20.05.2015

Если на клетке слона прочтёшь надпись «буйвол», не верь глазам своим.
Козьма Прутков.

Сегодня речь будет о проекте Методического документа «Методика определения угроз безопасности информации в информационных системах», разработанном ФСТЭК России. И начну, пожалуй, с хорошего (ну так принято: сначала похвали, потом — поругай, последнее лучше запоминается).

Я не зря взял эпиграфом бессмертные творения Козьмы Пруткова. В данном случае (впрочем и не только в данном случае) лучше него не скажешь: коротко и в тему. Читатель! Внимательно прочти проект документа! Что ты видишь? Методику? Да, конечно методику, но чего? Оценки угроз? Выбора актуальных угроз? Не только! Это «три в одном»! Кроме методики оценки угроз вы ещё получили (наверное, в качестве бонуса) методику определения потенциала возможного нарушителя и, самое главное, ещё и методику определения степени возможного ущерба! Это то, о чём все эксперты долго говорили и без чего, в принципе, нельзя правильно оценивать угрозы. Спасибо!

Что ещё порадовало? Это то, что при оценке угроз учитывается и социальная составляющая через оценку возможностей нарушителя. Вид нарушителя определяется исходя из возможных целей (мотивации) при реализации угроз безопасности информации. И если раньше мы только об этом говорили, но всё оставалось на уровне эмоций, то теперь имеется строгая классификация нарушителей по возможным целям (мотивам) их действий. При этом среди целей достаточно много носящих именно социальную направленность. А ещё немаловажно то, что методика предполагает возможность воздействия для реализации угроз безопасности информации не только на «железо», но и на «человеческий фактор» методами социальной инженерии.

Вообще хотелось бы отметить, что проект методики достаточно хорошо структурирован и очень легко алгоритмируется. Это дает надежду на то, что найдутся умельцы, способные перевести её на машинный язык и, тем самым, значительно облегчить жизнь безопасников при определении актуальных угроз.

В методике появился новый класс угроз: косвенных. Это достаточно важный и прогрессивный шаг. Он свидетельствует о том, что идеология переориентирована и направлена именно на защиту информации. Вникнем в смысл понятия «косвенная угроза». Методика рекомендует при определении угроз безопасности информации наряду с угрозами, реализация которых может привести непосредственно к нарушению конфиденциальности, целостности или доступности информации (прямыми угрозами), выявлять и оценивать угрозы, создающие условия для реализации прямых угроз безопасности информации (косвенные угрозы). Защищаться от косвенных угроз надо только в том случае, если они способствуют реализации прямых угроз, нарушающих защищаемые свойства информации. Казалось бы, незначительный акцент, но извечный философский вопрос что защищать: информацию или информационную систему — разрешён в пользу информации. То есть не само по себе повышение привилегий пользователя или недоступность обновления программного обеспечения опасно, а те последствия, которые могут возникнуть для информации в результате изменения этих привилегий или отсутствия обновлений. И оценку опасности надо вести не относительно факта изменения привилегий, а относительно неблагоприятных последствий для информации. К примеру (крайний случай), если изменить привилегии возможно, но в информационной системе нет защищаемой информации, то это уже не угроза. Здесь незримо присутствует и обладатель информации, которому нарушения свойств информации могут причинить ущерб. Следовательно, и безопасность информации приобретает «человеческое лицо»: защищать информацию надо для того, чтобы исключить ущерб её обладателю.

Ущербу в методике посвящено довольно много. Оценка актуальных угроз напрямую зависит от возможного ущерба. Да и классификация видов нарушителей напрямую связана с возможным ущербом. А сам ущерб напрямую связан с нарушением защищаемых свойств информации (конфиденциальности, целостности и доступности). Интересно и то, что сам ущерб впервые в документах такого уровня классифицирован по видам (экономический, социальный, политический, репутационный, технологический, субъекту ПДн) и рассмотрены варианты возможных негативных последствий для каждого вида ущерба. Это новенькое и полезненькое!

Наверное, это не все достоинства нового документа, кто-то найдет еще что-то, но и этого достаточно, чтобы сказать, что проект методики — документ нового поколения, взвешенный и сбалансированный, способный оказать помощь страждущим. Ну, вроде похвалил. Теперь пора заняться и критикой.

Две шаги налево, две шаги направо,
Шаг вперёд и поворот.
Аркадий Северный (Звездинский). «Школа танцев Соломона Пляре».

В проекте документа сделан весьма прогрессивный шаг по структуризации процесса определения угроз безопасности информации. И, как я уже отмечал, этот процесс достаточно легко можно переложить на алгоритм, то есть применить математические методы. Но, потом, вдруг, сделан «поворот». И мы опять применили экспертный метод. Понимаю, что так проще, но в то же время, это способствует определённой субъективности при определении состава угроз. Не спорю, проект предусматривает целую методику подбора экспертов, учитывающую возможный субъективизм экспертов, но это не снимает всей проблемы. Вместе с тем, здесь достаточно легко применить математические методы анализа, например, основанные на функции Харрингтона, теории нечётких множеств или, наконец, таблично-матричном методе анализа. Это позволило бы свести практически к нулю субъективность при определении угроз безопасности информации и повысить повторяемость результатов моделирования угроз при оценке разными экспертами. А введя некое пороговое значение, мы смогли бы начать управлять рисками и перейти из области шаманства и искусства эксперта к чётким научным выкладкам.

Правда, здесь есть одно но. Необходим специальный инструментарий, позволяющий даже не очень подготовленному эксперту успешно справиться с необходимыми математическими расчётами, то есть это все должно быть исполнено в специальной программе и быть простым, как калькулятор.

Рыба ищет, где глубже, а человек — где лучше.
А. Островский. «Доходное место».

В методике даны два альтернативных варианта оценки возможности реализации угрозы: вероятностный и через «возможность» реализации угрозы. В случае отсутствия требуемых данных для оценки вероятности реализации угрозы безопасности информации или наличия сомнений в объективности экспертных оценок, актуальность угрозы определяется на основе оценки возможности её реализации. Что-то здесь перемудрили. Вероятность реализации угрозы вообще-то, совсем не вероятность (в строгом математическом понятии), а «определяемый экспертным путём показатель, насколько вероятным является реализация угрозы», который зависит от результатов статистических наблюдений за фактами реализации угрозы. Если учитывать (и это неоднократно подчеркивается в методике), что угроза зависит от мотивации нарушителя, которая в свою очередь зависит от того, на каком объекте обрабатывается информация и от возможного ущерба обладателю информации, то, скорее всего, собрать объективную статистику по фактам реализации угрозы будет маловероятно. А использовать чужую статистику, хотя и можно, но не объективно. Не будем также забывать, что критерии оценки возможной вероятности реализации угрозы определяются на вербальном уровне и весьма субъективны.

Поэтому, как мне кажется, этот вариант оценки будет субъективен и по этой причине мало востребован (ну, конечно, если не надо подогнать угрозы под существующую защиту). Другое дело, альтернативный вариант. Он основывается на весьма объективных показателях: уровне защищённости информационной системы и потенциале нарушителя. При этом даётся довольно подробная (и опробованная) схема определения обоих показателей, минимизирующая субъективный фактор присутствия эксперта. На мой взгляд, это более логический подход к оценке угроз. И, думаю, что не будут эксперты оценивать на вербальном уровне объективность предпосылок к реализации угроз, собирать статистику по фактам реализации угроз, оценивать мотивацию и возможную частоту реализации угрозы за определенный период. Долго, скучно, не объективно. Гораздо проще пойти по предложенному альтернативному пути. А следовательно, не надо и методику перегружать субъективными методами.

Ну, вот, это первые впечатления от прочтения «по диагонали» творения ФСТЭК России в области оцени угроз безопасности информации. Теперь надо садиться и глубоко изучать документ, выискивать «блохи» (а они есть!), но это уже мало интересно читателю и предполагает рутинную работу непосредственно с авторами.