в действие изменения в методику, кто-нибудь знает?
Опубликовать проект обещали в 1-м квартале
Автоматическое производство кирпичей для архивного хранения :)
Для автоматизированого хранения) теперь можно МУ не печатать и хранить коробочками
В электронном архиве с электронной подписью и метками времени!
Я бы не относился к документам, как к кирпичам: Документ (модель угроз, проектные документы и т.д.) это результат умственной деятельности эксперта, вообще группы экспертов, которые проанализировали имеющиеся вводные данные и сформировали решение о том что нужно сделать для улучшения ситуации. Бизнес не может полагаться на аргументы типа "я так вижу" или "у меня был похожий опыт". Ему нужны обоснования и выбор лучших решений. Поэтому документы такие большие. Они отображают ход мыслей экспертов, что бы те кто будут принимать и эксплуатировать систему могли их использовать. В этом действительно есть вызов: ясно и экспертно выполнить анализ, донести эти мысли тем кто будет это реализовывать и проверять, при этом делать это быстро. Решением вижу двух этапный процесс трансформации сферы ИБ: 1. Использование систем автомитизированного проектирования (включая муин) для более быстрого и качественного выполнения работ. С закреплением практики электронного документооборота 2. Создание и работа с цифровыми моделями, двойниками ИБ В общем-то также как это развивается в других сферах
Это идеальная картина мира. Но мы живем в реальном изменяющемся мире. Реальная МУ меняется каждый день, а на строительство и изменение системы защиты есть очень ограниченные ресурсы. Независимо от качества описания угроз, тактик и т.д., связанных, например, с ВПО, проектировщик все равно в проект впишет тот антивирус, на который у заказчика есть деньги.
Я уверен это пока САПР ИБ не стали "базой" проектирования. Не вижу отличие ИБ АСУ ТП от других сфер, где есть САПР.
Согласен с тобой, что При проектировании и/или проектировании на основе данных, загруженных в систему или по потребности уточнения корректировки существующей документации, МУ и МН, средства автоматизации потенциально могут сильно помочь (PoC пока не измерял ни во времени ни в ₽), но @a_borovskiy говорит о том, что среда динамично изменяется, и если заниматься актуализацией в таких системах как САПР ИБ, забив на приоритет реальных работ, то это не совсем интересно и не актуально )
Вообще-то, если читать МОУ от ФСТЭК, то там и подразумевается НЕПРЕРЫВНОЕ моделирование угроз, которое без автоматизации невозможно
Непрерывное моделирование и согласование изменений модели с ФСТЭК. Мечта!
Ну согласование, к счастью, нужно только для госухи и только при вводе ГИС в эксплуатацию
А что, прям надо жить по МУ от от ФСТЭК? Или все таки смотреть на динамически изменяющийся периметр и корректировать меры от этого?
А чем МОУ не позволяют смотреть на изменения? Вроде это про одно и тоже) Просто говориться о том, что мир меняется и минимум раз в год надо актуализировать муин и меры
Ну формально по ней обязаны жить ИСПДн, АСУ ТП, КИИ, ГИС
Говориться как раз про постоянную актуализацию
надо жить по му фстэк или принять риски несоответствия например по 239. всегда стараюсь спрашивать коллег из ФСТЭК кулуарах - есть ли к них самих новые му на свои объекты. на тб формум показывал конфидент опросы по которым никто не видит плюсов в новой методике по отношению к старой.
Постоянная: при изменение объекта (модернизация) или не реже раз в год, если изменений не было. Или что ещё входит в понятие постоянное?
К сожалению, сейчас большинство строит защиту с заду наперёд. Есть бюджет, от него выбираем средства, от них рисуем МУ.
новая методика на это поддталкивает.🙂
Докажи. Покажи статистику? По моему субъективному мнению, большинство строит хорошие системы (уж точно стараются это сделать), а муин и проектные решения позволяют обосновать
Инциденты, изменение системы (новые субъекты, новые объекты, новые связи(
При выявлении новых уязвимостей, результатов пентестов, аудитов или получении данных о новых угрозах или сценариях реализации угроз (п.2.14)
У тебя выборка крупный бизнес, попробуй пообщаться с мелким бизнесом и мелкими госами у которых в штате 1/100 ИБшника :)
Ну так эти изменения вносятся в сапр иб и это всё подлежит автоматизации за счёт интеграции систем оперативного контроля и управления иб и сапр иб...
А есть примеры САПРов, которые это все делают в ИБ?
Я пока только 1 знаю. И да, он для этого делается.
https://scad.kaspersky.com/
Так об этом и речь, что в системе появляется не сразу, а вот настройки средств ИБ надо крутить уже
я как минимум еще таких же продукта. 2 со словом vision в названии.
Всяк кулик... )) Вообще это то, что пытались делать с помощью grc, систем мониторинга ИБ и пр. САПР тут не на пустое место приходит и он уж точно не панацея
И ещё вопрос - когда этим САПР пользоваться бедному ИБ-шнику, у которого помимо этого ещё 100-500 задач, от организации закупочных процедур до похода к руководству и в перерывах настройке и эксплуатации средств ИБ
Так в этом и есть смысл сапр. Упростить жизнь: https://ru.m.wikipedia.org/wiki/Система_автоматизированного_проектирования
Как и SIEM, GRC IRP SOAR и прочие и прочие системы ;)
Автоматизированная система - персонал и комплекс средств автоматизации его деятельности. Про начало определения у нас забывают и думают, что ИБ - это набор автоматически работающих решений и один человек, чтобы бумажки писать. Отсюда и проблемы...
Обсуждают сегодня