Модель угроз информационной безопасности персональных данных

Информационная поддержка по теме: "Модель угроз информационной безопасности персональных данных" с подробным описанием. В статье мы постарались полностью раскрыть тему. В случае возникновения вопросов, вы всегда можете их задать дежурному юристу.

Частная модель угроз безопасности информации конфиденциального характера для банка

В данный момент занимаюсь пересмотром частной политики по рискам нарушения информационной безопасности и обновлением модели угроз ИБ.

В ходе работы я столкнулся с некоторыми сложностями. О том, как я их решил и разработал частную модель угроз, и пойдет речь далее.

Основные источники угроз перечислены в п.6.6 Стандарте Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0-2014 (СТО БР ИББС-1.0-2014). Потенциал нарушителя можно взять отсюда .

В общем случае, при определении актуальных угроз ИБ нужно принимать во внимание инциденты ИБ, которые происходили в организации, сведения из аналитических отчетов регуляторов и компаний, оказывающих услуги по обеспечению информационной безопасности, и экспертное мнение специалистов компании.

Также угрозы ИБ определяются в соответствии с Указанием Банка России от 10.12.2015 N 3889-У «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных (3889-У), приложением 1 РС БР ИББС-2.2-2009, таблицей 1 РС БР ИББС-2.9-2016 (её я сделал отдельным приложением), Банком данных угроз безопасности информации ФСТЭК России (БДУ).

Кстати, заметил, что некоторые угрозы из 3889-У дублируют угрозы из БДУ:

  • угроза воздействия вредоносного кода, внешнего по отношению к информационной системе персональных данных — УБИ.167, УБИ.172, УБИ.186, УБИ.188, УБИ.191;
  • угроза использования методов социального инжиниринга к лицам, обладающим полномочия-ми в информационной системе персональных данных — УБИ.175;
  • угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в программном обеспечении информационной системы персональных данных — УБИ.192;

В связи с этим я исключил дублирующие угрозы из 3889-У в пользу УБИ, т.к. в их описании содержится дополнительная информация, которая облегчает заполнение таблиц с моделью угроз и оценкой рисков ИБ.

Актуальные угрозы источника угроз «Неблагоприятные события природного, техногенного и социального характера» можно определить, ориентируясь на статистику МЧС РФ о чрезвычайных ситуациях и пожарах .

Актуальные угрозы источника угроз «Террористы и криминальные элементы» можно определить, ориентируясь на статистику МВД РФ о состоянии преступности и рассылку новостей «Преступления в банковской сфере» .

КОНСУЛЬТАЦИЯ ЮРИСТА


УЗНАЙТЕ, КАК РЕШИТЬ ИМЕННО ВАШУ ПРОБЛЕМУ — ПОЗВОНИТЕ ПРЯМО СЕЙЧАС

8 800 350 84 37

На данном этапе мы определись с источниками угроз ИБ и актуальными угрозами ИБ. Теперь перейдем к созданию таблицы с моделью угроз ИБ.

За основу я взял таблицу «Отраслевая модель угроз безопасности ПДн» из РС БР ИББС-2.4-2010. Колонки «Источник угрозы» и «Уровень реализации угрозы» заполняются в соответствии с требованиями п.6.7 и п.6.9 СТО БР ИББС-1.0-2014. У нас остаются пустыми колонки «Типы объектов среды» и «Угроза безопасности». Последнюю я переименовал в «Последствия реализации угрозы», как в БДУ (на мой взгляд, так вернее). Для их заполнения нам потребуется описание наших угроз из БДУ.

В качестве примера рассмотрим » УБИ.192: Угроза использования уязвимых версий программного обеспечения «:
Описание угрозы: угроза заключается в возможности осуществления нарушителем деструктивного воздействия на систему путем эксплуатации уязвимостей программного обеспечения. Данная угроза обусловлена слабостями механизмов анализа программного обеспечения на наличие уязвимостей. Реализация данной угрозы возможна при отсутствии проверки перед применением программного обеспечения на наличие в нем уязвимостей.
Источники угрозы: внутренний нарушитель с низким потенциалом; внешний нарушитель с низким потенциалом.
Объект воздействия: прикладное программное обеспечение, сетевое программное обеспечение, системное программное обеспечение.
Последствия реализации угрозы: нарушение конфиденциальности, нарушение целостности, нарушение доступности.

Для удобства я распределил типы объектов среды (объекты воздействия) по уровням реализации угрозы (уровням информационной инфраструктуры банка).

Перечень объектов среды я скомпоновал из п.7.3 РС БР ИББС-2.9-2016, п.4.5 РС БР ИББС-2.2-2009 и из описания УБИ. Уровни реализации угрозы представлены в п.6.2 СТО БР ИББС-1.0-2014.

Т.о. данная угроза затрагивает следующие уровни: уровень сетевых приложений и сервисов; уровень банковских технологических процессов и приложений.

Источник: http://www.securitylab.ru/blog/personal/ser-storchak/341865.php

Модель угроз информационной безопасности персональных данных

Практическая защита
персональных данных

Что же такое модель угроз безопасности персональных данных?! Для чего она нужна и как ее разработать?! Ответы на эти вопросы Вы найдете в этой статье.

Модель угроз – это перечень возможных угроз.

Все просто и ясно. Хотя в ГОСТ Р 50922-2006 – «Защита информации. Основные термины и определения» дано более емкое определение:

Модель угроз (безопасности информации) – физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации.

Итак, модель угроз – это документ, тем или иным способом описывающий возможные угрозы безопасности персональных данных.

Теперь разберемся что такое угроза безопасности информации (персональных данных).

Угрозы безопасности персональных данных — совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

Читайте так же:  Срок действия академической справки закон

Проще говоря, угроза – это «дыра» в системе защиты.

Угроза может привести к утечке (уничтожению, модификации), а может и нет. Наличие угрозы свидетельствует лишь о наличии возможности несанкционированного доступа к данным.

Зачем нужна модель угроз

Модель угроз безопасности персональных данных необходима для определения требований к системе защиты. Без модели угроз невозможно построить адекватную (с точки зрения денежных затрат) систему защиты информации, обеспечивающую безопасность персональных данных.

В систему защиты включаются только те средства защиты информации, которые нейтрализуют актуальные угрозы.

В соответствии с пунктом 2 статьи 19 ФЗ «О персональных данных» обеспечение безопасности персональных данных достигается, в частности определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных, т.е. разработкой модели угроз.

Разработка модели угроз безопасности персональных данных

Модель угроз (или как ее еще называют «Частная модель угроз») может разрабатываться ответственными за защиту персональных данных в организации. Также могут привлекаться сторонние эксперты. Разработчики модели угроз должны владеть полной информацией об информационной системе персональных данных, знать нормативную базу по защите информации.

При отсутствии экспертов разработку модели угроз лучше доверить сторонней организации.

«Базовая модель» содержит систематизированный перечень угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Многие эксперты по защите информации весьма скептически относятся к этому документу. Угрозы, приведенные в базовой модели, устарели и далеко не всеобъемлющи. Однако за неимением лучшего приходится довольствоваться текущей редакцией документа.

Документ «Методика определения актуальных угроз» содержит алгоритм оценки угрозы. Путем несложных расчетов определяется статус каждой вероятной угрозы.

Если Вы решили разрабатывать модель угроз самостоятельно, мы рекомендуем Вам воспользоваться нашим онлайн сервисом для подготовки пакета документов по защите персональных данных. Это позволит избежать ошибок и сократить время подготовки документов.

Наш сервис уже содержит все угрозы безопасности из «Базовой модели». Вам достаточно просто проставить их характеристики и общие характеристики Вашей ИСПДн. Алгоритм расчета актуальности угроз полностью автоматизирован. В результате Вы получите готовый документ в формате RTF

© 2011-2019 «Практическая защита персональных данных»

Источник: http://pdsec.ru/model_ugroz

В современных условиях информационные технологии приобрели глобальный характер и стали неотъемлемой частью всех сфер деятельности личности, общества и государства. Систему государственного и муниципального управления уже невозможно представить в отрыве от современных средств обработки информации. Электронный документооборот, межведомственное электронное взаимодействие, предоставление государственных и муниципальных услуг в электронном виде широко представлены в деятельности органов государственной власти и местного самоуправления. В результате такого проникновения информационной сферы возникают все новые и новые информационные угрозы. Данный информационно-методический ресурс посвящен вопросам информационной безопасности и защиты информации в органах государственной власти и местного самоуправления, государственных и муниципальных учреждениях Воронежской области. Рассчитываем на то, что ресурс «Информационная безопасность Воронежской области» будет полезен как для специалистов в области информационной безопасности, так и для заинтересованных граждан.

ЛЕНТА НОВОСТЕЙ

Информационное сообщение ФСТЭК России от 20.01.2020 № 240/24/250 «О применении сертифицированных операционных Microsoft Windows 7 и Microsoft Windows Server 2008 R2 в связи с прекращением их технической поддержки». Открыть

Внесены изменения в документы, определяющие политику в отношении обработки персональных данных в правительстве Воронежской области, утвержденные постановлением правительства Воронежской области от 26.09.2017 № 748. Открыть

Внесены изменения в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11.02.2013 № 17. Открыть

Отделом информационной безопасности правительства области совместно с управление государственной службы и кадров правительства области доработаны Модельные квалификационные требования к знаниям и умениям и обязанности по защите информации сотрудников государственных органов Воронежской области, органов местного самоуправления Воронежской области и подведомственных им организаций и Модельные функции и задачи по защите информации государственных органов Воронежской области, органов местного самоуправления Воронежской области, подведомственных им организаций и их структурных подразделений. Доработанные материалы доступны в разделе ЗАКОНОДАТЕЛЬСТВО/Руководящие и методические документы.

14 августа 2019 года в правительстве Воронежской области проведен семинар-совещание по вопросу соблюдения требований законодательства Российской Федерации в области персональных данных с участием представителей органов Роскомнадзора по Центральному федеральному округу.

Источник: http://ib.govvrn.ru/wp-content/uploads/2018/05/Vyalyh.pdf

Разработка Модели угроз, или Как одолеть “Джомолунгму” информационной безопасности? Кто такая МУ и почему ею интересуются ФСБ и ФСТЭК

Будь благословен Федеральный закон “О персональных данных”! Сколько увлекательных вечеров благодаря нему проводят сотрудники разных компаний за подготовкой к радушной встрече с инспекторами Роскомнадзора, ФСТЭК и ФСБ. О глобальной режиссуре этого сейшена мы уже писали. Теперь давайте разбираться с “бумажными” деталями. Один из обязательных пунктов программы — разработка так называемой “модели угроз” (МУ).

Предупреждаем на берегу: это не самое веселое занятие. Но как только вы разберетесь в вопросе, сразу почувствуете себя героем. А мы компетентно поможем вам одолеть эту высоту.

Что она, вообще, такое, эта загадочная МУ, и для чего она нужна?

Модель угроз информационной безопасности (ИБ) — это описание существующих угроз, насколько они реалистичны, каковы шансы, что они воплотятся в жизнь, и, само собой, каковы последствия.

С помощью грамотных МУ можно повысить уровень ИБ и даже затраты на защиту оптимизировать, сосредоточившись на самых вероятных угрозах.

Читайте так же:  Апелляция жалоба на решение районного суда

В общем, модель угроз — штука хорошая, полезная. И закон говорит, что без нее никак. Необходимость разработки этого документа законодательно закреплена вот здесь:

  1. Часть 2 статьи 19 закона №152-ФЗ «О персональных данных»: «Обеспечение безопасности персональных данных достигается, в частности: 1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных».
  2. Приказы ФСТЭК 21, 17, 31 и 239 определяют, что формирование требований к защите информации должно основываться на определении угроз безопасности.

На основе модели угроз формируются требования к защите информации. А на базе этих требований создается система защиты персональных данных (ПДн). МУ обосновывает возможность использования организационных мер, чтобы избежать определенных угроз. Плюс ко всему, она обосновывает использование определенных типов и классов средств защиты информации.

Модель угроз применяют при решении разных задач:

  • выбор организационных и технических мер по обеспечению безопасности ПДн и их реализации в системе защиты ПДн;
  • определение требуемого уровня защищенности ПДн;
  • анализ защищенности от угроз безопасности ПДн в ходе организации и выполнения работ по обеспечению безопасности ПДн;
  • разработка системы защиты ПДн, обеспечивающей нейтрализацию угроз с использованием организационных и технических мер обеспечения безопасности ПДн;
  • проведение мероприятий, направленных на предотвращение несанкционированного доступа (НСД) к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;
  • недопущение воздействия на технические средства ИСПДн, в результате которого может быть нарушено их функционирование.

В общем, мы не ошибемся, если назовем модель угроз ключевым документом, который нужен на всех остальных этапах работ по защите ПДн, включая проверку.

Содержание МУ

Простора для творчества при разработке Модели угроз, прямо скажем, не так много. Зато это здорово упрощает жизнь. Содержание МУ прописано в нормативных документах и должно включать в себя следующие части:

Содержание модели угроз

  • из общих положений это титульный лист, аннотация, содержание и список сокращений;
  • в вводной части нужно указать:
    • на основании каких нормативно-методических документов разработана модель угроз;
    • какую информацию она содержит;
    • при решении каких задач используется;
    • как часто может актуализироваться и пересматриваться;
    • какой компанией разработана и для кого предназначена.
  • Кроме этого, в модели угроз должны присутствовать:

    • описание информационной системы персональных данных, включая описание информационно-технологической инфраструктуры;
    • структурно-функциональные характеристики;
    • описание угроз безопасности;
    • модель нарушителя;
    • возможные уязвимости;
    • способы реализации угроз;
    • последствия нарушения безопасности информации.

    Теперь остановимся на некоторых пунктах чуть подробнее.

    Описание информационной системы персональных данных включает в себя сведения об ИТ-инфраструктуре, обрабатываемых данных, о взаимодействии со смежными системами и функциональную схему ИСПДн. Здесь же указывают адреса объектов, на которых расположены технические средства ИСПДн и границы контролируемой зоны, какие средства используются для защиты ИСПДн и прошли ли они процедуру сертификации.

    Видео (кликните для воспроизведения).

    А контролируемая зона — это пространство (территория, здание, часть здания, помещение), в которое “дяде Феде” и любым другим персонажам с улицы вход заказан. Такой запрет касается не только посторонних лиц, но еще и транспортных, технических и других материальных средств.

    Возвращаясь к пункту о нормативно-методических документах, на основании которых должна быть разработана Модель угроз, перечисляем эти самые документы:

    1. Базовая модель угроз безопасности персональных данных при обработке в информационных системах персональных данных (далее – ИСПДн).
      https://fstec.ru/component/attachments/download/289
    2. Методика определения актуальных угроз безопасности персональных данных при их обработке в ИСПДн.
      https://fstec.ru/component/attachments/download/290
    3. Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн.
      https://fstec.ru/component/attachments/download/561
    4. Методический документ. Меры защиты информации в государственных информационных системах (если речь идёт о ГИС).
      https://fstec.ru/component/attachments/download/675

    Враг: найти и обезвредить

    Один из этапов разработки Модели угроз — создание Модели нарушителя безопасности. И тут наш скучный “бумажный” сюжет принимает практически детективный оборот. Художественный портрет нам, конечно, вряд ли понадобится, а вот классификация нарушителей — обязательно. В этом вопросе должна быть полная ясность.

    По наличию права постоянного или разового доступа в контролируемую зону ИСПДн, нарушителей подразделяют на два типа:

    • внешние – нарушители, не имеющие доступа к ИСПДн, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена;
    • внутренние – нарушители, имеющие доступ к ИСПДн, включая пользователей ИСПДн, реализующие угрозы непосредственно в ИСПДн.

    Берем из базовой Модели угроз https://fstec.ru/component/attachments/download/289 список возможных нарушителей безопасности и определяем, кто из них может относиться к рассматриваемой ИСПДн. После этого переходим к определению актуальных угроз, которые могут реализовать установленные нами категории нарушителей.

    По-настоящему опасно

    А дальше разрабатываем частную Модель угроз, рассматривая угрозы утечки информации по техническим каналам и угрозы несанкционированного доступа к персональным данным. Задача — обнаружить актуальные угрозы безопасности. Для этого с помощью заполнения приведенной ниже таблицы определяется исходный уровень защищенности — коэффициент исходной защищенности Y1.

    Технические и эксплуатационные характеристики ИСПДн Уровень защищенности
    Высокий Средний Низкий
    По территориальному размещению Распределенная ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом + Городская ИСПДн, охватывающая не более одного населенного пункта (города, поселка) + Корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации + Локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий + Локальная ИСПДн, развернутая в пределах одного здания + По наличию соединения с сетями общего пользования ИСПДн, имеющая многоточечный выход в сеть общего пользования + ИСПДн, имеющая одноточечный выход в сеть общего пользования + ИСПДн, физически отделенная от сети общего пользования + По встроенным (легальным) операциям с записями баз персональных данных Чтение, поиск + Запись, удаление, сортировка + Модификация, передача + По разграничению доступа к персональным данным ИСПДн, к которой имеет доступ определенный перечень сотрудников организации, являющейся владельцем ИСПДн, либо субъект ПДн + ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн + ИСПДн с открытым доступом + По наличию соединений с другими базами ПДн иных ИСПДн Интегрированная ИСПДн (организация использует несколько баз ПДн ИСПДн, при этом организация не является владельцем всех используемых баз ПДн) + ИСПДн, в которой используется одна база ПДн, принадлежащая организации — владельцу данной ИСПДн + По уровню обобщения (обезличивания) ПДн ИСПДн, в которой предоставляемые пользователю данные являются обезличенными (на уровне организации, отрасли, области, региона и т.д.) + ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации + ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн) + По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки ИСПДн, предоставляющая всю БД с ПДн + ИСПДн, предоставляющая часть ПДн + ИСПДн, не предоставляющие никакой информации +
    Читайте так же:  Судебно химическая медицинская экспертиза

    Теперь включим энтузиазм на полную и попробуем разобраться с этой увлекательной таблицей.

    Вот смотрите: каждой характеристике соответствует высокий, средний или низкий уровень защищенности. Нам нужно посчитать процент характеристик с разными уровнями защищенности. Если «высокий» и «средний» набрали 70% и выше, значит уровень исходной защищенности средний (Y1 = 5), если меньше 70%, то – низкий (Y1 = 10).

    Второй параметр для определения актуальных угроз — Y2 (он же вероятность реализации угрозы) — может принимать такие значения:

    0 – для маловероятной угрозы;

    2 – для низкой вероятности угрозы;

    5 – для средней вероятности угрозы;

    10 – для высокой вероятности угрозы.

    Из этих двух параметров определяется коэффициент реализуемости угрозы Y. Вычисляется он по формуле: Y = (Y1+Y2) / 20. В зависимости от полученного значения угроза относится к низкой, средней или высокой.

    Следующим шагом мы исключаем те угрозы, которые не имеют отношения к системе. Например, если мобильный и беспроводной доступ не используется, то связанные с ним угрозы будут явно лишними в списке.

    Перечень угроз есть в базовой модели угроз. Помимо нее существует база угроз безопасности, но ничто не мешает вам дополнить список собственными вариантами угроз. “Режиссерская версия”, так сказать.

    Финальные “аккорды”

    Отдельная глава в нашем суровом “романе об угрозах” — модель угроз безопасности ПДн при их обработке с использованием средств криптографической защиты информации (СКЗИ, это сфера интересов ФСБ России). Определяем в ней на основе модели нарушителя и угроз, относящихся к СКЗИ, класс криптографической защиты информации.

    Ну а дальше на базе вычисленных актуальных угроз безопасности и требованиям нормативных актов выявляем и фиксируем в документе организационные и технические меры защиты информации.

    Модели угроз составляются на основе постоянно меняющихся данных, поэтому их нужно систематически пересматривать и обновлять.

    Вот теперь можно выдохнуть, потому что мы на финишной прямой. Надеемся, у вас появилась некоторая ясность, и словосочетание “модель угроз” больше не вызывает в вашем мозге “короткое замыкание”. Напоследок отметим, что модели угроз составляются на основе постоянно меняющихся данных, поэтому их нужно систематически пересматривать и обновлять.

    Если у вас остались какие-то вопросы (наверняка!), обязательно свяжитесь с нашей “группой оперативного реагирования”. Пароли, явки: [email protected]; 8 (495) 983-04-12, 8 (800) 707-04-12.

    Источник: http://www.corpsoft24.ru/about/blog/model-ugroz/

    О моделировании угроз

    Вопрос обеспечения информационной безопасности Государственных Информационных Систем не только не теряет актуальности, но с развитием концепции электронного правительства и увеличением количества электронных услуг, становится более значимым. Так, около месяца назад большой резонанс на Хабрахабре вызвала статья «И так сойдёт… или как данные 14 миллионов россиян оказались у меня в руках».

    Используя терминологию проекта документа «Методика определения угроз безопасности информации в ИС», эту ситуацию потенциально можно описать следующим образом:

    В данном приказе содержатся требования по защите информации и определены этапы работ по созданию защиты информации. Ниже приведена краткая выписка таких этапов.

    Для обеспечения защиты информации, содержащейся в информационной системе, проводятся следующие мероприятия:

    • формирование требований к защите информации, содержащейся в информационной системе;
    • разработка системы защиты информации информационной системы;
    • внедрение системы защиты информации информационной системы;
    • аттестация информационной системы по требованиям защиты информации (далее — аттестация информационной системы) и ввод ее в действие;
    • обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы;
    • обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.

    В контексте данной статьи нас будет в первую очередь интересовать этап формирования требований к защите.

    Формирование требований к защите информации, содержащейся в информационной системе, осуществляется с учетом ГОСТ Р 51583 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения» и ГОСТ Р 51624 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования» и в том числе включает:

    • принятие решения о необходимости защиты информации, содержащейся в информационной системе;
    • классификацию информационной системы по требованиям защиты информации (далее — классификация информационной системы);
    • определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработку на их основе модели угроз безопасности информации;
    • определение требований к системе защиты информации информационной системы.
    Читайте так же:  Срок исковой давности по кредитным долгам

    Как мы видим, приказом №17 отдельно вынесено определение угроз безопасности, а проверяющие органы запрашивают при проверках документ, под названием «Модель угроз».

    Итак, попробуем разобраться с данным документом.

    Непосредственно разработка модели угроз должна основываться на следующих документах ФСТЭК:

    • «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», Федеральная служба по техническому и экспортному контролю, 2008 год
    • «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», Федеральная служба по техническому и экспортному контролю, 2008 год.

    «Базовая модель» содержит систематизированный перечень угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Многие эксперты по защите информации довольно скептически относятся к этому документу. Угрозы, приведенные в базовой модели, устарели и далеко не всеобъемлющи. Однако за неимением лучшего приходится довольствоваться текущей редакцией документа. Сразу хочу отметить, что есть и более новая версия документа у ФСТЭК, с помощью которой был частично описан кейс в начале статьи, но новая версия уже довольно длительное время находится в стадии проекта и не утверждена. А потому аттестующие органы требуют Модель угроз, основанную на приведенных выше документах.

    Подробнее о проекте документа «Методика определения угроз безопасности информации в ИС» можно прочитать на Хабре в статье «Документ, который ждали».

    Однако, возвращаясь 17-му приказу мы читаем следующее.

    Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).
    В качестве исходных данных для определения угроз безопасности информации используется банк данных угроз безопасности информации (bdu.fstec.ru), а также иные источники, содержащие сведения об уязвимостях и угрозах безопасности информации.

    А вот здесь возникает заминка, банк данных создан, есть программные продукты автоматизирующие анализ защищенности в соответствии с данным банком, а вот упоминания про этот банк в действующих документах «Базовой модели» и «Методиках определения актуальных угроз» нет.

    В общем-то ситуация довольно типичная для наших законодателей и со временем обычно ими исправляется, но когда именно, ясности нет. Поэтому к моделированию подходим творчески, компилируя оба подхода, это не запрещено и дает более соотносящуюся с реальной защищенностью информацию.

    Что нужно определить и учесть согласно приказу:

    • структурно-функциональные характеристики нашей системы;
    • физические, логические, функциональные и технологические взаимосвязи между сегментами информационной системы, с иными информационными системами и информационно-телекоммуникационными сетями;
    • режимы обработки информации в информационной системе и в ее отдельных сегментах;
    • иные характеристики информационной системы, применяемые информационные технологии и особенности ее функционирования.

    Еще один важный момент, это то, что в результате моделирования можно при необходимости выдавать рекомендации по корректировке системы, т.е. ее структуры и/или характеристик.

    Про содержание документа «Модель угроз безопасности», процитирую 17 приказ, который от нас требует следующее:

    «Модель угроз безопасности информации должна содержать описание информационной системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.»

    Данный перечень пунктов не претендует на истину в последней инстанции, но как показывали проверки его полноты достаточно, конечно, в зависимости от содержания таких пунктов. Для верного заполнения данных пунктов специалисту по безопасности необходимо достаточно глубоко погрузиться в информацию о системе, понять какие приложения используются, с какой целью и для чего.

    Естественно, если функции безопасности возложены не на системного администратора, такому специалисту в большинстве случаев потребуется помощь от знающих данную систему людей. Но наши реалии в большинстве случаев показывают, что заниматься всеми этапами приведения в соответствие с законодательством информационных систем приходится именно системным администраторам. Конечно, в крупных организациях в большинстве своем есть соответствующие штатные единицы, ответственные за безопасность. А если позволяет бюджет, то нанимаются специализированные организации, имеющие лицензии на соответствующий вид деятельности.

    Источник: http://habr.com/post/350228/

    Частная модель угроз безопасности информации конфиденциального характера для банка

    В данный момент занимаюсь пересмотром частной политики по рискам нарушения информационной безопасности и обновлением модели угроз ИБ.

    В ходе работы я столкнулся с некоторыми сложностями. О том, как я их решил и разработал частную модель угроз, и пойдет речь далее.

    Основные источники угроз перечислены в п.6.6 Стандарте Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0-2014 (СТО БР ИББС-1.0-2014). Потенциал нарушителя можно взять отсюда .

    В общем случае, при определении актуальных угроз ИБ нужно принимать во внимание инциденты ИБ, которые происходили в организации, сведения из аналитических отчетов регуляторов и компаний, оказывающих услуги по обеспечению информационной безопасности, и экспертное мнение специалистов компании.

    Также угрозы ИБ определяются в соответствии с Указанием Банка России от 10.12.2015 N 3889-У «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных (3889-У), приложением 1 РС БР ИББС-2.2-2009, таблицей 1 РС БР ИББС-2.9-2016 (её я сделал отдельным приложением), Банком данных угроз безопасности информации ФСТЭК России (БДУ).

    Читайте так же:  Уведомление о кик открыто некоммерческое партнерство

    Кстати, заметил, что некоторые угрозы из 3889-У дублируют угрозы из БДУ:

    • угроза воздействия вредоносного кода, внешнего по отношению к информационной системе персональных данных — УБИ.167, УБИ.172, УБИ.186, УБИ.188, УБИ.191;
    • угроза использования методов социального инжиниринга к лицам, обладающим полномочия-ми в информационной системе персональных данных — УБИ.175;
    • угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в программном обеспечении информационной системы персональных данных — УБИ.192;

    В связи с этим я исключил дублирующие угрозы из 3889-У в пользу УБИ, т.к. в их описании содержится дополнительная информация, которая облегчает заполнение таблиц с моделью угроз и оценкой рисков ИБ.

    Актуальные угрозы источника угроз «Неблагоприятные события природного, техногенного и социального характера» можно определить, ориентируясь на статистику МЧС РФ о чрезвычайных ситуациях и пожарах .

    Актуальные угрозы источника угроз «Террористы и криминальные элементы» можно определить, ориентируясь на статистику МВД РФ о состоянии преступности и рассылку новостей «Преступления в банковской сфере» .

    На данном этапе мы определись с источниками угроз ИБ и актуальными угрозами ИБ. Теперь перейдем к созданию таблицы с моделью угроз ИБ.

    За основу я взял таблицу «Отраслевая модель угроз безопасности ПДн» из РС БР ИББС-2.4-2010. Колонки «Источник угрозы» и «Уровень реализации угрозы» заполняются в соответствии с требованиями п.6.7 и п.6.9 СТО БР ИББС-1.0-2014. У нас остаются пустыми колонки «Типы объектов среды» и «Угроза безопасности». Последнюю я переименовал в «Последствия реализации угрозы», как в БДУ (на мой взгляд, так вернее). Для их заполнения нам потребуется описание наших угроз из БДУ.

    В качестве примера рассмотрим » УБИ.192: Угроза использования уязвимых версий программного обеспечения «:
    Описание угрозы: угроза заключается в возможности осуществления нарушителем деструктивного воздействия на систему путем эксплуатации уязвимостей программного обеспечения. Данная угроза обусловлена слабостями механизмов анализа программного обеспечения на наличие уязвимостей. Реализация данной угрозы возможна при отсутствии проверки перед применением программного обеспечения на наличие в нем уязвимостей.
    Источники угрозы: внутренний нарушитель с низким потенциалом; внешний нарушитель с низким потенциалом.
    Объект воздействия: прикладное программное обеспечение, сетевое программное обеспечение, системное программное обеспечение.
    Последствия реализации угрозы: нарушение конфиденциальности, нарушение целостности, нарушение доступности.

    Для удобства я распределил типы объектов среды (объекты воздействия) по уровням реализации угрозы (уровням информационной инфраструктуры банка).

    Перечень объектов среды я скомпоновал из п.7.3 РС БР ИББС-2.9-2016, п.4.5 РС БР ИББС-2.2-2009 и из описания УБИ. Уровни реализации угрозы представлены в п.6.2 СТО БР ИББС-1.0-2014.

    Т.о. данная угроза затрагивает следующие уровни: уровень сетевых приложений и сервисов; уровень банковских технологических процессов и приложений.

    Источник: http://www.securitylab.ru/blog/personal/ser-storchak/341865.php

    В современных условиях информационные технологии приобрели глобальный характер и стали неотъемлемой частью всех сфер деятельности личности, общества и государства. Систему государственного и муниципального управления уже невозможно представить в отрыве от современных средств обработки информации. Электронный документооборот, межведомственное электронное взаимодействие, предоставление государственных и муниципальных услуг в электронном виде широко представлены в деятельности органов государственной власти и местного самоуправления. В результате такого проникновения информационной сферы возникают все новые и новые информационные угрозы. Данный информационно-методический ресурс посвящен вопросам информационной безопасности и защиты информации в органах государственной власти и местного самоуправления, государственных и муниципальных учреждениях Воронежской области. Рассчитываем на то, что ресурс «Информационная безопасность Воронежской области» будет полезен как для специалистов в области информационной безопасности, так и для заинтересованных граждан.

    ЛЕНТА НОВОСТЕЙ

    Информационное сообщение ФСТЭК России от 20.01.2020 № 240/24/250 «О применении сертифицированных операционных Microsoft Windows 7 и Microsoft Windows Server 2008 R2 в связи с прекращением их технической поддержки». Открыть

    Внесены изменения в документы, определяющие политику в отношении обработки персональных данных в правительстве Воронежской области, утвержденные постановлением правительства Воронежской области от 26.09.2017 № 748. Открыть

    Внесены изменения в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11.02.2013 № 17. Открыть

    Отделом информационной безопасности правительства области совместно с управление государственной службы и кадров правительства области доработаны Модельные квалификационные требования к знаниям и умениям и обязанности по защите информации сотрудников государственных органов Воронежской области, органов местного самоуправления Воронежской области и подведомственных им организаций и Модельные функции и задачи по защите информации государственных органов Воронежской области, органов местного самоуправления Воронежской области, подведомственных им организаций и их структурных подразделений. Доработанные материалы доступны в разделе ЗАКОНОДАТЕЛЬСТВО/Руководящие и методические документы.

    14 августа 2019 года в правительстве Воронежской области проведен семинар-совещание по вопросу соблюдения требований законодательства Российской Федерации в области персональных данных с участием представителей органов Роскомнадзора по Центральному федеральному округу.

    Видео (кликните для воспроизведения).

    Источник: http://ib.govvrn.ru/wp-content/uploads/2018/05/Vyalyh.pdf

    Модель угроз информационной безопасности персональных данных
    Оценка 5 проголосовавших: 1

    ОСТАВЬТЕ ОТВЕТ

    Please enter your comment!
    Please enter your name here