Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Несколько слов о новой Методике ФСТЭК

Аватар пользователя Александр Германович
Автор: Германович Александр,
(1)
()
Опубликовано в:

То, что ФСТЭК наконец-то сделала проект "Методики определения угроз ...", безусловно, хорошо. Наличие проекта Методики всяко лучше его отсутствия, особенно с учетом того, как долго регулятор ее обещал…
Судя по Информационному сообщению, ФСТЭК ожидает мнений и предложений по проекту Методики только от «специалистов в области информационной безопасности заинтересованных органов государственной власти и организаций», а мнение «неорганизованных» специалистов ей неинтересно. Ну и ладно, напишем здесь.

Даже разовое прочтение документа указывает на его основные недостатки: вольное обращение с терминологией и слабая структурированность. Термины появляются абсолютно неожиданно. Например, заявлено, что источниками угроз могут быть субъекты и явления. А чуть позже внезапно речь заходит о нарушителях (вспомним, что на февральском ТБ-форуме представитель ФСТЭК Е. Торбенко требовала в качестве источников угроз рассматривать нарушителей, вредоносные программы и аппаратные закладки. Речь о них, кстати, идет в «Базовой модели угроз», которую, как я понял, отменять никто не собирается. Вот вам и противоречие в двух методических документах: в одном источники угроз одни, в другом другие. Что теперь будет требовать регулятор?).

Немножко далее по тексту появляется термин «актуальный нарушитель» (!). Что это за зверь? Ответа нет (хотя есть догадки, но догадки у каждого свои). Вообще, одни и те же понятия в разных местах документа обозначены разными терминами, а это вносит путаницу.

Со структурой "Методики ..." тоже беда. Без вычерчивания на бумаге логических блоков документа невозможно понять, где заканчивается разговор, скажем, о видах ущерба и начинается разговор о степени негативных последствий. Новый абзац и все, а правильнее было бы сделать новый подпункт. А еще правильнее - нарисовать структурно-логическую схему построения Модели угроз, чтобы читатель не занимался разгадыванием ребуса.

 

Но самый большой сюрприз ожидает читателя на стр.25. Там заявлено, что «ввод в эксплуатацию информационной системы осуществляется при условии достижения высокого уровня исходной защищенности информационной системы от нарушителя с заданным потенциалом». А эта самая степень определяется по таблице 3 (стр.22). Из таблицы видно, что добиться этого высокого уровня в принципе невозможно, поскольку уровню «высокий» может соответствовать не более половины указанных в таблице характеристик системы, а нужно, чтобы соответствовало не менее  80%! Проще говоря, спроектировать систему с высоким уровнем защищенности (судя по табл .3) в принципе невозможно.

Очень смутная картина и с пересмотром угроз. Скажем, угрозы следует обязательно пересматривать «при появлении сведений и фактов о новых возможностях нарушителя». Пример: пользователь ИС прошел курсы повышения квалификации по направлению «информационная безопасность». Его возможности, как нарушителя, повысились? Несомненно. Следовательно, нужно пересматривать угрозы безопасности. И т.д.

Я отметил только несколько бросившихся в глаза недостатков, писать обо всех – значит размахнуться на большую статью, которую ФСТЭК читать все равно не будет. Будем надеяться, что «специалисты заинтересованных организаций» тоже укажут авторам методики на эти недостатки.

А пока на методику документ не тянет, максимум – на организационно-методические указания.

 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя Атаманов Геннадий

Что касается анализа Методики - всё верно! Пять баллов. 
Не могу согласиться только с тем, что "наличие проекта Методики всяко лучше его отсутствия". С точки зрения обеспечения информационной безопасности лучше не иметь никакой информации, чем иметь ложную, потому что с позиции логики при отсутствии информации может быть принято правильное решение, при использовании ложной информации любое решение будет ложным. 

up
27 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.