История этого документа достаточно стара. Его впервые подготовили в 2013-м году, но его согласование застряло в ФСБ России. Потом Крым присоединился к России и ЦБ было уже не до принятия модели угроз — были более важные дела и документы (по этой же причине и FinCERT появился на год позже запланированного). Затем начались геополитические игрища и ЦБ решил пересмотреть свой подход к моделированию угроз ПДн. Если раньше в модели был прописан тезис о неактуальности угроз 1-го и 2-го типа (т.е. недокументированные возможности в системном и прикладном ПО), а в текущей редакции СТО БР ИББС 1.0 эта мысль звучит до сих пор, то в нынешней модели угроз от этого подхода отказались, отдав его на откуп каждому банку, который сам и должен принять решение — опасаться ли закладок в операционных системах, СУБД, банковских приложениях или нет.
В модели зафиксировано всего 10 актуальных угроз ПДн:
- НСД лицами, обладающими полномочиями
- НСД лицами, необладающими полномочиями, но использующими уязвимости
- в организации системы защиты
- в ПО ИСПДн
- в обеспечении защиты сетевого взаимодействия и каналов передачи данных
- в обеспечении защиты вычислительных сетей ИСПДн
- вызванных несоблюдением требований по эксплуатации СКЗИ
- Воздействие внешнего по отношению к ИСПДн вредоносного кода
- Социальный инжиниринг
- НСД к отчуждаемым носителям
- Утрата носителей ПДн, включая переносные компьютеры.
Текущий вариант документа сильно изменился по сравнению с проектом 2013-го года. И дело не только в количестве страниц — 4 против 22. В прошлой версии модели очень большое внимание уделялось систематизации типов внешних и внутренних нарушителей, а также способов реализации угроз. К тому же в прошлой редакции вводилось такое понятие как «степень актуальности угрозы» (их было три — высокая, средняя и низкая), что малость вводило в ступор, так как если угроза актуальная, то с ней надо в любом случае бороться и совсем неважно, какой уровень этой актуальности. В нынешнем варианте от этого, к счастью, ушли.
Отличия между проектами моделей угроз ПДн 2013-го и 2015-го годов |
Наконец, в прошлом варианте говорилось даже не о перечне актуальных угроз, а скорее о комбинации 4-х элементов — источнике угрозы, категории нарушителя, способе реализации угрозы и оценке актуальности. То, что в текущем проекте называется угрозой, в прежней версии называлось способом реализации угроз. И тогда их было 21, а не 10, как сейчас. Поэтому на выходе комбинированный из 4-х элементов перечень содержал еще больше пунктов — 47.
Фрагмент проекта модели угроз ПДн 2013-го года |
Если уж я начал сравнивать, то нельзя не упомянуть и модель угроз из уже отмененной РС 2.4. В ней структура также отличалась и от модели 2013-го года, и от модели 2015-го года. По сути угроз в этой модели было всего 3 — угрозы нарушения классической триады — конфиденциальности, целостности и доступности. Но скомбинированные с типом объекта среды, в которой угрозы реализовывалась, уровнем ИСПДн и источником угрозы, на выходе модель содержала уже 88 пунктов.
Фрагмент модели угроз ПДн из РС 2.4 |
В целом можно отметить, что текущая модель стала гораздо проще и понятнее. Перечень из 10 угроз, с которыми и надо бороться, опираясь на 382-П, если речь идет ПДн в рамках денежных переводов, и на 21-й приказ ФСТЭК и 378-й приказ ФСБ, если речь идет обо всех остальных случаях. При этом не требуется создавать своих моделей угроз по методикам ФСТЭК или ФСБ — по сути, Банк России это уже сделал за банки. Пожалуй, можно только расширить этот перечень актуальных угроз чем-то своим, что не попало в Указание ЦБ.
По ссылке (http://regulation.gov.ru/project/27135.html) получаю 404 ошибку…
Уже первые правки пошли?
У меня вообще сайт не открывается
Может кто-то успел скачать и сюда подцепить?
Этот комментарий был удален администратором блога.