Как говорится, дождались. ФСТЭК о публиковала проект Методики моделирования угроз для экспертного обсуждения. Замечания и предложения принимаются до 30 апреля 2020 года согласно https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2071-informatsionnoe-soobshchenie-fstek-rossii-ot-9-aprelya-2020-g-n-240-22-1534.
name='more'> Документ очень важный и основополагающий в обеспечении защиты информации, так что текста будет много.
Общее впечатление: сырой документ, сделанный "на коленке". Причина срочности понятна, близится завершение категорирования ОКИИ в госучреждениях и предстоит массовое выполнение требований 239 приказа ФСТЭК. Без моделирования угроз никак,что создает неудобные вопросы к регулятору.
Теперь более детально.
1. Основная задача Методики - "Методика определяет порядок и содержание работ по моделированию"!
Как это выглядит в теории?
Безопасник в организации получил документ, по которому он сможет выстроить процесс в организации.
Приступим.1. Безопасник готовит приказ о создании в организации экспертной группы (минимум 3 человека), а так же рабочей группы/комиссии по моделированию угроз с участием, в том числе подразделений и специалистов, ответственных за эксплуатацию систем и сетей (ИТ-специалистов), а также основных подразделений обладателя информации и оператора.
Из тексте Методики непонятно:
- экспертные группы создаются вне комиссии по моделированию или могут включать членов комиссии в свой состав?
- если оператор и обладатель информации разные организации, то они создают какой то коллегиальный орган по моделированию? "основных подразделений обладателя информации И оператора".
Вот с экспертными группами все однозначно указано.
В состав экспертной группы для моделирования угроз безопасности
информации рекомендуется включать экспертов (независимо от того,
реализуются ли функции обладателя информации, заказчика и оператора в рамках
одной или нескольких организаций):
-от подразделений обладателей информации, содержащейся в системах и
сетях;
-от подразделений оператора;
-от подразделения по защите информации (обеспечения безопасности);
-от лиц, предоставляющих услуги или сервисы;
-от разработчиков систем и сетей;
-от операторов взаимодействующих систем и сетей.
Вот радость для безопасника - ему теперь согласовать, организовать и всем этим
2. Безопасник разрабатывает "анкеты, в которой указываются вопросы и возможные варианты
ответа в единой принятой шкале измерений («низкий», «средний», «высокий» или
«да», «нет» или иные шкалы). При этом вопросы должны быть четкими и
однозначно трактуемыми, предполагать однозначные ответы.".
А ответить эксперты должны на следующие вопросы:
а) негативные последствия от реализации угроз безопасности информации;
б) цели реализации угроз безопасности информации, категория, виды и
возможности нарушителей;
в) условия реализации угроз безопасности информации;
г) сценарии действий нарушителей при реализации угроз безопасности
информации;
д) характеристики опасности угроз безопасности информации.
Авторы Методики, вы хоть представляете квалификацию безопасника, который должен такую задачу выполнить? Мало хорошо знать ИБ, еще и грамотностью и словесностью какой надо обладать, что бы непрофильные специалисты из экспертной группы однозначно поняли вопрос и ответ. Где примеры типовых анкет?
Для ГИСов вообще все печально. МУиН подлежат обязательному согласованию в ФСТЭК.
И что делать, если экспертная оценка конкретного сотрудника ФСТЭК не совпала с экспертной оценкой оператора ГИС?
Вариант только один и о нем говорил В.С. Лютиков на ТБ-форуме 2020
Единая учебная программа для применения данной методики на базе ФСТЭК.Работник оператора, работник лицензиата и сотрудник ФСТЭК должны пройти единообразное обучение. Только после этого допускаться к моделированию и согласованию моделей.
По уму, моделирование необходимо включать в лицензию как отдельный вид деятельности, но это сложно из-за бюрократии. Менять все приказы ФСТЭК и ПП676, что бы моделирование попало в деятельность по моделированию еще сложнее.
Предложение - прописывать в Методику, что моделирование проводит специалист прошедший повышение квалификации по типовой программе ФСТЭК "моделирование угроз". Соответственно разрабатывать эту программу и методические материалы, внедрять в учебные центры.
3. Безопасник думает о привлечении стороннего исполнителя. Методика это допускает, но вводит ограничение на наличие лицензии ТЗКИ.
Тут есть юридическая проблема. Перечень лицензируемых видов деятельности установило Правительство, а не ФСТЭК. Моделирование угроз в нем не упоминается. Наиболее частый аргумент от оппонентов, что моделирование -это составная часть проектирования, которая лицензируется. Однако, если посмотреть на 17/239 приказ ФСТЭК и ПП676, то увидим - это разные этапы работ. НЕ входит моделирование в проектирование и требование в Методике противоправное, ограничивающее предпринимательскую деятельность.
4. Ужасная терминология в Методике. Мало нам отсутствия гармоничности в понятийном аппарате в действующей документации, решили добавить словечки из профессионального жаргона. Не надо усугублять ситуацию в "зоопарке" терминов ИБ. Если так хочется использовать "скрипты", "дефесингы", "эксплойты" и т.д., ну есть же приложение к Методике №1. Хотя с теми определениями, которые авторы дали, вопросы возникают.
Информационные ресурсы: данные, информация, процессы, информационные (автоматизированные) системы, информационнотелекоммуникационные сети, сайты в сети Интернет, входящее в состав системы или сети.
Что за процессы? зачем к ресурсам отнесли ИС и ИТКС? из-за 187-ФЗ? "входящее" к чему относится? ИС входящее в состав системы, это про что?
5. Какое отношение к моделированию угроз имеет рекомендация "Если поставщик услуг не определил угрозы безопасности информации для информационно-телекоммуникационной инфраструктуры центра обработки данных (облачной инфраструктуры), размещение на базе такой инфраструктуры систем и сетей не рекомендуется"? Это предмет соответствующих приказов, а не Методики моделирования угроз.
6. Почему "Процессом моделирования угроз безопасности информации должны быть
охвачены все информационные ресурсы и компоненты систем и сетей,
составляющих информационную инфраструктуру обладателя информации и
(или) оператора, неправомерный доступ к которым или воздействие на которые
может привести к негативным последствиям"? И как это стыкуется с областью действия Методики "1.2. Методика определяет порядок и содержание работ по моделированию
угроз безопасности информации, включая персональные данные, в
информационных (автоматизированных) системах, автоматизированных
системах управления, информационно-телекоммуникационных сетях, в том числе
отнесенных к объектам критической информационной инфраструктуры
Российской Федерации, в информационно-телекоммуникационных
инфраструктурах центров обработки данных и облачных инфраструктурах,
защита информации в которых или безопасность которых обеспечивается в
соответствии с требованиями по защите информации (обеспечению
безопасности), утвержденными ФСТЭК России в пределах своей компетенции
(далее – системы и сети)."
И это только структурные/системные замечания, ситуация с собственно моделированием не лучше.
7. Почему базовый нарушитель Н1 имеет возможность реализации угроз на физически
изолированные сегменты систем и сетей, а продвинутые Н2 и Н3 нет?
8. Зачем мы определяем внутреннего и внешнего нарушителя, если это потом не используется в расчетах? Как внутренний нарушитель не имеет потенциала к реализации угроз на физически изолированные сегменты систем и сетей?
и т.д.
Замечаний и предложений несколько десятков по Методике. Детализировать в блоге не вижу смысла, в ФСТЭК направил по установленной форме.
Подробный анализ Методики сделали и другие блогеры:
P.S. Заинтересовал такой момент в Методике.
2.1. Целью моделирования угроз безопасности информации является
выявление совокупности условий и факторов, которые приводят или могут
привести к нарушению безопасности обрабатываемой в системах и сетях
информации (нарушению конфиденциальности, целостности, доступности,
неотказуемости, подотчетности, аутентичности и достоверности информации и
(или) средств её обработки), а также к нарушению или прекращению
функционирования систем и сетей.
Неотказуемость информации -это область применения ЭП. А это всегда была вотчина ФСБ. Ранее ФСТЭК не оперировала таким свойством защищаемой информации. Для ГИС в ЗИС.12/13 речь шла несколько о другом, но реализовалось все равно через ЭП (усиление).
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
** Все новости блога на публичном Telegram-канале t.me/ruporsecurite
*** YouTube - канал блога
**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1
***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite
*** YouTube - канал блога
**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1
***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite