Общее. Почему в БДУ ФСТЭК нет типов угроз?

Имеет место следующая проблема: никто точно не может сказать, что за такие типы угроз безопасности актуальных для информационной системы и как оператор должен их определить. Но зато последствия от данного определения очень значительны: меняется уровень защищенности, классы сертифицированных СЗИ, минимальный потенциал нарушителя, применяются дополнительные сложные меры защиты и т.п.

Вспомним положения законодательства в этой части:
ПП 1119: “6. Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.
Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
7. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных", и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных". “
Приказ ФСТЭК №21: “11. В случае определения в соответствии с Требованиями к защите персональных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N1119, в качестве актуальных угроз безопасности персональных данных 1-го и 2-го типов дополнительно к мерам по обеспечению безопасности персональных данных, указанным в пункте 8 настоящего документа, могут применяться следующие меры:
проверка системного и (или) прикладного программного обеспечения, включая программный код, на отсутствие недекларированных возможностей с использованием автоматизированных средств и (или) без использования таковых;
тестирование информационной системы на проникновения;
использование в информационной системе системного и (или) прикладного программного обеспечения, разработанного с использованием методов защищенного программирования.
12.
Для обеспечения 1 и 2 уровней защищенности персональных данных, а также для обеспечения 3 уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены угрозы 2-го типа, применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей.”

В проекте новой методики определения угроз безопасности информации в информационных системах ФСТЭК, опубликованной в мае 2015 г., о типах угроз не было ни слова, не смотря на п. 7 ПП 1119.  Таким образом мы всё ещё не знаем точно, какие угрозы к какому типу относятся, и как определить актуальный тип угроз.

В марте 2015 года стал доступен государственный банк данных угроз безопасности информации ФСТЭК – БДУ.  В БДУ на данный момент 152 угрозы. Часть из них связана с использованием уязвимостей (недекларированных возможностей) в системном и прикладном ПО. А вот отметки о том к какому типу относится угрозы – нет. Почему? Кто виноват? Что делать?

Сейчас получается такая ситуация - как принято рекомендовать на конференциях оператор принял для себя актуальным тип 3. Стал рассчитывать актуальность угроз из БДУ - получил актуальными угрозы связанные с НДВ. Получается что нужно переделывать на тип 1. Или как?

Если бы отметка была, то можно было бы реализовать одну из двух возможностей:
·         в зависимости от ранее определенного типа актуальных угроз сразу отфильтровать неактуальные для нас угрозы
·         в зависимости от перечня актуальных угроз автоматически определить тип актуальных угроз

Что делать: добавить к каждой угрозе дополнительную отметку “тип угрозы” со значениями 1, 2, 3; если угроза в текущей формулировке относится сразу к 1 и 2 типу – переформулировать угрозы; в новой методике описать как правильно использовать тип угрозы из БДУ.



Комментарии

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Модель угроз безопасности клиента финансовой организации

КИИ. Категорирование объектов, часть 3