3.3. Модель угроз системам защиты информации сайтов органов власти

Фстэк пояснила, как следует согласовывать модели угроз безопасности информации при создании государственных it-систем

3.3. Модель угроз системам защиты информации сайтов органов власти

кибербезопасность безопасность защита замок

Федеральная служба по техническому и экспортному контролю (ФСТЭК России) пояснила порядок рассмотрения и согласования моделей угроз безопасности информации и технических заданий на создание государственных информационных систем.

Постановлением правительства Российской Федерации от 11 мая 2017 г. N 555 внесены изменения в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации, утверждённые постановлением правительства Российской Федерации от 6 июля 2015 г. N 676.

Согласно требованиям, модели угроз безопасности информации и (или) технические задания на создание государственных информационных систем согласуются с ФСТЭК.

Ведомство поясняет, что рассмотрение документов на создание федеральных информационных систем осуществляется центральным аппаратом ФСТЭК России, региональных систем – управлениями ФСТЭК России по федеральным округам.

Срок рассмотрения проектов составляет не более 30 дней.

Правовую основу при рассмотрении и согласовании проектов моделей угроз безопасности информации и технических заданий на создание государственных информационных систем составляют:

  • Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных»;
  • Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119;
  • Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17;
  • Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные приказом ФСТЭК России от 18 февраля 2013 г. N 21.

Минкомсвязь подготовила изменения в требования к жизненному циклу государственных информационных систем

Кроме того, при рассмотрении и согласовании моделей угроз безопасности информации и технических заданий на создание государственных информационных систем будут учитываться методические документы ФСТЭК России и национальные стандарты в области защиты информации, национальные стандарты, регламентирующие вопросы создания автоматизированных систем, а также сведения, содержащиеся в банке данных угроз безопасности информации (www.bdu.fstec.ru), сообщило ведомство.

Изменения, внесенные постановлением правительства от 11 мая 2017 г. № 555 в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации

При реализации органами исполнительной власти мероприятий по созданию, развитию, вводу в эксплуатацию, эксплуатации и выводу из эксплуатации систем и дальнейшему хранению содержащейся в их базах данных информации должны выполняться:

а) требования о защите информации, содержащейся в системах, устанавливаемые федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий;
б) требования к организации и мерам защиты информации, содержащейся в системе.

В целях выполнения требований о защите информации, предусмотренных пунктом 1 настоящего документа (требования о защите информации), органы исполнительной власти определяют требования к защите информации, содержащейся в системе органа исполнительной власти, для чего осуществляют:

а) определение информации, подлежащей защите от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении такой информации;
б) анализ нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать система;
в) классификацию системы в соответствии с требованиями о защите информации;
г) определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в системе, и разработку на их основе модели угроз безопасности информации;
д) определение требований к информационной системе (подсистеме) защиты информации, содержащейся в системе.

Модель угроз безопасности информации и (или) техническое задание на создание системы согласуются с федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий в части, касающейся выполнения установленных требований о защите информации.

Напомним, на конференции OS DAY, прошедшей в Москве в мае, заместитель директора Федеральной службы по техническому и экспортному контролю России Виталий Лютиков отмечал необходимость дожидаться устранения уязвимостей в программных продуктах иностранными разработчиками.

В этом ФСТЭК видит проблему обеспечения безопасности информации российских государственных организаций.

Представитель ФСТЭК сообщил также, что отечественные поставщики программных продуктов, бывает, пытаются заставить заказчика заплатить за установку патчей, блокирующих уязвимости.

Такая практика неприемлема, и ФСТЭК намерен её пресекать, фиксируя обязанность поставщика обновлять программные продукты для устранения уязвимостей — такое требование, по словам Лютикова, должно содержаться в техническом задании на поставку программных продуктов.

Источник: http://d-russia.ru/fstek-poyasnila-kak-sleduet-soglasovyvat-modeli-ugroz-bezopasnosti-informatsii-pri-sozdanii-gosudarstvennyh-it-sistem.html

Пишем модель угроз

3.3. Модель угроз системам защиты информации сайтов органов власти

Всем привет, мы продолжаем свой цикл статей по «бумажной безопасности». Сегодня поговорим о разработке модели угроз. Если цель прочтения этой статьи в получении практических навыков, то лучше сразу скачать наши шаблоны документов, в котором есть и шаблон модели угроз. Но и без шаблона под рукой со статьей тоже можно ознакомиться в общеобразовательных целях.

Необходимость разработки модели угроз регламентирована рядом нормативных документов. Вот некоторые из них. Часть 2 статьи 19 закона №152-ФЗ «О персональных данных»: 2. Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утверждены приказом ФСТЭК России от 18 февраля 2013г. №21): 4. Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных. Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (утверждены ФСТЭК России от 11 февраля 2013г. №17) Формирование требований к защите информации… в том числе включает: …

определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработку на их основе модели угроз безопасности информации;

… Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды (утверждены приказом ФСТЭК России от 14 марта 2014г. №31): Формирование требований к защите информации в автоматизированной системе управления… в том числе включает: …

определение угроз безопасности информации, реализация которых может привести к нарушению штатного режима функционирования автоматизированной системы управления, и разработку на их основе модели угроз безопасности информации;

Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации (утверждены приказом ФСТЭК России от 25 декабря 2017г. №239): 11. Разработка организационных и технических мер по обеспечению безопасности значимого объекта осуществляется субъектом критической информационной инфраструктуры… и должна включать:

а) анализ угроз безопасности информации и разработку модели угроз безопасности информации или ее уточнение (при ее наличии);

Итак, вывод отсюда простой: для любых информационных систем, так или иначе подлежащих защите в соответствии с законодательством необходимо разработать модель угроз. С необходимостью создания документа разобрались, давайте же посмотрим, что предписывает нам законодательство по его содержанию. Здесь, как ни странно, все довольно скудно. В качестве хрестоматийного примера описания содержания модели угроз можно привести 17 приказ ФСТЭК: Модель угроз безопасности информации должна содержать описание информационной системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации. Вы не поверите, но это все. Но с другой стороны, хоть текста и не много, но он довольно содержательный. Давайте еще раз перечитаем и выпишем, что должно быть в нашей модели угроз:

  • описание информационной системы;
  • структурно-функциональные характеристики;
  • описание угроз безопасности;
  • модель нарушителя;
  • возможные уязвимости;
  • способы реализации угроз;
  • последствия от нарушения свойств безопасности информации.

Это по законодательству, что требует ФСТЭК. Так же дополнительно есть требования ФСБ (о них чуть позже) и некоторые неофициальные требования-пожелания от ФСТЭК, с которыми мы столкнулись в процессе согласования моделей угроз государственных информационных систем. Хорошо, давайте уже перейдем документа. Думаю про титульный лист, список сокращений, терминов и определений все понятно. Хотя, пожалуй, стоит поподробнее остановиться на… внезапно титульном листе. В шаблоне его подписывает именно руководитель владельца информационной системы. Это не просто так. Постановление Правительства РФ от 11 мая 2017г. №555: 4. Техническое задание на создание системы и модель угроз безопасности информации утверждаются должностным лицом органа исполнительной власти, на которое возложены соответствующие полномочия. Естественно, если информационная система не государственная и оператор системы не является органом исполнительной власти, то подписывать модель угроз может кто угодно. Просто мы не раз сталкивались, когда при выполнении вышеуказанных условий (государственная информационная система органа исполнительной власти) заказчик нас просил изменить титульный лист, чтобы там были подписи только представителей компании-лицензиата (то есть – наши). Приходилось объяснять, почему такую модель угроз ФСТЭК вернет на доработку. Здесь хотелось бы вспомнить, о том, что модель угроз может разрабатываться для очень разных систем – от ИСПДн до КИИ. Поэтому и список нормативной документации может отличаться. Например, если мы разрабатываем модель угроз для АСУ ТП, то из шаблона нужно убрать 21 и 17 приказы ФСТЭК и добавить 31-й. Документы, помеченные аббревиатурой «СКЗИ» это нормативные документы ФСБ, регламентирующие обращение с шифровальными средствами. Если криптосредства в информационной системе не используется (сейчас это редкость, но все же), то эти нормативные документы из списка необходимо удалить.

Частой ошибкой здесь бывает добавление различных ГОСТ и прочих нормативных документов (очень любят сюда вписывать СТР-К), никак не связанных с моделированием угроз. Либо отмененных документов. Например, часто в моделях угроз можно встретить в списке нормативных документов ФСБшные так называемые «Методические рекомендации…» и «Типовые требования…», которые давно не актуальны.

Источник: https://habr.com/post/457516/

Про модели угроз ИБ и сайт www.threat-model.com

3.3. Модель угроз системам защиты информации сайтов органов власти
 

Недавно запустил сайт www.threat-model.com , посвященный разработке моделей угроз. Написать об этом все не хватало времени. Но сервис заметили коллеги и начали присылать вопросы.

А затем и Алексей Лукацкий упомянул его в своей статье об обязательном (!) согласовании моделей угроз ГИС (согласно ПП-555).

В общем, тема разработки моделей угроз становится актуальной, поэтому расскажу пару слов о данном сайте.

Для чего это нужно и как это работает

Сервис позволяет достаточно просто и быстро создать модель угроз, удовлетворяющую проекту методики ФСТЭК. Чтобы создать модель нужно перейти на сайт и заполнить небольшую анкету.

Регистрация, СМС и тому подобное не требуется. Если формулировки каких-то вопросов не понятны, можно воспользоваться всплывающей подсказкой.

После заполнения анкеты, модель угроз можно  будет скачать в виде excel-таблички. 

Используемые методики

Сервис использует Банк угроз безопасности информации ФСТЭК России. В качестве методики расчета используется документ » Методика определения угроз безопасности в информационных системах «. Данный документ ориентирован на государственные информационные системы (ГИС), но может использоваться и для других систем. 

В настоящее время методика находится в стадии проекта, рассматривать ее как итоговый вариант не стоит. Когда документ будет опубликован, методика расчета угроз на сайте также изменится. 

Кстати, помимо модели угроз сервис формирует и небольшую модель нарушителя (на втором листе excel-файла), с описанием базовых возможностей и соответствующим классом СКЗИ. Модель нарушителя формируется с учетом Методических рекомендаций ФСБ.

Порядок определения актуальных угроз

1) Вначале из общего перечня угроз исключаются угрозы, характерные для технологий, которые не используются в системе. Например, если пользователь отметил, что средства визуализации не используются, то соответствующие угрозы помечаются как «не рассматриваемые».

Затем, по каждой угрозе проверяется соответствующий ей тип и потенциал нарушителя (информация о нем есть в Банке данных угроз).

Если среди нарушителей, отмеченных пользователем, нет нарушителей с необходимым потенциалом, то такие угрозы также помечаются как не рассматриваемые.

2) Далее, для оставшихся угроз вычисляется возможность реализации, зависящая от уровня проектной защищенности и потенциала нарушителя. 

Обратите внимание, что в методике ФСТЭК допускается и альтернативный подход, основанный на определении вероятности реализации угроз. Но формализовать «вероятность» согласно текущему варианту методики довольно сложно, поэтому на сайте она не учитывается.

3) На последнем этапе определяется актуальность угроз. Актуальность угрозы зависит от возможности ее реализации, а также от степени потенциального ущерба.

Почему нет рекомендаций по нейтрализации угроз?

Получил сразу несколько таких вопросов. Предоставить рекомендации по нейтрализации угроз — хорошая идея. Но проблема в том, что большинство угроз можно «закрыть» сразу несколькими способами.

Способы нейтрализации угроз — вопрос технического проекта и раздавать такие рекомендации в онлайн-сервисе — большая ответственность. Кроме того, можно ненароком начать holy war с апологетами различных решений и вендоров, что автору совершенно не нужно.

Хотя, возможно, когда-нибудь, рекомендации в том или ином виде я добавлю. 

Может ли сайт заменить аудит ИБ?

Конечно, нет.  Чтобы составить полноценную модель угроз нужно проводить обследование системы с привлечением специалистов по ИБ. Но сайт может использоваться как инструмент для ознакомления с методикой моделирования угроз, а также в качестве шаблона для дальнейшей разработки.

Будет ли сервис платным?

Нет, извлекать финансовую выгоду из сервиса не планируется. Да это было бы и неправильно с учетом пункта выше. 

Планы развития

Во-первых, как уже говорилось, после утверждения методики ФСТЭК, методику на сайте также придется пересмотреть. Во-вторых, в том или ином виде, возможно появится описание способов нейтрализации угроз.

Если смотреть шире, то было бы интересно добавить функции моделирования угроз по другим методикам (по методике NIST, например).

Но, с учетом того, что проект некоммерческий, все это очень зависит от свободного времени автора.  

На этом, пожалуй, все. Выражаю благодарность коллегам, в частности Алексею Лукацкому и Сергею Сторчаку, за отзывы. Спасибо всем, кто прислал мне рекомендации и замечания по работе сайта. 

Любые замечания и предложения приветствуются. Вся контактная информация есть на самом сайте .

 

Источник: https://www.securitylab.ru/blog/personal/crypto-anarchist/341880.php

Scicenter1
Добавить комментарий