четверг, 16 апреля 2020 г.

Проект методики по моделированию угроз от ФСТЭК



    Как говорится, дождались. ФСТЭК опубликовала проект Методики моделирования угроз для экспертного обсуждения. Замечания и предложения принимаются до 30 апреля 2020 года согласно https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2071-informatsionnoe-soobshchenie-fstek-rossii-ot-9-aprelya-2020-g-n-240-22-1534

   Документ очень важный и основополагающий в обеспечении защиты информации, так что текста будет много.
   Общее впечатление: сырой документ, сделанный "на коленке". Причина срочности понятна, близится завершение категорирования ОКИИ в госучреждениях и предстоит массовое выполнение требований 239 приказа ФСТЭК. Без моделирования угроз никак,что создает неудобные вопросы к регулятору.
     Теперь более детально.
1. Основная задача Методики - "Методика определяет порядок и содержание работ по моделированию"!
Как это выглядит в теории?

   Безопасник в организации получил документ, по которому он сможет выстроить процесс в организации.
  Приступим.
   1. Безопасник готовит приказ о создании в организации экспертной группы (минимум 3 человека), а так же рабочей группы/комиссии по моделированию угроз с участием, в том числе подразделений и специалистов, ответственных за эксплуатацию систем и сетей (ИТ-специалистов), а также основных подразделений обладателя информации и оператора. 
       Из тексте Методики непонятно:
- экспертные группы создаются вне комиссии по моделированию или могут включать членов комиссии в свой состав? 
-  если оператор и обладатель информации разные организации, то они создают какой то коллегиальный орган по моделированию? "основных подразделений обладателя информации И оператора".
    Вот с экспертными группами все однозначно указано.
   В состав экспертной группы для моделирования угроз безопасности
информации рекомендуется включать экспертов (независимо от того,
реализуются ли функции обладателя информации, заказчика и оператора в рамках
одной или нескольких организаций):
-от подразделений обладателей информации, содержащейся в системах и
сетях;
-от подразделений оператора;
-от подразделения по защите информации (обеспечения безопасности);
-от лиц, предоставляющих услуги или сервисы;
-от разработчиков систем и сетей;

-от операторов взаимодействующих систем и сетей.
    Вот  радость для безопасника - ему теперь согласовать, организовать и всем этим цирком управлять! Еще и куча ограничений - не должны быть в прямом подчинении и т.д. И никакой лицензиат в этом ему не поможет, это процедура полностью на стороне заказчика. 

   2. Безопасник разрабатывает "анкеты, в которой указываются вопросы и возможные варианты 
ответа в единой принятой шкале измерений («низкий», «средний», «высокий» или
«да», «нет» или иные шкалы). При этом вопросы должны быть четкими и
однозначно трактуемыми, предполагать однозначные ответы.". 
   А ответить эксперты должны на следующие вопросы:
а) негативные последствия от реализации угроз безопасности информации;
б) цели реализации угроз безопасности информации, категория, виды и
возможности нарушителей;
в) условия реализации угроз безопасности информации;
г) сценарии действий нарушителей при реализации угроз безопасности
информации;

д) характеристики опасности угроз безопасности информации.

    Авторы Методики, вы хоть представляете квалификацию безопасника, который должен такую задачу выполнить? Мало хорошо знать ИБ, еще и грамотностью и словесностью какой надо обладать, что бы непрофильные специалисты из экспертной группы однозначно поняли вопрос и ответ.  Где примеры типовых анкет? 

    Для ГИСов вообще все печально. МУиН подлежат обязательному согласованию в ФСТЭК. 
И что делать, если экспертная оценка конкретного сотрудника ФСТЭК  не совпала с экспертной оценкой оператора ГИС? 
    Вариант только один и о нем говорил В.С. Лютиков на ТБ-форуме 2020
   Единая учебная программа для применения данной методики на базе ФСТЭК.
   Работник оператора, работник лицензиата и  сотрудник ФСТЭК должны пройти единообразное обучение. Только после этого допускаться к моделированию и согласованию моделей.
   По уму, моделирование необходимо включать в лицензию как отдельный вид деятельности, но это сложно из-за бюрократии. Менять все приказы ФСТЭК и ПП676, что бы моделирование попало в деятельность по моделированию еще сложнее. 
    Предложение - прописывать в Методику, что моделирование проводит специалист прошедший повышение квалификации по типовой программе ФСТЭК  "моделирование угроз". Соответственно разрабатывать эту программу и методические материалы, внедрять в учебные центры.
    3. Безопасник думает о привлечении стороннего исполнителя. Методика это допускает, но вводит ограничение на наличие лицензии ТЗКИ.
    Тут есть юридическая проблема. Перечень лицензируемых видов деятельности установило Правительство, а не ФСТЭК. Моделирование угроз в нем не упоминается. Наиболее частый аргумент от оппонентов, что моделирование -это составная часть проектирования, которая лицензируется. Однако, если посмотреть на 17/239 приказ ФСТЭК и ПП676, то увидим - это разные этапы работ. НЕ входит моделирование в проектирование и требование в Методике противоправное, ограничивающее предпринимательскую деятельность.
   4. Ужасная терминология в Методике. Мало нам отсутствия гармоничности в понятийном аппарате в действующей документации, решили добавить словечки из профессионального жаргона. Не надо усугублять ситуацию в "зоопарке" терминов ИБ. Если так хочется использовать "скрипты", "дефесингы", "эксплойты" и т.д., ну есть же приложение к Методике №1. Хотя  с теми определениями, которые авторы дали, вопросы возникают. 
Информационные ресурсы: данные, информация, процессыинформационные (автоматизированные) системы, информационнотелекоммуникационные сети, сайты в сети Интернет, входящее в состав системы или сети.
  Что за процессы? зачем к ресурсам отнесли ИС и ИТКС? из-за 187-ФЗ? "входящее" к чему относится? ИС входящее в состав системы, это про что?
   5. Какое отношение к моделированию угроз  имеет рекомендация "Если поставщик услуг не определил угрозы безопасности информации для информационно-телекоммуникационной инфраструктуры центра обработки данных (облачной инфраструктуры), размещение на базе такой инфраструктуры систем и сетей не рекомендуется"? Это предмет соответствующих приказов, а не Методики моделирования угроз.
   6. Почему "Процессом моделирования угроз безопасности информации должны быть
охвачены все информационные ресурсы и компоненты систем и сетей,
составляющих информационную инфраструктуру обладателя информации и
(или) оператора, неправомерный доступ к которым или воздействие на которые
может привести к негативным последствиям"? И  как это стыкуется с областью действия Методики "1.2. Методика определяет порядок и содержание работ по моделированию
угроз безопасности информации, включая персональные данные, в
информационных (автоматизированных) системах, автоматизированных
системах управления, информационно-телекоммуникационных сетях, в том числе
отнесенных к объектам критической информационной инфраструктуры
Российской Федерации, в информационно-телекоммуникационных
инфраструктурах центров обработки данных и облачных инфраструктурах,
защита информации в которых или безопасность которых обеспечивается в
соответствии с требованиями по защите информации (обеспечению
безопасности), утвержденными ФСТЭК России в пределах своей компетенции
(далее – системы и сети)."

   И это только структурные/системные замечания, ситуация с собственно моделированием не лучше.
   7. Почему базовый нарушитель Н1 имеет возможность реализации угроз на физически
изолированные сегменты систем и сетей, а продвинутые Н2 и Н3 нет?
   8. Зачем мы определяем внутреннего и внешнего нарушителя, если это потом не используется в расчетах? Как внутренний нарушитель не имеет потенциала к реализации угроз на физически изолированные сегменты систем и сетей?
 и т.д.

   Замечаний и предложений несколько десятков по Методике. Детализировать в блоге не вижу смысла, в ФСТЭК направил по установленной форме.
  Подробный анализ Методики сделали и другие блогеры:


  https://sborisov.blogspot.com/2020/04/blog-post_14.html  

P.S. Заинтересовал такой момент в Методике.
2.1. Целью моделирования угроз безопасности информации является
выявление совокупности условий и факторов, которые приводят или могут
привести к нарушению безопасности обрабатываемой в системах и сетях
информации (нарушению конфиденциальности, целостности, доступности,
неотказуемости, подотчетности, аутентичности и достоверности информации и
(или) средств её обработки), а также к нарушению или прекращению

функционирования систем и сетей.
  Неотказуемость информации -это область применения ЭП. А это всегда была вотчина ФСБ. Ранее ФСТЭК не оперировала таким свойством защищаемой информации. Для ГИС в ЗИС.12/13 речь шла несколько о другом, но реализовалось все равно через ЭП (усиление). 

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite

8 комментариев:

  1. Квалификация регулятора вызывает вопросы. 12 лет профессиональное сообщество ждёт улучшений в процедуре моделировании угроз (оценке рисков), столько за это время обсудили, сколько было предложений. Прогресс есть, но ожидаемого результата так и нет. Эта песня будет вечной?

    При этом на местах уже применяют прошлые проекты методики за неимением другого. Прежде всего для того чтобы согласовать модель со ФСТЭК. Бюрократический сюр.

    При всей серьёзности ситуации все эти действия не сильно повышают реальный уровень защищенности. Просто методика становится сложнее, бумажной работы больше, специалистам на местах проблем ещё больше.

    Главная проблема всего этого моделирования - оно про ретроспективу, мы готовимся к прошедшей войне. Завтра появится новая угроза, её в принятых моделях нет. Означает ли это, что все модели должны быть немедленно пересмотрены? По логике да, а на практике? Сколько лет пройдёт со всей этой бюрократией, когда появится реакция хотя бы в виде новой модели на местах? Год точно. Автоматизации никакой, всё на бумажках и счётах. За 12 можно было сделать софт, который это моделирование автоматизирует... Хотя о чём я, мы же 12 лет только саму методику обсуждаем. В следующем столетии может и до софта дело дойдёт.

    ОтветитьУдалить
    Ответы
    1. Про автоматизацию вопрос задавался Лютикову на ТБ-форуме. Ее даже не планируют.С учетом его слов, что сама концепция моделирования несколько раз менялась за прошедший год, все очень печально.

      Удалить
  2. "Хотели как лучше..."

    На практике будет очень просто: большинство субъектов будут покупать МУ у лицензиата (или даже не у лицензиата, выдавая ее за свою), и далее МУ просто будет лежать мертвым грузом. Система защиты будет строиться практически вне связи с "правильной" МУ.

    При такой методике разработка МУ превращается в самоцель. Самое обидное, что серди сотрудников регулятора найдется очень мало таких, кто сможет хотя бы объяснить, как сей методикой пользоваться.

    ОтветитьУдалить
    Ответы
    1. По моей личной оценке, не более четверти лицензиатов смогут что то изобразить с МУиН.

      Удалить
    2. Ознакомился чисто по формальным признакам, практически не вникал в содержание, в результате пришел к умозаключениям и одному предложению
      И так:
      1. п. 1.2 Методики определяет порядок и содержание работ … . Порядок работ, если постараться, то можно отыскать. Кстати в тексте слово «порядок» встречается три раза, один раз в содержании, другой раз в рассматриваемой статье, другой раз в названии раздела. Как можно описать порядок, не используя термина? Что касается «содержания», тоже три раза встречается по тексту. Причем, учитывая ориентацию методики на выявление (тоже не нашло отражение по формальным признакам – термин 4 раза встретился в декларативных статьях) и оценку антропогенных угроз … , я ожидал, что увижу, как минимум: Порядок и содержание работ по выявлению антропогенных угроз. Порядок и содержание работ, по оценке антропогенных угроз. Порядок и содержание работ по экспертному оцениванию и обработке результатов. Увидеть не удалось?
      2. Учитывая, что это методический документ (методика), то в отличии от стандарта, который чаще отвечает на вопрос: «Что»? Методика должна отвечать на вопрос: «Как»? Про «как»? я ничего практически не увидел.
      3. Не понятно о каких системах и сетях идет речь? Может о компьютерных, сетях связи? В той же 1.2 промелькнуло «… в информационных (автоматизированных) системах, автоматизированных системах управления, информационно-телекоммуникационных сетях, в том числе …». Ну написали бы – далее пот тексту – системы и сети. Потом по тексту идет системы и сети. Какие? Так и не определен предмет моделирования, ограничения. Я не умею строить без этого, основного, модели.
      4. В конечном счет не понятна какой тип модели должен получиться в результате указанных деяний (порядка и содержания работ), математическая, вербальная, натурная, имитационная, статистическая, экспертная, могу еще перечислять. Дак какая? Или совокупность моделей?
      5. Кому эта модель, в том виде, котором она предлагается, принесет счастье? Я думал, что лицу, принимающему решение по обеспечению защиты информации при распределении скудных сил и средств, выделенных на защиту информации. Если бы я был ЛПРом, а я побывал таковым, я бы заплакал. Скорее она нужна регулятору, чтобы было что проверять. Так? Опровергните мое суждение.
      6. Про логику изложения, содержание речь вести пока преждевременно, нужно устранить сквозняк на целевом, формальном и терминологическом уровнях. Например, встречается выражение: «…Результаты оценки ущерба (рисков)…». Автор считает это синонимами? Ну, ну?
      7. Хотя бы техническому и литературному редакторам показали текст. Хотя их сегодня с огнем и пряником ни ночью ни днем не отыщешь.

      Удалить
    3. вы правы.Самое грустное, что ФСТЭК не стесняется выкладывать проекты документов такого качества в публичное поле.Большинство таких замечаний должно было быть устранено на уровне начальника отдела. Утеряна культура разработки документов. И так сойдет.

      Удалить
  3. Студент по разработанной математической модели подготовил специализированное программное средство для обработки экспертных заключений, с оценкой согласованности мнений, ьс возможностью проводить дистанционный экспертный опрос. Я к приложению 2. Кому из ФСТЭКа это предложить? Готов выложить исполняемый файл. Всю идею пока не готов, так как оформляем авторство в Роспатенте.

    ОтветитьУдалить
  4. Направьте официальное письмо от организации с предложением в ФСТЭК России.

    ОтветитьУдалить