Анализ основных моментов проекта методики определения угроз безопасности информации в информационных системах
В продолжение моих обзоров проекта методики определения угроз безопасности информации в информационных системах (далее – Проект), (ссылка на документ), который в мае 2015 года был опубликован на сайте ФСТЭК России, размещаю краткий анализ методического документа, а именно процесса определения актуальности угроз безопасности информации, основанный на 8 летнем опыте создания систем защиты информационных систем персональных данных (далее – ИСПДн) нашей компанией.
Напомню, что Проект предназначен специалистам в области информационной безопасности, заинтересованным органам государственной власти и коммерческим организациям.
Итак, показатель актуальности угрозы вычисляется по формуле:
УБИjА = [вероятность реализации угрозы (Рj); степень возможного ущерба (Хj)].
Рассмотрим самый популярный случай, когда для оценки вероятности реализации угрозы у нас нет статистических данных, а информационная система находится на стадии создания. Следовательно, нам необходимо определить ее уровень исходной проектной защищенности, зависящий от структурно-функциональных характеристик информационной системы (далее – ИС) и условий ее эксплуатации, по Таблице № 3.
Чтобы получить «высокий» уровень проектной защищенности, не менее 80% характеристик информационной системы должны соответствовать уровню «высокий», а остальные уровню «средний». И если посмотреть внимательно на таблицу, то какие бы не имела проектируемая ИС характеристики, она теоритически не может обеспечивать «высокий» уровень проектной защищенности. Так как из всех 10 показателей только 5 могут соответствовать высокому ровню, а это всего лишь 50%.
Идем дальше. Чтобы получить «средний» уровень проектной защищенности, не менее 90% характеристик информационной системы должны соответствовать уровню «средний» и выше, а остальные низкому. В этом случае все проще – для 9 показателей есть вариант с крестиком в колонке «средний», а для одного оставшегося можно выбрать даже «высокий». То есть теоретически проектируемая ИС может обеспечивать «средний» уровень защищенности хоть на 100%.
Но если подробнее разобрать показатели, например, под номерами 2, 4, 5 и 7. Часто ли встречаются Заказчики, владеющие суперкомпьютерными системами, не взаимодействующими с иными информационными системами, не подключенными к сетям общего пользования и обрабатывающие информацию в однопользовательском режиме. Как правило, все коммерческие организации имеют выход в «Интернет», связь с внешней системой, и ПДн обрабатываются практически на всех автоматизированных рабочих местах.
Получаем, что ИС основной части коммерческих организаций практически не способны обеспечить и «средний» уровень защищенности. Методом исключения мы пришли к тому, что основная масса ИС компаний соответствует низкому уровню защищенности.
Теперь обратимся к Таблицам № 4 и 8 методического документа – в ИС, обеспечивающей «низкий» уровень защищенности, любая угроза безопасности информации будет иметь высокую возможность реализации, а все угрозы безопасности информации с высокой вероятностью реализации актуальны.
В итоге, не вычисляя ни потенциал нарушителя, ни степень возможного ущерба от реализации угрозы безопасности информации, можно принять решение об актуальности всех угроз безопасности информации, которые присущи среднестатистической ИС. А это ведет к значительным и неоправданным затратам ресурсов Заказчика, не только денежных, но и временных.
Также не понятно, для чего 2 раза определять потенциал нарушителя еще и разными методами – при разработке модели нарушителя (второй этап) и при вычислении возможности реализации угрозы безопасности информации (третий этап).
Все положительные моменты Проекта приведены в обзорах, а сейчас хочется отметить, что «Методика определения угроз безопасности информации в ИС» малоэффективна. Плюс, сейчас в октябре, мы с коллегами так и не нашли Проект на сайте ФСТЭК.
