Когда я готовился к вчерашнему межблогерскому вебинару, где мы обсуждали новую методику оценки угроз ФСТЭК, я составил список замечаний, которые хотел озвучить и не постеснялся и озвучил их :-) Но в структурированном формате я их никуда не выкладывал и в презентацию не вставлял; поэтому сегодня можно посвятить отдельную заметку этому документу, который, как гром с ясного неба, без какого-либо повторного обсуждения, был утвержден регулятором 5-го февраля и который стал обязательным к применению всеми поднадзорными организациями (а для некоторых еще и согласовывать свои модели угроз по этому документу надо).
Я уже делал большой обзор прошлогоднего проекта методики и могу сказать, что косметические изменения в него были внесены, а вот методологически и концептуально он остался таким же и я (и как показал вебинар, не только я) считаю, что новый процесс стал не просто на порядок сложнее (это еще можно простить), но и непонятнее, а также неприменимым на практике :-( И вот почему. Я в прошлый раз писал, что обычно логика моделирования угроз строится сверху внизу - сначала высокоуровневые угрозы, из общего списка которых я составляют перечень актуальных. Например, исключаю угрозу, допустим, со стороны иностранных спецслужб и разработчиков, а также DDoS, утечки и вирусные заражения (для примера). Для оставшихся угроз я делаю составляю перечень тактик и техник, которые позволяют реализовать эти угрозы. А на последнем этапе я уже формирую сигнатуры, правила, индикаторы, шаблоны, которые детектируют эти тактики. Все четко (как мне кажется) - сверху вниз - от теории к практике. Что сделала ФСТЭК, она совместила зачем-то первый и второй этап, но не связала их между собой. В итоге мы начинаем определяет тип нарушителя, его возможности, атакуемые интерфейсы и компоненты, а потом, бац, и внезапно перескакиваем на определение сценариев реализации угрозы, которые вообще никак не связаны ни с нарушителями, ни с источниками угроз, ни с возможностями, ни с негативными последствиями. То есть два независимых процесса, из которых, с практической точки зрения, важен только последний. А первый подвисает как *** в проруби. Так было год назад - так осталось и сейчас. Я попробую, как в прошлый раз, взять за основу какую-либо типовую систему и пройти по шагам утвержденную методику. Но это будет потом. А пока тезисно перечислю то, что мне запомнилось при чтении методики:
- Методика чего? Оценки? Определения? Моделирования? Постоянно перескакивают с термина на термин, что вводит в заблуждение. На суть не влияет, но уже напрягает.
- Методика обязательна для всех поднадзорных ФСТЭК организаций, так как распространяется на все объекты защиты - ИСПДн, ГИС, ЗОКИИ, АСУ ТП, ИС оборонки. Разве что станки с ЧПУ (не из оборонки) не затрагивают, хотя у ФСТЭК есть требования по их защите.
- В документе отсутствует переходный период и вопрос, как быть если модель угроз сейчас на согласовании в ФСТЭК, никто ответить не может. Даже сам регулятор. Надо переписывать модель (и тратить бюджетные средства на это) или нет?
- Упоминаемый по тексту методики STIX - это язык описания угроз, а не их база/источник, как CAPEC и т.п.
- Без автоматизации вся это методика мертворождена - не взлетает из-за количества задач, которые нужно реализовывать. ФСТЭК обещала средство автоматизации, но пока его нет. Ждем...
- Методика оторвана от БДУ. ФСТЭК обещала его поменять, но пока это тоже не сделано. Поэтому и нужен был переходный период.
- ФСТЭК обязывает реализовывать не дискретный процесс моделирования (раз в три года перед аттестацией или вообще никогда после сдачи толстого фолианта), а непрерывный. Поэтому без автоматизации вообще никак. И это средство автоматизации должно будет подгружать новые данные об угрозах и т.п. с сайта регулятора. Поддержание модели угроз в актуальном состоянии в свою очередь ставит вопрос о непрерывной переаттестации, что требует разъяснений от регулятора и бюджетов от аттестуемых (кто ж бесплатно это будет делать).
- В документе не говорится, но обновлять надо не реже одного раза в год (так часто либо НПА ФСТЭК меняются). А уж новые уязвимости, влияющие на возможности реализации угроз, а также новые тактики, появляются еще чаще. Так что процесс это не одноразовый.
- Видимо не успели, но в идеале было отлично видеть привязку к разработанным проектам/методичкам оценки показателей значимости при категорировании ОКИИ. По сути подход же не меняется.
- Общая проблема документов ФСТЭК - их авторы никогда не пропускают себя через них. Вот что мешало ФСТЭК проект новой методики натянуть на какую-либо систему и сделать частную модель угроз? Был бы отличный пример работы документа и многие вопросы снялись бы автоматически. Причем ФСТЭК же по ее словам это уже делала. Когда на конференции ФСТЭК в рамках ТБ-Форума Д.Н.Шевцов рассказывал о новых требованиях к средствам защиты дистанционной работы, он говорил, что были проанализированы все угрозы для такого режима работы. Почему бы не опубликовать эту модель угроз, соответствующую новой методике? Все же работы уже проведены. Все бы спасибо сказали.
- Нарушитель актуален, если его действия МОГУТ привести к негативным последствиям и рискам (видам ущерба). Не получается ли так, что спецслужбы иностранных государств должны включаться всеми в список актуальных? Да и вообще, по этой логике любой тип нарушителя является актуальным. А самое главное, зачем мне их оценивать, если сценарии реализации угроз с ними никак не связаны?
- К делению нарушителей на внутренние и внешние те же вопросы. Если спецслужба может привлекать внутреннего нарушителя, то смысл делить всех на внешние и внутренние? Разработчик ПО по методике - это внутренний нарушитель. Звучит не очень логично, но по сути верно. Но почему сотрудник АНБ, который реализует фишинг против работника жертвы, внешний нарушитель? А если он внедрил закладку на этапе разработки или поставки (вспомним SolarWinds)? Почему оператор связи - это внутренний нарушитель, а поставщик обеспечивающих услуг (например, DNS) - внешний? В конце концов, почему разработчик ПО - это нарушитель со средними возможностями, а спецслужба - с высокими? Разработчик ПО имеет больше возможностей и знаний по внедрению вредоноса в свою продукцию, чем спецслужба. А почему APT, которая использует украденный арсенал кибероружия ЦРУ, - это базовые повышенные возможности? А почему спецслужба, привлекающая АРТ к своей деятельности, - это максимальные возможности? А главное, опять, зачем это все, если мы никак это не используем далее?
- Классификация возможностей нарушителя Н1-Н4 приводит к путанице с моделями нарушителей Н1-Н6 ФСБ. Зачем это было сделано?
- Классификация источников угроз противоречит ранее выпущенным ГОСТам ФСТЭК и в методике вообще нет отсылок ранее принятых ТК362 ГОСТов. Зачем их тогда принимали? Они же классифицируют и систематизируют многие вопросы, рассматриваемые в методике, - нарушителей, источники угроз, мотивы и т.п.
- Из методики странным образом исчез вопорос ПОЧЕМУ. КТО может хакнуть (то есть нарушитель) у нас определяется. КАК хакнут (методы) - тоже. КУДА хакнут (интерфейс) - присутствует. ЧТО хакнут (компоненты) -тоже есть. А ПОЧЕМУ хакнут (мотивация) исключили. То есть нам все равно, могут нас вообще захотеть атаковать или нет? И мы исходим только из теоретической возможности такого взлома? Ведь была же раньше попытка сослаться на ГОСТ 18045 с его потенциалом нападения. И при оценке безопасности ИТ-продуктов эта концепция используется. А вот сейчас про нее забыли :-(
- Также из риск-ориентированной методики убрали понятие вероятности реализации негативного события. То есть ущерб (негативные последствия) мы оцениваем, а их вероятность - нет, принимая ее равной единице? С какого перепугу мы уравниваем вероятность подцепить шифровальщика, атаку китайских хакеров и падение метеорита?
- Очень мне не хватило примеров. Это ж методичка - ее не надо утверждать в Минюсте. Почему бы не добавить понятности и разбавить документ множеством примеров? Стало бы в разы все понятнее.
- Хорошо, что есть деление на угрозы возможные и актуальные. Но дальше все плохо - наличие хотя бы одного сценария делает угрозу актуальной. Тогда разницы между возможными и актуальными нет, так как мне сложно представить угрозу, для которой не было в современной организации хотя бы одного сценария реализации. А значит мы опять все возможные угрозы делаем актуальными, не имея возможности их сократить :-(
- Почему на этапе создания оцениваемой системы должен быть определен хотя бы один сценарий (TTP)? А на этапе эксплуатации множество? И сколько это - множество?
- Определили сценарии (правда, непонятно как - этот раздел прошлого проекта удалили) и что? Обрыв методики. Как выбрать меры по нейтрализации угроз?
- Как влияет определяемый уровень возможностей нарушителя, его категория, виды, риски и т.п. на определение актуальных угроз? НИКАК! Все равно все скатывается к определению возможных сценариев угроз, которые непонятно как связать с нарушителями и их возможностямяи. Мы проделали кучу работы, результаты которой мы не используем и которые ни на что не влияют.
- Опять тот же вопрос про утечки. Это пример воздействия на ресурсы и компоненты или пример негативного последствия? Оно используется и там и там. Отказ в обслуживании - это тоже вид воздействия; хотя логичнее было бы его считать негативным последствием.
- Проблема с тактиками осталась. Зачем этот неполный список оставлять в приложении к методике? Его же таким и будут использовать и расширить его будет нереально. Разместите на сайте ФСТЭК, как ЦБ сделал со списком инцидентов. И обновляйте, когда хотите. А почему нет ссылок на нумерацию MITRE ATT&CK? Ведь эту матрицу брали за основу. Ну и сделали бы ссылки, чтобы было удобнее. Ну или перевели бы целиком (отрасль бы спасибо сказала). За год уж точно можно было бы НИР для ГНИИ ПТЗИ заказать и все сделать (кстати, выполнение НИР делает ГНИИ ПТЗИ субъектом КИИ или нет?).
- На сайт регулятора можно было и все остальные приложения с перечнями (ущерба, нарушителей и т.п.) вынести. А по тексту просто сослаться, что это пример, но последние версии лежат там-то. Ведь они не требуют согласования с Минюстом и можно их пополнять в любое удобное время. А если эти перечни еще сделать в машинно-читаемом формате, то можно было и в средство автоматизации их подгружать. Было бы полезно и удобно.
16 коммент.:
Добрый день! Поясните, почему Вы считаете не связанными актуальные нарушители и сценарии? Ведь, насколько я поняла, регулятор в методики предлагает оценить ущерб, в след за этим определить уже тех нарушителей, кому было интересно нанести такой ущерб, а далее исходя из потенциальных возможностей нарушителя, мы можем говорить о том, какие угрозы он сможет реализовать. Так, например, для испдн бухгалтерии небольшего ООО врядли мы будем рассматривать спец службы, а раз мы их убираем, то и атаки, связанные с внедрением закладок рассматривать не будем.
Целесообразно рассмотреть проблему с другими акцентами.
1. Надо ли определять угрозы? Как происходит определение мер защиты информации для всех законодательно регулируемых объектов защиты? По формально установленным в НПА критериям определяется категория значимости объекта КИИ, класс или уровень защищенности ГИС или ИСПДн (АСУ ТП). По категории, классу или уровню выбираются меры защиты информации установленные в НПА. Если какие-то технологии не используются, то убираются соответствующие меры (блок мер) защиты, например, меры защиты среды виртуализации. Если к объекту защиты применимы сразу несколько однотипных мер защиты из разных НПА, то выбираются наиболее строгие (не понятно на чем это основано). Если используются только типовые информационные технологии, то всё – процесс завершен. Таким образом, при существующем методическом подходе определять актуальные угрозы безопасности информации для построения системы защиты информации не требуется. Более того, в статье 19 ФЗ № 152 прямо указано, что актуальные угрозы безопасности для ПДн могут определять только ФСТЭК, ФСБ и отраслевые регуляторы с учетом особенностей деятельности (которые редко это делают). Но в подзаконных НПА ФСТЭК и ФСБ России (что незаконно в части ПДн) включены требования по определению актуальных угроз или разработке модели угроз. Зачем определять угрозы безопасности в этой ситуации? Можно изобразить какую-то «типовую» модель угроз для декларации, если организация формально подпадает под такое требование.
2. Как делать «по науке», если хочется и есть ресурсы? В теории:
- оценить потенциальный ущерб от нарушения безопасности информации (экспертная оценка информационного актива для угроз нарушения конфиденциальности и целостности, возможно доступности (что не верно, потому что это не угроза безопасности информации, а угроза функциональной устойчивости ИС). То что указывают в банках угроз – скорее потенциальные каналы НСД, а не угрозы, но это вопрос терминологии. Необходимо учесть, что оценка информационных активов (категорий информации) уже сделана в НПА, за исключением коммерческой тайны, оценку которой делает ее обладатель. Единая шкала оценки для разных типов активов отсутствует, поэтому оценки плохо коррелируют с практическими задачами, если это не защита гос. тайны;
- оценить вероятность реализации угрозы для архитектуры системы (делается по модели защиты с полным перекрытием, где неконтролируемый средствами защиты канал взаимодействия является потенциальным каналом НСД (если имеется, то можно использовать банк угроз (каналов НСД) для типовых технологий/архитектур). Разница между множеством НСД и контролируемых каналов – вероятность реализации угрозы без учета оценки нарушителя. Можно добавить коэффициент эффективности СрЗИ, если имеется методика его определения (например, класс защиты для сертифицированных средств защиты);
- оценить нарушителя. По сути, оценка нарушителя – это оценка доверия к участниками процессов создания и эксплуатации ИС/СрЗИ. Требования к уровню доверия в НПА имеются, но шкала оценки доверия вызывает вопросы. Все уровни доверия являются высокими. Но, например, для открытых ИС высокий уровень доверия не может быть обеспечен по определению. Однако к таким ИС в НПА могут предъявляться высокие требования (сертификация, анализ исходного кода ПО и т.п.), например, к объектам КИИ массового рынка. Адекватная оценка нарушителя должна предусматривать уровни доверия для большего диапазона прикладных задач в зависимости от оценки ущерба.
3. Как улучшить практику определения актуальных угроз? На практике:
- если система сложная, то, как правильно было указано, достоверно оценить безопасность архитектуры (выявить каналы НСД, нарушающие ПРД) можно только при автоматизации процесса. Сначала необходимо создать модель архитектуры ИС (информационных потоков), потом наложить на нее политику разграничения доступа и средства защиты информации, которые ее реализуют. Система оценки должна уметь автоматически определить все возможные траектории информационного процесса. Если появится траектория, которая нарушает ПРД, то имеется канал НСД (т.е. угроза по терминологии регулятора). Но перебор состояний сложной системы относится к классу NP-полных задач. Для снижения времени расчета придется редуцировать граф состояний ИС;
- упростить задачу моделирования каналов НСД можно созданием банка моделей типовых архитектур, которые будут рассчитаны заранее;
- в критичных приложениях автоматизация процесса моделирования каналов НСД позволит контролировать безопасность архитектуры системы в реальном масштабе времени, а также в целях аттестации объектов при изменении системы;
- для системы с простой политикой разграничения доступа (например, с защитой только периметра) можно не делать анализ траекторий информационного процесса, они очевидны. Можно просто установить средства защиты на точки входа/выхода периметра с понятными типовыми каналами НСД (угрозами). Так в большинстве случаев делается на практике без моделирования угроз. И это работает.
Ксения, вы правы, в теории. Но формулировки методики таковы, что вам надо рассматривать всех нарушителей, которые МОГУТ реализовать угрозу. А спецслужбы МОГУТ. Вот если бы ФСТЭК оставила часть с потенциалом угрозы, то можно было этим обосновать, что спецслужбам вы интересны. Хотя можно почитить и рах уж вам ФСТЭК дала возможность оценивать реалистичность угрозы на базе статистики, то вы можете честно сказать, что в прошлом спецслужбы вас не атаковали и поэтому в будущем тоже не будут. Это, конечно, абсолютно некорректно, но методика это позволяет :-) В общем придется изголяться
Target, это все идеализированная картина :-) Пока ничего этого нет :-(
Target,
не вводите людей в заблуждение, лучше почитайте нормативку.
"в статье 19 ФЗ № 152 прямо указано, что актуальные угрозы безопасности для ПДн могут определять только ФСТЭК, ФСБ и отраслевые регуляторы ".
Нет в законе такого, не выдумывайте. Определение угроз - одна из мер, которые реализует оператор, а не ФСТЭК и ФСБ. Гос. органы тоже определяют угрозы САМИ, а с регуляторами согласуют ,НПА.
"Но в подзаконных НПА ФСТЭК и ФСБ России (что незаконно в части ПДн) включены требования по определению актуальных угроз или разработке модели угроз".
Чепуха. В подзаконных актах слова "модель" нет.
Александр Германович, посмотрите части 5 и 6 ст. 19 ФЗ № 152. Вопрос об этой правовой коллизии ФЗ с подзаконными НПА ранее поднимался перед законодателями и регуляторами. Почитайте нормативку.
1. ст. 19 ФЗ № 152
"5. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.
6. Наряду с угрозами безопасности персональных данных, определенных в нормативных правовых актах, принятых в соответствии с частью 5 настоящей статьи, ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания персональных данных, характера и способов их обработки."
2. Про "модель угроз" посмотрите, например, абзац 6 п. 14.3 приказа ФСТЭК России № 17.
Target,
не уходите от темы.
1. Вы утверждали: "Более того, в статье 19 ФЗ № 152 прямо указано, что актуальные угрозы безопасности для ПДн могут определять только ФСТЭК, ФСБ и отраслевые регуляторы с учетом особенностей деятельности".
Вы считаете, что процитированный отрывок это подтверждает? Где "прямо указано"??
2. Причем тут 17-й приказ? Это не подзаконный акт 152-го ФЗ. В ГИС модель пишется независимо от того, есть там ПДн или их нет. Не мухлюйте. ПДн здесь не при чем.
Но в законодательной базе по ПДн слова "модель" нет, ч.т.д.
Возникает вопрос, согласно 21П ФСТЭК для ПДн, надо ли будет теперь все актуальные угрозы закрывать сертифицированными СрЗИ, так как получается наличие СрЗИ никак не учитывается новой Методикой. Фактически в новой Методике у нас есть только определение объектов воздействия и интерфейсов, нигде никак не сказано, если стоит средство - мы в любом случае выйдем на актуальную угрозу.
Но есть еще и такой момент: угрозы на самом деле всегда актуальны, просто они могут быть уже нейтрализованы. И как быть тогда? Эти бюрократические термины выносят мне мозг.
Алексей, но в методике нет формулировки "...всех нарушителей, которые могут реализовать угрозу", формулировка говорит о целях потенциального нарушителя, не возможностях. Это совсем разные вещи. Цитирую: "5.1.4. Нарушители признаются актуальными для систем и сетей, когда возможные ЦЕЛИ реализации ими угроз безопасности информации могут привести к определенным для систем и сетей негативным последствиям и соответствующим рискам (видам ущерба)." Также дается ссылка на приложение 6, где такие цели приводятся. Это значит, что если в цели нарушителя типа "спецслужбы" не входит кража медицинской информации сельской поликлиники или шифрование серверов с этой информацией, то такого нарушителя можно не рассматривать как актуального.
Обратите внимание также на формулировки: "5.2.3. ... Способы являются актуальными, когда возможности нарушителя позволяют их использовать для реализации угроз безопасности..." и "5.2.4. Условием, позволяющим нарушителям использовать способы реализации угроз безопасности информации, является наличие у них возможности доступа к следующим типам интерфейсов объектов воздействия...". Эти формулировки как раз дают дополнительную возможность сузить круг возможных угроз (не путать с актуальными) - сначала отсеиваем по типу нарушителя, потом по возможностям нарушителей которые актуальны, затем по доступности интерфейсов для каждого типа актуального нарушителя.
В итоге в методике даны сразу несколько вариантов сузить круг возможных угроз.
Сразу отмечу что есть еще дополнительный инструмент - проверка актуальности за счет построения сценария. Даже если угроза возможна (пункт 5.3.3. методики), то это не значит, что она актуальна в текущей конфигурации и архитектуре систем и сетей, и что она должна попасть в модель угроз. Для подтверждения актуальности нужно построить хотябы один сценарий из тактик и техник, которые возможны для рассматриваемого актуального нарушителя и способов воздействия. Цитирую: "5.3.5. На этапе создания систем и сетей должен быть определен хотя бы один сценарий каждого способа реализации возможной угрозы безопасности информации. Сценарий определяется для каждого актуального нарушителя и их уровней возможностей.", а также "На этапе эксплуатации систем и сетей для каждой возможной угрозы безопасности информации определяется множество возможных сценариев ее реализации в интересах оценки эффективности принятых технических мер по защите информации (обеспечению безопасности), в том числе средств защиты информации. При этом множество сценариев определяется для каждого актуального нарушителя и уровней его возможностей".
Алексей, соглашусь, что автоматизация необходима (считаю это вопрос времени). Но не соглашусь, что "В итоге мы начинаем определяет тип нарушителя, его возможности, атакуемые интерфейсы и компоненты, а потом, бац, и внезапно перескакиваем на определение сценариев реализации угрозы, которые вообще никак не связаны ни с нарушителями, ни с источниками угроз, ни с возможностями, ни с негативными последствиями." Как раз наоборот! Сценарий связан и с нарушителем и его возможностями, и с атакуемыми интерфейсами и негативными последствиями. Потому что сценарий нужно строить именно тогда, когда уже определена "возможная угроза" (не путать с актуальной). А возможная угроза - это такая угроза, которая приводит к негативному последствию в результате воздействия на объект актуальным нарушителем, у которого есть определенные возможности и доступ к интерфейсам, на которых воздействие осуществимо.
Методика как раз и построена от верхнего уровня "понимание риска и возможного ущерба", который понятен даже бизнесу, до уровня "понимание сценария реализации риска" (негативного последствия). Это позволяет безопаснику смоделировать не абстракцию типа "нарушение конфиденциальности, целостности или доступности некоторой системы", а взять только те системы, воздействие на которые приводят к негативному последствию (конкретному риску, щербу), и для них сделат ьполный разбор угрозы - кто ее может реализовать риск, как он может это сделать, есть ли у него возможности на это, есть ли мотив (цель), а каким образом риск осуществим на конкретной системе, а если взглянуть на всю инфраструктуру, то как нарушитель будет по ней идти, чтобы добраться до системы и реализовать на ней риск именно таким способом, который рассматривается.
Наконец безопасность переходит в практическую сторону, а не остается только на бумаге. Большинство замечаний к методике сейчас, которые я читаю в разных каналах сводятся к примерно такой формулировке "нет людей, которые смогут сделать такую модель", и очень хочется, чтобы методика дала стимул к появлению таких специалистов, к развитию компетенций.
Еще один интересный момент: на сайте ФСТЭК до сих пор размещена "Базовая модель угроз безопасности персональных данных" от 2008 года.
До конца непонятен ее статус: если она отменена, то почему до сих пор находится в опубликованных документах (отмечу, что отмененные документы из "четырехкнижия" на сайте ФСТЭК отсутствуют).
Если же "Базовая модель" не отменена, то по какому документу определять актуальные угрозы ИСПДн: по новой Методике или по Базовой модели?
На вебинаре обещали МУ по новой методике за Вашим авторством для демонстрации. Где её можно найти?
Даша, самое интересное, что методика не говорит, что вы должны обязательно нейтрализовать все актуальные угрозы :-) Ну определили и определили
Evgeny, я вообще не очень понимаю, как я должен определять цели спецслужбы иностранного государства? Откуда же я знаю, какие у них цели - это обычно засекреченная информация
Makedar: все будет
Отправить комментарий