Федеральная служба по техническому и экспортному контролю РФ разработала проект методического документа «Методика определения угроз безопасности информации в информационных системах».
Документ устанавливает единый методический подход к определению угроз безопасности информации и разработке моделей угроз безопасности информации в государственных информационных системах, защита информации в которых обеспечивается в соответствии с требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17 (зарегистрирован Минюстом России 31 мая 2013 г., per. N 28608).
Методика не распространяется на определение угроз безопасности информации, составляющей государственную тайну.
Методика предназначена для:
- органов государственной власти, органов местного самоуправления и организаций, являющихся в соответствии с законодательством Российской Федерации обладателями информации, заказчиками и (или) операторами информационных систем;
- организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию (проектированию) информационных систем;
- организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по защите информации в ходе создания (проектирования) и эксплуатации информационных систем;
- организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по аттестации (оценке соответствия) информационных систем требованиям о защите информации.
Читать также: «О системе защиты национальных информационных ресурсов» >>
Определение угроз безопасности информации должно носить систематический характер и осуществляться как на этапе создания информационной системы и формирования требований по ее защите, так и в ходе эксплуатации информационной системы, говорится в документе.
В методике описываются типы нарушителей, их виды и потенциал (например, специальные службы иностранных государств, террористические организации, конкурирующие компании, пользователи ИС и пр.), определяются возможные способы реализации угроз безопасности информации, предлагается оценка вероятности (возможности) реализации угрозы безопасности информации. Так, вводятся три градации вероятности угрозы: низкая, средняя и высокая — оцениваются они, исходя из возможной частоты реализации угрозы и мотивации «нападающих».
В документе также приводится таблица показателей, характеризующих проектную защищенность информационной системы, предлагается методика оценки степени возможного ущерба от реализации угрозы безопасности информации, даются рекомендации по формированию экспертной группы и проведению экспертной оценки при определении угроз безопасности информации и пр.
ФСТЭК предлагает специалистам в области информационной безопасности заинтересованных органов государственной власти и организаций рассмотреть проект методического документа и направить предложения по указанному проекту на адрес электронной почты methodoubi@fstec.ru.
Предложения и замечания принимаются до 10 июня 2015 года.
Эксперт по информационной безопасности Андрей Прозоров в своем блоге оценил документ как «неплохой», однако отметил ряд недостатков. Прозоров подтвердил Экспертному центру электронного государства, что самыми заметными недостатками являются следующие.
«В качестве исходных данных об угрозах безопасности информации и их характеристиках используется банк данных угроз безопасности информации, сформированный и поддерживаемый ФСТЭК России (ubi.fstec.ru)», говорится в методике. Это хоть и декларируется, отмечает эксперт, но не описан механизм процедуры использования «банка данных угроз безопасности информации, сформированный и поддерживаемый ФСТЭК России», и, судя по составу угроз в банке данных и их описанию, у разработчиков модели угроз могут быть сложности по «скрещиванию» методики и банка угроз.
Также Прозоров отмечает, что методический документ используется для оценки угроз информации в государственных ИС и может быть применен и для ПДн, при этом методика не распространяется на ГТ (об этом сказано в п.1 «общие положение»). Но почему-то нет отсыла к другим видам информации ограниченного доступа, в том числе «служебной тайны» / ДСП. Да, с термином есть сложности, но основной пользователь документа — госорганы, можно ли им использовать данный документ для защиты своей информации, не попадающей в ГосИС?
Документ не распространяется на защиту информации на бумажных носителях (про них не написано в п.3 а), указывает эксперт. И в нем не хватает конкретных рекомендаций по расчету возможного ущерба, приводятся лишь общие идеи.
