То, что ФСТЭК наконец-то сделала проект "Методики определения угроз ...", безусловно, хорошо. Наличие проекта Методики всяко лучше его
отсутствия, особенно с учетом того, как долго регулятор ее обещал…
Судя по Информационному сообщению, ФСТЭК ожидает мнений и
предложений по проекту Методики только от «специалистов в области
информационной безопасности заинтересованных органов государственной власти и
организаций», а мнение «неорганизованных» специалистов ей неинтересно. Ну и
ладно, напишем здесь.
Даже разовое прочтение документа указывает на его
основные недостатки: вольное обращение с терминологией и слабая
структурированность. Термины появляются абсолютно неожиданно.
Например, заявлено, что источниками угроз могут быть субъекты и явления. А чуть
позже внезапно речь заходит о нарушителях (вспомним, что на февральском
ТБ-форуме представитель ФСТЭК Е. Торбенко требовала в качестве источников угроз
рассматривать нарушителей, вредоносные программы и аппаратные закладки. Речь о
них, кстати, идет в «Базовой модели угроз», которую, как я понял, отменять
никто не собирается. Вот вам и противоречие в двух методических документах: в
одном источники угроз одни, в другом другие. Что теперь будет требовать регулятор?).
Немножко далее по тексту появляется термин «актуальный
нарушитель» (!). Что это за зверь? Ответа нет (хотя есть догадки, но догадки у
каждого свои). Вообще, одни и те же понятия в разных местах документа
обозначены разными терминами, а это вносит путаницу.
Со структурой "Методики ..." тоже беда. Без вычерчивания на
бумаге логических блоков документа невозможно понять, где заканчивается
разговор, скажем, о видах ущерба и начинается разговор о степени негативных последствий.
Новый абзац и все, а правильнее было бы сделать новый подпункт. А еще правильнее - нарисовать структурно-логическую схему построения Модели угроз.
Но самый большой сюрприз ожидает читателя на стр.25. Там
заявлено, что «ввод в эксплуатацию информационной системы осуществляется при
условии достижения высокого уровня исходной защищенности информационной системы
от нарушителя с заданным потенциалом». А эта самая степень определяется по таблице
3 (стр.22). Из таблицы видно, что добиться этого высокого уровня в принципе
невозможно, поскольку уровню «высокий» может соответствовать не более половины
указанных в таблице характеристик системы, а нужно, чтобы соответствовало не
менее 80%! Проще говоря, спроектировать систему с высоким уровнем защищенности (судя по табл.3) в принципе невозможно.
Очень смутная картина и с пересмотром угроз. Скажем,
угрозы следует обязательно пересматривать «при появлении сведений и фактов о
новых возможностях нарушителя». Пример: пользователь ИС прошел курсы повышения
квалификации по направлению «информационная безопасность». Его возможности, как
нарушителя, повысились? Несомненно. Следовательно, нужно пересматривать угрозы
безопасности. И т.д.
Я отметил только несколько бросившихся в глаза
недостатков, писать обо всех – значит размахнуться на большую статью, которую
ФСТЭК читать все равно не будет. Будем надеяться, что «специалисты
заинтересованных организаций» тоже укажут авторам методики на эти недостатки.
А пока на методику документ не тянет, максимум –
на организационно-методические указания.
Комментариев нет:
Отправить комментарий