Методика моделирования угроз БИ от ФСТЭК России

9 апреля 2020 года в сопровождении информационного сообщения ФСТЭК России N 240/22/1534 на общественное рассмотрение был выложен проект методики моделирования угроз безопасности информации.

Основные идеи и этапы моделирования угроз в соответствии с новой методикой я осветил в коротком 5-минутном видеоролике.



Также выкладываю mind карту Методики, которую я делал в рамках подготовки видеоролика, возможно кому-то такой формат будет удобнее

Ну и отдельно хотелось бы оставить мой отзыв о методике, дать предложения и замечания:
1.      Как мне показалось, авторы хотели как-то совместить угрозы, сценарии, техники и тактики, но так и не успели (хотя прошло 5 лет с момента прошлого проекта) до конца все продумать, четко и понятно донести до читателя.
Вот несколько свидетельств этому:
·        В методике нет четкого определения “угрозы БИ” и того на каком этапе она должна возникнуть в методике:
o   В пункте 3.4 в таблице 1 приводится перечень неких угроз (возможно ошибочно), которые определяются на этапе Определения возможных негативных последствий и выглядит так: Угроза = вид неправомерного воздействия + тип компонента
o   В пункте 6.8 угроза уже определяется по формуле УБИij = [источник угрозы; условия реализации, сценарий реализации угрозыj; негативные последствия]
o   На рисунке 11 угроза уже выглядит так: “Отказ в обслуживани и веб-приложения”, “Отправка заведомо ложных распоряжений от имени финансового директора”
o   В таблице 5 примеры угроз “угроза вывода из строя или хищения машинного носителя информации”, “ угроза отказа в обслуживании путем отправки специально созданного TCP-пакета”
o   В пункте 7.10 угроза = ID (из БДУ) + наименование (из БДУ) + описание (из БДУ) + сценарий реализации угрозы + уровень опасности
o   Ну и наконец в БДУ угроза это = “Угроза аппаратного сброса пароля BIOS”, “Угроза привязки к поставщику облачных услуг”
·        Сценарий угрозы занимает важное место в новой методике. Но самого определения “сценария” там вообще нет.  В качестве примера сценария приведен рисунок 11 из которого вообще ничего не понятно читателю:
o   где именно там сценарий?
o   там один сценарий?
o   где там тактики, а где техники?
o   сценарий – это одна цепочка или все возможные цепочки?
o   предполагается что при описании угроз мы должны текстом дать описание всех сценариев реализации угрозы – где хоть один пример текстового описания сценариев?
·        В соответствии с методикой, оператор должен определить все возможные сценарии реализации угрозы, но очевидно, что в худшем случае количество сценариев будет равно количеству всех возможных комбинаций техник и тактик, т.е. порядка=5*8*10*5*7*4*16*6*6*10. Не уверен, что МУ такое выдержит
·        Сейчас в БДУ некоторые угрозы выглядят совсем как техники
·        В БДУ сейчас 3 потенциала нарушителя, а в методике 4 возможных потенциала нарушителя
·        В методике есть данные, которые мы определяем, но далее они никак не используются (либо не указано как их нужно использовать), например:
o   Виды неправомерного доступа
o   Виды нарушителей
2.      Из видеоролика видно какой большой процент отдается на откуп экспертной оценке, без четкого объяснения, как это сделать. То есть эксперты – вот вам задача, выкручивайтесь как хотите. Эксперты то выкрутятся, только каждый по-своему. А вот что делать не экспертам?
Как мне кажется разработчикам методики нужно постараться как можно больше анализа провести централизованно, так как каждый такой анализ, сэкономит трудозатраты миллионам операторов.
Например, как можно было бы снять нагрузку с пользователей методики:
·        Дать максимально полный перечень возможных компонентов систем
·        Дать подсказки / формулы, как пользователям методики определить актуальные цели нарушителей исходя из характеристик и типов возможного вреда
·        Убрать необходимость определения потенциала нарушителя для каждой цели отдельно – это лишнее усложнение. Достаточно зависимости потенциала нарушителя от вида нарушителя.  
·        Дать подсказки / формулы, как пользователям методики определить, актуальны ли для них те или иные техники и тактики (в зависимости от характеристик систем, видов доступа и видов нарушителей, потенциала нарушителя)
·        Разработать и добавить в БДУ типовые сценарии реализации угроз. Пусть пользователи выбирают из готовых современных сценариев
3.      Очевидно, что методику необходимо улучшать и дорабатывать, но и затягивать с её утверждением не стоит. Поэтому, хорошо бы сразу ввести версионность методики, заявить о том, что она будет регулярно улучшаться и о том, что при моделировании угроз необходимо указывать по какой версии методики и какой версии БДУ было проведено моделирование.


Комментарии

Комаров Валерий написал(а)…
а зачем спешить с ее принятием? Почему сначала не подготовится в комплексе. Нам ведь и БДУ обещают поменять. И Лютиков обещал централизованное обучение специалистов по использованию новой методики. Я считаю, что стоит сначала все подготовить и потом уже вводить основной документ в действие. Проект методики пока очень сырой. Рано еще принимать в таком виде.
Сергей Борисов написал(а)…
@Комаров Валерий: потому что доводить до совершенства можно бесконечно. К этому времени концепция опять может поменяться и методики мы не увидим вообще.
Австралийский ISM например каждый месяц обновляется, но это не мешает его успешно использовать
https://www.cyber.gov.au/ism/ism-archive

Поэтому надо исправить ляпы, ошибки, явные недостатки и синхронизировать с БДУ - и делать первый релиз. А дополнительные улучшения можно будет потом добавлять.
Комаров Валерий написал(а)…
так может сначала с концепцией определится? если у нас сквозняк на стратегическом уровне обеспечения ИБ, то толку от спешки на уровне методик?
Замечания верные, но вот на "версионноить" рассчитывать не приходится: вспомните, сколько лет писали эту версию. Новой версии мы не дождемся, да и денег на это уже никто не даст: деньги потрачены еще в 2015 году.

Так что на практике народ будет покупать у подсуетившихся лицензиатов гору бумаги под названием "Модель угроз" и после неудачной попытки понять, что в ней написано, будет делать систему ЗИ без всякой связи с "моделью".
Unknown написал(а)…
Интересно, разработчики методики пытались применить? Или это специально заказ с Америки, чтоб окончательно завалить всех бумагами не имеющими ничего общего с реальностью, в надежде что программисты вместо программ будут писать модели? Это даже на методику не похоже, похоже что авторы даже не додумались посмотреть как в ГОСТах старых пишется и историю не изучали. В методике должно быть все конкретно написано! А не бешеная вариативность. А ещё по принципу сейчас выпустим, а там на практике допилим в безопасности не работает, это эквивалентно: сейчас на ошибки закроем глаза, потеряем важные закрытые данные, а потом исправим и скажем нашли ошибку молодцы исправили.
Сергей Борисов написал(а)…
Я думаю что Positive Technologies наверняка применяли подобный анализ сценариев атак в рамках пентестов и других услуг. Да и сам анализ TTP уже не редкость.
Но одно дело, когда такой анализ делался в свободной форме, другое дело когда его формализовали. Думаю что на реальных системах эту методике досконально не отрабатывали.
Сергей Борисов написал(а)…
Я верю в версионность и постоянное улучшение. С первого раза, как мне кажется не получится сделать ...
Putri Adiratnaa написал(а)…
Можност за заем понуден од г-дин, Бенџамин што го спасува моето семејство од финансиски обврзници {Lfdsloans@outlook.com

Здраво на сите, јас сум самохрана мајка од Путри Адиратна од Jakакарта, би сакал да го споделам ова одлично сведоштво за тоа како добив заем од г-дин, Бенџамин, кога бевме истерани од нашиот дом кога веќе не можев да ги плаќам сметките, се измамени од разни компании преку Интернет и негираше заем од мојата банка и некои други кредитни сојузи што ги посетив. Моите деца беа згрижени за згрижување, сите бев сам на улица. Денот кога срамно влегов во еден стар училишен колега, кој ме запозна со Дејзи Морин. Отпрвин told реков дека не сум подготвена да ризикувам повеќе да барам заем преку Интернет, но таа ме увери дека ќе добијам заем од нив. На втора мисла, поради мојата бездомност морав да пробам и да аплицирам за заем, за среќа за мене добив заем од $ 80,000,00 од г-дин, Бенџамин. Среќна сум што го презедов ризикот и аплицирав за заем. Моите деца ми беа вратени и сега јас поседувам дом и сопствен бизнис. Сета благодарност и благодарност им помага на г-дин, Бенџамин што ми даде значење во животот кога ја изгубив целата надеж. Ако моментално барате помош за заем, можете да ги контактирате преку: {Lfdsloans@outlook.com WhatsApp + 1-989-394-3740.

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

КИИ. ОКВЭД vs 187-ФЗ

Модель угроз безопасности клиента финансовой организации