Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Методические рекомендации по категорированию объектов КИИ от АДЭ: мои комментарии

Аватар пользователя Атаманов Геннадий
Автор: Атаманов Геннадий,
(2)
()
Опубликовано в:

Вчера – 11 июля – Сергей Борисов опубликовал на BISA пост «КИИ. МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ ОТ АССОЦИАЦИИ ДОКУМЕНТАЛЬНОЙ ЭЛЕКТРОСВЯЗИ», в котором презентовал эти самые методические рекомендации. Я его прочёл. А потом прочёл исходный материал и написал комментарий, но он получился довольно большим и в одно окно не поместился, поэтому я решил представить его в виде поста.

Для начала вопрос: по чему судят о качестве системы?

Правильно – по её самому слабому звену.

По чему нужно оценивать качество документа?

По аналогии –  по его самым слабым местам.

 

В представленном документе слабых мест – хоть отбавляй. Остановлюсь на самых, с моей точки зрения, слабых.

 

1. Перечень объектов КИИ оператора связи, подлежащих категорированию (п.7, табл. 5), с моей точки зрения, составлен неверно и далеко не полон. Например, там нет объектов, обеспечивающих процессы управления организацией. А процессы управления самым непосредственным образом влияют на устойчивость всей системы.  

 

2. С.34: «В рамках оценки возможности реализации угроз безопасности информации оператором связи учитывается, что в качестве мер противодействия угрозам безопасности информации рассматриваются только организационные, механические и/или аналоговые меры, т.е. меры которые не могут быть подвержены компьютерным атакам (например, физические и механические меры ограничения непосредственного доступа к объектам КИИ, аналоговые каналы управления, механические переключатели и др.)».

«Механические и/или аналоговые меры» – это что? Откуда?

«Меры которые не могут быть подвержены компьютерным атакам» – ладно запятую пропустили (с кем не бывает), но «меры, подверженные компьютерным атакам» – это что? По-моему – УЖАС!

 

3. C. 70: О каких угрозах и, главное, угрозах кому/чему идёт речь?

В заглавии – Перечень основных угроз безопасности информации в отношении типовых объектов КИИ. В тексте – В отношении типовых объектов КИИ, принадлежащих операторам связи, актуальны следующие основные типы угроз безопасности информации.

Это о чём? Об угрозах информации (ещё раз – безопасности никто и никогда не угрожал) или об угрозах объектам КИИ?

Далее по порядку:

1. Угрозы создания нештатных режимов работы – это о чём?

Нештатный режим – НЕ УГРОЗА! Угроза – вывод из строя оборудования или прекращение (нарушение) функционирования.

2. Угрозы доступа (проникновения) в операционную среду – НЕ УГРОЗА!

Доступ в операционную среду – обязанность работников ИТ-подразделения. Проникновение в операционную среду стороннего субъекта – тоже не угроза. Он мог попасть туда и ничего не натворить, а только высветить уязвимость. И это будет благо, а не угроза. Угрозы всё те же – деструкция, дисфункция, дискомфорт!

2.2. Угрозы удаленного доступа (сетевые атаки) – НЕ УГРОЗЫ! По тем же причинам.

2.2.1. Анализ сетевого трафика – задача работников ИБ-подразделения.

2.2.2. Сканирование сети – аналогично предыдущему пункту.

2.2.3. «Парольная» атака – НЕ УГРОЗА! Это – способ реализации угрозы.

2.2.4. Подмена доверенного объекта сети – этап реализации угрозы.

2.2.5. Навязывание ложного маршрута – аналогично предыдущему.

2.2.6. Внедрение ложного объекта сети – из той же серии.

2.2.7. Отказ в обслуживании – УГРОЗА!

2.2.8. Удаленный запуск приложений – НЕ УГРОЗА!

3. Угрозы программно-математического воздействия – НЕ УГРОЗЫ!  Программно-математическое воздействие – способ реализации угрозы.

 

4. Все критерии значимости, перечисленные в Приложении Ж, имеют самое непосредственное отношение к операторам связи, как то:

- причинение ущерба жизни и здоровью людей, например: нет связи, человек не дозвонился: в скорую – больной (или несколько пострадавших) умер, в пожарку – дом сгорел (вместе с людьми), в полицию – террористы захватили и убили заложников… и т.д. и т.п.;

- организации водоснабжения, теплоснабжения и пр. используют в качестве транспортной базы для своих АСУТП арендованные у операторов связи каналы. Нет канала – катастрофа;

- все органы власти осуществляют управление по каналам, принадлежащим операторам связи. Нет связи – нет управления на всех уровнях власти, в т.ч. в ВС, ФСБ, МВД, МГОЧС и пр.;

- экология: все операторы связи облучают людей мощным жёстким электромагнитным излучением (радиорелейные станции, 24 и 48 ГГц.);

И так далее и тому подобное.

Вывод: всё, что написано в Приложении Ж, – ложь!

 

И этот документ» согласован регуляторами!

Это могло произойти, если они:

1) его не читали;

2) не поняли, что там написано;

3) читали, поняли, но… (догадайтесь сами).

 

4. Нарисовать типовую ИС/АСУ/ИТКС – можно. Вы попробуйте определить состав конкретной ИС/АСУ/ИТКС, исходя из их гостированных определений.

Утверждение: ЭТО НЕВОЗМОЖНО!

Следствие 1: в РФ нет ни одного предприятия/учреждения/организации, в которых был бы правильно (в соответствии с ГОСТом) определён состав ИС/АСУ/ИТКС.

 

Про типы, мотивацию и модель нарушителя писать не буду. И так всё понятно.

 

Выводы:

  1. Документ содержит несколько существенных ошибок.
  2. Главная его роль видится в мотивации операторов связи к оформлению документов на свои объекты КИИ, т.е. – помощь регуляторам.
  3. Составить перечни объектов КИИ, используя эти рекомендации, субъекты КИИ-операторы связи может быть и смогут (не без труда, конечно), но, когда регулятор внесёт их в реестр, прослезятся.
Оцените материал:
Total votes: 4
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя Ржавский Константин

По моим наблюдениям, довольно таки субъективным, сейчас идет тенденция на быструю отработку заказа сверху не принимая во внимание различные условности в виде терминологии, тезауруса и прочих "мелочей". Никого не интересует онозначность суждений и понятий, потому как документ не расчитан на длительное пользование: "Ну выпустили сегодня, ну и забыли завтра" Печально.

up
2 users have voted.
Аватар пользователя Атаманов Геннадий

Видимо, всё именно так и есть. Скорее всего, данный документ, действительно не рассчитан на длительное пользование, но сам закон не на один же день принят. Кроме того, думаю, что эти Методические рекомендации начнут тиражировать все остальные «сферы». 

up
1 user has voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.