Не методикой ФСТЭК единой или модели угроз, утвержденные государством российским

Угрозы

Разрешая операторам информационных систем различного типа самостоятельно проводить оценку и моделирование угроз, наши регуляторы не забывают выпускать и собственные перечни негативных событий, которые по разумению регуляторов в обязательном порядке должны быть учтены в рамках выстраивания системы защиты информации в той или иной области. Учитывая, что сейчас таких моделей/перечнем стало немало, я подумал, что было бы правильно собрать их в рамках одной заметки, к которой можно было бы обращаться по мере необходимости. При этом стоит обратить внимание, что пока 90% этих моделей крутится вокруг всего одной темы — персональные данные, в том числе и биометрические.

Итак, на первое место я поставлю базовую модель угроз безопасности персональных данных при их обработке в ИСПДн (она же в Консультанте), выпущенную ФСТЭК в 2008-м году. Несмотря на выпущенную в 2021-м году методику оценки угроз, которая отменила методику оценки угроз безопасности ПДн 2008-го года, базовую модель при этом никто не отменял, что заставляет задавать вопросы, какой статус этой базовой модели, празднующей свое 13-тилетие. 

На второе место можно смело ставить модель угроз безопасности ПДн, выпущенную в 2015-м году Банком России и утвержденную в виде Указания Банка России от 10.12.2015 №3889-У «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных».

Спустя 3 года после предыдущего нормативного акта банковский регулятор выпустил новый документ — Указание Банка России от 9 июля 2018 года №4859-У «О перечне угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации в государственных органах, банках и иных организациях, указанных в абзаце первом части 1 статьи 14.1 Федерального закона от 27 июля 2006 года N 149-ФЗ «Об информации, информационных технологиях и о защите информации», в единой биометрической системе». Однако, ввиду серьезной переработки законодательства о ЕБС и навязывании ее везде и всем, Банк России решил отменить данное Указание, предложив вместо него два новых проекта, которые должны быть приняты в этом году:

  • Проект Указания Банка России «О перечне угроз безопасности, актуальных при обработке биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, при взаимодействии организаций финансового рынка с единой биометрической системой с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных»
  • Проект Указания Банка России «О перечне угроз безопасности, актуальных при обработке биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным физического лица в информационных системах организаций финансового рынка, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, за исключением единой биометрической системы, а также актуальных при взаимодействии организаций финансового рынка, иных организаций, индивидуальных предпринимателей с указанными информационными системами, с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных»

Минцифры также решило вступить в гонку по подготовке нормативных правовых актов в области моделирования угроз и представило в прошлом году два новых приказа, которые устанавливали перечни угроз, нейтрализация которых должна была быть обязательно реализована при работе аккредитованного удостоверяющего центра (но тоже речь идет о биометрии), а также в ИСПДн, находящихся в сфере регулирования Минцифры:

  • Приказ Минцифры от 26.11.2020 № 624 «Об утверждении перечня угроз безопасности, актуальных при идентификации заявителя – физического лица в аккредитованном удостоверяющем центре, выдаче квалифицированного сертификата без его личного присутствия с применением информационных технологий путем предоставления сведений из единой системы идентификации и аутентификации и единой информационной системы персональных данных, обеспечивающей обработку, сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, а также хранении и использовании ключа электронной подписи в аккредитованном удостоверяющем центре».
  • Приказ Минцифры от 21.12.2020 № 734 «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых в сферах деятельности, нормативно-правовое регулирование которых осуществляется Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации».

Кроме того, Мицифры подготовило еще один проект приказа,  который также касается угроз биометрическим ПДн, — «Об утверждении перечня угроз безопасности, актуальных при обработке биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным физического лица в информационных системах организаций, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, за исключением единой биометрической системы, а также актуальных при взаимодействии государственных органов, органов местного самоуправления, индивидуальных предпринимателей, нотариусов и организаций, за исключением организаций финансового рынка, с указанными информационными системами, с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных, и учетом вида аккредитации организации из числа организаций, указанных в частях 18.28 и 18.31 статьи 14.1 Федерального закона от 27 июля 2006 года N 149-ФЗ «Об информации, информационных технологиях и о защите информации».

Минцифры вернулось в стройные, но плохо согласующие свои действия, ряды регуляторов по ИБ относительно недавно. Лет 10 от них ничего в этой области не было слышно, хотя раньше они были вполне активны и выпускали/согласовывали разные документы по защите информации. Одним из таких документов была «Модель угроз и нарушителя безопасности ПДн, обрабатываемых в ИСПДн отрасли [связи]«, согласованная с ФСТЭК и ФСБ России. Текущий статус этого документа ввиду выхода новой методики ФСТЭК не совсем ясен (хотя с сайта министерства она не убрана) и возможно новый руководитель департамента кибербезопасности Минцифры наведет порядок в том, что делали его предшественники, коих сменилось на этом посту не мало.    

При этом не забывайте, что помимо указанных нормативных актов, выпущенных регуляторами и действующими на территории всей страны, существует немало перечней угроз ПДн, которые утверждались или каким-либо субъектом РФ, или каким-то министерством для себя и своих поднадзорных структур. Например, приказ Департамента здравоохранения Курганской области от 30 мая 2018 года №632 «Об утверждении Перечня угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных в Департаменте здравоохранения Курганской области и подведомственных ему учреждениях, организациях», приказ Минэнерго от 02.08.2019 №819 «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении Минэнерго России функций, определенных законодательством Российской Федерации» или Постановление Правительства Пензенской области от 20.04.2017 №192-пП «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных Пензенской области» (почти в каждом субъекте РФ есть такое постановление).

Немного особняком стоит тема моделирования угроз, а точнее атак, на средства криптографической защиты информации. И если раньше ею можно было и не заниматься, так как обычно все эти вопросы ложились на производителей СКЗИ, которые и должны были решить эту задачу, то сейчас ситуация меняется. ФСБ подготовило проект приказа «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием средств криптографической защиты информации», а последние правки в Постановление Правительства от 6 июля 2015 №676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации». Оба документа подразумевают согласование модели угроз с ФСБ, что заставляет нас задумываться о том, есть ли утвержденные этим, уже 4-м в сегодняшней заметке регулятором, перечни угроз безопасности? На самом деле их нет. Но есть документы, на которые стоит ориентироваться при составлении модели угроз (атак) на СКЗИ:

  • Приказ ФСБ от 10.07.2014 №378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
  • Методические рекомендации ФСБ по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности.

Но не персональными данными едиными. Существуют перечни угроз и для других объектов защиты, например, для Интернета, а точнее для функционирования Интернета на территории России. Российские власти выделяют для него три типа негативных событий — угрозы устойчивости, безопасности и целостности функционирования Рунета. Они описаны в Постановлении Правительства  от 12.02.2020 № 127 «Об утверждении Правил централизованного управления сетью связи общего пользования».

Еще одним «особняком» я бы назвал тему моделирования угроз при разработке безопасного программного обеспечения, которая стала новым «фетишем» (в хорошем смысле) и для ФСТЭК и для Банка России. Существующая методика оценки угроз ФСТЭК не очень подходит для моделирования угроз для разрабатываемого ПО, как того требует утвержденный ГОСТ Р 56939-2016 «Защита информации. Разработка безопасного программного обеспения. Общие положения». Но зато в качестве перечня угроз можно ориентироваться на ГОСТ Р 58412-2019 «Защита информации. Разработка безопасного программного обеспения. Угрозы безопасности информации при разработке программного обеспечения». Не STRIDE, конечно, но тоже ничего.

Есть и совсем специфические перечни угроз, которые применимы для объектов защиты, работающих в очень узких сферах деятельности. Например, приказ Минэнерго от 6 ноября 2018 года №1015 «Об утверждении требований в отношении базовых (обязательных) функций и информационной безопасности объектов электроэнергетики при создании и последующей эксплуатации на территории Российской Федерации систем удаленного мониторинга и диагностики энергетического оборудования» определяет базовые атаки и базовые уязвимости для построения модели угроз СУМиД, а также перечень из 59 угроз безопасности.

Наконец, стоит упомянуть еще угрозы безопасности, связанные с техническими каналами утечки информации, но регулируются они ДСПшными документами наших регуляторов и поэтому в заметке не упоминаются.

Вот такая картина получается — свобода свободой, но стоит оглядываться и по сторонам, вдруг регуляторы за вас посчитают какие-то негативные действия актуальными, которые вам придется учитывать в своих моделях/перечнях угроз.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Алексей Гавриш

    Еще Базовая модель угроз ИСУЭ Должна быть выпущена Минэнерго еще в начале 2021 но вот вот ждем. Во исполнение 890ПП

    Ответить
  2. Алексей Гавриш

    И еще базовая модель по КСИИ Её тоже вроде не отменял ФСТЭК

    Ответить
  3. Алексей Лукацкий

    По КСИИ документы не имеют никакого статуса больше. По ИСУЭ пока не видел принятых доков.

    Ответить
  4. Виталий Д

    Видел МУ от минэннерго по ИСУЭ, и что же, утверждена и, якобы, согласована ФСТЭК уже после выхода новой методики, а построена по старым, на основе базовой МУ ФСТЭК. И что характерно, основанием для разработки являются как раз базовые МУ для КИИ и ИСПДн, на методики вообще ссылок нет, ни на новую ни на старую.
    На мой взгляд полезного в ней мало

    Ответить
  5. Алексей Лукацкий

    Да, по методике МинЭнерго вопросы есть. Но все без ответов 🙁

    Ответить
  6. Алексей Лукацкий

    Видимо ее писали еще до ФСТЭКовской, а согласовали после. Но менять ничего уже не стали

    Ответить