待っていた文書

5月の休日は、Roskomnadzorからの非常に物議を醸す政府決議案だけでなく、専門家が非常に長い間待っていた文書も提供しました。 ロシアのFSTECは、ウェブサイトで「 IPの情報のセキュリティに対する脅威を特定するための方法論 」とそれに対応する情報メッセージのドラフト文書を公開しました。



この文書は、最終的に承認された後、州および地方自治体の当局を拘束します。 このドキュメントでは、特定の組織に関連する脅威を特定するための方法論について説明しています。 ほとんどの場合、ドキュメントの変更は基本的なものではないため、事前にドキュメントを理解する必要があります。 理論的には、PDオペレーターを含む他の組織では、この手法は必須ではありませんが、実際には代替手段がないため（Roskomnadzorによって実証される必要もあります）、それを使用する必要があります。



方法論に基づいて作成されたIPを保護できるのは何ですか？

この文書は、状態情報システム（以下、情報システムと呼ぶ）における情報セキュリティ脅威の識別と情報セキュリティ脅威のモデルの開発に対する統一された方法論的アプローチを確立し、状態情報システムに含まれる状態秘密を構成しない情報の保護の要件に従って情報の保護が保証されています2013年2月11日付けのロシアのFSTECの命令により承認された第17号（2013年5月31日にロシアの法務省により登録された第28608号）。



個人データ運営者の決定により、方法論は、個人データ情報システムでの処理中の個人データのセキュリティを決定するために使用できます。個人データ情報システムでの処理中の個人データのセキュリティを確保するための組織的および技術的措置の構成および内容に従って保護が保証されます、

2013年2月18日付けロシアのFSTECの命令により承認された第21号（2013年5月14日にロシアの法務省により登録、第28375号）。



この方法論は、国家秘密を構成する情報のセキュリティに対する脅威の特定には適用されません。

したがって、この方法論は、個人情報を保護するすべての企業や組織だけでなく、政府の情報システムのセキュリティ上の脅威を評価するために使用できます。 また、国家機密を構成する情報のセキュリティに対する脅威を評価するために使用することはできません。



したがって、不明な理由のために、他の種類の情報は方法論の範囲外であり、商業秘密/銀行秘密/公式秘密/チップボードなどに分類できます。しかし、実際には、企業にとってこれらの種類の情報はそれらよりもはるかに重要です。同じPD。



また、方法論では、情報セキュリティシステムの外部（従業員の個人用デバイスなど）にある情報セキュリティの問題を規制していません。 現在、会社の従業員の大部分がスマートフォンから会社のリソースにアクセスできる場合、このアプローチは奇妙に思えます。



同時に、ロシアのFSTECは注文番号17と注文番号21の範囲を明確に区別していることに注意してください。実際、政府の情報システムで個人データを保護するには、これらの注文の両方を適用する必要があります。 -FZ。



誰がこのテクニックを使用できますか？



この手法は以下を対象としています。

• ロシア連邦の法律に従って、情報所有者、顧客、および（または）情報システム運営者である州当局、地方政府、および組織。
• ロシア連邦の法律に従って情報システムの作成（設計）を行う組織。
• 情報システムの作成（設計）および運用中に情報を保護するためにロシア連邦の法律に従って従事する組織。
• ロシア連邦の法律に従って情報保護要件を持つ情報システムの認証（適合性評価）に従事する組織。
  
  

実際、あらゆる種類の企業や組織がこの方法論の対象となっています。



用語と定義

方法論では、情報保護の分野の国家標準によって確立された用語とその定義を使用します。

他の出版物はすでに、私たちの法律のさまざまな文書の用語と定義の不一致により、情報保護の目標さえも正確に決定できないと指摘しています。 国家標準への言及は明確なプラスですが、リンクまたは付録の形で関連文書の特定のリストを提供する方が良いでしょう。 避けるために。



脅威はどのように評価されますか？

情報セキュリティの脅威の評価は、専門家の方法で実施されます。



...情報システムの物理的および論理的境界を定義する必要があります。その中で、オペレータが担当する情報保護対策を講じて制御し、保護の対象と情報システムのセグメントを定義します。



情報セキュリティに対する脅威を特定するプロセスは、情報システム内の情報を保護する責任者として指定されたオペレーターのユニットによって編成されます。



情報セキュリティに対する脅威の原因は、アクター（個人、組織、 州 ）またはイベント（産業事故、自然災害、その他の自然現象）になります。



特定の構造的および機能的特性と動作機能を備えた情報システムについて、問題の脅威が対応する可能性のある違反者によって実現される可能性があり、その実装が情報の機密性、整合性、またはアクセス可能性から容認できない負の結果（損害）につながる可能性がある場合、情報セキュリティへの脅威は関連しています（UBIjA） 。



情報システムおよび（または）同じタイプの情報システムにおける情報セキュリティ脅威（セキュリティインシデントの発生）の実装に関する統計データがない場合、情報セキュリティ脅威の関連性は、情報セキュリティ脅威 （Yj） を実装する可能性の評価に基づいて決定されます

この方法論は、専門家グループの形成と専門家の評価に関する推奨事項を提供します。



脅威には以下に関連する脅威が含まれていることに注意してください。

• ハードウェア、ソフトウェア、またはソフトウェアとハ​​ードウェアの低品質（信頼性）。
• 通信ネットワークおよび（または）通信サービスの低品質（信頼性）。
• ソフトウェアおよびハードウェアのバックアップまたは複製システムの効率の欠如または低さ。
• エンジニアリングシステム（空調、電気、セキュリティシステムなど）の低品質（信頼性）。
• サービス組織および個人からの低品質のサービス。
• 特権の昇格、コンピューティングリソースの枯渇、ソフトウェア更新プログラムへのアクセス不能など-情報セキュリティに対する直接的な脅威の実装の条件を作成する脅威。
  
  

方法論はまた、「まず、ソフトウェア（ソフトウェアおよびハードウェア）による標的アクションを含む情報のセキュリティ（機密性、整合性、アクセシビリティ）に違反するエンティティの不正（違法）アクションに関連する人為的脅威の評価に注意を払う必要があることも示しています。機能に違反する（終了する）ために実装された情報システムに。」

情報システムの情報セキュリティに対する脅威を特定するために、以下が決定されます。

• 情報セキュリティへの脅威を実装するために必要な違反者の能力（タイプ、タイプ、可能性）。
• 情報セキュリティの脅威を実装するために使用できる脆弱性（特別に実装されたソフトウェアブックマークを含む）。
• 情報セキュリティの脅威を実装する方法（方法）。
• 情報セキュリティに対する脅威が向けられている情報システムのオブジェクト（影響オブジェクト）。
• 情報セキュリティに対する脅威の実装の結果と結果。
  
  

この方法では、利用可能なデータに基づいて、脅威の可能性を評価する必要があります。

情報セキュリティの脅威を実装するための可能な方法を決定する場合、次の条件から進める必要があります。

• 違反者は、単独で、または違反者のグループの一部として行動できます。
• 情報システムに関連して、外部の侵入者は内部の侵入者と連携して行動する場合があります。
• 脅威はいつでも、情報システムの任意の時点で（任意のノードまたはホストで）実装できます。
• 違反者は、目標を達成するために、情報システムで最も弱いリンクを選択します。
  
  

情報セキュリティの脅威の改訂（再評価）は、少なくとも次の場合に実行されます。

• 情報の保護に関するロシア連邦の法律、規制の法的行為、および情報の保護を管理する方法論文書の要件の変更。
• 構成の変更（主要コンポーネントの構成）および情報システムの機能の特徴。これにより、情報セキュリティに対する新たな脅威が発生しました。
• 情報セキュリティに対する新たな脅威の出現または既存の脅威を実装する能力の向上につながる脆弱性を特定する。
• 違反者の新しい能力に関する情報と事実の出現。
  
  

情報に対するセキュリティの脅威は、少なくとも年に1回レビューすることをお勧めします。



方法論の2番目の段落では、「ビデオカードを変更した場合-脅威モデルの改訂が必要ですか？」という古い紛争について言及しています。



この方法の利点には、違反者の能力を評価するための要件の出現が含まれます。

情報システムの情報セキュリティに対する脅威は、次の種類の違反者によって実装できます。

• 外国の州の特別なサービス（州のブロック）;
• テロリスト、過激派グループ。
• 犯罪グループ（犯罪構造）;
• 外部エンティティ（個人）;
• 競合組織;
• ソフトウェア、ハードウェア、ソフトウェアおよびハードウェアの開発者、メーカー、サプライヤー。
• 設置、試運転、設置、試運転およびその他の種類の作業に関与する人。
• 情報システムの機能を提供したり、オペレーターのインフラストラクチャー（管理、セキュリティ、クリーナーなど）にサービスを提供する人;
• 情報システムのユーザー。
• 情報システム管理者およびセキュリティ管理者。
• 元従業員（ユーザー）。

このリストは、会社の従業員ではない潜在的な違反者からの脅威を評価する必要性を正しく示しています。

情報システム内の情報のセキュリティに対する脅威の違反者による実装の可能な目標（動機）は次のとおりです。

• 国家、その活動の個々の領域、または経済部門への損害。
• イデオロギー的または政治的理由による情報のセキュリティに対する脅威の実現。
• テロ行為の組織。
• 詐欺またはその他の犯罪的手段による物的損害の発生。
• 州当局、組織の活動を信用しない、または不安定にする。
• 競争上の優位性を得ること。
• 開発段階でのソフトウェアまたはソフトウェアとハ​​ードウェアへの追加機能の導入。
• 好奇心または自己実現への欲求;
• さらなる販売および金銭的利益を目的とした脆弱性の特定。
• 復securityからの情報セキュリティに対する脅威の実装。
• 情報セキュリティの脅威の実装は、過失または未熟なアクションのために意図的ではありません。
  
  

また、非常に真のリスト。 実践は、組織が事故に見舞われる可能性があることを示しています。 例は、フランスの雑誌で漫画を取り巻くスキャンダルの結果としての企業のハッキングです。

利用可能なアクセス権に応じて、違反者は、情報システムのコンポーネントおよび/またはそれらに含まれる情報への正当な物理的（直接）および（または）論理的アクセス権を持っているか、そのようなアクセス権を持たない場合があります。



アクセス権の分析は、少なくとも次の点に関して実行されます。

情報システムコンポーネント：

• 情報の入力/出力（表示）デバイス;
• ワイヤレスデバイス;
• ソフトウェア、ハードウェアおよびソフトウェア、情報処理;
• リムーバブルコンピュータストレージメディア。
• 廃止されたマシンストレージメディア。
• 通信チャネルのアクティブ（スイッチング）およびパッシブ機器。
• 制御ゾーン外の通信チャネル。
  
  

違反者の能力を評価した結果は、違反者モデルに含まれます。違反者モデルは、情報セキュリティの脅威のモデルの不可欠な部分（セクション）であり、以下を含みます。

• 情報セキュリティへの脅威の実装を保証できる違反者の種類、種類、および可能性。
• 情報セキュリティに対する脅威を実現する際に、各タイプの違反者が追求できる目標。
• 情報セキュリティの脅威を実装する可能な方法。
  
  

上記の引用は、ドラフト文書のスペルと句読点を保持しながら与えられています。



例として、管理者ができることを見てみましょう。

詐欺またはその他の犯罪的手段による物的損害の原因。

好奇心または自己実現への欲求（ステータスの確認）。

以前にコミットされたアクションに対する復ven。

さらなる販売と金銭的利益の獲得を目的とした脆弱性の特定。

意図しない、無謀な、または未熟練の行動。

専門家グループの仕事について



同時に、文書の最も正確で最も理想的な場所：

情報セキュリティ脅威の確率とは、特定の構造的および機能的特性と操作機能を備えた情報システムでj番目の情報セキュリティ脅威を実装する可能性を特徴付ける、専門家によって決定される指標を意味すると理解されます。 このインジケーターの3つの言葉によるグラデーションが導入されています。

• 低い確率-情報セキュリティのj番目の脅威を実装するための客観的な前提条件はありません、情報セキュリティのj番目の脅威の事実に関する必要な統計情報はありません（セキュリティインシデントの発生）、j番目の脅威を実装する動機はありません、j番目の脅威の可能な頻度はありません5年に1回を超える;
• 中確率-j番目の情報セキュリティ脅威の実装に必要条件があり、j番目の情報セキュリティ脅威（セキュリティインシデントの発生）の事例が記録されているか、j番目の情報セキュリティ脅威の可能性を示す他の情報があり、犯罪者が動機を持っている兆候があるこのような脅威を実現するために、j番目の脅威の実現可能な頻度は1年に1回を超えません。
• 高い確率-情報のj番目のセキュリティ脅威の実装には客観的な前提条件があり、情報のj番目のセキュリティ脅威の実装に関する信頼できる統計（セキュリティインシデントの発生）があるか、情報のj番目のセキュリティ脅威を実現する可能性が高いことを示す他の情報がありますj番目の脅威の実装の動機、j番目の脅威の実装の頻度-多くの場合1年に1回。
  
  

情報セキュリティの脅威の可能性を評価するために必要なデータがない場合、または情報セキュリティの脅威の確率の口頭の段階を決定する際に専門家の評価の客観性に疑問がある場合、j番目の情報セキュリティの脅威の関連性は、その実装の可能性の評価に基づいて決定されます（Yj）。



j番目の情報セキュリティ脅威（Yj）を実装する可能性は、情報システムのセキュリティレベル（Y1）と侵入者の可能性に基づいて評価されます。



情報保護対策が実装されていない場合、またはそれらの妥当性と有効性が評価されていない場合に、情報システムを作成する段階で情報セキュリティに対する脅威を特定する場合、j番目の情報セキュリティ脅威（Yj）を実装する可能性は、情報システムの設計セキュリティのレベルに関連して評価されます。

さらに、方法論は、保護されたネットワークのノードと対応するセキュリティレベルのリストを含むテーブルを提供します。 高、中、低の3つのレベルもあります。



経済的、社会的、政治的などを含む脅威の実現の結果も評価の対象となります。たとえば、社会的結果に適用されるものを見てみましょう。

• 市民の健康を害するための前提条件を作成します。
• 市民のための生命維持施設の機能の混乱の可能性。
• ピケット、ストライキ、集会、その他の行動の整理。
• レイオフ。
• 州当局または地方当局への苦情件数の増加。
• 公的に入手可能な情報源における否定的な出版物の出現。
• ソーシャルサービス（サービス）の提供の不可能（中断）。
• 社会の社会的緊張の増大につながるその他の結果。
  
  

面白いです ところで、無駄に。 サイトをハッキングして関連情報を投稿すると、上記のすべてにつながる可能性があります。

情報セキュリティに対する脅威を判断するために、エキスパートグループの構成にエキスパートを含めることをお勧めします（情報所有者、顧客、およびオペレーターの機能が1つ以上の組織内で実装されているかどうかに関係なく）。

• 情報システムに含まれる情報の所有者の部門から。
• 情報システムのオペレーターの部門から;
• 情報保護ユニットから。
• 情報処理サービスを提供する人から;
• 情報システムの開発者から。
• 外部情報システムの相互作用のオペレーターから（同意した場合）。
  
  

専門家として、情報システムでの情報の処理に関連する活動を持つ専門家、および情報技術の使用および（または）情報保護の分野での資格と経験を持つ専門家を巻き込むことが推奨されます。



専門家は、商業的および金銭的利益または意思決定に影響を与える可能性のある他の圧力がないことに基づいて、独立性を持つべきです。 直接従属する参加者の専門家グループを形成することは推奨されません。



質問の作成と質問方法を使用してパラメータを評価することをお勧めします。質問票は、単一の受け入れられた測定スケール（「低」、「中」、「高」または「はい」、「いいえ」または他のスケール）で質問と可能な回答を示します。 さらに、質問は明確で明確に解釈される必要があり、明確な回答を示唆します。

特に次のことに注意してください。

人間の意思決定の心理学に関連する主観的な要因があります。 また、これは、情報セキュリティに対する脅威を特定する際に、予測と仮定の専門家による過小評価（弱体化）と過大評価（強化）の両方につながる可能性があり、その結果、個々の情報セキュリティ脅威の省略や、無関係な脅威を無効化する不当なコストにつながる可能性があります。

さて、最後



この方法論文書の承認に関連して、情報セキュリティへの脅威を特定するために使用されることはありません。個人データが個人データ情報システムで処理される際の個人データのセキュリティに対する実際の脅威を特定する方法論（FSTEC of Russia、2008）。



まとめると



このドキュメントは、堅実で高品質であることが判明しましたが、ほとんどの場合、使い物になりません。 なんで？

• この文書では、すべての問題が理論レベルで検討されています。 実用的な推奨事項や例はまったくありません。 圧倒的な数の組織にとって、専門家グループの準備は、開発者の関与があっても完全なユートピアです。 最良の場合、手順全体はシステム管理者が実行する必要があります。最悪の場合は、個人データの保護の責任者に任命された人が実行する必要があります。
  
  独自の脅威リストを作成する方法は？ ダメージの計算方法は？
• この作業の基礎は、ロシアのFSTECが管理するデータベース（ubi.fstec.ru）のセキュリティ脅威のリストと、ニュースの監視に基づくデータです。
  
  
  
  

  この方法論は、ロシアのFSTEC（ubi.fstec.ru）によって形成された情報セキュリティ脅威データバンク、および規則8のサブパラグラフ4に従ってロシアのFSTECによって開発されたさまざまなクラスおよびタイプの情報システムにおける情報セキュリティ脅威の基本モデルおよび標準モデルと組み合わせて使用​​されます2004年8月16日のロシア連邦大統領令第1085号で承認された技術および輸出管理のための連邦サービス。
  
  
  
  自然災害と自然現象に関連する脅威の特定は、認可された連邦執行機関によって確立された規則、国家基準に従って実施され、この方法論の範囲外です。
  
  
  
  脆弱性、コンピューター攻撃、公開ソースで公開された悪意のあるソフトウェア、および情報セキュリティの脅威を特定するために特別に実施された調査の結果に関するデータなど、他のソースを使用して情報セキュリティの脅威を特定できます。 この場合、違反者の可能性、潜在的な脆弱性、情報セキュリティに対する脅威とその実装からの結果を実現する方法は、情報セキュリティの脅威ごとに決定されます。
  
  

  
  
  このアイデアは堅牢であると同時にユートピアでもあります。 第一に、企業には報道機関やニュースサイトを監視する時間がありません。 さらに、会社の従業員は、ニュース内の脅威の説明が特定の会社の実際の脅威にどれだけ対応しているかを評価できません。 会社の従業員は、脅威銀行の完全性を評価することもできません。 したがって、前述の脅威バンクの作成時のレビューによると、Androidに対する脅威はありませんでした。 さて、最後の釘-会社の従業員は、特定の脆弱性が次のパッチで本当に閉じられているかどうかを知ることができません。 実際には、脆弱性の閉鎖が行われなかった多くのケースがあります。
  
  
  
  ニュースに頼ることはできません。 特定の脅威を誇張して、企業が独自のPRのためにニュースをリリースできるとは言いません。 ウイルスデータベースには毎日何件のエントリが追加されますか？
  
  リソースで任意の曜日を選択して、問題を評価できます。 ベンダーは、何らかの理由で興味深い脅威についてのニュースを公開していますが、すべてを説明することはできません。 そしてもちろん、ユーザーはすべてを読んで分析することはできません。 例？ 暗号作成者について多くのことが言われています。 上記のスクリーンショットでは、その日にデータベースに追加された暗号化機能が赤で強調表示されています。その日のその他の脅威はすべて、ユーザーの注意を引くことはほとんどありませんでした。
  
  
  
  別の問題は財政的です。 脅威分析は継続的に実行する必要があります。
  
  
  
  

  情報セキュリティの脅威の識別は体系的であり、情報システムの作成段階とその保護要件の形成段階、および情報システムの運用中の両方で実施する必要があります。
  
  

  
  
  もちろん、これは事実です。新しい脆弱性に関する情報は常に表示されます。 しかし、問題は次のとおりです。現実には、新しい保護手段またはその代替手段のために迅速にお金を受け取ることは可能でしょうか？ 実際、資金の配分の計画は、事前に数か月および数四半期にわたって作成されています。 そして、この間ずっと、脆弱性はオープンなままです-そして、私たちがそれについて知っているポイントは何ですか？
  
  

すべてが脆弱であり、脆弱性が至る所にあるとすぐに想定し、これに基づいて保護システムを計画する方がはるかに簡単で正確です。 実際にはそうなります。 そうしないと、既知の問題に基づいて作成されたシステムは、最初の新しい脆弱性によって廃止されます。



また、方法論に関する意見はここ 、 ここ 、 ここで表されています 。 こちらもご覧ください 。 この記事では、脅威モデルをコンパイルする際の一般的なエラーを特定しています。 引用は1つだけにします。

オペレーターによる脅威の手動分析は、実質的に非現実的または不採算になります。 唯一のオプションは次のとおりです。

• 脅威の関連性を計算するための自動化ツールのオペレーターによる適用
• コンサルタント会社に脅威モデリングサービスを申請します。コンサルタント会社は、自動支払いツールを使用するか、和解せずに文書をコピーする必要があります。