Между майскими праздниками ФСТЭК обнародовала долгожданный проект методики моделирования угроз, которая станет обязательным для государственных и муниципальных органов руководством по определению угроз, актуальных (не путать с типами актуальных угроз в ПП-1119) для, соответственно, государственных и муниципальных информационных систем. Для остальных организаций, включая и операторов ПДн, данный документ носит рекомендательный характер.
Методика мне в целом понравилась. Получился добротный документ, который позволяет пройдя по его шагам получить на выходе список актуальных угроз. Процедура достаточно простая:
- Определить область применения методики моделирования угроз. Будем надеяться, что у тех, кто будет следовать этому документу, имея богатый опыт работы со старыми документами ФСТЭК, не возникнет вопрос, как соотносится «область применения» и «контролируемая зона».
- Идентифицировать источники и угрозы безопасности
- Оценка вероятности (возможности) реализации угрозы и степени возможного ущерба. Вероятность оценивается либо путем использования статистики, либо опираясь на возможность реализации угрозы, которая зависит от уровня защищенности информационной системы и потенциала нарушителя.
- Оценить возможности реализации и опасности угрозы
- Определение типов, видов и потенциала нарушителей
- Определение возможных способов реализации угроз
- Определение уровня защищенности
- Определение потенциала нарушителя
- Определение уровня опасности угрозы
- Мониторить и переоценивать угрозы
Из интересных моментов, которые я для себя отметил:
- Моделирование должно производиться на разных этапах жизненного цикла информационной системы.
- Учитывается, что угроза может быть реализована не только против самой информации или информационной системы, но и против обслуживающей инфраструктуры, например, против DNS-сервера, официального канала Twitter, хостинговой площадки или канала связи.
- Среди источников названы также и целые государства, что в текущей ситуации вполне актуальная проблема.
- Очень важно, что среди угроз рассматриваются низкое качество обслуживание со стороны обслуживающих ИС организацией или низкое качество инженерных систем, которые могут привести к реализации ущерба.
- Не забыты и косвенные угрозы, например, недоступность обновления средства защиты, что в текущих геополитических условиях становится вполне реальным.
- Установлен рекомендуемый срок пересмотра модели угроз — раз в год, а также в случае изменения законодательства, конфигурации системы, появления новых уязвимостей или появления фактов о новых возможностях нарушителей. Если предположить, что Сноуден говорил правду, то по новой методике это должно было стать причиной пересмотра модели угроз.
- Приведена классификация видов нарушителей (от спецслужб до бывших работников), а также их возможных мотиваций, которые описывают возможные причины совершения несанкционированных действий.
- Учтено, что угрозы могут быть реализованы не только на объекты информационной системы, но и на ее субъекты за счет социальной инженерии.
- Не забыта «случайная» атака, под раздачу которой может попасть ничего не подозревающая организация. Например, веерная DDoS-атака, которая может зацепить не только прямую жертву.
- Хорошо, что предлагается два варианта оценки вероятности — на базе статистики (если она есть) и на базе потенциала нарушителя.
- Потенциал нарушителя определяется либо по приложению 3, либо берется для конкретной угрозы из банка данных угроз ФСТЭК. Если в банке данных этой информации нет, тогда и применяется приложение 3.
- Впервые в документах ФСТЭК дается пример разных видов ущерба от нарушения триады — конфиденциальности, целостности и доступности. К таким видам ФСТЭК относит экономический (финансовый), социальный, политический, репутационный, технологический и т.п.
- Отменяется методика определения актуальных угроз ПДн (после принятия обсуждаемого проекта)
- Угрозы по техническим каналам определяются по отдельным документам ФСТЭК.
К методике прилагаются 3 приложения:
- Рекомендации по формированию экспертной группы и проведению экспертной оценки. В данном приложении нашли свое отражения как ответы на вопросы «сколько экспертов достаточно», «кто такие эксперты», «какой квалификацией должны обладать эксперты», так и учет психологии восприятия рисков, которая иногда мешает принять правильное решение. Метод Дельфи, который описан в приложении, должен помочь снизить вероятность ошибки и зависимость от человеческого фактора.
- Структура модели угроз. Еще один часто задаваемый вопрос — «что включать в модель угроз» и «как должна выглядеть модель угроз». Если на второй методика не отвечает (да и не должна), то на первый наконец-то дается ответ — перечисляются разделы документа, который будет включать список актуальных угроз безопасности информации.
- Определение потенциала нарушителя. По сути, это пересказ ГОСТ Р ИСО/МЭК 18045, в котором впервые термин «потенциал нападения» и появился. Данное приложение нужно в том случае, если в банке данных угроз не найдено значение потенциала нарушителя.
В следующей заметке я рассмотрю то, чего мне не хватило / не хватает в проекте документа.
А где можно ознакомиться с текстом документа? На сайте ФСТЭК найти его мне пока не удалось.
http://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/149-proekty/1004-proekt-metodicheskogo-dokumenta
Спасибо!
Базовая модель угроз безопасности ПДн отменится данной методикой или нет?
Да
Алексей, ваша ссылка http://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/149-proekty/1004-proekt-metodicheskogo-dokumenta уже не работает. Подскажите, где найти указанный проект
Видимо убрали после получения всех замечаний
http://fstec.ru/component/attachments/download/812
Алексей, подскажите данную Методику приняли или нет?