21 октября, воскресенье 22:01
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Описание информационной системы с точки зрения ИБ

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Описание информационной системы с точки зрения ИБ

    Здравствуйте.
    Описание ИС, перечисление активов является важным этапом на пути решения вопросов ИБ.
    Однако как оказалось это сделать не так просто.
    Перечислить кучу серверов, рабочих станций, ресурсов, ПО - это хоть и трудоемко но не так сложно.
    Важнее другое. Это надо правильно структурировать, необходимо выделять физические, функциональные связи, чтобы можно было с этим работать.

    Посему вопрос, есть ли какие-л. типовые методики / планы описания ИС?

    С уважением.

  • #2
    Самое главное - Ваша цель, зачем Вы хотите это делать и как хотите использовать. От этой печки и надо плясать.

    Комментарий


    • #3
      security_user
      Перечислить кучу серверов, рабочих станций, ресурсов, ПО - это хоть и трудоемко но не так сложно.
      IMHO, для создания списка активов это - не первоочередная задача.
      Кмк, основное - составить своего рода "карту" информационных потоков в организации, например, в виде графа, узлы которого - структурные подразделения организации, а рёбра - как раз те самые "потоки".
      Мы сейчас решаем эту задачу, интервьюируя руководителей разных уровней, дабы чётко определиться с владельцами ресурсов и выдвигаемыми ими требованиям к защите "своей" информации (буде они посчитают необходимым её защищать)...
      Всё в наших руках...(с)

      Комментарий


      • #4
        Сообщение от Пух575 Посмотреть сообщение
        security_user
        [i]
        Кмк, основное - составить своего рода "карту" информационных потоков в организации, например, в виде графа, узлы которого - структурные подразделения организации, а рёбра - как раз те самые "потоки".
        ... и мы получим диаграммы потоков данных DFD.
        Собсно, это один из вариантов, к которому присматриваюсь.

        Комментарий


        • #5
          В целом описание ИС нужно будет для разработки модели актуальных угроз, которая разрабатывается на основе нормативно-методических документов ФСТЭК по защите персональных данных.

          Комментарий


          • #6
            Да, получим DFD. А Стандарт ИББС говорит, что угрозы надо рассматривать на всех уровнях. Поэтому, если использовать DFD, то она, видимо, должна быть многоуровневой.
            Вообще, тема интересная. Давно думал, какую программную базу подвести под классификацию угроз.
            Требования получились следующие:
            1. Возможность работы с многомерными таблицами, так как классифицировать можно по многим признакам
            2. Должна быть возможность создания дочерних объектов (многомерных таблиц) с наследованием некоторых родительских свойств (признаков)
            3. Должна быть возможность поиска объектов по набору признаков
            Думы и сёрфинг привели к двум понятиям: DWH (DataWareHouse) и, как ни странно, LDAP.

            Комментарий


            • #7
              Сообщение от sunny Посмотреть сообщение
              как ни странно, LDAP.
              и как следствие к PKI и мандатному доступу с целью задушить все угрозы в зародыше без построения моделей.

              Комментарий


              • #8
                Ну да. Только PKI и, тем более, мандатку вслепую не внедришь, нужно сначала где-то всё смоделировать, на кошках потренироваться, понять, как оно должно быть и почему. Кстати, Вы представляете себе мандатную модель доступа применительно к потокам данных?

                Комментарий


                • #9
                  Сообщение от sunny Посмотреть сообщение
                  Ну да. Только PKI и, тем более, мандатку вслепую не внедришь, нужно сначала где-то всё смоделировать, на кошках потренироваться, понять, как оно должно быть и почему. Кстати, Вы представляете себе мандатную модель доступа применительно к потокам данных?
                  Не могу представить то, чего не понимаю. Объясните понятия "поток данных" и "доступ" в привязке к "потоку даннкых".
                  Только без использования DFD - "на пальцах".

                  Комментарий


                  • #10
                    Поток данных - информация в процессе передачи.
                    Доступ к потоку - ознакомление с информацией в процессе передачи.

                    Практические примеры - использование сниффера, прослушка телефонных переговоров. IDS, кстати, тоже.

                    Это я к тому, что PKI и мандатный доступ рассматривают ресурсы как объект защиты. Но было бы, кажется, недальновидно исключать из рассмотрения потоки как разновидность активов. С помощью DFD их можно учесть.

                    Комментарий


                    • #11
                      Сообщение от sunny Посмотреть сообщение
                      Поток данных - информация в процессе передачи.
                      Он не образуется сам по себе - его кто-то иницировал (субъект или процесс от имени субъекта). Это источник.
                      Источник потока пытается обратиться к Получателю потока.
                      Мандат - разрешить/запретить организацию потока.

                      Сообщение от sunny Посмотреть сообщение
                      Доступ к потоку - ознакомление с информацией в процессе передачи.
                      Ну это просто перехват - НСД. Его надо убить. Ситуацию, когда обоснованно необходимо подключиться(перхватить) к потоку - не могу.

                      Комментарий


                      • #12
                        Он не образуется сам по себе - его кто-то иницировал (субъект или процесс от имени субъекта). Это источник.
                        Источник потока пытается обратиться к Получателю потока.
                        Мандат - разрешить/запретить организацию потока.
                        Есть ситуации, когда создание потока легитимно и необходимо, а доступ к нему третьего лица есть угроза.
                        Ну это просто перехват - НСД. Его надо убить. Ситуацию, когда обоснованно необходимо подключиться(перхватить) к потоку - не могу.
                        Конечно, НСД. Но не предмет рассмотрения PKI и мандатного контроля доступа.

                        Комментарий


                        • #13
                          Сообщение от sunny Посмотреть сообщение
                          Есть ситуации, когда создание потока легитимно и необходимо, а доступ к нему третьего лица есть угроза.
                          Не знаю ситуаций, когда наличие третьего лица в потоке легитимно. Отсюда вывод если поток есть, то рассматривать надо только 2 объекта.

                          Дальше нужна глубана детализации:
                          Поток инициируется кем-то или от его имени.
                          Инициация потока производится каким-то объектом.
                          Получаем связку субъект-обект.
                          Мандат: разрешить/запретить доступ субъекта к указанному объекту (инициировать процесс от имени субъекта)
                          Предположим - разрешено. Тогда процесс от имени субъекта будет пытаться установить соединение (для организации потока) с Получателем данных (очередной объект)
                          Мандат: разрешить/запретить доступ процесса от имени субъекта к указанному объекту (организовать поток).

                          Детализация минимальна, но было бы желание ее углубить.

                          Отклонение от схемы - НСД. Третье лицо не причем - оно есть нарушитель. На нарушителей матрицы/мандаты не рисуем и доступ не предоставляем. Поэтому обсуждаемая фраза не совсем укладывается в предложенную схему.

                          Сообщение от sunny Посмотреть сообщение
                          Конечно, НСД. Но не предмет рассмотрения PKI и мандатного контроля доступа.
                          А этого никто и не утверждал.

                          Комментарий


                          • #14
                            Сообщение от sunny Посмотреть сообщение
                            Это я к тому, что PKI и мандатный доступ рассматривают ресурсы как объект защиты.
                            Не согласен. Это инструменты, а не одушевленные субъекты, следовательно ни чего рассматривать не могут. Подбор и использование инструментов - личное дело спеца. И только спец может выделить объект защиты и присобачить к нему инструмент.

                            Сообщение от sunny Посмотреть сообщение
                            Но было бы, кажется, недальновидно исключать из рассмотрения потоки как разновидность активов. С помощью DFD их можно учесть.
                            Поток, в предложенном понимании, не будет являться активом - иначе спуститесь до защиты электронов в атоме: тем ли электроном был передан сигнал? Следовало для этого сигнала использовать электрон от третьего атома второго ряда седьмой секции кристалической решетки проводника выполненного из сплава медь 70%остальное примесь железа ну и дальше ахинея в этом же стиле.
                            Останется только микроскоп соответствующего класса приобрести.
                            Перед решением этой задачи - определитесь, что будете считать активом. И ответьте себе - почему это должно быть активом.

                            Комментарий


                            • #15
                              Идущий
                              Информационный актив - ограниченный по каким-либо признакам набор сведений, находящихся в распоряжении организации и имеющих прямое или косвенное отношение к деятельности организации.

                              Суть моего Вам возражения заключалась в том, что (Ваши слова)
                              и как следствие к PKI и мандатному доступу с целью задушить все угрозы в зародыше без построения моделей
                              Если Вы внедрите PKI и мандатный доступ без модели угроз, за бортом останется огромный класс угроз, связанный с НСД к информации в процессе передачи.

                              Комментарий


                              • #16
                                Сообщение от sunny Посмотреть сообщение
                                Информационный актив - ограниченный по каким-либо признакам набор сведений, находящихся в распоряжении организации и имеющих прямое или косвенное отношение к деятельности организации.
                                Не разделяю Вашу точку зрения на понятие актива - очень сложное определение, позволяюще приплести кучу всякого хлама.

                                Пример информационного актива по данному определению:
                                трамвай - косвенное отношение к деятельности организации - доставляет сотрудников на работу (не пешком же им идти) и увозит с работы (не ночевать же им там).
                                Возражение 1 - набор сведений:
                                каждый сотрудники - огромнейший набор сведений.
                                Возражение 2 - находящихся в распоряжении организации:
                                сведения, которые знают сотрудники, принадлежат организации.

                                Сообщение от sunny Посмотреть сообщение
                                Если Вы внедрите PKI и мандатный доступ без модели угроз, за бортом останется огромный класс угроз, связанный с НСД к информации в процессе передачи.
                                Так ли? Особенно к фрагменту "в процессе передачи". PKI-криптоядро+ключ. Ключ в IPSec. Ловите на здоровье весь трафик.
                                Одни угрозы исчезли, но другие добавились (чуток по меньше).

                                Комментарий


                                • #17
                                  Сообщение от sunny Посмотреть сообщение
                                  Информационный актив - ограниченный по каким-либо признакам набор сведений, находящихся в распоряжении организации и имеющих прямое или косвенное отношение к деятельности организации.
                                  А куда девать железяки? Они не информационный актив?

                                  Комментарий


                                  • #18
                                    Железяки и пустые тумбочки в рамках моего определения информационными активами не являются.
                                    Трамвай не является информационным активом, так как не является набором сведений.
                                    Ловите на здоровье весь трафик.
                                    Вы обеспечили контрмеры для угрозы, которой не было у Вас в модели, так как не было самой модели. Изначальный вопрос автора касался описания информационной системы для составления модели угроз.

                                    Комментарий


                                    • #19
                                      Сообщение от Идущий Посмотреть сообщение
                                      Мандат: разрешить/запретить доступ субъекта к указанному объекту (инициировать процесс от имени субъекта)
                                      Коллеги, чтобы вы не путались сами и не путали остальных, предлагаю слово "мандат" не употреблять Слово "мандатная" применительно к политике управления доступом произошло не от слова "мандат" ("mandate"), а от слова "mandatory". Просто разработчики РД Гостехкомиссии "Термины и определения" не смогли корректно перевести словосочетание "mandatory access control".

                                      Мандатная политика управления доступом (в отличие от дискреционной) построена на управлении потоками данных. Под потоком понимается возможность (или право) субъекта получать информацию от объекта (поток чтения) или передавать даные объекту (поток записи). Никаких "мандтов" в ней нет, а есть только два обязательных к исполнению (отсюда и "mandatory") правила:
                                      - читать данные из объекта может только субъект, имеющий тот же или более высокий уровень доступа (помните, как доступ к гостайне регулируется?)
                                      - писать даные в объект может только субъект с таким же или более низким уровнем доступа (это как несекретные по отдельности куски карты, сложеные вместе в одну ГИС, делают ее секретной).

                                      Специально объясняю подробно, чтобы вы поняли, что мандатная политика к обсуждаемому вопросу отношения не имеет

                                      Комментарий


                                      • #20
                                        Сообщение от sunny Посмотреть сообщение
                                        Железяки и пустые тумбочки в рамках моего определения информационными активами не являются.
                                        Трамвай не является активом, так как не является набором сведений.
                                        А как быть? Они не подлежат учету и защите, в организации ИБ не учавствуют?

                                        Сообщение от sunny Посмотреть сообщение
                                        Трамвай не является активом, так как не является набором сведений.
                                        Это почему? Он является средством доставки сведений, косвенно участвует в процессе. Вы же о сниферах упоминали при доступе к потоку. Будем считать, что трамвай это разновидность снифера.
                                        Едут коллеги на работу и обсуждают некую тему, а рядом кто-то "уши греет" - полная схема работы снифера, все признаки на лицо.

                                        Комментарий


                                        • #21
                                          malotavr всё правильно; в моём понимании мандатная политика - синоним модели Белла-ЛаПадуллы

                                          Комментарий


                                          • #22
                                            Сообщение от malotavr Посмотреть сообщение
                                            Коллеги, чтобы вы не путались сами и не путали остальных, предлагаю слово "мандат" не употреблять
                                            Как скажете. Заменю на слово "правило".

                                            Комментарий


                                            • #23
                                              А как быть? Они не подлежат учету и защите, в организации ИБ не учавствуют?
                                              Пустые тумбочки в организации ИБ не участвуют, если только не будут использованы в качестве баррикад для защиты серверной от изъятия баз данных АБС

                                              Он является средством доставки сведений, косвенно участвует в процессе.
                                              В процессе участвует, но информационным активом не является. Так же, как не является информационным активом отбойный молоток, которым строитель роет яму, чтобы установить рекламный щит, на котором потом повесят плакат, содержащий информацию.

                                              Комментарий


                                              • #24
                                                Сообщение от security_user Посмотреть сообщение
                                                Посему вопрос, есть ли какие-л. типовые методики / планы описания ИС?
                                                Использую двух-с-половиной-уровневую модель описания (железо - приложения - физически контроируемый периметр).

                                                На нижнем уровне детализирую систему до железок, устоновленного на нем программного обеспечения, файловых систем и т.п - то, что вы назвали "Перечислить кучу серверов, рабочих станций, ресурсов, ПО". На верхнем уровне детализирую приложения на функциональные компоненты, которые дроблю настолько мелко, чтобы каждый функциональный компонент физически располагался в пределах одного сервера.

                                                Разработчики системы (или те, кто ее внедряют) дают информацию о взаимодействии функциональных компонентов и о критичности этих компонентов для бизнес процессов. Накладывая это на карту нижнего уровня, получаю критичность серверов и потоки данных между серверами (в терминах перекладывания файлов между шарами или сетевых протоколов).

                                                Последний шаг (идет за половинку) накладываю получившуюся картину на размещение серверов по зланиям, получаю критичность арендуемых каналов связи и требования к ним.

                                                Примерно так, если на пальцах.
                                                Последний раз редактировалось malotavr; 11.07.2008, 18:05.

                                                Комментарий


                                                • #25
                                                  Сообщение от Идущий Посмотреть сообщение
                                                  Как скажете. Заменю на слово "правило".
                                                  Тогда замените "мандатная" на "дискреционная", потому что обсуждаете вы все-таки, последнюю

                                                  Комментарий


                                                  • #26
                                                    Сообщение от sunny Посмотреть сообщение
                                                    malotavr всё правильно; в моём понимании мандатная политика - синоним модели Белла-ЛаПадуллы
                                                    Она, родимая А в ней второго ("нелигитимного") субъекта в потоке нет. Она абстрагирована от способа передачи информации - потоком является сама возможность субъекта тем или иным способом получить информацию

                                                    Имено это вы и пытались Идущему объяснить, если я правильнно понял.

                                                    Комментарий


                                                    • #27
                                                      malotavr Йес, оф корс

                                                      Комментарий


                                                      • #28
                                                        Сообщение от Идущий Посмотреть сообщение
                                                        Не разделяю Вашу точку зрения на понятие актива - очень сложное определение, позволяюще приплести кучу всякого хлама.
                                                        Напротив, оно слишком узкое. В соотетствии с определением, актив - это все, что имеет ценность для организации. В этом смысле активом является не только информация, но и возможность пользоваться определенными сервисами, и т.п.

                                                        Сложность в том, чтобы выделить те активы, которые являются информационными. Вы не можете отделить информацию от железа и людей (вспомните определение автоматизированной системы - совокупность программного и аппаратного обеспечения, персонала, информационного наполнения и много чего еще).

                                                        Комментарий


                                                        • #29
                                                          Сообщение от sunny Посмотреть сообщение
                                                          Вы обеспечили контрмеры для угрозы, которой не было у Вас в модели, так как не было самой модели.
                                                          Вы правы - я не предъявил формально описанную модель, но продолжил ряд начавшийся с LDAP, дополнив его PKI и режимным доступом.
                                                          В ответ на предложенную угрозу перхвата трафика (к тому моменту использование PKI возражений не вызывало) предложил IPSec. Если уже есть ключи, почему бы их не использовать качественно?
                                                          Следовательно, полной модели не было, но была одна угроза и рядом лежал инструмент позволяющий ее устранить.

                                                          Сообщение от sunny Посмотреть сообщение
                                                          Изначальный вопрос автора касался описания информационной системы для составления модели угроз.
                                                          Да конечно. Только объясните следующее: разве информационная система не включает в себя по мимо информации и потоков информации еще и другие элементы?

                                                          Комментарий


                                                          • #30
                                                            malotavr я долго думал над этим определением, и ничего лучшего не придумал, чем отделить понятие "информационный актив" от всего остального, ограничив его именно информацией и только.
                                                            Автоматизированная система как актив в широком понимании имеет ценность, которая складывается из материальной ценности железа и ценности информации, которая на этом железе крутится. Эта информация в рамках моего определения и есть информационный актив.

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X