Добавить в корзинуПозвонить
Найти в Дзене
Синтез закона и технологий
1351 подписчик

Модель угроз: кому обязательно, а кому лучше не рисковать

9
5 мин
Продолжение цикла о Приказе ФСТЭК №117. Раньше — класс защищённости и акт классификации. Сегодня — модель угроз и оценка актуальных угроз. Модель угроз безопасности информации — документ, в котором вы фиксируете: Без этого нельзя обоснованно выбрать сертифицированные СЗИ: нельзя ограничиться «поставили антивирус — значит, защищены». Нужно показать связь: угроза → мера → средство. Модель угроз — не то же самое, что актуальные угрозы. Модель — документ (часто при создании/развитии ИС). Актуальные угрозы — живой результат, который нужно поддерживать при эксплуатации: выявлять, оценивать, приоритизировать, реагировать (п. 36 №117). Для ГИС при создании и развитии модель угроз — прямое требование по ПП №676 и п. 36 №117. Входит в пакет под аттестацию. Большинство больниц и поликлиник в реестр ГИС не входят — у них иные ИС (МИС, кадры, бухгалтерия). Но это не «модель не нужна». При создании «иных» (не государственных в смысле ПП №676) ИС решение о разработке модели угроз принимает руководите
Оглавление

Продолжение цикла о Приказе ФСТЭК №117. Раньше — класс защищённости и акт классификации. Сегодня — модель угроз и оценка актуальных угроз.

Что такое модель угроз простыми словами

Модель угроз безопасности информации — документ, в котором вы фиксируете:

  1. Что защищаем — какие ИС, какие данные, как устроена система.
  2. От кого и как — какие угрозы актуальны (кто нарушитель, какие способы реализации).
  3. Чем закрываем — какие меры и СЗИ выбраны и почему они блокируют именно эти угрозы.

Без этого нельзя обоснованно выбрать сертифицированные СЗИ: нельзя ограничиться «поставили антивирус — значит, защищены». Нужно показать связь: угроза → мера → средство.

Модель угроз — не то же самое, что актуальные угрозы. Модель — документ (часто при создании/развитии ИС). Актуальные угрозыживой результат, который нужно поддерживать при эксплуатации: выявлять, оценивать, приоритизировать, реагировать (п. 36 №117).

Кому обязательно, а кому — «решение руководителя».

Государственные информационные системы (ГИС)

Для ГИС при создании и развитии модель угроз — прямое требование по ПП №676 и п. 36 №117. Входит в пакет под аттестацию.

Большинство больниц и поликлиник в реестр ГИС не входят — у них иные ИС (МИС, кадры, бухгалтерия). Но это не «модель не нужна».

Иные ИС — что говорит №117 (п. 36–37)

При создании «иных» (не государственных в смысле ПП №676) ИС решение о разработке модели угроз принимает руководитель или ответственное лицо.

При эксплуатации — для любой ИС, включая МИС:

  • своевременно выявлять и оценивать актуальные угрозы;
  • искать признаки их наличия;
  • приоритизировать, оповещать ответственных;
  • при реализации угроз — блокировать или нейтрализовать.

То есть даже без «толстой папки» работа с угрозами обязательна. Модель — способ это оформить и обосновать.

Методика ФСТЭК от 05.02.2021 — для МО почти всегда обязательна

Методика оценки угроз безопасности информации (утв. ФСТЭК 05.02.2021) обязательна для:

  • государственных и муниципальных ИС;
  • ИС персональных данных;
  • значимых объектов КИИ;
  • ряда других категорий.

МИС медорганизации обрабатывает ПДn и, как правило, является значимым объектом КИИ. Значит, для типичной больницы модель/оценка угроз по методике — не «рекомендуем», а практически обязательны.

Итог для читателя цикла (медицина):
не спрашивайте «нужна ли модель», если вы не в ГИС. Спрашивайте: есть ли актуальная оценка угроз по методике 2021 для МИС и связанных систем.

Зачем это нужно на практике

  • Обосновать СЗИ под класс K1/K2/K3 и актуальные угрозы (не «лишний класс сертификата»).
  • Считать Кзи — показатель защищённости от базового уровня угроз.
  • Пройти проверку — на вопрос «почему выбрали эти меры?» есть документ, а не «так посоветовали».
  • При инциденте — показать добросовестность: угрозы учитывались, меры были, инцидент — не «мы ничего не делали».

Где брать перечень угроз: БДУ ФСТЭК

Придумывать угрозы с нуля не нужно. Источник — Банк данных угроз безопасности информации ФСТЭК:

bdu.fstec.ru/threat-section/threats

Там — угрозы, способы реализации, негативные последствия. №117 и приложение по УЗ тоже отсылают к БДУ при оценке ущерба.

Ваша задача — не переписать весь банк, а выбрать актуальные угрозы под:

  • архитектуру вашей МИС;
  • базовый уровень угроз (для Кзi);
  • класс защищённости K1/K2/K3;
  • интеграции (ЕГИСЗ, РЭМД, ОМС, лаборатории).

Примеры для медицины: несанкционированный доступ к ЭМК, компрометация учётной записи врача, остановка МИС (ransomware/сбой), подмена лабораторного результата, утечка через удалённый доступ вендора, ошибочная выгрузка данных в интеграционную шину.

Как не утонуть в деталях

Руководителю и юристу не обязательно читать все карточки угроз в БДУ. Алгоритм:

  1. Перечень ИС — МИС, кадры, бухгалтерия, почта, сайт, VPN, интеграции.
  2. Виды информации — ПДn пациентов, врачебная тайна, кадры, ДСП (если есть).
  3. Класс K1/K2/K3 и акт классификации — из прошлого выпуска.
  4. Исполнитель — отдел/специалист по ИБ или организация с лицензией ФСТЭК на техническую защиту конфиденциальной информации (п. 24 №117).
  5. Исполнитель по методике 2021 + БДУ готовит модель/оценку угроз; руководитель утверждает.

Техническая работа — ~90% у ИБ/лицензиата. От руководителя — данные, утверждение, ресурсы, контроль обновления при смене МИС, интеграций, инцидентах.

Своими силами — можно, если есть компетенции по методике 2021. Лицензиат — частый путь для МО без штатного ИБ; приёмка документа и ответственность за содержание — на вас, не на подрядчике.

Важно: методика 2021 — про СЗИ (ФСТЭК). СКЗИ, шифрованиеотдельные требования ФСБ, в этой методике не раскрываются.

Порядок работ (ориентир)

  1. Исходные данные: политика, акт классификации, схема МИС, перечень интеграций.
  2. Описание архитектуры и условий функционирования (п. 2 методики 2021).
  3. Источники угроз, актуальные нарушители (внутренний пользователь, внешний, подрядчик МИС).
  4. Выбор актуальных угроз из БДУ.
  5. Связь угроз с мерами из стандартов/регламентов и СЗИ.
  6. Утверждение модели руководителем.
  7. При эксплуатации — пересмотр актуальных угроз (новая версия МИС, инцидент, новые интеграции, новые уязвимости из БДУ).

Если нашли уязвимость, которой нет в БДУ, — уведомление во ФСТЭК в 5 рабочих дней (п. 39 №117).

Что будет, если модели/оценки угроз нет

Для ГИС — нарушение требований ПП №676 и №117; при проверке — предписания, ст. 13.12 КоАП (штрафы для организаций, как правило, десятки–сотни тысяч рублей — по составу нарушения).

Для МИС (ПДn + КИИ) — формально попадаете под обязательную методику 2021; отсутствие оценки угроз + необоснованный выбор СЗИ + слабый Кзисерьёзный риск при проверке ФСТЭК и отдельно по 152-ФЗ / 187-ФЗ при инциденте.

На проверке спросят: «На каком основании выбраны меры и СЗИ? Какие угрозы считаете актуальными?» Без документа и процесса ответить нечем.

Итог

Модель угроз — рабочий инструмент, а не «бумага для папки».

  • ГИС — модель при создании обязательна.
  • МИС типичной МО — по методике 2021 (ПДn + КИИ) практически обязательна.
  • При эксплуатации любой ИСоценка актуальных угроз обязательна по п. 36 №117.
  • Угрозы берутся из БДУ ФСТЭК, не «из головы».
  • СЗИ подбираются под угрозы и класс K1/K2/K3; криптография — контур ФСБ.

Не рискуйте «пропустить» этот этап: без угроз класс защищённости и документы не складываются в доказуемую защиту.

Проверьте готовность по №117 — экспресс-тест и консультация по модели угроз и комплекту документов: synlawtech.ru

Подпишитесь на канал, чтобы не пропустить следующие выпуски цикла.