базовая модель угроз безопасности информационной системы

Проблема создания базовой модели угроз безопасности ИС

Автор Владимир в . Опубликовано О лицензировании ФСТЭК

Для операторов персональных данных, обрабатывающих и передающих их с помощью информационных систем, разработка моделей угроз является обязательным и проблемным мероприятием. Почему проблемным?

Раньше всё было просто и понятно: бралась базовая модель угроз безопасности в информационных системах, методика разработки модели и создавалась актуальная модель под конкретную ИС. Затем ФСТЭК усовершенствовала защиту, частично изменив руководящие документы, на которые раньше опирались безопасники. Классы ИСПДн заменили на уровни защищённости, все актуальные угрозы распределили по трём типам. Согласно ПП № 1119 градация угроз безопасности ИС выглядит так:

  • 1 тип — недекларированные возможности в системном программном обеспечении;
  • 2 тип — недекларированные возможности в прикладном ПО;
  • 3 тип — иные угрозы.

Уровень защищенности ИС зависит от того, какой наивысший уровень угроз актуален для данной системы. Здесь и начинаются вопросы, причем точных ответов на них не дают даже те, кто работает по лицензии ФСТЭК на ТЗКИ. Например, каким образом можно определить актуальность угрозы для системного или прикладного софта, если такая оценка возможна только при сертификации средств защиты информации. Частично эта проблема решается использованием сертифицированного ПО, однако и здесь нет абсолютной защищённости, т.к. обновления сертификацию не проходят, а значит, с каждой новой версией ПО теоретически есть угроза безопасности ИС. Такой подход означает, что в любом случае и при любом софте существует актуальная угроза НДВ. Однако тогда не совсем понятно, как разработать модель угроз безопасности для информационной системы, поэтому операторы чаще всего пишут логичные обоснования того, почему та или иная угроза является неактуальной.

Чтобы облегчить разработку моделей угроз и собрать возможные уязвимости в одном реестре, усилиями ФСТЭК создан единый Банк уязвимостей, который по мере сил старается поддерживать в актуальном состоянии. Кроме того, весной 2015 года усилиями ФСТЭК и ведущих экспертов в сфере информационной безопасности был разработан проект Методики определения актуальных угроз для информационных систем.

Предполагалось, что эти инструменты позволят безопасникам легче и правильнее создавать базовые и частные модели угроз безопасности в информационных системах. Однако, Методика определения угроз до сих пор не утверждена, хотя в проект уже внесено много правок (информационные технологии развиваются быстрее, чем ФСТЭК принимает руководящие документы).

Поэтому ФСТЭК для разработки базовой модели угроз безопасности каждого оператора рекомендует руководствоваться Приказами № 21 и 17, а также пользоваться Банком данных уязвимостей. Остальное зависит от грамотности и мастерства специалиста по информационной безопасности.

Трекбэк с Вашего сайта.

Оставить комментарий

Контакты

Телефон:
+7 (499) 403-33-59 ежедневно 9:00-22:00
+7 (812) 409-97-73 ежедневно 9:00-22:00

Почта:
Info@srodopuski.com - по всем вопросам
partnership@srodopuski.com - предложения и сотрудничество

Адрес:
105318, Москва, Ибрагимова 35 к2, офис 14
192012, Санкт-Петербург, Белоостровская 22