Основные правила создания моделей угроз: указания ФСТЭК

Вадим Владимирович Петров
Количество просмотров127

модель угроз ФСТЭК

Выступление представителей ФСБ И ФСТЭК на 8 международной конференции по защите персональных данных касалось в основном проблем определения актуальных угроз для БД и создания моделей для эффективной защиты. Регуляторы обобщили опыт последний проверок и акцентировали внимание слушателей на следующих моментах:

1. В подавляющем большинстве проверенных организаций утверждённые модели угроз не соответствовали требованиям ФСТЭК. Основные нарушения:

  • при моделировании не принимались во внимание уязвимости и угрозы из Базы уязвимостей, формируемой ФСТЭК;
  • при создании модели угроз не учитывались уязвимости, связанные с конкретной используемой технологией (например, применяя виртуализацию, необходимо учитывать угрозы, связанные именно с данной технологией);
  • категории нарушителей или, напротив, их исключение из модели никак не обосновано с точки зрения актуальности угрозы;
  • неправильное определение классов средств контроля защищенности ИС;
  • неинформативная описательная часть модели угроз (к примеру, отсутствует полное описание информационной системы и обоснование актуальности угроз для конкретной ИС).

2. Для органов исполнительной власти, где ведётся обработка персональных данных, необходимо разработать и принять НПА, которые будут чётко регламентировать обработку персональных данных и содержать перечень актуальных угроз для конкретных информационных систем, используемых при данных видах деятельности. В качестве примера и ориентира приведён Приказ Минюста РФ № 208 от 23 октября 2017 года, где достаточно чётко описаны угрозы и разработка защиты ИС. Регуляторы отметили, что угрозы и уязвимости для конкретных видов деятельности могут быть описаны как в виде перечня, так и скомпонованы по типам ИС (в случае использования нетиповых).

3. ФСТЭК требует поддерживать модель угроз в актуальном состоянии, «привязывая» МУ к свежей версии Базы уязвимостей ФСТЭК. Это следует иметь в виду при получении лицензии ФСТЭК на ТЗКИ и создании систем, где будут обрабатываться персональные данные. При каждом обновлении базы угроз информационной безопасности необходимо актуализировать и модель угроз, пересматривая перечень уязвимостей и принимая новый приказ.

Есть вопросы по защите информации при лицензировании ФСТЭК? Мы поможем разобраться. Звоните!

Заказать обратный звонок
Нужна косультация по лицензированию ФСТЭК?

Оставить комментарий