среда, 20 мая 2015 г.

СОИБ. Анализ. Определение угроз безопасности. Часть 1

7 мая 2015 г. ФСТЭК России выложила на рассмотрение «Методику определения угроз безопасности информации в информационных системах» которую мы так долго ждали. До 10 июня 2015 года принимают предложения и замечания. Но скорее всего существенных изменений не будет. Поэтому можно брать в работу. Пока появилось свободное время буду разбирать и публиковать частями. По самым проблемным местам напишу в ФСТЭК.

Документ несомненно проработанный, содержит необходимые методики и сверх того много разъясняет и разжёвывает многие моменты, очевидные для того, кто регулярно занимается анализом угроз, но нетривиальные для новичков, впервые взявшихся за моделирование (например, разъясняет зачем необходимо идентифицировать источники угроз, а не просто говорит что надо; разъясняет как обычно реализуются угрозы, ).

1.       Первое что бросается в глаза – большая трудоемкость при применении методики определения угроз в лоб (для тех что берется за моделирование впервые).  Давайте посмотрим какие решения нужно принять для каждой угрозы:
·         определить достаточны ли возможности  нарушителя (актуального в соответствии с моделью нарушителя ) для реализации угрозы безопасности информации
·         определить могут ли иметься в информационной системе потенциальные уязвимости, которые могут быть использованы при  реализации данной угрозы безопасности информации;
·         не исключают ли структурно-функциональные характеристики и особенности функционирования информационной системы возможности применения способов, необходимых для реализации данной угрозы безопасности информации (существует реальный сценарий реализации угрозы безопасности);
·         определить что реализация угрозы безопасности информации приведет к нарушению конфиденциальности, целостности или доступности информации, в результате которого возможно возникновение неприемлемых негативных последствий (ущерба).
·         определить вероятность угрозы,
·         определить потенциала нарушителя, необходимый для реализации этой угрозы безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и особенностями функционирования
·         определить возможный результат реализации угрозы безопасности информации в информационной системе
·         определить вид ущерба, к которому может привести реализация угрозы безопасности информации
·         определить степень негативных последствий от нарушения конфиденциальности, целостности или доступности каждого вида информации, содержащейся в информационной системе от реализации угрозы
-> степень последствий от реализации угрозы безопасности информации для каждого вида ущерба
Все эти решения необходимо принимать группой из не менее 3х экспертов для каждой из 161 угрозы. (Так как БДУ будет дополняться, то лучше ориентироваться на 200 угроз).

2.       Если раньше актуальность угроз напрямую зависела от исходно принятых мер защиты, то теперь исходные меры защиты влияют на потенциал нарушителя который потом уже влияет на актуальность угрозы. Расчеты стали сложнее. 

Из первых двух пунктов делаю выводы что анализ угроз в ручную оператором становится фактически нереальным либо нерентабельным. Единственные возможные варианты:
·         Применение оператором средств автоматизации расчетов актуальности угроз

·         Обращение за услугой по моделированию угроз к компании – консультанту, которые так-же либо будут вынуждены использовать средства автоматизации расчетов, либо заниматься копи-пастированием документов без проведения расчетов

2 комментария:

Шахов Дмитрий комментирует...

Здравствуйте Сергей. Хотелось-бы услышать ваше мнение по поводу следующей логической цепочки (довольно простой): В 17 приказе сказано, п.25 в информационных системах 1 класса защищенности выбранные и реализованные в информационной системе в рамках ее системы защиты информации меры защиты информации должны обеспечивать нейтрализацию (блокирование) угроз безопасности информации, связанных с действиями нарушителя с высоким потенциалом. В новой методике сказано (таблица 2), что нарушители с высоким потенциалом могут вести разведку по каналам ПЭМИН. Вопрос: вам не кажется, что мы снова возвращаемся к ПЭМИН там где оно не к месту? Ведь ГИС могут такими стать только по причине необходимости обеспечить 1 УЗПДн...

Сергей Борисов комментирует...

Спасибо за задачку. Мое мнение, что в связи с пунктом 25 приказа №17 мы получаем для данной ГИС, значение "потенциал актуального нарушителя" = "высокий". Далее мы это используем при расчетах актуальности угроз. в том числе угроз ПЭМИН