Главная » Блоги Экспертов И ИТ-Компаний » Методические рекомендации ФСБ по разработке моделей угроз

Методические рекомендации ФСБ по разработке моделей угроз

p17.png
ФСБ опубликовала документ "Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности". Ссылка.
Документ  предназначен дляразработчиков отраслевых моделей угроз (коими в соответствии с ФЗ 152 могут быть ФОИВ, органы гос власти субъектов РФ, Банк России и др.).
В отношении операторов ИСПДн документ носит рекомендательный характер.
Документ включает несколько разделов. В разделе 1 перечисляется информация, которую необходимо включать в модель угроз при описании ИСПДн (общие сведения, объекты размещения, существующие меры защиты и так далее). В разделе 2 описываются случаи, когда необходимо применение СКЗИ и некоторые сопутствующие нюансы. Раздел 3 посвящен определению актуальных угроз (фактически предоставлено описание объектов атак и возможностей нарушителя по 378-му приказу ФСБ). Ключевые, на мой взгляд, моменты документа:
  1. Случаи, при которых требуется использование СКЗИ: а) передача ПДн по незащищенным каналам связи (например, сети связи общего пользования) б) хранение ПДн на носителях, НСД к которым не может быть исключен другими методами.
  2. Если угрозы, которые могут быть нейтрализованы только с помощью СКЗИ (см. пункт выше) неактуальны, то данный документ не используется. 
  3. Чтобы объявить каналы связи защищенными без СКЗИ, то нужно провести исследования  защищенности каналов связи от НСД. Исследования проводятся организацией,  имеющей  право  проводить  такие исследования. 
  4. Нужно применять только сертифицированные СКЗИ.  А если нет пригодных сертифицированных СКЗИ ...  то просто они разрабатываются :) 
  5. Для разных сегментов ИСПДн можно использовать СКЗИ разных классов.Это хорошо, так как если оператору удастся занизить класс СКЗИ для пользовательских сегментов ИСПДн, то это позволит избежать затрат на использование АПМДЗ. 
  6. Отраслевая модель угроз согласуется с ФСБ и ФСТЭК. Частные модели угроз согласования с ФСБ не требуют.
  7. В приложении к документу – интереснейшая таблица с примерами обоснования отсутствия у нарушителя тех или иных возможностей. Таблица будет крайне полезна всем разработчикам моделей угроз и нарушителя.
Выводы: операторы ИСПДн и разработчики моделей угроз, несмотря на рекомендательный характер документа, смогут почерпнуть в нем много полезного. При правильном использовании, документ (и особенно таблица во вложении) может помочь оператору снизить требуемый класс СКЗИ. Насколько документ будет полезен разработчикам отраслевых моделей - судить не могу. Вопрос в том, когда последуют модели угроз, разработанные в соответствии с этим документом.
Что еще почитать: Обзор документа в блоге Андрея ПрозороваПредыстория вопроса и обзор документа в блоге Алексея Лукацкого


Источник: http://crypto-anarchist.blogspot.com/2015/06/blog-post.html


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
4 года назад | тэги: Новости, Нормативка, СКЗИ, ФСБ
Комментарии
Другие публикации
RU, Казань
Специалист по информационной безопасности, руководитель проектов
Информационные технологии

Специалист по информационной безопасноти, руководитель проектов




Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>