18.5.15

Проект методики моделирования угроз ФСТЭК

Между майскими праздниками ФСТЭК обнародовала долгожданный проект методики моделирования угроз, которая станет обязательным для государственных и муниципальных органов руководством по определению угроз, актуальных (не путать с типами актуальных угроз в ПП-1119) для, соответственно, государственных и муниципальных информационных систем. Для остальных организаций, включая и операторов ПДн, данный документ носит рекомендательный характер.


Методика мне в целом понравилась. Получился добротный документ, который позволяет пройдя по его шагам получить на выходе список актуальных угроз. Процедура достаточно простая:
  1. Определить область применения методики моделирования угроз. Будем надеяться, что у тех, кто будет следовать этому документу, имея богатый опыт работы со старыми документами ФСТЭК, не возникнет вопрос, как соотносится "область применения" и "контролируемая зона".
  2. Идентифицировать источники и угрозы безопасности
  3. Оценка вероятности (возможности) реализации угрозы и степени возможного ущерба. Вероятность оценивается либо путем использования статистики, либо опираясь на возможность реализации угрозы, которая зависит от уровня защищенности информационной системы и потенциала нарушителя.
  4. Оценить возможности реализации и опасности угрозы
    • Определение типов, видов и потенциала нарушителей
    • Определение возможных способов реализации угроз 
    • Определение уровня защищенности
    • Определение потенциала нарушителя
    • Определение уровня опасности угрозы
  5. Мониторить и переоценивать угрозы
Из интересных моментов, которые я для себя отметил:

  • Моделирование должно производиться на разных этапах жизненного цикла информационной системы.
  • Учитывается, что угроза может быть реализована не только против самой информации или информационной системы, но и против обслуживающей инфраструктуры, например, против DNS-сервера, официального канала Twitter, хостинговой площадки или канала связи.
  • Среди источников названы также и целые государства, что в текущей ситуации вполне актуальная проблема.
  • Очень важно, что среди угроз рассматриваются низкое качество обслуживание со стороны обслуживающих ИС организацией или низкое качество инженерных систем, которые могут привести к реализации ущерба.
  • Не забыты и косвенные угрозы, например, недоступность обновления средства защиты, что в текущих геополитических условиях становится вполне реальным.
  • Установлен рекомендуемый срок пересмотра модели угроз - раз в год, а также в случае изменения законодательства, конфигурации системы, появления новых уязвимостей или появления фактов о новых возможностях нарушителей. Если предположить, что Сноуден говорил правду, то по новой методике это должно было стать причиной пересмотра модели угроз.
  • Приведена классификация видов нарушителей (от спецслужб до бывших работников), а также их возможных мотиваций, которые описывают возможные причины совершения несанкционированных действий.
  • Учтено, что угрозы могут быть реализованы не только на объекты информационной системы, но и на ее субъекты за счет социальной инженерии.
  • Не забыта "случайная" атака, под раздачу которой может попасть ничего не подозревающая организация. Например, веерная DDoS-атака, которая может зацепить не только прямую жертву.
  • Хорошо, что предлагается два варианта оценки вероятности - на базе статистики (если она есть) и на базе потенциала нарушителя.
  • Потенциал нарушителя определяется либо по приложению 3, либо берется для конкретной угрозы из банка данных угроз ФСТЭК. Если в банке данных этой информации нет, тогда и применяется приложение 3.
  • Впервые в документах ФСТЭК дается пример разных видов ущерба от нарушения триады - конфиденциальности, целостности и доступности. К таким видам ФСТЭК относит экономический (финансовый), социальный, политический, репутационный, технологический и т.п.
  • Отменяется методика определения актуальных угроз ПДн (после принятия обсуждаемого проекта)
  • Угрозы по техническим каналам определяются по отдельным документам ФСТЭК.
К методике прилагаются 3 приложения:
  • Рекомендации по формированию экспертной группы и проведению экспертной оценки. В данном приложении нашли свое отражения как ответы на вопросы "сколько экспертов достаточно", "кто такие эксперты", "какой квалификацией должны обладать эксперты", так и учет психологии восприятия рисков, которая иногда мешает принять правильное решение. Метод Дельфи, который описан в приложении, должен помочь снизить вероятность ошибки и зависимость от человеческого фактора.
  • Структура модели угроз. Еще один часто задаваемый вопрос - "что включать в модель угроз" и "как должна выглядеть модель угроз". Если на второй методика не отвечает (да и не должна), то на первый наконец-то дается ответ - перечисляются разделы документа, который будет включать список актуальных угроз безопасности информации.
  • Определение потенциала нарушителя. По сути, это пересказ ГОСТ Р ИСО/МЭК 18045, в котором впервые термин "потенциал нападения" и появился. Данное приложение нужно в том случае, если в банке данных угроз не найдено значение потенциала нарушителя.
В следующей заметке я рассмотрю то, чего мне не хватило / не хватает в проекте документа.

9 коммент.:

Unknown комментирует...

А где можно ознакомиться с текстом документа? На сайте ФСТЭК найти его мне пока не удалось.

Алексей Лукацкий комментирует...

http://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/149-proekty/1004-proekt-metodicheskogo-dokumenta

Unknown комментирует...

Спасибо!

Unknown комментирует...

Базовая модель угроз безопасности ПДн отменится данной методикой или нет?

Алексей Лукацкий комментирует...

Да

Unknown комментирует...

Алексей, ваша ссылка http://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/149-proekty/1004-proekt-metodicheskogo-dokumenta уже не работает. Подскажите, где найти указанный проект

Алексей Лукацкий комментирует...

Видимо убрали после получения всех замечаний

Unknown комментирует...

http://fstec.ru/component/attachments/download/812

Unknown комментирует...

Алексей, подскажите данную Методику приняли или нет?