Пару слов про новый проект методики моделирования угроз от ФСТЭК (2020)
Посмотрел на новый проект методики моделирования угроз безопасности информации от ФСТЭК России. Документ интересен в качестве методического, из него можно взять много полезных идей и моделей (например, сам процесс моделирования угроз, примеры негативных последствий, виды нарушителей и их возможности, тактика нарушителей).
Но проблема в том, что предполагается, что он будет обязательным для широкого списка ИС:
Методика определяет порядок и содержание работ по моделированию угроз безопасности информации, включая персональные данные, в информационных (автоматизированных) системах, автоматизированных системах управления, информационно—телекоммуникационных сетях, в том числе отнесенных к объектам критической информационной инфраструктуры Российской Федерации, в информационно—телекоммуникационных инфраструктурах центров обработки данных и облачных инфраструктурах, защита информации в которых или безопасность которых обеспечивается в соответствии с требованиями по защите информации (обеспечению безопасности), утвержденными ФСТЭК России в пределах своей компетенции.
И при этом Разрабатываемые отраслевые (ведомственные, корпоративные) методики моделирования угроз безопасности информации не должны противоречить положениям настоящей Методики.
А стать единственной, универсальной и обязательной методикой данный документ не готов и вот почему:
1. Методика предлагает оценивать лишь часть угроз, намеренно убирая угрозы техногенного характера (они важны для оценки рисков объектов КИИ, особенно с точки зрения непрерывности деятельности) и угрозы, связанные с ТЗКИ (они особенно актуальны для гос.органов и, как бы, прямо следуют из перечня нарушителей). Кстати, перечень активов, на которые предполагается, что будет распространятся методика, тоже не полный…
2. В документе не определена сама цель моделирования угроз. Вроде бы после такого анализа надо переходить к принятию решения о том, что с ними делать (принимать, передавать, снижать, избегать) и, в частности, к выбору и внедрению дополнительных мер защиты. Но этой важной части (сути/цели всего анализа) я не увидел, особенно странно, что этих пунктов нет в Приложении 3 с описанием структуры отчета по анализу угроз. Я опасаюсь того, что модель будет разрабатываться только ради наличия самого документа, а не для помощи в проектировании системы ИБ… Кстати, тут можно было бы еще попросить сделать связку угроз с мерами из других Приказов ФСТЭК России (17/21/31), но я понимаю, что это не реально…
3. Предполагается, что методический документ должен применяться совместно с банком данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru), но эта взаимосвязь, к сожалению, только декларируется, но не приводятся примеры как это делать на практике. И зачем это надо делать, кстати, тоже…
4. Методика настолько универсальная, что в ней легко закопаться, например, не понятно насколько глубоко и детально надо анализировать связи элементов ИТ-инфраструктуры. По хорошему, нужны примеры уже готовых моделей угроз. Без этого будет трудно понять необходимую степень детализации модели, которая устроит и регулятора и владельца оцениваемой системы.
5. Приложение 3 с описанием структуры отчета по анализу угроз выглядит очень поверхностным и недоработанным. Это нас возвращает к проблеме №2 (а зачем все это надо) и проблеме №4 (покажите как надо). Хотелось бы чтобы приложение соответствовало своей цели и было представлено исходя из практики применения…
Итого, что хотелось бы поправить:
- Желательно сделать документ методическим (рекомендательным, а не обязательным), хотя бы на ближайшие годы…
- В явном виде указать цель моделирования угроз и актуализировать методику (и формат отчета) с этой целью.
- Подготовить примеры модели угроз для нескольких типов ИС (локальная, распределенная, облачная).
Ну, а, в целом, документ получился довольно полезным. Его уже сейчас можно использовать для анализа угроз безопасности…
Источник — блог Прозорова Андрея. Жизнь 80 на 20.
