Нищета… знаний о БДУ. Ответ на эссе Вихорева С. В.

Нищета… знаний о БДУ. Ответ на эссе Вихорева С. В.

Статья Вихорева С. В. – одна из многих статей о банке данных угроз ФСТЭК России (далее БДУ), о которомсегодня пишут по разным поводам. Характерно то, что в этих публикациях часто путают назначение БДУ с назначением модели угроз безопасности информации. Чтобы разобраться в этом, давайте проведём небольшой экскурс в историю.

В конце 90-х годов прошлого века после появления первого терминологического стандарта (ГОСТ Р 50922–1996) и термина «защита информации» возникла задача описания тех «утечек информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию», упоминаемых в определении этого термина. В результате появилось понятие «угроза безопасности информации» как «совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации», закреплённое позже в ГОСТ 50922–2006 г. Однако приведённое определение оказалось настолько общим, что из него невозможно было определить, что за условия и факторы должны учитываться при описании угрозы. То, что их нужно описывать, чтобы знать, от чего защищаться, ни у кого не вызывало сомнения.

В самом начале 2000-х годов были развёрнуты широкие исследования (по заказам Гостехкомиссии России, Постоянного комитета Союзного государства и др.) по описанию угроз безопасности информации. Тогда и появилось понятие «модель угроз» как «физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации». Идея состояла в том, чтобы создать сначала некую модель, содержащую описание типовых угроз безопасности информации для некоторой совокупности информационных систем (например, для государственных информационных систем органов власти), которую назвали базовой моделью угроз, а затем на её основе формировать модели угроз для конкретных информационных систем.И такие базовые модели предполагалось создать для определённых отраслей (энергетики, транспорта, промышленности и т. д.) и для определённых видов и классов информационных систем в этих отраслях. Основное предназначение базовых моделей состояло в том, чтобы систематизировать сведения о возможных угрозах для информационных систем, дать единые представления о том, что должно содержать описание каждой угрозы, и исключить полный «разнобой» в таких описаниях, что наблюдалось тогда сплошь и рядом. Такие базовые модели позволяли по «единой схеме» формировать так называемые частные модели угроз, то есть модели угроз в конкретных информационных системах.

Вместе с тем попытки описать все известные угрозы в компьютерных системах в рамках базовых описательных моделей угроз заведомо были обречены на неудачу по двум причинам:

• во-первых, количество информационных систем и количество угроз в них оказалось настолько велико, что описать их на бумаге хоть с какой-то приемлемой для практики детальностью для всех информационных систем оказалось невозможным;
• во-вторых, динамика изменения состава и содержания угроз оказалась настолько велика (ежегодно возникала «лавина» новых угроз), что описывать их в бумажном варианте не имело практического смысла: они быстро устаревали.

Примечание: необходимо подчеркнуть, что речь идёт лишь только об описательных (вербальных) моделях угроз, а разрабатывались (и продолжают разрабатываться) также и аналитические, и имитационные, и логические, и графовые, и иные математические (формальные) модели угроз.

Естественно, возникла идея создания электронных описательных моделей угроз, то есть в виде электронной базы данных. Первая такая модель, в разработке которой принимали непосредственное участие как автор данной статьи, так и уважаемый С. В. Вихорев, была создана в 2006 г. Однако опыт практического применения этой электронной модели показал, что такие базы нужно вести, то есть постоянно обновлять по результатам публикаций, в том числе в сети Интернет, поскольку без обновлений они быстро становятся неактуальными, однако ни средств, ни сил для отслеживания таких публикаций тогда не было. В результате в начале второго десятилетия была поставлена и начала решаться задача создания национального банка данных угроз безопасности информации, который был создан и функционирует с 2014 г.

В БДУ содержатся сведения об угрозах безопасности информации, уже реализованных хотя бы в одной из информационных систем или возможность реализации которых подтверждена, например, экспериментальными исследованиями. И эти сведения собираются в результате ежедневного сканирования всего интернет-пространства. После обработки собранных данных в банк записываются сведения об элементах описания угроз, таких как типы информационных систем, в которых, судя по публикациям, угроза реализована, возможные источники угрозы, эксплуатируемая уязвимость или уязвимости программного обеспечения информационных систем, эксплойты, разработанные для эксплуатации уязвимостей, способы реализации, объекты воздействия и несанкционированные (деструктивные) действия в ходе реализации угроз и др. Следует отметить, что сведения об уязвимостях и связанной с ними информацией (например, эксплойтах, сайтах, авторах, опубликовавших сведения и т. д.) хранятся в отдельной базе данных, что пока действительно вызывает определённые трудности с сопоставлением уязвимостей и угроз. Сегодня уже планируется существенная переработка БДУ, в том числе в интересах устранения указанного и других выявленных в ходе эксплуатации БДУ недостатков.

Вместе с тем нужно чётко уяснить, что БДУ – это ни в коем случае не описательные модели угроз для каких-либо информационных систем, что, на мой взгляд, в какой-то мере просматривается в суждениях уважаемого С. В. Вихорева.

Зачем же нужен такой банк данных угроз?

Во-первых, банк нужен при составлении частной модели угроз для каждой конкретной информационной системы, в которой описывается весь спектр актуальных угроз для этой системы. Каким же образом можно подтвердить актуальность угроз, описания которых включаются в частную модель угроз? Напомню, что угроза относится к актуальной, если имеется возможность её реализации в конкретной информационной системе и при такой реализации может быть нанесён значимый ущерб для её обладателя. Доказать актуальность можно путём:

• использования соответствующих математических моделей оценки рисков реализации угроз, если таковые модели разработаны для рассматриваемых угроз;
• экспертных оценок последствий реализации угроз с использованием новой Методики оценки угроз, утверждённой ФСТЭК России 5 февраля 2020 г.;
• применения метода аналогий, то есть сопоставлением состава и характеристик данной информационной системы (программного обеспечения, архитектуры, топологии системы, состава применяемых средств защиты, настроек и др.) с составом и характеристиками систем, в которых в соответствии с БДУ такие угрозы уже были реализованы.

Во-вторых, БДУ нужен при изыскании способов и разработке мер и средств защиты от новых угроз, сведения о которых могут содержаться в публикациях и в этом случае собираются для БДУ.

В-третьих, БДУ нужен для прогнозирования возникновения новых угроз, реализуемых, например, путём эксплуатации так называемых уязвимостей нулевого дня, при использовании новых информационных технологий в информационных системах, а также для сбора и анализа трендов в динамике возникновения новых угроз, инцидентов безопасности, уязвимостей, эксплойтов и т. д.

В связи с изложенным вызывают недоумение сетования С. В. Вихорева по поводу того, что БДУ никак не связан с требованиями к мерам защиты. Правильно! Непосредственной связи нет и быть не может, ведь он предназначен для иного. Да, в документах ФСТЭК России написано, что «Требования к системе защиты информации информационной системы определяются в зависимости от… угроз безопасности информации» и далее «В качестве исходных данных для определения угроз безопасности информации должен использоваться банк данных угроз безопасности информации (bdu.fstec.ru)». Я уже писал об этом в статье, названной редактором почему-то «Вершина айсберга во тьме» [1], где отметил, что без модели угроз правильно выбрать адекватные меры защиты не удастся. Это подчёркивает необходимость разработки частной модели угроз для конкретной информационной системы, при этом при разработке такой модели необходимо использовать банк данных угроз (bdu.fstec.ru). Ну и где же здесь «провал»?Скорее в знаниях о том, что такое банк данных угроз?! В связи с этим отнюдь не случайно мнение уважаемого С. В. Вихорева о том, что «в существующем банке угроз, к сожалению, всё смешано в кучу: и угрозы, и их реализации». Странно, ведь описание способа реализации угрозы – это элемент её описания, и здесь сложно что-то смешать. Здесь С. В. Вихорев имеет в виду другое: хорошо бы такие описания структурировать, возможно, по иной совокупности иных «таксонов». Против такого совершенствования никто не возражает, и это предусмотрено в разрабатываемой новой версии БДУ.

Теперь об использовании модели угроз при выборе мер защиты. Я имею в виду описательные модели угроз, о математических моделях чуть позже.Сегодня при выборе мер защиты в конкретной информационной системе (а это значит, что используется частная модель угроз) применяют только экспертные процедуры, при этом сначала определяется вся совокупность актуальных угроз, которые могут иметь место в информационной системе. Затем в зависимости от класса защиты информационной системы определяется базовый состав мер защиты, которые должны быть применены для парирования этих угроз. Далее проводится:

• адаптация базового набора мер защиты информации применительно к структурно-функциональным характеристикам информационной системы, информационным технологиям, особенностям функционирования информационной системы и т. д.;
• уточнение адаптированного базового набора мер защиты информации в интересах обеспечения «блокирования (нейтрализации) всех актуальных угроз безопасности информации, включённых в модель угроз безопасности информации»;
• дополнение уточнённого адаптированного базового набора мер защиты информации мерами, обеспечивающими выполнение требований о защите информации, установленными иными нормативными правовыми актами.

Так что утверждение о том, что при выборе мер защиты угрозы безопасности информации оказываются ни при чём, оказывается в корне неверным.

Спрашивается, а как же в этом случае быть с самими требованиями по защите? Очень просто: требования сегодня формируются в виде перечня мер, которые должны быть применены в информационной системе в зависимости от её класса защиты, который заранее определяется в соответствии с установленными в документах правилами. Правильно ли это? Сегодня, несомненно, да, поскольку иное преимущественно связано с применением количественных или иных формальных методов обоснования требований и, значит, с применением математических (формальных) моделей, к чему «общество защитников информации»пока не готово.

Конечно, с применением математических (формальных) моделей обоснование требований и выбор нужных мер защиты были бы значительно более глубокими, с оценкой достигаемой эффективности защиты информации, с решением задач оптимизации построения системы защиты в каждой информационной системе и др. Попытки именно так решать вопрос построения систем защиты неоднократно предпринимались как в России, так и за рубежом. Были разработаны весьма многочисленные модели и методики оценки эффективности защиты информации, основанные на теории риска. Однако их применение сдерживается многими факторами, такими как:

• «проклятие размерности» множества угроз и быстрое изменение их состава и характеристик, что приводит к сложности формирования и поддержания нужного состава моделей и методик для организации и ведения защиты информации;
• сложность и даже отсутствие подходов к обоснованию требуемой эффективности защиты информации в разных классах информационных систем, отсутствие практических или экспериментальных наработок для такого обоснования;
• большие трудности, возникающие с оценкой рисков реализации угроз безопасности информации в информационных системах. Напомню, что риск – это сочетание показателя возможности (как правило, вероятности) реализации угрозы и ущерба, который может быть нанесён в результате такой реализации. Если для оценки возможности реализации угроз разработаны разнообразные модели и методики, учитывающие не только характеристики самих угроз, но и принимаемые меры защиты, фактор времени и т. д., то для оценки возможных ущербов преимущественно применяются балльные методы, в основе которых лежит аппарат нечётких множеств. При этом оказывается весьма сложно учесть влияние на размеры возможного ущерба состава и характеристик мер защиты.

Конечно, было бы здорово научиться оценивать влияние нарушений безопасности информации в системах управления движением поездов на количество неподанных под загрузку вагонов и затем пересчитать всё это на финансовые убытки. Но ведь ущерб может быть финансовым, материальным (который не всегда пересчитывается в финансовый), экологическим, ущербом здоровью людей, моральным, в том числе репутационным, и т. д. Как их оценивать и тем более суммировать? В оценке рисков реализации угроз пока значительно больше проблем, чем успешных решений.

Да! В новой методике оценки угроз сделан шаг вперёд, но до решения проблемы в целом весьма далеко. Достаточно отметить несколько вопросов, практически не раскрытых в методике: как оценивать влияние мер защиты на возможности и последствия реализации угроз, как учитывать временной фактор, оказывающий существенное влияние на оценку возможностей и развитие последствий реализации угроз и т. д. Всё это «в автомате» приводит к необходимости применения пока только экспертных оценок, и всё возвращается «на круги своя».

Тем не менее предложенное систематизированное представление о том, как оценивать угрозы, – это несомненное продвижение в нужном направлении, а с внедрением количественных методов при сохранении предложенной структуры действий может привести к методологическому прорыву. А вот общие рассуждения (без конкретных предложений) о том, как бы хорошо было иметь ясные количественные показатели риска реализации угроз,как бы полезно было использовать таксономию для полной классификации угроз (кстати, любая классификация основана на таксономии), как бы хорошо было бы при классификации угроз в качестве таксона использовать юридическую оценку последствий и т. д. – это пока пустые рассуждения людей, далёких или отдаляющих себя от проблематики развития методологии оценки рисков реализации угроз безопасности информации.

Наконец, следует остановиться ещё на одном тезисе С. В. Вихорева: о понятии «угроза безопасности информации» и неправомерности понятия «угроза информации» (акцентирую: не «угроза безопасности информации»). Да, термин «угроза информации» иногда встречается в публикациях, но если вдуматься в содержание контекста, а не впадать в критический раж, то становится понятным, что чаще всего имеют в виду угрозы, направленные на информацию, то есть на нарушение таких её свойств, как конфиденциальность, целостность или доступность. Тогда указанный термин не вызывает сильного отторжения. Но всё-таки лучше, конечно, придерживаться установленных терминов и их определений. В этой связи хотелось отметить следующее.

По Вихореву угрозы безопасности информации, направленные на выполнение одного и того же несанкционированного действия (например, копирования информации), относятся к одной и той же угрозе, при этом есть множество вариантов её реализации. Но при такой трактовке этого понятия получается, что одна и та же угроза имеет разные оценки возможности реализации и ущерба в зависимости от того, каков источник угрозы, способ её реализации, используемая при этом уязвимость, применяемый эксплойт и др. При этом уважаемый С. В. Вихорев почему-то умалчивает, как быть с объектом воздействия при реализации угрозы: если копируется разная информация или копируется разный (но перекрывающийся) набор файлов, то это разные угрозы? На мой взгляд, проще и понятнее считать, что, если угрозы отличаются друг от друга хотя бы одним элементом описания (источником, эксплуатируемой уязвимостью, способом реализации, объектом воздействия или, тем более, содержанием выполняемого несанкционированного действия или совокупности действий, например, копирования и затем уничтожения файла), то это разные угрозы, поскольку возможности и последствия их реализации различны.

Таким образом, в эссе С. В. Вихорева хоть и поднимаются важные и интересные вопросы, но по некоторым из них решения уже есть. Я далёк от утверждения, что БДУ совершенен. Наоборот, в эксплуатируемой сегодня его версии очень много недостатков, устранение которых уже запланировано и даже анонсировано заместителем директора ФСТЭК России Лютиковым В. С. Предполагается значительно расширить содержание включаемой в БДУ информации, установить явную взаимосвязь описываемых угроз и эксплуатируемых при этом уязвимостей, более детально раскрыть способы реализации и варианты возможных последствий, если о них стало известно из публикаций и др. Возможно, в результате многие вопросы исчезнут. Однако нужно чётко понимать роль и место БДУ в организации и ведении защиты информации в отечественных информационных системах и не путать БДУ с моделями угроз. Надеюсь, что изложенное в данной статье поможет разобраться в этом.

[1] Ю.К. Язов. «Вершина айсберга во тьме», BIS JOURNAL № 1 (36)/2020

Материалы по теме номера – «Банк данных угроз» (BIS Journal №2/41 2021):

Блеск и нищета… БДУ

Главное – ущерб! BIS-комментарий к статье «Блеск и нищета… БДУ» 

Тусклый блеск... «науки в жизнь». Живём с тем не знаем чем… Защищаем то не знаем что… 

Нищета… знаний о БДУ. Ответ на эссе Вихорева С. В.