Проект методики моделирования угроз ФСТЭК

Законодательство
Между майскими праздниками ФСТЭК обнародовала долгожданный проект методики моделирования угроз, которая станет обязательным для государственных и муниципальных органов руководством по определению угроз, актуальных (не путать с типами актуальных угроз в ПП-1119) для, соответственно, государственных и муниципальных информационных систем. Для остальных организаций, включая и операторов ПДн, данный документ носит рекомендательный характер.

Методика мне в целом понравилась. Получился добротный документ, который позволяет пройдя по его шагам получить на выходе список актуальных угроз. Процедура достаточно простая:

  1. Определить область применения методики моделирования угроз. Будем надеяться, что у тех, кто будет следовать этому документу, имея богатый опыт работы со старыми документами ФСТЭК, не возникнет вопрос, как соотносится «область применения» и «контролируемая зона».
  2. Идентифицировать источники и угрозы безопасности
  3. Оценка вероятности (возможности) реализации угрозы и степени возможного ущерба. Вероятность оценивается либо путем использования статистики, либо опираясь на возможность реализации угрозы, которая зависит от уровня защищенности информационной системы и потенциала нарушителя.
  4. Оценить возможности реализации и опасности угрозы
    • Определение типов, видов и потенциала нарушителей
    • Определение возможных способов реализации угроз 
    • Определение уровня защищенности
    • Определение потенциала нарушителя
    • Определение уровня опасности угрозы
  5. Мониторить и переоценивать угрозы

Из интересных моментов, которые я для себя отметил:

  • Моделирование должно производиться на разных этапах жизненного цикла информационной системы.
  • Учитывается, что угроза может быть реализована не только против самой информации или информационной системы, но и против обслуживающей инфраструктуры, например, против DNS-сервера, официального канала Twitter, хостинговой площадки или канала связи.
  • Среди источников названы также и целые государства, что в текущей ситуации вполне актуальная проблема.
  • Очень важно, что среди угроз рассматриваются низкое качество обслуживание со стороны обслуживающих ИС организацией или низкое качество инженерных систем, которые могут привести к реализации ущерба.
  • Не забыты и косвенные угрозы, например, недоступность обновления средства защиты, что в текущих геополитических условиях становится вполне реальным.
  • Установлен рекомендуемый срок пересмотра модели угроз — раз в год, а также в случае изменения законодательства, конфигурации системы, появления новых уязвимостей или появления фактов о новых возможностях нарушителей. Если предположить, что Сноуден говорил правду, то по новой методике это должно было стать причиной пересмотра модели угроз.
  • Приведена классификация видов нарушителей (от спецслужб до бывших работников), а также их возможных мотиваций, которые описывают возможные причины совершения несанкционированных действий.
  • Учтено, что угрозы могут быть реализованы не только на объекты информационной системы, но и на ее субъекты за счет социальной инженерии.
  • Не забыта «случайная» атака, под раздачу которой может попасть ничего не подозревающая организация. Например, веерная DDoS-атака, которая может зацепить не только прямую жертву.
  • Хорошо, что предлагается два варианта оценки вероятности — на базе статистики (если она есть) и на базе потенциала нарушителя.
  • Потенциал нарушителя определяется либо по приложению 3, либо берется для конкретной угрозы из банка данных угроз ФСТЭК. Если в банке данных этой информации нет, тогда и применяется приложение 3.
  • Впервые в документах ФСТЭК дается пример разных видов ущерба от нарушения триады — конфиденциальности, целостности и доступности. К таким видам ФСТЭК относит экономический (финансовый), социальный, политический, репутационный, технологический и т.п.
  • Отменяется методика определения актуальных угроз ПДн (после принятия обсуждаемого проекта)
  • Угрозы по техническим каналам определяются по отдельным документам ФСТЭК.

К методике прилагаются 3 приложения:

  • Рекомендации по формированию экспертной группы и проведению экспертной оценки. В данном приложении нашли свое отражения как ответы на вопросы «сколько экспертов достаточно», «кто такие эксперты», «какой квалификацией должны обладать эксперты», так и учет психологии восприятия рисков, которая иногда мешает принять правильное решение. Метод Дельфи, который описан в приложении, должен помочь снизить вероятность ошибки и зависимость от человеческого фактора.
  • Структура модели угроз. Еще один часто задаваемый вопрос — «что включать в модель угроз» и «как должна выглядеть модель угроз». Если на второй методика не отвечает (да и не должна), то на первый наконец-то дается ответ — перечисляются разделы документа, который будет включать список актуальных угроз безопасности информации.
  • Определение потенциала нарушителя. По сути, это пересказ ГОСТ Р ИСО/МЭК 18045, в котором впервые термин «потенциал нападения» и появился. Данное приложение нужно в том случае, если в банке данных угроз не найдено значение потенциала нарушителя.

В следующей заметке я рассмотрю то, чего мне не хватило / не хватает в проекте документа.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Unknown

    А где можно ознакомиться с текстом документа? На сайте ФСТЭК найти его мне пока не удалось.

    Ответить
  2. Алексей Лукацкий

    http://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/149-proekty/1004-proekt-metodicheskogo-dokumenta

    Ответить
  3. Unknown

    Спасибо!

    Ответить
  4. Unknown

    Базовая модель угроз безопасности ПДн отменится данной методикой или нет?

    Ответить
  5. Алексей Лукацкий

    Да

    Ответить
  6. Unknown

    Алексей, ваша ссылка http://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/149-proekty/1004-proekt-metodicheskogo-dokumenta уже не работает. Подскажите, где найти указанный проект

    Ответить
  7. Алексей Лукацкий

    Видимо убрали после получения всех замечаний

    Ответить
  8. Unknown

    http://fstec.ru/component/attachments/download/812

    Ответить
  9. Unknown

    Алексей, подскажите данную Методику приняли или нет?

    Ответить