четверг, 13 апреля 2017 г.

ИБ. Почему старая методика угроз не подходит для моделирования угроз ГИС?


Как вы, наверное, знаете, недавно в приказ ФСТЭК №17 “Требования о защите информации, не содержащей государственную тайну, содержащуюся в государственных информационных системах” были внесены неоднозначные изменения, по которым есть вопросы и проблемы с их применением.  Сегодня давайте обсудим одну из таких проблем:  
теперь при моделировании угроз необходимо использовать “новую” БДУ ФСТЭК России, а новой методики моделирования угроз не предвидится.  Далее подробно …

В соответствии с пунктом 14 приказа, обаятельным этапом формирования требований к защите информации в ГИС является:
определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработку на их основе модели угроз безопасности информации;”

По сути это две отдельных работы, требования к каждой из которых детализируются в пункте 14.3 приказа:
I. Определение угроз
“14.3. Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).
В качестве исходных данных для определения угроз безопасности информации используется банк данных угроз безопасности информации (bdu.fstec.ru) …”
II. Разработка модели угроз
“Модель угроз безопасности информации должна содержать описание информационной системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации”
Можно ли использовать при этом произвольные методики? Нет…        
“Для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы, разработанные и утвержденные ФСТЭК России

III. Давайте разбираться, какой же методический документ надо использовать? В соответствии с каким документом должен требовать государственный орган проведение работ от подрядчика?

Единственный утвержденный и опубликованный методический документ ФСТЭК России в части моделирования угроз - это “Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 2008 год”. Условно назовем её “старая методика”. (Есть ещё утвержденный, но не опубликованный документ - "Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры", утв. ФСТЭК России в 18.05.2007, но его мы не будем рассматривать) .

По неформальной информации, “новой” методики для ГИС ожидать в ближайшее время не стоит. Тогда надо определиться со “старой” методикой. Нужно ли и можно ли её использовать? Есть несколько причин против использования методики:

Первая: “старая” методика предназначена только для определения угроз ПДн и ИСПДн. Мы же рассматриваем Государственные информационные системы, которые не всегда могут являться ПДн. Требования Приказа применяются и для иной информации в ГИС, в том числе для общедоступной информации и информации подлежащей обязательному опубликованию.

Вторая: “старая” методика разработана на основании Постановления правительства №781, которое уже отменено.  Вместе с этим в юридической практике применяется следующее общее правило “Признание основного нормативного правового акта утратившим юридическую силу означает утрату юридической силы производных и вспомогательных нормативных правовых актов, если не установлено иное”.  То есть – утратила юридическую силу.

Третья: “старая” методика предназначена для определения актуальных угроз – “Актуальной считается угроза, которая может быть реализована в ИСПДн и представляет опасность для ПДн”, а в соответствии с Приказом от нас требуется определить “угрозы безопасности информации, реализация которых может привести к нарушению безопасности информации”.  Согласитесь, что разница есть и понятия эти не тождественные.

Четвертая: Методический документ должен охватывать и вторую часть работ – а именно описывать, как разрабатывается документ под названием Модель угроз.  В старой методике об этом ни слова.

Пятая: В соответствии с Приказом угрозы должны определяться в зависимости от одного набора характеристик. Примерно же набор характеристик применяется в БДУ ФСТЭК. А в “старой” методике, определяются в зависимости от другого набора. Подробнее на рисунке.



С одной стороны, все выводы указывают на тот факт, что это не подходящая для ГИС методика.  С другой стороны, есть один весомый аргумент за её использование – это единственная утвержденная и опубликованная методика ФСТЭК России в области моделирования угроз.

PS: На самом деле, все указанные аргументы против использования “старой” методики, можно было бы устранить внеся небольшие “косметические” обновления в методику. Поменять термины, ИСПДн на ИС, ПДн на информацию и т.п. + добавить некоторые описательные разделы из проекта “новой” методики + немного актуализировать таблицу для расчета исходной защищенности.  А все формулы для расчета актуальности угроз можно было оставлять без изменений – они себя хорошо показали за время, прошедшее с 2008 года.  

 Думаю, что на такую небольшую актуализацию методики моделирования угроз, месяца было бы вполне достаточно. А вот три года, это уже перебор. 

5 комментариев:

Максим Дворетский комментирует...

Сергей, Вы пишите "По неформальной информации, “новой” методики для ГИС ожидать в ближайшее время не стоит.", ну а как же проект методического документа ФСТЭК России "МЕТОДИКА ОПРЕДЕЛЕНИЯ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ" ???

Сергей Борисов комментирует...

Подробнее сформулируйте ваш вопрос. Данный проект не был утвержден. Более того, его убрали с сайта ФСТЭК - теперь нет возможности даже сослаться на него.

Максим Дворетский комментирует...
Этот комментарий был удален автором.
Максим Дворетский комментирует...

Вопросов у меня нет, но я к тому, что Ваше высказывание "...методики для ГИС ожидать в ближайшее время не стоит", немного не соответствует действительности! и наличие на сайте ФСТЭК России проекта данной методики , говорит что ожидать всё таки стоит ...

Сергей Борисов комментирует...

Спасибо за ссылку на документ. Хорошо что он ещё доступен на сайте ФСТЭК.
Ранее я замечал что в одном из разделов ФСТЭК убирали упоминание о этом проекте.

То что я говорил про новую информации - звонил в местный ФСТЭК, устно сказали что в "ближайшее" время не будет новой методики, не стоит её ждать и надо работать по действующей утвержденной методике.