Методические рекомендации по категорированию объектов КИИ от АДЭ: мои комментарии

Аватар пользователя Атаманов Геннадий
Автор: Атаманов Геннадий,
(2)
()
Опубликовано в:

Вчера – 11 июля – Сергей Борисов опубликовал на BISA пост «КИИ. МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ ОТ АССОЦИАЦИИ ДОКУМЕНТАЛЬНОЙ ЭЛЕКТРОСВЯЗИ», в котором презентовал эти самые методические рекомендации. Я его прочёл. А потом прочёл исходный материал и написал комментарий, но он получился довольно большим и в одно окно не поместился, поэтому я решил представить его в виде поста.

Для начала вопрос: по чему судят о качестве системы?

Правильно – по её самому слабому звену.

По чему нужно оценивать качество документа?

По аналогии –  по его самым слабым местам.

 

В представленном документе слабых мест – хоть отбавляй. Остановлюсь на самых, с моей точки зрения, слабых.

 

1. Перечень объектов КИИ оператора связи, подлежащих категорированию (п.7, табл. 5), с моей точки зрения, составлен неверно и далеко не полон. Например, там нет объектов, обеспечивающих процессы управления организацией. А процессы управления самым непосредственным образом влияют на устойчивость всей системы.  

 

2. С.34: «В рамках оценки возможности реализации угроз безопасности информации оператором связи учитывается, что в качестве мер противодействия угрозам безопасности информации рассматриваются только организационные, механические и/или аналоговые меры, т.е. меры которые не могут быть подвержены компьютерным атакам (например, физические и механические меры ограничения непосредственного доступа к объектам КИИ, аналоговые каналы управления, механические переключатели и др.)».

«Механические и/или аналоговые меры» – это что? Откуда?

«Меры которые не могут быть подвержены компьютерным атакам» – ладно запятую пропустили (с кем не бывает), но «меры, подверженные компьютерным атакам» – это что? По-моему – УЖАС!

 

3. C. 70: О каких угрозах и, главное, угрозах кому/чему идёт речь?

В заглавии – Перечень основных угроз безопасности информации в отношении типовых объектов КИИ. В тексте – В отношении типовых объектов КИИ, принадлежащих операторам связи, актуальны следующие основные типы угроз безопасности информации.

Это о чём? Об угрозах информации (ещё раз – безопасности никто и никогда не угрожал) или об угрозах объектам КИИ?

Далее по порядку:

1. Угрозы создания нештатных режимов работы – это о чём?

Нештатный режим – НЕ УГРОЗА! Угроза – вывод из строя оборудования или прекращение (нарушение) функционирования.

2. Угрозы доступа (проникновения) в операционную среду – НЕ УГРОЗА!

Доступ в операционную среду – обязанность работников ИТ-подразделения. Проникновение в операционную среду стороннего субъекта – тоже не угроза. Он мог попасть туда и ничего не натворить, а только высветить уязвимость. И это будет благо, а не угроза. Угрозы всё те же – деструкция, дисфункция, дискомфорт!

2.2. Угрозы удаленного доступа (сетевые атаки) – НЕ УГРОЗЫ! По тем же причинам.

2.2.1. Анализ сетевого трафика – задача работников ИБ-подразделения.

2.2.2. Сканирование сети – аналогично предыдущему пункту.

2.2.3. «Парольная» атака – НЕ УГРОЗА! Это – способ реализации угрозы.

2.2.4. Подмена доверенного объекта сети – этап реализации угрозы.

2.2.5. Навязывание ложного маршрута – аналогично предыдущему.

2.2.6. Внедрение ложного объекта сети – из той же серии.

2.2.7. Отказ в обслуживании – УГРОЗА!

2.2.8. Удаленный запуск приложений – НЕ УГРОЗА!

3. Угрозы программно-математического воздействия – НЕ УГРОЗЫ!  Программно-математическое воздействие – способ реализации угрозы.

 

4. Все критерии значимости, перечисленные в Приложении Ж, имеют самое непосредственное отношение к операторам связи, как то:

- причинение ущерба жизни и здоровью людей, например: нет связи, человек не дозвонился: в скорую – больной (или несколько пострадавших) умер, в пожарку – дом сгорел (вместе с людьми), в полицию – террористы захватили и убили заложников… и т.д. и т.п.;

- организации водоснабжения, теплоснабжения и пр. используют в качестве транспортной базы для своих АСУТП арендованные у операторов связи каналы. Нет канала – катастрофа;

- все органы власти осуществляют управление по каналам, принадлежащим операторам связи. Нет связи – нет управления на всех уровнях власти, в т.ч. в ВС, ФСБ, МВД, МГОЧС и пр.;

- экология: все операторы связи облучают людей мощным жёстким электромагнитным излучением (радиорелейные станции, 24 и 48 ГГц.);

И так далее и тому подобное.

Вывод: всё, что написано в Приложении Ж, – ложь!

 

И этот документ» согласован регуляторами!

Это могло произойти, если они:

1) его не читали;

2) не поняли, что там написано;

3) читали, поняли, но… (догадайтесь сами).

 

4. Нарисовать типовую ИС/АСУ/ИТКС – можно. Вы попробуйте определить состав конкретной ИС/АСУ/ИТКС, исходя из их гостированных определений.

Утверждение: ЭТО НЕВОЗМОЖНО!

Следствие 1: в РФ нет ни одного предприятия/учреждения/организации, в которых был бы правильно (в соответствии с ГОСТом) определён состав ИС/АСУ/ИТКС.

 

Про типы, мотивацию и модель нарушителя писать не буду. И так всё понятно.

 

Выводы:

  1. Документ содержит несколько существенных ошибок.
  2. Главная его роль видится в мотивации операторов связи к оформлению документов на свои объекты КИИ, т.е. – помощь регуляторам.
  3. Составить перечни объектов КИИ, используя эти рекомендации, субъекты КИИ-операторы связи может быть и смогут (не без труда, конечно), но, когда регулятор внесёт их в реестр, прослезятся.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.