24.04.2020

Как я моделировал угрозы по проекту новой методики ФСТЭК. Часть 6 (финал)

Ну вот и подходит к концу обзор проекта методики моделирования угроз от уважаемого регулятора, в котором смешались люди, кони... высокоуровневые и низкоуровневые угрозы. Но несмотря на это я продолжаю прохождение всех этапов моделирования и мы плавно подошли к последнему, 7-му разделу, который позволяет оценить нам уровни опасности выявленных на предыдущих этапах угроз. При этом, как я и предполагал на прошлом этапе, у одной угрозы может быть множество сценариев реализации и каждый из них надо оценивать отдельно.

Но п.7.2 сразу вводит меня в ступор, так как согласно нему уровень опасности угрозы определяется уровнем сложности ее реализации, что на мой взгляд совсем не так. Опасность - это то, что касается потребителя. Сложность - это то, что касается нарушителя. Лично мне пофигу, насколько тяжело реализовать ту или иную атаку. Опасной для меня атака будет считаться опасной, если ущерб от ее реализации будет значимым. Возможно, сложность атаки определяется вероятностью ее реализации, которая в свою очередь, если следовать алгоритму определения потенциала нападения из ГОСТ 18045, зависит от мотивации нарушителя, его компетентности и ресурсов. Но это мы уже определили раньше, когда говорили о возможностях нарушителя. Зачем нам еще городить огород со сложностью реализации угрозы, и так усложняя непростую методику? Кстати, в одной из прежних редакций проекта методики ГОСТ 18045 использовался, но от него потом отказались. Хотя на мой взгляд предложенный там алгоритм был проще того, что используется сейчас.

Дальше, в п.7.3, ступор усиливается. Я думал, что оценка опасностей делается для приоритезации защитных мер и ни для чего больше, но авторы методики разделяют цели оценки в зависимости от ситуации. Это на этапе эксплуатации опасность определяет приоритет мер защиты, а на этапе проектирования - определяет наиболее уязвимые компоненты ИС. Ох уж эти уязвимости. Такое впечатление, что документ писали люди, которые зарабатывают на поиске и анализе уязвимостей - все притягивают к нему.

Уровень опасности зависит от от типа доступа (наконец-то становится понятно, зачем мы мучались с определением локального, физического и удаленного доступа), сложности реализации угрозы и уровня значимости атакуемых информационных ресурсов. А ущерб? В п.7.2 же говорится, что негативные последствия тоже должны учитываться...

Дальше, в пп.7.5-7.6 у нас повторяется то, что было в разделах 3-5, - три типа доступа и 4 уровня сложности. Как и предполагалось уровень сложности реализации угрозы - это тоже самое, что и уровень возможностей нарушителя; один в один. Зачем тогда вводить еще одну сущность? П.7.7 вводит еще одну сущность - уровень значимости информационных ресурсов или компонентов, который... никак не связан с определенным в 3-м разделе ущербе (виде негативных последствий). Но зато вводится сложная конструкция с подсчетом числа пострадавших пользователей или критических процессов со странной градацией - один, больше одного, все, а также с введением непонятно как считаемого понятия "недостаточная эффективность критического процесса".
Апофеозом моделирования угроз является п.7.8 и таблица 8, которые показывают, что... сценарии реализации угроз нам нафиг не сдались, так как они никак не учитываются при оценке опасности каждой угрозы. Если бы мы хоть как-то могли оценивать сложность их реализации, то, возможно, и да. Хотя это была бы нетривиальная задача и 99% компаний и такой же процент специалистов по ИБ ее бы не смогли сделать (я бы вот не смог, признаю честно). Но у нас сложность реализации угрозы напрямую увязана с возможностями нарушителя и все. Поэтому весь 6-й раздел можно спокойно пропустить - в выполнении задачи он не нужен. Хотя провести работу по составлению максимально возможного перечня сценариев атак все равно придется. Хотя бы для галочки.

П.7.10 и таблица 10 определяют формат описания каждой угрозы, который не соответствует тому, что считает угрозой ФСТЭК в 6-м разделе. В нем, в частности, говорится, что угроза - это совокупность не только сценария реализации угрозы, но и типа источника (хотя мы помним, что скорее всего речь о нарушителе), ущерба и условий реализации угрозы. В формате же в таблице 10 из перечисленного упоминаются только сценарии. Зато к ним добавлены идентификатор угрозы (неважно из какого источника - привет неразбериха и отсутствие стандартизации), наименование угрозы (только из БДУ и неважно, что у вас может быть отсутствующая в БДУ угроза), описание угрозы, скопированное из БДУ (зачем?), и уровень опасности (для каждого сценария реализации).

Вот такой проект документа... Разные он у меня вызывает чувства. Не могу сформулировать их до конца. И самое интересное, что пытаясь сформулировать набор предложений по внесению изменений в этот проект, я колеблюсь от мысли "все нахрен выбросить и переписать заново" (но это неконструктивно) до попытки править текст вплоть до конкретной буквы или "склонения падежов"... Мне кажется, что в текущей концепции, документом пользоваться будет ооооочень тяжело, что создаст немалое количество предложений от лицензиатов, которые захотят нагреть руки на очередной кормушке "по подготовке обязятельной модели угроз", как это было в свое время, когда в 2008-м году было выпущено первое "четверокнижие" ФСТЭК по персданным. Ценник на разработку моделей угроз тогда подскакивал до 25 тысяч долларов за документ.

Поэтому завершу серию заметок картинкой (все равно она нужна, чтобы нормально отображалась при репосте), которая тоже имеет отношение к методике моделирования угроз, а точнее онтологии понятий "нарушитель" и "угрозы".


ЗЫ. Все, что было написано в серии заметок отражает мое сугубо субъективное мнение, с которым можно соглашаться или не соглашаться :-) 

14 коммент.:

Vladimir Minakov комментирует...

Может как-то усилить постскриптум? Например, в фразу "Моё сугубо объективное мнение" добавить "личное", "истинное", "последней инстанции", а "не соглашаться" заменить на "быть не правым"?

Алексей Лукацкий комментирует...

Я вроде писал сугубо субъективное :-)

Сергей Борисов комментирует...

Конечно, методику есть куда упрощать, но
Под конец уже слишком преувеличенным выглядит непонимание.

И пожалуйста не надо демонизировать лицензиатов.
И сейчас крупные, средние заказчики привлекают исполнителей для реализации комплекса работ, когда нужно снять нагрузку со своих работников и привлечь ускоспециализированных экспертов.

И моделирование угроз и анализ рисков сейчас делается. Но каждый по своему. И иногда бывает сложно договорится, по какой же методике будут выполняться работы. А если это конкурс, и нужно чтобы исполнитель выполнил работы качественно? Тут ведь заказчику фактически самому необходимо предъявлять/разрабатывать методику.
Поэтому методика нужна всем игрокам рынка. Нужно только чтобы она подошла большинству целевой аудитории.

Goremika комментирует...

Документ очень интересная загадка.

По идее подход понятный и простой:
Возьмите ворох угроз, выкиньте все которые:
1. Не приводят к негативным последствиям
2. Не имеют у вас необходимого нарушителя с нужными целями
3. Воздействуют на активы которых у вас нет
4. Не имеют необходимого уровня доступа

Для оставшихся прикиньте сценарии по которым эти угрозы можно реализовать. Если таких сценариев нет - выкиньте.

Оставшиеся угрозы для вас актуальные - отсортируйте их и боритесь с ними по очереди.


Но вот ощущение что задание дали разным людям, которые друг друга не очень любят и они не особо договаривались когда писали.

Еще непонятно как этот документ должен жить. У защищенной системы в модели угроз актуальных угроз быть не должно?

Александр Германович комментирует...

Все таки в сравнении с методичками ФСТЭК по угрозам в КСИИ (2007 г) новая методика просто образец ясности и простоты.

Алексей Лукацкий комментирует...

Александр: ну нет. Та методика легко автоматизировалась даже в Excel. И она имела четкую структуру и была систематизирована. В этой систематизация на полшишечки

Александр Германович комментирует...

Она, может, и автоматизировалась, но реализовать ее до конца было невозможно. В ней просто до конца не дописали, как же все-таки определить ущерб от воздействия НА КАЖДЫЙ ФАЙЛ системы отдельно.
Ну и оценивать угрозы ВЧО, ВЧН и перехвата ПЭМИН тоже было очень весело. Уже вручную, без всякой автоматизации.

Serj комментирует...

Методику предложили универсальную (ИСПДН, ГИС, КИИ). Документы используемые для моделирования открытые. Итоговый документ- модель угроз может быть с пометкой "Для служебного пользования"?

Алексей Лукацкий комментирует...

Может, если организация государственная

Воеводин Владислав комментирует...
Этот комментарий был удален автором.
Воеводин Владислав комментирует...

Воеводин Владислав.
Алексей, приветствую, я посмотрел чисто по формальным признакам, практически не вникал в содержание, в результате пришел к умозаключениям и одному предложению
И так:
1. п. 1.2 Методики определяет порядок и содержание работ … . Порядок работ, если постараться, то можно отыскать. Кстати в тексте слово «порядок» встречается три раза, один раз в содержании, другой раз в рассматриваемой статье, другой раз в названии раздела. Как можно описать порядок, не используя термина? Что касается «содержания», тоже три раза встречается по тексту. Причем, учитывая ориентацию методики на выявление (тоже не нашло отражение по формальным признакам – термин 4 раза встретился в декларативных статьях) и оценку антропогенных угроз … , я ожидал, что увижу, как минимум: Порядок и содержание работ по выявлению антропогенных угроз. Порядок и содержание работ, по оценке антропогенных угроз. Порядок и содержание работ по экспертному оцениванию и обработке результатов. Увидеть не удалось?
2. Учитывая, что это методический документ (методика), то в отличии от стандарта, который чаще отвечает на вопрос: «Что»? Методика должна отвечать на вопрос: «Как»? Про «как»? я ничего практически не увидел.
3. Не понятно о каких системах и сетях идет речь? Может о компьютерных, сетях связи? В той же 1.2 промелькнуло «… в информационных (автоматизированных) системах, автоматизированных системах управления, информационно-телекоммуникационных сетях, в том числе …». Ну написали бы – далее пот тексту – системы и сети. Потом по тексту идет системы и сети. Какие? Так и не определен предмет моделирования, ограничения. Я не умею строить без этого, основного, модели.
4. В конечном счет не понятна какой тип модели должен получиться в результате указанных деяний (порядка и содержания работ), математическая, вербальная, натурная, имитационная, статистическая, экспертная, могу еще перечислять. Дак какая? Или совокупность моделей?
5. Кому эта модель, в том виде, котором она предлагается, принесет счастье? Я думал, что лицу, принимающему решение по обеспечению защиты информации при распределении скудных сил и средств, выделенных на защиту информации. Если бы я был ЛПРом, а я побывал таковым, я бы заплакал. Скорее она нужна регулятору, чтобы было что проверять. Так? Опровергните мое суждение.
6. Про логику изложения, содержание речь вести пока преждевременно, нужно устранить сквозняк на целевом, формальном и терминологическом уровнях. Например, встречается выражение: «…Результаты оценки ущерба (рисков)…». Автор считает это синонимами? Ну, ну?
7. Хотя бы техническому и литературному редакторам показали текст. Хотя их сегодня с огнем и пряником ни ночью ни днем не отыщешь. Алексей, кликни клич, может есть смысл собрать народом средства на редактирование? Сейчас это принято, в том числе через СМИ.

Алексей Лукацкий комментирует...

Я думаю эти вопросы лучше задавать регулятору. Правда, это надо было делать до 30-го апреля :-(

Воеводин Владислав комментирует...

Согласен, увидел поз. Скорее это мнение, а не вопросы.

Воеводин Владислав комментирует...

Да и у регулятора я не увидел подобной площадки для обсуждения. Поэтому сомневаюсь, что оно востребовано.