Пн — Пт: 10:00–20:00 
Сб — Вс: 11:00–20:00
+7 (499) 112-44-47
+7 (812) 241-17-61
8 800 707-81-25
 info@licenziya-fsb.com
Заказать звонок
Заказать звонок

Разработка модели угроз безопасности информации: основные проблемы

Вадим Владимирович Петров
Количество просмотров224

базовая модель угроз ФСТЭК

Создание моделей угроз информационным системам является одной из обязанностей операторов ИС, занятых защитой информации при обработке и передаче персональных данных (ИСПДн). Раньше это делалось довольно легко: взять базовую модель угроз ФСТЭК, действовавшую на тот момент методику создания и сформировать уже собственную модель, заточенную под нужную систему. Однако ФСТЭК переработала эту схему: на смену классам систем персональных данных пришли уровни защищенности, а угрозы были разбиты на три типа:

  1. Недокументированные возможности (НДВ) в системном ПО.
  2. НДВ в прикладном ПО.
  3. Прочие.

Уровень защищенности системы зависит от типа актуальных угроз, но как определить актуальность той или иной угрозы, если это можно сделать только в ходе сертификации СЗИ? Можно использовать только сертифицированные программы, но не стоит забывать, что обновления таких программ уже не подлежат проверке и сертификации, а значит, потенциально могут нести в себе уязвимость. Тогда получается, что угроза недекларированных возможностей актуальна всегда, каким бы ПО вы ни пользовались. Но в этом случае не совсем ясно, как можно сделать модель угроз, поэтому обычно операторы стараются обосновать, почему считают такую-то угрозу неактуальной.

Что можно применить для разработки модели угроз

Для того, чтобы облегчить операторам задачу, ФСТЭК создала Банк уязвимостей – перечень всех обнаруженных компьютерных уязвимостей. Этот реестр постоянно пополняется как усилиями регулятора, так и основными участниками рынка в сфере информационной безопасности. Специалисты, работающие по лицензии ФСТЭК ТЗКИ, рекомендуют использовать данные этого реестра при создании индивидуальной модели угроз.

Также весной 2015 г. совместно с ведущими специалистами по кибербезопасности ФСТЭК начала работу над проектом «Методики определения актуальных угроз для ИС». В настоящее время этот проект сформулирован, но пока не утвержден: информационные технологии развиваются стремительно, и ФСТЭК не успевает дорабатывать проект так, чтобы он соответствовал их текущему уровню. Тем не менее, рекомендуется руководствоваться данным проектом, уточняя спорные моменты у специалистов.

В конечном итоге, для создания базовой модели угроз в настоящее время ФСТЭК советует пользоваться Приказами №№ 21 и 17 и, конечно, не пренебрегать данными Банка уязвимостей. Итоговый же результат будет зависеть уже от навыков и умений данного конкретного оператора.

Нужна помощь по технической защите информации? Обращайтесь, поможем.

Узнать подробнее
Нужна косультация по лицензированию ФСТЭК?
Проконсультироваться Консультация по лицензированию ФСТЭК

Оставить комментарий

Спасибо!
мы скоро свяжемся с вами!