Доклад Елены Борисовны Торбенко из 2-го управления ФСТЭК стал для меня неожиданностью по нескольким причинам. Во-первых, нечасто от регулятора в области ИБ выступает представительница прекрасной половины человечества :-) Во-вторых, ФСТЭК поделилась своим опытом по анализу присланных им в 2014-м году моделей угроз и выделила типовые ошибки, которые посоветовала не повторять. Такое бывает не часто - регуляторы обычно говорят, что надо делать, но редко говорят как. В-третьих, ФСТЭК признала, что далеко не все модели согласовываются - больше половины отправляются обратно на доработку. В итоге у меня сложилось впечатление, что процедура это явно непростая.
В 2014-м году было рассмотрено свыше 60 моделей угроз - преимущественно от госорганов. Модели от коммерческих организаций ФСТЭК не рассматривает, исключая госкорпорации.
Отдельно было отмечено, что согласование моделей угроз - процедура необязательная; в отличие от согласования актуальных угроз безопасности ПДн, как это предусмотрено в части 5 статьи 19 ФЗ-152. На эту тему была большая дискуссия, касающаяся терминологии. В законе нет ни слова про моделирование угроз - говорится только о перечне актуальных угроз, которые госорганы должны согласовать с регуляторами (ФСТЭК и ФСБ). Поэтому госорганы часто направляют в ФСТЭК просто перечень угроз на 1-2 страничках и ФСТЭК обязан их согласовать. А вот обязанность заниматься моделирование угроз установлена в 17-м приказе ФСТЭК - она действует только для госорганов. Модель угроз для операторов ПДн является рекомендательной и согласовывать ее не надо. А вот для операторов АСУ ТП методика моделирования еще будет писаться - единая методика для этой задачи не подошла. Если резюмировать, то перечень актуальных угроз ПДн (не типов) может составлять только госорган и... (как написано в ч.5 ст.19 ФЗ-152), а вот модель угроз (почувствуйте разницу) может составлять кто угодно - это не запрещено.
Как я уже написал выше, согласовывают далеко не все, - в 2014-м году согласовали менее половины всех моделей угроз и тому есть немало причин, которым и был посвящен доклад Елены Торбенко.
Самая важная ошибка, которую допускают заявители - отсутствие описания структурно-функциональных характеристик информационной системы. Иными словами, ФСТЭК хочет сама убедиться, что вы учли все особенности защищаемой системы. Для этого и нужно к модели (или делать ее частью модели) прикладывать описание (паспорт) информационной системы, включающий в себя:
- структуру ИС
- состав ИС
- взаимосвязи между сегментами ИС
- взаимосвязи с другими ИС и ИТКС
- условия функционирования ИС.
ФСТЭК специально уточняет, что не надо отправлять подробный и многостраничный отчет о проведенном аудите или обследовании ИС - нужно только резюме из него. В противном случае время на рассмотрение модели только увеличится.
Вторая ошибка, которая и вызвала мое удивление, - рассмотрение не всех угроз, связанных с особенностями используемых технологий. В качестве примера была приведена технология виртуализации, для которой не учитываются большое количество угроз:
По сути ФСТЭК подменяет специалистов госоргана и берет на себя ответственность за оценку того, какие угрозы для вас актуальны, а какие нет. Смело, ничего не скажешь. Но если ФСТЭК удастся поддерживать эту инициативу на должном уровне, то это будет просто замечательно.
Третья ошибка заключается в неверном определении объектов защиты.
Следующие четыре ошибки при моделировании связаны с элементами термина угроза:
- Не проводится анализ возможных источников угроз (нарушитель, вредоносная программа, аппаратная закладка и т.д.). Обратите внимание! В новой методике моделирования немало внимания будет уделено оценке потенциала нарушителя (из ГОСТ Р ИСО/МЭК 18045).
- Не анализируются последствия от действий нарушителя. Многие по привычке оценивают только угрозы нарушения конфиденциальности, забывая про нарушение целостности и доступности.
- Не учитываются уязвимости, присутствующие в системе. Вообще ФСТЭК стал очень много внимания уделять именно уязвимостям и безопасности ПО. Так что стоит на этот момент обратить внимание.
- Неверное определение способов реализации угроз.
Восьмая ошибка заключается в забывчивости о необходимости пересмотра модели угроз в связи с внесенными в информационную систему изменениями.
Последние три ошибки связаны с:
- Использованием при моделировании угроз безопасности устаревшей нормативной правовой базы.
- Отсутствии перечней нормативных правовых актов, устанавливающих требования к информационной системе.
- Отсутствием единой терминологии.
С чем я не согласен, так это с тем, что модель угроз не должна содержать перечня защитных мер, направленных на нейтрализацию определенных в процессе моделирования угроз. Я как раз считаю, что перечень защитных мер должен быть именно в модели угроз, чтобы было понятно, зачем это моделирование делалось. Но в любом случае, нарушением это не считается.
Было интересное высказывание Виталия Сергеевича Лютикова, что они планируют разработать ряд типовых моделей угроз для распространенных систем и технологий. Но сроки не определены и боюсь, что учитывая другие планы по более приоритетным документам, до типовых моделей руки не скоро дойдут. Вот только если кто-то из экспертов предложит свои наработки...
ЗЫ. Зато хочу отметить, что почти все эти ошибки я рассматриваю в курсе по моделированию угроз :-)