Новый раздел на сайте БДУ - Форум по вопросам информационной безопасности

В моём понимании это давно пора было сделать, и на выходе получить граф от источника к объекту воздействия. Снабдить граф весами и моделировать вероятностно. Идея-то давно существует, OCTAVE-подобное что-то на выходе получим, только с дополнительными возможностями.

to VM:

Ну, если по действующей Методике оценки УБИ от 05.02.2021 все результаты этапов моделирования/оценки отображать графически, то получится граф "от источника к объекту". Тем самым методика не только не запрещает вам помимо описаний и таблиц в модели УБИ приводить подобные графы, но, более того, в структуре Модели УБИ (Приложение № 3 к методике) практически под каждым разделом с рекомендуется включать всевозможные схемы и рисунки, способствующие моделированию/оценки УБИ. Т.о. уже сейчас ничего не препятствует рисованию графов в Модели УБИ. Хоть кратко, хоть подробно.
Что касается вероятностного моделирования, то в действующей методике все этапы моделирования/оценки УБИ базируются сплошь на определении разного рода возможностей (вероятностей): определение возможности объектов воздействия УБИ (раздел 4 методики), оценка возможности реализации (возникновения) УБИ (раздел 5 методики). И определение актуальности УБИ тоже оценивается на возможных (вероятных) УБИ (см. пункт 5.3.3 методики). Т.о. использование вероятностного подхода в действующей методике имеется.
Что касается снабжения графа весами, то, скорее всего, оно будет дополнительным оцениваемым параметром для таблицы (приложение № 2 к методике) и субъективно зависеть от мнения номинального разработчика Модели УБИ (формально группы экспертов). По крайней мере очень сложным представляется в этом какая-то унификация со стороны регулятора. Есть подозрения, что для цели моделирования/оценки/определения УБИ дополнительная субъективная оценка весов в графе ничего не добавит, кроме писанины.
"Ценность" модели УБИ не в наличии актуальных угроз (они всегда будут вне зависимости от проведения моделирования), не в их количестве и, тем более, не в изложении максимально всестороннего мнения какого-то специалиста на эти угрозы, а в её использовании для оценки достаточности принятых мер по защиты информации.
Само по себе "ковыряние" в угрозах интересно и понятно только отдельным специалистами по информационной безопасности или представителями ФСТЭК/ФСБ. Оператор ИС и владелец защищаемой информации ИС такими специалистами не являются. Их интересуют меры, которые надо выполнять в ИС, и цена вопроса. Все ли меры они могут выполнить и профинансировать в полном объёме? Или какие-то угрозы придётся принять в качестве риска и жить с ними? Или ввести по ним компенсирующие меры?
Обратная "крайность": оценивание самих по себе мер защиты (без угроз) выхолащивает задачу обеспечения безопасности объекта.
Условно обратный граф "от объекта у источнику". Как в третьем законе Ньютона. Оценка силы действия (актуальных угроз) должна позволять оценивать силу противодействия (меры по защите).
Если в ожидаемой от регулятора новой методике (и последующих ее редакциях) оценка УБИ не будет связана с оценкой мер по защите, связана с ними, то модель будет больше напоминать научно-техническое исследование одного направления...

to VM
imho, для примитивных объектов граф-описание более-менее подойдет, но для сложных и распределенных превращается в ад. Особенно, при условии фиксации результатов моделирования на бумаге. И работает это все более-менее нормально только в случае риск-ориентированного подхода, которым регулятор, модуль экстрасенсорики подсказывает, никогда не заменит текущий декларативный подход, ага...

to CM
Primo, что касается "графа" в контексте Методики-2021, то ключевые слова "рекомендуется" и "помимо". Что явно не способствует применению подобного подхода на практике, ага...
Secundo, вероятностный подход при оценке УБИ или связанных с ней компонент (нарушителей, способов, сценариев и т.д.) в Методике-2021 отсутствует как класс. А использование оборотов "возможные (вероятные) УБИ" и т.п. происходит по прямому назначению безотносительно их оценки в процентном соотношении или по иным показателям (типа "низкая", "средняя", высокая", как это было в Методике-2008). Исключение составляет момент с решениями экспертов, но... прикол в том, что согласно рекомендуемой структуре Модели представление первичных решений экспертов нигде не фиксируется и не требуется...
Tertio, текущая Методика-2021 не имеет никакого мат.аппарата, поэтому никакого расчета "весов" ни для чего не предусматривает. А заморочки с добавлением весов на этапе согласования решений экспертов - это, как вы сами сказали, интересно и понятно только отдельным специалистам, ага...
Quatro, ни разу не видел НМД регулятора (и "другого регулятора"), в которых бы разрешалось принять риск и жить дальше с какими-то УБИ. Если что-то актуально - принимайте меры и точка. А те, кому мнение регуляторов не интересно (по ряду причин), вольны моделировать (или не моделировать вовсе) УБИ как им будет угодно...
Last, следует ли понимать ваш опус про "оценивание самих мер защиты без угроз..." как "в ЗГТ люди занимаются откровенной ерундой"? Или "это другое", ага?

ЗЫ Методика-2021 за счет "чисто экспертной оценки" получилась чересчур гибкой - на выходе всегда получаем бумажки, в которых качество моделирования определяется исключительно "весом в обществе", а не "качеством" оконечных экспертов. Причем, с учетом пока еще действующей совокупности УБИ в БДУ (те самые 222 шт.) - это особенно актуально в части выбора "мер защиты" (привязки-то УБИ к мерам отсутствуют)...

to oko:

> Last, следует ли понимать ваш опус про "оценивание самих мер защиты без угроз..." как "в ЗГТ люди занимаются откровенной ерундой"? Или "это другое", ага?

Смотря что вкладывается в слово опус? Одно предложение "Обратная "крайность": оценивание самих по себе мер защиты (без угроз) выхолащивает задачу обеспечения безопасности объекта."? Так это всего лишь часть общего суждения о ценности модели УБИ. Поэтому не рекомендую его рассматривать как отдельный опус.
Про ЗГТ и людей в этой области я ничего не писал. Использование подобных "приписываний" в ходе общения, как правило, негативно сказывается на его продолжении.
Способы моделирования, описанные регулятором в нормативно-методических документах ПД ИТР (наверное, это имеется в виду под ЗГТ) и Методике оценки УБИ от 05.02.2021, отличаются значительно. На мой взгляд между ними сложно определить критерии сравнения. Да и открытая площадка не является местом дискуссии для обсуждения методов первых.
Какие-то "всеобщие" рассуждения о деятельности людей на местах беспредметны. Люди разные бывают и на практике по-разному справляются со своими должностными обязанностями вне зависимости от области деятельности (ЗГТ или не ЗГТ): какие люди, чем занимаются, как они это делают и т.д.

> Tertio, текущая Методика-2021 не имеет никакого мат.аппарата, поэтому никакого расчета "весов" ни для чего не предусматривает.

Да, это известно. Но обсуждалось не наличие или отсутствие подобного мат. аппарата в действующей редакции Методики, а высказанная VM мысль о построении графа, а для его оценки которого потребуется снабжение весами.