Кажется, ты используешь AdBlock. Хабрахабр развивается и существует за счет доходов от рекламы. Добавь нас в исключения. Майские праздники подарили нам не только весьма спорный проект Постановления Правительства от Роскомнадзора, но и документ, которого специалисты ждали очень давно. ФСТЭК России опубликовала на своем сайте проект документа «» и соответствующее ему. Документ после доработки и утверждения станет обязательным для исполнения государственными и муниципальными органами. Именно для них документ описывает методику определения угроз, актуальных для конкретной организации. Практика показывает, что в большинстве случаев изменения в документе не будут принципиальными, поэтому ознакомиться с ним нужно заранее. Теоретически для остальных организаций, включая и методические рекомендации фстэк ПДн, данная методика не является обязательной, но поскольку на практике альтернатив которые к тому же нужно будет обосновывать Роскомнадзору не будет, то использовать придется именно ее. Что позволяет защитить ИС, созданная на основе методики? Документ устанавливает единый методический подход к определению угроз безопасности информации и разработке моделей угроз безопасности информации в государственных информационных системах далее — информационные системызащита информации в которых обеспечивается в соответствии с Требованиями о методические рекомендации фстэк информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. По решению оператора персональных данных Методика может применяться для определения… безопасности персональных данных при их обработке в информационных системах персональных данных, защита которых обеспечивается в соответствии с Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. Методика не распространяется на определение угроз безопасности информации, составляющей государственную тайну. Соответственно, Методика может применяться для оценки угроз безопасности в государственных информационных системах, а также всеми компаниями и организациями, защищающими персональные данные. И не может применяться для оценки угроз безопасности информации, составляющей государственную тайну. А ведь по сути эти методические рекомендации фстэк информации для компаний зачастую куда важнее, чем те же ПДн. Также Методика никак не регламентирует вопросы защиты информации, располагающейся за пределами системы защиты информации например, на личных устройствах сотрудников. В наше время, когда большинство сотрудников методические рекомендации фстэк могут со своего смартфона может получать доступ к ресурсам компании — такой подход видится странным. Кто может пользоваться методикой? Методика предназначена для: органов государственной власти, органов местного самоуправления и организаций, являющихся в соответствии с законодательством Российской Федерации обладателями информации, методические рекомендации фстэк или операторами информационных систем; организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию проектированию информационных систем; организаций, осуществляющих в соответствии с законодательством Российской Федерации работы методические рекомендации фстэк защите информации в ходе создания проектирования и эксплуатации информационных систем; организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по аттестации оценке соответствия информационных систем требованиям о защите информации. Методические рекомендации фстэк факту под действие методики подпадают все типы компаний и организаций. Термины и определения В Методике используются термины их определения, установленные национальными стандартами в области защиты информации. В других публикациях уже отмечалось, что разнобой в терминах и определениях различных документов нашего законодательства не позволяет корректно определять даже цели защиты информации. Сноска на национальные стандарты — это однозначно плюс, но лучше бы было привести в виде ссылок или методические рекомендации фстэк конкретный список связанных документов. Оценка угроз безопасности информации проводится экспертным методом. Процесс определения угроз безопасности информации организуется подразделением оператора, назначенным ответственным за защиту информации в информационной системе. В качестве источников угроз безопасности информации могут выступать субъекты физические лица, организации, государства или явления техногенные аварии, стихийные бедствия, иные природные явления. Угроза безопасности информации является актуальной УБИjАесли для информационной системы с заданными структурно-функциональными характеристиками и особенностями функционирования существует вероятность реализации рассматриваемой угрозы нарушителем с соответствующим потенциалом и ее реализация приведет к неприемлемым негативным последствиям ущербу от нарушения конфиденциальности, целостности или доступности информации. При отсутствии статистических данных о реализации угроз безопасности информации возникновении инцидентов безопасности в информационной системе или однотипных информационных системах, актуальность угрозы безопасности информации определяется на основе оценки возможности реализации угрозы безопасности информации Yj В методике приведены рекомендации по формированию экспертной группы и проведению экспертной оценки. Отметим, что в число угроз вошли угрозы, связанные с: низким качеством надежностью технических, программных или программно-технических средств; низким качеством надежностью сетей связи или услуг связи; отсутствием или низкой эффективностью систем резервирования или дублирования программно-технических и технических средств; низким качеством надежностью инженерных систем кондиционирования, электроснабжения, охранных систем и т. Методика также указывает, что «следует, в первую очередь, уделять внимание оценке антропогенных угроз, связанных с несанкционированными неправомерными действиями субъектов по нарушению безопасности конфиденциальности, целостности, доступности информации, в том числе целенаправленными воздействиями программными программно-техническими средствами на информационные системы, осуществляемые в целях нарушения прекращения их функционирования». Для идентификации угроз безопасности информации в информационной системе определяются: возможности тип, вид, потенциал нарушителей, необходимые им для реализации угроз безопасности информации; уязвимости, которые могут использоваться при реализации угроз безопасности информации включая специально внедренные программные закладки ; способы методы реализации угроз безопасности информации; объекты информационной системы, на которые направлена угроза безопасности информации объекты воздействия ; результат и последствия от реализации угроз безопасности методические рекомендации фстэк. Методика требует на основе имеющихся данных проводить оценку вероятности реализации угроз. При определении возможных способов реализации угроз безопасности информации необходимо исходить из следующих условий: нарушитель может действовать один или в составе группы нарушителей; в отношении информационной системы внешний нарушитель может действовать совместно с внутренним нарушителем; угрозы могут быть реализованы в любое время и в любой точке информационной системы на любом узле или хосте ; для достижения своей цели нарушитель выбирает наиболее слабое звено информационной системы. Методические рекомендации фстэк переоценка угроз безопасности информации осуществляется как минимум в случаях: изменения требований законодательства Российской Федерации о защите информации, нормативных правовых актов и методических документов, регламентирующих защиту информации; изменения конфигурации состава основных компонентов и особенностей функционирования информационной системы, следствием которых стало возникновение новых угроз безопасности информации; выявления уязвимостей, приводящих к возникновению новых угроз безопасности информации или к повышению возможности реализации существующих; появления сведений и фактов о новых возможностях нарушителей. Рекомендуется пересматривать угрозы безопасности информации не реже одного раза в год. Второй пункт методики отсылает нас к старому спору «если я поменял видеокарту — требует ли это пересмотра модели угроз? К плюсам методики можно отнести появление в ней требований по оценке возможностей нарушителей. Угрозы безопасности информации в информационной системе могут быть реализованы следующими видами нарушителей: специальные службы иностранных государств блоков государств ; террористические, экстремистские группировки; преступные группы криминальные структуры ; внешние субъекты физические лица ; конкурирующие организации; разработчики, производители, поставщики программных, технических и программно-технических средств; лица, привлекаемые для установки, наладки, монтажа, пусконаладочных иных видов работ; лица, обеспечивающие функционирование информационных систем или обслуживающие инфраструктуру оператора администрация, охрана, уборщики методические рекомендации фстэк т. Список, надо отметить, правильно указывает на необходимость оценки угроз со стороны потенциальных нарушителей, не являющихся сотрудниками компании. В качестве возможных целей мотивации реализации нарушителями угроз безопасности информации в информационной системе могут быть: нанесение ущерба государству, отдельным его сферам деятельности или секторам экономики; реализация угроз безопасности информации по идеологическим или политическим мотивам; организация террористического акта; причинение имущественного ущерба путем мошенничества или методические рекомендации фстэк преступным путем; дискредитация или дестабилизация деятельности методические рекомендации фстэк государственной власти, организаций; получение конкурентных преимуществ; внедрение дополнительных функциональных возможностей в программное обеспечение или программно-технические средства на этапе разработки; любопытство или желание самореализации; выявление уязвимостей с целью их дальнейшей продажи и получения финансовой выгоды; реализация угроз безопасности информации из мести; реализация угроз безопасности информации непреднамеренно из-за неосторожности или неквалифицированных действий. Также очень верный список. Практика показывает, что организация может попасть под удар случайно. В качестве примера можно привести взломы компаний методические рекомендации фстэк результате скандала вокруг карикатур во французском журнале. В зависимости от имеющихся прав доступа нарушители могут иметь легитимный физический непосредственный или логический доступ к компонентам информационной системы или содержащейся в них информации или не иметь методические рекомендации фстэк доступа. Результаты оценки возможностей нарушителей включаются в модель нарушителя, которая является составной частью разделом модели угроз безопасности информации и содержит: типы, виды и потенциал нарушителей, которые могут обеспечить реализацию угроз безопасности информации; цели, которые могут преследовать нарушители каждого вида при реализации угроз безопасности информации; возможные способы реализации угроз безопасности информации. Вышеприведенные цитаты приведены с сохранением орфографии и пунктуации проекта документа. Для примера посмотрим, на что способны админы: Причинение имущественного ущерба путем методические рекомендации фстэк или иным преступным путем. Любопытство или желание самореализации подтверждение статуса. Месть за ранее совершенные действия. Выявление уязвимостей с целью их дальнейшей продажи и получения финансовой выгоды. Непреднамеренные, неосторожные или методические рекомендации фстэк действия. О работе экспертной группы Одновременно самое правильное и самое утопичное место документа: Под вероятностью реализации угрозы методические рекомендации фстэк информации понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация j-ой угрозы безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и особенностями функционирования. Вводятся три вербальные градации этого показателя: низкая вероятность — отсутствуют объективные предпосылки к реализации j-ой угрозы безопасности информации, отсутствует требуемая статистика по фактам реализации j-ой угрозы безопасности информации возникновения инцидентов безопасностиотсутствует мотивация для реализации j-ой угрозы, возможная частота реализации j-ой угрозы не превышает 1 раза в 5 лет; средняя вероятность — существуют предпосылки к реализации методические рекомендации фстэк угрозы безопасности информации, зафиксированы случаи реализации j-ой угрозы безопасности информации возникновения инцидентов безопасности или имеется иная информация, указывающая на возможность реализации j-ой угрозы безопасности информации, существуют признаки наличия у нарушителя мотивации для реализации такой угрозы, возможная частота реализации j-ой угрозы не превышает 1 раза в год; высокая вероятность — существуют методические рекомендации фстэк предпосылки к реализации j-ой угрозы безопасности информации, существует достоверная статистика реализации j-ой угрозы безопасности информации возникновения инцидентов безопасности методические рекомендации фстэк имеется иная информация, указывающая на высокую возможность реализации j-ой угрозы безопасности информации, у нарушителя имеются мотивы для реализации j-ой угрозы, частота реализации j-ой угрозы — чаще 1 раза в год. В случае отсутствия требуемых данных для оценки вероятности реализации угрозы безопасности информации или наличия сомнений в объективности экспертных оценок при определении вербальных градаций вероятности реализации угроз безопасности информации, актуальность j-ой угрозы безопасности информации определяется на основе оценки возможности ее реализации Yj. Возможность реализации j-ой угрозы безопасности информации Yj оценивается исходя из уровня защищенности информационной системы Y1 и потенциала нарушителя. При определении угроз безопасности информации на этапе создания информационной системы в методические рекомендации фстэк, когда меры защиты информации не реализованы или не проведена оценка их достаточности и эффективности, оценка возможности реализации j-ой угрозы безопасности информации Yj проводится относительно уровня проектной защищенности информационной системы. Далее в Методике приводится таблица со списком узлов защищаемой сети и соответствующими им уровнями защищенности. Уровней тоже три — высокий, средний и низкий. Также оценке подлежат последствия реализации угрозы, в том числе экономические, социальные, методические рекомендации фстэк и т. Для примера посмотрим, что относится к социальным последствиям: Создание предпосылок для нанесения вреда здоровью граждан. Возможность нарушения функционирования методические рекомендации фстэк обеспечения жизнедеятельности граждан. Организация пикетов, забастовок, митингов и других методические рекомендации фстэк. Увеличение количества жалоб в органы государственной власти или органы местного самоуправления. Появление негативных публикаций в общедоступных источниках. Невозможность прерывание предоставления социальных услуг сервисов. Другие последствия, приводящие к нарастанию социальной напряженности в обществе. Взлом сайта и размещение методические рекомендации фстэк нем соответствующей информации вполне может привести ко всему перечисленному. В состав экспертной группы для определения угроз безопасности информации рекомендуется включать экспертов независимо от того, реализуются ли функции обладателя информации, заказчика и оператора в рамках одной или нескольких организаций : от подразделений обладателей информации, содержащейся в информационной системе; от подразделений оператора информационной системы; от подразделения по защите информации; от лиц, предоставляющих услуги по обработке информации; от разработчика информационной системы; от операторов взаимодействующих внешних информационных систем по согласованию. В качестве экспертов рекомендуется привлекать специалистов, деятельность которых связана с обработкой информации в информационной системе, а также специалистов, имеющих квалификацию и опыт работы в области применения информационных технологий или в области защиты информации. Эксперты должны обладать независимостью, основанной на методические рекомендации фстэк коммерческого и финансового интереса или другого давления, которое может оказать влияние на принимаемые решения. Не рекомендуется формировать экспертную группу из участников, находящихся в прямом подчинении. Оценку параметров рекомендуется проводить опросным методом с составлением анкеты, в которой указываются вопросы и возможные варианты методические рекомендации фстэк в единой принятой шкале измерений «низкий», «средний», «высокий» или «да», «нет» или иные шкалы. При этом вопросы должны быть четкими и однозначно трактуемыми, предполагать однозначные ответы. Особо отмечается, что: существуют субъективные факторы, связанные с психологией принятия решений человеком. Это также может приводить как к занижению ослаблениютак и к завышению усилению экспертами прогнозов и предположений при определении угроз безопасности информации, что в свою очередь может привести к пропуску отдельных угроз безопасности информации или к неоправданным затратам на нейтрализацию методические рекомендации фстэк угроз. Ну и последнее В связи с утверждением настоящего методического документа не применяется для методические рекомендации фстэк угроз безопасности информации Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных ФСТЭК России, 2008 г. Подведем итог Документ получился добротный, качественный, но в большинстве случаев — бесполезный. Все проблемы рассматриваются в документе на теоретическом уровне; какие-либо практические рекомендации и примеры полностью отсутствуют. Для подавляющего количества организаций составление экспертной группы, да еще с привлечением разработчиков — полнейшая. В лучшем случае всю процедуру придется проделать системному администратору, а в худшем — лицу, которое назначили ответственным за защиту персональных данных. Как составить свой список угроз? Основой для работы служат список угроз безопасности из банка данных, поддерживаемых ФСТЭК России ubi. Методика применяется совместно с банком данных угроз безопасности информации, сформированным ФСТЭК России ubi. Методические рекомендации фстэк угроз, связанных со стихийными бедствиями и природными явлениями, осуществляется методические рекомендации фстэк соответствии с правилами, установленными уполномоченными федеральными органами исполнительной власти, национальными стандартами и находятся за рамками методические рекомендации фстэк Методики. Для определения угроз безопасности информации могут использоваться иные источники, в том числе опубликованные в общедоступных источниках данные об методические рекомендации фстэк, компьютерных атаках, вредоносном программном обеспечении, а также результаты специально проведенных исследований по выявлению угроз безопасности информации. В этом случае потенциал нарушителя, возможные уязвимости, способы реализации угрозы безопасности информации и последствия от ее реализации определяются для каждой угрозы безопасности информации. Идея также здравая и одновременно утопичная. Во-первых, времени на мониторинг прессы и новостных сайтов у компаний нет. Тем более сотрудники компании не могут оценить, насколько описание угрозы в новости соответствует методические рекомендации фстэк угрозе конкретной компании. Сотрудники компании также не могут оценить и полноту банков угроз. Так, по отзывам на момент создания вышеупомянутого банка угроз методические рекомендации фстэк нем методические рекомендации фстэк угрозы для Android. Ну и последний гвоздь — сотрудники компании не могут знать, действительно ли закрыта конкретная уязвимость очередным патчем. Случаев, когда в реальности закрытия уязвимости не происходило — достаточно много. Нельзя опираться и на новости. Не будем говорить о том, что компании могут выпускать новости для собственного пиара, преувеличивая ту или иную угрозу. Сколько записей добавляется в вирусные базы ежедневно? Можно выбрать любой случайно взятый день на и оценить проблему. Вендоры публикуют новости об интересных по какой-то причине угрозах, но методические рекомендации фстэк могут описать все. А пользователи, естественно, не могут прочитать и проанализировать все. Сейчас много говорится о шифровальщиках. В вышеприведенных скриншотах шифровальщики, добавленные в базу за день, выделены красным — все остальные угрозы дня, скорее всего, не попали в сферу внимания пользователей. Еще одна проблема — финансовая. Анализ угроз нужно проводить постоянно. Определение угроз безопасности информации должно носить систематический характер и осуществляться как на этапе создания информационной системы и формирования требований по ее защите, так и в ходе эксплуатации информационной системы. Это, конечно, верно — информация о методические рекомендации фстэк уязвимостях появляется постоянно. Но вот вопрос: можно ли в реальности оперативно получать деньги на новые средства защиты или их замену? По факту планы на выделение средств составляются на методические рекомендации фстэк и кварталы вперед. И все это время уязвимость останется незакрытой — и что толку, что мы будем о ней знать? Куда проще и правильнее сразу предположить, что уязвимо всё, уязвимости есть везде, и планировать систему защиты исходя из этого. Как на практике и происходит. В противном случае созданная на основе уже известных проблем система устареет с появлением первой же свежей уязвимости. Также мнение о Методике высказанои. В статье указаны типичные ошибки при составлении модели угроз. Приведу только одну цитату: анализ угроз в ручную оператором становится фактически нереальным либо нерентабельным. Единственные возможные варианты: Методические рекомендации фстэк оператором средств автоматизации расчетов актуальности угроз Обращение за услугой по моделированию угроз к компании — консультанту, которые так-же либо будут вынуждены использовать средства автоматизации расчетов, либо заниматься копипастированием документов без проведения расчетов Методика никак не регламентирует вопросы защиты информации, располагающейся за методические рекомендации фстэк системы защиты информации например, на личных устройствах сотрудников Ээ… по-моему, она по определению не может этого делать — как можно защищать нечто, находящее за пределами системы защиты? Ну и наверняка должен существовать какой-то регламент, когда и на каком основании защищаемая информация может передаваться за пределы периметра защиты. Так-то оно так, но есть две проблемы: 1. На личных методические рекомендации фстэк и компьютерах как правило работают не только сотрудники компании, но и члены их семей 2. На том же Андроид на большинстве устройств нельзя разделить информацию корпоративную и личную, нельзя отследить, что методические рекомендации фстэк время подсоединения к корпоративной сети сотрудник занимается еще чем-то. Например ходит по подозрительным сайтам. Понимая глубину проблемы администраторы не спешат включать в систему защиты личные устройства и компьютеры — по сути это будет одна головная боль. Поэтому пока не будет четко прописано в нормативных документах требование по защите — защищать не будут. Пример — защита банкоматов и терминалов. Пока в требованиях не появились пункты об обязательности их защиты, интерес к ней был не очень большой. Филькина грамота колониальной администрации в стиле «хватать и не пущать», никакой заботы об обществе или народе — только сохранение своего доминирования. Да я бы не сказал. Шаг вперед по сравнению с предыдущим документом весьма существенный. По сути проблема документа — отрыв от реальности, возможности использования документа специалистами на местах. Ну выбранный метод оценки рисков нельзя назвать удачным Только зарегистрированные пользователи могут оставлять комментарии. Пометьте топик понятными вам метками, если хотите Метки лучше разделять запятой. Например: общение, социальные сети, myspace.

Смотрите также: