Даже самый хороший методический документ можно испортить
одним плохо определенным термином. Особенно, если этот термин ключевой.
О системах обнаружения вторжений говорят уже давно, и еще
в декабре 2011 г ФСТЭК утвердила «Требования к системам обнаружения вторжений».
Оценивать наличие угроз вторжений (или атак) нужно в ходе моделирования угроз
безопасности информации, а в ряде случаев (например, при защите информации в
ГИС 1 и 2 классов) применение СОВ стало обязательным. Однако, в подвешенном
состоянии остается главный вопрос: что такое вторжение и как его отличить от
других угроз безопасности информации?
Откроем методический документ ФСТЭК «Профиль защиты
систем обнаружения вторжений» (любой из двенадцати). Читаем определение:
«Вторжение
(атака) – действие, целью которого является осуществление несанкционированного
доступа к информационным ресурсам».
Замечательно! Попытка подбора пароля действие? Действие.
На что направлено? Ну, ясно, на что. Хищение флешки действие? Действие. На
флешке у нас что? Правильно: информационный ресурс, а целью хищения наверняка
является попытка несанкционированного доступа к нему.
А вот DoS-атака
если и действие, то его целью вряд ли можно считать осуществление НСД к
ресурсу. К информационной системе – да, а к ресурсу нет.
Так что писать в модели угроз? И какие СЗИ применять?
ЗЫ. Что писать понятно: слава Богу, есть сложившаяся
практика и просто здравый смысл. Непонятно чем аргументировать. Юридически под
«вторжением» можно понимать даже артобстрел. Спасибо авторам определения!
Комментариев нет:
Отправить комментарий