Будь благословен Федеральный закон “О персональных данных”! Сколько увлекательных вечеров благодаря нему проводят сотрудники разных компаний за подготовкой к радушной встрече с инспекторами Роскомнадзора, ФСТЭК и ФСБ. О глобальной режиссуре этого сейшена мы уже писали. Теперь давайте разбираться с “бумажными” деталями. Один из обязательных пунктов программы — разработка так называемой “модели угроз” (МУ).
Предупреждаем на берегу: это не самое веселое занятие. Но как только вы разберетесь в вопросе, сразу почувствуете себя героем. А мы компетентно поможем вам одолеть эту высоту.
Итак:
Что она, вообще, такое, эта загадочная МУ, и для чего она нужна?
Модель угроз информационной безопасности (ИБ) — это описание существующих угроз, насколько они реалистичны, каковы шансы, что они воплотятся в жизнь, и, само собой, каковы последствия.
С помощью грамотных МУ можно повысить уровень ИБ и даже затраты на защиту оптимизировать, сосредоточившись на самых вероятных угрозах.
В общем, модель угроз — штука хорошая, полезная. И закон говорит, что без нее никак. Необходимость разработки этого документа законодательно закреплена вот здесь:
- Часть 2 статьи 19 закона №152-ФЗ «О персональных данных»: «Обеспечение безопасности персональных данных достигается, в частности: 1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных».
- Приказы ФСТЭК 21, 17, 31 и 239 определяют, что формирование требований к защите информации должно основываться на определении угроз безопасности.
На основе модели угроз формируются требования к защите информации. А на базе этих требований создается система защиты персональных данных (ПДн). МУ обосновывает возможность использования организационных мер, чтобы избежать определенных угроз. Плюс ко всему, она обосновывает использование определенных типов и классов средств защиты информации.
Модель угроз применяют при решении разных задач:
- выбор организационных и технических мер по обеспечению безопасности ПДн и их реализации в системе защиты ПДн;
- определение требуемого уровня защищенности ПДн;
- анализ защищенности от угроз безопасности ПДн в ходе организации и выполнения работ по обеспечению безопасности ПДн;
- разработка системы защиты ПДн, обеспечивающей нейтрализацию угроз с использованием организационных и технических мер обеспечения безопасности ПДн;
- проведение мероприятий, направленных на предотвращение несанкционированного доступа (НСД) к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;
- недопущение воздействия на технические средства ИСПДн, в результате которого может быть нарушено их функционирование.
В общем, мы не ошибемся, если назовем модель угроз ключевым документом, который нужен на всех остальных этапах работ по защите ПДн, включая проверку.
*
Содержание МУ
Простора для творчества при разработке Модели угроз, прямо скажем, не так много. Зато это здорово упрощает жизнь. Содержание МУ прописано в нормативных документах и должно включать в себя следующие части:
Содержание модели угроз
- из общих положений это титульный лист, аннотация, содержание и список сокращений;
- в вводной части нужно указать:
- на основании каких нормативно-методических документов разработана модель угроз;
- какую информацию она содержит;
- при решении каких задач используется;
- как часто может актуализироваться и пересматриваться;
- какой компанией разработана и для кого предназначена.
Кроме этого, в модели угроз должны присутствовать:
- описание информационной системы персональных данных, включая описание информационно-технологической инфраструктуры;
- структурно-функциональные характеристики;
- описание угроз безопасности;
- модель нарушителя;
- возможные уязвимости;
- способы реализации угроз;
- последствия нарушения безопасности информации.
Теперь остановимся на некоторых пунктах чуть подробнее.
Описание информационной системы персональных данных включает в себя сведения об ИТ-инфраструктуре, обрабатываемых данных, о взаимодействии со смежными системами и функциональную схему ИСПДн. Здесь же указывают адреса объектов, на которых расположены технические средства ИСПДн и границы контролируемой зоны, какие средства используются для защиты ИСПДн и прошли ли они процедуру сертификации.
А контролируемая зона — это пространство (территория, здание, часть здания, помещение), в которое “дяде Феде” и любым другим персонажам с улицы вход заказан. Такой запрет касается не только посторонних лиц, но еще и транспортных, технических и других материальных средств.
Возвращаясь к пункту о нормативно-методических документах, на основании которых должна быть разработана Модель угроз, перечисляем эти самые документы:
- Базовая модель угроз безопасности персональных данных при обработке в информационных системах персональных данных (далее – ИСПДн).
https://fstec.ru/component/attachments/download/289
- Методика определения актуальных угроз безопасности персональных данных при их обработке в ИСПДн.
https://fstec.ru/component/attachments/download/290
- Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн.
https://fstec.ru/component/attachments/download/561
- Методический документ. Меры защиты информации в государственных информационных системах (если речь идёт о ГИС).
https://fstec.ru/component/attachments/download/675
*
Враг: найти и обезвредить
Один из этапов разработки Модели угроз — создание Модели нарушителя безопасности. И тут наш скучный “бумажный” сюжет принимает практически детективный оборот. Художественный портрет нам, конечно, вряд ли понадобится, а вот классификация нарушителей — обязательно. В этом вопросе должна быть полная ясность.
По наличию права постоянного или разового доступа в контролируемую зону ИСПДн, нарушителей подразделяют на два типа:
- внешние – нарушители, не имеющие доступа к ИСПДн, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена;
- внутренние – нарушители, имеющие доступ к ИСПДн, включая пользователей ИСПДн, реализующие угрозы непосредственно в ИСПДн.
Берем из базовой Модели угроз https://fstec.ru/component/attachments/download/289 список возможных нарушителей безопасности и определяем, кто из них может относиться к рассматриваемой ИСПДн. После этого переходим к определению актуальных угроз, которые могут реализовать установленные нами категории нарушителей.
*
По-настоящему опасно
А дальше разрабатываем частную Модель угроз, рассматривая угрозы утечки информации по техническим каналам и угрозы несанкционированного доступа к персональным данным. Задача — обнаружить актуальные угрозы безопасности. Для этого с помощью заполнения приведенной ниже таблицы определяется исходный уровень защищенности — коэффициент исходной защищенности Y1.
| Технические и эксплуатационные характеристики ИСПДн |
Уровень защищенности |
| Высокий |
Средний |
Низкий |
| По территориальному размещению |
|---|
| Распределенная ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом |
|
|
+ |
| Городская ИСПДн, охватывающая не более одного населенного пункта (города, поселка) |
|
|
+ |
| Корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации |
|
+ |
|
| Локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий |
|
+ |
|
| Локальная ИСПДн, развернутая в пределах одного здания |
+ |
|
|
| По наличию соединения с сетями общего пользования |
|---|
| ИСПДн, имеющая многоточечный выход в сеть общего пользования |
|
|
+ |
| ИСПДн, имеющая одноточечный выход в сеть общего пользования |
|
+ |
|
| ИСПДн, физически отделенная от сети общего пользования |
+ |
|
|
| По встроенным (легальным) операциям с записями баз персональных данных |
|---|
| Чтение, поиск |
+ |
|
|
| Запись, удаление, сортировка |
|
+ |
|
| Модификация, передача |
|
|
+ |
| По разграничению доступа к персональным данным |
|---|
| ИСПДн, к которой имеет доступ определенный перечень сотрудников организации, являющейся владельцем ИСПДн, либо субъект ПДн |
|
+ |
|
| ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн |
|
|
+ |
| ИСПДн с открытым доступом |
|
|
+ |
| По наличию соединений с другими базами ПДн иных ИСПДн |
|---|
| Интегрированная ИСПДн (организация использует несколько баз ПДн ИСПДн, при этом организация не является владельцем всех используемых баз ПДн) |
|
|
+ |
| ИСПДн, в которой используется одна база ПДн, принадлежащая организации — владельцу данной ИСПДн |
+ |
|
|
| По уровню обобщения (обезличивания) ПДн |
|---|
| ИСПДн, в которой предоставляемые пользователю данные являются обезличенными (на уровне организации, отрасли, области, региона и т.д.) |
+ |
|
|
| ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации |
|
+ |
|
| ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн) |
|
|
+ |
| По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки |
|---|
| ИСПДн, предоставляющая всю БД с ПДн |
|
|
+ |
| ИСПДн, предоставляющая часть ПДн |
|
+ |
|
| ИСПДн, не предоставляющие никакой информации |
+ |
|
|
Теперь включим энтузиазм на полную и попробуем разобраться с этой увлекательной таблицей.
Вот смотрите: каждой характеристике соответствует высокий, средний или низкий уровень защищенности. Нам нужно посчитать процент характеристик с разными уровнями защищенности. Если «высокий» и «средний» набрали 70% и выше, значит уровень исходной защищенности средний (Y1 = 5), если меньше 70%, то – низкий (Y1 = 10).
Второй параметр для определения актуальных угроз — Y2 (он же вероятность реализации угрозы) — может принимать такие значения:
0 – для маловероятной угрозы;
2 – для низкой вероятности угрозы;
5 – для средней вероятности угрозы;
10 – для высокой вероятности угрозы.
Из этих двух параметров определяется коэффициент реализуемости угрозы Y. Вычисляется он по формуле: Y = (Y1+Y2) / 20. В зависимости от полученного значения угроза относится к низкой, средней или высокой.
Следующим шагом мы исключаем те угрозы, которые не имеют отношения к системе. Например, если мобильный и беспроводной доступ не используется, то связанные с ним угрозы будут явно лишними в списке.
Перечень угроз есть в базовой модели угроз. Помимо нее существует база угроз безопасности, но ничто не мешает вам дополнить список собственными вариантами угроз. “Режиссерская версия”, так сказать.
*
Финальные “аккорды”
Отдельная глава в нашем суровом “романе об угрозах” — модель угроз безопасности ПДн при их обработке с использованием средств криптографической защиты информации (СКЗИ, это сфера интересов ФСБ России). Определяем в ней на основе модели нарушителя и угроз, относящихся к СКЗИ, класс криптографической защиты информации.
Ну а дальше на базе вычисленных актуальных угроз безопасности и требованиям нормативных актов выявляем и фиксируем в документе организационные и технические меры защиты информации.
Модели угроз составляются на основе постоянно меняющихся данных, поэтому их нужно систематически пересматривать и обновлять.
Вот теперь можно выдохнуть, потому что мы на финишной прямой. Надеемся, у вас появилась некоторая ясность, и словосочетание “модель угроз” больше не вызывает в вашем мозге “короткое замыкание”. Напоследок отметим, что модели угроз составляются на основе постоянно меняющихся данных, поэтому их нужно систематически пересматривать и обновлять.
Если у вас остались какие-то вопросы (наверняка!), обязательно свяжитесь с нашей “группой оперативного реагирования”. Пароли, явки:
corp@corpsoft24.ru; 8 (495) 983-04-12, 8 (800) 707-04-12.
