BIS Journal №2(41)/2021

24 мая, 2021

Блеск и нищета… БДУ

О банке данных угроз безопасности информации ФСТЭК России.

 

Хотели как лучше, а получилось как всегда…

В. С. Черномырдин

 

О банке данных угроз безопасности информации ФСТЭК России регулярно пишут разные авторы. И меня не миновала чаша сия. Оговорюсь сразу: речь пойдёт о том разделе, который посвящён именно угрозам безопасности информации. С разделом уязвимостей более или менее всё ясно: вендор, ПО, уязвимость, идентификатор, способ применения и способ устранения. Чего не скажешь о разделе с угрозами. Мнения об этом разделе самые разные: от полного неприятия до панегириков. А истина — она, как всегда, где-то посередине. Сейчас ФСТЭК России задумался о совершенствовании своего детища. Вот и давайте посмотрим на банк угроз непредвзято, может, что-то полезное и появится…

 

ОБЕЩАТЬ – НЕ ЗНАЧИТ ЖЕНИТЬСЯ

К чему это я? А вот к чему. Стоит открыть любой документ ФСТЭК России, касающийся требований к мерам защиты, и мы увидим: «Требования к системе защиты информации информационной системы определяются в зависимости от… угроз безопасности информации». И далее: «В качестве исходных данных для определения угроз безопасности информации должен использоваться банк данных угроз безопасности информации» (bdu.fstec.ru). 

Замечательно, продекларировали! А дальше что? А дальше – провал. Я уже как-то писал об этом [1]. Меры защиты выбираются исходя из класса информационной системы (который, кстати, определяется совсем по другим критериям и не обращает внимания на угрозы) или требуемого уровня защищённости, но никак не отталкиваясь от угроз. Нет взаимосвязи между самими угрозами и теми мерами, которые позволяют их нейтрализовать. Получается, что в данном случае угрозы, вернее модель угроз, построенная на их основе, выступает в качестве некоего «сферического коня в вакууме». Только не подумайте, что я против модели угроз как таковой! Нет! Может быть, повторюсь, но считаю, что сама идея – использовать модель угроз при выборе мер защиты – абсолютно верная. Однако, не отрицая важности самого процесса оценки угроз безопасности информации при выборе адекватных мер защиты, необходимо отметить, что многолетняя практика моделирования угроз для каждого конкретного объекта показывает свою НЕэффективность. Ситуация получается очень похожей на басню Крылова (правда, немного в другой коннотации): «Вертит Очками так и сяк: То к темю их прижмёт, то их на хвост нанижет, То их понюхает, то их полижет; Очки не действуют никак». И происходит это по банальной причине: нет связи между угрозами и мерами. Вот давайте посмотрим на раздел банка угроз, связанного с уязвимостями. Там есть не только привязка уязвимости к конкретному ПО и его версии, что позволяет однозначно определить необходимость принятия мер, но и такие замечательные рубрики, как «Возможные меры по устранению уязвимости» и «Способ устранения». А это уже прямое руководство к действию. Поэтому этот раздел оказывается весьма полезным в практической деятельности ибэшников. К сожалению, этого нельзя сказать про раздел угроз безопасности информации. Правда, некоторые специалисты пытаются составить таблицы соответствия угроз и мер защиты [2], но, честно говоря, это всё-таки самоделки. Здесь нужен системный подход,чёткая проработка и соответствующие разделы в банке угроз. Вот тогда-то модель угроз станет действенным инструментом при выборе мер защиты и не потребуется заставлять бизнес разрабатывать формальную модель угроз («документ ради документа»), он сам почувствует её необходимость, так как это будет экономить деньги. А ещё лучше, если угрозы будут увязаны не только с мерами защиты, но и с необходимыми функциями безопасности, которые реализуются средствами защиты (читай классами средств защиты). Тогда модель угроз станет бесценной.

 

СМЕШАЛИСЬ В КУЧУ КОНИ, ЛЮДИ…

А теперь вот о чём. Не всё, что в банке угроз названо угрозами, является таковым. Просто кое-что, отнесённое к классу угроз, не вписывается в классическое определение угроз. Частенько идёт подмена понятий. Кстати, об определении. Как сказал классик, «прежде чем объединяться и для того, чтобы объединиться, мы должны сначала решительно и определённо размежеваться». В нашем случае объединяться – это составить банк угроз, а размежеваться – чётко определить те сущности, которые мы собираемся объединять. Попробуем «размежеваться». И главное здесь, конечно, — понятие угрозы.

Глупо полагать, что обеспечением безопасности информации занимаются только для того, чтобы поддержать соответствующие службы и производителей средств защиты. Эгоизм правит миром, и поэтому любая деятельность по обеспечению безопасности информации направлена только на то, чтобы не допустить ущерба обладателю от нарушений полезных свойств информации. Поэтому примем за аксиому, что угроза – это некие негативные действия, угрожающие интересам субъекта (обладателя информации). А отсюда следует, что угроза может быть только тогда, когда есть субъект, которому может быть причинён ущерб. Поэтому «угрозы информации» быть не может в силу того, что информация является объектом отношений, а не субъектом. Может быть только «угроза безопасности информации», то есть угроза состоянию защищённости информации.

Действительно, даже если будут в силу каких-то обстоятельств нарушены полезные свойства информации (конфиденциальность, целостность, доступность), это не причинит никакого вреда, если нет субъекта, заинтересованного в обеспечении сохранности этих полезных свойств. Любые негативные действия могут быть совершены только при наличии каких-нибудь слабых мест (уязвимостей), ведь если, к примеру, кто-нибудь захочет проникнуть за кирпичную стену и будет биться в неё головой, то, скорее всего, у него ничего не получится, однако наличие в стене деревянной калитки уже значительно повышает шансы на успех его героических попыток. И уж, конечно, если есть какие-то негативные действия, то их кто-то или что-то должен совершать. И мы вроде бы пришли к классическому определению угрозы безопасности информации – совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации [3]. Это можно выразить формулой:

Но такое представление угрозы всё-таки будет не совсем точным. Обратим внимание, что в определении «условия» и «факторы» даны во множественном числе. Поэтому правильнее будет так:

Одна и та же угроза может быть реализована различными источниками угроз, различными способами и с использованием различных факторов. Совокупность условий и факторов, определяющих конкретную угрозу, будет определяться множеством всех возможных вариантов (комбинаций) реализации данной угрозы различными источниками с использованием различных методов и факторов.

Давайте посмотрим это «на яблоках». Положим, у кого-то есть сейф, в котором лежит бриллиантовое колье, а Некто задумал это колье экспроприировать. В нашем случае в качестве Некто может быть: а) тривиальный вор (внешний нарушитель), б) любимый сын (внутренний нарушитель), в) случайный сантехник (посетитель).

Этот Некто может: I) вскрыть сейф дубликатом ключа, II) взломать его фомкой, III) разрезать автогеном. В этом случае угрозой можно считать кражу (колье). Тогда источники – вор, сын, сантехник; уязвимости (факторы)– ошибки хранения, слабый сейф, тонкий металл; методы – вскрытие, взлом, резка. И всё это может быть в разных комбинациях. Получается, что угроза – одна, а реализаций – много.

В существующем банке угроз, к сожалению, всё смешано в кучу: и угрозы и их реализации. Описать угрозы – можно, это всегда конечный перечень. Описать все возможные реализации угроз – задача благородная, но практически не реализуемая в силу большого разнообразия сущностей, её составляющих. Ну а если ещё идёт смешение сущностей – получается «Бородино». Нужна какая-то система. И тут на сцену выходит дедушка Карл Николиус Линней со своей таксономией [4].

 

КАРЛ ЛИННЕЙ – ЭТО ЗАЧЕМ?

И чем так привлекателен для нас «отец систематики» Карл Линней? Наверное, самое важное – это то, что он нашёл тот самый критерий или признак, который, с одной стороны, является общим для всех систематизируемых сущностей, а с другой – индивидуален для каждой такой сущности. Тычинка! Вернее, их количество – вот что объединяет и в тоже время разъединяет сущности, и это самое главное открытие Линнея в деле систематизации по признакам их сходств и различий. И в результате получилась иерархическая, чётко ранжированная структура, состоящая из отдельных групп – таксонов [5]: класс – отряд – семейство – род – вид – подвид – разновидность. 

В деле систематизации угроз безопасности – на опыте «отца систематики» – надо прежде всего найти такой критерий. На первый взгляд, ответ лежит на поверхности: таким критерием должно выступать полезное свойство информации, которое надо защищать (конфиденциальность, целостность, доступность). Но не всё так просто. Я уже отмечал, что эти свойства в принципе весьма субъективны и зависят от заинтересованности субъекта в обеспечении сохранности этих полезных свойств. А брать за критерий систематизации заведомо субъективный критерий – обречь её на неудачу. Кроме того, нарушение таких свойств информации не всегда понятно бизнесу (а именно он даёт деньги на обеспечение безопасности информации), он, бизнес, мыслит немного другими категориями, ему ближе рисковая модель. Действительно, если бизнесу сказать, что в результате компьютерной атаки будет реализована возможность несанкционированного доступа к базе данных АСУ управления движением поездов, он задаст вопрос: ну и что? А вот если бизнесу сказать, что в результате такой атаки 35 вагонов не будут поданы к погрузке, что приведёт к такому-то финансовому ущербу, то мозги у него повернутся в нужную сторону.

Мне кажется, что ФСТЭК России сейчас взял правильный вектор в этом направлении. Если посмотреть недавно утверждённый новый вариант Методики оценки угроз безопасности информации, то можно увидеть, что одной из основных задач при оценке угроз безопасности информации является определение негативных последствий, которые могут наступить от реализации (возникновения) угроз безопасности информации. Вот это уже близко к риск-ориентированной модели! Это как раз и может стать критерием классификации угроз, вернее, первой ступенью в иерархии систематизации угроз. И за основу можно взять те угрозы, которые приведены в методике:

  • ущерб физическому лицу;
  • ущерб юридическому лицу, связанный с хозяйственной деятельностью;
  • ущерб государству в области обороны страны и безопасности;
  • ущерб в социальной, экономической, политической, экологической сферах.

Кстати, если уж мы заговорили об ущербе. Ущерб – это всегда нарушение прав субъекта, то есть совершение какого-то правонарушения, а это уже категория юридическая. То есть в качестве признака первого таксона в классификации угроз безопасности информации можно использовать составы преступлений и правонарушений, приведённые в уголовном и административном кодексах. И, самое главное, такие составы правонарушений легко увязываются с полезными свойствами самой информации и исключают их смешение. Да и бизнесу они будут понятны (рис. 1).

Рисунок 1. Примерный вариант классификации угроз безопасности информации на основе первого таксона

 

Ну, это мы только первый таксон нашли. А дальше можно в качестве признака второго таксона использовать возможные типовые негативные последствия, приведённые в методике ФСТЭК России. Дальше – глубже. Здесь уже можно и на более «технократическом» языке говорить. Деление угроз (вернее, их возможных реализаций) по видам их воздействия на элементы инфраструктуры, которые могут привести к негативным последствиям. Здесь уже проглядывается прямая связь угроз и возможных уязвимостей. И так можно идти дальше. Главное, не зарыться слишком глубоко. Надо найти определённый баланс между глубиной описания угроз безопасности и возможностями банка угроз. Естественно предположить, что бизнес-процессы в разных организациях будут разные и последствия от их нарушений – тоже. Предусмотреть и рассчитать все последствия в общей модели невозможно. Да и не надо, это дело конкретных субъектов. Это как раз и должно делаться при составлении модели угроз на базе банка угроз. Вот и оставим эту часть им…

 

***

В завершение хотел бы вернуться к заглавной теме. Как бы мы хорошо ни построили банк угроз, как бы мы чётко ни сформулировали критерии (признаки) таксонов, банк данных работать не будет, если не будет соответствия между самой угрозой и методами её устранения. Кстати, невооружённым глазом видно, что увязать угрозы с уязвимостями – задача реальная, а уж там недалеко и до методов устранения угроз. И ещё, не будем забывать, что угроза безопасности информации не зависит от степени важности (степени секретности) информации и определяется объективными факторами и уровнем развития науки и технологий. К объективным факторам, обуславливающим возможность (условия) реализации угроз, относятся структурно-функциональные характеристики информационной системы, а также нахождение относительно неё субъекта, совершающего противоправные действия. Поэтому в силу своей объективности условия реализации угрозы могут служить критерием выбора необходимых мер защиты.

 

[1] С. В. Вихорев, «Перемен! — требуют наши сердца», BIS JOURNAL № 1/2020.

[2]  Связь между угрозами из БДУ ФСТЭК и мерами защиты | Про ИБ | Яндекс Дзен (https://zen.me/Wsler).

[3] ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения», п. 2.6.1.

[4] Таксономия — это теория систематизации сложноорганизованных областей действительности и знания, имеющих иерархическое строение (объекты тех или иных областей знания, дисциплин и так далее).

[5] Таксон — группа в классификации, состоящая из дискретных объектов, объединяемых на основании общих свойств и признаков.

 

 

Материалы по теме номера – «Банк данных угроз» (BIS Journal №2/41 2021):

Блеск и нищета… БДУ 

Главное – ущерб! BIS-комментарий к статье «Блеск и нищета… БДУ» 

Тусклый блеск... «науки в жизнь». Живём с тем не знаем чем… Защищаем то не знаем что… 

Нищета… знаний о БДУ. Ответ на эссе Вихорева С. В.  

Смотрите также