• +7 (499) 112-44-47

      +7 (812) 241-17-61

Заказать звонок

базовая модель угроз ФСТЭК

Разработка модели угроз безопасности информации: основные проблемы

Создание моделей угроз информационным системам является одной из обязанностей операторов ИС, занятых защитой информации при обработке и передаче персональных данных (ИСПДн). Раньше это делалось довольно легко: взять базовую модель угроз ФСТЭК, действовавшую на тот момент методику создания и сформировать уже собственную модель, заточенную под нужную систему. Однако ФСТЭК переработала эту схему: на смену классам систем персональных данных пришли уровни защищенности, а угрозы были разбиты на три типа:

  1. Недокументированные возможности (НДВ) в системном ПО.
  2. НДВ в прикладном ПО.
  3. Прочие.

Уровень защищенности системы зависит от типа актуальных угроз, но как определить актуальность той или иной угрозы, если это можно сделать только в ходе сертификации СЗИ? Можно использовать только сертифицированные программы, но не стоит забывать, что обновления таких программ уже не подлежат проверке и сертификации, а значит, потенциально могут нести в себе уязвимость. Тогда получается, что угроза недекларированных возможностей актуальна всегда, каким бы ПО вы ни пользовались. Но в этом случае не совсем ясно, как можно сделать модель угроз, поэтому обычно операторы стараются обосновать, почему считают такую-то угрозу неактуальной.

Что можно применить для разработки модели угроз

Для того, чтобы облегчить операторам задачу, ФСТЭК создала Банк уязвимостей – перечень всех обнаруженных компьютерных уязвимостей. Этот реестр постоянно пополняется как усилиями регулятора, так и основными участниками рынка в сфере информационной безопасности. Специалисты, работающие по лицензии ФСТЭК ТЗКИ, рекомендуют использовать данные этого реестра при создании индивидуальной модели угроз.

Также весной 2015 г. совместно с ведущими специалистами по кибербезопасности ФСТЭК начала работу над проектом «Методики определения актуальных угроз для ИС». В настоящее время этот проект сформулирован, но пока не утвержден: информационные технологии развиваются стремительно, и ФСТЭК не успевает дорабатывать проект так, чтобы он соответствовал их текущему уровню. Тем не менее, рекомендуется руководствоваться данным проектом, уточняя спорные моменты у специалистов.

В конечном итоге, для создания базовой модели угроз в настоящее время ФСТЭК советует пользоваться Приказами №№ 21 и 17 и, конечно, не пренебрегать данными Банка уязвимостей. Итоговый же результат будет зависеть уже от навыков и умений данного конкретного оператора.

Нужна помощь по технической защите информации? Обращайтесь, поможем.

Узнать подробнее

Трекбэк с Вашего сайта.

Оставить комментарий

    • Москва
      • Главный офис
        г. Москва, Колодезный пер., дом 14
      • Понедельник — Пятница: 10:00 — 20:00
        Суббота — Воскресенье: 11:00 — 20:00
      • +7 (499) 112-44-47
      • info@licenziya-fsb.com
    • Санкт-Петербург
      • Дополнительный офис
        г. Санкт-Петербург, ул. Мира, дом 16
      • Понедельник – Пятница: 10:00 – 20:00
        Суббота — Воскресенье 11:00 — 20:00
      • +7 (812) 241-17-61
      • info@licenziya-fsb.com
Оставьте заявку