Доклады ФСТЭК на ТБ Форум 2020: новые документы, изменение подхода к сертификации СЗИ и проект новой методики моделирования угроз.

На конференции Актуальные вопросы защиты информации, которая состоялась в рамках ТБ Форума 12 февраля 2020, представители ФСТЭК выступили с 3-мя докладами, в ходе которых были озвучены следующие планы регулятора на 2020 год:

• Разработка новой методики моделирования угроз.
• Повышение квалификации специалистов по защите информации по вопросам моделирования угроз — планируется разработка учебных курсов после утверждения методологии.
• Разработка средства автоматизации моделирования угроз и размещение этого средства на сайте ФСТЭК.
• Разработка механизмов оповещения органов власти и организаций об угрозах безопасности информации и уязвимостях программного обеспечения.
• Разработка новой редакции методики выявления уязвимостей.
• Разработка нового порядка аттестации информационных систем в виде нормативно-правового акта.
• Внесение изменений в Положение о системе сертификации СЗИ, чтобы сократить сроки ее проведения.
• Пересмотр стандарта 2016 года по разработке безопасного программного обеспечения, разработка стандарта по статическому и динамическому анализу и некоторых других.
• В 2020 году будут усовершенствованы требования к СЗИ. В частности, появится новая редакция требований к средствам антивирусной защиты, требования к системам управления базами данных и требования к средствам управления потоками информации.
• Доработать базу угроз безопасности информации. Подход к описанию угроз безопасности информации будет изменен и теперь информация об угрозе будет содержать также сведения о типах и потенциале нарушителя, действиях и способах реализации угрозы, индикаторах компрометации, возможных последствиях и рекомендации по защите.

Проект методического документа «Методика моделирования угроз безопасности информации»

В ходе конференции Ирина Гефнер, начальник отдела управления ФСТЭК России, представила проект методического документа «Методика моделирования угроз безопасности информации».

Текущие документы для создания модели угроз датированы 2008 годом, к ним относятся:

1) Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (от 14.02.2008).

2) Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (от 14.02.2008).

Сам процесс моделирования угроз поверхностно изложен в требованиях Приказа ФСТЭК №17.

Представители ФСТЭК отметили ряд недостатков текущего подхода:

• Моделирование угроз разрабатывается только для согласования, а далее никак не используется
• При моделировании угроз не учитываются сценарии действий нарушителей
• Системы защиты информации строятся без учета модели угроз
• Не проводится оценка эффективности системы защиты

Проект нового методического документа в настоящее время находится на статусе обсуждения экспертной комиссии. ФСТЭК России планирует выложить его в марте-апреле на официальном сайте для ознакомления и сбора замечаний и предложений от ИБ-сообщества. При этом Ирина Гефнер подчеркнула, что представленные в её выступлении данные лишь определяют вектор разработки: состав итоговой версии документа всё ещё не определён.

При разработке новой методики ФСТЭК России старалась, чтобы она подходила не только для органов государственной власти и организаций, для которых её использование является обязательным, но была полезной компаниям, которые столкнулись с потребностью реализации процессов управления угрозами.

Новый алгоритм моделирования угроз разработан на основании лучших практик и подразумевает 2 глобальных этапа – определение потенциальных угроз, которые возможны для информационной системы, исходя из ее исходных характеристик, и далее выявление актуальных угроз.

1 Этап. Определение потенциальных угроз безопасности

1. Выявление информационных ресурсов и видов воздействия

• Определение видов возможного ущерба: экономический, репутационный, финансовый и т.д. в рамках бизнес-процессов.
• Инвентаризация информационных ресурсов, на которые может быть оказано негативное воздействие.
• Определение типов воздействия, которое может привести к недопустимым негативным последствиям. В документе они перечислены — утечка информации, несанкционированный доступ и т.д.

На этом этапе важно определить границы информационных систем.

2. Определение источников угроз безопасности информации и оценка возможностей нарушителей (типы нарушителей, мотивация, потенциал и уровень возможностей).
3. Определение сценариев реализации угроз безопасности информации.

Угроза не реализуется в одно действие, а представляет собой цепочку из нескольких этапов. В методике перечислены эти этапы, схожие с классической моделью Killchain, при этом в конкретный сценарий может входить только часть из них:

1. Сбор данных о системах и сетях, необходимых для реализации угроз;
2. Получение первоначально доступа к системам и сетям;
3. Закрепление в системе или сети;
4. Исследование систем и сетей и ее отдельных компонентов;
5. Получение доступа к учетным записям;
6. Повышение привилегий;
7. Управление и контроль в системах и сетях;
8. Обход средств защиты информации;
9. Вывод информации из систем и сетей;
10. Реализация воздействия на информационные ресурсы;
11. Устранение признаков и следов неправомерных действий в системах и сетях.

Пример моделирования сценария реализации угрозы представлен на рисунке.

По итогам Этапа 1 формируется перечень потенциальных угроз безопасности информации.

Каждая угроза безопасности информации (УБИ) характеризуется следующими параметрами: источник угрозы, сценарий реализации угрозы, условия реализации, негативные последствия. Для одной угрозы может быть несколько сценариев реализации.

Этап 2. Оценка уровня опасности и актуальности угроз безопасности информации

На этапе 2 проводится оценка актуальности угроз безопасности информации. ФСТЭК вводит градацию угроз по уровню опасности: низкая, средняя, высокая, чтобы ранжировать приоритет выбора мер защиты. Для тех способов реализации, которые имеют высокий уровень опасности, меры защиты должны быть реализованы в первую очередь.

Уровень опасности оценивается на основе перечня показателей по формуле: w = d + p + f + s + u

По оценкам ФСТЭК новый подход к моделированию угроз будет более эффективен на этапе построения системы защиты информации и станет более практически направленным.

Сертификация средств защиты

Изменение подходов к сертификации средств защиты — вторая ключевая тема докладов представителей ФСТЭК.

Количество средств защиты информации выросло. ФСТЭК призвал разработчиков более активно слышать требования заказчика (как эксплуатационные, так и по безопасности) и внедрять механизмы безопасной разработки, оценивать, анализировать угрозы и возможные атаки применительно к своим собственным средствам.

148 сертификатов должны быть переоформлены на соответствие требованиям доверия. На текущий момент переоформлено всего 16 и ожидается, что к июлю будет перевыпущено порядка 80% сертификатов.

С 1 июня 2020 г. средства защиты информации, устанавливаемые при создании (модернизации) государственных информационных систем, должны соответствовать Требованиям доверия. Это означает, что с 1 июня ФСТЭК может приостановить сроки действия ранее выданных сертификатов, которые не были переоформлены, до выполнения требований доверия. В случае, если в течение 3-х месяцев средства не будут приведены в соответствие с требованиями доверия, ФСТЭК может прекратить действие сертификатов соответствия на средства защиты информации.

ФСТЭК России поручено до 1 марта 2020 г. обеспечить усиление требований по безопасности информации к оборудованию, применяемому на объектах критической информационной инфраструктуры в государственных информационных системах, взаимоувязанных с реализуемыми Минпромторгом России мерами по импортозамещению иностранного оборудования. Будут внесены изменения в Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвержденные приказом ФСТЭК России от 30 июля 2018 г. № 131. Сейчас они находятся на согласовании с Минпромторгом России, после чего будет направлен приказ об утверждении изменений на государственную регистрацию в Минюст России.

В порядок сертификации будут внесены изменения с тем, чтобы сократить сроки ее проведения. В частности, по проекту ФСТЭК предлагается сократить сроки каждой из процедур, входящих в процесс сертификации. За 2020 год планируется провести совещания рабочей группы по совершенствованию порядка сертификации, разработать и утвердить изменения в Положение о системе сертификации СЗИ, провести общественное обсуждение и государственную регистрацию приказа ФСТЭК России об утверждении Изменений в Положение.

До 1 сентября 2020 г. ФСТЭК должна принять меры по установлению порядка аттестации объектов информатизации, информационных и автоматизированных систем на соответствие требованиям по защите информации, а также требований к форме и содержанию материалов аттестационных испытаний. Будут детализированы процедуры аттестации, установлены сроки их проведения.