Отсутствие единой терминологии в области защиты информации - давно наболевшая проблема. Появление нового ГОСТ "Защита информации. Обнаружение, предупреждение и ликвидация последствий компьютерных атак и реагирование на компьютерные инциденты. Термины и определения" можно только приветствовать. Но решает ли он вышеупомянутую проблему? Нет, не решает.
Начнем традиционно,с пояснительной записки :
В самом проекте ГОСТ они также упоминаются. Авторы утверждают, что использовали 187-ФЗ как источник информации. Но как то вольно они это сделали.
187-ФЗ | ГОСТ |
критическая информационная инфраструктура - объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов | критическая информационная инфраструктура; КИИ: Объекты КИИ, а также сети связи, используемые для организации взаимодействия таких объектов |
Категорирование объекта критической информационной инфраструктуры представляет собой установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения | категорирование объекта критической информационной инфраструктуры; категорирование объекта КИИ : Комплекс мероприятий, проводимых ФСТЭК России и субъектом КИИ, по определению категории значимости принадлежащего данному субъекту КИИ на праве собственности, аренды или ином законном основании объекта КИИ, который обрабатывает информацию, необходимую для обеспечения выполнения критических процессов, и (или) осуществляет управление, контроль или мониторинг критических процессов. |
компьютерная атака - целенаправленное воздействие программных и (или) программно-аппаратных средств на объекты критической информационной инфраструктуры, сети электросвязи, используемые для организации взаимодействия таких объектов, в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности обрабатываемой такими объектами информации | компьютерная атака: Целенаправленное несанкционированное сетевое компьютерное воздействие (или их последовательность) на информационный ресурс, осуществляемое нарушителем с применением программных и (или) программно-аппаратных средств и информационных технологий в целях реализации попыток нарушения и (или) прекращения функционирования информационного ресурса или реализации угрозы безопасности информации, обрабатываемой таким ресурсом. |
К силам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, относятся: 1) подразделения и должностные лица федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации; 2) организация, создаваемая федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, для обеспечения координации деятельности субъектов критической информационной инфраструктуры по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты (далее - национальный координационный центр по компьютерным инцидентам); 3) подразделения и должностные лица субъектов критической информационной инфраструктуры, которые принимают участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак и в реагировании на компьютерные инциденты. | силы государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации; силы ГосСОПКА: Национальный координационный центр по компьютерным инцидентам (НКЦКИ), центры ГосСОПКА и другие подразделения и должностные лица субъектов ГосСОПКА, которые принимают участие в обнаружении компьютерных атак, предупреждении компьютерных атак, ликвидации последствий компьютерных атак и реагировании на компьютерные инциденты. |
под информационными ресурсами Российской Федерации понимаются информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления, находящиеся на территории Российской Федерации, в дипломатических представительствах и (или) консульских учреждениях Российской Федерации. | информационные ресурсы Российской Федерации: Информационные ресурсы, находящиеся на территории Российской Федерации, в дипломатических представительствах и (или) консульских учреждениях Российской Федерации. информационный ресурс: Информационный актив и используемая для его обработки ИИ |
Сети связи это совсем не только сети электросвязи. Определение дает 126-ФЗ "О связи":
сеть связи - технологическая система, включающая в себя средства и линии связи и предназначенная для электросвязи или почтовой связи. Авторы ГОСТ включили в КИИ РФ "сеть почтовой связи", которой нет в 187-ФЗ.
"Сеть почтовой связи представляет собой совокупность объектов почтовой связи и почтовых маршрутов операторов почтовой связи, обеспечивающих прием, обработку, перевозку (передачу), доставку (вручение) почтовых отправлений, а также осуществление почтовых переводов денежных средств". И вообще почтовая связь регулируется отдельным 176-ФЗ.
Так компьютерная атака должна быть сетевой или нет? Для субъектов КИИ разница существенная.
Если посмотреть определения типов и техник проведения компьютерных атак, то они четко проводятся исключительно внешним нарушителем. Проект ГОСТ представлен ФСТЭК и ФСТЭК же очень отрицательно относиться к попыткам субъектов КИИ обосновать невозможность проведения компьютерных атак в силу автономной работы своих ОКИИ и их недоступность для внешнего нарушителя.
С ГосСОПКА получается "зоопарк", если не внести изменения в 187-ФЗ. Для субъектов КИИ самая главная опасность - подразделения субъекта КИИ, ответственные за реагирование на КА, по ГОСТ получают статус центров ГосСОПКА. Что повлечет необходимость выполнения всех требований ФСБ к уровню оснащения и квалификации.
Замечу, что ГОСТ предусматривает исключительно автоматизированную обработку КИ и событий ИБ. Никаких бумажных журналов, только электронные записи. Останется только информирование с подключением к технической инфраструктуре НКЦКИ.
Такое ощущение, что работы по написанию различных документов в ФСТЭК и ТК 362 не синхронизированы. Проект ГОСТ и проект методики моделирования угроз задает разные определения для одних и тех же терминов.Причем различаются даже на уровне концепции: в методике "потенциал нарушителя" относится к "возможностям нарушителя", а в ГОСТ это "затраченные усилия нарушителя ".
Вывод: единообразный подход к использованию терминов не обеспечивается.
Обсуждать сами определения терминов ГОСТ в формате заметки блога не реальная задача. Проект ГОСТ очень "сырой", над ним еще работать и работать.
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
** Все новости блога на публичном Telegram-канале t.me/ruporsecurite
*** YouTube - канал блога
**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1
***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite
*** YouTube - канал блога
**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1
***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite