Простыми словами о новом проекте методики моделирования угроз безопасности информации ФСТЭК

Простыми словами о новом проекте методики моделирования угроз безопасности информации ФСТЭК
Информационное сообщение о разработке проекта методики было зарегистрировано 09.04.2020. До 30 апреля был открыт сбор замечаний по проекту в указанной форме.

Законодательство в сфере информационной безопасности неизбежно изменяется, становится более приближённым к реальной технической защите. Данный проект меняет ситуацию в сфере информационной безопасности. В случае утверждения проекта, станет обязательным применение БДУ ФСТЭК при разработке модели угроз. Также документ рекомендует при разработке модели угроз использовать результаты проведённого тестирования на проникновение. Изменения в методике непременно несет за собой необходимость обновления существующих моделей угроз, разработанных по старым документам.


Сказать, что многие ждали новую методику, это не сказать ничего. Подобный документ был необходим, как «глоток свежего воздуха». В настоящий момент не существует документа, который разложит по полочкам знания для разработки модели угроз. Моё опасение, как аналитика, состоит в том, что и этот проект могут не утвердить, и всё так и останется в подвешенном состоянии. А интеграторам и сотрудникам ИБ в компаниях придется и дальше продолжать разрабатывать модель угроз по существующим методикам, одна из которых так и осталась проектом:
Что нового в методике?
1. Данная методика унифицирована, то есть рассчитана сразу на несколько видов информационных систем. В пункте 1.2. перечислены системы и сети, к которым может применяться настоящая методика:
  • персональные данные;
  • информационные (автоматизированные) системы;
  • автоматизированные системы управления;
  • информационно-телекоммуникационные сети, в том числе отнесенных к объектам критической информационной инфраструктуры Российской Федерации;
  • информационно-телекоммуникационные инфраструктуры;
  • центры обработки данных;
  • облачные инфраструктуры.
2. Настоящая методика не предусматривает угрозы, связанные со стихийными бедствиями и природными явлениями, это значит, что в некоторых случаях методика должна рассматриваться в совокупности с другими стандартами.

3. Ранее ФСТЭК России в проекте методики от 2015 года уже ссылался на БДУ . Так что в новом документе этот пункт был ожидаем.


4. Ну и конечно же, если проект будет утвержден, это бы пресекло споры о способах и подходах по разработке модели угроз безопасности персональных данных, и мы бы наконец-то получили официальный ответ о том, что методика 2008 года утратила свою силу. В этом случае, все модели угроз, построенные на этой методике, необходимо будет пересмотреть.


5. Визуально этот проект методики стал понятнее, чем её неизданный предшественник. Текст стал менее витиеватым, а из-за разбиения на пункты стал более структурированным. По всему документу прослеживаются примеры.


6. В пункте 2.3 представлена схема проведения процесса моделирования угроз. В проекте методики от 2015 года тоже был перечень действий, которые необходимо было выполнить в соответствии с документом, однако в проекте методики от 2020 года разработан наиболее чёткий процесс моделирования. В схеме представлены исходные данные, необходимые для моделирования, этапы выполнения моделирования и, конечно, какой должен быть результат. Несмотря на то, что процесс моделирования рассмотрен схематически, он существенно упрощает понимание структуры документа и принципы построения модели угроз.


7. Проект от 2020 года выделяет зоны ответственности для операторов и поставщиков услуг в следующих категориях информационной инфраструктуры: ЦОД или облачная инфраструктура, принадлежащая поставщику услуг. Рекомендации по взаимодействию с поставщиком услуг представлены в пунктах 2.11-2.12. В настоящих пунктах рассмотрены несколько вариантов взаимодействия с поставщиком услуг.


8. В новом проекте появилось упоминание тестирования на проникновение, а это значит, что при формировании модели угроз мы получим не только экспертную оценку, но и сможем обоснованно опираться на технические аргументы и реально выявленные уязвимости. Эта методика стала больше приближена к существующим реалиям и не ограничивается только показателями исходной защищённости, представленной в методиках от 2008 и 2015 годов.


9. Проект методики выделяет два этапа развития информационной инфраструктуры проверяемой компании:
  • этап создания систем и сетей;
  • этап эксплуатации систем и сетей.
Для каждого из этапов предусмотрен свой сценарий моделирования угроз безопасности.

Для создаваемой системы и сети в информационной инфраструктуре мы можем оценить наличие и возможность использования нарушителем потенциальных уязвимостей. Это означает, что мы делаем предположение о типовых уязвимостях на основании имеющихся данных о системе.

Для систем и сетей, которые уже эксплуатируются в информационной инфраструктуре, ФСТЭК России предлагает оценивать возможность использования уязвимостей посредством тестирования на проникновение в периметр компании.

10. Методика рассматривает следующие источники угроз:
  • техногенные источники;
  • антропогенные источники.
В проекте 2015 года регулятор рассматривал 3 вида источников, третьим из которых стали стихийные источники.

При рассмотрении стихийных источников угроз ФСТЭК России рекомендует использовать требования и правила, установленные уполномоченными федеральными органами исполнительной власти, национальными стандартами, не ссылаясь при этом на конкретные стандарты. Значит, в случае с моделированием угроз для КИИ придется объединить несколько стандартов, для наиболее грамотного содержания разрабатываемой модели угроз.


11. В новом проекте регулятор разработал таблицу с целями нарушителей, в которой отразил большее количество возможных мотивов (целей). В пункте 5.7 был представлен перечень действий, необходимых для фиксации в модели нарушителя. Также ФСТЭК России предложил в документе пример основных видов тактики и соответствующие им техники, применяемых нарушителем при реализации угроз безопасности информации: при моделировании угроз теперь необходимо проводить оценку возможности реализации нарушителем тактик и соответствующих им техник, в соответствии с предложенным примером. Тактики и техники (способы) реализации можно соотнести с угрозами из БДУ ФСТЭК. При определении сценариев атак мы сможем перебрать большее количество потенциально опасных событий и избежать их наступления.


12. При моделировании угроз, уровень опасности угрозы определяется на основании оценки нескольких показателей:
  • тип доступа к системе, необходимый для реализации угрозы;
  • сложность реализации угрозы;
  • уровень значимости атакуемых ресурсов.
Для определения уровня опасности угрозы появилась новая формула, которая рассчитывает сумму числовых значений показателей. Определяется уровень опасности каждой угрозы безопасности информации для КАЖДОГО из сценариев реализации угрозы. Согласно диапазону сравнений, предложенному регулятором, мы определяем уровень опасности угрозы для того, чтобы в дальнейшем разработать перечень актуальных угроз безопасности информации.

Для перечисления актуальных угроз ФСТЭК установил формат описания, в который включил следующие значения:
  • идентификатор;
  • наименование;
  • описание;
  • сценарии;
  • уровень опасности.
13. Еще одним интересным нововведением стало Приложение № 3, в котором регулятор привел пример структуры документа: Модель угроз безопасности информации.

Итоги
После рассмотрения методики, хотелось бы подвести итоги:

Если рассматривать методику как документ, который выстраивает полную и логичную структуру документа, и на примерах помогает разобраться в его содержании, то он вышел более понятным и логичным, чем предыдущий проект методики от 2015 года. Предложенная методика оценки на основании показателей и обновленной формулы выглядит законченной.

Документ будет полезен при построении системы защиты для компаний, так как рассматривается более широкий спектр категорий оценки.

 
От себя хочу добавить, что я искренне надеюсь о скором выходе в свет новой методики, а пока запасаемся знаниями из этого проекта, чтобы применить их в дальнейшем на практике.


Автор: Анастасия Голдобина,  Руководитель отдела аналитики ГК Axxtel


Наш блог на Яндекс.Дзен
информационная безопасность модель угроз ФСТЭК России
Alt text

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!

ООО «Акстел-Безопасность»

Axxtel - команда экспертов в области информационной безопасности занимающая ведущие позиции в СФО. Мы следим за последними новинками и тенденциями в области информационной безопасности и создаем их. Всегда рады узнать новое и поделиться своим опытом.