о последствиях противоправных действий, заключено соглашение о неразглашении , штрафы 700 тыр. И т.д.
Size: a a a
2020 February 19
ВА
прописать в модели нарушителя что доступ к СВТ только в личном присутствии сотрудников, ответственных за эксплуатацию СКЗИ.
B
Собственно говоря да. Или это прямое указание на необходимость его использования? В том же документах требование к КС2 несоклько другое, хотя по сути, по-моему, такое же, только несколько шире: "проведение атаки при нахождении в пределах контролируемой зоны"
КС2 - это угроза со стороны лиц, не имеющих физ доступа. Обслуживающий персонал, выполняющий работы и допущенный в помещения СКЗИ только под присмотром отвественных
B
А если у вас в модели нарушителя пользователи или более того, админы признаны потенциальными нарушителями, то это КС3 и выше
l
В МН админ актуален, говорю же, иначе просто фстэк не пропускает. Средний уровень внутреннего нарушителя должен рассматриваться.... Но во многих гис, к которым нужно подключение с помощью Випнета, идет класс кс2 сетки... как то это все не стыкуется.. у меня в голове по крайней мере 🙃🙊
ВА
Точно могу за госов сказать от админов они уходят в МН. Пишут неактуально.
A
А этот админ именно криптосредство администрирует? Потому что это бред получается - накакой КА не защитит, если админ нарушитель. Если крипту администрирует админ безопасности какой-нибудь, а тот админ, что нарушитель может в серверную ходить - то это тянет на КС2. А если админ-нарушитель ходит и на крипту (но доступа к ключам/настройкам у него нет), а есть только мониторинг+траблшутинг - то это КС3.
Примерно так.
Примерно так.
B
В МН админ актуален, говорю же, иначе просто фстэк не пропускает. Средний уровень внутреннего нарушителя должен рассматриваться.... Но во многих гис, к которым нужно подключение с помощью Випнета, идет класс кс2 сетки... как то это все не стыкуется.. у меня в голове по крайней мере 🙃🙊
В этом случае можно рассмотреть вариант сегментирования системы и определения нарушителя по сегментам. Центральный сегмент, где аппаратные СКЗИ - там может быть, допустим, с КС3. В Пользовательских сегментах (удаленные АРМы) можно попытаться убрать админа из нарушителей (т.к. его там нет, не его зона ответственности и так далее)
B
Ну и помнить, что даже КС2 на АРМ это значит АПМДЗ
l
Точно могу за госов сказать от админов они уходят в МН. Пишут неактуально.
в каком году? мне в прошлом году прямым текстом сказали: признаете неактуальным - не согласуем.
АС
в каком году? мне в прошлом году прямым текстом сказали: признаете неактуальным - не согласуем.
Дак вы и не признавайте неактуальным.
Напишите, что админы актуальны, но угрозы рассматриваются только от непреднамеренных действий администраторов, прямые угрозы неактуальны т.к. .... выше накидали хороших примеров.
Напишите, что админы актуальны, но угрозы рассматриваются только от непреднамеренных действий администраторов, прямые угрозы неактуальны т.к. .... выше накидали хороших примеров.
l
Дак вы и не признавайте неактуальным.
Напишите, что админы актуальны, но угрозы рассматриваются только от непреднамеренных действий администраторов, прямые угрозы неактуальны т.к. .... выше накидали хороших примеров.
Напишите, что админы актуальны, но угрозы рассматриваются только от непреднамеренных действий администраторов, прямые угрозы неактуальны т.к. .... выше накидали хороших примеров.
ну, расчёт вероятностей угроз, это уже друга я тема. У меня вопрос изначально был именно по фсбшный приказ и доступ админа к СКЗИ и классу защиты.
АС
ну, расчёт вероятностей угроз, это уже друга я тема. У меня вопрос изначально был именно по фсбшный приказ и доступ админа к СКЗИ и классу защиты.
Выбор СКЗИ и согласование с ФСТЭК это тоже разные темы ;)
PT
В МН админ актуален, говорю же, иначе просто фстэк не пропускает. Средний уровень внутреннего нарушителя должен рассматриваться.... Но во многих гис, к которым нужно подключение с помощью Випнета, идет класс кс2 сетки... как то это все не стыкуется.. у меня в голове по крайней мере 🙃🙊
То, что ФСТЭК не согласовывает МУ с нарушителем потенциалом ниже среднего, как-то странно для меня звучит. С десяток "МУ"/"Совокупностей предположений" уже согласовывал с низким потенциалом нарушителей для систем разного масштаба. Какой у Вас регион, коль не секрет?
А так присоединюсь к высказыванию выше, - выбор СКЗИ и "Модель нарушителя по ФСТЭК" это разные вещи. Вы можете смело делать две МН, - одну для ФСТЭК, где Вы рассматриваете в качестве объекта защиты непосредственно защищаемую информацию (ПДн, КТ, ДСП и пр.), и одну для ЧК, где Вы рассматриваете в качестве объекта защиты СКЗИ, среду их функционирования, ключевую информацию итд. Первую вставляете разделом в "Модель угроз (Частную модель угроз)" и отправляете её во ФСТЭК. Вторую называете "Совокупность предположений...", убираете оттуда администраторов (а можно и доверенных пользователей) и получаете, в зависимости от Вашей ситуации, нужный класс СКЗИ, этот же документ отправляете в ЧК. В большинстве случаев оргмер (и/или наличия дополнительных технических мер по защите от НСД) будет достаточно для обоснования применения СКЗИ класса КС1 (КС2) и выше. С 8-кой при согласовании у меня также проблем не было при такой логике. Да и при проверках в дальнейшем, ведь согласующее письмо уже есть.
А так присоединюсь к высказыванию выше, - выбор СКЗИ и "Модель нарушителя по ФСТЭК" это разные вещи. Вы можете смело делать две МН, - одну для ФСТЭК, где Вы рассматриваете в качестве объекта защиты непосредственно защищаемую информацию (ПДн, КТ, ДСП и пр.), и одну для ЧК, где Вы рассматриваете в качестве объекта защиты СКЗИ, среду их функционирования, ключевую информацию итд. Первую вставляете разделом в "Модель угроз (Частную модель угроз)" и отправляете её во ФСТЭК. Вторую называете "Совокупность предположений...", убираете оттуда администраторов (а можно и доверенных пользователей) и получаете, в зависимости от Вашей ситуации, нужный класс СКЗИ, этот же документ отправляете в ЧК. В большинстве случаев оргмер (и/или наличия дополнительных технических мер по защите от НСД) будет достаточно для обоснования применения СКЗИ класса КС1 (КС2) и выше. С 8-кой при согласовании у меня также проблем не было при такой логике. Да и при проверках в дальнейшем, ведь согласующее письмо уже есть.
АС
То, что ФСТЭК не согласовывает МУ с нарушителем потенциалом ниже среднего, как-то странно для меня звучит. С десяток "МУ"/"Совокупностей предположений" уже согласовывал с низким потенциалом нарушителей для систем разного масштаба. Какой у Вас регион, коль не секрет?
А так присоединюсь к высказыванию выше, - выбор СКЗИ и "Модель нарушителя по ФСТЭК" это разные вещи. Вы можете смело делать две МН, - одну для ФСТЭК, где Вы рассматриваете в качестве объекта защиты непосредственно защищаемую информацию (ПДн, КТ, ДСП и пр.), и одну для ЧК, где Вы рассматриваете в качестве объекта защиты СКЗИ, среду их функционирования, ключевую информацию итд. Первую вставляете разделом в "Модель угроз (Частную модель угроз)" и отправляете её во ФСТЭК. Вторую называете "Совокупность предположений...", убираете оттуда администраторов (а можно и доверенных пользователей) и получаете, в зависимости от Вашей ситуации, нужный класс СКЗИ, этот же документ отправляете в ЧК. В большинстве случаев оргмер (и/или наличия дополнительных технических мер по защите от НСД) будет достаточно для обоснования применения СКЗИ класса КС1 (КС2) и выше. С 8-кой при согласовании у меня также проблем не было при такой логике. Да и при проверках в дальнейшем, ведь согласующее письмо уже есть.
А так присоединюсь к высказыванию выше, - выбор СКЗИ и "Модель нарушителя по ФСТЭК" это разные вещи. Вы можете смело делать две МН, - одну для ФСТЭК, где Вы рассматриваете в качестве объекта защиты непосредственно защищаемую информацию (ПДн, КТ, ДСП и пр.), и одну для ЧК, где Вы рассматриваете в качестве объекта защиты СКЗИ, среду их функционирования, ключевую информацию итд. Первую вставляете разделом в "Модель угроз (Частную модель угроз)" и отправляете её во ФСТЭК. Вторую называете "Совокупность предположений...", убираете оттуда администраторов (а можно и доверенных пользователей) и получаете, в зависимости от Вашей ситуации, нужный класс СКЗИ, этот же документ отправляете в ЧК. В большинстве случаев оргмер (и/или наличия дополнительных технических мер по защите от НСД) будет достаточно для обоснования применения СКЗИ класса КС1 (КС2) и выше. С 8-кой при согласовании у меня также проблем не было при такой логике. Да и при проверках в дальнейшем, ведь согласующее письмо уже есть.
Тут проблема не с уровнем нарушителя, а с внутренним нарушителем.
С ЦФО во фсе округа пришло письмо, что если внутренний нарушитель вообще не рассматривается в связи с признанием его неактуальности, то такие МУ не согласовывать. По их мнению (и я с ним согласен) необходимо рассмотреть как минимум непреднамеренные действия внутренних пользователей (в т.ч. админов).
С ЦФО во фсе округа пришло письмо, что если внутренний нарушитель вообще не рассматривается в связи с признанием его неактуальности, то такие МУ не согласовывать. По их мнению (и я с ним согласен) необходимо рассмотреть как минимум непреднамеренные действия внутренних пользователей (в т.ч. админов).
PT
Нарушителя Вы рассматриваете применимо к чему? В случае ФСТЭК, - это все, кроме СКЗИ. В случае ФСБ - это СКЗИ, среда их функционирования, документация итд. Я не предлагаю Вам не рассматривать внутреннего нарушителя в Вашей модели угроз, я предлагаю рассматривать при разработке документов те объекты защиты, которые входят в компетенцию конкретного регулятора.
P.S. Про потенциал это не в ту степь, перечитал, был невнимателен. Но это не отменяет всего вышесказанного.
P.S. Про потенциал это не в ту степь, перечитал, был невнимателен. Но это не отменяет всего вышесказанного.
АС
Ну да, во всем остальном поддерживаю.
2020 February 20
TK
Есть ли в чате кто-то, имевший опыт с какой-либо SIEM? Напишите в личку пожалуйста, какую использовали и как вам? 🙏
l
Добрый день. Порекомендуйте, пожалуйста курсы по администрированию межсетеввх экранов
AK
Добрый день. Порекомендуйте, пожалуйста курсы по администрированию межсетеввх экранов
Мсэ вообще или конкретных производителей?