ПП-1119 и угрозы 1 типа

Question

[ash_kgd]

В п.6 Постановления Праительства №1119 значится:
Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.

Как признать неактуальность угрозы нарушения целостности/доступности/конфиденциальности средствами НДВ ОС Windows в информационной системе, будь то автономное автоматизированное рабочее место или ЛВС с выходом в Интернет? Нужен какой-то критерий (вероятностная оценка, волевое решение) для определения актуальности угроз целостности/доступности/конфиденциальности, которые могут быть реализованы средствами НДВ ОС Windows.
Другими словами, для каких информационных систем, функционирующих под управлением ОС Windows, угрозы 1-го типа не являются актуальными?

Answer 1

[ansv]

Ответа на этот вопрос не существует. Мнения разделились ровно поровну. Тот же Алексей Лукацкий оптимистично заявляет, что можно смело писать «угрозы НДВ неактуальны» и уходить от 1-2 уровней. Другие, более осторожные, считают, что так просто не отделаться. Какой-то методики или критериев, позволяющих сказать, что в данном случае угрозы не актуальны, насколько мне известно, нет.

Попробую рассуждать с точки зрения здравого смысла (который к теме защиты ПДн может быть не применим). Если я подозреваю, что нарушитель, который будет против меня действовать, в своем арсенале пакостей имеет одну, которая позволит ему воспользоваться некоей НДВ в используемом мной оборудовании, то я буду использовать проверенные (сертифицированные ) СВТ. Если же мои предполагаемые противники не так продвинуты, я буду считать НДВ неактуальной.

Я бы при составлении Модели угроз прорабатывал этот момент в описании возможностей нарушителя (Модель нарушителя) и в духе "«Используются сертифицированные средства защиты и серийно выпускаемые образцы СВТ от известных поставщиков-производителей...» Ну, короче, тщательно обосновывал бы неактуальность.

Плюс есть шанс, что такой важный момент будет как-то прояснен в дальнейших документах регуляторов, но надежды мало…

Comments

[ash_kgd]

Спасибо, за столь развернутую точку зрения! Сегодня имел место разговор с представителями ФСТЭК по СЗФО, к сожалению ничего толкового не сказали (были хорошо подготовлены к празднику=)). Объясняли, что в ближайшее время готовятся документы ФСБ и ФСТЭК, в которых будет описаны действия в отношении данной проблемы. Будет ли надежда… солидарен с Вами.

Answer 2

[Loreweil]

Все правильно выше заметили, у нас как всегда в законодательстве что-то напишут, а как это делать — непонятно. С угрозами НДВ вышло так же как и с тем, что операторы ПДн должны определять величину ущерба субъектам ПДн при нарушении конфиденциальности этих самих ПДн, а как определять эту величину ущерба, никакой методики и в помине нет.

Про угрозы НДВ как уже сказали, разрабатывайте модель нарушителя и модель угроз, последовательно обосновывая неактуальность этих угроз. Например, если берем внутреннего нарушителя, пишем, что у вас разработана организационно-распорядительная документация, все сотрудники, допущенные к обработке ПДн подписали соглашение о неразглашении, проводятся периодически мероприятия по контролю соблюдения конфиденциальности ПДн, а если и найдется инсайдер, то у нас есть СЗИ от НСД, которые фиксируют все действия пользователей в своих журналах. Что касается внешнего нарушителя, обосновывать можно как раз оцененным вредом и ценностью ваших ПДн. Мол, ваша ИСПДн не интересна зарубежным спецслужбам или криминальным группировкам, поэтому никто не будет за большие деньги нанимать хакера, которые знает все уязвимости нулевого дня, да к тому же у вас есть фаерволлы, сетевые сканеры, вы вовремя устанавливаете самые последние патчи и тд.

Answer 3

[kimssster]

Видимо в тех, которые используют в качестве ос сертифицированную фстэком копию.