Что представляет собой «Банк угроз и уязвимостей» на самом деле?

Аватар пользователя Атаманов Геннадий
Автор: Атаманов Геннадий,
(41)
()
Опубликовано в:
Запись участвует в конкурсе "Лучший автор BISA" (список работ).

ФСТЭК организовала новый сервис – Банк угроз и уязвимостей. О его существовании я узнал из поста А.Прозорова. В содержательном плане пост был анонсом этого нового сервиса, но финал - «Сервис получился довольно удобным и полезным. Надо посмотреть его подробнее...», - меня просто шокировал.

Такая позиция автора шокировала меня не только потому, что она методологически несостоятельна, но ещё и потому, что в своём предыдущем посте он сам написал: «Вообще с обсуждением темы у нас есть проблема: большинство дискуссий скатывается к монологам спикеров по одному из сценариев: - Предложения по нормативным документам не читал, но осуждаю».

Получается, если кто-то не читал, но осуждает, - это проблема, а если я ещё не смотрел, но уже точно знаю, что это полезно, то это …. То, что это?

А я взял и посмотрел. И испытал ещё один шок: ЭТО ЧТО???

Нет, я-то знаю, что это, и как называется то, что я там увидел. Но вкралось сомнение: вдруг я чего-то не понимаю или не так понимаю? А вдруг «король не голый»? Ведь если эксперты говорят, что это хорошо, то, наверное, так оно и есть? Тогда просьба (не только к экспертам): объясните, пожалуйста, в чём польза от, по всей видимости, неадаптированного гугл-перевода англоязычных источников и информации, скачанной с непонятно каких сайтов? Кто читал «список терминов» и не прослезился? Ведь без слёз читать его совершенно невозможно: ни логики, ни методологии определения понятий. А «список уязвимостей»?

По мне, так всё это – типичный образчик абсурдизма.

Возможно, я не прав.

Но:

- угроза – проявленное намерение или возможность нанести вред системе.

- уязвимость – слабое место в системе (через которое, скорее всего (но не обязательно), может быть осуществлено деструктивное воздействие на систему).

Слабый в методологическом отношении документ (сервис) является уязвимостью в СЗИ? Однозначно – да!

Может методологически слабый сервис, возведённый в ранг официального, нанести вред СЗИ? Опять – да!

Отсюда следует, что «Банк угроз и уязвимостей» сам является уязвимостью и угрозой?!

Более того, этот сервис, разработанный ГНИИИ ПТЗИ, представляет собой уже не угрозу, а реальную атаку на имидж ФСТЭК, т.к. наносит серьёзный удар по репутации этого уважаемого органа своим пренебрежением к логике, методологии науки и русскому языку.

 

Запись участвует в конкурсе

Оцените материал:
Total votes: 366
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя Next-rus

Красивое название сообщения, а на деле - пшик. Одни эмоции. Вы сами не ответили на свой же вопрос в заголовке. И вообще нужно конкретнее: проблема, предложение по решению. Иначе пустая болтовня, уровня бабушек, осуждающих Ельцина.

up
13 users have voted.
Аватар пользователя Атаманов Геннадий

Анониму: Вы верно заметили: в заголовке вопрос. Если бы я знал точный ответ на этот вопрос, то я бы его не задавал. Зачем задавать вопрос, когда знаешь на него ответ? Сам-то я специализируюсь сейчас на философии и методологии ИБ, и потому обращаюсь с вопросом к специалистами в области ТЗИ, с просьбой разъяснить мне пользу от такого сервиса.
Но специалисты по ТЗИ молчат. Такое бывает в двух случаях: 1) они со мной согласны; 2) они со мной не согласны, но боятся публично высказать своё мнение.
Вот Вы высказали своё мнение. Но, как я полагаю, Вы тоже являетесь специалистом в ИБ. Тем не менее, может быть Вы (и не только мне) объясните, в чём польза от обсуждаемого сервиса, и какие из моих суждений не верны? 

up
24 users have voted.
Аватар пользователя Атаманов Геннадий

PS: Да, а ещё скажите, пожалуйста, какие посты не «пшик»? Здесь – все посты «пшик»: предложений народ высказывает много, но что из этого учитывает тот, кто должен это делать? Что касается предложений по решению проблемы, то я их высказал столько, что в одном посте всё и не поместится. Хотите ознакомиться, читайте мои статьи, посты и комментарии. Там есть всё (или почти всё). Появится желание обсудить конкретику, пишите. Обсудим. А тратить время на никем не востребованный анализ очередного сервиса-опуса-закона, согласитесь, не очень разумно.

up
29 users have voted.
Аватар пользователя Next-rus

Возможные сценарии использования хорошо описаны в Информационном сообщении от 6 марта 2015 г. N 240/22/879.

У меня, например, замечание к данному сервису пока только одно: уязвимости не привязаны к конкретным угрозам.

up
19 users have voted.
Аватар пользователя Ржавский Константин

Как специалист по ТЗИ скажу ИМХО:

  1. база существует и она обновляется (факт!) – это лучше чем её бы не было!;
  2. специалист по ТЗИ имеет возможность подпереться готовой базой знаний, не используя поиск и в контексте с Системой;
  3. специалист по ТЗИ должен быть способен (ИМХО) выхватить ключевую мысль из предоставленной информации и принять по ней решение, иначе какой он специалист?;
  4. возможность правок и добавлений в Базу знаний закреплена в ИНФОРМАЦИОННОМ СООБЩЕНИИ О БАНКЕ ДАННЫХ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ от 6 марта 2015 г. N 240/22/879, что позволяет привлечь к корректировке Базы специалистов не только в области ТЗИ но и других, коррелируемых областях.
up
20 users have voted.
Аватар пользователя Атаманов Геннадий

Анониму:
В Информационном сообщении от 6 марта 2015 г. N 240/22/879 сказано: «Угроза безопасности информации подлежит включению в банк данных угроз безопасности информации, если по результатам ее анализа и проверки получена вся необходимая информация». При этом 1) нет ни слова о том, кто должен проводить анализ и проверку и каковы методики их проведения; 2) «вся» – это какая? Та, что есть, – это «вся»? А не маловато-ли будет?
А какие угрозы конкретные?
«Автоматическое распространение вредоносного кода в грид-системе» - это угроза?
А «агрегирование данных» - тоже угроза?
А разве «анализ криптографических алгоритмов» - угроза? Тогда всех криптологов нужно срочно «к ногтю», как источников этой угрозы.
А как можно «реализовать криптографический алгоритм»? Продать?
А как такой «шедевр»: «Угроза выхода процесса за пределы виртуальной машины»?
А в каком документе – законе, приказе, ГОСТе – даны определения терминов «грид-система» и «агрегирование данных»? И как процесс может выйти за пределы машины, пусть даже и виртуальной?
Это же всё сленг! Причём, американский. В официальных документах, коими по определению являются документы ФСТЭК, подобные вещи, по-вашему, допустимы? 

up
22 users have voted.
Аватар пользователя ildar

Вопрос "1) нет ни слова о том, кто должен проводить анализ" Вас должен интересовать только в случае если вы планируете вести данный банк. Иначе Вас должно волновать "несколько другое"
Иными словами вы должны задавать вопросы по результату а не по процессу. И вас должен интересовать вопрос полноты банка а не то как туда что-то попадает.
Да хоть с бубном пусть пляшут. Главное результат.
В Вашем случае вида критика процесса а от оценки результата нет.  Точнее. Вы оценку (по непоным данным) процесса пытаетесь представить как оценку резльтата.

up
6 users have voted.
Аватар пользователя Атаманов Геннадий

К.Ржавскому:
Главное требование к информации с точки зрения обеспечения «информационной безопасности» - это её достоверность. Недостоверная информация (кроме «лжи во благо») является смертельно опасной для информационной системы. Информация, представленная в рассматриваемом сервисе, достоверная? Ответ на этот вопрос в неявной, правда, форме есть в предыдущем моём комментарии. Надеюсь, Вы его «выхватите».
Вы привыкли к сленгу, и Вам кажется, что Вы понимаете то, что там написано. Но беда сленга в неоднозначности его трактовки (по-научному – полисемии). В каждом микроколлективе свой сленг. У вас – такой, а у тех, кто придёт вас проверять – другой. И что тогда?
СЛЕНГ В ОФИЦИАЛЬНЫХ ДОКУМЕНТАХ НЕДОПУСТИМ!
Или так только я считаю?
И первое правило обеспечения информационной безопасности
ЛУЧШЕ НЕ ИМЕТЬ НИКАКОЙ ИНФОРМАЦИИ, ЧЕМ ИМЕТЬ ЛОЖНУЮ!

up
25 users have voted.
Аватар пользователя Ржавский Константин

Достоверность информации - понятие растяжимое, достоверность всегда относительна, в особенности в отношении сложных систем, Достижение достоверности - это сложный процесс, который может быть растянут во времени (история как наука - пример!).
Специализированный слэнг - это свойство тезауруса позволяющее общаться специалистам внутри замкнутой системы и это нормально ИМХО. ФСТЭК, как составляющая Системы ЗИ обязано говорить со мной (специалистом по ЗИ) на одном языке, поэтому слэнг допустим, но без фанатизма. Как то так.

up
10 users have voted.
Аватар пользователя Атаманов Геннадий

Достоверная информация - это информация "достаточно верная". Нужна она для принятия решения и решения правильного. Да, понятие это относительное: один сможет принять правильное решение при наличии незначительного объёма данных, другой не сможет этого сделать даже при наличии полной и истинной информации. Но принять правильное решение на основании неверной ("ложной" с позиции логики) информации НЕВОЗМОЖНО в принципе. А то, что представленная там информация несостоятельна даже с точки зрения лингвистики, не говоря уж о более высоких материях, я показал и, как мне представляется убедительно, на примерах в своём комментарии (см. выше).
И я о том же: сленг - средство общения "внутри замкнутой системы". РД и НМД - элементы ГСЗИ - а система эта открытая и потому сленг в них НЕДОПУСТИМ!

up
17 users have voted.
Аватар пользователя Velmann

Да, с терминологией и единообразием в документах ГНИИИ ПТЗИ вообще чаще всего беда. Крайне тонко подмечено, что никакой разницы между уязвимостью, угрозами, способами реализации, средой и т.д.
Слышала, что вскоре  можно ожидать очередной НМД - что-то вроде "общая методика моделирования угроз". Вообще, странный смысл вкладывается в понятие "модель угроз", обычно, это просто перечень и не более, какая уж тут модель и оценка.

up
19 users have voted.
Аватар пользователя Атаманов Геннадий

Анна, Вы абсолютно правы: "модель угроз" действительно странное понятие. Спасибо, что обратили на это внимание.
"Модель угроз" - это очередной фразеологизм (идиоматический оборот). Каждый может наполнить его своим "неповторимым" смыслом. Но если над ним задуматься поглубже, тут же становится очевидна его абсурдность. Так, если подставить в этот термин вместо слова "угроз" его значение, то получится, что "модель угроз" - это "модель запугиваний" или "модель обещаний причинить вред". А если тоже самое проделать с термином "общая методика моделирования угроз", то получится "общая методика моделирования запугиваний (обещаний причинить вред)". А это уже не странность, а отровенная глупость.
Остаётся только сожалеть, что подавляющее большинство "специалистов" над подобными вещами даже не задумывается. В результате мы имеем то, что имеем.

up
24 users have voted.
Аватар пользователя ildar

"Чукча писатель, а не читатель" Если есть определение в НПА или ином РД то мне плевать, что под этим понимают другие. И мне абсолютно фиолетово что по этому поводу написано у Даля

up
7 users have voted.
Аватар пользователя Атаманов Геннадий

Это Вы про кого: "Чукча писатель, а не читатель" ? Если про меня, то это обыкновенное хамство, здесь неуместное. Если про себя, то достойная самоирония: нужно читать то, что написано, а не выдумывать всякую чушь, а потом ей же оппонировать. И если Вам плевать, что написано у Даля, то не стоит читать, что написано у Атаманова: я Даля и многих других достойных авторов уважаю, хотя и не всегда с ними согласен.

up
7 users have voted.
Аватар пользователя ildar

Во-первых, еще большим хамством является подвергать остракизму человека только на том основании, что он пишет анонимно.
Во-вторых, она уместна полностью поскольку в полной мере иллюстрирует применение Вами приемов полемики не допустимых в данном контексте.
Еще раз в реальной жизни при различных толкованиях термина используют толкование из НПА. Тем более ваши построения используют недопустимые приемы полемики.
Так ваше "модель угроз" - это "модель запугиваний" чистый воды софизм
Таким же макаром я тут Вам докажу что пустое равно полному

up
8 users have voted.
Аватар пользователя Атаманов Геннадий

Вести полемику по принципу "сам дурак", действительно, недопустимо. И не знаю, как трактуют термин "остракизм" НПА, но Википедия трактует его как "народное голосование, во время которого граждане на глиняных черепках писали имя гражданина, который угрожал демократии государства", а Ожегов трактует как "изгнание, гонение". Поэтому: 1) чтобы подвергнуть человека остракизму, нужно знать его имя; 2) один человек не может подвергнуть другого остракизму, потому что остракизм - "народное голосование". Так что читать словари - полезное дело.

up
9 users have voted.
Аватар пользователя ildar

вот вы мне и доказали, что пустое это полное.
т.е. Вам не важно, что вам написали, Вы выдергиваете фразу и начинаете ее "раскручивать" причем в процессе делаете подмену. Если вам интересно, то шикарной иллюстрацией того, что Вы делаете будет "доказательство" того что если а>в то а всегда больше чем 2*в. Там все примерно также.

up
7 users have voted.
Аватар пользователя Атаманов Геннадий

Кстати, мне доказывать ничего не надо. Вы докажите общественности, что ресурс, о котором здесь шла речь, оказался действительно полезным и эффективным. Прошло больше года и уже можно делать вполне определённые выводы. Вот и сделайте. Это будет гораздо более полезное дело, чем ломать копья по поводу ушедшего в далёкое прошлое события.
При этом хочу сказать Вам спасибо за то, что напомнили про него: такие результаты, как у этого поста, я думаю, на BISA большая редкость - 7814 просмотров и 236 лайков. По-моему, это круто. Особенно по части лайков. Это говорит о многом. И я говорю спасибо всем, кто откликнулся. Даже тем, кто привык только занижать оценки: если сочли нужным отметиться, значит, задело, да и счётчик сработал. Это дорого стоит. И поэтому ещё раз всем неравнодушным - СПАСИБО, а всем поддержавшим – ОГРОМНОЕ СПАСИБО!

up
9 users have voted.
Аватар пользователя Voxnod

Есть вполне состоявшийся, общепринятый термин «модель угроз», пусть это идиоматическое выражение, а что это меняет в восприятии специалистом? Все (кому это необходимо) понимают, что под этим подразумевается, плохого-то, что в этом? Видов моделирования много – выбирай любой и строй свою модель, для этого есть научное сообщество, апробируй любую и принимай как стандарт! Заниматься дословным переводом внутри термина – тупиковый и ошибочный путь, важно не то, что это слово буквально обозначает, а важно восприятие термина внутри заинтересованного сообщества! Не будет идиоматических выражений – наука вымрет первой, это будет сухо и крайне громоздко.
А насчет: «В результате мы имеем то, что имеем», это совсем из другого: чтобы создать современный сверхзвуковой истребитель, ранее надобно было построить ПО-2.

up
30 users have voted.
Аватар пользователя Атаманов Геннадий

Алексей, не стоит путать литературу и науку (законодательство). Что допустимо в литературе, не допустимо в науке (законодательстве). 
"Модель" сегодня, действительно, трактуется очень широко и моделей может быть много. Но как, например, построить "модель угроз безопасности", если по правилам логики этот термин означает "модель запугивания безопасности"?
Метафора про истребитель-ПО-2 подходит как нельзя кстати: весь мир летает на сверхзвуковых, а мы пытаемся построить велолёт (велосипед с крыльями). 
Интересно, а как Вы сами "переводите" этот термин - "модель угроз"? Что под ним понимаете? 

up
23 users have voted.
Аватар пользователя ildar

Кокретно назовите правила логики по которым "модель угроз"="модель запугивания" в отношении конкретной области знаний.
Например я могу привести много толкований/"переводов" Вашег имени. Вы от этого изменитесь?

up
4 users have voted.
Аватар пользователя Voxnod

Модель, это формализованное описание ситуационного состояния системы в рассматриваемой плоскости(математическая, информационная, ...). При этом «модель угроз» рассматривает корреляцию нескольких систем и может определять меру их корреляции.

up
16 users have voted.
Аватар пользователя Атаманов Геннадий

Алексей, всё это общие слова. Перейдите от слов к делу: постройте "модель запугивания информационной безопасности" или "модель запугивания персональных данных".
Надеюсь, Вам знакомы термины "модель угроз информационной безопасности" и "модель угроз персональным данным"? Просто я заменил в этих терминах слово "угроз" на его словарное значение и теперь мечтаю увидеть как Вы скоррелируете систему "запугивание" с системой "информационная безопасность" (или "персональные данные"). Да, и хорошо было бы установить меру корреляции этих "систем", а ещё меру корреляции того, что получится, со здравым смыслом. Меня устроит любая модель - граф, схема, чертёж, описание и т.д. А может быть Вам удастся построить "математическую модель запугивания ПДн"?

up
31 user has voted.
Аватар пользователя Voxnod

А можно вопросом на вопрос: «Что мы создаем: моторное безрельсовое дорожное транспортное средство минимум с 3 колёсами или автомобиль?» Ну а если довести ситуацию уж совсем до абсурда, то можно еще и в этом определении раскрыть каждое слово и получится ёмко, но правильно-правильно. Неправильно рассматривать в термине каждое слово как знаковое, на то он и термин, что бы восприниматься в совокупности. Кто создал термин первым, тот и вложил в него смысл, который принимают или не принимают. Создайте свой термин и пусть его примут как аксиому, по крайней мере это в рамках научной школы и честно.

up
22 users have voted.
Аватар пользователя Атаманов Геннадий

Алексей!
1. Вы, наверное, только недавно со студенческой скамьи и у Вас ещё свежо в памяти "кто первый встал, того и тапки".  :)) В науке же есть понятие "паради́гма" (т.е. совокупность фундаментальных научных установок, представлений и терминов, принимаемая и разделяемая научным сообществом и объединяющая большинство его членов) и "терминосистема" (т.е.  организованная совокупность терминов определённой области знания), а есть ещё "оксюморон" (сочетание несочетаемого). Так вот "модель угроз" (а особенно "модель угроз безопасности") есть не что иное, как оксюморон. Точно такой же, как, например, "модель течений", "модель размахивания кулаками", "модель криков" и т.п.
2. Не стоит переваливать проблему с больной головы на здоровую: здесь у меня нет и не было потребности в создании нового термина. То, что я указал на недостатки (очень мягко сказано) существующего, не означает, что я должен найти ему научно обоснованную замену. Там, где я испытываю в этом потребность, я именно так и делаю. Почитайте мои статьи и убедитесь в этом сами. 
3. Нет необходимости плодить сущности без необходимости. Есть вполне корректный термин "модель нарушителя" (не путать с "модель нарушителя безопасности", который тоже является оксюмороном).  

up
22 users have voted.
Аватар пользователя zero0access

Прям тошно было читать этот пост (наткнулся случайно). Автор, вероятно, действительно не понимает что это за ресурс и для чего он нужен (что странно, поскольку эта информация есть на главной странице). "Статья" у меня лично ассоциируется с нелепыми "пшиками" про автоваз.
ps ресурс (bdu.fstec.ru) действительно полезный. Другое дело, что его нужно развивать. Как уже писали ранее, хотелось бы увидеть взаимосвязь уязвимостей и угроз, а также более продуманную классификацию объектов воздействия и программного обеспечения.

 
up
23 users have voted.
Аватар пользователя Атаманов Геннадий

Забавная складывается ситуация: одних тошнит от тухлых продуктов, а других – от того, что кто-то говорит о том, что эти продукты тухлые.
1. Кто прав?
2. Что делать?
Думаю, самый простой выход – убрать с прилавка тухлые продукты, расторгнуть договор с их поставщиком и найти другого, добросовестного. Только при таком подходе довольны будут все.
Можно, конечно, и заткнуть рот тем, кто говорит, что продукты тухлые. При таком подходе, несомненно, станет тише, но тухлятина-то останется. Более того, с каждым днём она будет становиться всё тухлее. А это уже грозит серьёзными отравлениями для потребителей, если, конечно, их ЖКТ ещё не полностью перестроились на потребление именно такой продукции. 

up
21 user has voted.
Аватар пользователя zero0access

Уважаемый Геннадий!
Вы никак не поймете, что продукт не тухлый! ;-) Возможно он с зеленцой, но не тухлый. Я довольно давно в ИБ и общаюсь с большим количеством людей в этой области. Я пытаюсь донести до Вас, что Банк данных многие из них считают шагом вперед и вместо того, чтобы оплёвывать полезный ресурс помогают ему, высылая свои мысли и предложения через обратную связь. Я лично высылал через обратную связь (http://bdu.fstec.ru/contacts/sendmail) свои предложения и замечания.
ps в Вашем комментарии я увидел только личную неприязнь. Опять никакой конкретики, одна блевотина.

 
up
12 users have voted.
Аватар пользователя Атаманов Геннадий

1. Если Вы давно в ИБ, то почему "аноним"? И не просто аноним, о "ноль"?
2. Почти месяц никто, в т.ч. и Вы, не написали ни строчки о пользе этого ресурса. Во всяком случае, здесь на BISA. Не в комментариях, а в постах. Ведь это событие государственного масштаба. Оно что, никого не волнует? 
3. Если Вы действительно специалист, то объясните мне, пожалуйста (искренне прошу, без подвоха и ёрничества), пользу от этого ресурса. И укажите, пожалуйста, в чём я был не прав. Не оценки, не переходы на личности, а строго по сути темы. Или Вы тоже считаете "агрегирование данных" угрозой? И всё остальное, что я перечислил выше. 
4. И ещё: что значит связать уязвимости с угрозами? И как это можно сделать? Как связать дырку в заборе (уязвимость) с "я не дам тебе сладкого на ужин" (угроза)? А, главное, зачем? 
 

up
20 users have voted.
Аватар пользователя zero0access

1. Не все специалисты по ИБ должны быть публичными личностями.
2. 12 марта (если не ошибаюсь), когда мне сообщили о запуске, в сети появилось довольно много сообщений. Не считаю, что это было событие государственного масштаба. почему я ничего не написал? Потому, что у меня много работы.
3. Времени распинаться у меня нет, но: Угроза = {Источник, Объект воздействия, Последствия реализации, Уязвимости}. На указанном ресурсе для Вас представлен перечень возможных угроз (который может пополняться) и уязвимости программного обеспечения. Всё и так "на пальцах". И да, агрегирование данных - это угроза. Агрегирование - это метод получения новой информации путем комбинирования данных, добытых легальным образом из различных таблиц. Агрегированная информация может оказаться более секретной, чем каждый из компонентов, ее составивший. Почему я должен Вам это объяснять? 
4. Мда... это значит показать актуальные угрозы при наличии какой-либо уязвимости в ПО информационной системы. Да, не все угрозы могут быть связаны с уязвимостями, но многие. Зная состав По было бы очень полезно автоматизированно получить сведения об актуальных угрозах.
ps кто еще "ноль"

 
up
15 users have voted.
Аватар пользователя Атаманов Геннадий

Ну вот, опять обиды. Ведь это не я придумал: "зеро" - это "ноль" (http://tolkslovar.ru/z5811.html). Я и спрашиваю: почему "ноль", т.е. "зеро"?
Агрегирование данных - это процесс. Он не может быть угрозой. Угрозу представляют действия потенциального нарушителя, направленные на причинение вреда владельцу информационного ресурса. Если агрегированием данных занимаемся мы, это тоже угроза? Если судить по тексту, то это так (там нет указания ни на субъекта действий, ни на объект). Но это же абсурд!? Равно как и "выход процесса за пределы машины" ещё и виртуальной (т.е. вымышленной, выдуманной)?!  
Распинаться и не нужно. Нужно только объяснить, как читается формула: 
Угроза = {Источник, Объект воздействия, Последствия реализации, Уязвимости}
И как эта формула коррелирукется с русским языком, в котором "угроза - запугивание, обещание причинить кому-либо вред, зло" (https://ru.wikipedia.org/), - или шире - "угроза - обещание и возможность причинить вред" (http://gatamanov.blogspot.ru/2014/07/blog-post_8104.html).  Т.о. в понятие "угроза" не входит ничего из перечисленного в этой "формуле". Так как же тогда можно связать несвязуемое? Единственное, с чем можно было бы связать угрозу, так это с её источником. Угрозы-то без источника не бывает. Это только улыбка без кота может быть.:)) Да и то только в сказке.  

up
11 users have voted.
Аватар пользователя zero0access

Извините, но Вы, похоже, непробиваемый. Определение угрозы можно посмотреть в разделе термины. Расшифровка "формулы" есть в методических документах, предатсвленных на сайте и еще много где. По поводу виртуальной машины: спасибо, мы поржали ;-) ну и про zero0access тоже доставили:  человек из ИБ должен знать что такое ZeroAccess (ZAccess, Sirefef и др). Так что учите матчасть.

 
up
15 users have voted.
Аватар пользователя ildar

Угрозой могут быть действия Дальше можно не читать.
Почему?
1. Угрозой как минимум в Вашей трактовке надо называть деяние. Думаю не надо объяснять разницу между действием и деянием?
2. Почему у вас угроза это только что-то имеющее умысел? Не путайте угрозу и преступление.
3. И наконец. Если процесс не может быть угрозой то и явление то же не может быть угрозой. А значит и землетрясение (природное явление) не может быть угрозой Вашей безопасности. Или процесс подбора ключа тоже не угроза?
А если посмотреть шире. То Ваш пост напоминает одного философа с его рассуждениями "Догонит ли Ахиллес черепаху?" Софистика чистой воды.
Я думаю не составит труда найти примеры различного понимания одного и того же термина(понятия/слова) в различных областях знаний? Так что Ваш пост не может и не несет никакой полезной информации в принципе. Поскольку нарушает базовые принципы логики.

up
16 users have voted.
Аватар пользователя Атаманов Геннадий

"Очень жаль, что мы так и не услышали начальника транспортного цеха".
Ни о пользе ресурса, ни об ошибках в моих суждениях. И это вполне закономерно: мы говорим на разных языках. Вы - на сленге, а я, как раз, пытаюсь показать, что это недопустимо не только в официальных документах, но и в открытых сообществах. Сленг - средство общения в замкнутых группах. Мы это уже обсуждали с товарищами. Внутри группы вы можете ржать даже над пальцем, а в приличном обществе - это нонсенс. Сленг - нонсенс для РД и даже НМД. 

up
18 users have voted.
Аватар пользователя Ржавский Константин

Извините мистер "супер продвинутый ИБшник", а какого .... Вы вообще делаете в публичном форуме, что даже Ваше имя так засекречено. Или Вы не считаете, что странадолжна знать своих героев?! Не гоже специалисту по ИБ скрываться за ботами в среде своих коллег! Элементарное неуважение. А Геннадий Альбертович имеет полное право на этом форуме высказывать свое мнение и возможность завести дискуссию.
"Ржите" дальше многоуважаемый "спец", только тихонько, а не то не дай бог кто услышит, а ведь Вам нельзя светиться!

up
12 users have voted.
Аватар пользователя zero0access

Это не слэнг, а терминология. Да, я заметил, что мы говорим на разных языках: Вы - философ, я - безопасник. Виртуальная машина, уязвимость, угроза т .д. и т.п. - для всех этих терминов давно есть определения и специаисты должны понимать о чем идет речь. Если РД будут написаны философами то... всё, беда :-) Повторяю: учите матчасть!
Константину: ну извините. Быть инкогнито - моё право. А я не против высказывания мнения. Я тоже высказал своё ;-) Дело в том, что автор начал неоправданно оплёвывать полезный ресурс. Я случайно наткнулся на этот пост в поисках людей, которые уже пробовали использовать банк данных в своих целях. Хотел поделиться опытом. А тут такое!
Собственно меня интересовало наличие api или опыт как-то парсить данные об угрозах и уязвимостях. Через обратную связь мне ответили, что пока что api нет. Возможно будут потом.
ps так что про "поржать" уж извините, вырвалось. А слово "спец" Вы почему в кавычки взяли? Я что-то не так сказал?

 
up
24 users have voted.
Аватар пользователя Атаманов Геннадий

1. Да, я философ! В том смысле, что люблю истину. И у меня за плечами 20 лет службы в Гостехкомиссии (это, надеюсь, Вы тоже прочитали), где меня учили читать и писать РД и НМД. Во ВСТЭК, видимо, этому не учат. Иначе таких, с позволения сказать, документов не было бы и в помине. Кстати, а новый "документ" - это вообще ... ну ни в какие ворота. Или я опять не прав?
2. Опеделения, о которых Вы пишите, являются полнейшим абсурдом - в них нет ни логики, ни здравого смысла - и ссылаться на них считаю моветоном. Кстати, а в каком официальном документе есть определение "виртуальной машины?
3. Право на анонимность есть у всех, но пользуются им только воры и трусы. Не уподобляйтесь ни тем, ни другим. В приличном обществе принято перед началом разговора представляться. Если Вы из "ольгинских", то лучше залегендируйтесь.
4. Хотели поделиться опытом использования этого "банка данных", поделитесь. Не здесь, так в отдельном посте. Может и я чего пойму и осознаю свою неправоту. Чтобы я понял и осознал, написать нужно грамотно и логически верно (логику я понимаю и принимаю на раз). Пойму и осознаю, принесу извинения. Публично. Пока для этого нет оснований.
5. Полагаю, что К.В.Ржавский взял слово спец в кавычки потому, что не понял из какой Вы "оперы". Сам-то он очень большой спец в своём деле и знает, практически, всех достойных в этой сфере деятельности спецов. И в этой сфере не принято скрывать своё лицо.
 

up
27 users have voted.
Аватар пользователя ildar

2. Право либо есть либо его нет. Осуждение кого либо за использование им его прав моветон.

up
5 users have voted.
Аватар пользователя zero0access

1, 2 Из документов я для себя черпаю то, что мне нужно для работы. Да, иногда приходится выкручиваться. ИМХО, сейчас дела начали двигаться в гору. Термин виртуалиальной машины я видел года два назад в проекте ГОСТ по защите информации, обрабатываемой с использованием технологий виртуализации. Окончательную редакцию не видел. Возможно она с ограниченным доступом.Что касается "абсурда" в терминах - Вы просто их не понимаете или не хотите понять.
3. Вы пытаетесь меня оскорбить, называя вором и трусом. Это признак испуга ;-) я не вор и не трус. Я не публичная личность.
4. Опытом? Уж извините, но Вы явно не технарь (удивлен, что Вы не придрались в термину "парсинг"). Возможно через какое-то время Вы увидете результат моей работы, но не в соседнем посте. Я не блогер.
5. Не ставлю под сомнение знания К.В.Ржавского. Я с ним не знаком. Удаляюсь =)

ps "Ольгинские"? Сами Вы "ольгинский" ;-)
up
12 users have voted.
Аватар пользователя Ржавский Константин

Да не вопрос! «Человек из ИБ» - это утопия, судя по Вашему слэнгу Вы далеки от ИБ, как Марс от Солнца и если Вы не разделяете понятий ИБ и ТЗИ, то мною означенные кавычки - это близко к истине. Ну а на счет «Я что-то не так сказал?» и «человек из ИБ должен знать что такое ZeroAccess (ZAccess, Sirefef и др). Так что учите матчасть.» Так вот я бы постеснялся (негоже однако!) заочно обвинять кого то в некомпетентности знания тезауруса предметной области ежели не знаешь с кем имеешь честь беседовать (я в плане некомпетентности).
Г. Атаманов в курсе-в курсе тезауруса используемого сегодня в ТЗИ, но он (смысловой аппарат) ему не нравится и он пытается это оспорить в дискуссии, ведь не будет споров – не дойдем до истины! Да! имеем то что имеем, работаем с тем что дают, спасибо что сдвинулось, но есть же о чем поговорить, так и давайте говорить, спорить, …. а вдруг!

up
21 user has voted.
Аватар пользователя zero0access

Не расстраивайте меня. "Не будет споров не будет истины" - одно дело спор, другое - блевотина.  У термина "Информационная безопасность" есть много трактовок. Или вот в этом разделе: http://habrahabr.ru/hub/infosecurity/ тоже пишут далёкие от ИБ люди?
ps я потерял интерес к этой беседе. Болтуны. Отписываюсь.

 
up
7 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.