Банк угроз ФСТЭК: использовать нельзя игнорировать

Банк угроз ФСТЭК России существует более семи лет. На основе представленной в базе информации происходит оценка уровня информационной безопасности российских компаний.

При этом, в бизнесе нередки случаи, когда отношение к информации, которая представлена в базе, сугубо формальное. Все ограничивается приведением в соответствие нормативной базы организации и минимальным соблюдением норм для прохождения ведомственных проверок.

Такой же формализованный взгляд присутствует и у некоторых ИБ-специалистов. Особенно тех, которые привыкли пользоваться открытыми международными базами и воспринимать БДУ ФСТЭК сугубо как инструмент государственной регуляции.

Дмитрий Ковалев

Руководитель департамента информационной безопасности компании «Сиссофт»

Я не стал бы называть базу данных угроз ФСТЭК «юридическим» инструментом для определения уровня ИБ конкретных компаний. Предпосылкой для ее появления была, в большей степени, идея создать практический инструмент от регулятора — собрать единую базу знаний для информирования о фундаментальных угрозах и мерах по защите от них.

При этом, не стоит ограничиваться только лишь использованием данной базы и относиться к ней как к единственному рабочему инструменту и источнику знаний. Ее стоит использовать как вспомогательный и инструмент к базам знаний о уязвимостях от профильных вендоров по ИБ.

В рамках этой статьи мы оставим за скобками все «государственные атрибуты» этой базы и рассмотрим ее так, будто бы она была продуктом команды энтузиастов.

Банк угроз ФСТЭК: что внутри

Первое, о чем нужно сказать: база ФСТЭК выполнена с учетом мировой практики агрегации информации об угрозах и уязвимостях. Уже на стартовой странице можно узнать об актуальном количестве:

1. Угроз безопасности информации (УБИ), в международной практике – CWE. На данных момент в базе их более двухсот.

2. Уязвимостей информационных систем (CVE). Более сорока тысяч в банке.

В настоящий момент идет тестовая эксплуатация нового формата раздела угроз на платформе. Он дает возможность сформировать персонализированный перечень угроз под конкретную инфраструктуру.

Иван Тельтевский

Digital-агентство Мэйк, управляющий партнер эксперт в ИТ-разработке для государства и промышленности

В чисто прикладном смысле БДУ ФСТЭК содержит огромное количество различных возможных угроз. С ее помощью удобно корректировать политику информационной безопасности. Если выполнять требования документа, то на 80% точно будешь защищен. Но не на все 100%, так как каждый день появляется новое ПО, в том числе вредоносное, системы изменяются и обновляются.

Некоторые обновления создают новые дыры в безопасности, на исправление которых нужны новые доработки. Информационная инфраструктура развивается и меняется непрерывно. Можно сказать, что БДУ ФСТЭК — это базовые, минимальные требования, которые точно нужно выполнять. Но для полной безопасности ими ограничиваться не стоит.

Помимо банка угроз и уязвимостей с их описанием, ресурс дает возможность воспользоваться калькулятором оценки уязвимости (CVSS) и скачать сканер уязвимостей (scanOVAL для Windows и Linux).

Пользоваться, нельзя игнорировать

У БДУ ФСТЭК есть очевидные недостатки. Например, в части описаний. Текст, написанный техническим языком, с добавлением свойственных любому государственному органу канцеляризмов – это существенная преграда для понимания и эффективного использования.

Другой аспект – это вовлечение российских специалистов в работу над платформой. Когда речь идет о практических инструментах «для людей», делать их без оглядки на исполнителей и потребителей – это неэффективный путь.

Сергей Вихорев

Советник генерального директора ГК «ИТ-Экспертиза», эксперт по информационной безопасности

Стоит открыть любой документ ФСТЭК России, касающийся требований к мерам защиты информации, и увидим: «Требования к системе защиты информации информационной системы определяются в зависимости от ... угроз безопасности информации». И далее: «В качестве исходных данных для определения угроз безопасности информации должен использоваться банк данных угроз безопасности информации (bdu.fstec.ru)».

При этом по факту до сих пор меры защиты выбираются исходя из класса информационной системы (который, кстати, определяется по другим критериям и не обращает внимание на угрозы) или требуемого уровня защищенности, но не от угроз. Нет взаимосвязи между самими угрозами и теми мерами, которые позволяют их нейтрализовать.

Сама идея – использовать модель угроз при выборе мер защиты – абсолютно верная. Но при этом сейчас нет связи между угрозами и мерами. Некоторые специалисты пытаются составить таблицы соответствия угроз и мер защиты, но по большому счёту это всё же «самоделки». А нужен системный подход и четкая проработка и соответствующие разделы в банке угроз. Вот тогда модель угроз станет действенным инструментом при выборе мер защиты и не потребуется заставлять бизнес разрабатывать формальную модель угроз («документ ради документа»), он сам почувствует ее необходимость, так как это будет экономить деньги.

А еще лучше, если угрозы будут увязаны не только с мерами защиты, но и необходимыми функциями безопасности, которые реализуются средствами защиты (читай классами средств защиты). Тогда модель угроз станет бесценной.

Также, важно найти такой критерий, который не является субъективным и при этом близок и понятен бизнесу (ведь именно он дает деньги на обеспечение безопасности информации). Если бизнесу сказать, что в результате компьютерной атаки будет реализована возможность несанкционированного доступа к базе данных АСУ управления движением поездов, он задаст вопрос: ну и что? А вот если сказать, что в результате такой атаки 35 вагонов не будут поданы к погрузке, что приведет к такому-то финансовому ущербу, то восприятие и реакция будут совсем другими.

Мне кажется, что ФСТЭК России взял правильный вектор в этом направлении. Если посмотреть новый вариант Методики оценки угроз безопасности информации, то можно увидеть, что одной из основных задач при оценке угроз безопасности информации является определение негативных последствий, которые могут наступить от реализации (возникновения) угроз безопасности информации. Это уже близко к риск-ориентированной модели и может стать критерием классификации угроз, вернее первой ступенью в иерархии систематизации угроз. И за основу можно взять те угрозы, которые приведены в методике.

При всех существующих недостатках, банк данных ФСТЭК постепенно идет по пути преобразования и адаптивности. Государство демонстрирует не только готовность слушать профильных специалистов и представителей бизнеса, но и идти навстречу.

Чтобы максимально реализовать потенциал платформы, важно чтобы и ИБ-комьюнити ответило тем же: готовностью использовать ее в своей работе, предлагать улучшения и работать над оперативным обогащением баз угроз и уязвимостей.