В недавней статье Алексей Лукацкий в ожидании новой методики моделирования угроз ФСТЭК высказал идею, что хорошим решением было бы использование средств моделирования угроз, высказал предложение по функциям таких средств и посетовал что на российском рынке они отсутствуют. Мысли о том, что необходимы доступные средства автоматизации высказывали ранее и многие другие ИБ эксперты.
Связанно это с тем, что угроз много, методики сложны и нет связей с контрмерами. И в первую очередь эта проблема актуальна для средних и малых организаций у которых может не хватать ресурсов на то чтобы разбирать в методиках и проводить длительные расчеты.
Но высказывание о том, что на российском рынке отсутствуют средства моделирования угроз – не верно. Такие решения уже есть. Например, модуль RiskManagerот R-Visionили модуль «Модель угроз» системы DocShell , разработанный нашей компанией. Да и других, ещё более простых решений на рынке хватает.
Другой дело, что средства моделирования угроз – это по сути средства автоматизации типовых действий. Если есть методика, по которой специалист получает адекватный, ожидаемый, повторяемый результат, то с использованием средств автоматизации его же мы будем получать быстрее и проще. Главный вопрос – какой методикой нам руководствоваться?
Тут есть 3 варианта:
· собственная методика организации
· новая (ещё не вышедшая и долгожданная) методика ФСТЭК
Минусы применения собственной методики каждым экспертом каждой организации – скорее всего вам придется взаимодействовать со специалистами других организаций: заказчику привлекать исполнителей, возможно даже нескольких, заказчику проходить проверку регулятором, лицензиатам согласовывать с регуляторами какие-то документы, группе экспертов общаться составе каких-либо комитетов; и все это время будут продолжаться бесконечные споры о правильности и неправильности вашей методики, ваши недоброжелатели легко могут поставить по сомнение всю систему защиты указывая на недостатки вашей собственной методики (а у любой методики есть недостатки). А в конечном итоге есть шанс что методика ФСТЭК выйдет как обязательная и вам придется всё переделывать.
Минусы применения методики ФСТЭК от 2008 года: не применима к ГИС/МИС без ПДн, опирается на анализ угроз из документа «Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных» а не на современную БДУ ФСТЭК в которой угрозы постоянно пополняются, не учитывает потенциал нарушителя из БДУ ФСТЭК, не учитывает последствия реализации угроз из БДУ ФСТЭК.
Минус новой методики ФСТЭК – в том, что её ещё нет.
Что в такой ситуации делать разработчикам средств моделирования угроз?
Расскажу нашу позицию:
· у нас реализовано моделирование угроз безопасности ПДн в ИСПДн и информации в ГИС по методике ФСТЭК от 2008 года, при этом учитываются применяемых контрмер (и их связь с приказом №17, 21 и ПП 1119), с двумя режимами работы, один из которых адаптирован под самых неопытных пользователей (как раз тот случай, о котором говорили эксперты – есть тысячи организаций для которых методики и БДУ ФСТЭК слишком сложны) и доступный по стоимости
· в пилотной зоне реализовано моделирование угроз по проекту новой методике ФСТЭК, с учетом БДУ, потенциалов нарушителей из БДУ, компонентов защиты из БДУ, новой методики ФСБ, опять же доступная для понимания неспециалисту. В итоге мы уже более полу года ждем утверждения новой методики ФСТЭК … и видимо если не дождемся в ближайшее время, то придется выпускать в релиз текущую, рискуя потом всё переделывать, когда появится методика
Уверен, что многие разработчики сейчас в подобной ситуации – ждут только выхода новый методики ФСТЭК чтобы выпустить средства моделирования угроз
PS: Алексею Лукацкому спасибо за предложения по расширенным функциям, которые могли бы помочь в моделировании угроз
PPS: другие статьи по теме моделирования угроз
PPS: другие статьи по теме моделирования угроз
