Всем привет! Сегодня хотел бы рассмотреть новую методику моделирования угроз безопасности информации (далее – Методика), которую выпустил ФСТЭК 9 апреля 2020 года (сразу хочу отметить, что пока это только проект и скорее всего, будут вноситься изменения и доработки). Она станет обязательной для ГИС и МИС, для коммерческих организаций с ПДн она не обязательна, т.е. носит рекомендательный характер.

Итак, начнем с того, что применение новой методики не ограничивается только ИСПДн, теперь её можно использовать для определения угроз в объектах КИИ, ГИС, МИС, ИСПДн. Также появилась возможность проектирования и разработки отраслевых, ведомственных, корпоративных методик угроз безопасности, правда порядка разработки и согласования пока нет. Единственное требование у регулятора – это чтобы они не противоречили положениям Методики. При моделировании угроз безопасности нужно будет применять угрозы из БДУ ФСТЭК, а также пользоваться базовыми и типовыми моделями угроз безопасности информации (по поводу БДУ в Методике разъяснений никаких нет, как применять, с какой стороны соотнести не понятно).

Далее, рассмотрим порядок моделирования угроз безопасности. Он включает в себя 5 этапов:

• Определение возможностей негативных последствий от реализации угроз
  
• Определение условий для реализации угроз
  
• Определение источников угроз
  
• Определение сценариев реализации угроз
  
• Оценка уровня опасности угроз

Как мы видим, в определение актуальности угроз входят с первого по четвертый этапы.

Далее, хотел бы подробнее остановиться на рассмотрении порядка определения актуальных угроз. Начнем с первого этапа, где требуется определить все возможные негативные последствия от реализации угроз. В методике указано, что для реализации данного этапа, нужно провести оценку ущерба (рисков) от нарушения основных критических процессов, или же определить угрозы на основе экспертной оценки специалистов, проводящих моделирование, либо на основе информации, представляемой подразделениями, эксплуатирующими системы и сети. Неважно, какой подход мы выберем, нам нужно будет определить информационные ресурсы (информация, содержащаяся в системах и сетях, программно-аппаратные средства, ПО, СрЗИ, обеспечивающие системы) и основные виды неправомерного доступа и воздействий на информационные ресурсы (утечка, НСД к компонентам систем, отказ в обслуживании, модификация итд.).

Далее переходим к следующему этапу, оценка условий реализации угроз. Под данным пунктом понимается проверка на наличие уязвимостей или недекларированных возможностей и проверка на наличие доступа к компонентам систем и сетей. Описание уязвимостей содержится в ГОСТ Р 56546-2015. Под выявлением уязвимостей, понимается тестирование на проникновение, с учетом функциональных возможностей и настроек СрЗИ. Вот тут возникает вопрос, хватит ли у в России хороших (квалифицированных) пентестеров, чтобы провести анализы уязвимостей во всех госучреждениях и остальных компаниях, кто подпадает под требования этой Методики.

Далее следует этап определения нарушителей и оценка их возможностей. На данном этапе нам нужно определить:

• Источники угроз (техногенные, антропогенные)
  
• Возможные цели реализации угроз
  
• Категории и виды нарушителей
  
• Возможности каждого нарушителя

Согласно Методике, нарушитель обладает одним из четырех уровней потенциала (базовый, базовый повышенный, средний, высокий), в то время, если вы откроете БДУ ФСТЭК и посмотрите описание источника угроз, то там всего 3 уровня. Возможно, в следующей редакции документа внесут разъяснения к данному этапу.
Примечательно, что в Методике внешний нарушитель тесно связан с наличием интернета (по логике ФСТЭК, если сетка изолирована, то нет внешнего нарушителя), весьма спорный момент.

Ну и наконец, рассмотрим заключительный этап анализа возможных тактик и техник реализации угроз. При моделировании угроз проводится оценка возможности реализации тактик и техник, а также иных, включенных в БДУ ФСТЭК. Также при определении тактик и техник должны быть учтены типы доступа к компонентам систем и сетей, которыми обладает нарушитель. Угроза является актуальной, если имеется источник угрозы, условия для ее реализации, существует сценарий ее реализации, а воздействие на информационные ресурсы приведет к негативным последствиям. Примечательно, что сценариев реализации угроз может быть тысячи и если к ним еще подставить три параметра (описанные выше), то число комбинаций возможных угроз станет еще больше.

Пятый этап определяет опасность каждой из актуальных угроз. Проанализировав пятый пункт, можно предположить, что он носит информационный характер, т.к. он не оказывает никакого влияния ни на моделирование угроз, ни на нейтрализацию. Возможно, в следующей редакции документа внесут разъяснения к данному этапу.

Подводя итоги. Вспоминая форум, который состоялся 12 февраля 2020, где ФСТЭК выступал с докладами (один из которых посвящен новой Методике), можно отметить, что ФСТЭК обеспокоен недостатками текущего подхода по моделированию угроз и всячески хочет улучшить его.
В целом документ мне понравился. Он сыроват, по всем этапам есть вопросы (радует, что это всего лишь проект) и надеюсь, что ФСТЭК внесет кое-где разъяснения, а в некоторых местах и кардинальные изменения. Как и в любом документе есть свои плюсы и минусы. Мероприятия по определение актуальности угроз стали более кропотливые и трудно выполняемые. Теперь от организации (ответственного) требуется больше знаний в различных областях ИБ. Применение БДУ совместно с Методикой никак не расписано, не хватает примеров и разъяснений. Надеюсь, что в конечной версии Методики будут базовые примеры применения, типовая МУ на основе которой можно будет сопоставить требования и реализовать свою МУ.

Ознакомиться с проектом Методики, можно на сайте ФСТЭК.

Надеюсь, что статья кому-нибудь пригодится. Спасибо, что дочитали до конца.