Весной (уже далекого) 2015 года для общего доступа был опубликован проект новой методики определения угроз безопасности информации в информационных системах. Уже тогда многие специалисты обрадовались факту разработки ФСТЭКом такого документа, потому что даже 2 года назад было понятно, что старая связка документов «Методика определения…» и «Базовая модель угроз…» мягко говоря, слегка устарели. Но, несмотря на то, что на дворе уже июнь 2017-го, новая методика так и не утверждена и не опубликована. И это является серьезной проблемой, дальше попробую объяснить почему.
Сначала рассмотрим, что же не так со старой методикой.
Для определения актуальности/неактуальности для каждой угрозы нужно определить ряд параметров. Одни из них являются глобальными (одинаковые для разных угроз), другие – локальными (варьируются от угрозы к угрозе). Одним из таких глобальных параметров является коэффициент исходной защищенности (Y1). Определяется этот парень следующим образом: у нас есть семь технических и эксплуатационных характеристик информационной системы, для каждой из них есть несколько вариантов, из которых нужно выбрать только один. Выбранный вариант ответа соответствует низкому, среднему или высокому уровню защищенности. Далее мы подсчитываем количество «плюсиков» для низкого, среднего и высокого уровней защищенности и по методике определяем общий уровень исходной защищенности информационной системы. Начало этой таблицы выглядит так:
И уже по первой характеристике можно впасть в ступор в определенных ситуациях. Например, у нас есть организация с информационной системой, у которой есть филиалы в пределах города (или в других городах – тут это даже не суть важно), нам нужно выбрать вариант «распределенная» («городская») или «корпоративная распределенная»? Вроде подходит и то и другое, но уровень защищенности для распределенной и корпоративной распределенной – разный. А если у нас есть сотрудник с ноутбуком, который через VPN работает с базой данных? Вроде он обычно находится в пределах города, а если уедет за город? Какой вариант выбирать?
В общем, я думаю понятно, что данная таблица несколько устарела. С другими шестью характеристиками не легче. Кстати, в проекте новой методики есть нечто похожее и там уже учтены такие вещи как мобильные устройства, беспроводные каналы связи и т.д.
Другая проблема заключается в том, что старая методика привязана к информационным системам персональных данных. Так, например, одним из важнейших параметров, определяющих в итоге актуальность или неактуальность угрозы, является «опасность угрозы». Этот параметр напрямую привязан к возможному ущербу субъекту персональных данных в случае реализации угрозы. Окей, что же нам делать, если у нас государственная информационная система без персональных данных? Можно конечно привязаться к уровням значимости информации из классификации ГИС, но это костыли. А что делать, если система, для которой разрабатывается модель угроз, не классифицирована как ГИС и в ней нет ПДн? Тут опять ступор.
Но самое важное заключается в том, что ФСТЭК заставляет использовать свой банк данных угроз (БДУ) для моделирования угроз. Кто-то может спросить «а что не так с БДУ»? С БДУ все нормально, просто угрозы из него как раз-таки заточены под новую методику, которую никак не могут утвердить и опубликовать. Например, каждая угроза привязана к потенциалу нарушителя, а в старой методике нарушитель практически никак не участвует в процессе актуальности/неактуальности угрозы. Да и чем отличается нарушитель со средним потенциалом от нарушителя с высоким потенциалом описано довольно скудно. И только из проекта новой методики мы узнаем, что под нарушителем с высоким потенциалом понимаются недвусмысленно специальные службы иностранных государств (блоков государств). Да и в целом в проекте новой методики присутствует целое приложение с методикой определения потенциала нарушителя, жаль только что ею нельзя пользоваться.
Многие специалисты неоднократно сталкивались с такой ситуацией, когда берешь новые угрозы из БДУ, считаешь их актуальность по старой методике и угрозы, которые на интуитивном уровне должны быть актуальными получались неактуальными (и наоборот). Каждый в такой ситуации действует по-разному: кто-то оставляет все как есть, мол, методика есть методика, кто-то «подгоняет» коэффициенты под нужный результат. В любом случае, чего мы точно не можем делать — это пользоваться новой методикой по проекту документа, т.к. он не имеет официального статуса. К тому же, ходят слухи, что в этот проект уже внесли правок вагон и маленькую тележку. Надеемся, что утверждения и публикации документа осталось недолго ждать.