На сайте ФСТЭК России появились проект документа " Методика определения угроз безопасности информации в ИС " и соответствующее ему информационное сообщение . Не знаю как вы, но я уже давно его ждал!
"ФСТЭК России предлагает специалистам в области информационной безопасности заинтересованных органов государственной власти и организаций рассмотреть проект методического документа и направить предложения по указанному проекту на адрес электронной почты methodoubi@fstec.ru до 10 июня 2015 г."
Я обратил внимание, что с каждым годом коллеги из ФСТЭК России выпускают все более качественные документы. И это радует! Сейчас я по диагонали пролистал представленный методический документ и, на первый взгляд, он оказался очень неплох (хорошая структура документа, отсутствуют откровенные "ляпы", неплохо проработаны общие моменты и процедура оценки). Почитаю его повнимательнее, сделаю майндкарту и попробую пройтись по шагам процедуры, может что-то "накопаю", но уже сейчас обратил внимание на следующие моменты (хорошие, и не очень):
- Документ верхнеуровненвый, конкретных рекомендаций и примеров по составлению списка угроз и оценке их актуальности мы в нем не найдем. Но это скорее плюс .
- "В качестве исходных данных об угрозах безопасности информации и их характеристиках используется банк данных угроз безопасности информации, сформированный и поддерживаемый ФСТЭК России" (ubi.fstec.ru). Это хоть и декларируется, но механизм такой процедуры не описан, и, судя по составу угроз в банке данных и их описанию, у разработчиков модели угроз могут быть сложности по "скрещиванию" методики и банка угроз. Жаль, что пример оценки не привели.
- Методический документ используется для оценки угроз информации в ГосИС и может быть применен и для ПДн, при этом методика не распространяется на ГТ (об этом сказано в п.1 "общие положение"). Но почему-то нет отсыла к другим видам информации ограниченного доступа. Я даже не говорю про разные там "коммерческие" тайны или "банковские", я скорее удивлен отсутствию упоминания "служебной тайны" / ДСП. Да, с термином есть сложности, но основной пользователь документа - гос.органы, можно ли им использовать данный документ для защиты своей информации, не попадающей в ГосИС? Скорее да, но об этом явно не говорят...
- Кстати, а почему документ не распространяется на защиту информации на бумажных носителях? (про них не написано в п.3 а), хотя про физический доступ к ним можно было бы порассуждать):
"В зависимости от имеющихся прав доступа нарушители могут иметь легитимный физический (непосредственный) и (или) логический доступ к компонентам информационной системы и (или) содержащейся в них информации или не иметь такого доступа.
Анализ прав доступа проводится, как минимум, в отношении следующих компонент информационной системы: устройств ввода/вывода (отображения) информации; беспроводных устройств; программных, программно-технических и технических средств обработки информации; съемных машинных носителей информации; машинных носителей информации, выведенных из эксплуатации; активного (коммутационного) и пассивного оборудования каналов связи; каналов связи, выходящих за пределы контролируемой зоны."
- Есть некоторая путаница с понятиями "уязвимость", "факторы, обуславливающие возможность реализации угроз", "косвенные угрозы", которые в тексте подменяют друг друга.
- Есть рекомендации по пересмотру (переоценке) угроз. Причем написано конкретно про периодичность - "не реже одного раза в год", И это праильно! Но при этом есть и минус (то о чем не говорят), а именно, почему-то не упоминается цель такого пересмотра - постоянное совершенствование системы ИБ. Странно, получается пересмотр ради пересмотра.
- Обратил внимание, что в документе очень много текста про модель нарушителя, представлены различные таблицы и описание мотивов и возможностей нарушителей. В целом, полезного много, но есть и небольшие методологические проблемы. Смотрите, дается такое описание:
"С учетом наличия прав доступа и возможностей по доступу к информации и (или) к компонентам информационной системы нарушители подразделяются на два типа:
внешние нарушители (тип I) – лица, не имеющие права доступа к информационной системе, ее отдельным компонентам и реализующие угрозы безопасности информации из-за границ информационной системы;
внутренние нарушители (тип II) – лица, имеющие право постоянного или разового доступа к информационной системе, ее отдельным компонентам"
- При этаком подходе не понятно, куда относить таких видов нарушителей, как "бывшие работники" (они сейчас за границами ИС, но имели разовый доступ), а "работники организации, не имеющие доступа к ИС и ее отдельным компонентам" при таком подходе будут внутренними или внешними нарушителями? Вроде приведено пояснение в таблице 1, но она вызывает и другие вопросы, в частности "спец.службы" рассматриваются как внешний и как внутренний тип нарушителя, но почему так не рассматривают и "конкурентов" не понятно...
- Вполне правильная идея про оценку вероятности угроз. Предлагается ее брать на основе анализа статистических данных о частоте реализации угроз. Но если таких данных нет, то проводится оценка возможности реализации угрозы по несложной формуле. Вроде все верно, но надо попробовать.
- Хорошо, что осталась часть про "структурно-функциональные характеристики ИС и условия ее эксплуатации", которая нам знакома еще с модели актуальных угроз ПДн. Простая и понятная часть оценки угроз.
- Жаль, что нет конкретных рекомендаций по расчету возможного ущерба, лишь общие идеи. Кстати, в начале документа упоминается про расчет возможного ущерба для субъектов ПДн (мы все ждем методику еще из-за появления похожих положений в 152-ФЗ), но рекомендации в итоге "зажали".
- Удобно и приятно, что большие и не важные блоки вынесены в приложения. Работать с документом так намного удобнее.
Итого, на первый взгляд, я документом скорее доволен. Мои мысли и замечания носят скорее косметический характер. Надо будет попробовать провести оценку по шагам и уже только после этого готовить замечания и предложения. Напоминаю, что их от нас ждут до 10 июня...