Методика оценки угроз безопасности информации 2021 года (Методика) ФСТЭК РФ (далее - Регулятор), позволяет довольно широко подходить к определению угроз безопасности информации (УБИ). После формирования требований по защите информации для государственных информационных систем (ГИС) необходимо провести согласование модели угроз безопасности информации (далее – МУ). По структуре и содержанию МУ останавливаться не буду все подробно изложено с Методике.
Поделюсь опытом проведения процесса согласования в трех субъектах РФ. Как правило в процессе согласования МУ итоговый документ будет существенно отличаться.
Отмечу что, при описании ГИС очень четко нужно разделять Заказчика и Оператора ГИС.
В одном федеральном округе Регулятор настоял на обязательном перечислении актуальных УБИ после оценки актуальности угроз, в другом федеральном округе Регулятор настаивает, что перечень актуальных УБИ перечислять не нужно.
Имеется методика с помощью которой можно автоматизировать формирование перечня УБИ, при этом в одном управлении Регулятора спокойно согласовывают МУ с использованием средств автоматизации, в других управлениях настаивают на том, что обязательно сначала нужно рассмотреть классические УБИ из Банка данных угроз безопасности информации, утверждая, что методика автоматизации находится в "опытной эксплуатации".
В Методике оценки УБИ указано, что не рассматриваются методические подходы по оценке УБИ, связанных с техническими каналами утечки информации. Однако, в одном федеральном округе при формировании УБИ настоятельно рекомендовали рассмотреть технические каналы утечки информации. Причём оптический канал утечки информации в медицинских организациях необходимо признавать актуальной, по различным причинам.
После диалога с регулятором внесены изменения в сентябре 2024
Уточнение в МУ осуществляется в случаях:
а) изменения требований нормативных правовых актов Российской Федерации, методических документов ФСТЭК России, регламентирующих вопросы оценки угроз безопасности информации, если того требует регулятор;
б) изменения архитектуры и условий функционирования систем и сетей, режима обработки информации, правового режима информации, влияющих
на угрозы безопасности информации;
в) выявления, в том числе по результатам контроля уровня защищенности
ИС и содержащейся в ней информации (анализа уязвимостей, тестирований на проникновение, аудита), новых угроз безопасности информации или новых сценариев реализации существующих угроз;
г) включения в банк данных угроз безопасности информации ФСТЭК России сведений о новых угрозах безопасности информации, сценариях (тактиках, техниках) их реализации;
д) при переходе на отечественные операционные системы и системы управления базами данных, в том числе сертифицированные по требованиям защиты информации, в срок предусмотренный приказом Минцифры России от 18.01.2023 № 21 «Об утверждении Методических рекомендаций по переходу на использование российского программного обеспечения, в том числе на значимых объектах критической информационной инфраструктуры Российской Федерации, и о реализации мер, направленных на ускоренный переход органов государственной власти и организаций на использование российского программного обеспечения в Российской Федерации» срок завершения перевода государственных и ведомственных информационных систем, не являющихся значимыми объектами КИИ, но обеспечивающих реализацию критически значимых функций и полномочий органов государственной власти и государственных внебюджетных фондов Российской Федерации, а также обеспечивающих оказание государственных и муниципальных услуг, в том числе в электронном виде, на использование российского ПО – 2027 год.
Продолжение следует. С какими особенностями при согласовании МУ вы столкнулись, делитесь в комментариях.
Предыдущая статья: Про защиту веб сервера