ИБ. Почему старая методика угроз не подходит для моделирования угроз ГИС?
Как вы, наверное, знаете, недавно
в приказ ФСТЭК №17 “Требования о защите информации, не содержащей
государственную тайну, содержащуюся в государственных информационных системах”
были внесены неоднозначные изменения, по которым есть вопросы и проблемы с их
применением. Сегодня давайте обсудим
одну из таких проблем:
теперь при моделировании угроз
необходимо использовать “новую” БДУ ФСТЭК России, а новой методики моделирования
угроз не предвидится. Далее подробно …
В соответствии с пунктом 14
приказа, обаятельным этапом формирования требований к защите информации в ГИС
является:
“определение угроз безопасности информации, реализация которых может
привести к нарушению безопасности информации в информационной системе, и разработку
на их основе модели угроз
безопасности информации;”
По сути это две отдельных работы,
требования к каждой из которых детализируются в пункте 14.3 приказа:
I. Определение угроз
“14.3.
Угрозы безопасности информации определяются
по результатам оценки возможностей
(потенциала) внешних и внутренних нарушителей,
анализа возможных уязвимостей информационной системы,
возможных способов реализации угроз
безопасности информации и последствий
от нарушения свойств безопасности информации (конфиденциальности, целостности,
доступности).
В качестве
исходных данных для определения угроз безопасности информации используется банк
данных угроз безопасности информации (bdu.fstec.ru)
…”
II. Разработка модели угроз
“Модель
угроз безопасности информации должна
содержать описание информационной
системы и ее структурно-функциональных характеристик,
а также описание угроз безопасности
информации, включающее описание возможностей
нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств
безопасности информации”
Можно
ли использовать при этом произвольные методики? Нет…
“Для определения
угроз безопасности информации и
разработки модели угроз безопасности информации применяются методические документы, разработанные и
утвержденные ФСТЭК России”
III. Давайте разбираться, какой же
методический документ надо использовать? В соответствии с каким документом
должен требовать государственный орган проведение работ от подрядчика?
Единственный утвержденный и
опубликованный методический документ ФСТЭК России в части моделирования угроз -
это “Методика определения актуальных угроз безопасности персональных данных при
их обработке в информационных системах персональных данных. ФСТЭК России, 2008
год”. Условно назовем её “старая методика”. (Есть ещё утвержденный, но не
опубликованный документ - "Методика определения актуальных угроз
безопасности информации в ключевых системах информационной
инфраструктуры", утв. ФСТЭК России в 18.05.2007, но его мы не будем
рассматривать) .
По неформальной информации, “новой”
методики для ГИС ожидать в ближайшее время не стоит. Тогда надо определиться со
“старой” методикой. Нужно ли и можно ли её использовать? Есть несколько причин
против использования методики:
Вторая: “старая” методика разработана на основании Постановления
правительства №781, которое уже отменено. Вместе с этим в юридической практике применяется
следующее общее правило “Признание
основного нормативного правового акта утратившим юридическую силу означает
утрату юридической силы производных и вспомогательных нормативных правовых
актов, если не установлено иное”. То
есть – утратила юридическую силу.
Третья: “старая” методика предназначена для определения актуальных
угроз – “Актуальной считается угроза,
которая может быть реализована в ИСПДн и представляет
опасность для ПДн”, а в соответствии с Приказом от нас требуется
определить “угрозы безопасности
информации, реализация которых может
привести к нарушению безопасности информации”. Согласитесь, что разница есть и понятия эти не
тождественные.
Четвертая: Методический документ должен охватывать и вторую часть
работ – а именно описывать, как разрабатывается документ под названием Модель
угроз. В “старой” методике об этом ни слова.
Пятая: В соответствии с Приказом угрозы должны определяться в
зависимости от одного набора характеристик. Примерно же набор характеристик
применяется в БДУ ФСТЭК. А в “старой” методике, определяются в зависимости от
другого набора. Подробнее на рисунке.
С одной стороны, все выводы
указывают на тот факт, что это не подходящая для ГИС методика. С другой стороны, есть один весомый аргумент
за её использование – это единственная утвержденная и опубликованная методика
ФСТЭК России в области моделирования угроз.
PS: На самом деле, все указанные
аргументы против использования “старой” методики, можно было бы устранить внеся
небольшие “косметические” обновления в методику. Поменять термины, ИСПДн на ИС,
ПДн на информацию и т.п. + добавить некоторые описательные разделы из проекта “новой”
методики + немного актуализировать таблицу для расчета исходной
защищенности. А все формулы для расчета
актуальности угроз можно было оставлять без изменений – они себя хорошо
показали за время, прошедшее с 2008 года.
Думаю, что на такую небольшую актуализацию методики
моделирования угроз, месяца было бы вполне достаточно. А вот три года, это уже
перебор.
Комментарии
Ранее я замечал что в одном из разделов ФСТЭК убирали упоминание о этом проекте.
То что я говорил про новую информации - звонил в местный ФСТЭК, устно сказали что в "ближайшее" время не будет новой методики, не стоит её ждать и надо работать по действующей утвержденной методике.