Имеет место следующая проблема: никто точно не может сказать, что за такие типы угроз безопасности актуальных для информационной системы и как оператор должен их определить. Но зато последствия от данного определения очень значительны: меняется уровень защищенности, классы сертифицированных СЗИ, минимальный потенциал нарушителя, применяются дополнительные сложные меры защиты и т.п.
Вспомним положения законодательства в этой части:
ПП 1119: “6. Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.
Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
7. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных", и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных". “
Приказ ФСТЭК №21: “11. В случае определения в соответствии с Требованиями к защите персональных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N1119, в качестве актуальных угроз безопасности персональных данных 1-го и 2-го типов дополнительно к мерам по обеспечению безопасности персональных данных, указанным в пункте 8 настоящего документа, могут применяться следующие меры:
проверка системного и (или) прикладного программного обеспечения, включая программный код, на отсутствие недекларированных возможностей с использованием автоматизированных средств и (или) без использования таковых;
тестирование информационной системы на проникновения;
использование в информационной системе системного и (или) прикладного программного обеспечения, разработанного с использованием методов защищенного программирования.
12. …
Для обеспечения 1 и 2 уровней защищенности персональных данных, а также для обеспечения 3 уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены угрозы 2-го типа, применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей.”
В проекте новой методики определения угроз безопасности информации в информационных системах ФСТЭК, опубликованной в мае 2015 г., о типах угроз не было ни слова, не смотря на п. 7 ПП 1119. Таким образом мы всё ещё не знаем точно, какие угрозы к какому типу относятся, и как определить актуальный тип угроз.
В марте 2015 года стал доступен государственный банк данных угроз безопасности информации ФСТЭК – БДУ . В БДУ на данный момент 152 угрозы. Часть из них связана с использованием уязвимостей (недекларированных возможностей) в системном и прикладном ПО. А вот отметки о том к какому типу относится угрозы – нет. Почему? Кто виноват? Что делать?
Если бы отметка была, то можно было бы реализовать одну из двух возможностей:
· в зависимости от ранее определенного типа актуальных угроз сразу отфильтровать неактуальные для нас угрозы
· в зависимости от перечня актуальных угроз автоматически определить тип актуальных угроз
Что делать: добавить к каждой угрозе дополнительную отметку “тип угрозы” со значениями 1, 2, 3; если угроза в текущей формулировке относится сразу к 1 и 2 типу – переформулировать угрозы; в новой методике описать как правильно использовать тип угрозы из БДУ.
