Проект методики по моделированию угроз от ФСТЭК

Проект методики по моделированию угроз от ФСТЭК


    Как говорится, дождались. ФСТЭК о публиковала проект Методики моделирования угроз для экспертного обсуждения. Замечания и предложения принимаются до 30 апреля 2020 года согласно https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2071-informatsionnoe-soobshchenie-fstek-rossii-ot-9-aprelya-2020-g-n-240-22-1534. 

name='more'>    Документ очень важный и основополагающий в обеспечении защиты информации, так что текста будет много.
   Общее впечатление: сырой документ, сделанный "на коленке". Причина срочности понятна, близится завершение категорирования ОКИИ в госучреждениях и предстоит массовое выполнение требований 239 приказа ФСТЭК. Без моделирования угроз никак,что создает неудобные вопросы к регулятору.
     Теперь более детально.
1. Основная задача Методики - "Методика определяет порядок и содержание работ по моделированию"!
Как это выглядит в теории?

   Безопасник в организации получил документ, по которому он сможет выстроить процесс в организации.
  Приступим.
   1. Безопасник готовит приказ о создании в организации экспертной группы (минимум 3 человека), а так же рабочей группы/комиссии по моделированию угроз с участием, в том числе подразделений и специалистов, ответственных за эксплуатацию систем и сетей (ИТ-специалистов), а также основных подразделений обладателя информации и оператора. 
       Из тексте Методики непонятно:
- экспертные группы создаются вне комиссии по моделированию или могут включать членов комиссии в свой состав? 
-  если оператор и обладатель информации разные организации, то они создают какой то коллегиальный орган по моделированию? "основных подразделений обладателя информации И оператора".
    Вот с экспертными группами все однозначно указано.
   В состав экспертной группы для моделирования угроз безопасности
информации рекомендуется включать экспертов (независимо от того,
реализуются ли функции обладателя информации, заказчика и оператора в рамках
одной или нескольких организаций):
-от подразделений обладателей информации, содержащейся в системах и
сетях;
-от подразделений оператора;
-от подразделения по защите информации (обеспечения безопасности);
-от лиц, предоставляющих услуги или сервисы;
-от разработчиков систем и сетей;

-от операторов взаимодействующих систем и сетей.
    Вот  радость для безопасника - ему теперь согласовать, организовать и всем этим цирком управлять! Еще и куча ограничений - не должны быть в прямом подчинении и т.д. И никакой лицензиат в этом ему не поможет, это процедура полностью на стороне заказчика. 

   2. Безопасник разрабатывает "анкеты, в которой указываются вопросы и возможные варианты 
ответа в единой принятой шкале измерений («низкий», «средний», «высокий» или
«да», «нет» или иные шкалы). При этом вопросы должны быть четкими и
однозначно трактуемыми, предполагать однозначные ответы.". 
   А ответить эксперты должны на следующие вопросы:
а) негативные последствия от реализации угроз безопасности информации;
б) цели реализации угроз безопасности информации, категория, виды и
возможности нарушителей;
в) условия реализации угроз безопасности информации;
г) сценарии действий нарушителей при реализации угроз безопасности
информации;

д) характеристики опасности угроз безопасности информации.

    Авторы Методики, вы хоть представляете квалификацию безопасника, который должен такую задачу выполнить? Мало хорошо знать ИБ, еще и грамотностью и словесностью какой надо обладать, что бы непрофильные специалисты из экспертной группы однозначно поняли вопрос и ответ.  Где примеры типовых анкет? 

    Для ГИСов вообще все печально. МУиН подлежат обязательному согласованию в ФСТЭК. 
И что делать, если экспертная оценка конкретного сотрудника ФСТЭК  не совпала с экспертной оценкой оператора ГИС? 
    Вариант только один и о нем говорил В.С. Лютиков на ТБ-форуме 2020
   Единая учебная программа для применения данной методики на базе ФСТЭК.
   Работник оператора, работник лицензиата и  сотрудник ФСТЭК должны пройти единообразное обучение. Только после этого допускаться к моделированию и согласованию моделей.
   По уму, моделирование необходимо включать в лицензию как отдельный вид деятельности, но это сложно из-за бюрократии. Менять все приказы ФСТЭК и ПП676, что бы моделирование попало в деятельность по моделированию еще сложнее. 
    Предложение - прописывать в Методику, что моделирование проводит специалист прошедший повышение квалификации по типовой программе ФСТЭК  "моделирование угроз". Соответственно разрабатывать эту программу и методические материалы, внедрять в учебные центры.
    3. Безопасник думает о привлечении стороннего исполнителя. Методика это допускает, но вводит ограничение на наличие лицензии ТЗКИ.
    Тут есть юридическая проблема. Перечень лицензируемых видов деятельности установило Правительство, а не ФСТЭК. Моделирование угроз в нем не упоминается. Наиболее частый аргумент от оппонентов, что моделирование -это составная часть проектирования, которая лицензируется. Однако, если посмотреть на 17/239 приказ ФСТЭК и ПП676, то увидим - это разные этапы работ. НЕ входит моделирование в проектирование и требование в Методике противоправное, ограничивающее предпринимательскую деятельность.
   4. Ужасная терминология в Методике. Мало нам отсутствия гармоничности в понятийном аппарате в действующей документации, решили добавить словечки из профессионального жаргона. Не надо усугублять ситуацию в "зоопарке" терминов ИБ. Если так хочется использовать "скрипты", "дефесингы", "эксплойты" и т.д., ну есть же приложение к Методике №1. Хотя  с теми определениями, которые авторы дали, вопросы возникают. 
Информационные ресурсы: данные, информация, процессыинформационные (автоматизированные) системы, информационнотелекоммуникационные сети, сайты в сети Интернет, входящее в состав системы или сети.
  Что за процессы? зачем к ресурсам отнесли ИС и ИТКС? из-за 187-ФЗ? "входящее" к чему относится? ИС входящее в состав системы, это про что?
   5. Какое отношение к моделированию угроз  имеет рекомендация "Если поставщик услуг не определил угрозы безопасности информации для информационно-телекоммуникационной инфраструктуры центра обработки данных (облачной инфраструктуры), размещение на базе такой инфраструктуры систем и сетей не рекомендуется"? Это предмет соответствующих приказов, а не Методики моделирования угроз.
   6. Почему "Процессом моделирования угроз безопасности информации должны быть
охвачены все информационные ресурсы и компоненты систем и сетей,
составляющих информационную инфраструктуру обладателя информации и
(или) оператора, неправомерный доступ к которым или воздействие на которые
может привести к негативным последствиям"? И  как это стыкуется с областью действия Методики "1.2. Методика определяет порядок и содержание работ по моделированию
угроз безопасности информации, включая персональные данные, в
информационных (автоматизированных) системах, автоматизированных
системах управления, информационно-телекоммуникационных сетях, в том числе
отнесенных к объектам критической информационной инфраструктуры
Российской Федерации, в информационно-телекоммуникационных
инфраструктурах центров обработки данных и облачных инфраструктурах,
защита информации в которых или безопасность которых обеспечивается в
соответствии с требованиями по защите информации (обеспечению
безопасности), утвержденными ФСТЭК России в пределах своей компетенции
(далее – системы и сети)."

   И это только структурные/системные замечания, ситуация с собственно моделированием не лучше.
   7. Почему базовый нарушитель Н1 имеет возможность реализации угроз на физически
изолированные сегменты систем и сетей, а продвинутые Н2 и Н3 нет?
   8. Зачем мы определяем внутреннего и внешнего нарушителя, если это потом не используется в расчетах? Как внутренний нарушитель не имеет потенциала к реализации угроз на физически изолированные сегменты систем и сетей?
 и т.д.

   Замечаний и предложений несколько десятков по Методике. Детализировать в блоге не вижу смысла, в ФСТЭК направил по установленной форме.
  Подробный анализ Методики сделали и другие блогеры:


  https://sborisov.blogspot.com/2020/04/blog-post_14.html   

P.S. Заинтересовал такой момент в Методике.
2.1. Целью моделирования угроз безопасности информации является
выявление совокупности условий и факторов, которые приводят или могут
привести к нарушению безопасности обрабатываемой в системах и сетях
информации (нарушению конфиденциальности, целостности, доступности,
неотказуемости, подотчетности, аутентичности и достоверности информации и
(или) средств её обработки), а также к нарушению или прекращению

функционирования систем и сетей.
  Неотказуемость информации -это область применения ЭП. А это всегда была вотчина ФСБ. Ранее ФСТЭК не оперировала таким свойством защищаемой информации. Для ГИС в ЗИС.12/13 речь шла несколько о другом, но реализовалось все равно через ЭП (усиление). 

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога

**** Яндекс.Дзен  https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал  https://tt.me/blog_ruporsecurite
Alt text

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности