воскресенье, 21 мая 2017 г.

Про модели угроз ИБ и сайт www.threat-model.com

 

Недавно запустил сайт www.threat-model.com, посвященный разработке моделей угроз. Написать об этом все не хватало времени. Но сервис заметили коллеги и начали присылать вопросы. А затем и Алексей Лукацкий упомянул его в своей статье об обязательном (!) согласовании моделей угроз ГИС (согласно ПП-555). В общем, тема разработки моделей угроз становится актуальной, поэтому расскажу пару слов о данном сайте.


Для чего это нужно и как это работает
Сервис позволяет достаточно просто и быстро создать модель угроз, удовлетворяющую проекту методики ФСТЭК. Чтобы создать модель нужно перейти на сайт и заполнить небольшую анкету. Регистрация, СМС и тому подобное не требуется. Если формулировки каких-то вопросов не понятны, можно воспользоваться всплывающей подсказкой. После заполнения анкеты, модель угроз можно  будет скачать в виде excel-таблички. 


Используемые методики
Сервис использует Банк угроз безопасности информации ФСТЭК России. В качестве методики расчета используется документ "Методика определения угроз безопасности в информационных системах". Данный документ ориентирован на государственные информационные системы (ГИС), но может использоваться и для других систем. 

В настоящее время методика находится в стадии проекта, рассматривать ее как итоговый вариант не стоит. Когда документ будет опубликован, методика расчета угроз на сайте также изменится. 

Кстати, помимо модели угроз сервис формирует и небольшую модель нарушителя (на втором листе excel-файла), с описанием базовых возможностей и соответствующим классом СКЗИ. Модель нарушителя формируется с учетом Методических рекомендаций ФСБ.


Порядок определения актуальных угроз
1) Вначале из общего перечня угроз исключаются угрозы, характерные для технологий, которые не используются в системе. Например, если пользователь отметил, что средства визуализации не используются, то соответствующие угрозы помечаются как "не рассматриваемые". Затем, по каждой угрозе проверяется соответствующий ей тип и потенциал нарушителя (информация о нем есть в Банке данных угроз). Если среди нарушителей, отмеченных пользователем, нет нарушителей с необходимым потенциалом, то такие угрозы также помечаются как не рассматриваемые.
2) Далее, для оставшихся угроз вычисляется возможность реализации, зависящая от уровня проектной защищенности и потенциала нарушителя. 
Обратите внимание, что в методике ФСТЭК допускается и альтернативный подход, основанный на определении вероятности реализации угроз. Но формализовать "вероятность" согласно текущему варианту методики довольно сложно, поэтому на сайте она не учитывается.
3) На последнем этапе определяется актуальность угроз. Актуальность угрозы зависит от возможности ее реализации, а также от степени потенциального ущерба.

Почему нет рекомендаций по нейтрализации угроз?
Получил сразу несколько таких вопросов. Предоставить рекомендации по нейтрализации угроз - хорошая идея. Но проблема в том, что большинство угроз можно "закрыть" сразу несколькими способами. Способы нейтрализации угроз - вопрос технического проекта и раздавать такие рекомендации в онлайн-сервисе - большая ответственность. Кроме того, можно ненароком начать holy war с апологетами различных решений и вендоров, что автору совершенно не нужно. Хотя, возможно, когда-нибудь, рекомендации в том или ином виде я добавлю. 

Может ли сайт заменить аудит ИБ?
Конечно, нет.  Чтобы составить полноценную модель угроз нужно проводить обследование системы с привлечением специалистов по ИБ. Но сайт может использоваться как инструмент для ознакомления с методикой моделирования угроз, а также в качестве шаблона для дальнейшей разработки.

Будет ли сервис платным?
Нет, извлекать финансовую выгоду из сервиса не планируется. Да это было бы и неправильно с учетом пункта выше. 

Планы развития
Во-первых, как уже говорилось, после утверждения методики ФСТЭК, методику на сайте также придется пересмотреть. Во-вторых, в том или ином виде, возможно появится описание способов нейтрализации угроз. Если смотреть шире, то было бы интересно добавить функции моделирования угроз по другим методикам (по методике NIST, например). Но, с учетом того, что проект некоммерческий, все это очень зависит от свободного времени автора.  

На этом, пожалуй, все. Выражаю благодарность коллегам, в частности Алексею Лукацкому и Сергею Сторчаку, за отзывы. Спасибо всем, кто прислал мне рекомендации и замечания по работе сайта. 
Любые замечания и предложения приветствуются. Вся контактная информация есть на самом сайте.