воскресенье, 17 мая 2015 г.

Несколько слов о новой Методике ФСТЭК

То, что ФСТЭК наконец-то сделала проект "Методики определения угроз ...", безусловно, хорошо. Наличие проекта Методики всяко лучше его отсутствия, особенно с учетом того, как долго регулятор ее обещал…
Судя по Информационному сообщению, ФСТЭК ожидает мнений и предложений по проекту Методики только от «специалистов в области информационной безопасности заинтересованных органов государственной власти и организаций», а мнение «неорганизованных» специалистов ей неинтересно. Ну и ладно, напишем здесь.

Даже разовое прочтение документа указывает на его основные недостатки: вольное обращение с терминологией и слабая структурированность. Термины появляются абсолютно неожиданно. Например, заявлено, что источниками угроз могут быть субъекты и явления. А чуть позже внезапно речь заходит о нарушителях (вспомним, что на февральском ТБ-форуме представитель ФСТЭК Е. Торбенко требовала в качестве источников угроз рассматривать нарушителей, вредоносные программы и аппаратные закладки. Речь о них, кстати, идет в «Базовой модели угроз», которую, как я понял, отменять никто не собирается. Вот вам и противоречие в двух методических документах: в одном источники угроз одни, в другом другие. Что теперь будет требовать регулятор?).

Немножко далее по тексту появляется термин «актуальный нарушитель» (!). Что это за зверь? Ответа нет (хотя есть догадки, но догадки у каждого свои). Вообще, одни и те же понятия в разных местах документа обозначены разными терминами, а это вносит путаницу.

Со структурой "Методики ..." тоже беда. Без вычерчивания на бумаге логических блоков документа невозможно понять, где заканчивается разговор, скажем, о видах ущерба и начинается разговор о степени негативных последствий. Новый абзац и все, а правильнее было бы сделать новый подпункт. А еще правильнее - нарисовать структурно-логическую схему построения Модели угроз.

Но самый большой сюрприз ожидает читателя на стр.25. Там заявлено, что «ввод в эксплуатацию информационной системы осуществляется при условии достижения высокого уровня исходной защищенности информационной системы от нарушителя с заданным потенциалом». А эта самая степень определяется по таблице 3 (стр.22). Из таблицы видно, что добиться этого высокого уровня в принципе невозможно, поскольку уровню «высокий» может соответствовать не более половины указанных в таблице характеристик системы, а нужно, чтобы соответствовало не менее  80%! Проще говоря, спроектировать систему с высоким уровнем защищенности (судя по табл.3) в принципе невозможно.

Очень смутная картина и с пересмотром угроз. Скажем, угрозы следует обязательно пересматривать «при появлении сведений и фактов о новых возможностях нарушителя». Пример: пользователь ИС прошел курсы повышения квалификации по направлению «информационная безопасность». Его возможности, как нарушителя, повысились? Несомненно. Следовательно, нужно пересматривать угрозы безопасности. И т.д.

Я отметил только несколько бросившихся в глаза недостатков, писать обо всех – значит размахнуться на большую статью, которую ФСТЭК читать все равно не будет. Будем надеяться, что «специалисты заинтересованных организаций» тоже укажут авторам методики на эти недостатки.

А пока на методику документ не тянет, максимум – на организационно-методические указания.

Комментариев нет:

Отправить комментарий