Возможные перемены в методике ФСТЭК России по моделированию угроз безопасности

Возможные перемены в методике ФСТЭК России по моделированию угроз безопасности

Моделирование угроз никогда не было быстрым и удобным процессом. В связи с этим инициатива ФСТЭК по предоставлению инструмента автоматизации оказалась закономерной идеей. Однако сам инструмент имел много отличий от изначально утверждённой методики моделирования угроз. Оценим, насколько серьёзны эти изменения и что они могут с собой принести.

 

 

 

 

  1. Введение
  2. Алгоритм методики ФСТЭК России от 5 февраля 2021 года
  3. Алгоритм нового инструмента автоматизации
  4. Немного об инструменте для моделирования угроз
  5. Плюсы и минусы новой методики
  6. Выводы

Введение

В феврале 2021 года ФСТЭК России утвердила методику по оценке угроз безопасности информации. В мае 2022 года ведомство опубликовало новый инструмент для моделирования угроз, расходящийся с этой методикой во многих аспектах.

Рассмотрим основные алгоритмы нынешней методики и представим логику «под капотом» инструмента, чтобы оценить возможные преимущества и недостатки нового подхода.

Алгоритм методики ФСТЭК России от 5 февраля 2021 года

Материалов о самой методике написано уже весьма много. Но для понимания работы нового инструмента нужно рассмотреть методику с точки зрения формирования алгоритма и провести некоторые параллели.

Для начала обозначим основные термины:

  • Словарь — перечень элементов одной категории. В качестве примера можно привести перечень объектов воздействия, которые рассматриваются в одной плоскости.
  • Справочник — перечень, который задаёт соответствие между двумя словарями (например, объектов воздействия и интерфейсов), чтобы была возможность автоматизировать алгоритм. Такие сущности создаются вручную экспертным методом.

Основные шаги с точки зрения автоматизации представлены на иллюстрациях.

 

Рисунок 1. Шаг первый: определение последствий

Шаг первый: определение последствий

 

Рисунок 2. Шаг второй: определение объектов воздействия

Шаг второй: определение объектов воздействия

 

Фактически шаг 1 и шаг 2 представляют собой ручную проверку актуальности содержимого перечней, которая осуществляется экспертно. Дальше объекты сопоставляются с помощью заранее подготовленных справочников.

 

Рисунок 3. Шаг третий: определение видов последствий относительно объектов воздействия

Шаг третий: определение видов последствий относительно объектов воздействия

 

Рисунок 4. Шаг четвёртый: определение актуальных нарушителей

Шаг четвёртый: определение актуальных нарушителей

 

Рисунок 5. Шаг пятый: определение интерфейсов относительно объектов воздействия

Шаг пятый: определение интерфейсов относительно объектов воздействия

 

Рисунок 6. Шаг шестой: сведение нарушителей и объектов воздействия

Шаг шестой: сведение нарушителей и объектов воздействия

 

Рисунок 7. Шаг седьмой: сопоставление всех сущностей для получения итоговой таблицы

Шаг седьмой: сопоставление всех сущностей для получения итоговой таблицы

 

На шаге 7 появляется перечень способов реализации, требуемый методикой. Здесь же нужно каждую угрозу безопасности информации (далее — УБИ) сопоставить тем же способом через соответствующие справочники со способами реализации, видами воздействия, объектами (связь с нарушителем представляется в БДУ ФСТЭК заранее).

На шаге 8 угрозы связываются с таблицей, полученной на седьмом шаге. Таким образом мы получаем возможные угрозы. Если для отдельной строки из таблицы шага 7 угроз найдено не было, то сочетание из таблицы следует исключить.

На шаге 9 техники сопоставляются с соответствующими способами реализации, видами воздействия, объектами, уровнем возможностей нарушителя и его категорией.

Белым пятном остаётся формирование сценариев из полученного перечня способов реализации угроз. Его можно сформировать заранее, абстрактно обозначив тактики, которые необходимы для сценария, или попробовать собрать все техники в некие точные цепочки угроз (kill-chain), что несоизмеримо дольше. В любом случае последние этапы определения актуальных угроз и их связь со сценариями являются слабым местом методики, поскольку их невозможно связать автоматически без значительного упрощения.

Алгоритм нового инструмента автоматизации

В связи с тем, что для инструмента моделирования угроз, являющегося частью нового Банка данных угроз безопасности информации, не было предоставлено какой-либо методики, анализ методологии можно проводить только в режиме «чёрного ящика». Рассмотрим только те пункты, где есть отличия от предыдущей версии.

На шаге 2 теперь производится связывание последствий с типами угроз безопасности информации.

 

Рисунок 8. Шаг второй: определение УБИ

Шаг второй: определение УБИ

 

Шаг 4 представляет собой детализацию отдельных объектов воздействия до программно-аппаратного уровня, но не является чем-то особенным. На этом этапе заданный заранее справочник «Объект/компоненты» актуализируется в соответствии с составом системы. Такой подход даёт возможность детализировать угрозы вплоть до компонентов, что позволяет в теории более конкретно подбирать меры защиты информации.

На шаге 5 можно выбрать актуальных нарушителей без каких-либо связей с информацией, которую внесли ранее. Такой подход приводит к выводу: ФСТЭК России в новой методике может отказаться от целей нарушителя (шаг 4 нынешней методики), которые до этого позволяли связать актуальные последствия с нарушителями. Это формирует пробел в методике: часть работ теперь можно осуществлять исключительно вручную, то есть оценить актуальность нарушителя может только сам эксперт. Кроме того, в новом перечне отсутствует разделение на внутренних и внешних нарушителей, в отличие от старой методики. Существенной роли разделение не играло, поскольку обосновать отсутствие сговора физически невозможно, но это приводило к тому, что внешний нарушитель сразу становился внутренним.

 

Рисунок 9. Шаг шестой: получение перечня актуальных УБИ

Шаг шестой: получение перечня актуальных УБИ

 

Последний шаг фактически позволяет связать всё заполненное ранее. Может показаться, что УБИ генерируются на ходу. Однако из-за того что порядковый номер УБИ не изменяется (УБИ.1.1.1 всегда остаётся таковой и может быть либо отражена в списке актуальных, либо нет, т. е. нумерация жёстко привязана к описаниям), можно сделать вывод, что перечень УБИ сформирован вручную.

Способы реализации угроз стоят особняком, поскольку повлиять на них невозможно. Представленные способы связаны при помощи отдельных справочников со следующими переменными:

  • уровень возможностей нарушителя,
  • типы УБИ,
  • компоненты объектов воздействия,
  • меры защиты.

Меры защиты, которые указаны для отдельной УБИ, формируются по пересечению актуального способа и типа УБИ. Это приводит к вопросу: планируется строить защиту системы от угроз или от способов их реализации? Сам перечень мер защиты информации красноречиво говорит о том, что методика в первую очередь предназначена для объектов критической информационной инфраструктуры, поскольку состав мер копирует приказ ФСТЭК России № 239 с детализацией отдельных мер.

К основным отличиям от старого подхода можно отнести:

  • низкую степень объективности в рамках определения нарушителя и возможных угроз;
  • отказ от явного сценарного подхода;
  • появление вполне явных требований к системе защиты информации на основании моделирования угроз.

В остальном логика моделирования соответствует нынешней методике, порой повторяя её почти дословно, что говорит скорее о попытке скорректировать существующую методику, чем о создании чего-то нового.

Немного об инструменте для моделирования угроз

Несмотря на то что инструмент неотделим от методики, у него есть ряд своих особенностей, которые стоит отметить.

  • Можно ли будет использовать инструмент в качестве однозначно корректного генератора моделей угроз, который однозначно будет ставить точку в вопросе правильного построения модели угроз? Если он будет способом произвести проверку уже разработанной модели, то его полезность невелика, поскольку объём ручной работы остаётся огромным. С другой стороны, если он будет таковым, то ему явно не хватает вывода в подходящем формате прочих промежуточных таблиц.
  • Предложенный перечень последствий соответствует нынешней методике от 5 февраля 2021 года, что закономерно приводит к дублированию последствий вида «Нарушение законодательства», «Нарушение штатного режима функционирования…» и «Причинение ущерба жизни и здоровью людей». Как его оценивать в отрыве от деления на «ущерб юридическому лицу» и «ущерб государству», неясно, поскольку даже по связанным с ними типам угроз они идентичны.
  • Позиция регулятора будет однозначна и лишена неверных трактовок относительно тех элементов, которые созданы с помощью инструмента. Это должно снизить число спорных моментов при согласовании модели и приведёт к унификации подходов при условии, что белые пятна методики будут устранены.
  • Появится возможность «на лету» обновлять модель угроз.

Плюсы и минусы новой методики

Если говорить о типах угроз, то остаётся непонятным, с какой целью производится наследование «несанкционированного доступа», который контекстуально включает в себя почти все остальные УБИ. Это не только усложняет классификацию, но и фактически порождает бессмысленный тип УБИ, который есть всегда и подразумевает под собой всё: от утечки до уничтожения. Также непонятно назначение УБИ.11 «Угроза несанкционированного массового сбора информации» при наличии УБИ.1 «Угроза утечки информации», в состав которой входит утечка любой информации, включая конфигурационную.

Непонятным становится выбор актуального нарушителя, который, судя по всему, потерял связь с последствиями, так что оценка его актуальности вновь становится экспертной. Эти элементы могут стать проблемой в попытке обосновать свою точку зрения при согласовании модели с регулятором.

Если данная методика заменит собой нынешнюю, то возникает вопрос по сопоставлению мер защиты из приказов ФСТЭК России № 21 и № 17 относительно мер зафиксированных в инструменте. В этом плане давно напрашивается унификация.

Также открытыми остаются вопросы связанные с детализацией компонентов объектов воздействия. Отдельно выделено ПО для проектирования и моделирования (что встречается весьма редко), однако нет инструментов администрирования СЗИ, которые встречаются повсеместно, и в нынешней методике их тоже следует рассматривать с точки зрения видов воздействия.

Радует, что больше не нужно формировать сценарии (kill-chain), которые хоть и были логичным способом уменьшить число актуальных УБИ, однако в практическом плане являлись неподъёмной задачей. Реализовать подобный подход не представлялось возможным ввиду числа техник, которые при попытке их сопоставления с объектом воздействия, видом реализации и способом реализации угроз превращали формирование модели угроз в излишне длительный процесс.

Не стоит недооценивать и возможность однозначно определять требуемые меры защиты информации, что позволит унифицировать подход парирования актуальных УБИ. Этот пункт вызывает вопрос: можно ли будет обосновать при помощи модели угроз, которая сформирована по данному инструменту, неактуальность тех или иных мер защиты, т. е. вместо адаптации базового набора мер защиты согласно нормативным документам просто ссылаться на модель угроз? Примером может быть отсутствие необходимости средств обнаружения вторжений в физически изолированной АСУ ТП или шифрования при наличии линий связи в пределах КЗ.

Выводы

Сам факт того, что регулятор взял на себя задачу облегчить реализацию выдвигаемых им требований, — уже отличная новость. Но имеющийся инструмент имеет слишком много белых пятен в критически значимых местах. И пока нельзя однозначно сказать, насколько жизнеспособной будет грядущая методика (например, смену относительно международных техник на абстрактные «способы реализации» оценить трудно, поскольку сама их функциональность остаётся под вопросом). 

Однако можно точно сказать, что а) методика коренным образом отличается от нынешней и б) фактически ручной работы не станет намного меньше. Таким образом, сама методика на данный момент представляет собой многообещающее начинание, не лишённое внутренних противоречий.

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru