В статье рассматриваются актуальные вопросы, связанные с моделированием угроз безопасности объектов критической информационной инфраструктуры (далее – КИИ), с учетом методического документа, утвержденного ФСТЭК России 5 февраля 2021 г.
Какой нормативно-методической базой необходимо пользоваться при моделировании угроз?
Основным документом, который определяет требования и подходы, которыми необходимо руководствоваться при моделировании угроз безопасности значимых объектов КИИ являются Требования, в пункте 11.1 которых указано, что модель угроз безопасности информации должна содержать краткое описание архитектуры значимого объекта, характеристику источников угроз безопасности информации, в том числе модель нарушителя, и описание всех угроз безопасности информации, актуальных для значимого объекта.
В свою очередь описание каждой угрозы безопасности информации должно включать:
- источник угрозы безопасности информации;
- уязвимости (ошибки), которые могут быть использованы для реализации (способствовать возникновению) угрозы безопасности информации;
- возможные способы (сценарии) реализации угрозы безопасности информации;
- возможные последствия от реализации (возникновения) угрозы безопасности информации.
В этом же пункте указаны следующие два важных момента:
1. Модель угроз безопасности информации может разрабатываться для нескольких значимых объектов, имеющих одинаковые цели создания и архитектуру, а также типовые угрозы безопасности информации.
2. Для определения угроз безопасности информации и разработки модели угроз безопасности информации должны применяться методические документы, разработанные и утвержденные ФСТЭК России.
Таким образом, следующим документом, который необходимо использовать при моделировании угроз является «Методика оценки угроз безопасности информации» (далее по тексту – Методика).
Следует отметить, что для объектов КИИ, не имеющих категории значимости положения п. 11.1 Требований и Методики являются не обязательными, но могут применяться при принятии соответствующего решения субъектом КИИ.
При этом, согласно пункту 1.4. Методики в ней не рассматриваются методические подходы по оценке угроз безопасности информации, связанных с нарушением безопасности шифровальных (криптографических) средств защиты информации, а также угроз, связанных с техническими каналами утечки информации.
Таким образом, для объектов КИИ (в данном случае, не важно значимых или нет), являющихся информационными системами персональных данных, актуальными для применения являются Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, утвержденные руководством 8 Центра ФСБ России 31 марта 2015 года № 149/7/2/6-432.
Помимо методических документом, определяющих ход моделирования угроз, существуют методические документы, которые могут быть использованы в качестве исходных данных для оценки угроз безопасности информации (п. 2.3. Методики):
1. Базовая модель угроз безопасности информации интеллектуальной системы учета электрической энергии (Письмо Министерства энергетики РФ от 29 июня 2021 г. № НШ-7491/07 «О базовой модели угроз безопасности информации в интеллектуальных системах учета электрической энергии (мощности)»).
2. Приказ Министерства энергетики РФ от 6 ноября 2018 г. № 1015 «Об утверждении требований в отношении базовых (обязательных) функций и информационной безопасности объектов электроэнергетики при создании и последующей эксплуатации на территории Российской Федерации систем удаленного мониторинга и диагностики энергетического оборудования».
3. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная ФСТЭК России 15 февраля 2008 г.
4. Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры, утвержденная ФСТЭК России 18 мая 2007 г.
Документы (1) и (2) относятся исключительно к субъектам КИИ, функционирующим в сфере энергетики и владеющим, соответственно, интеллектуальными системами учета электрической энергии или системами удаленного мониторинга и диагностики энергетического оборудования. Применяются для моделирования угроз в отношении указанных видов объектов КИИ не зависимо от того, имеют они категорию значимости или нет.
В части документов (3) и (4) хотелось бы подробнее остановиться относительно оснований и условий их применения.
Согласно п. 2.3. Методики, исходными данными для оценки угроз безопасности информации в том числе являются модели угроз безопасности информации, разрабатываемые ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085, а также отраслевые (ведомственные, корпоративные) модели угроз безопасности информации.
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, полностью соответствует данному требованию и поэтому может быть использована в качестве источника исходных данных для объектов КИИ являющихся информационными системами персональных данных не зависимо от наличия (отсутствия) у них категории значимости.
Что касается Базовой модели угроз безопасности информации в ключевых системах информационной инфраструктуры, то в связи с внесением изменений в Положение о Федеральной службе по техническому и экспортному контролю, утвержденное Указом Президента Российской Федерации от 16 августа 2004 г. № 1085, и определением ФСТЭК России федеральным органом исполнительной власти, уполномоченным в области безопасности критической информационной инфраструктуры, с 1 января 2018 г. ФСТЭК России утратила полномочия в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры, таким образом формально Базовая модель не соответствует требованиям указанным в п. 2.3. Методики.
При этом, согласно Информационному сообщению ФСТЭК России от 4 мая 2018 г. № 240/22/2339 Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры, утвержденная ФСТЭК России 18 мая 2007 г. может применяться субъектами КИИ для моделирования угроз безопасности информации на ЗОКИИ до тех пор, пока ФСТЭК России не утвержден аналогичный методический документ по безопасности объектов КИИ.
Каков типовой алгоритм определения угроз?
Типовой алгоритм моделирования угроз представлен на рисунке 1. Как видно по схеме общая логика моделирования угроз не изменилась по отношению к существовавшей до 2021 года. Произошла лишь смена акцента, с определения вероятности реализации угроз, на оценку вреда и возможности реализации угроз безопасности информации.
На каком этапе проводить моделирования угроз: до категорирования или после?
Как известно, Сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, утвержденные Приказом ФСТЭК России от 22.12.2017 № 236 содержат два раздела 6 и 7 в которые должны быть включены сведения об актуальных для объекта КИИ угрозах, категориях нарушителей и возможных негативных последствиях, а требования о наличии модели угроз предъявляются только к значимым объектам КИИ. В этой связи на практике возникает вопрос, когда же осуществлять разработку модели угроз: на этапе категорирования или после внесения объекта(ов) в реестр значимых?
Если подходить к вопросу формально, то разработку моделей угроз необходимо проводить после завершения категорирования, а на этапе категорирования определить и составить перечень угроз безопасности информации. Однако, с учетом того, что во-первых, информационные ресурсы необходимо защищать, а сделать это без знания от чего защищать (определения актуальных угроз) невозможно и, во-вторых, процедура категорирование предполагает анализ комиссией возможных действий нарушителей и иных угроз безопасности объектов КИИ, наиболее рационально, по мнению автора, осуществлять моделирование угроз в процессе категорирования, после определения перечня объектов КИИ, подлежащих категорированию, для всех входящих в него объектов.
При таком подходе исключается необходимость повторного проведения анализа угроз (дополнительных издержек в случае привлечения внешнего подрядчика) и на выходе имеются модели угроз для всех объектов КИИ, позволяющие обоснованно выстраивать систему их защиты.
Как часто осуществлять пересмотр моделей угроз и как это делать?
Методика (п. 2.4.) предписывает владельцам значимых объектов КИИ проводить оценку угроз безопасности на систематической основе: на этапе создания, в ходе эксплуатации, при развитии (модернизации).
Таким образом, очевидно, что произошла смена подхода к моделированию угроз от существовавшего ранее «статичного», когда делали модель угроз и пересматривали ее раз в несколько лет на «проактивный», когда анализ угроз и изменение модели происходит относительно постоянно. В этой связи на текущий момент для реализации данного требования необходимо рассматривать моделирование угроз не как мероприятие, а как некий деловой процесс, требующий налаживания в рамках функционирования иных деловых процессов организации, связанных с обеспечением безопасности информации.
Сведения об авторе: Константин Саматов, руководитель комитета по безопасности КИИ, член правления Ассоциации руководителей служб информационной безопасности. Сайт: https://ksamatov.ru
Источник: https://cs.groteck.com/IB_4_2021/10/index.html
Ставьте лайк и подписывайтесь на нашу страницу в АРСИБ Яндекс.Дзен и будьте в курсе актуальной информации в сфере информационной безопасности!
