Не методикой ФСТЭК единой или модели угроз, утвержденные государством российским

28.06.2021 Лукацкий Алексей , Бизнес-консультант по безопасности

Разрешая операторам информационных систем различного типа самостоятельно проводить оценку и моделирование угроз, наши регуляторы не забывают выпускать и собственные перечни негативных событий, которые по разумению регуляторов в обязательном порядке должны быть учтены в рамках выстраивания системы защиты информации в той или иной области. Учитывая, что сейчас таких моделей/перечнем стало немало, я подумал, что было бы правильно собрать их в рамках одной заметки, к которой можно было бы обращаться по мере необходимости. При этом стоит обратить внимание, что пока 90% этих моделей крутится вокруг всего одной темы - персональные данные, в том числе и биометрические.

Итак, на первое место я поставлю базовую модель угроз безопасности персональных данных при их обработке в ИСПДн (она же в Консультанте), выпущенную ФСТЭК в 2008-м году. Несмотря на выпущенную в 2021-м году методику оценки угроз, которая отменила методику оценки угроз безопасности ПДн 2008-го года, базовую модель при этом никто не отменял, что заставляет задавать вопросы, какой статус этой базовой модели, празднующей свое 13-тилетие. 

На второе место можно смело ставить модель угроз безопасности ПДн, выпущенную в 2015-м году Банком России и утвержденную в виде Указания Банка России от 10.12.2015 №3889-У "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных".

Спустя 3 года после предыдущего нормативного акта банковский регулятор выпустил новый документ - Указание Банка России от 9 июля 2018 года №4859-У "О перечне угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации в государственных органах, банках и иных организациях, указанных в абзаце первом части 1 статьи 14.1 Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации", в единой биометрической системе". Однако, ввиду серьезной переработки законодательства о ЕБС и навязывании ее везде и всем, Банк России решил отменить данное Указание, предложив вместо него два новых проекта, которые должны быть приняты в этом году:

  • Проект Указания Банка России "О перечне угроз безопасности, актуальных при обработке биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, при взаимодействии организаций финансового рынка с единой биометрической системой с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных"
  • Проект Указания Банка России "О перечне угроз безопасности, актуальных при обработке биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным физического лица в информационных системах организаций финансового рынка, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, за исключением единой биометрической системы, а также актуальных при взаимодействии организаций финансового рынка, иных организаций, индивидуальных предпринимателей с указанными информационными системами, с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных"

Минцифры также решило вступить в гонку по подготовке нормативных правовых актов в области моделирования угроз и представило в прошлом году два новых приказа, которые устанавливали перечни угроз, нейтрализация которых должна была быть обязательно реализована при работе аккредитованного удостоверяющего центра (но тоже речь идет о биометрии), а также в ИСПДн, находящихся в сфере регулирования Минцифры:

  • Приказ Минцифры от 26.11.2020 № 624 «Об утверждении перечня угроз безопасности, актуальных при идентификации заявителя – физического лица в аккредитованном удостоверяющем центре, выдаче квалифицированного сертификата без его личного присутствия с применением информационных технологий путем предоставления сведений из единой системы идентификации и аутентификации и единой информационной системы персональных данных, обеспечивающей обработку, сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, а также хранении и использовании ключа электронной подписи в аккредитованном удостоверяющем центре».
  • Приказ Минцифры от 21.12.2020 № 734 "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых в сферах деятельности, нормативно-правовое регулирование которых осуществляется Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации".

Кроме того, Мицифры подготовило еще один проект приказа,  который также касается угроз биометрическим ПДн, - "Об утверждении перечня угроз безопасности, актуальных при обработке биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным физического лица в информационных системах организаций, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, за исключением единой биометрической системы, а также актуальных при взаимодействии государственных органов, органов местного самоуправления, индивидуальных предпринимателей, нотариусов и организаций, за исключением организаций финансового рынка, с указанными информационными системами, с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных, и учетом вида аккредитации организации из числа организаций, указанных в частях 18.28 и 18.31 статьи 14.1 Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации".

Минцифры вернулось в стройные, но плохо согласующие свои действия, ряды регуляторов по ИБ относительно недавно. Лет 10 от них ничего в этой области не было слышно, хотя раньше они были вполне активны и выпускали/согласовывали разные документы по защите информации. Одним из таких документов была "Модель угроз и нарушителя безопасности ПДн, обрабатываемых в ИСПДн отрасли [связи]", согласованная с ФСТЭК и ФСБ России. Текущий статус этого документа ввиду выхода новой методики ФСТЭК не совсем ясен (хотя с сайта министерства она не убрана) и возможно новый руководитель департамента кибербезопасности Минцифры наведет порядок в том, что делали его предшественники, коих сменилось на этом посту не мало.    

При этом не забывайте, что помимо указанных нормативных актов, выпущенных регуляторами и действующими на территории всей страны, существует немало перечней угроз ПДн, которые утверждались или каким-либо субъектом РФ, или каким-то министерством для себя и своих поднадзорных структур. Например, приказ Департамента здравоохранения Курганской области от 30 мая 2018 года №632 "Об утверждении Перечня угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных в Департаменте здравоохранения Курганской области и подведомственных ему учреждениях, организациях", приказ Минэнерго от 02.08.2019 №819 "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении Минэнерго России функций, определенных законодательством Российской Федерации" или Постановление Правительства Пензенской области от 20.04.2017 №192-пП "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных Пензенской области" (почти в каждом субъекте РФ есть такое постановление).

Немного особняком стоит тема моделирования угроз, а точнее атак, на средства криптографической защиты информации. И если раньше ею можно было и не заниматься, так как обычно все эти вопросы ложились на производителей СКЗИ, которые и должны были решить эту задачу, то сейчас ситуация меняется. ФСБ подготовило проект приказа "Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием средств криптографической защиты информации", а последние правки в Постановление Правительства от 6 июля 2015 №676 "О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации". Оба документа подразумевают согласование модели угроз с ФСБ, что заставляет нас задумываться о том, есть ли утвержденные этим, уже 4-м в сегодняшней заметке регулятором, перечни угроз безопасности? На самом деле их нет. Но есть документы, на которые стоит ориентироваться при составлении модели угроз (атак) на СКЗИ:

  • Приказ ФСБ от 10.07.2014 №378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".
  • Методические рекомендации ФСБ по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности.

Но не персональными данными едиными. Существуют перечни угроз и для других объектов защиты, например, для Интернета, а точнее для функционирования Интернета на территории России. Российские власти выделяют для него три типа негативных событий - угрозы устойчивости, безопасности и целостности функционирования Рунета. Они описаны в Постановлении Правительства  от 12.02.2020 № 127 "Об утверждении Правил централизованного управления сетью связи общего пользования".

Еще одним "особняком" я бы назвал тему моделирования угроз при разработке безопасного программного обеспечения, которая стала новым "фетишем" (в хорошем смысле) и для ФСТЭК и для Банка России. Существующая методика оценки угроз ФСТЭК не очень подходит для моделирования угроз для разрабатываемого ПО, как того требует утвержденный ГОСТ Р 56939-2016 "Защита информации. Разработка безопасного программного обеспения. Общие положения". Но зато в качестве перечня угроз можно ориентироваться на ГОСТ Р 58412-2019 "Защита информации. Разработка безопасного программного обеспения. Угрозы безопасности информации при разработке программного обеспечения". Не STRIDE, конечно, но тоже ничего.

Есть и совсем специфические перечни угроз, которые применимы для объектов защиты, работающих в очень узких сферах деятельности. Например, приказ Минэнерго от 6 ноября 2018 года №1015 «Об утверждении требований в отношении базовых (обязательных) функций и информационной безопасности объектов электроэнергетики при создании и последующей эксплуатации на территории Российской Федерации систем удаленного мониторинга и диагностики энергетического оборудования» определяет базовые атаки и базовые уязвимости для построения модели угроз СУМиД, а также перечень из 59 угроз безопасности.

Наконец, стоит упомянуть еще угрозы безопасности, связанные с техническими каналами утечки информации, но регулируются они ДСПшными документами наших регуляторов и поэтому в заметке не упоминаются.

Вот такая картина получается - свобода свободой, но стоит оглядываться и по сторонам, вдруг регуляторы за вас посчитают какие-то негативные действия актуальными, которые вам придется учитывать в своих моделях/перечнях угроз.