для каких испдн обязательно требуется формировать модель угроз
Для каких испдн обязательно требуется формировать модель угроз
(1).jpg "для каких испдн обязательно требуется формировать модель угроз. Смотреть фото для каких испдн обязательно требуется формировать модель угроз. Смотреть картинку для каких испдн обязательно требуется формировать модель угроз. Картинка про для каких испдн обязательно требуется формировать модель угроз. Фото для каких испдн обязательно требуется формировать модель угроз")
Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.
Программа разработана совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.
Обзор документа
Приказ Министерства цифрового развития, связи и массовых коммуникаций РФ от 21 декабря 2020 г. № 734 “Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых в сферах деятельности, нормативно-правовое регулирование которых осуществляется Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации”
В соответствии с частью 5 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2011, N 31, ст. 4701) и пунктом 1 Положения о Министерстве цифрового развития, связи и массовых коммуникаций Российской Федерации, утвержденного постановлением Правительства Российской Федерации от 2 июня 2008 г. N 418 (Собрание законодательства Российской Федерации, 2008, N 23, ст. 2708; 2020, N 38, ст. 5870), приказываю:
1. Определить угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых в сферах деятельности, нормативно-правовое регулирование которых осуществляется Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации, согласно приложению.
2. Направить настоящий приказ на государственную регистрацию в Министерство юстиции Российской Федерации.
Зарегистрировано в Минюсте РФ 1 июня 2021 г.
Приложение
к приказу Министерства цифрового
развития, связи и массовых
коммуникаций
Российской Федерации
от 21.12.2020 г. N 734
Угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых в сферах деятельности, нормативно-правовое регулирование которых осуществляется Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации
угрозы, связанные с особенностями функционирования технических, программно-технических и программных средств, обеспечивающих хранение, обработку и передачу информации;
угрозы несанкционированного доступа (воздействия) к отчуждаемым носителям персональных данных, включая переносные персональные компьютеры пользователей информационных систем;
угрозы воздействия вредоносного кода и (или) вредоносной программы, внешних по отношению к информационным системам;
угрозы несанкционированного доступа (воздействия) к персональным данным лицами, обладающими полномочиями в информационных системах, в том числе в ходе создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации информационных систем, и дальнейшего хранения содержащейся в их базах данных информации;
угрозы использования методов воздействия на лиц, обладающих полномочиями в информационных системах;
угрозы несанкционированного доступа (воздействия) к персональным данным лицами, не обладающими полномочиями в информационных системах, с использованием уязвимостей в организации защиты персональных данных;
угрозы несанкционированного доступа (воздействия) к персональным данным лицами, не обладающими полномочиями в информационных системах, с использованием уязвимостей в программном обеспечении информационных систем;
угрозы несанкционированного доступа (воздействия) к персональным данным лицами, не обладающими полномочиями в информационных системах, с использованием уязвимостей в обеспечении защиты сетевого взаимодействия и каналов передачи данных;
угрозы несанкционированного доступа (воздействия) к персональным данным лицами, не обладающими полномочиями в информационных системах, с использованием уязвимостей в обеспечении защиты вычислительных сетей информационных систем;
угрозы несанкционированного доступа (воздействия) к персональным данным лицами, не обладающими полномочиями в информационных системах, с использованием уязвимостей, вызванных несоблюдением требований по эксплуатации средств защиты информации;
угрозы целенаправленных действий с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемых с использованием средств криптографической защиты информации персональных данных или создания условий для этого, определяемые операторами информационных систем в соответствии с Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденным приказом Федеральной службы безопасности Российской Федерации от 10 июля 2014 г. N 378 (зарегистрирован Министерством юстиции Российской Федерации 18 августа 2014 г., регистрационный N 33620).
Обзор документа
Минцифры определило угрозы безопасности персональных данных (ПД), актуальные при их обработке в информсистемах, эксплуатируемых в сферах деятельности, регулируемых министерством. Это могут быть внешние вредоносные коды или программы, несанкционированный доступ к ПД и пр.
Практика. Создание системы защиты персональных данных
Достаточно ли использования сертифицированного по требованиям ФСТЭК программного обеспечения обработки ПДн для выполнения всех требований закона «О персональных данных»? Этот вопрос регулярно возникает у организаций, вынужденных обрабатывать персональные данные в бухгалтерских и кадровых программах.
Некоторые вендоры вводят пользователей в заблуждение, позиционируя сертифицированное бухгалтерское и кадровое ПО как панацею от выездных проверок Роскомнадзора.
Мы уже писали о плюсах и минусах сертифицированного программного обеспечения и его месте в комплексной защите персональных данных. В этом материале рассмотрим конкретные действия по выполнению требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при работе с кадровой или бухгалтерской программой.
Напомним, что приведение процессов обработки и защиты ПДн в соответствие действующим требованиям законодательства РФ в общем случае выглядит следующим образом:
Аттестация не является обязательной, однако получение аттестата соответствия даст уверенность в том, что меры, реализованные в рамках системы защиты персональных данных, достаточно эффективны и удовлетворяют всем требованиям безопасности информации.
Обеспечьте защиту персональных данных в вашей компании
Сертифицированное бухгалтерское или кадровое ПО в данном контексте может рассматриваться лишь как средство защиты информации.
Итак, дано: информационная система отдела кадров небольшой организации построена по классической клиент-серверной архитектуре.
В качестве ПО обработки ПДн используется любое кадровое ПО (Контур.Персонал, «1С: зарплата и управление персоналом», сертифицированное ФСТЭК, прочее ПО).
В компании реализованы организационные (разработаны организационно-распорядительные документы по защите ПДн, сотрудники ознакомлены с требованиями законодательства и т д.) и физические (доступ в помещения обработки ПДн ограничен, внедрена охранная сигнализация и т д.) меры защиты ПДн, однако отсутствуют технические средства защиты информации.
Исходя из описанного выше порядка действий, оператор ПДн должен составить модель угроз и определить требуемый уровень защищенности ПДн, дабы в дальнейшем на основе полученных данных разработать систему защиты персональных данных.
Модель угроз безопасности ПДн: пример
Предположим, что в результате оценки исходного уровня защищенности информационной системы, внутренних и внешних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации и последствий реализаций угроз безопасности ПДн, модель угроз будет содержать следующие виды угроз*:
* Перечень актуальных угроз представлен в качестве примера и не может быть использован как эталон или руководство при построении модели угроз безопасности персональных данных.
Основными источниками угроз в данном случае будут выступать:
Напомним, что контролируемая зона — это территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового доступа.
Определение уровня защищенности ПДн
В соответствии с постановлением Правительства Российской Федерации № 1119 от 01.11.2012 в описанной информационной системе требуется обеспечить 4-й уровень защищенности ПДн при их обработке в информационной системе.
Построение системы защиты персональных данных
В соответствии с Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» определяем состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационной системе для 4-го уровня защищенности ПДн.
Рассмотрим техническую реализацию отдельно выбранных мер по обеспечению безопасности персональных данных:
Как видно из таблицы выше, для нейтрализации актуальных угроз безопасности персональных данных используются межсетевой экран и антивирусные средства защиты информации. Кроме того, согласно приказу ФСТЭК России № 21, для обеспечения 4-го уровня защищенности персональных данных межсетевой экран и антивирусное средство должны иметь сертификаты соответствия не ниже 5-го класса по требованиям безопасности информации средств защиты информации.
ПО обработки ПДн также используется в качестве способа реализации требований приказа ФСТЭК России № 21, однако оно не используется для нейтрализации актуальных угроз безопасности ПДн, а следовательно, процедура оценки соответствия (сертификация) такого ПО не требуется.
Текущая система защиты персональных данных позволит разграничить доступ к серверу обработки персональных данных и защитит рабочие станции от актуальных угроз безопасности.
Выводы
Наличие у программы сертификата соответствия ФСТЭК не решает проблемы защиты ПДн. Существует множество средств защиты информации и сценариев их использования. Для построения эффективной и адекватной системы защиты персональных данных важно понимать принципы и порядок реализации мер, направленных на обеспечение безопасности ПДн.
Важно! Защита персональных данных — это комплекс мероприятий, направленных на обеспечение безопасности персональных данных, и внедрение системы защиты является лишь одним из этапов обеспечения безопасности.
Рекомендации по защите персональных данных
Не стоит забывать о поддержании созданной системы защиты ПДн в актуальном состоянии. Периодически необходимо проверять актуальность организационно-распорядительной документации, обновлять модель угроз и контролировать обеспечение установленного уровня защищенности ПДн.
Не пропустите новые публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.
Для каких испдн обязательно требуется формировать модель угроз
УТВЕРЖДЕНА
Заместителем директора
ФСТЭК России
15 февраля 2008 года
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных
Примечание: при рассмотрении угроз утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИН) необходимо применять полную версию данного документа.
Обозначения и сокращения
1. Термины и определения
В настоящем документе используются следующие термины и их определения:
2. Общие положения
Модель угроз содержит единые исходные данные по угрозам безопасности персональных данных, обрабатываемых в информационных системах персональных данных (ИСПДн), связанным:
с перехватом (съемом) ПДн по техническим каналам с целью их копирования или неправомерного распространения;
с несанкционированным, в том числе случайным, доступом в ИСПДн с целью изменения, копирования, неправомерного распространения ПДн или деструктивных воздействий на элементы ИСПДн и обрабатываемых в них ПДн с использованием программных и программно-аппаратных средств с целью уничтожения или блокирования ПДн.
разработка частных моделей угроз безопасности ПДн в конкретных ИСПДн с учетом их назначения, условий и особенностей функционирования;
анализ защищенности ИСПДн от угроз безопасности ПДн в ходе организации и выполнения работ по обеспечению безопасности ПДн;
разработка системы защиты ПДн, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты ПДн, предусмотренных для соответствующего класса ИСПДн;
проведение мероприятий, направленных на предотвращение несанкционированного доступа к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;
недопущение воздействия на технические средства ИСПДн, в результате которого может быть нарушено их функционирование;
Практическое руководство по выполнению требований 152-ФЗ
Каждая организация, обрабатывающая персональные данные (далее — Оператор), сталкивается с вопросом приведения своих информационных систем в соответствие с требованиями законодательства. Рассмотрим плюсы и минусы распространенных сценариев поведения Операторов и предложим альтернативный подход.
Отношение Операторов персональных данных к требованиям законодательства разнообразно. Кто-то предпочитает ничего не делать, не подавать уведомление об обработке ПДн в Роскомнадзор и надеяться, что вопросы контроля обработки ПДн его не коснутся. Кто-то отдает вопросы защиты информации полностью на откуп сторонним организациям. Кто-то находит шаблонные комплекты организационно-распорядительных документов в общедоступных источниках, корректирует их, распечатывает и на этом останавливается. Каждый из этих подходов имеет свои недостатки.
Бездействие Оператора не спасает его от плановых или внеплановых (например, организованных по жалобе субъекта ПДн) проверок контролирующих органов. На фоне новостей о постоянно растущих штрафах за нарушения требований обработки ПДн такой подход выглядит малопривлекательным.
При полной передаче вопросов защиты информации на аутсорсинг появляется риск значительно переплатить. Это часто выливается в покупку дорогостоящих средств защиты информации с избыточной и не всегда востребованной функциональностью. Кроме того, созданная и внедренная система защиты без поддержки пользователей и администраторов Оператора в какой-то момент перестает быть актуальной. Ведь система защиты — это не только реализация технических мер и средств, а еще и организационные мероприятия, направленные на выработку сотрудниками Оператора норм и правил корректного отношения к защищаемой информации.
Шаблонные комплекты из сети позволяют создать лишь видимость защиты информации, при этом информационные системы фактически остаются уязвимы и подвержены угрозам.
Мы предлагаем синтетическую концепцию, когда уполномоченное лицо Оператора самостоятельно проходит определенные шаги построения системы защиты. А на этапе технической реализации системы защиты возможно привлечение специализированных организаций.
Такой подход позволяет уполномоченным лицам Оператора лучше понять существующие процессы обработки информации, включить в работу всех заинтересованных лиц и в результате получить эффективную систему защиты информации. Рассмотрим подход подробнее.
Нормативная база
Каждый оператор, приступая к работе, задается вопросом — с чего начать? Определимся с нормативной базой, на которую будем опираться.
Мы рекомендуем начинать с идентификации систем, в которых осуществляется обработка ПДн, и их детального изучения. Дальнейшие действия будут зависеть от того, какая перед нами система.
Разберем порядок действий на отдельно взятой информационной системе.
ГИС или не ГИС
Сначала необходимо понять, относится ли рассматриваемая система к государственным информационным системам (ГИС) или нет. От этого будет зависеть подход к защите. Как определить, ГИС перед нами или нет, описано в отдельной статье.
Рекомендации для систем обработки ПДн далее по тексту будем называть «для ИСПДн», рекомендации для государственных систем — «для ГИС».
Актуальные угрозы ИБ
Необходимо определить, какие угрозы ИБ актуальны для рассматриваемой информационной системы. Определение актуальных угроз производится в соответствии с «Методикой определения актуальных угроз безопасности персональных данных». В общем случае алгоритм выглядит так:
Уровень защищенности ИСПДн
Необходимо определить, к какому типу относятся актуальные угрозы. Существуют три типа угроз:
Рассматриваем каждую угрозу в отдельности. Определяем, к какому максимальному типу они относятся.
Следующим шагом необходимо определить категорию обрабатываемых данных. Существуют следующие категории персональных данных:
В одной ИС могут обрабатываться несколько категорий персональных данных. Подробное определение категорий дано в № 152-ФЗ.
Необходимо определить объем обрабатываемых ПДн. Здесь возможны 3 вариации:
На основании типа угроз, категории ПДн и объема ПДн делается вывод об уровне защищенности системы в соответствии с постановлением Правительства № 1119.
Для Определения УЗ можно воспользоваться специальной таблицей:
Класс ГИС
Если рассматриваемая система относится к ГИС, необходимо определить ее класс в соответствии с приказом ФСТЭК № 17 от 11.02.2013.
Для этого определяются дополнительные к предыдущему разделу показатели:
На основании уровня значимости и масштаба ИС делается вывод о классе ГИС.
Базовый набор мер
После определения уровня защищенности и класса (для ГИС) нужно перейти к формированию общего перечня требований и мер, которые необходимо обеспечить в ИС.
Для ГИС, помимо требований, необходимых для ИСПДн, дополнительно добавляются требования приказа ФСТЭК № 17.
В результате должен быть сформирован общий перечень требований и мер, которые необходимо обеспечить в ИС. Назовем его базовый набор мер.
Адаптированный набор мер
Следующим шагом является анализ полученного базового набора мер и его актуализация. То есть удаление из него всех мер, несвойственных рассматриваемой информационной системе. Например, удаляем меру «Защита беспроводных сетей», если беспроводные технологии в ИС не применяются. В итоге получаем адаптированный базовый набор мер.
Дополненный набор мер
Исследуем адаптированный базовый набор мер и соотносим его с перечнем актуальных угроз ИБ. В случае если ни одна мера не закрывает отдельную актуальную угрозу, дополняем набор дополнительными мерами. В результате все актуальные угрозы должны быть закрыты мерами ИБ из набора мер. На выходе получаем дополненный адаптированный базовый набор мер.
Система защиты информации
В соответствии с полученным набором мер осуществляется выбор технических средств защиты или организационных мероприятий, направленных на выполнение мер. Происходит формирование проекта системы защиты информации.
Для ИСПДн сертифицированные средства защиты информации применяются для закрытия актуальных угроз ИБ.
Для ГИС применяются только сертифицированные средства защиты информации.
Реализуется внедрение системы защиты по созданному проекту. Внедряются организационные меры и технические средства защиты. Разрабатываются политики, положения, инструкции, которые внедряются в процессы обработки информации. Устанавливаются, настраиваются и вводятся в эксплуатацию средства защиты информации. На этом этапе привлекаются специализированные организации, оказывающие соответствующие услуги. При самостоятельном внедрении ознакомьтесь с типичными ошибками при построении СЗПДН.
Контур-Безопасность: Разработка, внедрение и сопровождение систем защиты ПДн.
Аттестация
После введения системы защиты в эксплуатацию проводится оценка соответствия принятых мер требованиям законодательства.
Для ИСПДн оценка соответствия в форме аттестации не обязательна. Достаточным является проведение испытаний на соответствие требованиям безопасности с выдачей заключения. Испытания могут быть проведены оператором как самостоятельно, так и с привлечением специализированных организаций.
Для ГИС оценка соответствия в форме аттестации является обязательной процедурой. Для аттестации по требованиям безопасности информации необходимо привлечение специализированной организации, уполномоченной на данную деятельность.
Контур-Безопасность проводит аттестационные испытания и выдает аттестаты соответствия требованиям по безопасности информации.
Что в итоге
В результате данного подхода получаем систему защиты информации. Как видим, привлечение специализированных организаций происходит только на заключительных этапах. Данный подход позволяет сэкономить организациям значительные средства, так как основную часть работ они выполняют самостоятельно.
Кроме того, последовательно выполняя шаги, уполномоченные лица Операторов напрямую участвуют в работе по защите ИС, что должно положительно сказаться на эффективности полученной системы защиты информации.
А что потом?
Система защиты информации внедрена и принята в эксплуатацию. Можно ли успокоиться и забыть о ней? Конечно нет. Мир информационных систем и технологий очень изменчив. Технологии развиваются и совершенствуются, изменяются информационные системы. Возможно, через какое-то время угрозы ИБ, которые не были актуальны при проектировании системы защиты, станут актуальны. Для поддержания системы защиты информации в рабочем состоянии рекомендуем проводить аудит информационной безопасности не реже одного раза в год, привлекая для этого специалистов — либо собственными силами.
Удачи на пути создания собственной эффективной системы защиты информации.
Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»
Не пропустите новые публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.
Пишем модель угроз
Всем привет, мы продолжаем свой цикл статей по «бумажной безопасности». Сегодня поговорим о разработке модели угроз. Если цель прочтения этой статьи в получении практических навыков, то лучше сразу скачать наши шаблоны документов, в котором есть и шаблон модели угроз. Но и без шаблона под рукой со статьей тоже можно ознакомиться в общеобразовательных целях.
Зачем нужна модель угроз?
Необходимость разработки модели угроз регламентирована рядом нормативных документов. Вот некоторые из них.
Часть 2 статьи 19 закона №152-ФЗ «О персональных данных»:
2. Обеспечение безопасности персональных данных достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утверждены приказом ФСТЭК России от 18 февраля 2013г. №21):
4. Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.
Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (утверждены ФСТЭК России от 11 февраля 2013г. №17)
Формирование требований к защите информации… в том числе включает:
…
определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработку на их основе модели угроз безопасности информации;
.
Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды (утверждены приказом ФСТЭК России от 14 марта 2014г. №31):
Формирование требований к защите информации в автоматизированной системе управления… в том числе включает:
…
определение угроз безопасности информации, реализация которых может привести к нарушению штатного режима функционирования автоматизированной системы управления, и разработку на их основе модели угроз безопасности информации;
Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации (утверждены приказом ФСТЭК России от 25 декабря 2017г. №239):
11. Разработка организационных и технических мер по обеспечению безопасности значимого объекта осуществляется субъектом критической информационной инфраструктуры… и должна включать:
а) анализ угроз безопасности информации и разработку модели угроз безопасности информации или ее уточнение (при ее наличии);
Итак, вывод отсюда простой: для любых информационных систем, так или иначе подлежащих защите в соответствии с законодательством необходимо разработать модель угроз.
Содержание модели угроз
С необходимостью создания документа разобрались, давайте же посмотрим, что предписывает нам законодательство по его содержанию. Здесь, как ни странно, все довольно скудно.
В качестве хрестоматийного примера описания содержания модели угроз можно привести 17 приказ ФСТЭК:
Модель угроз безопасности информации должна содержать описание информационной системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.
Вы не поверите, но это все. Но с другой стороны, хоть текста и не много, но он довольно содержательный. Давайте еще раз перечитаем и выпишем, что должно быть в нашей модели угроз:
Вступительная часть модели угроз
Хорошо, давайте уже перейдем к содержанию документа.
Думаю про титульный лист, список сокращений, терминов и определений все понятно. Хотя, пожалуй, стоит поподробнее остановиться на… внезапно титульном листе.
В шаблоне его подписывает именно руководитель владельца информационной системы. Это не просто так.
Постановление Правительства РФ от 11 мая 2017г. №555:
4. Техническое задание на создание системы и модель угроз безопасности информации утверждаются должностным лицом органа исполнительной власти, на которое возложены соответствующие полномочия.
Естественно, если информационная система не государственная и оператор системы не является органом исполнительной власти, то подписывать модель угроз может кто угодно. Просто мы не раз сталкивались, когда при выполнении вышеуказанных условий (государственная информационная система органа исполнительной власти) заказчик нас просил изменить титульный лист, чтобы там были подписи только представителей компании-лицензиата (то есть – наши). Приходилось объяснять, почему такую модель угроз ФСТЭК вернет на доработку.
Раздел «Нормативно-методическое обеспечение»
Здесь хотелось бы вспомнить, о том, что модель угроз может разрабатываться для очень разных систем – от ИСПДн до КИИ. Поэтому и список нормативной документации может отличаться. Например, если мы разрабатываем модель угроз для АСУ ТП, то из шаблона нужно убрать 21 и 17 приказы ФСТЭК и добавить 31-й.
Частой ошибкой здесь бывает добавление различных ГОСТ и прочих нормативных документов (очень любят сюда вписывать СТР-К), никак не связанных с моделированием угроз. Либо отмененных документов. Например, часто в моделях угроз можно встретить в списке нормативных документов ФСБшные так называемые «Методические рекомендации. » и «Типовые требования. », которые давно не актуальны.
Общие положения
Здесь в шаблоне представлена стандартная вода – зачем нужна модель угроз и т. д. То, на чем нужно здесь заострить внимание это комментарий по поводу вида рассматриваемой информации. По умолчанию в шаблоне представлен наиболее часто встречаемый вариант – персональные данные (ПДн). Но в системе может не быть персональных данных, но может быть другая конфиденциальная информация (КИ), а еще информация может быть не конфиденциальной, но защищаемой (ЗИ) по другим характеристикам – целостность и доступность.
Описание информационной системы
Здесь указываются общие сведения об информационной системе – где находится, как называется, какие данные и какого класса (уровня защищенности, категории) обрабатываются. Здесь конечно многих интересует – насколько подробно нужно описывать информационную систему.
В процессе многократных согласований моделей угроз для государственных информационных систем нами выработано решение относительно этого – должна быть золотая середина. Это не должна быть копипаста из технического паспорта с указанием серийных номеров технических средств. Но с другой стороны, человек не знакомый с системой, почитавший ее описание в модели угроз должен примерно понять, как эта самая система работает.
Серверная часть информационной системы «Нипель» представляет собой кластер физических серверов, на которых развернут гипервизор ESXi 6.x. Работа серверной части основных сервисов информационной системы обеспечивается виртуальными серверами (имена серверов) под управлением операционных систем (список ОС). Основным программным обеспечением, реализующим технологические процессы обработки является (название ПО). Прикладное программное обеспечение является клиент-серверным приложением. Клиентская часть работает как толстый клиент на рабочих станциях пользователей под управлением операционных систем (список ОС). Пользователи получают доступ к информационной системе, как из локальной сети, так и через сеть интернет с использованием защищенных каналов связи. В целом информационная система функционирует как показано на схеме.
Прикладывается функциональная (не топологическая!) схема информационной системы.
Вот примерно так оно обычно выглядит. Стиль и другие детали, конечно, могут сильно отличаться, главное – информация, которую можно подчерпнуть из описания.
Здесь же есть раздел «Охрана помещений». Тут описываем, как охраняются помещения в рабочее и в нерабочее время – видеонаблюдение, СКУД, охранник, вахтер, сигнализация и вот это все.
Сюда же в шаблоне модели угроз отнесены чисто ФСБшные разделы «Определение актуальности использования СКЗИ для обеспечения безопасности персональных данных» и «Дополнительные объекты защиты». Если криптография не используется, то эти разделы просто убираем, если используется, то там особо менять ничего, в общем-то, и не нужно, кроме как вписать название информационной системы.
Раздел «Принципы модели угроз» тоже можно не менять. Просто обратите внимание, что есть вариант для случаев, когда в системе используются криптосредства, и когда нет. Выбираем нужный и едем дальше.
Модель нарушителя
Здесь можно разделить эту часть на классическую и новую. Классическая это та самая, где описаны потенциальные нарушители 1, 2 и далее категорий. На самом деле эта часть модели нарушителя оставлена в шаблоне только потому, что регуляторам нравится, когда она есть. Практическую же ценность представляет раздел «Нарушители согласно банку данных угроз ФСТЭК России».
Практическую ценность этот раздел представляет потому, что сами угрозы из банка данных угроз ФСТЭК (далее – БДУ) привязаны к нарушителям с низким, средним и высоким потенциалом. Сам раздел представляет из себя копипасту описаний характеристик нарушителей с низким, средним и высоким потенциалами. Далее делается вывод нашим любимым «экспертным» путем — какой нарушитель для нас актуален. То есть, по сути, составитель выбирает нарушителя «на глаз», потому что каких-либо методик выбора нарушителя просто нет.
Не будем здесь приводить эти описания полностью, постараемся коротко сформулировать, чем отличаются потенциалы нарушителей. Кроме разграничения по потенциалу нарушители еще бывают внешние и внутренние.
Самый талантливый хакер в мире, который в совершенстве пользуется уже имеющимися инструментами и может создавать свои инструменты это внезапно нарушитель с низким потенциалом. Нарушитель с теми же возможностями, но имеющий некую инсайдерскую информацию о системе это уже средний потенциал. Основная фраза, отличающая средний потенциал от низкого: «Имеют доступ к сведениям о структурно-функциональных характеристиках и особенностях функционирования информационной системы». Вот здесь нужно хорошо подумать, насколько вероятна утечка такой информации. Нарушители с высоким потенциалом, если коротко, то это в основном спецслужбы. Тут у нас и возможность привлекать специализированные научные организации и съем информации с физических полей и вот это все.
В реалистичных ситуациях потенциал нарушителя либо низкий, либо средний.
«ФСБшные» разделы
Чаще всего применимый класс криптосредств – КС3. Сейчас расскажем почему.
Про типы угроз подробно не будем останавливаться, информации много в интернете. Остановимся на том, что есть 3 типа угроз и нам всеми правдами и неправдами, если планируется применение криптографии нужно делать именно 3-й тип угроз (неактуальные угрозы, связанные с недекларированными возможностями в прикладном и общесистемном ПО). Почему?
Потому что 378 приказ ФСБ:
Вроде понятно, а в чем проблема? Проблема в том, что СКЗИ классов КА1, КВ1 и КВ2 вы не сможете купить просто так, даже если у вас есть куча денег, которых они стоят.
Проведем небольшое «расследование». Качаем свежий реестр СКЗИ, ищем СКЗИ класса КА1. Поиском первым попался «Аппаратно-программный шифратор М-543К». Идем в гугл, пишем «Аппаратно-программный шифратор М-543К купить» — провал. Пытаемся «купить» следующее криптосредство – опять провал. Вбиваем просто «криптосредство КА1 купить» — провал. Получаем только ссылки на другие криптосредства классов КС1-КС3 или на форумы, где обсуждают криптографию. А дело в том, что, как уже было сказано, просто так купить СКЗИ классов КА и КВ вы не сможете, только через специализированные воинские части. Зачем было эти криптосредства вообще упоминать в документе по персональным данным – до сих пор не ясно. Поэтому в обычной ИСПДн — только третий тип угроз.
С КА и КВ разобрались, но почему именно КС3, а не КС2 и КС1? Тут уже виновато второе условие – нарушитель.
12. СКЗИ класса КС3 применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных в пунктах 10 и 11 настоящего документа и не менее одной из следующих дополнительных возможностей:
а) физический доступ к СВТ, на которых реализованы СКЗИ и СФ;
б) возможность располагать аппаратными компонентами СКЗИ и СФ, ограниченная мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.
Таким образом, обосновать более низкий класс СКЗИ можно только обосновав, что наши пользователи не являются потенциальными нарушителями (сложно), или использовать только криптошлюзы, которые расположены в серверных помещениях, в которые, в свою очередь, имеют доступ только привилегированные пользователи, которых мы исключили из списка потенциальных нарушителей.
Уязвимости
Как мы помним, в модели угроз должны быть указаны возможные уязвимости. В скачиваемом шаблоне модели угроз этого раздела пока что нет, поэтому коротко опишем, как стоит с этим поступать.
У составителя модели угроз сразу должен появиться вопрос: а что нужно прям список выявленных сканером уязвимостей к документу прикладывать? Вопрос хороший и ответ не однозначный. Знаем мы коллег, которые делают именно так, но мы считаем такой подход неправильным и вот почему.
Во-первых, модель угроз безопасности информации документ, хоть и подлежащий изменениям, но все-таки более-менее статичный. Разработали один раз и забыли до существенных инфраструктурных изменений в системе.
Список уязвимостей, который формируется сканерами – информация очень динамичная. Сегодня мы выявили уязвимости, завтра их устранили и просканировали заново – получили новый отчет. Послезавтра появились новые сигнатуры, сканер обновился и нашел новые уязвимости и так по кругу. Какой смысл прикладывать отчет сканера уязвимостей, сделанный на момент разработки модели угроз? Никакого.
Во-вторых, модель угроз может создаваться для еще физически не существующей (спроектированной, но не построенной) информационной системы. В таком случае мы даже просканировать ничего не можем.
Выход из этой ситуации простой. Указывать в модели угроз не конкретные уязвимости с указанием идентификатора CVE и рейтинга CVSS, а перечислить возможные классы уязвимостей для конкретной информационной системы. А чтобы придать этому списку солидности, возьмем этот список не из головы, а из ГОСТ Р 56546-2015 «Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем». Перечень под спойлером. Берем его и убираем лишние, не совместимые со структурно-функциональными характеристиками нашей системы. Раздел готов!
Уязвимости по области происхождения:
Уязвимости по типу недостатков информационной системы:
Частная модель угроз безопасности
И вот только здесь мы приступаем непосредственно к определению актуальных угроз.
Методика определения актуальных угроз от ФСТЭК 2008 года слегка попахивает и о ней мы уже писали здесь. Но здесь ничего не поделаешь, как в той же статье отмечено – что есть, с тем и работаем. Давайте же посмотрим, что конкретно нам нужно сделать, чтобы получить список актуальных угроз.
Свежие документы от ФСТЭК предписывают в качестве исходных данных для угроз безопасности информации использовать БДУ. Сейчас там 213 угроз и список может пополняться.
Здесь сразу же хотелось бы рассказать о плюсах и минусах БДУ. Несомненный плюс – это то, что теперь нет необходимости придумывать и формулировать угрозы самостоятельно, хотя дополнить модель угроз своими угрозами тоже ничего не запрещает. Еще один плюс это прописанный потенциал нарушителя и определенные нарушаемые характеристики безопасности информации для каждой угрозы – не нужно ничего выдумывать.
Минусы. Первый минус это до ужаса скудные возможности по сортировке угроз. Когда вы первый раз начинаете делать модель угроз по БДУ, то естественное желание это отсеять угрозы, которые не могут быть актуальны в вашей системе по структурно-функциональным характеристикам. Например, убрать угрозы для виртуальных контейнеров и гипервизоров, потому что в системе не применяется виртуализация или отобрать угрозы для BIOS/UEFI нужно по какой-то причине, а такой возможности нет. Не говоря уже о том, что в БДУ целый ряд достаточно экзотических угроз, связанных, например, с суперкомпьютерами или грид-системами.
Поскольку мы, как организация-лицензиат, разрабатываем много моделей угроз для разных систем, нам пришлось вручную разбить на группы 213 угроз, иначе работа очень затрудняется, особенно учитывая то, что угрозы даже по порядку никак не сгруппированы.
Второй минус – описание самих угроз. Нет, где-то все четко и понятно. Но бывает угроза так сформулирована, что нужно голову поломать, чтобы разобраться о чем вообще речь.
Вернемся определению списка актуальных угроз.
Уровень исходной защищенности
Первое, что нужно определить это глобальный параметр – уровень исходной защищенности. Глобальный он потому, что определяется один раз и не меняется от угрозы к угрозе.
Чтобы определить уровень исходной защищенности (он же коэффициент исходной защищенности Y1) нужно для семи показателей выбрать одно из значений, которое больше всего подходит для вашей системы.
Список характеристик под спойлером.
| технические и эксплуатационные характеристики испдн | уровень защищенности | ||
| высокий | средний | низкий | |
| 1. по территориальному размещению: | |||
| распределенная испдн, которая охватывает несколько областей, краев, округов или государство в целом | — | — | + |
| городская испдн, охватывающая не более одного населенного пункта (города, поселка) | — | — | + |
| корпоративная распределенная испдн, охватывающая многие подразделения одной организации | — | + | — |
| локальная (кампусная) испдн, развернутая в пределах одного здания | — | + | — |
| локальная испдн, развернутая в пределах одного здания | + | — | — |
| 2. по наличию соединения с сетями связи общего пользования: | |||
| испдн, имеющая многоточечный выход в сеть связи общего пользования | — | — | + |
| испдн, имеющая одноточечный выход в сеть связи общего пользования | — | + | — |
| испдн, физически отделенная от сети общего пользования | + | — | — |
| 3. по встроенным (легальным) операциям с записями баз персональных данных: | |||
| чтение, поиск | + | — | — |
| запись, удаление, сортировка | — | + | — |
| модификация, передача | — | — | + |
| 4. по разграничению доступа к персональным данным: | |||
| испдн, к которой имеют доступ определенные перечнем сотрудники организации, являющейся владельцем испдн, либо субъект пдн | — | + | — |
| испдн, к которой имеют доступ все сотрудники организации, являющейся владельцем испдн | — | — | + |
| испдн с открытым доступом | — | — | + |
| 5. по наличию соединений с другими базами пдн иных испдн: | |||
| интегрированная испдн (организация) использует несколько баз пдн испдн, при этом организация не является владельцем всех используемых баз пдн) | — | — | + |
| испдн, в которой используется одна баз пдн, принадлежащая организации — владельцу данной испдн | + | — | — |
| 6. по уровню обобщения (обезличивания) пдн: | |||
| испдн, в которой предоставляемые пользователю данные являются обезличенными (на уровне организации, отрасли, области, региона и т. д.) | + | — | — |
| испдн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации | — | + | — |
| испдн, в которой предоставляемые пользователю данные не являются обезличенными (т. е. присутствует информация, позволяющая идентифицировать субъекта пдн) | — | — | + |
| 7. по объему пдн, которые предоставляются сторонним пользователям испдн без предварительной обработки | |||
| испдн, предоставляющая всю базу данных с пдн | — | — | + |
| испдн, предоставляющая часть пдн | — | + | — |
| испдн, не предоставляющая никакой информации | + | — | — |
Каждому значению соответствует высокий, средний или низкий уровень защищенности. Считаем какой процент у нас получился для показателей с разными значениями. Про высокий уровень исходной защищенности – забудьте, его не бывает. Если «высокий» и «средний» набрали 70% и выше, то определяем средний уровень исходной защищенности (Y1 = 5), если нет, то – низкий (Y1 = 10).
Опасность угроз
Этот раздел в шаблоне называется «Определение последствий от нарушения свойств безопасности информации (опасность угроз)». Назвали его именно так, потому что, по сути, по определению опасности угроз это является определением последствий, но при согласовании модели угроз, проверяющие могут и не провести эту параллель, а поскольку «определение последствий» должно быть в модели угроз – пишут замечание.
Итак, опасность угроз может быть низкой, средней или высокой, в зависимости от того незначительные негативные, просто негативные или же значительные негативные последствия наступают при реализации угрозы соответственно.
Специалисты здесь часто спорят — должна ли опасность угроз определяться один раз и быть константой для всех угроз – или же нет. Методикой это не оговорено, поэтому можно и так и так. Наш подход промежуточный – мы определяем опасность угроз в зависимости от нарушения конфиденциальности, целостности или доступности при реализации конкретной угрозы.
По нашей логике негативные последствия не зависят от способа нарушения конфиденциальности, целостности и доступности. Например, если ваши персональные данные утекут в какой-то базе, то вам скорее всего будет неважно каким образом это произошло – с помощью SQL-инъекции или с помощью физического доступа нарушителя к серверу (профессиональный интерес ИБ-шника не в счет!). Поэтому определяем так сказать три «опасности угроз», для нарушения конфиденциальности, целостности и доступности. Часто они могут совпадать, но все равно в модели угроз лучше отдельно проанализировать. К счастью, в БДУ для каждой угрозы нарушаемые характеристики тоже прописаны.
Исключение «лишних» угроз
Далее, чтобы сразу отсечь лишние угрозы делаем табличку со списком исключаемых угроз и обоснование – почему мы их выкидываем.
В шаблоне в качестве примера представлены:
По последнему пункту нужно уточнить пару моментов:
Описание угроз
Далее идет таблица с описанием угроз, которые не были исключены. Да, здесь нужно именно копипастить текст из БДУ, потому что в модели угроз должно быть «описание угроз», отделаться идентификаторами не получится. Давайте посмотрим, что у нас в этой таблице есть.
Номер по порядку и идентификатор угроз из БДУ – тут все понятно. Столбцы «описание угрозы» и «способ реализации угрозы» — текстовый блок из БДУ. В первый столбик вставляем текст до слов «Реализация угрозы возможна. ». Во второй – все остальное. Разделение опять же связано с требованием нормативных документов о том, что в модели угроз должны быть описаны «Способы реализации угрозы». При согласовании это поможет избежать лишних вопросов.
Следующие столбцы таблиц это потенциалы внутреннего и внешнего нарушителей. Для того чтобы сделать таблицу боле компактной и дать больше места текстовым блокам мы предварительно сопоставили высокому, среднему и низкому потенциалам соответственно цифры 1, 2 и 3. Если потенциал в БДУ не указан, ставим прочерк.
Столбец «Объекты воздействия» — также берем данные из БДУ.
Столбец «Нарушаемые свойства» — К, Ц и Д, конфиденциальность, целостность и доступность – заменили на буквы с той же целью, что и в случае с нарушителями.
И последние столбцы – «Предпосылки» и «Обоснование отсутствия предпосылок». Первый – это начало определения коэффициента Y2, он же вероятность реализации угрозы, который в свою очередь определяется из наличия предпосылок к реализации угрозы и принятия мер по нейтрализации угрозы.
Под частотой (вероятностью) реализации угрозы понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация конкретной угрозы безопасности ПДн для данной ИСПДн в складывающихся условиях обстановки. Вводятся четыре вербальных градации этого показателя:
маловероятно – отсутствуют объективные предпосылки для осуществления угрозы (например, угроза хищения носителей информации лицами, не имеющими легального доступа в помещение, где последние хранятся);
низкая вероятность – объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (например, использованы соответствующие средства защиты информации);
средняя вероятность — объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны;
высокая вероятность — объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности ПДн не приняты.
При составлении перечня актуальных угроз безопасности ПДн каждой градации вероятности возникновения угрозы ставится в соответствие числовой коэффициент, а именно:
0 – для маловероятной угрозы;
2 – для низкой вероятности угрозы;
5 – для средней вероятности угрозы;
10 – для высокой вероятности угрозы.
Здесь важно сказать, что последний столбец это чисто наша инициатива и законодательством не предусмотрена. Поэтому можете его спокойно убирать. Но мы считаем важным, что если специалист дополнительно исключает угрозы, потому что для их реализации нет предпосылок, важно чтобы он описал, почему он так решил.
С этим моментом также связано то, что мы здесь в каком-то смысле отходим от методики моделирования угроз. По методике для угроз, не имеющих предпосылок необходимо далее просчитывать их актуальность. И в ряде случаев угрозы, не имеющие предпосылок, могут стать актуальными. Считаем это недоработкой законодательства и из итоговой таблицы все-таки исключаем угрозы, не имеющие предпосылок.
Список актуальных угроз
Если точнее, то последняя таблица это список актуальных и неактуальных угроз и свод оставшихся параметров для определения их актуальности. Здесь нет уже угроз, для которых нет предпосылок, но и из оставшихся угроз, исходя из вычислений коэффициентов, некоторые угрозы могут быть признаны неактуальными.
В последней таблице мы умышленно не стали включать некоторые параметры:
Коротко пройдемся по столбцам. Номер по порядку и угроза уже только в виде идентификатора – тут все понятно.
«Меры приняты» — «экспертным» путем определяем, приняты ли меры для нейтрализации данной угрозы (кстати, еще один прикол методики — если меры «приняты», то угроза все равно может остаться актуальной). Может быть три варианта: приняты; приняты, но недостаточны; не приняты (+, +-, — соответственно).
Исходя из принятых мер и учитывая, что для угрозы есть предпосылки определяется коэффициент вероятности (Y2), как его определить – выше под спойлером.
Следующий столбец – коэффициент реализуемости угрозы Y. Вычисляется по простой формуле Y = (Y1+Y2)/20.
Возможность реализации – это вербальный аналог коэффициента Y. Определяется в зависимости от числового значения следующим образом:
Опасность – выше мы определили опасность угрозы, исходя из нарушаемого свойства безопасности. Здесь уже вписываем нужное значение опасности исходя из того какие свойства безопасности данная конкретная угроза нарушает.
Ну и последнее – актуальность угрозы. Определяется по таблице: