Методика моделирования угроз БИ от ФСТЭК России
9 апреля 2020 года в сопровождении информационного сообщения ФСТЭК России N 240/22/1534 на общественное рассмотрение был выложен проект методики моделирования угроз безопасности информации.
Также выкладываю mind карту Методики, которую я делал в рамках подготовки видеоролика, возможно кому-то такой формат будет удобнее
Основные идеи и этапы моделирования угроз в соответствии с новой методикой я осветил в коротком 5-минутном видеоролике.
Также выкладываю mind карту Методики, которую я делал в рамках подготовки видеоролика, возможно кому-то такой формат будет удобнее
Ну и отдельно хотелось бы оставить мой отзыв о методике, дать предложения и замечания:
1. Как мне показалось, авторы хотели как-то совместить угрозы, сценарии, техники и тактики, но так и не успели (хотя прошло 5 лет с момента прошлого проекта) до конца все продумать, четко и понятно донести до читателя.
Вот несколько свидетельств этому:
· В методике нет четкого определения “угрозы БИ” и того на каком этапе она должна возникнуть в методике:
o В пункте 3.4 в таблице 1 приводится перечень неких угроз (возможно ошибочно), которые определяются на этапе Определения возможных негативных последствий и выглядит так: Угроза = вид неправомерного воздействия + тип компонента
o В пункте 6.8 угроза уже определяется по формуле УБИij = [источник угрозы; условия реализации, сценарий реализации угрозыj; негативные последствия]
o На рисунке 11 угроза уже выглядит так: “Отказ в обслуживани и веб-приложения”, “Отправка заведомо ложных распоряжений от имени финансового директора”
o В таблице 5 примеры угроз “угроза вывода из строя или хищения машинного носителя информации”, “ угроза отказа в обслуживании путем отправки специально созданного TCP-пакета”
o В пункте 7.10 угроза = ID (из БДУ) + наименование (из БДУ) + описание (из БДУ) + сценарий реализации угрозы + уровень опасности
o Ну и наконец в БДУ угроза это = “Угроза аппаратного сброса пароля BIOS”, “Угроза привязки к поставщику облачных услуг”
· Сценарий угрозы занимает важное место в новой методике. Но самого определения “сценария” там вообще нет. В качестве примера сценария приведен рисунок 11 из которого вообще ничего не понятно читателю:
o где именно там сценарий?
o там один сценарий?
o где там тактики, а где техники?
o сценарий – это одна цепочка или все возможные цепочки?
o предполагается что при описании угроз мы должны текстом дать описание всех сценариев реализации угрозы – где хоть один пример текстового описания сценариев?
· В соответствии с методикой, оператор должен определить все возможные сценарии реализации угрозы, но очевидно, что в худшем случае количество сценариев будет равно количеству всех возможных комбинаций техник и тактик, т.е. порядка=5*8*10*5*7*4*16*6*6*10. Не уверен, что МУ такое выдержит
· Сейчас в БДУ некоторые угрозы выглядят совсем как техники
· В БДУ сейчас 3 потенциала нарушителя, а в методике 4 возможных потенциала нарушителя
· В методике есть данные, которые мы определяем, но далее они никак не используются (либо не указано как их нужно использовать), например:
o Виды неправомерного доступа
o Виды нарушителей
2. Из видеоролика видно какой большой процент отдается на откуп экспертной оценке, без четкого объяснения, как это сделать. То есть эксперты – вот вам задача, выкручивайтесь как хотите. Эксперты то выкрутятся, только каждый по-своему. А вот что делать не экспертам?
Как мне кажется разработчикам методики нужно постараться как можно больше анализа провести централизованно, так как каждый такой анализ, сэкономит трудозатраты миллионам операторов.
Например, как можно было бы снять нагрузку с пользователей методики:
· Дать максимально полный перечень возможных компонентов систем
· Дать подсказки / формулы, как пользователям методики определить актуальные цели нарушителей исходя из характеристик и типов возможного вреда
· Убрать необходимость определения потенциала нарушителя для каждой цели отдельно – это лишнее усложнение. Достаточно зависимости потенциала нарушителя от вида нарушителя.
· Дать подсказки / формулы, как пользователям методики определить, актуальны ли для них те или иные техники и тактики (в зависимости от характеристик систем, видов доступа и видов нарушителей, потенциала нарушителя)
· Разработать и добавить в БДУ типовые сценарии реализации угроз. Пусть пользователи выбирают из готовых современных сценариев
3. Очевидно, что методику необходимо улучшать и дорабатывать, но и затягивать с её утверждением не стоит. Поэтому, хорошо бы сразу ввести версионность методики, заявить о том, что она будет регулярно улучшаться и о том, что при моделировании угроз необходимо указывать по какой версии методики и какой версии БДУ было проведено моделирование.
Комментарии
Австралийский ISM например каждый месяц обновляется, но это не мешает его успешно использовать
https://www.cyber.gov.au/ism/ism-archive
Поэтому надо исправить ляпы, ошибки, явные недостатки и синхронизировать с БДУ - и делать первый релиз. А дополнительные улучшения можно будет потом добавлять.
Так что на практике народ будет покупать у подсуетившихся лицензиатов гору бумаги под названием "Модель угроз" и после неудачной попытки понять, что в ней написано, будет делать систему ЗИ без всякой связи с "моделью".
Но одно дело, когда такой анализ делался в свободной форме, другое дело когда его формализовали. Думаю что на реальных системах эту методике досконально не отрабатывали.
Здраво на сите, јас сум самохрана мајка од Путри Адиратна од Jakакарта, би сакал да го споделам ова одлично сведоштво за тоа како добив заем од г-дин, Бенџамин, кога бевме истерани од нашиот дом кога веќе не можев да ги плаќам сметките, се измамени од разни компании преку Интернет и негираше заем од мојата банка и некои други кредитни сојузи што ги посетив. Моите деца беа згрижени за згрижување, сите бев сам на улица. Денот кога срамно влегов во еден стар училишен колега, кој ме запозна со Дејзи Морин. Отпрвин told реков дека не сум подготвена да ризикувам повеќе да барам заем преку Интернет, но таа ме увери дека ќе добијам заем од нив. На втора мисла, поради мојата бездомност морав да пробам и да аплицирам за заем, за среќа за мене добив заем од $ 80,000,00 од г-дин, Бенџамин. Среќна сум што го презедов ризикот и аплицирав за заем. Моите деца ми беа вратени и сега јас поседувам дом и сопствен бизнис. Сета благодарност и благодарност им помага на г-дин, Бенџамин што ми даде значење во животот кога ја изгубив целата надеж. Ако моментално барате помош за заем, можете да ги контактирате преку: {Lfdsloans@outlook.com WhatsApp + 1-989-394-3740.