4 июня, четверг 14:48
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Анализ уязвимостей по ОУД4

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от Александр Четвертый Посмотреть сообщение
    (сбер, альфа, тинькоф..), у которых одних разработчиков тысячи в штате? Как они в "свой аджайл" хотят встроить анализ уязвимостей по ГОСТ ИСО МЭК?
    Они сами не понимают и поэтому голосовали против принятие профиля. Очевидно нужно внедрять Devsecops и интегрировать с профилем процедуры разработки, проверки, доработки.

    Комментарий


    • Сообщение от Cpx Посмотреть сообщение

      Вам подробно разжувал.
      Срх, замечательно! Теперь откройте любой профиль опубликованный на сайте ФСТЭК, Раздел 1 и внимательно читайте - "на соответствие обязательным требованиям по безопасности информации". Обязательность требований устанавливается ГОСТОм и 382-П (надеюсь они в Вашем понимании обязательные?), и испытательные лаборатории будут использовать именно этот профиль в силу того, что он прошёл все процедуры и утверждён ФСТЭКом. И если Ваша система не будет соответствовать Профилю - заключение испытательной лаборатории будет отрицательным. То есть нигде не сказано что профиль обязательный, но после утверждения ФСТЭКом только он может быть использован для оценки.
      Теоретически Вы можете сделать свой профиль, но только теоретически. Ваш профиль может только усилить требования ЦБ-шного но не ослабить их, ослабить не позволит ЦБ (про сломанные копья в ТК-122 в курсе?). ФСТЭК не будет делать лишнюю работу и не станет заморачиваться с ещё одним профилем - Вам предложат использовать уже утверждённый профиль, а дополнительные ужесточения делать в инициативном порядке. Уверен, что и ЦБ не будет против ужесточения.

      Комментарий


      • Сообщение от rbr Посмотреть сообщение
        Теперь откройте любой профиль опубликованный на сайте ФСТЭК, Раздел 1 и внимательно читайте - "на соответствие обязательным требованиям по безопасности информации". Обязательность требований устанавливается ГОСТОм и 382-П (надеюсь они в Вашем понимании обязательные?), и испытательные лаборатории будут использовать именно этот профиль в силу того, что он прошёл все процедуры и утверждён ФСТЭКом.
        Буфф...

        С этим профилем авторы инициативы оказали ЦБ медвежью услугу. Я не знаю, кто именно подкинул ЦБ идею разработки этого профиля, но это человек, тяжко ушибленный системой сертификации ФСТЭК. Профиль защиты может применяться только для сертификации на соответствие функциональным компонентам профиля и ни для чего другого.

        Профиль защиты не имеет никакого отношения к исполнению нормативных документов ЦБ. В нормативных документах говорится - "анализ уязвимостей в соответствии с требованиями ОУД4 ГОСТ 15408-3"). Анализ уязвимостей в ГОСТ 15408-3 - это один компонент доверия, определенная совокупность телодвижений, которые должны проделать заявитель и оценщик для того, чтобы ответить на вопрос: проводит ли разработчик самостоятельный поиск и устранение уязвимостей. В отличие от функциональных компонентов ГОСТ 15408-2, компоненты доверия ГОСТ 15408-3 представляют собой фиксированную совокупность действий заявителя и оценщика, и никакой профиль ее изменить не может.

        Единственная причина, по которой здесь и в телеграм-канале я упорно твержу "учите матчасть - читайте профиль": то, что в ГОСТ 15408 и ГОСТ 18045 написано корявым переводом с корявого английского, в профиле разжевано более человеческим языком в виде замечаний к применению компонентов доверия. Профиль не устанавливает новые требования к анализу уязвимостей, он просто пересказывает их более понятным языком. Т.е. и без профиля квалифицированный оценщик должен делать ровно то, что написано в профиле - за вычетом незначительных нюансов "чем ОУД4+ отличается от ОУД4".


        Комментарий


        • Сообщение от malotavr Посмотреть сообщение
          Я не знаю, кто именно подкинул ЦБ идею разработки этого профиля
          ЦБИ, работы длились более 2х лет...

          Сообщение от rbr Посмотреть сообщение
          Срх, замечательно!
          У Вас видимо есть свой ответ на любой вопрос. Не вижу смысла далее продолжать монолог, Вам два человека говорят, что Нет - но вы не согласны. Один из них очень уважаемая личность в кругах ИБ и на рынке более 10 лет (это я про коллегу ).
          Ваше право действовать как посчитаете нужным, но советую привлечь нормального эксперта, чтобы не иметь потом проблем трату денег не понятным интегратором торгующие заключения (фантики).

          п.с. у ЦБ есть здравая мысль заменить ГОСТ ИСО МЭК на свой документ и тогда не будет ФСТЭК и часть проблем уйдет.
          п.с.2 ФСТЭК отказался от профилей совсем пару лет назад, поэтому они доживают свое время.

          Комментарий


          • Господа, тут больше половины народу не понимают о чем Вы говорите.
            Надо бумажку о проведении "чего-то" по ОУД4 на ДБО для проверки показать.
            Как это сделать каждый решает сам.

            Комментарий


            • Сообщение от dnebyshe Посмотреть сообщение
              Как это сделать каждый решает сам.
              Так проблема как раз в том, что нужно понять и разобраться в вопросе.
              Сообщение от dnebyshe Посмотреть сообщение
              тут больше половины народу не понимают о чем Вы говорите.
              И только после этого взвесив все за и против, затраты (деньги, ресурсы), сроки, период обновления - принять решение и убедить в этом руководство.
              Иначе даже принять работы, кроме как слепо подписать акт - вы не сможете. А когда ЦБ бумажка не устроить, Вам придется начинать сначала.

              Комментарий


              • Сообщение от Cpx Посмотреть сообщение

                У Вас видимо есть свой ответ на любой вопрос. Не вижу смысла далее продолжать монолог, Вам два человека говорят, что Нет - но вы не согласны. Один из них очень уважаемая
                Абсолютно верно! Мне не интересны теоретические измышления на тему "было бы лучше". Идеальных систем не бывает в принципе, ко всему придраться можно, было бы желание. И несмотря на все минусы именно этот профиль будет использован, а как ЦБ сделает его обязательным, де-факто или де-юре - не важно. Важно что работы будут проводится так, как в нём написано. Все Ваши измышления останутся на уровне академических рассуждений.
                Надежда, на то, что в ЦБ осознают все недостатки (они и так их понимают) и что-то глобально изменят - крайне маловероятно. Слишком много усилий и нервов потрачено.
                Впрочем, если приведёте пример успешного решения "не как в Профиле" - буду рад познакомиться.

                Комментарий


                • Сообщение от Cpx Посмотреть сообщение
                  А когда ЦБ бумажка не устроить, Вам придется начинать сначала
                  А по каким причинам она их может не устроить?
                  Из их формулировки следует, что анализ должен быть сделан лицензиатом и по ГОСТ и всё. Даже наличие НДВ и уязвимостей, найденных при анализе, не является препятствием для использования продукта, ибо требуется только _провести_ анализ.

                  Комментарий


                  • Сообщение от ost Посмотреть сообщение
                    что анализ должен быть сделан лицензиатом и по ГОСТ и всё.
                    Вы как себе процедуру эту представили? Что в ГОСТ написана методика проведения анализа? Ничего, что Вам нужно будет создать еще один документ Задание безопасности и его нести в лаборатории (лицензиат) ФСТЭК для согласования и только после этого проводить работы по оценки объекта требованиям и в т.ч. делать анализ уязвимостей по новым требованиям ФСТЭК?

                    Сообщение от rbr Посмотреть сообщение
                    Все Ваши измышления останутся на уровне академических рассуждений.
                    В данном случае - это вы теоретик и прочтите внимательно, что я написал и коллега malotavr. Я же голосую за сертификацию, которая 100% устроит ЦБ и продлиться такая бумажка 3 года (+ продление + периодический контроль обновлений)!
                    Чем "анализ" (не понятный кем сделанный за 1 млнр) на каждую сборку ПО, внедрением процессов безопасной разработки, контролем выпусков и т.п. с кучей рисками в реализации и доказывании свое правоты. Такой подход по силе топ 5 банкам, которые сами пишут свой код....
                    ЦБ хотел сделать как лучше, но получилось как получилось.

                    Комментарий


                    • Сообщение от Cpx Посмотреть сообщение
                      Вы как себе процедуру эту представили?
                      Как обычно, банк платит деньги и получает бумагу. И не говорите, что это не так.

                      Комментарий


                      • Сообщение от Cpx Посмотреть сообщение
                        .....Чем "анализ" (не понятный кем сделанный за 1 млнр) на каждую сборку ПО....
                        Как-то вы всё усложняете. На рынке есть варианты получения бумажки от лицензиата ФСТЭК за 30 - 100 тыс руб. Ес-но, о качестве контроля вопрос не стоит, но его никто и не требует...

                        Сообщение от Cpx Посмотреть сообщение
                        ...... Я же голосую за сертификацию, которая 100% устроит ЦБ и продлиться такая бумажка 3 года (+ продление + периодический контроль обновлений)!....
                        Вы то может и голосуете, но, что бы сертифицировать своё ПО, надо быть лицензиатом ФСТЭК и, не очень понятен ответ на вопрос -
                        Что происходит с сертификатом на СЗИ, если его (СЗИ) настройкой и сопровождением занимается нелицензиат.
                        Т.е., когда сопровождением банковского ПО занимается либо банк самостоятельно либо еще какая-либо компания.
                        И это достаточно распространенное явление в банковской среде.

                        Сообщение от Cpx Посмотреть сообщение
                        ......ЦБ хотел сделать как лучше, но получилось как получилось.
                        Они, похоже, просто уже оторвались от реальности.

                        Комментарий


                        • Сообщение от saches Посмотреть сообщение
                          Они, похоже, просто уже оторвались от реальности.
                          Это с какой стороны посмотреть, все новые инициативы ЦБ приводят к перетоку денег из банков в различные ИБ компании, ЦБ может ввести систему аттестации таких компаний, и почему-то мне думается, что эта аттестация будет не просто так аттестация...

                          Комментарий


                          • Сообщение от saches Посмотреть сообщение
                            что бы сертифицировать своё ПО, надо быть лицензиатом ФСТЭК
                            Точнее иметь лицензию на разработку СЗИ, это не проблема найти "помощника", который будет "разработчиком СЗИ".
                            Сообщение от saches Посмотреть сообщение
                            Что происходит с сертификатом на СЗИ, если его (СЗИ) настройкой и сопровождением занимается нелицензиат.
                            Ничего, это не СКЗИ. И даже в СКЗИ для собственных нужд лицензия не нужна.
                            Если внедряет не банк, нужна лицензия на ТЗКИ, она есть у любого интегратора.
                            Сообщение от ost Посмотреть сообщение
                            ЦБ может ввести систему аттестации таких компаний
                            Вопрос политики, пойдет ли на это ЦБ. Инициативу с обучение уже продавил...
                            Это будет совсем печально... Мысли такие летают...


                            Комментарий


                            • Сообщение от Cpx Посмотреть сообщение
                              .......Если внедряет не банк, нужна лицензия на ТЗКИ, она есть у любого интегратора......
                              А при чем здесь интеграторы. Вы просто не представляете реальной ситуации.
                              Уйма финансовых компаний пользуются, например, 1с, в качестве финансового бэка,
                              или, например, в кач-ве ДБО используют просто ЛК для клиентов (с возможностью перечисления ДС) на своих сайтах.
                              И то другое пишется (в том числе, нестандартные конфигурации для 1с) и поддерживаются самыми разномастными конторами,
                              в том числе из Белоруссии/Украины/Казахстана и даже Прибалтики, у которых и в мыслях нет и никогда не было получение лицензии ФСТЭК.

                              Кроме того, есть много мелких банков, у которых АБС поддерживается самостоятельно или просто еще сидят на самописках и не планируют съезжать.
                              И что, все на получение лицензии ФСТЭК и сертификацию СЗИ? Удачи....

                              Комментарий


                              • saches
                                вы опять все сводите в одну кашу и утрируете жестко. Как минимум тут 3 разных кейса и 3 направления (разработка, поддержка, эксплуатация).
                                И не понятно, где тут связь с СЗИ?
                                п.с. у 1С и так есть сертиф версия как и антивирусы, вот ее ставить может сам банк или интегратор с лицензией, иначе нарушение закона о лицензировании отдельных видов деятельности.

                                Комментарий


                                • Сообщение от Cpx Посмотреть сообщение

                                  Я же голосую за сертификацию,
                                  Cpx, о какой сертификации Вы речь ведёте? Отдельно на НДВ сертификат уже не дадут. Вы методику ФСТЭК (которая ДСП, насколько знаю) видели на эту тему? На каком основании так уверенно утверждаете, что сертификация будет дешевле?

                                  Комментарий


                                  • Сообщение от rbr Посмотреть сообщение
                                    Вы методику ФСТЭК (которая ДСП, насколько знаю) видели на эту тему? На каком основании так уверенно утверждаете, что сертификация будет дешевле?
                                    А чем чёрт не шутит? На самом деле. было бы интересно сравнить затраты на сертификацию ПО по УД6, с контролем исходников на ОУД4+, т.к. ЦБ в своём профиле угроз, с помощью известных доброжелателей, чего только не накрутил...
                                    Например, если не ошибаюсь (самих требований пока не видел), при сертификации по УД6 исходники ПО не требуются...

                                    Очень надеюсь, что со временем, ФСТЭК сделает выписку из требований по проведению контроля на наличие уязвимостей и НДВ в ПО для УК4-6 по аналогии с https://fstec.ru/127-lenta-novostej/...oobshchenie-24 .

                                    Комментарий


                                    • Сообщение от Cpx Посмотреть сообщение
                                      sachesп.с. у 1С и так есть сертиф версия как и антивирусы, вот ее ставить может сам банк или интегратор с лицензией, иначе нарушение закона о лицензировании отдельных видов деятельности.
                                      Спасибо, кэп!)))
                                      Об этом и речь...что если оставить только сертификацию, то лицензию придется получать огромному количеству компаний, которые к ТЗКИ не имеют ну никакого отношения..

                                      Комментарий


                                      • Сообщение от saches Посмотреть сообщение
                                        ..что если оставить только сертификацию, то лицензию придется получать огромному количеству компаний
                                        Вопрос зачем? В чем проблема привлечь лицензиата для Заявителем на сертификацию? Не первый год замужем, система работает давно и успешно.

                                        Комментарий


                                        • Сообщение от saches Посмотреть сообщение
                                          А чем чёрт не шутит? На самом деле. было бы интересно сравнить затраты на сертификацию ПО по УД6, с контролем исходников на ОУД4+

                                          .
                                          Проблема в том, что ФСТЭК тоже накрутил. Приказ 55 пункт 9 Положения - при сертификации у разработчика должна быть лицензия на разработку. Понятно, что специализированные разработчики АБС её имеют. А вот те, кто для себя ПО пишет - её не получали. Ибо не нужна она была для собственных целей. Теперь все их разработки в подвешенном состоянии - не примут заявление на сертификацию. Если цель всей этой свистопляски просто финансовые потоки направить куда нужно - наверное это не сильная беда, можно задним числом какой-нибудь нужный договор заключить. А если не только? У нас 2 системы ранга АБС самописные. Всем будет понятно, что их писали мы а не "рога и копыта" с нужной лицензией. По крайней мере проверить реальное авторство будет крайне просто.

                                          Комментарий


                                          • rbr
                                            Так яж об этом и пишу и, кроме того, предполагаю, что на сопровождение так же понадобится лицензия.
                                            Т.е. необходимость сертификации, в условиях действующей нормативки, выглядит не адекватной.
                                            С другой стороны, требование ЦБ контроля исходников именно на ОУД4, выглядит не лучше.

                                            Т.е. есть фактически в одном требовании ЦБ "двойной стандарт":
                                            - если выберешь сертификацию, то контроль исходников может и не потребуется (например, если сертифицируешься по УД6);
                                            - а если выберешь только контроль ПО на уязвимости (а это часть требований при сертификации), то тащи исходники.

                                            Логика где?

                                            Комментарий

                                            Обработка...
                                            X