Вопрос по выбору возможных угроз - Форум по вопросам информационной безопасности

to malotavr
Если мне не изменяет память, то <испытания системы защиты информации путем осуществления попыток несанкционированного доступа...> присутствуют и в ГОСТ по аттестации, и в большинстве других документов ФСТЭК. Базис такого подхода при приемо-сдаче АС/ИС был заложен еще в СТР-К причем с аналогичными формулировками. Так что не аргумент, потому что ни рамок, ни сколько-нибудь конкретных примеров и методик до сих пор нет. Можно ограничиться тестированием собственного функционала СЗИ (на примере обычной СЗИ НСД уровня ОС: перебор паролей, попытка выхода за пределы ЗПС и проч. мелочевка). А пен-тест как бы глубже, комплекснее в моем понимании. И, зачастую, с объектом защиты напрямую не связан: атаки по побочным каналам и через транспортную/вторичную инфраструктуру как бы намекают. Что явно не учтено в приведенной выжимке из 17 Приказа, ага...
Про ЗСВ смешно. Положим, как защитить VMWare-инфраструктуру или, заранее извиняюсь за пошлость, Hyper-V, на текущий момент "условно понятно" (наше отечественное суперПО аля VGate или зарубежные встроенные механизмы, если без требований сертификации, ага). А что делать со встроенной средой виртуализации во многих UEFI? А с паравиртуализацией OpenVZ? А с Docker/Kubernetes, столь распространенными сегодня в web-ИС? И, самое наболевшее, что делать с сертиф.ОС, на базе которых разворачивается гипервизор? НИР они провели, грамотеи хреновы, доказали, $#@!!&^, что ничего специфического нет...

> Базис такого подхода при приемо-сдаче АС/ИС был заложен еще в СТР-К причем с аналогичными формулировками.

Справедливости ради, в СТР-К подобного быть не могло: "16.6. ... По результатам анализа уязвимостей должно быть подтверждено, что в информационной системе отсутствуют уязвимости, содержащиеся в банке данных угроз безопасности информации ФСТЭК России, а также в иных источниках, или их использование (эксплуатация) нарушителем невозможно."

А анализ уязвимостей, в соответствии с 17.2, это еще и составная часть аттестации.

> > Можно ограничиться тестированием собственного функционала СЗИ (на примере обычной СЗИ НСД уровня ОС: перебор паролей, попытка выхода за пределы ЗПС и проч. мелочевка). А пен-тест как бы глубже, комплекснее в моем понимании.

Разумеется, можно ограничить область проведения анализа, его вообще можно провести по принципу "ну не шмогла я, не шмогла". И можно даже ткнуть пальцем в конкретного разработчика, который на основе такого трюка заявляет, что его решение обеспечивает защиту от APT-атак.

Но это уже вопрос добросовестности аттестатора и наличия у ФСТЭК достаточного админресурса, чтобы аттестация перестала быть профанацией. Намерение такое есть.