Журнал "Information Security/ Информационная безопасность" #4, 2021

3. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональ- ных данных, утвержденная ФСТЭК Рос- сии 15 февраля 2008 г. 4. Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры, утвержденная ФСТЭК России 18 мая 2007 г. Документы (1 и 2) относятся исключи- тельно к субъектам КИИ, функциони- рующим в сфере энергетики и владею- щим, соответственно, интеллектуальны- ми системами учета электрической энер- гии или системами удаленного монито- ринга и диагностики энергетического оборудования. Применяются для моде- лирования угроз в отношении указанных видов объектов КИИ независимо от того, имеют они категорию значимости или нет. В части документов (3 и 4) хотелось бы подробнее остановиться на основа- ниях и условиях их применения. Согласно п. 2.3. Методики исходными данными для оценки угроз безопасности информации в том числе являются моде- ли угроз безопасности информации, раз- рабатываемые ФСТЭК России в соот- ветствии с подп. 4 п. 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Феде- рации от 16 августа 2004 г. № 1085, а также отраслевые (ведомственные, корпоративные) модели угроз безопас- ности информации. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональ- ных данных полностью соответствует этому требованию и поэтому может быть использована в качестве источника исходных данных для объектов КИИ, являющихся информационными систе- мами персональных данных независимо от наличия (отсутствия) у них категории значимости. Что касается Базовой модели угроз безопасности информации в ключевых системах информационной инфраструк- туры, то в связи с внесением изменений в Положение о Федеральной службе по техническому и экспортному контролю, утвержденное Указом Президента Рос- сийской Федерации от 16 августа 2004 г. № 1085, и определением ФСТЭК России федеральным органом исполнительной власти, уполномоченным в области без- опасности критической информационной инфраструктуры, с 1 января 2018 г. ФСТЭК России утратила полномочия в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры 4 , таким образом формально Базовая модель не соответствует требованиям, указанным в п. 2.3. Методики. При этом, согласно информационному сообщению ФСТЭК России от 4 мая 2018 г. № 240/22/2339, Базовая модель угроз безопасности информации в ключе- вых системах информационной инфра- структуры, утвержденная ФСТЭК России 18 мая 2007 г., может применяться субъ- ектами КИИ для моделирования угроз безопасности информации на ЗОКИИ до тех пор, пока ФСТЭК России не утвер- жден аналогичный методический доку- мент по безопасности объектов КИИ. Каков типовой алгоритм определения угроз и что изменилось? Типовой алгоритм моделирования угроз представлен на рисунке. Как видно на схеме, общая логика моделирования угроз не изменилась по отношению к существовавшей ранее. Произошла лишь смена акцента с определения веро- ятности реализации угроз на оценку вреда и возможности реализации угроз безопасности информации. На каком этапе проводить моделирование угроз, до категорирования или после? Как известно, Сведения о результатах присвоения объекту критической инфор- мационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, утвержденные приказом ФСТЭК России от 22.12.2017 г. № 236, содержат два раздела, 6 и 7, в которые должны быть включены сведения об акту- альных для объекта КИИ угрозах, катего- риях нарушителей и возможных негатив- ных последствиях, а требования о наличии модели угроз предъявляются только к значимым объектам КИИ. В этой связи на практике возникает вопрос: когда же осуществлять разработку модели угроз, на этапе категорирования или после вне- сения объекта(ов) в реестр значимых? Если подходить к вопросу формально, то разработку моделей угроз необходимо проводить после завершения категори- рования, а на этапе категорирования – определить и составить перечень угроз безопасности информации. Однако, с учетом того, что, во-первых, информа- ционные ресурсы необходимо защищать, а сделать это без знания, от чего защи- щать (определения актуальных угроз), невозможно и, во-вторых, процедура категорирования предполагает анализ комиссией возможных действий нару- шителей и иных угроз безопасности объ- ектов КИИ, наиболее рационально, по моему мнению, осуществлять моделиро- вание угроз в процессе категорирования, после определения перечня объектов КИИ, подлежащих категорированию, для всех входящих в него объектов. При таком подходе исключается необхо- димость повторного проведения анализа угроз (дополнительных издержек в случае привлечения внешнего подрядчика) и на выходе имеются модели угроз для всех объектов КИИ, позволяющие обоснованно выстраивать систему их защиты. Как часто осуществлять пересмотр моделей угроз и как это делать? Методика (п. 2.4.) предписывает вла- дельцам значимых объектов КИИ про- водить оценку угроз безопасности на систематической основе: на этапе соз- дания, в ходе эксплуатации, при разви- тии (модернизации). Таким образом, очевидно, что про- изошла смена подхода к моделированию угроз от существовавшего ранее "ста- тичного", когда делали модель угроз и пересматривали ее раз в несколько лет, на "проактивный", когда анализ угроз и изменение модели происходит относи- тельно постоянно. В этой связи на теку- щий момент для реализации данного требования необходимо рассматривать моделирование угроз не как мероприя- тие, а как некий деловой процесс, тре- бующий налаживания в рамках функ- ционирования иных деловых процессов организации, связанных с обеспечением безопасности информации. l • 9 КИИ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru Рисунок. Типовой алгоритм моделирования угроз 4 Информационное сообщение ФСТЭК России от 4 мая 2018 г. № 240/22/2339.