Журнал "Information Security/ Информационная безопасность" #4, 2021

Одним из важных и непростых вопро- сов, стоящих на сегодняшний день перед специалистами по информационной без- опасности, является моделирование угроз. Длительный период, с начала 2018 г. по февраль 2021 г., отсутство- вала утвержденная методика модели- рования угроз безопасности для объ- ектов КИИ. При этом разрешенная для использования 1 методика моделирова- ния угроз и базовая модель угроз без- опасности в ключевых системах инфор- мационной инфраструктуры не отража- ли требования действующего законо- дательства, в том числе и в части тре- бований к содержанию модели угроз для значимых объектов КИИ (установ- лены п. 11.1 Требований по обеспечению безопасности значимых объектов кри- тической информационной инфраструк- туры Российской Федерации, утвер- жденных приказом ФСТЭК России от 25.12.2017 г. № 239 2 ), поэтому ее использование, несмотря на рекомен- дации, было стратегически неверно. Утвержденный ФСТЭК России 5 фев- раля 2021 г. методический документ "Методика оценки угроз безопасности информации" скорректировал ранее существовавшие подходы. Но из-за отсутствия практики применения доку- мент вызывает у специалистов некото- рые вопросы, ответы на некоторые из них (ввиду ограниченности объема статьи) я попытаюсь раскрыть далее. Какой нормативно-методической базой необходимо пользоваться при моделировании угроз? Основным документом, определяю- щим требования и подходы, которыми необходимо руководствоваться при моделировании угроз безопасности значимых объектов КИИ, являются Тре- бования, в п.11.1 которых указано, что модель угроз безопасности информации должна содержать краткое описание архитектуры значимого объекта, харак- теристику источников угроз безопасно- сти информации, в том числе модель нарушителя, и описание всех угроз без- опасности информации, актуальных для значимого объекта. В свою очередь, описание каждой угрозы безопасности информации долж- но включать в себя: l источник угрозы безопасности инфор- мации; l уязвимости (ошибки), которые могут быть использованы для реализации (спо- собствовать возникновению) угрозы без- опасности информации; l возможные способы (сценарии) реа- лизации угрозы безопасности инфор- мации; l возможные последствия от реализа- ции (возникновения) угрозы безопас- ности информации. В этом же пункте указаны следующие два важных момента: 1. Модель угроз безопасности инфор- мации может разрабатываться для нескольких значимых объектов, имею- щих одинаковые цели создания и архи- тектуру, а также типовые угрозы без- опасности информации. 2. Для определения угроз безопасно- сти информации и разработки модели угроз безопасности информации должны применяться методические документы, разработанные и утвержденные ФСТЭК России. Таким образом, следующим докумен- том, который необходимо использовать при моделировании угроз, является Мето- дика оценки угроз безопасности инфор- мации (далее по тексту – Методика). Следует отметить, что для объектов КИИ, не имеющих категории значимости, положения п. 11.1 Требований и Мето- дики являются необязательными, но могут применяться при принятии соот- ветствующего решения субъектом КИИ. При этом, согласно п. 1.4. Методики, в ней не рассматриваются методические подходы к оценке угроз безопасности информации, связанных с нарушением безопасности шифровальных (крипто- графических) средств защиты информа- ции, а также угроз, связанных с техниче- скими каналами утечки информации. Таким образом, для объектов КИИ (в данном случае неважно, значимых или нет), являющихся информационны- ми системами персональных данных, актуальными для применения являются Методические рекомендации по разра- ботке нормативных правовых актов, определяющих угрозы безопасности пер- сональных данных, актуальные при их обработке в информационных системах ПДн, эксплуатируемых при осуществ- лении соответствующих видов дея- тельности, утвержденные руководством 8-го Центра ФСБ России 31 марта 2015 г. № 149/7/2/6-432. Помимо методических документов, определяющих ход моделирования угроз, существуют методические доку- менты, которые могут быть использова- ны в качестве исходных данных для оценки угроз безопасности информации (п. 2.3. Методики): 1. Базовая модель угроз безопасности информации интеллектуальной системы учета электрической энергии (письмо Министерства энергетики РФ от 29 июня 2021 г. № НШ-7491/07 "О базовой моде- ли угроз безопасности информации в интеллектуальных системах учета элек- трической энергии (мощности)"). 2. Приказ Министерства энергетики РФ от 6 ноября 2018 г. № 1015 "Об утверждении требований в отношении базовых (обязательных) функций и информационной безопасности объ- ектов электроэнергетики при создании и последующей эксплуатации на терри- тории Российской Федерации систем удаленного мониторинга и диагностики энергетического оборудования" 3 . 8 • В ФОКУСЕ Актуальные вопросы моделирования угроз безопасности объектов этой статье рассмотрим актуальные вопросы, связанные с моделированием угроз безопасности объектов критической информационной инфраструктуры (далее – КИИ), с учетом относительно нового методического документа, утвержденного ФСТЭК России 5 февраля 2021 г. В Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности 1 Информационное сообщение ФСТЭК России от 4 мая 2018 г. № 240/22/2339. 2 Далее по тексту – Требования. 3 По состоянию на 21.08.2021 г. является действующим документом.