Обзор проекта методики определения угроз безопасности информации в информационных системах_часть 1

В мае 2015 года ФСТЭК России выложила на рассмотрение специалистам в области информационной безопасности, заинтересованным органам государственной власти и коммерческим организациям проект документа – «Методика определения угроз безопасности информации в информационных системах», который должен заменить «Методику определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 14 февраля 2008 года. Предложения и замечания по проекту можно было направить до 10 июня 2015 года, а вот дата вступления проекта в силу до сих пор не известна.

Итак, проект методики определения угроз безопасности устанавливает единый методический подход к определению угроз безопасности информации и разработке моделей угроз безопасности информации в государственных информационных системах, не составляющих государственную тайну, и в коммерческих информационных системах по решению оператора персональных данных (далее – ИС).

Процесс определения угроз безопасности информации Проекта, в отличие от действующей методики, четко делится на четыре этапа:

1. Определение области применения процесса определения угроз безопасности информации;
2. Идентификация источников угроз и угроз безопасности информации
3. Оценка вероятности (возможности) реализации угроз безопасности информации и степени возможного ущерба;
4. Мониторинг и переоценка угроз безопасности информации.

В итоге, добавлены первый и четвертый этапы, регламентирующие действия, которые необходимо проводить до и после самого процесса определения актуальных угроз безопасности информации, таким образом, ФСТЭК устанавливает для него непрерывный жизненный цикл.

В процесс определения области применения входит выявление физических и логических границ ИС, в которых принимаются и контролируются меры защиты информации, за которые ответственен оператор, а также определены объекты защиты и сегменты информационной системы.

Мониторинг и переоценка угроз безопасности информации представляют пересмотр логических и физических границ ИС, ее составляющих, которые могли быть изменены в результате переопределения целей и задач ИС, перестроения ее структуры, изменения базовых конфигураций и структурно-функциональных характеристик. А также переоценку актуальных угроз безопасности информации с последующим анализом их изменений, который рекомендовано проводить не реже одного раза в год.

Стоит отметить, что к проекту Методики добавлены еще три приложения:

1. Приложение № 1 «Рекомендации по формированию экспертной группы и проведению экспертной оценки при определении угроз безопасности информации»;
2. Приложение № 2 «Структура модели угроз безопасности информации»;
3. Приложение № 3 «Определение потенциала нарушителя, необходимого для реализации угрозы безопасности информации в информационной системе».

Приложение № 1 направлено на снижение субъективных факторов при оценке угроз безопасности информации. Даны рекомендации по подбору экспертной группы, по проведению экспертной оценки, а также параметры в отношении которых, как минимум, нужно проводить оценку, метод опроса и его этапы.

В приложении № 2 описано, не только из каких разделов должна состоять модель угроз безопасности информации, но, и даны пояснения к тому, что должны содержать разделы.

А вот приложение № 3 относится к третьему этапу процесса определения угроз безопасности и используется для определения потенциала, требуемого нарушителю для реализации j-ой угрозы безопасности информации, но только если в банке данных угроз безопасности информации отсутствуют сведения о потенциале нарушителя.

Этапы формирования модели нарушителя и определения актуальных угроз безопасности информации будут подробно рассмотрены в следующих частях статьи.

Пока можно сказать, что новая методика выглядит более структурированно – в нее включены пояснения к содержанию модели угроз безопасности информации, приведены требования к ее периодическому пересмотру, а также установлено, что методика ориентирована на определение и оценку антропогенных угроз безопасности информации, возникновение которых обусловлено объективными факторами.

Также рекомендовано ее совместное использование с банком данных угроз безопасности информации, сформированным ФСТЭК России, базовыми и типовыми моделями угроз безопасности информации в информационных системах различных классов и типов.