Пару слов про новый проект методики моделирования угроз от ФСТЭК России (2020)

Пару слов про новый проект методики моделирования угроз от ФСТЭК России (2020)
Посмотрел на новый проект методики моделирования угроз безопасности информации от ФСТЭК России . Документ интересен в качестве методического, из него можно взять много полезных идей и моделей (например, сам процесс моделирования угроз, примеры негативных последствий, виды нарушителей и их возможности, тактика нарушителей).

Но проблема в том, что предполагается, что он будет обязательным для широкого списка ИС:
"Методика определяет порядок и содержание работ по моделированию угроз безопасности информации, включая персональные данные, в информационных (автоматизированных) системах, автоматизированных системах управления, информационно-телекоммуникационных сетях, в том числе отнесенных к объектам критической информационной инфраструктуры Российской Федерации, в информационно-телекоммуникационных инфраструктурах центров обработки данных и облачных инфраструктурах, защита информации в которых или безопасность которых обеспечивается в соответствии с требованиями по защите информации (обеспечению безопасности), утвержденными ФСТЭК России в пределах своей компетенции."
И при этом "Разрабатываемые отраслевые (ведомственные, корпоративные) методики моделирования угроз безопасности информации не должны противоречить положениям настоящей Методики".

А стать единственной, универсальной и обязательной методикой данный документ не готов и вот почему:

1. Методика предлагает оценивать лишь часть угроз, намеренно убирая угрозы техногенного характера (они важны для оценки рисков объектов КИИ, особенно с точки зрения непрерывности деятельности) и угрозы, связанные с ТЗКИ (они особенно актуальны для гос.органов и, как бы, прямо следуют из перечня нарушителей). Кстати, перечень активов, на которые предполагается, что будет распространятся методика, тоже не полный...

2. В документе не определена сама цель моделирования угроз. Вроде бы после такого анализа надо переходить к принятию решения о том, что с ними делать (принимать, передавать, снижать, избегать) и, в частности, к выбору и внедрению дополнительных мер защиты. Но этой важной части (сути/цели всего анализа) я не увидел, особенно странно, что этих пунктов нет в Приложении 3 с описанием структуры отчета по анализу угроз. Я опасаюсь того, что модель будет разрабатываться только ради наличия самого документа, а не для помощи в проектировании системы ИБ... Кстати, тут можно было бы еще попросить сделать связку угроз с мерами из других Приказов ФСТЭК России (17/21/31), но я понимаю, что это не реально...

3. Предполагается, что методический документ должен применяться совместно с банком данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru), но эта взаимосвязь, к сожалению, только декларируется, но не приводятся примеры как это делать на практике. И зачем это надо делать, кстати, тоже...

4. Методика настолько универсальная, что в ней легко "закопаться", например, не понятно насколько глубоко и детально надо анализировать связи элементов ИТ-инфраструктуры. По хорошему, нужны примеры уже готовых моделей угроз. Без этого будет трудно понять необходимую степень детализации модели, которая устроит и регулятора и владельца оцениваемой системы.

5. Приложение 3 с описанием структуры отчета по анализу угроз выглядит очень поверхностным и недоработанным. Это нас возвращает к проблеме №2 (а зачем все это надо) и проблеме №4 (покажите как надо). Хотелось бы чтобы приложение соответствовало своей цели и было представлено исходя из практики применения...

Итого, что хотелось бы поправить:
  1. Желательно сделать документ методическим (рекомендательным, а не обязательным), хотя бы на ближайшие годы...
  2. В явном виде указать цель моделирования угроз и актуализировать методику (и формат отчета) с этой целью.
  3. Подготовить примеры модели угроз для нескольких типов ИС (локальная, распределенная, облачная).
Ну, а, в целом, документ получился довольно полезным. Его уже сейчас можно использовать для анализа угроз безопасности...
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Andrey Prozorov

Информационная безопасность в России и мире