Майские праздники подарили нам не только весьма спорный проект Постановления Правительства от Роскомнадзора, но и документ, которого специалисты ждали очень давно. ФСТЭК России опубликовала на своем сайте проект документа «Методика определения угроз безопасности информации в ИС» и соответствующее ему информационное сообщение.

Документ после доработки и утверждения станет обязательным для исполнения государственными и муниципальными органами. Именно для них документ описывает методику определения угроз, актуальных для конкретной организации. Практика показывает, что в большинстве случаев изменения в документе не будут принципиальными, поэтому ознакомиться с ним нужно заранее. Теоретически для остальных организаций, включая и операторов ПДн, данная методика не является обязательной, но поскольку на практике альтернатив (которые к тому же нужно будет обосновывать Роскомнадзору) не будет, то использовать придется именно ее.

Что позволяет защитить ИС, созданная на основе методики?

Документ устанавливает единый методический подход к определению угроз безопасности информации и разработке моделей угроз безопасности информации в государственных информационных системах (далее — информационные системы), защита информации в которых обеспечивается в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17 (зарегистрирован Минюстом России 31 мая 2013 г., рег. № 28608).

По решению оператора персональных данных Методика может применяться для определения… безопасности персональных данных при их обработке в информационных системах персональных данных, защита которых обеспечивается в соответствии с Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных,
утвержденных приказом ФСТЭК России от 18 февраля 2013 г. № 21 (зарегистрирован Минюстом России 14 мая 2013 г., рег. № 28375).

Методика не распространяется на определение угроз безопасности информации, составляющей государственную тайну.

Соответственно, Методика может применяться для оценки угроз безопасности в государственных информационных системах, а также всеми компаниями и организациями, защищающими персональные данные. И не может применяться для оценки угроз безопасности информации, составляющей государственную тайну.

Таким образом, из сферы действия Методики по непонятной причине выпали иные типы информации, которые можно отнести к категориям коммерческой тайны / банковской тайны / служебной тайны / ДСП и т. д. А ведь по сути эти типы информации для компаний зачастую куда важнее, чем те же ПДн.

Также Методика никак не регламентирует вопросы защиты информации, располагающейся за пределами системы защиты информации (например, на личных устройствах сотрудников). В наше время, когда большинство сотрудников компаний могут со своего смартфона может получать доступ к ресурсам компании — такой подход видится странным.

Ну и заодно отметим, что ФСТЭК России четко различает сферы действия Приказа № 17 и Приказа № 21 — по сути, для защиты персональных данных в государственных информационных системах нужно применять оба этих приказа, что в общем-то следует и из текста Федерального закона № 152-ФЗ.

Кто может пользоваться методикой?

Методика предназначена для:
  • органов государственной власти, органов местного самоуправления и организаций, являющихся в соответствии с законодательством Российской Федерации обладателями информации, заказчиками и (или) операторами информационных систем;
  • организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию (проектированию) информационных систем;
  • организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по защите информации в ходе создания (проектирования) и эксплуатации информационных систем;
  • организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по аттестации (оценке соответствия) информационных систем требованиям о защите информации.

По факту под действие методики подпадают все типы компаний и организаций.

Термины и определения

В Методике используются термины и их определения, установленные национальными стандартами в области защиты информации.

В других публикациях уже отмечалось, что разнобой в терминах и определениях различных документов нашего законодательства не позволяет корректно определять даже цели защиты информации. Сноска на национальные стандарты — это однозначно плюс, но лучше бы было привести в виде ссылок или приложения конкретный список связанных документов. Во избежание.

Как оцениваются угрозы?

Оценка угроз безопасности информации проводится экспертным методом.

… должны быть определены физические и логические границы информационной системы, в которых принимаются и контролируются меры защиты информации, за которые ответственен оператор, а также определены объекты защиты и сегменты информационной системы.

Процесс определения угроз безопасности информации организуется подразделением оператора, назначенным ответственным за защиту информации в информационной системе.

В качестве источников угроз безопасности информации могут выступать субъекты (физические лица, организации, государства) или явления (техногенные аварии, стихийные бедствия, иные природные явления).

Угроза безопасности информации является актуальной (УБИjА), если для информационной системы с заданными структурно-функциональными характеристиками и особенностями функционирования существует вероятность реализации рассматриваемой угрозы нарушителем с соответствующим потенциалом и ее реализация приведет к неприемлемым негативным последствиям (ущербу) от нарушения конфиденциальности, целостности или доступности информации.

При отсутствии статистических данных о реализации угроз безопасности информации (возникновении инцидентов безопасности) в информационной системе и (или) однотипных информационных системах, актуальность угрозы безопасности информации определяется на основе оценки возможности реализации угрозы безопасности информации (Yj)

В методике приведены рекомендации по формированию экспертной группы и проведению экспертной оценки.

Отметим, что в число угроз вошли угрозы, связанные с:
  • низким качеством (надежностью) технических, программных или программно-технических средств;
  • низким качеством (надежностью) сетей связи и (или) услуг связи;
  • отсутствием или низкой эффективностью систем резервирования или дублирования программно-технических и технических средств;
  • низким качеством (надежностью) инженерных систем (кондиционирования, электроснабжения, охранных систем и т. д.);
  • низким качеством обслуживания со стороны обслуживающих организаций и лиц;
  • повышением привилегий, исчерпанием вычислительных ресурсов, недоступностью обновления программного обеспечения и т. д. — угрозы, создающие условия для реализации прямых угроз безопасности информации.

Методика также указывает, что «следует, в первую очередь, уделять внимание оценке антропогенных угроз, связанных с несанкционированными (неправомерными) действиями субъектов по нарушению безопасности (конфиденциальности, целостности, доступности) информации, в том числе целенаправленными воздействиями программными (программно-техническими) средствами на информационные системы, осуществляемые в целях нарушения (прекращения) их функционирования».

Для идентификации угроз безопасности информации в информационной системе определяются:
  • возможности (тип, вид, потенциал) нарушителей, необходимые им для реализации угроз безопасности информации;
  • уязвимости, которые могут использоваться при реализации угроз безопасности информации (включая специально внедренные программные закладки);
  • способы (методы) реализации угроз безопасности информации;
  • объекты информационной системы, на которые направлена угроза безопасности информации (объекты воздействия);
  • результат и последствия от реализации угроз безопасности информации.

Методика требует на основе имеющихся данных проводить оценку вероятности реализации угроз.

При определении возможных способов реализации угроз безопасности информации необходимо исходить из следующих условий:
  • нарушитель может действовать один или в составе группы нарушителей;
  • в отношении информационной системы внешний нарушитель может действовать совместно с внутренним нарушителем;
  • угрозы могут быть реализованы в любое время и в любой точке информационной системы (на любом узле или хосте);
  • для достижения своей цели нарушитель выбирает наиболее слабое звено информационной системы.

Пересмотр (переоценка) угроз безопасности информации осуществляется как минимум в случаях:

  • изменения требований законодательства Российской Федерации о защите информации, нормативных правовых актов и методических документов, регламентирующих защиту информации;
  • изменения конфигурации (состава основных компонентов) и особенностей функционирования информационной системы, следствием которых стало возникновение новых угроз безопасности информации;
  • выявления уязвимостей, приводящих к возникновению новых угроз безопасности информации или к повышению возможности реализации существующих;
  • появления сведений и фактов о новых возможностях нарушителей.

Рекомендуется пересматривать угрозы безопасности информации не реже одного раза в год.

Второй пункт методики отсылает нас к старому спору «если я поменял видеокарту — требует ли это пересмотра модели угроз?».

К плюсам методики можно отнести появление в ней требований по оценке возможностей нарушителей.

Угрозы безопасности информации в информационной системе могут быть реализованы следующими видами нарушителей:
  • специальные службы иностранных государств (блоков государств);
  • террористические, экстремистские группировки;
  • преступные группы (криминальные структуры);
  • внешние субъекты (физические лица);
  • конкурирующие организации;
  • разработчики, производители, поставщики программных, технических и программно-технических средств;
  • лица, привлекаемые для установки, наладки, монтажа, пусконаладочных и иных видов работ;
  • лица, обеспечивающие функционирование информационных систем или обслуживающие инфраструктуру оператора (администрация, охрана, уборщики и т.д.);
  • пользователи информационной системы;
  • администраторы информационной системы и администраторы безопасности;
  • бывшие работники (пользователи).

Список, надо отметить, правильно указывает на необходимость оценки угроз со стороны потенциальных нарушителей, не являющихся сотрудниками компании.

В качестве возможных целей (мотивации) реализации нарушителями угроз безопасности информации в информационной системе могут быть:
  • нанесение ущерба государству, отдельным его сферам деятельности или секторам экономики;
  • реализация угроз безопасности информации по идеологическим или политическим мотивам;
  • организация террористического акта;
  • причинение имущественного ущерба путем мошенничества или иным преступным путем;
  • дискредитация или дестабилизация деятельности органов государственной власти, организаций;
  • получение конкурентных преимуществ;
  • внедрение дополнительных функциональных возможностей в программное обеспечение или программно-технические средства на этапе разработки;
  • любопытство или желание самореализации;
  • выявление уязвимостей с целью их дальнейшей продажи и получения финансовой выгоды;
  • реализация угроз безопасности информации из мести;
  • реализация угроз безопасности информации непреднамеренно из-за неосторожности или неквалифицированных действий.

Также очень верный список. Практика показывает, что организация может попасть под удар случайно. В качестве примера можно привести взломы компаний в результате скандала вокруг карикатур во французском журнале.

В зависимости от имеющихся прав доступа нарушители могут иметь легитимный физический (непосредственный) и (или) логический доступ к компонентам информационной системы и (или) содержащейся в них информации или не иметь такого доступа.

Анализ прав доступа проводится, как минимум, в отношении следующих
компонент информационной системы:

  • устройств ввода/вывода (отображения) информации;
  • беспроводных устройств;
  • программных, программно-технических и технических средств обработки информации;
  • съемных машинных носителей информации;
  • машинных носителей информации, выведенных из эксплуатации;
  • активного (коммутационного) и пассивного оборудования каналов связи;
  • каналов связи, выходящих за пределы контролируемой зоны.

Результаты оценки возможностей нарушителей включаются в модель нарушителя, которая является составной частью (разделом) модели угроз безопасности информации и содержит:

  • типы, виды и потенциал нарушителей, которые могут обеспечить реализацию угроз безопасности информации;
  • цели, которые могут преследовать нарушители каждого вида при реализации угроз безопасности информации;
  • возможные способы реализации угроз безопасности информации.

Вышеприведенные цитаты приведены с сохранением орфографии и пунктуации проекта документа.

Для примера посмотрим, на что способны админы:

Причинение имущественного ущерба путем мошенничества или иным преступным путем.
Любопытство или желание самореализации (подтверждение статуса).
Месть за ранее совершенные действия.
Выявление уязвимостей с целью их дальнейшей продажи и получения финансовой выгоды.
Непреднамеренные, неосторожные или неквалифицированные действия.

О работе экспертной группы

Одновременно самое правильное и самое утопичное место документа:

Под вероятностью реализации угрозы безопасности информации понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация j-ой угрозы безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и особенностями функционирования. Вводятся три вербальные градации этого показателя:

  • низкая вероятность — отсутствуют объективные предпосылки к реализации j-ой угрозы безопасности информации, отсутствует требуемая статистика по фактам реализации j-ой угрозы безопасности информации (возникновения инцидентов безопасности), отсутствует мотивация для реализации j-ой угрозы, возможная частота реализации j-ой угрозы не превышает 1 раза в 5 лет;
  • средняя вероятность — существуют предпосылки к реализации j-ой угрозы безопасности информации, зафиксированы случаи реализации j-ой угрозы безопасности информации (возникновения инцидентов безопасности) или имеется иная информация, указывающая на возможность реализации j-ой угрозы безопасности информации, существуют признаки наличия у нарушителя мотивации для реализации такой угрозы, возможная частота реализации j-ой угрозы не превышает 1 раза в год;
  • высокая вероятность — существуют объективные предпосылки к реализации j-ой угрозы безопасности информации, существует достоверная статистика реализации j-ой угрозы безопасности информации (возникновения инцидентов безопасности) или имеется иная информация, указывающая на высокую возможность реализации j-ой угрозы безопасности информации, у нарушителя имеются мотивы для реализации j-ой угрозы, частота реализации j-ой угрозы — чаще 1 раза в год.

В случае отсутствия требуемых данных для оценки вероятности реализации угрозы безопасности информации или наличия сомнений в объективности экспертных оценок при определении вербальных градаций вероятности реализации угроз безопасности информации, актуальность j-ой угрозы безопасности информации определяется на основе оценки возможности ее реализации (Yj).

Возможность реализации j-ой угрозы безопасности информации (Yj) оценивается исходя из уровня защищенности информационной системы (Y1) и потенциала нарушителя.

При определении угроз безопасности информации на этапе создания информационной системы в случае, когда меры защиты информации не реализованы или не проведена оценка их достаточности и эффективности, оценка возможности реализации j-ой угрозы безопасности информации (Yj) проводится относительно уровня проектной защищенности информационной системы.

Далее в Методике приводится таблица со списком узлов защищаемой сети и соответствующими им уровнями защищенности. Уровней тоже три — высокий, средний и низкий.

Также оценке подлежат последствия реализации угрозы, в том числе экономические, социальные, политические и т. д. Для примера посмотрим, что относится к социальным последствиям:

  • Создание предпосылок для нанесения вреда здоровью граждан.
  • Возможность нарушения функционирования объектов обеспечения жизнедеятельности граждан.
  • Организация пикетов, забастовок, митингов и других акций.
  • Увольнения.
  • Увеличение количества жалоб в органы государственной власти или органы местного самоуправления.
  • Появление негативных публикаций в общедоступных источниках.
  • Невозможность (прерывание) предоставления социальных услуг (сервисов).
  • Другие последствия, приводящие к нарастанию социальной напряженности в обществе.

Смешно? Между прочим, зря. Взлом сайта и размещение на нем соответствующей информации вполне может привести ко всему перечисленному.

В состав экспертной группы для определения угроз безопасности информации рекомендуется включать экспертов (независимо от того, реализуются ли функции обладателя информации, заказчика и оператора в рамках одной или нескольких организаций):

  • от подразделений обладателей информации, содержащейся в информационной системе;
  • от подразделений оператора информационной системы;
  • от подразделения по защите информации;
  • от лиц, предоставляющих услуги по обработке информации;
  • от разработчика информационной системы;
  • от операторов взаимодействующих внешних информационных систем (по согласованию).

В качестве экспертов рекомендуется привлекать специалистов, деятельность которых связана с обработкой информации в информационной системе, а также специалистов, имеющих квалификацию и опыт работы в области применения информационных технологий и (или) в области защиты информации.

Эксперты должны обладать независимостью, основанной на отсутствии коммерческого и финансового интереса или другого давления, которое может оказать влияние на принимаемые решения. Не рекомендуется формировать экспертную группу из участников, находящихся в прямом подчинении.

Оценку параметров рекомендуется проводить опросным методом с составлением анкеты, в которой указываются вопросы и возможные варианты ответа в единой принятой шкале измерений («низкий», «средний», «высокий» или «да», «нет» или иные шкалы). При этом вопросы должны быть четкими и однозначно трактуемыми, предполагать однозначные ответы.

Особо отмечается, что:

существуют субъективные факторы, связанные с психологией принятия решений человеком. Это также может приводить как к занижению (ослаблению), так и к завышению (усилению) экспертами прогнозов и предположений при определении угроз безопасности информации, что в свою очередь может привести к пропуску отдельных угроз безопасности информации или к неоправданным затратам на нейтрализацию неактуальных угроз.

Ну и последнее

В связи с утверждением настоящего методического документа не применяется для определения угроз безопасности информации Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ФСТЭК России, 2008 г.).

Подведем итог

Документ получился добротный, качественный, но в большинстве случаев — бесполезный. Почему?

  • Все проблемы рассматриваются в документе на теоретическом уровне; какие-либо практические рекомендации и примеры полностью отсутствуют. Для подавляющего количества организаций составление экспертной группы, да еще с привлечением разработчиков — полнейшая утопия. В лучшем случае всю процедуру придется проделать системному администратору, а в худшем — лицу, которое назначили ответственным за защиту персональных данных.
    Как составить свой список угроз? Как рассчитать ущерб?
  • Основой для работы служат список угроз безопасности из банка данных, поддерживаемых ФСТЭК России (ubi.fstec.ru), плюс данные на основе мониторинга новостей.

    Методика применяется совместно с банком данных угроз безопасности информации, сформированным ФСТЭК России (ubi.fstec.ru), а также базовыми и типовыми моделями угроз безопасности информации в информационных системах различных классов и типов, разрабатываемых ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.

    Определение угроз, связанных со стихийными бедствиями и природными явлениями, осуществляется в соответствии с правилами, установленными уполномоченными федеральными органами исполнительной власти, национальными стандартами и находятся за рамками настоящей Методики.

    Для определения угроз безопасности информации могут использоваться иные источники, в том числе опубликованные в общедоступных источниках данные об уязвимостях, компьютерных атаках, вредоносном программном обеспечении, а также результаты специально проведенных исследований по выявлению угроз безопасности информации. В этом случае потенциал нарушителя, возможные уязвимости, способы реализации угрозы безопасности информации и последствия от ее реализации определяются для каждой угрозы безопасности информации.

    Идея также здравая и одновременно утопичная. Во-первых, времени на мониторинг прессы и новостных сайтов у компаний нет. Тем более сотрудники компании не могут оценить, насколько описание угрозы в новости соответствует реальной угрозе конкретной компании. Сотрудники компании также не могут оценить и полноту банков угроз. Так, по отзывам на момент создания вышеупомянутого банка угроз в нем отсутствовали угрозы для Android. Ну и последний гвоздь — сотрудники компании не могут знать, действительно ли закрыта конкретная уязвимость очередным патчем. Случаев, когда в реальности закрытия уязвимости не происходило — достаточно много.

    Нельзя опираться и на новости. Не будем говорить о том, что компании могут выпускать новости для собственного пиара, преувеличивая ту или иную угрозу. Сколько записей добавляется в вирусные базы ежедневно?
    Можно выбрать любой случайно взятый день на ресурсе и оценить проблему. Вендоры публикуют новости об интересных по какой-то причине угрозах, но не могут описать все. А пользователи, естественно, не могут прочитать и проанализировать все. Пример? Сейчас много говорится о шифровальщиках. В вышеприведенных скриншотах шифровальщики, добавленные в базу за день, выделены красным — все остальные угрозы дня, скорее всего, не попали в сферу внимания пользователей.

    Еще одна проблема — финансовая. Анализ угроз нужно проводить постоянно.

    Определение угроз безопасности информации должно носить систематический характер и осуществляться как на этапе создания информационной системы и формирования требований по ее защите, так и в ходе эксплуатации информационной системы.

    Это, конечно, верно — информация о новых уязвимостях появляется постоянно. Но вот вопрос: можно ли в реальности оперативно получать деньги на новые средства защиты или их замену? По факту планы на выделение средств составляются на месяцы и кварталы вперед. И все это время уязвимость останется незакрытой — и что толку, что мы будем о ней знать?

Куда проще и правильнее сразу предположить, что уязвимо всё, уязвимости есть везде, и планировать систему защиты исходя из этого. Как на практике и происходит. В противном случае созданная на основе уже известных проблем система устареет с появлением первой же свежей уязвимости.

Также мнение о Методике высказано здесь, здесь и здесь. Также стоит заглянуть сюда. В статье указаны типичные ошибки при составлении модели угроз. Приведу только одну цитату:
анализ угроз в ручную оператором становится фактически нереальным либо нерентабельным. Единственные возможные варианты:

  • Применение оператором средств автоматизации расчетов актуальности угроз
  • Обращение за услугой по моделированию угроз к компании – консультанту, которые так-же либо будут вынуждены использовать средства автоматизации расчетов, либо заниматься копипастированием документов без проведения расчетов

Комментарии (4)


  1. ildarz
    25.05.2015 11:43

    Методика никак не регламентирует вопросы защиты информации, располагающейся за пределами системы защиты информации (например, на личных устройствах сотрудников)


    Ээ… по-моему, она по определению не может этого делать — как можно защищать нечто, находящее за пределами системы защиты? :) Однако, дальше вы же цитируете:

    должны быть определены физические и логические границы информационной системы, в которых принимаются и контролируются меры защиты информации


    По идее, личные устройства, на которых в силу производственной необходимости ведется обработка инфомации, должны быть также включены в границы и защищаться на общих основаниях. Ну и наверняка должен существовать какой-то регламент, когда и на каком основании защищаемая информация может передаваться за пределы периметра защиты.


    1. teecat Автор
      25.05.2015 11:56

      Так-то оно так, но есть две проблемы:
      1. На личных устройствах и компьютерах как правило работают не только сотрудники компании, но и члены их семей
      2. На том же Андроид на большинстве устройств нельзя разделить информацию корпоративную и личную, нельзя отследить, что во время подсоединения к корпоративной сети сотрудник занимается еще чем-то. Например ходит по подозрительным сайтам.

      Понимая глубину проблемы администраторы не спешат включать в систему защиты личные устройства и компьютеры — по сути это будет одна головная боль. Поэтому пока не будет четко прописано в нормативных документах требование по защите — защищать не будут. Пример — защита банкоматов и терминалов. Пока в требованиях не появились пункты об обязательности их защиты, интерес к ней был не очень большой.


  1. robux
    26.05.2015 12:40
    -1

    Филькина грамота колониальной администрации в стиле «хватать и не пущать»,
    никакой заботы об обществе или народе — только сохранение своего доминирования.


    1. teecat Автор
      26.05.2015 13:40

      Да я бы не сказал. Шаг вперед по сравнению с предыдущим документом весьма существенный. По сути проблема документа — отрыв от реальности, возможности использования документа специалистами на местах. Ну выбранный метод оценки рисков нельзя назвать удачным