Общее. Почему в БДУ ФСТЭК нет типов угроз?

Имеет место следующая проблема: никто точно не может сказать, что за такие типы угроз безопасности актуальных для информационной системы и как оператор должен их определить. Но зато последствия от данного определения очень значительны: меняется уровень защищенности, классы сертифицированных СЗИ, минимальный потенциал нарушителя, применяются дополнительные сложные меры защиты и т.п.

Вспомним положения законодательства в этой части:
ПП 1119: “6. Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.
Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
7. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных", и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных". “
Приказ ФСТЭК №21: “11. В случае определения в соответствии с Требованиями к защите персональных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N1119, в качестве актуальных угроз безопасности персональных данных 1-го и 2-го типов дополнительно к мерам по обеспечению безопасности персональных данных, указанным в пункте 8 настоящего документа, могут применяться следующие меры:
проверка системного и (или) прикладного программного обеспечения, включая программный код, на отсутствие недекларированных возможностей с использованием автоматизированных средств и (или) без использования таковых;
тестирование информационной системы на проникновения;
использование в информационной системе системного и (или) прикладного программного обеспечения, разработанного с использованием методов защищенного программирования.
12.
Для обеспечения 1 и 2 уровней защищенности персональных данных, а также для обеспечения 3 уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены угрозы 2-го типа, применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей.”

В проекте новой методики определения угроз безопасности информации в информационных системах ФСТЭК, опубликованной в мае 2015 г., о типах угроз не было ни слова, не смотря на п. 7 ПП 1119.  Таким образом мы всё ещё не знаем точно, какие угрозы к какому типу относятся, и как определить актуальный тип угроз.

В марте 2015 года стал доступен государственный банк данных угроз безопасности информации ФСТЭК – БДУ.  В БДУ на данный момент 152 угрозы. Часть из них связана с использованием уязвимостей (недекларированных возможностей) в системном и прикладном ПО. А вот отметки о том к какому типу относится угрозы – нет. Почему? Кто виноват? Что делать?

Сейчас получается такая ситуация - как принято рекомендовать на конференциях оператор принял для себя актуальным тип 3. Стал рассчитывать актуальность угроз из БДУ - получил актуальными угрозы связанные с НДВ. Получается что нужно переделывать на тип 1. Или как?

Если бы отметка была, то можно было бы реализовать одну из двух возможностей:
·         в зависимости от ранее определенного типа актуальных угроз сразу отфильтровать неактуальные для нас угрозы
·         в зависимости от перечня актуальных угроз автоматически определить тип актуальных угроз

Что делать: добавить к каждой угрозе дополнительную отметку “тип угрозы” со значениями 1, 2, 3; если угроза в текущей формулировке относится сразу к 1 и 2 типу – переформулировать угрозы; в новой методике описать как правильно использовать тип угрозы из БДУ.



Комментарии

Отправить комментарий

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Изображение
Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну ". А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ).     А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ. С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обесп...
Далее...

КИИ. Категорирование объектов, часть 3

Изображение
Продолжаем проводить категорирование объекта КИИ на примере организации сферы здравоохранения. На предыдущем этапе мы выявили критические процессы организации. Теперь определяем объекты КИИ и отправляем их на согласование (этап простой и очевидный, но постараюсь добавить несколько полезных моментов) 3. Определение объектов КИИ Продолжаем начатое на прошлых этапах (а можно и совместить 1-3) общение с руководителями подразделений. Спрашиваем какие ИС или АСУ обрабатывают информацию, необходимую для обеспечения выявленных критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов. Отдельно в ИТ подразделении получаем полный перечень ИС (он должен был готовится в рамках мероприятий по ПДн) и АСУ, совместно с ИТ выкидываем из перечня ИС, не связанные с критическими процессами (как правило, кадровые, бухгалтерские, отчетность, банк-клиенты). В результате, того, что данные об ИС и АСУ получены не из одного источника, гарантируется его ...
Далее...

Модель угроз безопасности клиента финансовой организации

Изображение
  Уже более 2 месяцев как вступил в силу методический документ ФСТЭК по моделированию угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было опубликовано. Как мы обсуждали на межблогерском вебинаре по моделированию угроз ИБ , такой пример мог бы сильно помочь ответственным лицам, обязанным руководствоваться данной методикой. Пример модели угроз обещал сделать Алексей Лукацкий, но пока у него получилась серия публикаций про проблемы моделирования и примера ещё нет. В УЦСБ в рамках услуг по моделированию угроз, коллеги уже провели необходимую аналитику и подготовили внутренние средства автоматизации для разработки МУ, что уже говорит о возможности моделирования угроз по новой Методике.  К последнему межблогерскому вебинару по безопасности клиентов финансовых организаций я решил проверить насколько адекватной получится модель угроз для типового сегмента клиента ФО (а для данной статьи ещё и обновил графическое оформление). ...
Далее...