Моделирование угроз по новой методике ФСТЭК ч.2

Директор по методологии и стандартизации, Positive Technologies

Методолог, специализирующийся на практических аспектах обеспечения информационной безопасности. Руководитель научных исследований Positive Technologies по методологии анализа защищенности, выявления уязвимостей, анализа угроз, реагирования на инциденты, безопасной разработки. 

Эксперт по вопросам банковской безопасности и нормативной-правовой базы в области ИБ. Участвует в разработке нормативных документов ФСТЭК и ЦБ РФ, входит в качестве эксперта в три технических комитета по стандартизации — «Криптографическая защита информации» (ТК 26), «Стандарты финансовых операций» (ТК 122) и «Защита информации» (ТК 362).

• Участник рабочих групп по регулированию вопросов ИБ ФСТЭК, ФСБ, Банка России
• Принимал участие в создании стандартов по описанию и классификации уязвимостей ГОСТ Р 56545-2015 и ГОСТ Р 56546-2015, стандарта «Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем» (РС БР ИББС-2.6-2014)
• Участвует в разработке архитектуры Государственной системы обнаружения и предупреждения компьютерных атак (ГосСОПКА)

Разработка модели угроз традиционно рассматривается как некое ритуальное действие, призванное формально удовлетворить требования приказов ФСТЭК по безопасности государственных информационных систем, персональных данных и значимых объектов критической информационной инфраструктуры. Регулятор с таким отношением не согласен, и в феврале 2021 года, после почти двух лет работы, был выпущен методический документ «Методика оценки угроз безопасности информации». 

Методика направлена на детальное моделирование возможных действий нарушителя и основана на методологии MITRE Att&CK, к ее разработке в качестве экспертов привлекали специалистов Positive Technologies, Group-IB, Лаборатории Касперского. Несмотря на активный интерес к документу в блогосфере, в его обсуждении очень мало публикаций на тему “как ФСТЭК предлагает моделировать угрозы” и слишком много – о том, чем именно документ не нравится тому или иному блогеру. Этот перекос мы и постараемся исправить.

На мастер-классе мы разберем:
1. Что авторы методики называют моделью угроз и как она связана с основными требованиями регулятора

2. Как организован процесс моделирования угроз в компании с 1000+ сотрудников и как его масштабировать на более крупные структуры

3. Как “угрозы по ФСТЭК” связаны с бизнес-рисками компании

4. Как выбрать и описать адекватную модель нарушителя

5. Что такое техники и тактики, какие источники использовать для их описания и как это согласуется с требованием “использовать банк данных угроз и уязвимостей ФСТЭК”

6. Тестирование на проникновение как инструмент верификации модели угроз и системы защиты

7. Использование модели угроз как инструмента для планирования реагирования на инциденты

Общие вопросы

• Какую практическую пользу может дать модель угроз, если она пишется еще до проектирования системы?
• Как при моделировании угроз использовать БДУ ФСТЭК?
• Требуется ли лицензия подрядчику, проводящему анализ угроз?
• Как моделировать угрозы в случае размещения информационной системы в ЦОД или в облаке?

Определение негативных последствий

• Кто должен принимать решение об актуальности негативного последствия?
• Как выглядит процесс определения негативных последствий?

• Нужно ли проводить инвентаризацию всей ИТ-инфраструктуры?
• Как определить, что может стать объектом воздействия?
• Если ЦОД или оператор облака не хочет сотрудничать, чем это грозит?

• В методике жестко заданы виды нарушителей, их цели и возможности. Как это использовать? Должна ли поликлиника защищаться от атак со стороны спецслужб и если нет, то как это обосновать?
• Почему в основном упоминаются нарушители? Как моделировать ошибки пользователей?
• Какие источники угроз считать техногенными такие угрозы?

Оценка способов реализации угроз

• Что такое “способ реализации угрозы”? Что вообще понимается под угрозой? В методике есть определение? В методике есть определение, но оно никак не используется.
• Что такое интерфейсы объектов воздействия?

• Как строятся сценарии? Насколько детальными должны быть сценарии?
• Должны ли в сценариях учитываться реализованные меры защиты?
• Для чего в методике вводятся собственные тактики и техники, отличающиеся от ATT&CK и CAPEC? Почему нельзя использовать уже имеющиеся таксономии тактик и техник?