4 документа ФСТЭК: краткий анализ. «Методика определения актуальных угроз»

Итак, не без помощи добрых людей, удалось раздобыть 4 документа ФСТЭК, которые расширяют уже неоднократно упоминаемый мной «приказ трех». Прочтя их, решил поделиться кратким анализом. Итак, документ первый — «Методика определения актуальных угроз».

Начну с того, что методика ориентирована в т.ч. и на физлиц, исключая случаи создания информационных систем персональных данных (ИСПДн) для личных и семейных нужд.

Угрозой безопасности ПДн называется не только их утечка, но и иные несанкционированные или непреднамеренные воздействия на информацию. С одной стороны у нас достаточно широкий спектр угроз подпадает под понятие, данное ФСТЭК. С другой — мы сталкиваемся с проблемой терминологии. К чему, например, относится доступность? К информации или к информационной системе? Ведь блокируя работу той или иной ИС, с информацией мы ничего не делаем и вообще на нее никак не воздействуем, концентриясь на системе ее обработки, передачи и хранения. Т.е. доступность скорее относится к понятию «информационная система». А раз так, то угрозы доступности не относятся в сферу компетенции рассматриваемой методики ФСТЭК.

Интересно, что среди каналов реализации угроз ФСТЭК явно упоминает про электромагнитные излучения и наводки, а также акустику, что делает задачу защиты ПДн явно нетривиальной (но об этом позже).

Среди нарушителей не забыты операторы связи, которые могут получить доступ к ПДн в процессе их передачи по сетям общего пользования. Вот еще одна терминологическая неувязка. У Минсвязи нет термина «сеть общего пользования», зато есть «сеть связи общего пользования» (ССОП). Видимо сотрудничество Минсвязи и ФСТЭК ограничилось только первыми документами — все остальное делалось самостоятельно с вытекающими отсюда последствиями.

Выявление угроз осуществляется путем опросов! При опросах можно использовать сканеры уязвимостей. Про режимы обучения в ряде автоматизированных защитных средств во ФСТЭК, видимо, не слышали.

Очень меня смутила фраза «Наличие источника угрозы и уязвимого звена, которое может быть использовано для реализации угрозы, свидетельствует о наличии данной угрозы». Т.е. наличие сотрудников, которые называются в методике «внутренними нарушителями», автоматически влечет за собой наличие целого класса внутренних угроз (хотя они могут на практике вообще никогда не реализоваться). Теоретическое наличие уязвимого ПО или информации приводит к тому, что мы должны учитывать и эти угрозы. Иными словами, упомянутая фраза приводит к тому, что мы должны учесть ВСЕ возможные в природе угрозы. Зачем это делать для каждой ИСПДн непонятно — проще было сделать единый список всех угроз, от которого отталкиваться в последующей работе.

После составления перечня всех угроз мы приступаем к составлению списка актуальных угроз. Актуальной считается угроза, которую можно реализовать и которая опасна для ПДн. Для оценки возможности реализации угрозы применяются два показателя: уровень исходной защищенности ИСПДн и частота (вероятность) реализации рассматриваемой угрозы.

Под уровнем исходной защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн, перечисленных в методике. Например, территориальная распределенность ИСПДн, наличие подключения к Интернет, наличие встроенных механизмов регистрации событий, уровень обезличивания ПДн, объем ПДн, передаваемых наружу без обработки и т.д. У каждого из таких параметров есть три степени защищенности — высокий, средний и низкий, оценка которых осуществляется экспертом. Суммирование таких показателей и дает нам совокупный уровень исходной защищенности. Например, ИСПДн имеет высокий уровень исходной защищенности, если не менее 70% характеристик ИСПДн соответствуют уровню «высокий» и т.д.

С вероятностью все более или менее понятно. Оценка экспертная. Градация по четырехбалльной шкале — маловероятно, низкая вероятность, средняя вероятность и высокая.

После определения для каждой угрозы вероятности ее реализации и исходного уровня защищенности мы вычисляем коэффициент реализуемости угрозы по приведенной в Методике формуле.

Затем мы переходим к опасности. Здесь тоже все «просто». Тоже экспертная оценка специалистов по защите информации данной ИСПДн. Правда, что делать, если для данной ИСПДн нет специалистов, которые могли бы оценить опасность угрозы и вероятность ее реализации, Методика не отвечает.

После определения опасности и реализуемости угроз мы обращаемся к матрице соотнесения угроз к классу актуальных. Согласно Методике почти все угрозы являются актуальными, исключая:
— с низкой опасностью и низкой и средней возможностью реализации
— со средней опасностью и низкой возможностью реализации.

Судя по описанию ФСТЭК попробовал применить оценку рисков, однако вышло это, на мой взгляд, не очень удачно. Очень сильная зависимость от экспертов, которых может и не быть для всех существующих ИСПДн. Да и появление такого параметра как «исходная защищенность» тоже является не совсем понятным и усложняющим составление итогового перечня приоритетных рисков.

Используя данные о классе ИСПДн (из «приказа трех») и составленного на основе рассмотренной Методики перечня актуальных угроз, на основе «Рекомендаций по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и «Основных мероприятий по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» «формулируются конкретные организационно-технические требования по защите ИСПДн от утечки информации по техническим каналам, от несанкционированного доступа и осуществляется выбор программных и технических средств защиты информации, которые могут быть использованы при создании и дальнейшей эксплуатации ИСПДн«.