четверг, 25 февраля 2021 г.

МЕТОДИКА ОЦЕНКИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ - 2021


  Мы долго ждали и вот случилось. ФСТЭК утвердила новую методику оценки угроз безопасности. https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/2170-metodicheskij-dokument-utverzhden-fstek-rossii-5-fevralya-2021-g

  На ТБ-форуме 2019, когда был впервые анонсирован проект новой методики, для субъектов КИИ было обещание ФСТЭК выпустить еще два методических документа по оценке угроз для объектов КИИ: типовая модель угроз безопасности информации в зависимости от типа систем и базовая модель угроз безопасности информации типового ОКИИ в различных сферах


  А вот про них почему перестали говорить.

  Обсуждать заложенные механизмы моделирования угроз считаю пока рано. Сначала надо опробовать на практике. Уже явно видно, что ФСТЭК старалась учесть замечания на этапе общественного обсуждения.

   А вот общие положения и процедура внедрения Методики вызвали ряд вопросов:

1. Понимаю, что ФСТЭК уберет со временем нестыковки с своими действующими приказами, обновит БДУ и т.д. Но с Постановлением Правительства как быть?  ТЗ создается на основе МУиН или МУиН на основе ТЗ?

Методика ФСТЭК

2.3. Исходными данными для оценки угроз безопасности информации являются:

 в) документация на системы и сети (а именно: техническое задание на создание систем и сетей, частное техническое задание на создание системы защиты, программная (конструкторская) и эксплуатационная (руководства, инструкции) документация, содержащая сведения о назначении и функциях, составе и архитектуре систем и сетей, о группах пользователей и уровне их полномочий и типах доступа, о внешних и внутренних интерфейсах, а также иные документы на системы и сети, разработка которых предусмотрена требованиями по защите информации (обеспечению безопасности) или национальными стандартами);

Постановление Правительства РФ от 06.07.2015 N 676

"О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации"

1(2). В целях выполнения требований о защите информации, предусмотренных пунктом 1(1) настоящего документа (далее - требования о защите информации), органы исполнительной власти определяют требования к защите информации, содержащейся в системе органа исполнительной власти, для чего осуществляют:

а) определение информации, подлежащей защите от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении такой информации;

б) анализ нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать система;

в) классификацию системы в соответствии с требованиями о защите информации;

г) определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в системе, и разработку на их основе модели угроз безопасности информации;

д) определение требований к информационной системе (подсистеме) защиты информации, содержащейся в системе.

3. Создание системы осуществляется в соответствии с разрабатываемым согласно концепции техническим заданием с учетом модели угроз безопасности информации, предусмотренной подпунктом "г" пункта 1(2) настоящего документа, а также уровней защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных и требований настоящего документа.

 

2. Почему нет переходного периода? Почему после даты утверждения Методики, а не публикации (утвердили 5 февраля, а опубликовали 16 февраля). Как понимать этот пункт Методики? Если у меня распоряжение о создании утверждено ДО, а МУиН еще не утверждена, то их надо переделывать под новую методику или нет? 

1.8. Положения настоящей Методики применяются для оценки угроз безопасности информации в системах и сетях, решение о создании или модернизации (развитии) которых принято после даты ее утверждения, а также в эксплуатируемых системах и сетях

Модели угроз безопасности информации систем и сетей, разработанные и утвержденные до утверждения настоящей Методики, продолжают действовать и подлежат изменению в соответствии с настоящей Методикой при развитии (модернизации) соответствующих систем и сетей.

И полетели сроки этапов контрактов, все переделывать. Хорошо, если прописаны условия безвозмездные для заказчика.


3. При анонсе проекта Методики на ТБ-форуме 2019 я обратился к Лютикову В.С.с просьбой обеспечить внедрение механизмов централизованного и единообразного применения операторами требований Методики, а самое главное - согласование в территориальных подразделениях ФСТЭК (для ГИС согласование МУиН обязательно). Предложил ФСТЭК сделать единый обучающий курс по применению Методики и установить требования к исполнителям. 

Что получили? А просто общие слова о требуемой квалификации исполнителей. И как это обеспечит единый взгляд при проведении ЭКСПЕРТНОЙ оценки (субъективный взгляд)?


4. Было много споров про необходимость лицензии ТЗКИ для внешних исполнителей при заказе разработки МУиН. Нет таких требований.

Для оценки угроз безопасности информации по решению обладателя информации или оператора в соответствии с законодательством Российской Федерации могут привлекаться специалисты сторонних организаций. 


* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite

Комментариев нет:

Отправить комментарий