ИБ. Почему старая методика угроз не подходит для моделирования угроз ГИС?


Как вы, наверное, знаете, недавно в приказ ФСТЭК №17 “Требования о защите информации, не содержащей государственную тайну, содержащуюся в государственных информационных системах” были внесены неоднозначные изменения, по которым есть вопросы и проблемы с их применением.  Сегодня давайте обсудим одну из таких проблем:  
теперь при моделировании угроз необходимо использовать “новую” БДУ ФСТЭК России, а новой методики моделирования угроз не предвидится.  Далее подробно …

В соответствии с пунктом 14 приказа, обаятельным этапом формирования требований к защите информации в ГИС является:
определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработку на их основе модели угроз безопасности информации;”

По сути это две отдельных работы, требования к каждой из которых детализируются в пункте 14.3 приказа:
I. Определение угроз
“14.3. Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).
В качестве исходных данных для определения угроз безопасности информации используется банк данных угроз безопасности информации (bdu.fstec.ru) …”
II. Разработка модели угроз
“Модель угроз безопасности информации должна содержать описание информационной системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации”
Можно ли использовать при этом произвольные методики? Нет…        
“Для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы, разработанные и утвержденные ФСТЭК России

III. Давайте разбираться, какой же методический документ надо использовать? В соответствии с каким документом должен требовать государственный орган проведение работ от подрядчика?

Единственный утвержденный и опубликованный методический документ ФСТЭК России в части моделирования угроз - это “Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 2008 год”. Условно назовем её “старая методика”. (Есть ещё утвержденный, но не опубликованный документ - "Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры", утв. ФСТЭК России в 18.05.2007, но его мы не будем рассматривать) .

По неформальной информации, “новой” методики для ГИС ожидать в ближайшее время не стоит. Тогда надо определиться со “старой” методикой. Нужно ли и можно ли её использовать? Есть несколько причин против использования методики:

Первая: “старая” методика предназначена только для определения угроз ПДн и ИСПДн. Мы же рассматриваем Государственные информационные системы, которые не всегда могут являться ПДн. Требования Приказа применяются и для иной информации в ГИС, в том числе для общедоступной информации и информации подлежащей обязательному опубликованию.

Вторая: “старая” методика разработана на основании Постановления правительства №781, которое уже отменено.  Вместе с этим в юридической практике применяется следующее общее правило “Признание основного нормативного правового акта утратившим юридическую силу означает утрату юридической силы производных и вспомогательных нормативных правовых актов, если не установлено иное”.  То есть – утратила юридическую силу.

Третья: “старая” методика предназначена для определения актуальных угроз – “Актуальной считается угроза, которая может быть реализована в ИСПДн и представляет опасность для ПДн”, а в соответствии с Приказом от нас требуется определить “угрозы безопасности информации, реализация которых может привести к нарушению безопасности информации”.  Согласитесь, что разница есть и понятия эти не тождественные.

Четвертая: Методический документ должен охватывать и вторую часть работ – а именно описывать, как разрабатывается документ под названием Модель угроз.  В старой методике об этом ни слова.

Пятая: В соответствии с Приказом угрозы должны определяться в зависимости от одного набора характеристик. Примерно же набор характеристик применяется в БДУ ФСТЭК. А в “старой” методике, определяются в зависимости от другого набора. Подробнее на рисунке.



С одной стороны, все выводы указывают на тот факт, что это не подходящая для ГИС методика.  С другой стороны, есть один весомый аргумент за её использование – это единственная утвержденная и опубликованная методика ФСТЭК России в области моделирования угроз.

PS: На самом деле, все указанные аргументы против использования “старой” методики, можно было бы устранить внеся небольшие “косметические” обновления в методику. Поменять термины, ИСПДн на ИС, ПДн на информацию и т.п. + добавить некоторые описательные разделы из проекта “новой” методики + немного актуализировать таблицу для расчета исходной защищенности.  А все формулы для расчета актуальности угроз можно было оставлять без изменений – они себя хорошо показали за время, прошедшее с 2008 года.  

 Думаю, что на такую небольшую актуализацию методики моделирования угроз, месяца было бы вполне достаточно. А вот три года, это уже перебор. 

Комментарии

Unknown написал(а)…
Сергей, Вы пишите "По неформальной информации, “новой” методики для ГИС ожидать в ближайшее время не стоит.", ну а как же проект методического документа ФСТЭК России "МЕТОДИКА ОПРЕДЕЛЕНИЯ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ" ???
Сергей Борисов написал(а)…
Подробнее сформулируйте ваш вопрос. Данный проект не был утвержден. Более того, его убрали с сайта ФСТЭК - теперь нет возможности даже сослаться на него.
Unknown написал(а)…
Этот комментарий был удален автором.
Unknown написал(а)…
Вопросов у меня нет, но я к тому, что Ваше высказывание "...методики для ГИС ожидать в ближайшее время не стоит", немного не соответствует действительности! и наличие на сайте ФСТЭК России проекта данной методики , говорит что ожидать всё таки стоит ...
Сергей Борисов написал(а)…
Спасибо за ссылку на документ. Хорошо что он ещё доступен на сайте ФСТЭК.
Ранее я замечал что в одном из разделов ФСТЭК убирали упоминание о этом проекте.

То что я говорил про новую информации - звонил в местный ФСТЭК, устно сказали что в "ближайшее" время не будет новой методики, не стоит её ждать и надо работать по действующей утвержденной методике.
Unknown написал(а)…
03.05.2017 в правительстве области проходил методический сбор, организованный ФСТЭК России по ДФО, в одном из докладов сотрудник ФСТЭК сказал, можно применять ПРОЕКТ Методики... для ГИС в работе уже сейчас !!! Вот такие новости =)
Сергей Борисов написал(а)…
Да, у меня тоже есть доп. информация. Но жду официального письма
Unknown написал(а)…
Есть официальное письмо?)

Популярные сообщения из этого блога

Модель угроз безопасности клиента финансовой организации

Лучшие практики по жизненному циклу безопасности ПО от PCI

Разъяснения ФСТЭК по поводу уровней доверия СЗИ для ГИС