Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    Вопрос по выбору возможных угроз - Форум по вопросам информационной безопасности

Форум по вопросам информационной безопасности

Вопрос по выбору возможных угроз

К списку тем | Добавить сообщение


Страницы: < 1 2 3

Автор: oko | 102219 22.09.2018 15:11
to malotavr
Если мне не изменяет память, то <испытания системы защиты информации путем осуществления попыток несанкционированного доступа...> присутствуют и в ГОСТ по аттестации, и в большинстве других документов ФСТЭК. Базис такого подхода при приемо-сдаче АС/ИС был заложен еще в СТР-К причем с аналогичными формулировками. Так что не аргумент, потому что ни рамок, ни сколько-нибудь конкретных примеров и методик до сих пор нет. Можно ограничиться тестированием собственного функционала СЗИ (на примере обычной СЗИ НСД уровня ОС: перебор паролей, попытка выхода за пределы ЗПС и проч. мелочевка). А пен-тест как бы глубже, комплекснее в моем понимании. И, зачастую, с объектом защиты напрямую не связан: атаки по побочным каналам и через транспортную/вторичную инфраструктуру как бы намекают. Что явно не учтено в приведенной выжимке из 17 Приказа, ага...
Про ЗСВ смешно. Положим, как защитить VMWare-инфраструктуру или, заранее извиняюсь за пошлость, Hyper-V, на текущий момент "условно понятно" (наше отечественное суперПО аля VGate или зарубежные встроенные механизмы, если без требований сертификации, ага). А что делать со встроенной средой виртуализации во многих UEFI? А с паравиртуализацией OpenVZ? А с Docker/Kubernetes, столь распространенными сегодня в web-ИС? И, самое наболевшее, что делать с сертиф.ОС, на базе которых разворачивается гипервизор? НИР они провели, грамотеи хреновы, доказали, $#@!!&^, что ничего специфического нет...

Автор: malotavr | 102298 25.09.2018 13:29
> Базис такого подхода при приемо-сдаче АС/ИС был заложен еще в СТР-К причем с аналогичными формулировками.

Справедливости ради, в СТР-К подобного быть не могло: "16.6. ... По результатам анализа уязвимостей должно быть подтверждено, что в информационной системе отсутствуют уязвимости, содержащиеся в банке данных угроз безопасности информации ФСТЭК России, а также в иных источниках, или их использование (эксплуатация) нарушителем невозможно."

А анализ уязвимостей, в соответствии с 17.2, это еще и составная часть аттестации.

> > Можно ограничиться тестированием собственного функционала СЗИ (на примере обычной СЗИ НСД уровня ОС: перебор паролей, попытка выхода за пределы ЗПС и проч. мелочевка). А пен-тест как бы глубже, комплекснее в моем понимании.

Разумеется, можно ограничить область проведения анализа, его вообще можно провести по принципу "ну не шмогла я, не шмогла". И можно даже ткнуть пальцем в конкретного разработчика, который на основе такого трюка заявляет, что его решение обеспечивает защиту от APT-атак.

Но это уже вопрос добросовестности аттестатора и наличия у ФСТЭК достаточного админресурса, чтобы аттестация перестала быть профанацией. Намерение такое есть.

Страницы: < 1 2 3

Просмотров темы: 1180

К списку тем | Добавить сообщение



Добавить сообщение

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.