Комментарии по методике ФСТЭК по определению актуальных угроз ИБ

Специалисты ФСТЭК уже достаточно давно опубликовали проект методики определения актуальных угроз ИБ с целью сбора предложений от общественности и на прошлой неделе (10 июня) истек срок сбора этих самых предложений. 

Судя по большому количеству сообщений в блогосфере, этот документ в отличие от предыдущего проекта обновленного 17-го приказа вызвал куда как более активную реакцию. Будем надеяться что не зря. 

Что пишут коллеги: 

• Алексей Лукацкий - http://lukatsky.blogspot.com/2015/05/blog-post_20.html

• Сергей Борисов - http://sborisov.blogspot.com/2015/05/1.html

• Андрей Прозоров - http://80na20.blogspot.com/2015/05/blog-post_8.html

• Михаил Хромов - http://xpomob.blogspot.com/2015/05/blog-post.html

• Ксения Шудрова - http://shudrova.blogspot.com/2015/06/blog-post_9.html

• Некто teecat на Хабрахабр - http://habrahabr.ru/post/258685/

В основном отзывы по методике положительны и многие отмечают что по ней можно жить и работать. Я же со своей стороны хотел бы обозначить ряд фундаментальных проблем, заложенных в документе, которые не позволят ему стать реально практичным инструментом.

Тут конечно важный вопрос что преследует регулятор. Вот, например, методика оценки рисков РС БР ИББС-2.2 абсолютно теоретична, на практике проводить оценку рисков как описано в этой методике можно только с одной целью - распечатать и положить в стол. Никаких реальных решений по обеспечению безопасности на основании такой оценки принять нельзя. Именно поэтому нам при разработке модуля по управлению рисками для системы R-Vision пришлось выкручиваться и пытаться совместить формальный подход с реальными потребностями и необходимостью практического применения результатов оценки рисков в банке.  

Говоря о методике ФСТЭК, я хочу показать аналогичные ключевые проблемы, которые могут привести к тому, что оценка будет делаться только ради оценки и ради бумажки и никак на практике не будет помогать в обеспечении реальной защищенности систем. Если это то, что хочет регулятор, ну тогда ок, методика годится, если же нет, то.... 

Проблема № 1. Методика предлагает использовать базу угроз ФСТЭК, но описание угроз в этой базе не соответствует тому как они описаны в методике. Нет связки между угрозами и уязвимостями, более того база ФСТЭК содержит только технические уязвимости, а как же быть с организационными ?  Разве утечка информации происходит из-за какой-то технической уязвимости ?  Или случайное удаление информации легитимным пользователем ?  Ну и попытка связать все угрозы из базы ФСТЭК со всеми уязвимостями (и потом еще актуализировать постоянно) - это просто титанический (а точнее будет сказать сизифов) труд. 

Проблема № 2. Методика расчета уровня исходной защищенности и порядок определения актуальности угроз информационной безопасности составлены таким образом что практически все угрозы станут актуальными для большинства систем. Так что вообще оценка получается как бы не сильно нужна. Об этом хорошо написал Сергей Борисов в своем блоге. 

Проблема № 3. При расчете вероятности методика предлагает в первую очередь опираться на статистику. Ну тут что еще сказать, есть ложь, грубая ложь и статистика. Ставить ее во главу угла как минимум некорректно. Статистика может быть одним из критериев, но не главным определяющим.

Проблема № 4. При расчете вероятности методика никак не учитывает эффективность имеющихся защитных мер. Я всегда был противником того, чтобы рассматривать при оценке не реальную систему как она есть, а нечто эфимерное, предполагающее что нет никаких защитных мер. Похоже что методика предлагает действовать именно так. 

Все что я написал тут я также изложил в документе, который отправил во ФСТЭК 9 июня (скачать можно тут).

Посмотрим что из этого получится, первый раз за последние несколько лет пишу свои предложения регулятору.  Мне, кстати, так и не пришел никакой ответ относительно того получены ли мои замечания. Буду надеяться что письмо дошло. А как у вас, коллеги, был какой-то ответ от ФСТЭК тем кто писал свои замечания ? 

Этот материал можно опубликовать: