Пару слов про новый проект методики моделирования угроз от ФСТЭК (2020)

Дата: 13.04.2020. Автор: Андрей Прозоров. Категории: Блоги экспертов по информационной безопасности
Пару слов про новый проект методики моделирования угроз от ФСТЭК (2020)
Посмотрел на новый проект методики моделирования угроз безопасности информации от ФСТЭК России. Документ интересен в качестве методического, из него можно взять много полезных идей и моделей (например, сам процесс моделирования угроз, примеры негативных последствий, виды нарушителей и их возможности, тактика нарушителей).

Но проблема в том, что предполагается, что он будет обязательным для широкого списка ИС:

Методика определяет порядок и содержание работ по моделированию угроз безопасности информации, включая персональные данные, в информационных (автоматизированных) системах, автоматизированных системах управления, информационнотелекоммуникационных сетях, в том числе отнесенных к объектам критической информационной инфраструктуры Российской Федерации, в информационнотелекоммуникационных инфраструктурах центров обработки данных и облачных инфраструктурах, защита информации в которых или безопасность которых обеспечивается в соответствии с требованиями по защите информации (обеспечению безопасности), утвержденными ФСТЭК России в пределах своей компетенции.

И при этом Разрабатываемые отраслевые (ведомственные, корпоративные) методики моделирования угроз безопасности информации не должны противоречить положениям настоящей Методики.

А стать единственной, универсальной и обязательной методикой данный документ не готов и вот почему:

1. Методика предлагает оценивать лишь часть угроз, намеренно убирая угрозы техногенного характера (они важны для оценки рисков объектов КИИ, особенно с точки зрения непрерывности деятельности) и угрозы, связанные с ТЗКИ (они особенно актуальны для гос.органов и, как бы, прямо следуют из перечня нарушителей). Кстати, перечень активов, на которые предполагается, что будет распространятся методика, тоже не полный…

2. В документе не определена сама цель моделирования угроз. Вроде бы после такого анализа надо переходить к принятию решения о том, что с ними делать (принимать, передавать, снижать, избегать) и, в частности, к выбору и внедрению дополнительных мер защиты. Но этой важной части (сути/цели всего анализа) я не увидел, особенно странно, что этих пунктов нет в Приложении 3 с описанием структуры отчета по анализу угроз. Я опасаюсь того, что модель будет разрабатываться только ради наличия самого документа, а не для помощи в проектировании системы ИБ… Кстати, тут можно было бы еще попросить сделать связку угроз с мерами из других Приказов ФСТЭК России (17/21/31), но я понимаю, что это не реально…

3. Предполагается, что методический документ должен применяться совместно с банком данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru), но эта взаимосвязь, к сожалению, только декларируется, но не приводятся примеры как это делать на практике. И зачем это надо делать, кстати, тоже…

4. Методика настолько универсальная, что в ней легко закопаться, например, не понятно насколько глубоко и детально надо анализировать связи элементов ИТ-инфраструктуры. По хорошему, нужны примеры уже готовых моделей угроз. Без этого будет трудно понять необходимую степень детализации модели, которая устроит и регулятора и владельца оцениваемой системы.

5. Приложение 3 с описанием структуры отчета по анализу угроз выглядит очень поверхностным и недоработанным. Это нас возвращает к проблеме №2 (а зачем все это надо) и проблеме №4 (покажите как надо). Хотелось бы чтобы приложение соответствовало своей цели и было представлено исходя из практики применения…

Итого, что хотелось бы поправить:
  1. Желательно сделать документ методическим (рекомендательным, а не обязательным), хотя бы на ближайшие годы…
  2. В явном виде указать цель моделирования угроз и актуализировать методику (и формат отчета) с этой целью.
  3. Подготовить примеры модели угроз для нескольких типов ИС (локальная, распределенная, облачная).
Ну, а, в целом, документ получился довольно полезным. Его уже сейчас можно использовать для анализа угроз безопасности…

Источник — блог Прозорова Андрея. Жизнь 80 на 20.

Андрей Прозоров

Об авторе Андрей Прозоров

Андрей работает менеджером по информационной безопасности и защите данных в международной компании, обладает сертификатами CISM, CIPP/E, CDPSE, является экспертом и автором блога «Жизнь 80 на 20», посвященного вопросам управления ИБ.
Читать все записи автора Андрей Прозоров

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *