Проект методики моделирования угроз ФСТЭК

Между майскими праздниками ФСТЭК обнародовала долгожданный проект методики моделирования угроз, которая станет обязательным для государственных и муниципальных органов руководством по определению угроз, актуальных (не путать с типами актуальных угроз в ПП-1119) для, соответственно, государственных и муниципальных информационных систем. Для остальных организаций, включая и операторов ПДн, данный документ носит рекомендательный характер.

Методика мне в целом понравилась. Получился добротный документ, который позволяет пройдя по его шагам получить на выходе список актуальных угроз. Процедура достаточно простая:

1. Определить область применения методики моделирования угроз. Будем надеяться, что у тех, кто будет следовать этому документу, имея богатый опыт работы со старыми документами ФСТЭК, не возникнет вопрос, как соотносится "область применения" и "контролируемая зона".
2. Идентифицировать источники и угрозы безопасности
3. Оценка вероятности (возможности) реализации угрозы и степени возможного ущерба. Вероятность оценивается либо путем использования статистики, либо опираясь на возможность реализации угрозы, которая зависит от уровня защищенности информационной системы и потенциала нарушителя.
4. Оценить возможности реализации и опасности угрозы
• Определение типов, видов и потенциала нарушителей
• Определение возможных способов реализации угроз 
• Определение уровня защищенности
• Определение потенциала нарушителя
• Определение уровня опасности угрозы
5. Мониторить и переоценивать угрозы

Из интересных моментов, которые я для себя отметил:

• Моделирование должно производиться на разных этапах жизненного цикла информационной системы.
• Учитывается, что угроза может быть реализована не только против самой информации или информационной системы, но и против обслуживающей инфраструктуры, например, против DNS-сервера, официального канала Twitter, хостинговой площадки или канала связи.
• Среди источников названы также и целые государства, что в текущей ситуации вполне актуальная проблема.
• Очень важно, что среди угроз рассматриваются низкое качество обслуживание со стороны обслуживающих ИС организацией или низкое качество инженерных систем, которые могут привести к реализации ущерба.
• Не забыты и косвенные угрозы, например, недоступность обновления средства защиты, что в текущих геополитических условиях становится вполне реальным.
• Установлен рекомендуемый срок пересмотра модели угроз - раз в год, а также в случае изменения законодательства, конфигурации системы, появления новых уязвимостей или появления фактов о новых возможностях нарушителей. Если предположить, что Сноуден говорил правду, то по новой методике это должно было стать причиной пересмотра модели угроз.
• Приведена классификация видов нарушителей (от спецслужб до бывших работников), а также их возможных мотиваций, которые описывают возможные причины совершения несанкционированных действий.
• Учтено, что угрозы могут быть реализованы не только на объекты информационной системы, но и на ее субъекты за счет социальной инженерии.
• Не забыта "случайная" атака, под раздачу которой может попасть ничего не подозревающая организация. Например, веерная DDoS-атака, которая может зацепить не только прямую жертву.
• Хорошо, что предлагается два варианта оценки вероятности - на базе статистики (если она есть) и на базе потенциала нарушителя.
• Потенциал нарушителя определяется либо по приложению 3, либо берется для конкретной угрозы из банка данных угроз ФСТЭК. Если в банке данных этой информации нет, тогда и применяется приложение 3.
• Впервые в документах ФСТЭК дается пример разных видов ущерба от нарушения триады - конфиденциальности, целостности и доступности. К таким видам ФСТЭК относит экономический (финансовый), социальный, политический, репутационный, технологический и т.п.
• Отменяется методика определения актуальных угроз ПДн (после принятия обсуждаемого проекта)
• Угрозы по техническим каналам определяются по отдельным документам ФСТЭК.

К методике прилагаются 3 приложения:

• Рекомендации по формированию экспертной группы и проведению экспертной оценки. В данном приложении нашли свое отражения как ответы на вопросы "сколько экспертов достаточно", "кто такие эксперты", "какой квалификацией должны обладать эксперты", так и учет психологии восприятия рисков, которая иногда мешает принять правильное решение. Метод Дельфи, который описан в приложении, должен помочь снизить вероятность ошибки и зависимость от человеческого фактора.
• Структура модели угроз. Еще один часто задаваемый вопрос - "что включать в модель угроз" и "как должна выглядеть модель угроз". Если на второй методика не отвечает (да и не должна), то на первый наконец-то дается ответ - перечисляются разделы документа, который будет включать список актуальных угроз безопасности информации.
• Определение потенциала нарушителя. По сути, это пересказ ГОСТ Р ИСО/МЭК 18045, в котором впервые термин "потенциал нападения" и появился. Данное приложение нужно в том случае, если в банке данных угроз не найдено значение потенциала нарушителя.

В следующей заметке я рассмотрю то, чего мне не хватило / не хватает в проекте документа.