Методика моделирования угроз безопасности информации. Мой обзор

Методика моделирования угроз безопасности информации. Мой обзор
Добрый день, коллеги! 09 апреля на сайте ФСТЭК России появился проект " Методики моделирования угроз безопасности информации ". Предыдущий проект б ыл выпущен еще в 2015 году , но официальным нормативным документом так и не стал. А потребность в новой методике осталась. Мы долго ждали и дождались! Новый проект! Конечно, я не могу пройти мимо. Приступим к анализу, как повелось, обозревать буду в основном с позиции защиты персональных данных.

Оба документа являются частью когда-то существовавшего "четверокнижия", ранее на них была пометка "ДСП". Сейчас Методику в полном объеме можно найти в открытом доступе, базовая модель существует в открытом доступе в виде выписки, полную версию (с ПЭМИН) нужно заказывать во ФСТЭК России. 

Где применять?
Методика должна применяться в информационных системах персональных данных. В проекте 15 года применение для защиты ПДн было необязательным. Методика посвящена антропогенным угрозам, может применяться для техногенных и не подходит для стихийных бедствий (здесь все аналогично  проекту 15 года).

Преемственность. 
Остаются bdu.fstec.ru, базовые и типовые модели угроз.

Что отменяется?
  • Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  • Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры.

Как моделировать угрозы?
При разработке модели угроз должна быть определена граница процесса моделирования и зона ответственности, например, при хранении данных в облаке. Модель угроз должна быть актуальной, она изменяется вместе с информационной системой, с требованиями законодательства, с появлением новых технологий. Моделирование - это процесс. 

Кто составляет модель угроз?
Модель угроз можно составить своими силами (отдельное подразделение или ответственные лица), либо заказать модель угроз у организации, имеющей лицензию ФСТЭК России по технической защите конфиденциальной информации.

Негативные последствия реализации угроз
Негативные последствия определяются из требований законодательства и экспертным методом.

Устанавливается перечень возможных негативных последствий, информационные ресурсы и компоненты систем и сетей и виды неправомерного доступа и воздействий на них.

Про уязвимости
В модели угроз должны быть определены типы уязвимостей и недекларированных возможностей, а также варианты возможного доступа нарушителей.

Источники угроз
Описание источников угроз содержит кроме самих источников цели реализации угроз, категории и виды нарушителей и возможности каждого вида нарушителей.
Нарушители
Нарушители могут быть нескольких видов:
1. Нарушитель, обладающий базовыми возможностями (потенциалом);
2. Нарушитель, обладающий повышенными базовыми возможностями (потенциалом);
3. Нарушитель, обладающий средними возможностями (потенциалом);
4. Нарушитель, обладающий высокими возможностями (потенциалом).

Сценарии реализации угроз
Сценарий угроз представляет собой совокупность всех возможных тактик и техник, которые применяет нарушитель. При обнаружении новых угроз и сценариев рекомендуется уведомить ФСТЭК России.

Актуальность угрозы
Угроза безопасности информации является актуальной, если имеется источник угрозы, условия для реализации угрозы, существует хотя бы один сценарий ее реализации, а воздействие на информационные ресурсы или компоненты может привести к негативным последствиям.

Уровень опасности угрозы
W=d+p+s
Описание угрозы безопасности
Приложения
1. Термины и определения. 
2. Рекомендации к формированию экспертной группы. Здесь я бы отметила, что членов экспертной группы должно быть не менее 3х.
3. Краткое содержание модели угроз.

Мое мнение
1. Методика сложная, для крупных предприятий или для лицензиатов - в самый раз. Для мелких и средних не представляю как применять, а операторами персональных данных являются по факту все организации. 
2. Все хорошо структурировано, но, на мой взгляд, осилить моделирование угроз сможет только человек с определенным опытом. Непростой работы очень много, особенно в части написания сценариев.
3. Непонятно как будет оцениваться полнота модели, как определить, что все возможные сценарии рассмотрены?
4. Наличие удаленного доступа делает уровень опасности угрозы средним и выше.
5. Непонятно что делать дальше с цифровыми значениями уровней опасности угроз.  
6. Я не поняла как связаны актуальность и опасность. В определении актуальной угрозы нет указания на опасность, только на негативные последствия.
7. Непонятно как подбирать меры защиты.

А что думаете Вы?

_________

Вконтакте:  https://vk.com/shudrova

Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Ксения Шудрова

эксперт по информационной безопасности, аспирант Сибирского государственного аэрокосмического университета