Методика моделирования угроз БИ от ФСТЭК России

Методика моделирования угроз БИ от ФСТЭК России
9 апреля 2020 года в сопровождении информационного сообщения ФСТЭК России N 240/22/1534 на общественное рассмотрение был выложен проект методики моделирования угроз безопасности информации.

Основные идеи и этапы моделирования угроз в соответствии с новой методикой я осветил в коротком 5-минутном видеоролике.




Также выкладываю mind карту Методики , которую я делал в рамках подготовки видеоролика, возможно кому-то такой формат будет удобнее

Ну и отдельно хотелось бы оставить мой отзыв о методике, дать предложения и замечания:
1.      Как мне показалось, авторы хотели как-то совместить угрозы, сценарии, техники и тактики, но так и не успели (хотя прошло 5 лет с момента прошлого проекта) до конца все продумать, четко и понятно донести до читателя.
Вот несколько свидетельств этому:
·        В методике нет четкого определения “угрозы БИ” и того на каком этапе она должна возникнуть в методике:
o   В пункте 3.4 в таблице 1 приводится перечень неких угроз (возможно ошибочно), которые определяются на этапе Определения возможных негативных последствий и выглядит так: Угроза = вид неправомерного воздействия + тип компонента
o   В пункте 6.8 угроза уже определяется по формуле УБИij = [источник угрозы; условия реализации, сценарий реализации угрозыj; негативные последствия]
o   На рисунке 11 угроза уже выглядит так: “Отказ в обслуживани и веб-приложения”, “Отправка заведомо ложных распоряжений от имени финансового директора”
o   В таблице 5 примеры угроз “угроза вывода из строя или хищения машинного носителя информации”, “ угроза отказа в обслуживании путем отправки специально созданного TCP-пакета”
o   В пункте 7.10 угроза = ID (из БДУ) + наименование (из БДУ) + описание (из БДУ) + сценарий реализации угрозы + уровень опасности
o   Ну и наконец в БДУ угроза это = “Угроза аппаратного сброса пароля BIOS”, “Угроза привязки к поставщику облачных услуг”
·        Сценарий угрозы занимает важное место в новой методике. Но самого определения “сценария” там вообще нет.  В качестве примера сценария приведен рисунок 11 из которого вообще ничего не понятно читателю:
o   где именно там сценарий?
o   там один сценарий?
o   где там тактики, а где техники?
o   сценарий – это одна цепочка или все возможные цепочки?
o   предполагается что при описании угроз мы должны текстом дать описание всех сценариев реализации угрозы – где хоть один пример текстового описания сценариев?
·        В соответствии с методикой, оператор должен определить все возможные сценарии реализации угрозы, но очевидно, что в худшем случае количество сценариев будет равно количеству всех возможных комбинаций техник и тактик, т.е. порядка=5*8*10*5*7*4*16*6*6*10. Не уверен, что МУ такое выдержит
·        Сейчас в БДУ некоторые угрозы выглядят совсем как техники
·        В БДУ сейчас 3 потенциала нарушителя, а в методике 4 возможных потенциала нарушителя
·        В методике есть данные, которые мы определяем, но далее они никак не используются (либо не указано как их нужно использовать), например:
o   Виды неправомерного доступа
o   Виды нарушителей
2.      Из видеоролика видно какой большой процент отдается на откуп экспертной оценке, без четкого объяснения, как это сделать. То есть эксперты – вот вам задача, выкручивайтесь как хотите. Эксперты то выкрутятся, только каждый по-своему. А вот что делать не экспертам?
Как мне кажется разработчикам методики нужно постараться как можно больше анализа провести централизованно, так как каждый такой анализ, сэкономит трудозатраты миллионам операторов.
Например, как можно было бы снять нагрузку с пользователей методики:
·        Дать максимально полный перечень возможных компонентов систем
·        Дать подсказки / формулы, как пользователям методики определить актуальные цели нарушителей исходя из характеристик и типов возможного вреда
·        Убрать необходимость определения потенциала нарушителя для каждой цели отдельно – это лишнее усложнение. Достаточно зависимости потенциала нарушителя от вида нарушителя.  
·        Дать подсказки / формулы, как пользователям методики определить, актуальны ли для них те или иные техники и тактики (в зависимости от характеристик систем, видов доступа и видов нарушителей, потенциала нарушителя)
·        Разработать и добавить в БДУ типовые сценарии реализации угроз. Пусть пользователи выбирают из готовых современных сценариев
3.      Очевидно, что методику необходимо улучшать и дорабатывать, но и затягивать с её утверждением не стоит. Поэтому, хорошо бы сразу ввести версионность методики, заявить о том, что она будет регулярно улучшаться и о том, что при моделировании угроз необходимо указывать по какой версии методики и какой версии БДУ было проведено моделирование.


Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.