Доклады ФСТЭК на ТБ Форум 2020: новые документы, изменение подхода к сертификации СЗИ и проект новой методики моделирования угроз.

На конференции Актуальные вопросы защиты информации, которая состоялась в рамках ТБ Форума 12 февраля 2020, представители ФСТЭК выступили с 3-мя докладами, в ходе которых были озвучены следующие планы регулятора на 2020 год:

  • Разработка новой методики моделирования угроз.
  • Повышение квалификации специалистов по защите информации по вопросам моделирования угроз – планируется разработка учебных курсов после утверждения методологии.
  • Разработка средства автоматизации моделирования угроз и размещение этого средства на сайте ФСТЭК.
  • Разработка механизмов оповещения органов власти и организаций об угрозах безопасности информации и уязвимостях программного обеспечения.
  • Разработка новой редакции методики выявления уязвимостей.
  • Разработка нового порядка аттестации информационных систем в виде нормативно-правового акта.
  • Внесение изменений в Положение о системе сертификации СЗИ, чтобы сократить сроки ее проведения.
  • Пересмотр стандарта 2016 года по разработке безопасного программного обеспечения, разработка стандарта по статическому и динамическому анализу и некоторых других.
  • В 2020 году будут усовершенствованы требования к СЗИ. В частности, появится новая редакция требований к средствам антивирусной защиты, требования к системам управления базами данных и требования к средствам управления потоками информации.
  • Доработать базу угроз безопасности информации. Подход к описанию угроз безопасности информации будет изменен и теперь информация об угрозе будет содержать также сведения о типах и потенциале нарушителя, действиях и способах реализации угрозы, индикаторах компрометации, возможных последствиях и рекомендации по защите.

Проект методического документа «Методика моделирования угроз безопасности информации»

В ходе конференции Ирина Гефнер, начальник отдела управления ФСТЭК России, представила проект методического документа «Методика моделирования угроз безопасности информации».

Текущие документы для создания модели угроз датированы 2008 годом, к ним относятся:

1) Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (от 14.02.2008).

2) Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (от 14.02.2008).

Сам процесс моделирования угроз поверхностно изложен в требованиях Приказа ФСТЭК №17.

Как сейчасНовый подход к моделированию
  1. Описание системы
    (структурно-функциональные характеристики, логические и физические связи, объекты защиты, веб-ресурсы)
  2. Описание возможностей нарушителя (модель нарушителя)
  3. Перечень вероятных угроз на основании Банка данных угроз
  4. Определение актуальности угроз
  5. Формирование перечня актуальных угроз
1 Этап. Определение потенциальных угроз безопасности

  1. Выявление информационных ресурсов и видов воздействия
  2. Определение источников угроз безопасности информации и оценка возможностей нарушителей
  3. Определение сценариев реализации угроз безопасности информации.
  4. Определение условий, необходимых для реализации сценариев угроз безопасности информации

2 Этап. Оценка уровня опасности и актуальности угроз безопасности информации

Представители ФСТЭК отметили ряд недостатков текущего подхода:

  • Моделирование угроз разрабатывается только для согласования, а далее никак не используется
  • При моделировании угроз не учитываются сценарии действий нарушителей
  • Системы защиты информации строятся без учета модели угроз
  • Не проводится оценка эффективности системы защиты

Проект нового методического документа в настоящее время находится на статусе обсуждения экспертной комиссии. ФСТЭК России планирует выложить его в марте-апреле на официальном сайте для ознакомления и сбора замечаний и предложений от ИБ-сообщества. При этом Ирина Гефнер подчеркнула, что представленные в её выступлении данные лишь определяют вектор разработки: состав итоговой версии документа всё ещё не определён.

При разработке новой методики ФСТЭК России старалась, чтобы она подходила не только для органов государственной власти и организаций, для которых её использование является обязательным, но была полезной компаниям, которые столкнулись с потребностью реализации процессов управления угрозами.

Новый алгоритм моделирования угроз разработан на основании лучших практик и подразумевает 2 глобальных этапа – определение потенциальных угроз, которые возможны для информационной системы, исходя из ее исходных характеристик, и далее выявление актуальных угроз.

1 Этап. Определение потенциальных угроз безопасности

  1. Выявление информационных ресурсов и видов воздействия
  • Определение видов возможного ущерба: экономический, репутационный, финансовый и т.д. в рамках бизнес-процессов.
  • Инвентаризация информационных ресурсов, на которые может быть оказано негативное воздействие.
  • Определение типов воздействия, которое может привести к недопустимым негативным последствиям. В документе они перечислены – утечка информации, несанкционированный доступ и т.д.

На этом этапе важно определить границы информационных систем.

  1. Определение источников угроз безопасности информации и оценка возможностей нарушителей (типы нарушителей, мотивация, потенциал и уровень возможностей).
  2. Определение сценариев реализации угроз безопасности информации.

Угроза не реализуется в одно действие, а представляет собой цепочку из нескольких этапов. В методике перечислены эти этапы, схожие с классической моделью Killchain, при этом в конкретный сценарий может входить только часть из них:

  1. Сбор данных о системах и сетях, необходимых для реализации угроз;
  2. Получение первоначально доступа к системам и сетям;
  3. Закрепление в системе или сети;
  4. Исследование систем и сетей и ее отдельных компонентов;
  5. Получение доступа к учетным записям;
  6. Повышение привилегий;
  7. Управление и контроль в системах и сетях;
  8. Обход средств защиты информации;
  9. Вывод информации из систем и сетей;
  10. Реализация воздействия на информационные ресурсы;
  11. Устранение признаков и следов неправомерных действий в системах и сетях.

Пример моделирования сценария реализации угрозы представлен на рисунке.

Рис. 1. Пример моделирования сценария реализации угрозы (из презентации И.Гефнер)
  1. Определение условий, необходимых для реализации сценариев угроз безопасности информации. Основными являются тип доступа и наличие уязвимостей.

По итогам Этапа 1 формируется перечень потенциальных угроз безопасности информации.

Каждая угроза безопасности информации (УБИ) характеризуется следующими параметрами: источник угрозы, сценарий реализации угрозы, условия реализации, негативные последствия. Для одной угрозы может быть несколько сценариев реализации.

Рис. 2. Пример описания угрозы безопасности информации (из презентации И.Гефнер)

Этап 2. Оценка уровня опасности и актуальности угроз безопасности информации

На этапе 2 проводится оценка актуальности угроз безопасности информации. ФСТЭК вводит градацию угроз по уровню опасности: низкая, средняя, высокая, чтобы ранжировать приоритет выбора мер защиты. Для тех способов реализации, которые имеют высокий уровень опасности, меры защиты должны быть реализованы в первую очередь.

Уровень опасности оценивается на основе перечня показателей по формуле: w = d + p + f + s + u

Рис.3. Показатели уровня опасности (из презентации И.Гефнер)

По оценкам ФСТЭК новый подход к моделированию угроз будет более эффективен на этапе построения системы защиты информации и станет более практически направленным.

Сертификация средств защиты

Изменение подходов к сертификации средств защиты – вторая ключевая тема докладов представителей ФСТЭК.

Количество средств защиты информации выросло. ФСТЭК призвал разработчиков более активно слышать требования заказчика (как эксплуатационные, так и по безопасности) и внедрять механизмы безопасной разработки, оценивать, анализировать угрозы и возможные атаки применительно к своим собственным средствам.

148 сертификатов должны быть переоформлены на соответствие требованиям доверия. На текущий момент переоформлено всего 16 и ожидается, что к июлю будет перевыпущено порядка 80% сертификатов.

С 1 июня 2020 г. средства защиты информации, устанавливаемые при создании (модернизации) государственных информационных систем, должны соответствовать Требованиям доверия. Это означает, что с 1 июня ФСТЭК может приостановить сроки действия ранее выданных сертификатов, которые не были переоформлены, до выполнения требований доверия. В случае, если в течение 3-х месяцев средства не будут приведены в соответствие с требованиями доверия, ФСТЭК может прекратить действие сертификатов соответствия на средства защиты информации.

ФСТЭК России поручено до 1 марта 2020 г. обеспечить усиление требований по безопасности информации к оборудованию, применяемому на объектах критической информационной инфраструктуры в государственных информационных системах, взаимоувязанных с реализуемыми Минпромторгом России мерами по импортозамещению иностранного оборудования. Будут внесены изменения в Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвержденные приказом ФСТЭК России от 30 июля 2018 г. № 131. Сейчас они находятся на согласовании с Минпромторгом России, после чего будет направлен приказ об утверждении изменений на государственную регистрацию в Минюст России.

В порядок сертификации будут внесены изменения с тем, чтобы сократить сроки ее проведения. В частности, по проекту ФСТЭК предлагается сократить сроки каждой из процедур, входящих в процесс сертификации. За 2020 год планируется провести совещания рабочей группы по совершенствованию порядка сертификации, разработать и утвердить изменения в Положение о системе сертификации СЗИ, провести общественное обсуждение и государственную регистрацию приказа ФСТЭК России об утверждении Изменений в Положение.

До 1 сентября 2020 г. ФСТЭК должна принять меры по установлению порядка аттестации объектов информатизации, информационных и автоматизированных систем на соответствие требованиям по защите информации, а также требований к форме и содержанию материалов аттестационных испытаний. Будут детализированы процедуры аттестации, установлены сроки их проведения.

Поделиться записью: