Прежде всего стоит обратить внимание на то, что сам по себе ГОСТ 15408 никак не определяет, в чем именно должен заключаться анализ уязвимостей. В ОУД4 за него отвечает компонент доверия AVA_VAN.3, который говорит, что должен посмотреть оценщик (документацию, внешние источники на предмет наличия в продукте уже известных уязвимостей и исходный код на предмет зеродеев, но ничего не говорит о том, как что именно и как именно оценщик должен искать. [...]

ГОСТ 15408 (он — же «Критерии оценки защищенности информационных технологий», он же — Общие Критерии или Common Criteria) предполагает, что разработчик защищенной информационной системы (или отдельного средства защиты — обычно этот стандарт используется только в их разработке) [...]

Что мы знаем о кардинге? Что кардинг (англ. carding) — род мошенничества, при котором производится операция с использованием банковской карты или ее реквизитов, не инициированная или не подтвержденная ее держателем. Что самый опасный кардинг – это кардинг с использованием клонированнной карты. Что клонирование становится возможным при получении данных магнитной [...]

«Я не злопамятный, я записываю» (с) Бывает, подискутируешь в комментах у кого-нибудь, возьмешь паузу на подумать – и опаньки: и дискуссия, и инфоповод скрылись бесследно. И что, зря старался, думал? Придется, видимо, реанимировать блог на такой случай.

Алексей Лукацкий как-то задал разумный вопрос:

А действительно, надо ли устранять их все? И требует ли этого регулятор?

Для начала стоит разобраться, к кому именно в нормативных документах ФСТЭК предъявляются требования об анализе и устранении уязвимостей. Дело в том, что эти требования разделяются на три группы:

Недавно сказал журналистам, что нормативные документы ФСТЭК заметно эволюционировали. И это не реверанс в сторону регулятора: изменения хорошо видны, если посмотреть на динамику раскрытия в этих документах требований, относящихся к установке обновлений и менеджменту уязвимостей. Как это происходило, можно наглядно посмотреть на примере.В начальный период истории российской ИБ нормативные требования по защите информации (требования по защите государственной тайны в этой и остальных публикациях не рассматриваю принципиально) предъявлялись только к государственным информационным системам, и основным нормативным документом являлись «Специальные требования и рекомендации по [...]

В прошлый раз я уже отметил появлениев нормативных документах ФСТЭК итерационного подхода PDCA к совершенствованию мер защиты. Раздел приказа 235, посвященный этому вопросу (п. 28-37) сформулирован довольно общими словами: например, из текста неочевидно, о планировании, реализации, контроле и совершенствовании каких именно мероприятий идет речь. Такая неопределенность позволяет оператору информационной системы самостоятельно решать, как именно реализовывать такой подход. Например, если бы мне понадобилось выстраивать процесс менеджмента уязвимостей на значимом объекте КИИ, получилось бы примерно следующее.

Задача менеджмента уязвимостей [...]