20.5.15

Чего мне не хватило в методике моделирования угроз ФСТЭК?

Позавчера я рассмотрел проект методики моделирования угроз, а сегодня хочу систематизировать то, что мне в проекте методики не понравилось или не хватило:

  • Мне показалось ограниченной привязка к классической триаде "конфиденциальность-целостность-доступность". Даже в документах ФСБ по персданным от 2008-го года говорилось о большем количестве свойств информации, которые надо обеспечивать в рамках ИБ. За рамки триады выходит и ГОСТ Р ИСО/МЭК 13335, которые не ограничивается только КДЦ, но также упоминает подотчетности, аутентичность и т.п. Правда, надо признать, что спор о том, все ли можно свести к триаде или нет, - старый. Мы его еще в 2012-м году в блоге вели. Но я остаюсь при своем мнении - триадой все не ограничивается и есть угрозы, которые выходят за ее рамки.
  • Технократичность методики является следствием ее привязки к триаде. Допустим, приход регулятора, просроченный сертификат, отсутствие лицензии ФСБ на деятельность в области шифрования, внесение изменений в аттестованный объект информатизации, снижение бюджета на ИБ, сокращение персонала отдела защиты информации... По мне, так это все угрозы, которые попадают в поле зрения специалиста по ИБ и, зачастую, они даже более важны, чем угрозы КДЦ. Но в методику они совсем не попали. Причина этого, конечно, понятна, но все-таки оставляет чувство некоторой незавершенности.
  • Меня смущает отсутствие примеров. И хотя формализм - это традиция в документах ФСТЭК, хотелось бы увидеть большее число примеров, чем в текущем варианте. В конце концов мы говорим о методическим документе, а не бюрократическом приказе. Задача методички - разъяснить и показать "как надо", а это сложно сделать без примеров. Примеры сильно улучшили бы текст методички.
  • Отсутствие нумерации. Когда Банк России выпускал 5-ю редакцию своего СТО, он переиграл почти всю нумерацию и те, кто делал маппинг из требований СТОv4 в другие стандарты и требования вынуждены были все переделывать заново. В методике ФСТЭК другая проблема - полное отсутствие сквозной нумерации. Очень сложно ссылаться на разделы такого документа.
  • Отсутствие иллюстраций. Понятно, что в ФСТЭК нет выпускников Строгановского училища, но хотя бы блок-схемы типовой информационной системы и каналов/векторов реализации атак на нее, не помешали бы.
  • Коль скоро мы говорим о методичке, которая призвана снизить число ошибок при моделировании угроз, то неплохо было бы в приложение включить список типичных ошибок при составлении списка актуальных угроз. Тем более, что у ФСТЭК этот список есть - они его представляли на своей конференции. Почему бы не включить? Лишним он точно не будет.
  • Но, пожалуй, самое серьезное нарекание у меня вызывает итоговая таблица 8, которая, собственно, и отделяет актуальные угрозы от неактуальных. У меня такая же претензия было 7 лет назад, к прошлой методике определения актуальных угроз. Неравномерно в матрице/таблице проходит граница между актуальными и неактуальными угрозами; неравномерно. Число актуальных угроз явно завышается и делается это специально. В причины я вдаваться не готов - мне они понятны, хотя я их и не разделяю.
По сути, каких-либо серьезных претензий к проекту документа у меня нет. Все мои замечания касаются скорее удобства пользования им.

19 коммент.:

vsv комментирует...

Алексей, по поводу абзаца: "•Технократичность методики является следствием ее привязки к триаде. Допустим, приход регулятора, просроченный сертификат, отсутствие лицензии ФСБ на деятельность в области шифрования, внесение изменений в аттестованный объект информатизации, снижение бюджета на ИБ, сокращение персонала отдела защиты информации... По мне, так это все угрозы, которые попадают в поле зрения специалиста по ИБ и, зачастую, они даже более важны, чем угрозы КДЦ. Но в методику они совсем не попали. Причина этого, конечно, понятна, но все-таки оставляет чувство некоторой незавершенности".

Угрозы-то это угрозы. Но чему (или кому)? Проект методики оценивает угрозы ИНФОРМАЦИИ, а в этом абзаце говорится об угрозах ОПЕРАТОРУ. А это суть разные вещи.

Unknown комментирует...

Согласен со всем. И действительно, можно рассматривать "уровень автоматизации" моделирования. Иными словами - насколько просто сделать программу автоматизации моделирования. Чем легче - тем она пригоднее в реальных условиях.
Ну и про КЦД - Алексей прав, но это "хотелка" с учетом того, для кого этот документ обязателен. И опять, же по традиции ФСТЭК - никто не мешает зрелым компаниям руководствоваться со своими грамотными аддонами за рамками триады.

Unknown комментирует...

Мне кажется наиболее проблемным местом в документе является "уровень защищенности" и "уровень проектной защищенности". Определение уровня защищенности на стр.25 документа - не совсем ясно как на практике это оценить... По поводу проектной защищенности тоже возникает вопрос - например, по табл.3 определяем, что уровень защищенности низкий, т.к. все показатели попали в третий столбец, кроме п.6 (все ТС у нас в контролируемой зоне). И по табл. 4 для угроз физического доступа к оборудованию получим высокую степень их реализации при любом потенциале нарушителя... не логично как-то.

Александр Германович комментирует...

Да, с "уровнем проектной защищенности" авторы перемудрили.
Непонятно, как достичь высокого уровня исходной (проектной) защищенности. Судя по таблице 3, никак. Впрочем, и среднего в мало-мальски крупной ИС тоже не достигнешь. Да и от потенциала нарушителя этот уровень не зависит. А не достигнув высокого уровня, ИС нельзя вводить в эксплуатацию:
«ввод в эксплуатацию информационной системы осуществляется при условии достижения высокого уровня исходной защищенности информационной системы от нарушителя с заданным потенциалом».

Термин "границы информационной системы" тоже доставляет. Сотрудник, зашедший в помещение, где установлена рабочая станция ИС, пересек границу ИС или нет? Неясно. А от этого будет зависеть, внешний он или внутренний.

В общем, в руках проверяющих появится ооочень гибкий инструмент...

vsv комментирует...

По поводу границ. Смотрим проект:
внешние нарушители (тип I) – лица, не имеющие права доступа к ИС, ее отдельным компонентам и реализующие угрозы безопасности информации из-за границ ИС;
внутренние нарушители (тип II) – лица, имеющие право постоянного или разового доступа к ИС, ее отдельным компонентам".
То есть тип нарушителя (внутренний/внешний) определяется не доступом в помещение, а правом доступа к информации или элементам ИС...

Александр Германович комментирует...

2 vsv
ОК. Т.е при сдаче железа в ремонт к нему получают доступ внутренние нарушители?

vsv комментирует...

А при сдаче железа в ремонт смотрим п. 19.2 Приказа ФСТЭК № 17...

Александр Германович комментирует...

"А при сдаче железа в ремонт смотрим п. 19.2 Приказа ФСТЭК № 17..."

Здорово. А что, в железе, помимо носителей, больше ничего нет? Нарушитель только на информацию, хранящуюся на носителях, может воздействовать?

vsv комментирует...

А это уже п. 17.5 того же приказа...

Александр Германович комментирует...

п. 17.5. " Ввод в действие информационной системы осуществляется в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации и с учетом ГОСТ 34.601 и при наличии аттестата соответствия."

Очень познавательно, спасибо.

Unknown комментирует...

Выскажу пару существенных замечаний по проекту методике.
1) Методика определила какие разделы должны быть в модели угроз. Но структура модели угроз ранее была также описана в окончательной редакции проекта национального стандарта ГОСТ Р «Защита информации. Информационные системы и объекты информатизации. Угрозы безопасности информации. Общие положения» (ТК 362 Защита информации). Стандарт обсуждался, увязан с другим стандартами, дошел до окончательной редакции. Видно забыли про него ... И теперь методика и стандарт не согласуются между собой. На мой взгляд в стандарте этот момент описан лучше.
2) В методике степень возможного ущерба от реализации угрозы безопасности информации определяется степенью негативных последствий от нарушения конфиденциальности, целостности или доступности каждого вида информации, содержащейся в информационной системе. Причем в качестве единой шкалы измерения степени негативных последствий принимаются значения «незначительные», «умеренные» и «существенные» негативные последствия. Но в качестве одного из критериев отнесения угрозы к актуальным использован термин «неприемлемое» негативное последствие (ущерб). Но методика не оговаривает как и кто будет оценивать эту «неприемлемость». Можно ли ставить знак равенства между «существенным» и «неприемлемым»? На мой взгляд нет. В итоге на выходе модели мы не можем сделать корректное заключение о списке актуальных угроз.

Алексей Лукацкий комментирует...

Сергей Викторович, разговоры только про "информацию" - это дань истории. ФСТЭК также активно смотрит на угрозы информационным системам. Надо еще шаг сделать и смотреть на угрозы оператору ;-)

Алексей Лукацкий комментирует...

Сергей Викторович, а отказ вендора от обновления СрЗИ - это угроза чему? ИС или оператору?

Анонимный комментирует...

Уважаемые коллеги! хотелось-бы обратить внимание на практическую проблему оценки значимости государственных информационных ресурсов/ степени вероятного ущерба.
Методика, как и 17 приказ ФСТЭК, предназначена в первую очередь именно для государственных информационных систем (информационного ресурса).
При определении актуальных угроз, как и при определении класса защищенности ГИС, параметр значимости/ ущерба предлагается оценивать самостоятельно.
В результате, на практике, мы имеем необоснованный разброс оценок. Например, разброс требований к идентичным объектовым ГИС может включать крайние значения (были случаи, когда уровень значимости информации ИС «Бухгалтерия и кадры» оценили как УЗ-1 и просили обосновать обратное со ссылкой на какой-нибудь правовой акт).
Самостоятельная оценка значимости/ ущерба, даже с привлечением лицензиатов, сталкивается с проблемой: чиновнику (гос.служащему) нужна ссылка на правовой акт (методику, приказ и т.п.)
Надеялись увидеть какие-то указания (рекомендации) в Методике.
Оценка ущерба ИБ - задача непростая, а при отсутствии норм/ критериев хотя-бы для типовых ГИС (ГИР) - сложно реализуемая.
Спасибо за внимание. Очень проблемный практический вопрос!

Алексей Лукацкий комментирует...

Николай, ваши предложения?

Анонимный комментирует...

Решение вопроса возможно в поле Минкомсвязи.
в приказе от 22 августа 2013 г. N 220 Минкомсвязь приводит рекомендации для ОГВ по учету ИС и компонентов ИТКИ. В развитие данных рекомендаций можно добавить приложение в виде таблицы: типовой информационный ресурс – масштаб ИС - значимость.
Имея постоянную практику работы с федеральными и региональными ИС ОГВ готовы оказать помощь в разработке материалов.
Пробовали заинтересовать данной проблемой ГНИИИ ПТЗИ ФСТЭК России – без успеха.

Алексей Лукацкий комментирует...

Так надо в ФСТЭК писать

Unknown комментирует...

Алексей, подскажите вышеуказанный проект МЕТОДИКИ ОПРЕДЕЛЕНИЯ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ФСТЭК утвердил или нет? На сайте службы никакой информации не нашел

Алексей Лукацкий комментирует...

Совсем скоро