ФСТЭК России опубликовала новый вариант методики моделирования угроз

ФСТЭК России опубликовала проект методического документа «Методика моделирования угроз безопасности информации». Документ определяет порядок и содержание работ по моделированию угроз безопасности информации для информационных систем, включая:

• обрабатывающие персональные данные,
• автоматизированные системы управления,
• КИИ,
• ЦОД и облачные инфраструктуры.
  

В связи с утверждением данной Методики отменяются следующие документы:

• Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ФСТЭК России, 2008 г.).
• Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры (ФСТЭК России, 2007 г.).
  

Ход моделирования угроз теперь представлен следующим образом:

1. определение возможных негативных последствий от реализации угроз,
2. оценка условий реализации угроз,
3. определение источников угроз и оценка возможностей нарушителя,
4. определение сценариев угроз,
5. оценка уровней опасности угроз.
   

Моделирование угроз должно носить систематический характер, а экспертные оценки – производиться с созданием экспертных групп, при формировании которых рекомендуется включать экспертов:

• от подразделений-обладателей информации, содержащейся в системах и сетях;
• от подразделений оператора;
• от подразделения по защите информации (обеспечения безопасности);
• от лиц, предоставляющих услуги или сервисы;
• от разработчиков систем и сетей;
• от операторов взаимодействующих систем и сетей.
  

ЦОД и информационно-телекоммуникационная инфраструктура должны входить в скоуп моделирования угроз для ИС, на которых они функционируют. Но в случае с размещением систем на базе облачных сервисов – моделирование угроз для облачной инфраструктуры проводится во взаимодействии с поставщиком услуг и является его зоной ответственности. Подробные примеры границ в разных вариантах аренды рассмотрены в пункте 2 Методики .
В документе разобраны основные виды неправомерного доступа или воздействия на информационные ресурсы (ИР), перечень типовых компонентов ИР, основные негативные последствия. Методика ориентирована на оценку антропогенных угроз ИБ, но часть подходов может применяться для техногенных угроз, если к системам и сетям предъявлены требования к устойчивости и надежности функционирования. Оценка возникновения таких угроз основывается на статистических данных или экспертном методе.
Вопросы криптографической защиты традиционно не в компетенции документов ФСТЭК. Не рассматриваются в настоящей Методике и технические каналы утечки информации.
При моделировании нарушитель делится на внешнего и внутреннего, подразумевает категорию, возможные цели, потенциал нарушителей. Внутренний нарушитель рассматривается актуальным, включая привилегированных пользователей. Отдельные виды нарушителей могут быть исключены из рассмотрения, если у обладателя информации и оператора принимаются правовые, организационные или иные меры, исключающие возможность реализации им угроз безопасности (например, проверочные мероприятия, использование полиграфа).
Анализ угроз включает определение наличия уязвимостей, в том числе потенциальных, и возможности доступа нарушителей к системам. Сценарии моделируются из техник и тактик (TTP) из самой Методики, банка данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru) и экспертной оценки. Моделирование любой угрозы начинается со сбора информации о системах и сетях и получении первоначального доступа к компонентам систем и сетей.
Мнения экспертов по текущему виду Методики:

1. В документе не появилось четких определений и структуры «угроза-сценарий», на которую можно было бы опираться.
2. Введены излишние усложнения, потенциально описание всех сценариев займет много времени и текста, который вряд ли будет полезен в таких объемах.
3. Многое отдано на экспертную оценку, что повысит стоимость моделирования (которая должна быть более-менее стандартизованной операцией).
4. И, самое главное, методы определения актуальности техник и тактик в зависимости от характеристик системы не стандартизованы, то есть все отдано на экспертную оценку.
   

«Вопрос моделирования угроз сложен по нескольким причинам. Он, с одной стороны, должен рассматривать каждый компонент системы подробно, но, с другой, быть достаточно читаемым для определения общей тактики защиты, и поэтому включать определенные обобщения. Кроме того, угрозы должны актуализироваться соответственно методам и тактикам злоумышленников, при этом иметь достаточный уровень обобщения для типовых угроз. Моделирование угроз – это действительно крайне важный процесс, который должен быть регулярным, но не должен отнимать все время эксперта ИБ. Этому могла бы способствовать база типовых сценариев реализации с рекомендациями по актуальности, которая бы обновлялась централизованно регулирующим органом и с которой можно было бы сверяться или брать ее за основу», – комментирует Александр Хонин, руководитель отдела консалтинга и аудита группы компаний Angara, в которую входит Angara Professional Assistance.