Посмотрел на новый проект методики моделирования угроз безопасности информации от ФСТЭК России . Документ интересен в качестве методического, из него можно взять много полезных идей и моделей (например, сам процесс моделирования угроз, примеры негативных последствий, виды нарушителей и их возможности, тактика нарушителей).
Но проблема в том, что предполагается, что он будет обязательным для широкого списка ИС:
"Методика определяет порядок и содержание работ по моделированию угроз безопасности информации, включая персональные данные, в информационных (автоматизированных) системах, автоматизированных системах управления, информационно-телекоммуникационных сетях, в том числе отнесенных к объектам критической информационной инфраструктуры Российской Федерации, в информационно-телекоммуникационных инфраструктурах центров обработки данных и облачных инфраструктурах, защита информации в которых или безопасность которых обеспечивается в соответствии с требованиями по защите информации (обеспечению безопасности), утвержденными ФСТЭК России в пределах своей компетенции."
И при этом "Разрабатываемые отраслевые (ведомственные, корпоративные) методики моделирования угроз безопасности информации не должны противоречить положениям настоящей Методики".
А стать единственной, универсальной и обязательной методикой данный документ не готов и вот почему:
1. Методика предлагает оценивать лишь часть угроз, намеренно убирая угрозы техногенного характера (они важны для оценки рисков объектов КИИ, особенно с точки зрения непрерывности деятельности) и угрозы, связанные с ТЗКИ (они особенно актуальны для гос.органов и, как бы, прямо следуют из перечня нарушителей). Кстати, перечень активов, на которые предполагается, что будет распространятся методика, тоже не полный...
2. В документе не определена сама цель моделирования угроз. Вроде бы после такого анализа надо переходить к принятию решения о том, что с ними делать (принимать, передавать, снижать, избегать) и, в частности, к выбору и внедрению дополнительных мер защиты. Но этой важной части (сути/цели всего анализа) я не увидел, особенно странно, что этих пунктов нет в Приложении 3 с описанием структуры отчета по анализу угроз. Я опасаюсь того, что модель будет разрабатываться только ради наличия самого документа, а не для помощи в проектировании системы ИБ... Кстати, тут можно было бы еще попросить сделать связку угроз с мерами из других Приказов ФСТЭК России (17/21/31), но я понимаю, что это не реально...
3. Предполагается, что методический документ должен применяться совместно с банком данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru), но эта взаимосвязь, к сожалению, только декларируется, но не приводятся примеры как это делать на практике. И зачем это надо делать, кстати, тоже...
4. Методика настолько универсальная, что в ней легко "закопаться", например, не понятно насколько глубоко и детально надо анализировать связи элементов ИТ-инфраструктуры. По хорошему, нужны примеры уже готовых моделей угроз. Без этого будет трудно понять необходимую степень детализации модели, которая устроит и регулятора и владельца оцениваемой системы.
5. Приложение 3 с описанием структуры отчета по анализу угроз выглядит очень поверхностным и недоработанным. Это нас возвращает к проблеме №2 (а зачем все это надо) и проблеме №4 (покажите как надо). Хотелось бы чтобы приложение соответствовало своей цели и было представлено исходя из практики применения...
Итого, что хотелось бы поправить:
- Желательно сделать документ методическим (рекомендательным, а не обязательным), хотя бы на ближайшие годы...
- В явном виде указать цель моделирования угроз и актуализировать методику (и формат отчета) с этой целью.
- Подготовить примеры модели угроз для нескольких типов ИС (локальная, распределенная, облачная).
Ну, а, в целом, документ получился довольно полезным. Его уже сейчас можно использовать для анализа угроз безопасности...
