понедельник, 17 февраля 2014 г.

При вторжении эта сторона улицы наиболее опасна!

Даже самый хороший методический документ можно испортить одним плохо определенным термином. Особенно, если этот термин ключевой.

О системах обнаружения вторжений говорят уже давно, и еще в декабре 2011 г ФСТЭК утвердила «Требования к системам обнаружения вторжений». Оценивать наличие угроз вторжений (или атак) нужно в ходе моделирования угроз безопасности информации, а в ряде случаев (например, при защите информации в ГИС 1 и 2 классов) применение СОВ стало обязательным. Однако, в подвешенном состоянии остается главный вопрос: что такое вторжение и как его отличить от других угроз безопасности информации?


Откроем методический документ ФСТЭК «Профиль защиты систем обнаружения вторжений» (любой из двенадцати). Читаем определение:

«Вторжение (атака) – действие, целью которого является осуществление несанкционированного доступа к информационным ресурсам».

Замечательно! Попытка подбора пароля действие? Действие. На что направлено? Ну, ясно, на что. Хищение флешки действие? Действие. На флешке у нас что? Правильно: информационный ресурс, а целью хищения наверняка является попытка несанкционированного доступа к нему. 

А вот DoS-атака если и действие, то его целью вряд ли можно считать осуществление НСД к ресурсу. К информационной системе – да, а к ресурсу нет.

Так что писать в модели угроз? И какие СЗИ применять?


ЗЫ. Что писать понятно: слава Богу, есть сложившаяся практика и просто здравый смысл. Непонятно чем аргументировать. Юридически под «вторжением» можно понимать даже артобстрел. Спасибо авторам определения!

Комментариев нет:

Отправить комментарий