1 июня, понедельник 20:04
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Анализ уязвимостей по ОУД4

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Анализ уязвимостей по ОУД4

    Привет.
    Т. к. необходимо использовать сертифицированное ПО которым пользуются клиенты либо ПО в отношении которого проведена оценкам уязвимостей по ОУД4,
    Какие организации этим занимаются (не получилось нагуглить)?
    От ЦБ кто-нибудь видел профиль защиты для проведения анализа уязвимостей?

  • #2
    Проект профиля вызвал массу замечаний и в самом ЦБ, и у экспертов, и главное - у ФСТЭК, которая и утверждает профили. Поэтому профиля зашиты нет, и в обозримом будущем не будет.

    Анализом уязвимостей занимаются лицензиаты ФСТЭК, имеющие лицезию ТЗКИ с указанным в ней видом деятельности "контроль защищенности информации в информационных системах". К ним относятся, например, все аккредитованные ФСТЭК испытательные лаборатории. Вот только анализом уязвимостей на самом деле большинство из них никогда в жизни не занимались, и что это такое - представляют крайне смутно. Проект методического документа ФСТЭК по анализу уязвимостей еще только проходит экспертизу.

    При этом ГОСТ 15408-3, на который ссылается ЦБ, со следующего года (после принятия новой методички) перестанет признавать руководящим документом, а в новой методичке под ОУД4 понимается совсем другое.

    Как ЦБ будет выкручиваться - большой вопрос. По хорошему надо приводить 382-П в соответствие новой ФСТЭКовской нормативке.

    Комментарий


    • #3
      Сообщение от malotavr Посмотреть сообщение
      все аккредитованные ФСТЭК испытательные лаборатории. Вот только анализом уязвимостей на самом деле большинство из них никогда в жизни не занимались, и что это такое - представляют крайне смутно.
      Значит вот такие вот лаборатории...
      Придётся искать среди других лицензиатов, которые занимаются пен-тестами и поиском уязвимостей.

      Комментарий


      • #4
        Сообщение от malotavr Посмотреть сообщение
        ......По хорошему надо приводить 382-П в соответствие новой ФСТЭКовской нормативке.
        А также, насколько я понимаю, ГОСТ Р 57580.1-2017 и проекты требований по ИБ для банков и некредитных организаций, где так же есть требования на контроль по ОУД4.

        Комментарий


        • #5
          Сообщение от saches Посмотреть сообщение
          А также, насколько я понимаю, ГОСТ Р 57580.1-2017 и проекты требований по ИБ для банков и некредитных организаций, где так же есть требования на контроль по ОУД4.
          Отсутствие ФСТЭКовской нормативки не мешает лицензиатам проводить аудит по PCI-DSS и делать пен-тесты по OWASP. Так же они могут провести и анализ по Common Criteria.

          Комментарий


          • #6
            Сообщение от ost Посмотреть сообщение
            Отсутствие ФСТЭКовской нормативки не мешает лицензиатам проводить аудит по PCI-DSS и делать пен-тесты по OWASP. Так же они могут провести и анализ по Common Criteria.
            Написал человек, ни разу в жизни не сталкивавшийся с оценкой по Common Criteria

            В Common Criteria (точнее, в Common Evaluation Methoodology) нет методики анализа уязвимостей, поэтому при оценке на соответствие ОУД 4+ оценщики руководствуются нормативными актами регулятора, руководящего национальной системой сертификации той страны, в которой подается заявка на оценку. Оценку могут проводить только компании, аккредитованные этим национальным регулятором. Каковых в на все страны-участники CCRA десятка три суммарно.

            Разумеется, любой хрен с бугра может выписать бумажку, что он провел оценку на соответствие требованиям, только ценность это бумажки для ЦБ равна нулю.

            Комментарий


            • #7
              Сообщение от ost Посмотреть сообщение
              Значит вот такие вот лаборатории...
              Придётся искать среди других лицензиатов, которые занимаются пен-тестами и поиском уязвимостей.
              Пойдите, поищите Вам очень сильно повезет, если найдете среди них кого-нибудь, кто хотя бы знает о существовании ГОСТ 18045 и его требованиях о порядке проведения оценки. А главное, результаты этой оценки юридически ничтожны, так как ее имеют право проводить только лицензиаты, аккредитованные ФСТЭК для проведения такой оценки

              Комментарий


              • #8
                Сообщение от malotavr Посмотреть сообщение
                Оценку могут проводить только компании, аккредитованные этим национальным регулятором.
                Так РФ же не является участником договора Common Criteria Recognition Arrangement, у нас всё по другому. Я задавал ЦБ вопрос, будут ли они признавать сертификат соответствия EAL4, выданный одной из международных лабораторий. Сказали нет, только лицензиаты ФСТЭК, вот и чудненько.

                Сообщение от malotavr Посмотреть сообщение
                результаты этой оценки юридически ничтожны, так как ее имеют право проводить только лицензиаты, аккредитованные ФСТЭК для проведения такой оценки
                Ошибаетесь, в 382-П есть единственное требование -- наличие лицензии ФСТЭК по подпунктам "б", "д", "е" пункта 4, и всё! и больше ничего не надо!
                Это требование установлено ЦБ и только ЦБ принимает такие оценки, а нам больше ничего и не надо.

                Комментарий


                • #9
                  Сообщение от ost Посмотреть сообщение
                  Отсутствие ФСТЭКовской нормативки не мешает лицензиатам проводить аудит по PCI-DSS ......
                  А этот меседж вообще о чем? Вроде бы обсуждается ссылка в новых документах ЦБ на практически уже не действующую методичку ФСТЭК.
                  Или PCI DSS то же на какие-то документы ФСТЭК ссылается?

                  Комментарий


                  • #10
                    Сообщение от ost Посмотреть сообщение
                    Так РФ же не является участником договора Common Criteria Recognition Arrangement, у нас всё по другому. Я задавал ЦБ вопрос, будут ли они признавать сертификат соответствия EAL4, выданный одной из международных лабораторий. Сказали нет, только лицензиаты ФСТЭК, вот и чудненько.
                    Это ж вы решили поискать тех, кто проведет анализ по Common Criteria. Никто не проведет, потому что уже объяснил выше. Common Criteria и ГОСТ 15408 - 'nj ytvyj;rj cjdctv hfpyst dtob/

                    Сообщение от ost Посмотреть сообщение
                    Ошибаетесь, в 382-П есть единственное требование -- наличие лицензии ФСТЭК по подпунктам "б", "д", "е" пункта 4, и всё! и больше ничего не надо!
                    Это требование установлено ЦБ и только ЦБ принимает такие оценки, а нам больше ничего и не надо.
                    Это вы ошибаетесь, не очень разбираясь в предметной области Чтобы ЦБ принял эту оценку, нужно, чтобы за эту оценку сперва кто-то взялся. При наличии нормативных документов ФСТЭК лицензиаты обязаны руководствоваться в своей деятельности нормативными документами ФСТЭК. На момент вставки этого требования в 382-П таким документом был ГОСТ 15408-3, но он "фсе", вместо него будет совсем другой документ с совсем другими требованиями. Лицензиаты с видами деятельности 4д и 4е не имеют права проводить такую оценку. ЦБ может считать иначе, но эти лицензиаты поднадзорны ФСТЭК, а не ЦБ. А ФСТЭК, к тому же не одобряет эту инициативу ЦБ.

                    Поэтому вам придется найти авантюриста, который одновременно будет и лицензиатом ФСТЭК, и согласится забить на мнение и нормативку ФСТЭК. Удачи в поисках

                    По молодости, работая в испытательной лаборатории, я в такой авантюре поучаствовал. Мы сертифицировали по ГОСТ 15408 антивирус, тогда как антивирусная защита в тот момент относилась к компетенции ФСБ - и ФСБ была категорически против проведения такой работы. Скандал вышел на уровень Совбеза и закончилось кадровыми перестановками в одном из управлений ФСТЭК, Нас не зацепило только благодаря наличию в тот момент хорошего административного ресурса. Готовы стать поводом для разборок между ЦБ и ФСТЭК?

                    Комментарий


                    • #11
                      Сообщение от malotavr Посмотреть сообщение
                      ......Как ЦБ будет выкручиваться - большой вопрос. По хорошему надо приводить 382-П в соответствие новой ФСТЭКовской нормативке.
                      ......Готовы стать поводом для разборок между ЦБ и ФСТЭК?
                      Всё это напоминает старую поговорку - "Паны дерутся, а у холопов чубы трещат". Т.е. ситуация может быть и такой - проверяющие из ЦБ пишут предписание -"Банком не проведен внешний аудит в соответствии с требованиями П-..., У-..., ГОСТ... . Устранить.....". А лицензиаты отмораживаются, т.к. нет действующей нормативки ФСТЭК.
                      И что банку в таком случае остается делать?



                      Комментарий


                      • #12
                        Сообщение от malotavr Посмотреть сообщение

                        Поэтому вам придется найти авантюриста, который одновременно будет и лицензиатом ФСТЭК, и согласится забить на мнение и нормативку ФСТЭК. Удачи в поисках
                        Найдём. И не только мы, но и другие банки.

                        Ужастики можете внукам рассказывать.

                        Комментарий


                        • #13
                          Сообщение от saches Посмотреть сообщение
                          А этот меседж вообще о чем? Вроде бы обсуждается ссылка в новых документах ЦБ на практически уже не действующую методичку ФСТЭК.
                          Или PCI DSS то же на какие-то документы ФСТЭК ссылается?
                          К тому, что иметь лицензию фстэк это одно, а делать аудит по pci-dss совсем другое. При этом можно одно и другое совмещать, оно существует в двух параллельных вселенных и никак не пересекается.

                          Нигде же не сказано, что проводить аудит pci-dss, или делать оценку на ОУД4 надо по методичкам ФСТЭК. Надо просто иметь лицензию.

                          Вот тот же самый аудит по 382-П какое имеет отношение к методичкам ФСТЭК? Чё-то никто не возбудился на эту тему...

                          Комментарий


                          • #14
                            ost
                            А еще, "в огороде бузина, а в Киеве дядька", это тоже иногда весомый аргумент...

                            Комментарий


                            • #15
                              Сообщение от saches Посмотреть сообщение
                              ost
                              А еще, "в огороде бузина, а в Киеве дядька", это тоже иногда весомый аргумент...
                              Вот этого не понял.

                              Вам ясно сказали, что лицензия фстэк это просто доступ на рынок, дальше можно зарабатывать деньги как хотите, в т.ч. просто торговать подписью. За это ничего не грозит.

                              Комментарий


                              • #16
                                Сообщение от ost Посмотреть сообщение
                                Найдём. И не только мы, но и другие банки.
                                Ужастики можете внукам рассказывать
                                Вот когда найдете, тогда и поделитесь опытом А пока это все пустые слова.

                                Комментарий


                                • #17
                                  Сообщение от ost Посмотреть сообщение
                                  Нигде же не сказано, что проводить аудит pci-dss, или делать оценку на ОУД4 надо по методичкам ФСТЭК..
                                  Ага, нигде не сказано, конечно. И процедуры надзора над лицензиатами нигде не прописаны. И лицензиар их никогда в рамках этого надзора не наказывает. Жгите дальше

                                  Лицензия, как вы правильно заметили, это бумажка для доступа на рынок. Рынок - это отнюдь не банки с их смехотворными бюджетами на ИБ, а госсектор. С госконтрактами, в которых одним из квалификационных условий является наличие этой самой бумажки. И лицензиаты, которые действительно работают, этой бумажкой дорожат и лицензиара стараются понапрасну не раздражать.
                                  ​​​​​

                                  Комментарий


                                  • #18
                                    Сообщение от saches Посмотреть сообщение

                                    Всё это напоминает старую поговорку - "Паны дерутся, а у холопов чубы трещат". Т.е. ситуация может быть и такой - проверяющие из ЦБ пишут предписание -"Банком не проведен внешний аудит в соответствии с требованиями П-..., У-..., ГОСТ... . Устранить.....". А лицензиаты отмораживаются, т.к. нет действующей нормативки ФСТЭК.
                                    И что банку в таком случае остается делать
                                    В идеале - дождаться принятия методики и отправить в ЦБ запрос "а можно, в соответствии с информационным сообщением ФСТЭК, руководствоваться не ГОСТ 15408, а вот этой методикой". ЦБ ответит "да, конечно" и на этом все.

                                    Методика особых замечаний не вызыаает, 24го ФСТЭК их рассмотрит, и документ уйдет на утверждение
                                    Последний раз редактировалось malotavr; 13.12.2018, 09:28.

                                    Комментарий


                                    • #19
                                      Сообщение от malotavr Посмотреть сообщение
                                      Вот когда найдете, тогда и поделитесь опытом
                                      И не только я найду. К 20-му году на рынке будет несколько систем ДБО соответствующих хотелкам ЦБ.

                                      Сообщение от malotavr Посмотреть сообщение
                                      И лицензиар их никогда в рамках этого надзора не наказывает.
                                      Лицензиар чётко сказал, что по хотелкам ЦБ никаких разборок и наказаний не будет.

                                      Комментарий


                                      • #20
                                        Сообщение от ost Посмотреть сообщение
                                        .....Нигде же не сказано, что проводить аудит pci-dss....... надо по методичкам ФСТЭК. Надо просто иметь лицензию...
                                        Просто считаю, что подобный аргумент выглядит странным. Не находите?

                                        Комментарий


                                        • #21
                                          Сообщение от saches Посмотреть сообщение
                                          Просто считаю, что подобный аргумент выглядит странным. Не находите?
                                          Вы просто неудачно выдрали кусок из фразы.

                                          Поясняю, все конторы (как минимум, прошедшие через нас), которые QSA по PCI-DSS также являются и лицензиатами ФСТЭК, так сложилось (видимо им так удобно). Для сведения, эти конторы ещё и системные интеграторы и софтом торгуют и другие работы выполняют, для которых лицензия ФСТЭК не нужна. Аудит PCI-DSS и ФСТЭК никак не связаны, но лицензиату это работать не мешает. Теперь ЦБ захотел, чтобы аудит по 382-П проводили лицензиаты ФСТЭК, 382-П и ФСТЭК друг другу параллельны, просто ЦБ так захотел. ОУД4 и ФСТЭК тоже (есть или станут, особо не разбирался) параллельны, но ЦБ захотел, чтобы это делал лицензиат ФСТЭК. Я утверждаю, что найдутся желающие заработать, которые либо своими силами, либо через привлечение сторонней конторы без лицензии (делают, знаем) проведут и аудит по 382-П и анализ по ОУД4 и проштампуют заключение. Ничего тут незаконного нет.

                                          А странность в другом, почему ЦБ так захотел. Не находите?

                                          Комментарий


                                          • #22
                                            Сообщение от ost Посмотреть сообщение
                                            .....А странность в другом, почему ЦБ так захотел. Не находите?
                                            Если не ошибаюсь, ФСБ всегда хотел, что бы банки получали лицензию на работу с криптографией, когда заводили свой процессинг или подключались к Swift-у.
                                            Совершенно неудивительно, что ФСТЭК также всегда хотел что бы все компании оказывающие услуги в области ИБ, получали его лицензию.
                                            Помница, сколько было разговоров с их стороны, что лицензию на ТЗКИ должны получать все ОПДн.
                                            Тот же PSI DSS, должны проводить QSA, ежеквартальное сканирование - ASV. У Swift-а некая своя аккредитация.
                                            Т.е. позиция ЦБ для меня, как-то совсем не удивительна.
                                            Последний раз редактировалось saches; 13.12.2018, 15:26.

                                            Комментарий


                                            • #23
                                              Сообщение от saches Посмотреть сообщение
                                              позиция ЦБ для меня, как-то совсем не удивительна.
                                              Есть тонкий момент, у МПС свои QSA, равно как и ФСБ с ФСТЭК, а у ЦБ чужие. Причем эти чужие не знакомы ни с требованиями ЦБ ни с их методиками, и знать их не хотят.

                                              Комментарий


                                              • #24
                                                Сообщение от saches Посмотреть сообщение
                                                Если не ошибаюсь, ФСБ всегда хотел, что бы банки получали лицензию на работу с криптографией, когда заводили свой процессинг или подключались к Swift-у.
                                                Совершенно неудивительно, что ФСТЭК также всегда хотел что бы все компании оказывающие услуги в области ИБ, получали его лицензию.
                                                Помница, сколько было разговоров с их стороны, что лицензию на ТЗКИ должны получать все ОПДн.
                                                Тот же PSI DSS, должны проводить QSA, ежеквартальное сканирование - ASV. У Swift-а некая своя аккредитация.
                                                Т.е. позиция ЦБ для меня, как-то совсем не удивительна.
                                                Вопрос "коллеги, а вам не кажется, что работы по аудиту ИБ и анализу событий" ФСТЭК первый раз поднял три года назад, если я мнемсклероз не изменяет. В итоге в ТЗКИ пояаился новый вид деятельности.

                                                Требования о лицензиатах ЦБ включил в стандарты потому, что требования согласовываются с ФСТЭК. Когла это обсуддалось, ЦБ был задан вопрос: вы собираетесь как-то аккредитовывать тех, кто будет проводить анализ уязвимостей, или это любой дворник может делать? ЦБ на самостоятельну аккредитацию не пошел, а сослался на то, что есть система сертификации ФСТЭК с аккредитованными лабораториями. Так в документе появилась отсылка к использованию сертифицированеых АБС. ФСТЭК возразила, что им и без АБС есть чем заняться, и сертифицировать АБС ее лаборатории не будут.

                                                В итоге вопрос "а будет ли ЦБ признавать анализом уязвимостей фиговые листки, которые будут выписывать лицензиаты, не умеющие проводить такой анализ?" остался без ответа. Позиция ФСТЭК с тех пор неиизменилась, что бкдет делать ЦБ - надо спрашивать у ЦБ

                                                Комментарий


                                                • #25
                                                  Сообщение от malotavr Посмотреть сообщение
                                                  что бкдет делать ЦБ - надо спрашивать у ЦБ
                                                  ЦБ будет требовать от банков сертификаты на АБС или заключение лицензиатов об отсутствии уязвимостей.

                                                  Комментарий


                                                  • #26
                                                    Сообщение от ost Посмотреть сообщение
                                                    ЦБ будет требовать от банков сертификаты на АБС или заключение лицензиатов об отсутствии уязвимостей.
                                                    ​​​​​​Нет. Эта норма вводилась не для того, чтобы создать рынок "за три копейки любую бумажку нарисую". Что будет делать ЦБ, пока не знает и сам ЦБ

                                                    Комментарий


                                                    • #27
                                                      Сообщение от malotavr Посмотреть сообщение
                                                      Что будет делать ЦБ, пока не знает и сам ЦБ
                                                      Да шоб он вообще пропал. Эти уроды уже достали.

                                                      Комментарий


                                                      • #28
                                                        Сообщение от malotavr Посмотреть сообщение
                                                        В идеале - дождаться принятия методики и отправить в ЦБ запрос "а можно, в соответствии с информационным сообщением ФСТЭК, руководствоваться не ГОСТ 15408, а вот этой методикой". ЦБ ответит "да, конечно" и на этом все....
                                                        Был на прошлой неделе в ЦБ, по случаю спросил будут ли что-то менять в нормативке в связи с выходом в ближайшее время новой методички ФСТЭК.
                                                        Ответ - менять не планируют, т.к. не ожидают возникновения противоречий в формулировках.
                                                        В общем надо ждать, когда появятся новые документы. Или может кто проект выложит.....

                                                        Комментарий


                                                        • #29
                                                          Сообщение от ost Посмотреть сообщение
                                                          Да шоб он вообще пропал......
                                                          Негуманно....

                                                          Комментарий


                                                          • #30
                                                            Сообщение от saches Посмотреть сообщение
                                                            Ответ - менять не планируют, т.к. не ожидают возникновения противоречий в формулировках.
                                                            Примерно это и имел в виду Они не особо задумываются, как это будет на практике

                                                            Комментарий

                                                            Обработка...
                                                            X