Анализ модели угроз ПДн Банка России

Законодательство
Банк России опубликовал долгожданный проект отраслевой модели угроз безопасности персональным данных. За прошедший с небольшим месяц это уже третий документ в области моделирования угроз ПДн. Сначала появился проект методики моделирования угроз ФСТЭК, затем методика ФСБ и вот уже готовая модель от Банка России.

История этого документа достаточно стара. Его впервые подготовили в 2013-м году, но его согласование застряло в ФСБ России. Потом Крым присоединился к России и ЦБ было уже не до принятия модели угроз — были более важные дела и документы (по этой же причине и FinCERT появился на год позже запланированного). Затем начались геополитические игрища и ЦБ решил пересмотреть свой подход к моделированию угроз ПДн. Если раньше в модели был прописан тезис о неактуальности угроз 1-го и 2-го типа (т.е. недокументированные возможности в системном и прикладном ПО), а в текущей редакции СТО БР ИББС 1.0 эта мысль звучит до сих пор, то в нынешней модели угроз от этого подхода отказались, отдав его на откуп каждому банку, который сам и должен принять решение — опасаться ли закладок в операционных системах, СУБД, банковских приложениях или нет.

В модели зафиксировано всего 10 актуальных угроз ПДн:

  1. НСД лицами, обладающими полномочиями
  2. НСД лицами, необладающими полномочиями, но использующими уязвимости
    • в организации системы защиты
    • в ПО ИСПДн
    • в обеспечении защиты сетевого взаимодействия и каналов передачи данных
    • в обеспечении защиты вычислительных сетей ИСПДн
    • вызванных несоблюдением требований по эксплуатации СКЗИ
  3. Воздействие внешнего по отношению к ИСПДн вредоносного кода
  4. Социальный инжиниринг
  5. НСД к отчуждаемым носителям
  6. Утрата носителей ПДн, включая переносные компьютеры.

Текущий вариант документа сильно изменился по сравнению с проектом 2013-го года. И дело не только в количестве страниц — 4 против 22. В прошлой версии модели очень большое внимание уделялось систематизации типов внешних и внутренних нарушителей, а также способов реализации угроз. К тому же в прошлой редакции вводилось такое понятие как «степень актуальности угрозы» (их было три — высокая, средняя и низкая), что малость вводило в ступор, так как если угроза актуальная, то с ней надо в любом случае бороться и совсем неважно, какой уровень этой актуальности. В нынешнем варианте от этого, к счастью, ушли.

Отличия между проектами моделей угроз ПДн 2013-го и 2015-го годов

Наконец, в прошлом варианте говорилось даже не о перечне актуальных угроз, а скорее о комбинации 4-х элементов — источнике угрозы, категории нарушителя, способе реализации угрозы и оценке актуальности. То, что в текущем проекте называется угрозой, в прежней версии называлось способом реализации угроз. И тогда их было 21, а не 10, как сейчас. Поэтому на выходе комбинированный из 4-х элементов перечень содержал еще больше пунктов — 47.

Фрагмент проекта модели угроз ПДн 2013-го года

Если уж я начал сравнивать, то нельзя не упомянуть и модель угроз из уже отмененной РС 2.4. В ней структура также отличалась и от модели 2013-го года, и от модели 2015-го года. По сути угроз в этой модели было всего 3 — угрозы нарушения классической триады — конфиденциальности, целостности и доступности. Но скомбинированные с типом объекта среды, в которой угрозы реализовывалась, уровнем ИСПДн и источником угрозы, на выходе модель содержала уже 88 пунктов.

Фрагмент модели угроз ПДн из РС 2.4

В целом можно отметить, что текущая модель стала гораздо проще и понятнее. Перечень из 10 угроз, с которыми и надо бороться, опираясь на 382-П, если речь идет ПДн в рамках денежных переводов, и на 21-й приказ ФСТЭК и 378-й приказ ФСБ, если речь идет обо всех остальных случаях. При этом не требуется создавать своих моделей угроз по методикам ФСТЭК или ФСБ — по сути, Банк России это уже сделал за банки. Пожалуй, можно только расширить этот перечень актуальных угроз чем-то своим, что не попало в Указание ЦБ.

Документ согласован с ФСБ и ФСТЭК и, с вероятностью близкой к 100%, изменяться уже не будет. Так что на него можно ориентироваться уже сейчас, не дожидаясь его официального принятия и опубликования в «Вестнике Банка России».
Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. r1j1k

    По ссылке (http://regulation.gov.ru/project/27135.html) получаю 404 ошибку…
    Уже первые правки пошли?

    Ответить
  2. Алексей Лукацкий

    У меня вообще сайт не открывается

    Ответить
  3. Unknown

    Может кто-то успел скачать и сюда подцепить?

    Ответить
  4. EverGreen Group

    Этот комментарий был удален администратором блога.

    Ответить