ФСТЭК – утверждена новая методика оценки угроз

Методический документ, определяющий методику оценки угроз безопасности информации, был подписан ФСТЭК России 5 февраля 2021г. Это событие открыло новые двери для специалистов в области ИБ, которые занимаются анализом потенциальных угроз для важных объектов информационной инфраструктуры.

Раньше для определения потенциальных угроз безопасности информации использовали одну из следующих методик:

методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (2008 года);
методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры (2007 года).
Данные документы узкоспециализированные и ограничивают область работы с различными типами объектов, а также к 2021 году по ряду аспектов утратили свою актуальность.

Новая методика более универсальна и работает со следующими типами объектов:

информационные системы (ИС);
автоматизированные системы управления;
информационно-телекоммуникационные сети;
информационно-телекоммуникационные инфраструктуры центров обработки данных;
облачные инфраструктуры.

Также методика применима для следующих областей:

информационные системы персональных данных;
информационные системы управления производством, используемые организациями оборонно-промышленного комплекса;
муниципальные и государственные ИС;
значимые объекты критической информационной инфраструктуры РФ;
критически важные, потенциально опасные объекты с автоматизированными системами управления производственными и технологическими процессами.

Утвержденная методика оценки потенциальных угроз начала активно использоваться специалистами в области ИБ. Прежние методики перестали применять при подготовке документации, однако модели угроз, разработанные с их применением, не теряют своей актуальности и продолжают действовать. Они должны быть скорректированы только в случае изменения соответствующей инфраструктуры.

Этапы оценки угроз безопасности информации по обновленной методики:

определение негативных последствий, которые могут наступить от реализации (возникновения) угроз безопасности информации;
определение возможных объектов воздействия угроз безопасности информации;
оценка возможности реализации (возникновения) угроз безопасности информации и определение их актуальности.
Этап оценки возможности реализации (возникновения) и актуальности угроз состоит из трех подэтапов, которые описаны далее.

1. Выявление источников угроз безопасности информации.

Новая методика ориентирована на оценку угроз безопасности, которые обусловлены действиями нарушителей, и поэтому не включает в себя ряд факторов, не зависящих от человека:

угрозы безопасности, связанных с природными явлениями и стихийными бедствиями;
угрозы безопасности криптографических средств защиты;
угрозы безопасности, связанных с техническими каналами утечки данных.
Также стоит отметить, что право включения техногенных угроз в модель угроз ИБ остается за оператором систем и сетей или владельцем информации

В результате определения источников угроз ИБ выявляются:

а) виды потенциальных нарушителей и возможные цели реализации ими угроз безопасности информации, а также их возможности

б) категории потенциальных нарушителей, которые могут реализовывать угрозы безопасности информации, в том числе непреднамеренные угрозы

2. Оценка способов реализации угроз безопасности информации.

На данном этапе определяются:

а) виды и категории нарушителей, способных применить актуальные способы;

б) актуальные способы осуществления угроз ИБ и типы интерфейсов объектов воздействия, за счет которых они могут быть реализованы.

3. Оценка актуальности угроз безопасности информации.

Угроза считается допустимой, если на этапах оценки были обнаружены следующие признаки:

присутствует объект воздействия угроз;
присутствует непосредственно нарушитель или другой источник угрозы;
обнаружены пути осуществления угрозы ИБ;
осуществление угрозы может привести к негативным последствиям.

Если обнаружены сценарии реализации угрозы ИБ, то угроза считается актуальной. Сценарии должны быть определены для всех способов осуществления угроз, относительно объектов и видов воздействия. Сценарий определяется путем установления возможных тактик, потенциально применимых нарушителем для создания угрозы, с определением уровня возможностей для реализации угроз безопасности информации. При обнаружении минимум одного сценария угроза считается актуальной и включается в формируемую модель угроз.

Результаты, полученные в ходе оценки угроз, заносятся в модель угроз, для которой существует рекомендуемая структура, определенная новой методикой. Данный документ должен поддерживаться в актуальном состоянии и при необходимости обновляться.

Отметим, что оценка угроз может осуществляться как владельцем информации самостоятельно, так и с привлечением сторонних организаций. Стоит отметить, что сторонние организации не должны иметь лицензию на техническую защиту конфиденциальной информации в обязательном порядке. Несмотря на то, что на этапе проектирование методики планировалось ввести обязательное лицензирование организаций, требование решили отменить. Это связано с тем, что моделирование угроз не является лицензируемым видом деятельности, поэтому нововведение вызвало шквал недоумения.

Главные достоинства новой методики:

универсальна и применима для широкого круга областей;
наглядные примеры для выполнения каждого из подэтапов оценки потенциальных угроз;
рекомендации о применении экспертного метода;
нацеленность на оценку негативных последствий угроз.

Положительные стороны новой методики обусловлены продуманным и трудоемким процессом оценки потенциальных угроз, требующим специальных знаний в информационной безопасности.

Для правильной оценки угроз безопасности информации обращайтесь к специалистам своего дела. ООО "СофтМолл" поможет выявить актуальные угрозы и провести их оценку.

Источник: https://www.comnews.ru/digital-economy/content/213251/2021-02-20/2021-w07/podarok-fstek-utverzhdena-novaya-metodika-ocenki-ugroz
Дата: 20.02.2021