четверг, 14 апреля 2016 г.

СЗПДн. Анализ. Средства моделирования угроз есть, не хватает методик



В недавней статье Алексей Лукацкий в ожидании новой методики моделирования угроз ФСТЭК высказал идею, что хорошим решением было бы использование средств моделирования угроз, высказал предложение по функциям таких средств и посетовал что на российском рынке они отсутствуют. Мысли о том, что необходимы доступные средства автоматизации высказывали ранее и многие другие ИБ эксперты.

Связанно это с тем, что угроз много, методики сложны и нет связей с контрмерами. И в первую очередь эта проблема актуальна для средних и малых организаций у которых может не хватать ресурсов на то чтобы разбирать в методиках и проводить длительные расчеты.


Но высказывание о том, что на российском рынке отсутствуют средства моделирования угроз – не верно. Такие решения уже есть. Например, модуль Risk Manager от R-Vision или модуль «Модель угроз» системы DocShell, разработанный нашей компанией.  Да и других, ещё более простых решений на рынке хватает.

Другой дело, что средства моделирования угроз – это по сути средства автоматизации типовых действий. Если есть методика, по которой специалист получает адекватный, ожидаемый, повторяемый результат, то с использованием средств автоматизации его же мы будем получать быстрее и проще. Главный вопрос – какой методикой нам руководствоваться?

Тут есть 3 варианта:
·         собственная методика организации
·         новая (ещё не вышедшая и долгожданная) методика ФСТЭК

Минусы применения собственной методики каждым экспертом каждой организации – скорее всего вам придется взаимодействовать со специалистами других организаций: заказчику привлекать исполнителей, возможно даже нескольких, заказчику проходить проверку регулятором, лицензиатам согласовывать с регуляторами какие-то документы, группе экспертов общаться составе каких-либо комитетов; и все это время будут продолжаться бесконечные споры о правильности и неправильности вашей методики, ваши недоброжелатели легко могут поставить по сомнение всю систему защиты указывая на недостатки вашей собственной методики (а у любой методики есть недостатки). А в конечном итоге есть шанс что методика ФСТЭК выйдет как обязательная и вам придется всё переделывать.

Минусы применения методики ФСТЭК от 2008 года: не применима к ГИС/МИС без ПДн, опирается на анализ угроз из документа «Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных» а не на современную БДУ ФСТЭК в которой угрозы постоянно пополняются, не учитывает потенциал нарушителя из БДУ ФСТЭК, не учитывает последствия реализации угроз из БДУ ФСТЭК.

Минус новой методики ФСТЭК – в том, что её ещё нет.

Что в такой ситуации делать разработчикам средств моделирования угроз? 
Расскажу нашу позицию:
·         у нас реализовано моделирование угроз безопасности ПДн в ИСПДн и информации в ГИС по методике ФСТЭК от 2008 года, при этом учитываются применяемых контрмер (и их связь с приказом №17, 21 и ПП 1119), с двумя режимами работы, один из которых адаптирован под самых неопытных пользователей (как раз тот случай, о котором говорили эксперты – есть тысячи организаций для которых методики и БДУ ФСТЭК слишком сложны) и доступный по стоимости
·         в пилотной зоне реализовано моделирование угроз по проекту новой методике ФСТЭК, с учетом БДУ, потенциалов нарушителей из БДУ, компонентов защиты из БДУ, новой методики ФСБ, опять же доступная для понимания неспециалисту. В итоге мы уже более полу года ждем утверждения новой методики ФСТЭК … и видимо если не дождемся в ближайшее время, то придется выпускать в релиз текущую, рискуя потом всё переделывать, когда появится методика  

Уверен, что многие разработчики сейчас в подобной ситуации – ждут только выхода новый методики ФСТЭК чтобы выпустить средства моделирования угроз


PS:  Алексею Лукацкому спасибо за предложения по расширенным функциям, которые могли бы помочь в моделировании угроз

PPS: другие статьи по теме моделирования угроз 

3 комментария:

Николай Гатыжский комментирует...

По существу - верно.
Хотя не вижу проблемы для специалиста моделировать угрозы руководствуясь базовыми моделями, гост (в т.ч. ИСО). Показатель квалификации ИБэшника.
В развитие мысли: хотелось бы в новом методическом документе по моделированию гроз увидеть рекомендации по применению БДУ ФСТЭК (на мой взгляд, совершенно не систематизированной, не структурированной, где одни и те же угрозы приведены в разной формулировке, включают и поглощают друг друга).

Сергей Борисов комментирует...

Даже по старой методике и базовой модели угроз, если у нас много ИС уже хочется автоматизации, хотя бы на уровне excel. А с новой методикой и 200 угроз из БДУ, которые ещё могут быть взаимосвязаны (одна влечет другую или одна повышает вероятность или ущерб другой) расчеты становятся на порядок сложнее.

В проекте новой методики уже была подготовка под БДУ. Надеюсь что финальная версия методики расставить всё по полочкам окончательно

Николай Гатыжский комментирует...

Будем надеяться))...как всегда)