CC BY
41УДК 004.056.52
Мельников П.В.
студент 2 курса, обучающийся по направлению 10.04.01 Информационная безопасность ФГБОУ «Дальневосточный государственный университет путей сообщения»
(Россия, г. Хабаровск)
Ешенко Р.А.
к.т.н., доцент кафедры «Информационные технологии и системы» ФГБОУ «Дальневосточный государственный университет путей сообщения»
(Россия, г. Хабаровск)
ПРОБЛЕМЫ ФОРМИРОВАНИЯ МОДЕЛИ УГРОЗ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ИНФОРМАЦИОННЫХ
СИСТЕМАХ
Аннотация: в данной статье рассматриваются вопросы формирования модели угроз информационной безопасности, анализируется проект методики моделирования угроз безопасности информации, разработанной Федеральной службой по техническому и экспортному контролю.
Ключевые слова: модель угроз, информационная безопасность, критические объекты, информационные системы.
В настоящее время определение актуальных угроз безопасности информации требуется для различных объектов информатизации таких как, информационные системы персональных данных (ИСПДн), государственные информационные системы (ГИС) и другие информационные системы организаций. Поэтому обработка информации с использованием таких объектов требует четкого
понимания кто (или что) и каким образом может стать причиной нарушения информационной безопасности.
Согласно [1,2], под актуальными угрозами безопасности информации понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к информации при их обработке в информационных системах, результатом которого могут стать копирование, изменение, блокирование, уничтожение информации, а также иные неправомерные действия.
Модель угроз информационной безопасности - это описание существующих угроз информационной безопасности, их актуальности, возможности реализации и последствий. Выявление критических объектов информационной системы. Определение перечня угроз для каждого критического объекта [3].
В Российской Федерации органом, формирующим политику информационной безопасности, занимающимся вопросами разработки методики моделирования угроз безопасности информации является Федеральная служба по техническому и экспортному контролю (ФСТЭК России). В начале апреля 2020 года на сайте ФСТЭК России был опубликован проект документа «Методика моделирования угроз безопасности информации» (Методика-2020) [4]. Однако надо сказать, что на сегодняшний день действующими документами для определения угроз безопасности информации остается «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (Методика-2008) [1] и «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» [3].
В мае 2015 года ФСТЭК России разработал проект документа «Методика определения угроз безопасности информации в информационных системах» (Методика-2015) [5]. Документ устанавливает единый методический подход к определению угроз безопасности информации и разработке модели угроз в государственных информационных системах. По решению оператора
персональных данных Методика-2015 может применяться для определения угроз безопасности персональных данных при их обработке в ИСПДн. На момент написания данной статьи Методика-2015 и Методика-2020 не утверждены ФСТЭК России.
В этой ситуации операторам различных информационных систем приходится искать собственные подходы в определении, моделировании угроз информационной безопасности, что является существенным недостатком, и в конечном итоге может влиять и на национальную безопасность, в части утечки информации, хакерских атак и других угроз.
Анализ [4,5] показал, что Методика-2020 имеет ряд достоинств:
- область применения методики расширена до ГИС, ИСПДн, объектов критической информационной инфраструктуры (КИИ), автоматизированных систем управления технологическими процессами (АСУ ТП) и других ИС;
- на основе методики можно разрабатывать отраслевые (ведомственные, корпоративные) методики моделирования угроз безопасности информации;
- обновлен порядок моделирования угроз информационной безопасности.
Но при этом имеется и ряд недостатков:
- некоторые нестыковки с существующим банком данных угроз безопасности ФСТЭК (БДУ), в частности нарушитель может обладать одним из четырех уровней возможностей (Н1, Н2, Н3, Н4), а в БДУ описаны три уровня нарушителя;
- не рассматриваются методические подходы по моделированию угроз безопасности информации, связанных с нарушением безопасности шифровальных (криптографических) средств защиты информации, а также угроз, связанных с техническими каналами утечки информации.
Ещё одним открытым вопросом остается вопрос ресурсного обеспечения формирования модели угроз информационной безопасности предприятия. В Методике-2020 это возлагается на подразделение по защите информации обладателя информации или оператора, или отдельных специалистов, а также
указываются организации, имеющие лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации. При этом многие оценки угроз информационной безопасности возлагаются на экспертную комиссию организации. Независимо от качества формирования экспертной комиссии при моделировании угроз безопасности информации существуют субъективные факторы, связанные с психологией принятия решений. Субъективизм в принятии решений может приводить как к занижению (ослаблению), так и к завышению (усилению) экспертами прогнозов и предположений при моделировании угроз безопасности информации. Вследствие чего одной из основных проблем при разработке модели угроз информационной безопасности будет являться наличие квалифицированного персонала по вопросам информационной безопасности на предприятии.
Нивелировать субъективизм в принятии решений, оптимизировать работу экспертной комиссии, повысить оперативность в принятии решений на возникающие угрозы информационной безопасности, своевременно выявлять потенциальные угрозы, по мнению авторов статьи, возможно посредством разработки средств автоматизации моделирования угроз информационной безопасности и доработки Методики-2020.
СПИСОК ЛИТЕРАТУРЫ:
Методический документ ФСТЭК «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утв. ФСТЭК России, 14.02.2008 г. [Электронный ресурс]. ФСТЭК России [официальный сайт]. URL https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/380-metodika-opredeleniya-aktualnykh-ugroz-bezopasnosti-personalnykh-dannykh-pri-ikh-obrabotke-v-informatsionnykh-
sistemakh-personalnykh-dannykh-fstek-rossii-2008-god (дата обращения 31.05.2020).
Указание Банка России от 10 декабря 2015 г. № 3889-У «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных» Правовой портал www.garant.ru. URL https://www.garant.ru/products/ipo/prime/doc/71259068/ (дата обращения 31.05.2020).
Методический документ ФСТЭК «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утв. ФСТЭК России, 14.02.2008 г. [Электронный ресурс]. ФСТЭК России [официальный сайт]. URL https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/379-bazovaya-model-ugroz-bezopasnosti-personalnykh-dannykh-pri-ikh-obrabotke-v-informatsionnykh-sistemakh-personalnykh-dannykh-vypiska-fstek-rossii-2008-god (дата обращения 31.05.2020).
Методика моделирования угроз безопасности информации, проект методического документа ФСТЭК России, 2020, [Электронный ресурс]. ФСТЭК России [официальный сайт]. URL
https://fstec.ru/component/attachments/download/2727 (дата обращения 31.05.2020).
Методика определения угроз безопасности информации в информационных системах, проект методического документа ФСТЭК России, 2015 г., [Электронный ресурс]. ФСТЭК России [официальный сайт]. URL https://fstec.ru/component/attachments/download/812 (дата обращения 31.05.2020).
