На сайте ФСТЭК появился проект методики определения угроз безопасности информации в ИС

На сайте ФСТЭК появился проект методики определения угроз безопасности информации в ИС
На сайте ФСТЭК России появились проект документа " Методика определения угроз безопасности информации в ИС " и соответствующее ему информационное сообщение . Не знаю как вы, но я уже давно его ждал!
"ФСТЭК России предлагает специалистам в области информационной безопасности заинтересованных органов государственной власти и организаций рассмотреть проект методического документа и направить предложения по указанному проекту на адрес электронной почты methodoubi@fstec.ru до 10 июня 2015 г." 
Я обратил внимание, что с каждым годом коллеги из ФСТЭК России выпускают все более качественные документы. И это радует! Сейчас я по диагонали пролистал представленный методический документ и, на первый взгляд, он оказался очень неплох (хорошая структура документа, отсутствуют откровенные "ляпы", неплохо проработаны общие моменты и процедура оценки). Почитаю его повнимательнее, сделаю майндкарту и попробую пройтись по шагам процедуры, может что-то "накопаю", но уже сейчас обратил внимание на следующие моменты (хорошие, и не очень):
  • Документ верхнеуровненвый, конкретных рекомендаций и примеров по составлению списка угроз и оценке их актуальности мы в нем не найдем. Но это скорее плюс .
  • "В качестве исходных данных об угрозах безопасности информации и их характеристиках используется банк данных угроз безопасности информации, сформированный и поддерживаемый ФСТЭК России" (ubi.fstec.ru). Это хоть и декларируется, но механизм такой процедуры не описан, и, судя по составу угроз в банке данных и их описанию, у разработчиков модели угроз могут быть сложности по "скрещиванию" методики и банка угроз. Жаль, что пример оценки не привели.
  • Методический документ используется для оценки угроз информации в ГосИС и может быть применен и для ПДн, при этом методика не распространяется на ГТ (об этом сказано в п.1 "общие положение"). Но почему-то нет отсыла к другим видам информации ограниченного доступа. Я даже не говорю про разные там "коммерческие" тайны или "банковские", я скорее удивлен отсутствию упоминания "служебной тайны" / ДСП. Да, с термином есть сложности, но основной пользователь документа - гос.органы, можно ли им использовать данный документ для защиты своей информации, не попадающей в ГосИС? Скорее да, но об этом явно не говорят...
  • Кстати, а почему документ не распространяется на защиту информации на бумажных носителях? (про них не написано в п.3 а), хотя про физический доступ к ним можно было бы порассуждать):
"В зависимости от имеющихся прав доступа нарушители могут иметь легитимный физический (непосредственный) и (или) логический доступ к компонентам информационной системы и (или) содержащейся в них информации или не иметь такого доступа.
Анализ прав доступа проводится, как минимум, в отношении следующих компонент информационной системы: устройств ввода/вывода (отображения) информации; беспроводных устройств; программных, программно-технических и технических средств обработки информации; съемных машинных носителей информации; машинных носителей информации, выведенных из эксплуатации; активного (коммутационного) и пассивного оборудования каналов связи; каналов связи, выходящих за пределы контролируемой зоны."
  • Есть некоторая путаница с понятиями "уязвимость", "факторы, обуславливающие возможность реализации угроз", "косвенные угрозы", которые в тексте подменяют друг друга.
  • Есть рекомендации по пересмотру (переоценке) угроз. Причем написано конкретно про периодичность - "не реже одного раза в год", И это праильно! Но при этом есть и минус (то о чем не говорят), а именно, почему-то не упоминается цель такого пересмотра - постоянное совершенствование системы ИБ. Странно, получается пересмотр ради пересмотра. 
  • Обратил внимание, что в документе очень много текста про модель нарушителя, представлены различные таблицы и описание мотивов и возможностей нарушителей. В целом, полезного много, но есть и небольшие методологические проблемы. Смотрите, дается такое описание:
"С учетом наличия прав доступа и возможностей по доступу к информации и (или) к компонентам информационной системы нарушители подразделяются на два типа:
внешние нарушители (тип I) – лица, не имеющие права доступа к информационной системе, ее отдельным компонентам и реализующие угрозы безопасности информации из-за границ информационной системы;
внутренние нарушители (тип II) – лица, имеющие право постоянного или разового доступа к информационной системе, ее отдельным компонентам"
  • При этаком подходе не понятно, куда относить таких видов нарушителей, как "бывшие работники" (они сейчас за границами ИС, но имели разовый доступ),  а "работники организации, не имеющие доступа к ИС и ее отдельным компонентам" при таком подходе будут внутренними или внешними нарушителями? Вроде приведено пояснение в таблице 1, но она вызывает и другие вопросы, в частности "спец.службы" рассматриваются  как внешний и как внутренний тип нарушителя, но почему так не рассматривают и "конкурентов" не понятно...
  • Вполне правильная идея про оценку вероятности угроз. Предлагается ее брать на основе анализа статистических данных о частоте реализации угроз. Но если таких данных нет, то проводится оценка возможности реализации угрозы по несложной формуле. Вроде все верно, но надо попробовать.
  • Хорошо, что осталась часть про "структурно-функциональные характеристики ИС и условия ее эксплуатации", которая нам знакома еще с модели актуальных угроз ПДн. Простая и понятная часть оценки угроз.
  • Жаль, что нет конкретных рекомендаций по расчету возможного ущерба, лишь общие идеи. Кстати, в начале документа упоминается про расчет возможного ущерба для субъектов ПДн (мы все ждем методику еще из-за появления похожих положений в 152-ФЗ), но рекомендации в итоге "зажали".
  • Удобно и приятно, что большие и не важные блоки вынесены в приложения. Работать с документом так намного удобнее. 

Итого, на первый взгляд, я документом скорее доволен. Мои мысли и замечания носят скорее косметический характер. Надо будет попробовать провести оценку по шагам и уже только после этого готовить замечания и предложения. Напоминаю, что их от нас ждут до 10 июня...

Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

Andrey Prozorov

Информационная безопасность в России и мире