Журнал "Information Security/ Информационная безопасность" #3, 2019

На сегодняшний день сложилась порочная практи- ка, когда вместо подробных требований к мерам без- опасности в технические задания на ИС включают отсылку типа II должна быть обеспечена безопасность информации в соответствии с требованиями норматив- ных документов ФСТЭК России”. Еще раз подчерк- нем, что в случае объектов КИИ никаких общих требо- ваний не существует: субъ- ект обязан самостоятельно определить и ясно сформу- лировать требования к мерам безопасности, используя методические документы ФСТЭК лишь как справочные материалы. Субъект КИИ вначале должен предусмотреть воз- можность возникновения угрозы (возможность использования нарушите- лем эксплойтов к известным уязвимостям), затем для этой угрозы выбрать адек- ватные ей меры защиты (в том числе ограничение про- граммной среды), реализо- вать эти меры защиты, оце- нить их реализацию в ходе приемки, и только после этого он получает право утверждать, что реализо- вать данную угрозу невоз- можно благодаря принятым мерам защиты. К сожалению, на сегодняшний день сложилась порочная прак- тика, когда вместо подробных требований к мерам безопасно- сти в технические задания на ИС включают отсылку типа "должна быть обеспечена без- опасность информации в соот- ветствии с требованиями нор- мативных документов ФСТЭК России". Еще раз подчеркнем, что в случае объектов КИИ ника- ких общих требований не суще- ствует: субъект обязан самостоя- тельно определить и ясно сфор- мулировать требования к мерам безопасности, используя мето- дические документы ФСТЭК лишь как справочные материа- лы. Отсутствие в техническом задании подробных требований означает, что субъект не выпол- нил предписанные приказом № 239 действия по выбору, адап- тации и усилению мер защиты, что само по себе является нару- шением требований ФСТЭК по обеспечению безопасности значимого объекта КИИ. Моделирование угроз Как упоминалось выше, базо- вый набор мер защиты, уста- новленный приказом № 239, является необходимым, но недостаточным для обеспече- ния безопасности значимого объекта КИИ. Для того чтобы его дополнить, необходимо про- вести анализ угроз. В соответ- ствии с требованиями ФСТЭК анализ угроз включает в себя: l определение источников угроз и возможностей наруши- телей; l анализ возможных уязвимо- стей значимого объекта КИИ; l определение возможных спо- собов реализации угроз; l оценка возможных послед- ствий реализации угроз. К сожалению, в нормативных документах ФСТЭК нет указа- ний на методики проведения анализа угроз. Зато за прошед- шие годы накопился богатый опыт примеров недобросовест- ного проведения такого анали- за, поэтому для начала остано- вимся на них. Самая частая ошибка, кото- рая допускается при анализе угроз, – это попытки признать отдельные угрозы неактуаль- ными из-за принятых мер защи- ты. Например, очень часто в моделях угроз встречаются утверждения типа "угрозы при- менения эксплойтов к извест- ным уязвимостям программного обеспечения внутренним нару- шителем неактуальны, так как реализовано ограничение про- граммной среды". Это методи- чески неверно, так как анализ угроз должен являться основой для выбора мер безопасности и определения особенностей их реализации, а не наоборот. Вторая частая ошибка – попытка напрямую использо- вать текст описания угроз, содержащихся в Банке данных угроз и уязвимостей (БДУ) ФСТЭК России. Третья распространенная ошибка – попытка признать угрозу неактуальной только потому, что ее невозможно реа- лизовать одним действием. Так, угрозу получения доступа к ОС сервера часто признают неакту- альной только потому, что у пользователей нет физического доступа к консоли сервера и удаленного – к интерфейсу уда- ленного управления. Важно понимать, что угрозы, как пра- вило, реализуются последова- тельностью действий, каждое из которых на шаг приближает нарушителя к его цели. Хотя готовой методики ана- лиза угроз нет, можно дать некоторые рекомендации, исхо- дя из практического опыта. Итак, на стадии категорирова- ния мы уже определили крити- ческие процессы, в которых используется данная ИС, и то, к каким последствиям для них может привести нарушение функционирования этой систе- мы. Для того чтобы смодели- ровать угрозы, нужно поставить себя на место нарушителя и разработать возможные сце- нарии действий. Сценарий может выглядеть, например, так: l нарушитель рассылает поль- зователям спам с вредоносным вложением (например, специ- ально сформированным доку- ментом Microsoft Office); l при открытии документа про- исходит эксплуатация уязвимо- сти операционной системы, вре- доносная программа получает контроль над ее ядром и уста- навливает соединение с внеш- ним сервером управления; l с помощью дополнительных загруженных модулей вредо- носная программа перехваты- вает ввод с клавиатуры, а также перехватывает трафик в сег- менте локальной сети; l из сетевого трафика извле- каются и восстанавливаются идентификаторы пользовате- лей, словарные пароли; l с помощью перехваченных идентификаторов и паролей нару- шитель, используя вредоносную программу в качестве шлюза, получает доступ с правами леги- тимного пользователя. Моделировать действия на основе подобных сценариев (сейчас их модно называть Cyber Kill Chain) можно и на основе только описаний угроз из БДУ ФСТЭК, но они не все- гда достаточно информативны. Поэтому приходится использо- вать и другие источники: l результаты тестов на про- никновение; l обзоры инцидентов и часто встречающихся уязвимостей, которые публикуют экспертные организации; l исследования об уязвимостях отдельных технологий; l специализированные катало- ги угроз и уязвимостей ино- странных регуляторов. Таким образом, определяют- ся не просто актуальные угрозы, но и идентифицируются также возможные действия наруши- теля, а значит, на основе такого анализа можно не только выби- рать необходимые меры без- опасности, но и определять осо- бенности их реализации. Разу- меется, подобный анализ можно провести только когда система уже создана (например, в про- цессе модернизации системы безопасности) или спроектиро- вана на уровне технического или хотя бы эскизного проекта. Субъекты КИИ часто опасают- ся, что квалификация специа- листов, создающих систему без- опасности, может оказаться недостаточной для качествен- ного моделирования угроз. Дей- ствительно, эта работа требует глубокой специализации в вопросах проведения атак на ИС, и нет гарантий того, что суждения таких специалистов безошибочны. Следовательно, при моделировании угроз можно что-то упустить, и в результате ИС так и останется уязвимой к отдельным угрозам. Как решать данную проблему? Как это ни удивительно, с точки зрения нор- мативных документов ФСТЭК такая ситуация является нор- мальной, но об этом чуть позже. Внедрение мер безопасности и приемка системы защиты Сама по себе установленная процедура внедрения мер без- опасности особых сюрпризов не содержит, но есть два момен- • 15 В ФОКУСЕ www.itsec.ru