Ну вот и подходит к концу обзор проекта методики моделирования угроз от уважаемого регулятора, в котором смешались люди, кони... высокоуровневые и низкоуровневые угрозы. Но несмотря на это я продолжаю прохождение всех этапов моделирования и мы плавно подошли к последнему, 7-му разделу, который позволяет оценить нам уровни опасности выявленных на предыдущих этапах угроз. При этом, как я и предполагал на прошлом этапе, у одной угрозы может быть множество сценариев реализации и каждый из них надо оценивать отдельно.
Но п.7.2 сразу вводит меня в ступор, так как согласно нему уровень опасности угрозы определяется уровнем сложности ее реализации, что на мой взгляд совсем не так. Опасность - это то, что касается потребителя. Сложность - это то, что касается нарушителя. Лично мне пофигу, насколько тяжело реализовать ту или иную атаку. Опасной для меня атака будет считаться опасной, если ущерб от ее реализации будет значимым. Возможно, сложность атаки определяется вероятностью ее реализации, которая в свою очередь, если следовать алгоритму определения потенциала нападения из ГОСТ 18045, зависит от мотивации нарушителя, его компетентности и ресурсов. Но это мы уже определили раньше, когда говорили о возможностях нарушителя. Зачем нам еще городить огород со сложностью реализации угрозы, и так усложняя непростую методику? Кстати, в одной из прежних редакций проекта методики ГОСТ 18045 использовался, но от него потом отказались. Хотя на мой взгляд предложенный там алгоритм был проще того, что используется сейчас.
Дальше, в п.7.3, ступор усиливается. Я думал, что оценка опасностей делается для приоритезации защитных мер и ни для чего больше, но авторы методики разделяют цели оценки в зависимости от ситуации. Это на этапе эксплуатации опасность определяет приоритет мер защиты, а на этапе проектирования - определяет наиболее уязвимые компоненты ИС. Ох уж эти уязвимости. Такое впечатление, что документ писали люди, которые зарабатывают на поиске и анализе уязвимостей - все притягивают к нему.
Уровень опасности зависит от от типа доступа (наконец-то становится понятно, зачем мы мучались с определением локального, физического и удаленного доступа), сложности реализации угрозы и уровня значимости атакуемых информационных ресурсов. А ущерб? В п.7.2 же говорится, что негативные последствия тоже должны учитываться...
Дальше, в пп.7.5-7.6 у нас повторяется то, что было в разделах 3-5, - три типа доступа и 4 уровня сложности. Как и предполагалось уровень сложности реализации угрозы - это тоже самое, что и уровень возможностей нарушителя; один в один. Зачем тогда вводить еще одну сущность? П.7.7 вводит еще одну сущность - уровень значимости информационных ресурсов или компонентов, который... никак не связан с определенным в 3-м разделе ущербе (виде негативных последствий). Но зато вводится сложная конструкция с подсчетом числа пострадавших пользователей или критических процессов со странной градацией - один, больше одного, все, а также с введением непонятно как считаемого понятия "недостаточная эффективность критического процесса".
Апофеозом моделирования угроз является п.7.8 и таблица 8, которые показывают, что... сценарии реализации угроз нам нафиг не сдались, так как они никак не учитываются при оценке опасности каждой угрозы. Если бы мы хоть как-то могли оценивать сложность их реализации, то, возможно, и да. Хотя это была бы нетривиальная задача и 99% компаний и такой же процент специалистов по ИБ ее бы не смогли сделать (я бы вот не смог, признаю честно). Но у нас сложность реализации угрозы напрямую увязана с возможностями нарушителя и все. Поэтому весь 6-й раздел можно спокойно пропустить - в выполнении задачи он не нужен. Хотя провести работу по составлению максимально возможного перечня сценариев атак все равно придется. Хотя бы для галочки.
П.7.10 и таблица 10 определяют формат описания каждой угрозы, который не соответствует тому, что считает угрозой ФСТЭК в 6-м разделе. В нем, в частности, говорится, что угроза - это совокупность не только сценария реализации угрозы, но и типа источника (хотя мы помним, что скорее всего речь о нарушителе), ущерба и условий реализации угрозы. В формате же в таблице 10 из перечисленного упоминаются только сценарии. Зато к ним добавлены идентификатор угрозы (неважно из какого источника - привет неразбериха и отсутствие стандартизации), наименование угрозы (только из БДУ и неважно, что у вас может быть отсутствующая в БДУ угроза), описание угрозы, скопированное из БДУ (зачем?), и уровень опасности (для каждого сценария реализации).
Вот такой проект документа... Разные он у меня вызывает чувства. Не могу сформулировать их до конца. И самое интересное, что пытаясь сформулировать набор предложений по внесению изменений в этот проект, я колеблюсь от мысли "все нахрен выбросить и переписать заново" (но это неконструктивно) до попытки править текст вплоть до конкретной буквы или "склонения падежов"... Мне кажется, что в текущей концепции, документом пользоваться будет ооооочень тяжело, что создаст немалое количество предложений от лицензиатов, которые захотят нагреть руки на очередной кормушке "по подготовке обязятельной модели угроз", как это было в свое время, когда в 2008-м году было выпущено первое "четверокнижие" ФСТЭК по персданным. Ценник на разработку моделей угроз тогда подскакивал до 25 тысяч долларов за документ.
Поэтому завершу серию заметок картинкой (все равно она нужна, чтобы нормально отображалась при репосте), которая тоже имеет отношение к методике моделирования угроз, а точнее онтологии понятий "нарушитель" и "угрозы".
ЗЫ. Все, что было написано в серии заметок отражает мое сугубо субъективное мнение, с которым можно соглашаться или не соглашаться :-)
Но п.7.2 сразу вводит меня в ступор, так как согласно нему уровень опасности угрозы определяется уровнем сложности ее реализации, что на мой взгляд совсем не так. Опасность - это то, что касается потребителя. Сложность - это то, что касается нарушителя. Лично мне пофигу, насколько тяжело реализовать ту или иную атаку. Опасной для меня атака будет считаться опасной, если ущерб от ее реализации будет значимым. Возможно, сложность атаки определяется вероятностью ее реализации, которая в свою очередь, если следовать алгоритму определения потенциала нападения из ГОСТ 18045, зависит от мотивации нарушителя, его компетентности и ресурсов. Но это мы уже определили раньше, когда говорили о возможностях нарушителя. Зачем нам еще городить огород со сложностью реализации угрозы, и так усложняя непростую методику? Кстати, в одной из прежних редакций проекта методики ГОСТ 18045 использовался, но от него потом отказались. Хотя на мой взгляд предложенный там алгоритм был проще того, что используется сейчас.
Дальше, в п.7.3, ступор усиливается. Я думал, что оценка опасностей делается для приоритезации защитных мер и ни для чего больше, но авторы методики разделяют цели оценки в зависимости от ситуации. Это на этапе эксплуатации опасность определяет приоритет мер защиты, а на этапе проектирования - определяет наиболее уязвимые компоненты ИС. Ох уж эти уязвимости. Такое впечатление, что документ писали люди, которые зарабатывают на поиске и анализе уязвимостей - все притягивают к нему.
Уровень опасности зависит от от типа доступа (наконец-то становится понятно, зачем мы мучались с определением локального, физического и удаленного доступа), сложности реализации угрозы и уровня значимости атакуемых информационных ресурсов. А ущерб? В п.7.2 же говорится, что негативные последствия тоже должны учитываться...
Дальше, в пп.7.5-7.6 у нас повторяется то, что было в разделах 3-5, - три типа доступа и 4 уровня сложности. Как и предполагалось уровень сложности реализации угрозы - это тоже самое, что и уровень возможностей нарушителя; один в один. Зачем тогда вводить еще одну сущность? П.7.7 вводит еще одну сущность - уровень значимости информационных ресурсов или компонентов, который... никак не связан с определенным в 3-м разделе ущербе (виде негативных последствий). Но зато вводится сложная конструкция с подсчетом числа пострадавших пользователей или критических процессов со странной градацией - один, больше одного, все, а также с введением непонятно как считаемого понятия "недостаточная эффективность критического процесса".
Апофеозом моделирования угроз является п.7.8 и таблица 8, которые показывают, что... сценарии реализации угроз нам нафиг не сдались, так как они никак не учитываются при оценке опасности каждой угрозы. Если бы мы хоть как-то могли оценивать сложность их реализации, то, возможно, и да. Хотя это была бы нетривиальная задача и 99% компаний и такой же процент специалистов по ИБ ее бы не смогли сделать (я бы вот не смог, признаю честно). Но у нас сложность реализации угрозы напрямую увязана с возможностями нарушителя и все. Поэтому весь 6-й раздел можно спокойно пропустить - в выполнении задачи он не нужен. Хотя провести работу по составлению максимально возможного перечня сценариев атак все равно придется. Хотя бы для галочки.
П.7.10 и таблица 10 определяют формат описания каждой угрозы, который не соответствует тому, что считает угрозой ФСТЭК в 6-м разделе. В нем, в частности, говорится, что угроза - это совокупность не только сценария реализации угрозы, но и типа источника (хотя мы помним, что скорее всего речь о нарушителе), ущерба и условий реализации угрозы. В формате же в таблице 10 из перечисленного упоминаются только сценарии. Зато к ним добавлены идентификатор угрозы (неважно из какого источника - привет неразбериха и отсутствие стандартизации), наименование угрозы (только из БДУ и неважно, что у вас может быть отсутствующая в БДУ угроза), описание угрозы, скопированное из БДУ (зачем?), и уровень опасности (для каждого сценария реализации).
Вот такой проект документа... Разные он у меня вызывает чувства. Не могу сформулировать их до конца. И самое интересное, что пытаясь сформулировать набор предложений по внесению изменений в этот проект, я колеблюсь от мысли "все нахрен выбросить и переписать заново" (но это неконструктивно) до попытки править текст вплоть до конкретной буквы или "склонения падежов"... Мне кажется, что в текущей концепции, документом пользоваться будет ооооочень тяжело, что создаст немалое количество предложений от лицензиатов, которые захотят нагреть руки на очередной кормушке "по подготовке обязятельной модели угроз", как это было в свое время, когда в 2008-м году было выпущено первое "четверокнижие" ФСТЭК по персданным. Ценник на разработку моделей угроз тогда подскакивал до 25 тысяч долларов за документ.
Поэтому завершу серию заметок картинкой (все равно она нужна, чтобы нормально отображалась при репосте), которая тоже имеет отношение к методике моделирования угроз, а точнее онтологии понятий "нарушитель" и "угрозы".
ЗЫ. Все, что было написано в серии заметок отражает мое сугубо субъективное мнение, с которым можно соглашаться или не соглашаться :-)