Позавчера я рассмотрел проект методики моделирования угроз, а сегодня хочу систематизировать то, что мне в проекте методики не понравилось или не хватило:
- Мне показалось ограниченной привязка к классической триаде "конфиденциальность-целостность-доступность". Даже в документах ФСБ по персданным от 2008-го года говорилось о большем количестве свойств информации, которые надо обеспечивать в рамках ИБ. За рамки триады выходит и ГОСТ Р ИСО/МЭК 13335, которые не ограничивается только КДЦ, но также упоминает подотчетности, аутентичность и т.п. Правда, надо признать, что спор о том, все ли можно свести к триаде или нет, - старый. Мы его еще в 2012-м году в блоге вели . Но я остаюсь при своем мнении - триадой все не ограничивается и есть угрозы, которые выходят за ее рамки.
- Технократичность методики является следствием ее привязки к триаде. Допустим, приход регулятора, просроченный сертификат, отсутствие лицензии ФСБ на деятельность в области шифрования, внесение изменений в аттестованный объект информатизации, снижение бюджета на ИБ, сокращение персонала отдела защиты информации... По мне, так это все угрозы, которые попадают в поле зрения специалиста по ИБ и, зачастую, они даже более важны, чем угрозы КДЦ. Но в методику они совсем не попали. Причина этого, конечно, понятна, но все-таки оставляет чувство некоторой незавершенности.
- Меня смущает отсутствие примеров. И хотя формализм - это традиция в документах ФСТЭК, хотелось бы увидеть большее число примеров, чем в текущем варианте. В конце концов мы говорим о методическим документе, а не бюрократическом приказе. Задача методички - разъяснить и показать "как надо", а это сложно сделать без примеров. Примеры сильно улучшили бы текст методички.
- Отсутствие нумерации. Когда Банк России выпускал 5-ю редакцию своего СТО, он переиграл почти всю нумерацию и те, кто делал маппинг из требований СТОv4 в другие стандарты и требования вынуждены были все переделывать заново. В методике ФСТЭК другая проблема - полное отсутствие сквозной нумерации. Очень сложно ссылаться на разделы такого документа.
- Отсутствие иллюстраций. Понятно, что в ФСТЭК нет выпускников Строгановского училища, но хотя бы блок-схемы типовой информационной системы и каналов/векторов реализации атак на нее, не помешали бы.
- Коль скоро мы говорим о методичке, которая призвана снизить число ошибок при моделировании угроз, то неплохо было бы в приложение включить список типичных ошибок при составлении списка актуальных угроз. Тем более, что у ФСТЭК этот список есть - они его представляли на своей конференции. Почему бы не включить? Лишним он точно не будет.
- Но, пожалуй, самое серьезное нарекание у меня вызывает итоговая таблица 8, которая, собственно, и отделяет актуальные угрозы от неактуальных. У меня такая же претензия было 7 лет назад, к прошлой методике определения актуальных угроз. Неравномерно в матрице/таблице проходит граница между актуальными и неактуальными угрозами; неравномерно. Число актуальных угроз явно завышается и делается это специально. В причины я вдаваться не готов - мне они понятны, хотя я их и не разделяю.
По сути, каких-либо серьезных претензий к проекту документа у меня нет. Все мои замечания касаются скорее удобства пользования им.