СЗПДн. Анализ. Средства моделирования угроз есть, не хватает методик

В недавней статье Алексей Лукацкий в ожидании новой методики моделирования угроз ФСТЭК высказал идею, что хорошим решением было бы использование средств моделирования угроз, высказал предложение по функциям таких средств и посетовал что на российском рынке они отсутствуют. Мысли о том, что необходимы доступные средства автоматизации высказывали ранее и многие другие ИБ эксперты.

Связанно это с тем, что угроз много, методики сложны и нет связей с контрмерами. И в первую очередь эта проблема актуальна для средних и малых организаций у которых может не хватать ресурсов на то чтобы разбирать в методиках и проводить длительные расчеты.

Но высказывание о том, что на российском рынке отсутствуют средства моделирования угроз – не верно. Такие решения уже есть. Например, модуль Risk Manager от R-Vision или модуль «Модель угроз» системы DocShell, разработанный нашей компанией.  Да и других, ещё более простых решений на рынке хватает.

Другой дело, что средства моделирования угроз – это по сути средства автоматизации типовых действий. Если есть методика, по которой специалист получает адекватный, ожидаемый, повторяемый результат, то с использованием средств автоматизации его же мы будем получать быстрее и проще. Главный вопрос – какой методикой нам руководствоваться?

Тут есть 3 варианта:

·         собственная методика организации

·         устаревшая методика ФСТЭК от 2008 г.

·         новая (ещё не вышедшая и долгожданная) методика ФСТЭК

Минусы применения собственной методики каждым экспертом каждой организации – скорее всего вам придется взаимодействовать со специалистами других организаций: заказчику привлекать исполнителей, возможно даже нескольких, заказчику проходить проверку регулятором, лицензиатам согласовывать с регуляторами какие-то документы, группе экспертов общаться составе каких-либо комитетов; и все это время будут продолжаться бесконечные споры о правильности и неправильности вашей методики, ваши недоброжелатели легко могут поставить по сомнение всю систему защиты указывая на недостатки вашей собственной методики (а у любой методики есть недостатки). А в конечном итоге есть шанс что методика ФСТЭК выйдет как обязательная и вам придется всё переделывать.

Минусы применения методики ФСТЭК от 2008 года: не применима к ГИС/МИС без ПДн, опирается на анализ угроз из документа «Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных» а не на современную БДУ ФСТЭК в которой угрозы постоянно пополняются, не учитывает потенциал нарушителя из БДУ ФСТЭК, не учитывает последствия реализации угроз из БДУ ФСТЭК.

Минус новой методики ФСТЭК – в том, что её ещё нет.

Что в такой ситуации делать разработчикам средств моделирования угроз? 

Расскажу нашу позицию:

·         у нас реализовано моделирование угроз безопасности ПДн в ИСПДн и информации в ГИС по методике ФСТЭК от 2008 года, при этом учитываются применяемых контрмер (и их связь с приказом №17, 21 и ПП 1119), с двумя режимами работы, один из которых адаптирован под самых неопытных пользователей (как раз тот случай, о котором говорили эксперты – есть тысячи организаций для которых методики и БДУ ФСТЭК слишком сложны) и доступный по стоимости

·         в пилотной зоне реализовано моделирование угроз по проекту новой методике ФСТЭК, с учетом БДУ, потенциалов нарушителей из БДУ, компонентов защиты из БДУ, новой методики ФСБ, опять же доступная для понимания неспециалисту. В итоге мы уже более полу года ждем утверждения новой методики ФСТЭК … и видимо если не дождемся в ближайшее время, то придется выпускать в релиз текущую, рискуя потом всё переделывать, когда появится методика  

Уверен, что многие разработчики сейчас в подобной ситуации – ждут только выхода новый методики ФСТЭК чтобы выпустить средства моделирования угроз

PS:  Алексею Лукацкому спасибо за предложения по расширенным функциям, которые могли бы помочь в моделировании угроз

PPS: другие статьи по теме моделирования угроз