17.02.2015

Новости ФСТЭК по моделированию угроз

Доклад Елены Борисовны Торбенко из 2-го управления ФСТЭК стал для меня неожиданностью по нескольким причинам. Во-первых, нечасто от регулятора в области ИБ выступает представительница прекрасной половины человечества :-) Во-вторых, ФСТЭК поделилась своим опытом по анализу присланных им в 2014-м году моделей угроз и выделила типовые ошибки, которые посоветовала не повторять. Такое бывает не часто - регуляторы обычно говорят, что надо делать, но редко говорят как. В-третьих, ФСТЭК признала, что далеко не все модели согласовываются - больше половины отправляются обратно на доработку. В итоге у меня сложилось впечатление, что процедура это явно непростая. 



В 2014-м году было рассмотрено свыше 60 моделей угроз - преимущественно от госорганов. Модели от коммерческих организаций ФСТЭК не рассматривает, исключая госкорпорации.


Отдельно было отмечено, что согласование моделей угроз - процедура необязательная; в отличие от согласования актуальных угроз безопасности ПДн, как это предусмотрено в части 5 статьи 19 ФЗ-152. На эту тему была большая дискуссия, касающаяся терминологии. В законе нет ни слова про моделирование угроз - говорится только о перечне актуальных угроз, которые госорганы должны согласовать с регуляторами (ФСТЭК и ФСБ). Поэтому госорганы часто направляют в ФСТЭК просто перечень угроз на 1-2 страничках и ФСТЭК обязан их согласовать. А вот обязанность заниматься моделирование угроз установлена в 17-м приказе ФСТЭК - она действует только для госорганов. Модель угроз для операторов ПДн является рекомендательной и согласовывать ее не надо. А вот для операторов АСУ ТП методика моделирования еще будет писаться - единая методика для этой задачи не подошла. Если резюмировать, то перечень актуальных угроз ПДн (не типов) может составлять только госорган и... (как написано в ч.5 ст.19 ФЗ-152), а вот модель угроз (почувствуйте разницу) может составлять кто угодно - это не запрещено.

Как я уже написал выше, согласовывают далеко не все, - в 2014-м году согласовали менее половины всех моделей угроз и тому есть немало причин, которым и был посвящен доклад Елены Торбенко.

Самая важная ошибка, которую допускают заявители - отсутствие описания структурно-функциональных характеристик информационной системы. Иными словами, ФСТЭК хочет сама убедиться, что вы учли все особенности защищаемой системы. Для этого и нужно к модели (или делать ее частью модели) прикладывать описание (паспорт) информационной системы, включающий в себя:

  • структуру ИС
  • состав ИС
  • взаимосвязи между сегментами ИС
  • взаимосвязи с другими ИС и ИТКС
  • условия функционирования ИС.
ФСТЭК специально уточняет, что не надо отправлять подробный и многостраничный отчет о проведенном аудите или обследовании ИС - нужно только резюме из него. В противном случае время на рассмотрение модели только увеличится.


Вторая ошибка, которая и вызвала мое удивление, - рассмотрение не всех угроз, связанных с особенностями используемых технологий. В качестве примера была приведена технология виртуализации, для которой не учитываются большое количество угроз:


По сути ФСТЭК подменяет специалистов госоргана и берет на себя ответственность за оценку того, какие угрозы для вас актуальны, а какие нет. Смело, ничего не скажешь. Но если ФСТЭК удастся поддерживать эту инициативу на должном уровне, то это будет просто замечательно.

Третья ошибка заключается в неверном определении объектов защиты.

Следующие четыре ошибки при моделировании связаны с элементами термина угроза:

  • Не проводится анализ возможных источников угроз (нарушитель, вредоносная программа, аппаратная закладка и т.д.). Обратите внимание! В новой методике моделирования немало внимания будет уделено оценке потенциала нарушителя (из ГОСТ Р ИСО/МЭК 18045).
  • Не анализируются последствия от действий нарушителя. Многие по привычке оценивают только угрозы нарушения конфиденциальности, забывая про нарушение целостности и доступности.
  • Не учитываются уязвимости, присутствующие в системе. Вообще ФСТЭК стал очень много внимания уделять именно уязвимостям и безопасности ПО. Так что стоит на этот момент обратить внимание.
  • Неверное определение способов реализации угроз.

Восьмая ошибка заключается в забывчивости о необходимости пересмотра модели угроз в связи с внесенными в информационную систему изменениями.

Последние три ошибки связаны с:

  • Использованием при моделировании угроз безопасности устаревшей нормативной правовой базы.
  • Отсутствии перечней нормативных правовых актов, устанавливающих требования к информационной системе.
  • Отсутствием единой терминологии.

С чем я не согласен, так это с тем, что модель угроз не должна содержать перечня защитных мер, направленных на нейтрализацию определенных в процессе моделирования угроз. Я как раз считаю, что перечень защитных мер должен быть именно в модели угроз, чтобы было понятно, зачем это моделирование делалось. Но в любом случае, нарушением это не считается.

Было интересное высказывание Виталия Сергеевича Лютикова, что они планируют разработать ряд типовых моделей угроз для распространенных систем и технологий. Но сроки не определены и боюсь, что учитывая другие планы по более приоритетным документам, до типовых моделей руки не скоро дойдут. Вот только если кто-то из экспертов предложит свои наработки...

ЗЫ. Зато хочу отметить, что почти все эти ошибки я рассматриваю в курсе по моделированию угроз :-)

13 коммент.:

Александр Германович комментирует...

Интересно, что ФСТЭК понимает под устаревшей нормативной базой? По-моему, кроме трехглавого приказа, они ничего не отменяли.

Сергей Борисов комментирует...

Вот мне интересно. Говорят "ошибки"... Ошибки - это же должны быть нарушения каких-то правил. А если правил нет, если нет методики, как можно говорить об "ошибках"? Например, оператор не учитывает имеющиеся уязвимости... так может у него методика такая, которая не учитывает уязвимости. Или говорят - неверно определены объекты защиты (защищают только информацию, а не технические средства) Но где у нас правила определения объекта защиты? Раз их нет, как можно говорить об ошибках?

Сергей Городилов комментирует...

"планируют разработать ряд типовых моделей угроз для распространенных систем и технологий"
Вообще говоря, это ключевое и вообще должно быть частью учебника по МУ. Мы так и сделали, разрабатывая перечень актуальных угроз. Общий список + порядка 15 дополнительных в зависимости от архитектуры и особенностей ИС.
А современный безопасник, выпускающийся с учебы, часто вообще не представляет, в чем разница между архитектурами ИС и какие они вообще бывают. И надо ли это учитывать. Например, какая разница между файл-серверной ИС и терминальным доступом к ИС? Или трехзвенной ИС? Где риски выше при атаке на АРМ? А на сервер? Но большинство же моделей угроз составляют единым списком ДЛЯ ВСЕЙ ИС, не разделяя на типы узлов.

Алексей Лукацкий комментирует...

Четверокнижие, 58-й приказ и т.п.

Александр Германович комментирует...

Про четверокнижие они написали "не применяется" ;)

Да и сложновато использовать тот же 58-й приказ для построения МУ.

Александр Германович комментирует...

" Ошибки - это же должны быть нарушения каких-то правил. А если правил нет, если нет методики, как можно говорить об "ошибках"? "

А самое непонятное, как они определяют, правильно ли определены актуальные угрозы, даже не видя ИС и не читая материалы обследования?

Алексей Лукацкий комментирует...

Не для построения, а для создания СЗИ

Алексей Лукацкий комментирует...

Они как раз требуют описание ИС

SSTU IBS комментирует...

"Третья ошибка заключается в неверном определении объектов защиты". Можно чуть подробнее в чем заключается эта ошибка? Смотрел слайды у Прозорова - тоже непонятно.

Алексей Лукацкий комментирует...

Ну, например, не все объекты включаешь в описание системы

Сергей Симак комментирует...

"С чем я не согласен, так это с тем, что модель угроз не должна содержать перечня защитных мер, направленных на нейтрализацию определенных в процессе моделирования угроз. Я как раз считаю, что перечень защитных мер должен быть именно в модели угроз, чтобы было понятно, зачем это моделирование делалось. Но в любом случае, нарушением это не считается."

о_0
-базовый набор мер,
-адаптированный базовый набор мер
-уточненный адаптированный базовый набор мер

Исходными данными при уточнении адаптированного базового набора мер защиты информации являются перечень угроз безопасности информации и их характеристики (потенциал, оснащенность, мотивация), включенные в модель угроз безопасности информации.
При уточнении адаптированного базового набора мер защиты информации для каждой угрозы безопасности информации, включенной в модель угроз, сопоставляется мера защиты информации из адаптированного базового набора мер защиты информации, обеспечивающая блокирование этой угрозы безопасности или снижающая вероятность ее реализации исходя из условий функционирования информационной системы.
«Меры защиты информации... с ГИС» 2.3 (в) стр 12.

как видите, методичка ясно дает понять что сопоставление актуальных угроз с мерами защиты происходит перед уточнением адаптированного базового набора мер.

stan99 комментирует...

С моделированием угроз у нас беда. Многие модели даже читать страшно, а уж, что для госорганов некоторые интеграторы пишут - вообще песня. И сразу возникает вопрос - для кого ФСТЭК базовую модель писал!?

Алексей Лукацкий комментирует...

История появления прежней модели интересна, но не публична