СЗПДн. Анализ. Средства моделирования угроз есть, не хватает методик



В недавней статье Алексей Лукацкий в ожидании новой методики моделирования угроз ФСТЭК высказал идею, что хорошим решением было бы использование средств моделирования угроз, высказал предложение по функциям таких средств и посетовал что на российском рынке они отсутствуют. Мысли о том, что необходимы доступные средства автоматизации высказывали ранее и многие другие ИБ эксперты.

Связанно это с тем, что угроз много, методики сложны и нет связей с контрмерами. И в первую очередь эта проблема актуальна для средних и малых организаций у которых может не хватать ресурсов на то чтобы разбирать в методиках и проводить длительные расчеты.


Но высказывание о том, что на российском рынке отсутствуют средства моделирования угроз – не верно. Такие решения уже есть. Например, модуль Risk Manager от R-Vision или модуль «Модель угроз» системы DocShell, разработанный нашей компанией.  Да и других, ещё более простых решений на рынке хватает.

Другой дело, что средства моделирования угроз – это по сути средства автоматизации типовых действий. Если есть методика, по которой специалист получает адекватный, ожидаемый, повторяемый результат, то с использованием средств автоматизации его же мы будем получать быстрее и проще. Главный вопрос – какой методикой нам руководствоваться?

Тут есть 3 варианта:
·         собственная методика организации
·         новая (ещё не вышедшая и долгожданная) методика ФСТЭК

Минусы применения собственной методики каждым экспертом каждой организации – скорее всего вам придется взаимодействовать со специалистами других организаций: заказчику привлекать исполнителей, возможно даже нескольких, заказчику проходить проверку регулятором, лицензиатам согласовывать с регуляторами какие-то документы, группе экспертов общаться составе каких-либо комитетов; и все это время будут продолжаться бесконечные споры о правильности и неправильности вашей методики, ваши недоброжелатели легко могут поставить по сомнение всю систему защиты указывая на недостатки вашей собственной методики (а у любой методики есть недостатки). А в конечном итоге есть шанс что методика ФСТЭК выйдет как обязательная и вам придется всё переделывать.

Минусы применения методики ФСТЭК от 2008 года: не применима к ГИС/МИС без ПДн, опирается на анализ угроз из документа «Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных» а не на современную БДУ ФСТЭК в которой угрозы постоянно пополняются, не учитывает потенциал нарушителя из БДУ ФСТЭК, не учитывает последствия реализации угроз из БДУ ФСТЭК.

Минус новой методики ФСТЭК – в том, что её ещё нет.

Что в такой ситуации делать разработчикам средств моделирования угроз? 
Расскажу нашу позицию:
·         у нас реализовано моделирование угроз безопасности ПДн в ИСПДн и информации в ГИС по методике ФСТЭК от 2008 года, при этом учитываются применяемых контрмер (и их связь с приказом №17, 21 и ПП 1119), с двумя режимами работы, один из которых адаптирован под самых неопытных пользователей (как раз тот случай, о котором говорили эксперты – есть тысячи организаций для которых методики и БДУ ФСТЭК слишком сложны) и доступный по стоимости
·         в пилотной зоне реализовано моделирование угроз по проекту новой методике ФСТЭК, с учетом БДУ, потенциалов нарушителей из БДУ, компонентов защиты из БДУ, новой методики ФСБ, опять же доступная для понимания неспециалисту. В итоге мы уже более полу года ждем утверждения новой методики ФСТЭК … и видимо если не дождемся в ближайшее время, то придется выпускать в релиз текущую, рискуя потом всё переделывать, когда появится методика  

Уверен, что многие разработчики сейчас в подобной ситуации – ждут только выхода новый методики ФСТЭК чтобы выпустить средства моделирования угроз


PS:  Алексею Лукацкому спасибо за предложения по расширенным функциям, которые могли бы помочь в моделировании угроз

PPS: другие статьи по теме моделирования угроз 

Комментарии

Анонимный написал(а)…
По существу - верно.
Хотя не вижу проблемы для специалиста моделировать угрозы руководствуясь базовыми моделями, гост (в т.ч. ИСО). Показатель квалификации ИБэшника.
В развитие мысли: хотелось бы в новом методическом документе по моделированию гроз увидеть рекомендации по применению БДУ ФСТЭК (на мой взгляд, совершенно не систематизированной, не структурированной, где одни и те же угрозы приведены в разной формулировке, включают и поглощают друг друга).
Сергей Борисов написал(а)…
Даже по старой методике и базовой модели угроз, если у нас много ИС уже хочется автоматизации, хотя бы на уровне excel. А с новой методикой и 200 угроз из БДУ, которые ещё могут быть взаимосвязаны (одна влечет другую или одна повышает вероятность или ущерб другой) расчеты становятся на порядок сложнее.

В проекте новой методики уже была подготовка под БДУ. Надеюсь что финальная версия методики расставить всё по полочкам окончательно
Анонимный написал(а)…
Будем надеяться))...как всегда)

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Модель угроз безопасности клиента финансовой организации

КИИ. Категорирование объектов, часть 3