четверг, 16 апреля 2020 г.

Методика моделирования угроз безопасности информации. Мой обзор

Добрый день, коллеги! 09 апреля на сайте ФСТЭК России появился проект "Методики моделирования угроз безопасности информации". Предыдущий проект был выпущен еще в 2015 году, но официальным нормативным документом так и не стал. А потребность в новой методике осталась. Мы долго ждали и дождались! Новый проект! Конечно, я не могу пройти мимо. Приступим к анализу, как повелось, обозревать буду в основном с позиции защиты персональных данных.

Оба документа являются частью когда-то существовавшего "четверокнижия", ранее на них была пометка "ДСП". Сейчас Методику в полном объеме можно найти в открытом доступе, базовая модель существует в открытом доступе в виде выписки, полную версию (с ПЭМИН) нужно заказывать во ФСТЭК России. 

Где применять?
Методика должна применяться в информационных системах персональных данных. В проекте 15 года применение для защиты ПДн было необязательным. Методика посвящена антропогенным угрозам, может применяться для техногенных и не подходит для стихийных бедствий (здесь все аналогично  проекту 15 года).

Преемственность. 
Остаются bdu.fstec.ru, базовые и типовые модели угроз.

Что отменяется?
  • Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  • Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры.

Как моделировать угрозы?
При разработке модели угроз должна быть определена граница процесса моделирования и зона ответственности, например, при хранении данных в облаке. Модель угроз должна быть актуальной, она изменяется вместе с информационной системой, с требованиями законодательства, с появлением новых технологий. Моделирование - это процесс. 

Кто составляет модель угроз?
Модель угроз можно составить своими силами (отдельное подразделение или ответственные лица), либо заказать модель угроз у организации, имеющей лицензию ФСТЭК России по технической защите конфиденциальной информации.

Негативные последствия реализации угроз
Негативные последствия определяются из требований законодательства и экспертным методом.

Устанавливается перечень возможных негативных последствий, информационные ресурсы и компоненты систем и сетей и виды неправомерного доступа и воздействий на них.

Про уязвимости
В модели угроз должны быть определены типы уязвимостей и недекларированных возможностей, а также варианты возможного доступа нарушителей.

Источники угроз
Описание источников угроз содержит кроме самих источников цели реализации угроз, категории и виды нарушителей и возможности каждого вида нарушителей.
Нарушители
Нарушители могут быть нескольких видов:
1. Нарушитель, обладающий базовыми возможностями (потенциалом);
2. Нарушитель, обладающий повышенными базовыми возможностями (потенциалом);
3. Нарушитель, обладающий средними возможностями (потенциалом);
4. Нарушитель, обладающий высокими возможностями (потенциалом).

Сценарии реализации угроз
Сценарий угроз представляет собой совокупность всех возможных тактик и техник, которые применяет нарушитель. При обнаружении новых угроз и сценариев рекомендуется уведомить ФСТЭК России.

Актуальность угрозы
Угроза безопасности информации является актуальной, если имеется источник угрозы, условия для реализации угрозы, существует хотя бы один сценарий ее реализации, а воздействие на информационные ресурсы или компоненты может привести к негативным последствиям.

Уровень опасности угрозы
W=d+p+s
Описание угрозы безопасности
Приложения
1. Термины и определения. 
2. Рекомендации к формированию экспертной группы. Здесь я бы отметила, что членов экспертной группы должно быть не менее 3х.
3. Краткое содержание модели угроз.

Мое мнение
1. Методика сложная, для крупных предприятий или для лицензиатов - в самый раз. Для мелких и средних не представляю как применять, а операторами персональных данных являются по факту все организации. 
2. Все хорошо структурировано, но, на мой взгляд, осилить моделирование угроз сможет только человек с определенным опытом. Непростой работы очень много, особенно в части написания сценариев.
3. Непонятно как будет оцениваться полнота модели, как определить, что все возможные сценарии рассмотрены?
4. Наличие удаленного доступа делает уровень опасности угрозы средним и выше.
5. Непонятно что делать дальше с цифровыми значениями уровней опасности угроз.  
6. Я не поняла как связаны актуальность и опасность. В определении актуальной угрозы нет указания на опасность, только на негативные последствия.
7. Непонятно как подбирать меры защиты.

А что думаете Вы?

_________

Вконтакте: https://vk.com/shudrova

5 комментариев:

  1. В отношении "актуальности угрозы" мне показалось, что методика немного отходит от разделения угроз на актуальные/неактуальные. Если раньше технологически возможная угроза могла быть признана неакутальной для ИС в силу недостаточной опасности и низкой реализуемости, то теперь все тенологически возможные для ИС угрозы являются ктуальными. Просто, некоторые (или многие -- зависит от ИС) обладают низкой опасностью.

    Я верно понимаю?

    ОтветитьУдалить
  2. По методике получается, что если угроза технически возможна и может привести к негативным последствиям (а это почти всегда так), то она актуальна.

    Если писать МУ честно, описывая все возможные сценарии-тактики-техники, то получится многотомник. А если сократить, то ФСТЭК придирётся к неполноте...

    ОтветитьУдалить
    Ответы
    1. И этот многотомник придется еще и пересматривать периодически на актуальность

      Удалить