CC BY
153
УДК 004.056
проблемы определения актуальных угроз безопасности персональных данных в банковско-финансовой сфере
Мусихина ДА.,
студентка магистратуры НИУ «ВШЭ»,
специалист группы консалтинга и аудита информационной безопасности департамента проектирования и консалтинга Группы компаний «Эшелон», Москва, Россия d.musikhina@npo-echelon.ru
Аннотация. В статье представлены проблемы определения актуальных угроз безопасности персональных данных, обрабатываемых в информационных подсистемах персональных данных, входящих в состав банковских систем. Также рассмотрены проблемы выбора необходимых средств защиты информации для создания адекватной системы защиты персональных данных, отвечающей всем требованиям законодательства. В результате предлагаются рекомендации к использованию алгоритмов определения актуальных угроз безопасности информации в информационных системах персональных данных.
Ключевые слова: информационная безопасность; персональные данные; модель нарушителя.
THE PROBLEM OF DETERMINING THE RELEVANT THREATS TO THE SECURITY OF PERSONAL DATA IN THE BANKING AND FINANCIAL SECTOR
Musikhina D.A.,
graduate student, national research UNIVERSITY "HSE",
specialist group of consulting and audit of information security of the Department of designing and consulting Group of companies "Echelon" Moscow, Russia d.musikhina@npo-echelon.ru
Abstract. The article presents the problem of determining the relevant threats to the security of personal data processed in information systems of personal data, included in the banking systems. Also the problems of choice of the necessary means of information protection for the establishment of an adequate personal data protection system that meets all the requirements of the legislation. The result provides guidance to the use of algorithms to define the most important threats to the security of information in information systems of personal data.
Keywords: information security; personal data; model of the intruder.
Научный руководитель: Марков А. С., доктор технических наук, профессор МГТУ им. Н. Э. Баумана.
введение
В 2015 г. Федеральная служба по техническому и экспортному контролю (ФСТЭК) России опубликовала проект документа - «Методика определения угроз безопасности информации в информационных системах». Он должен был заменить «Методику определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 14.02.2008. В итоге обновленная Методика так и не вступила в силу. В 2017 г. регулятор обещает представить еще один проект. Тем не менее нам, как компании, осуществляющей услуги по разработке систем защиты персональных данных, хотелось бы придерживаться во всех проектах унифицированного алгоритма определения актуальных угроз безопасности персональных данных, соответствующего развитости информационных технологий сегодняшнего дня [1-5]. В данной статье рассмотрены наглядные графические модели алгоритмов определения актуальных угроз безопасности персональных данных обеих методик, отмечены их недостатки, а также представлены собственные видения компании по актуализации данных алгоритмов.
общая структура
методического
документа
Процесс определения угроз безопасности информации проекта Методики, в отличие от действующего руководящего документа, делится на четыре этапа (рис. 1):
1. Область применения процесса определения угроз безопасности информации.
2. Идентификация угроз безопасности информации и их источников.
3. Определение актуальных угроз безопасности информации.
4. Мониторинг и переоценка угроз безопасности информации.
Добавлены первый и четвертый этапы, регламентирующие действия, которые необходимо проводить до и после самого процесса определения актуальных угроз безопасности информации. Таким образом, ФСТЭК России устанавливает для него непрерывный жизненный цикл.
В процесс определения области применения входит выявление физических и логических границ ИС, в которых принимаются и контролируются меры защиты информации ответственным
Рис. 1. Процесс определения УБи согласно проекту Методики
Определение актуальных угроз безопасности персональных данных при их обработке в ИСПДн
о
Рис. 2. Этапы процесса определения УБИ согласно действующей Методике
Рис. 3. Этапы процесса определения УБИ согласно проекту Методики
оператором, а также определяются объекты защиты и сегменты информационной системы.
Мониторинг и переоценка угроз безопасности информации представляют собой пересмотр логических и физических границ ИС, ее базовых конфигураций и структурно-функциональных характеристик, которые могли быть изменены в результате переопределения целей и задач ИС, и повторную оценку актуальных угроз безопасности информации с последующим анализом этих изменений. Пересмотр модели угроз рекомендовано проводить не реже одного раза в год.
К проекту Методики добавлены три приложения:
1. Приложение № 1 «Рекомендации по формированию экспертной группы и проведению экспертной оценки при определении угроз безопасности информации».
2. Приложение № 2 «Структура модели угроз безопасности информации».
3. Приложение № 3 «Определение потенциала нарушителя, необходимого для реализации угрозы безопасности информации в информационной системе».
41
Стоит отметить, что темы приложений, не раскрытые в действующем методическом документе, являются актуальными и вносят конкретику, например, в части формирования структуры документа «Частная модель угроз безопасности информации», получаемого на выходе процесса определения угроз безопасности информации в ИС.
На рис. 2 и 3 показаны этапы процессов, построенные в виде дерева узлов, для каждой из методик. Сравнив данные модели, можно сделать вывод, что в проект Методики добавлены этапы подготовительно-организационного характера, такие как: исследование и выделение области, в которой будут идентифицироваться угрозы, проведение самой идентификации угроз и составление модели нарушителя. Далее добавлен процесс переоценки и пересмотра модели угроз, период которого определен в самой Методике - не реже раза в год, и сокращен по сравнению с тем, что указан в Федеральном законе № 152-ФЗ «О персональных данных» -не реже трех лет.
Вывод
В данной работе был проведен сравнительный анализ документа «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» и его проекта, готовящегося на замену и представленного на рассмотрение и внесение предложений.
В результате были выделены следующие положительные нововведения:
• определена структура документа «Модель угроз безопасности информации» и приведены рекомендации к ее содержанию;
• внесены дополнительные итерации в процесс идентификации угроз, такие как очерчивание области применения процесса определения угроз безопасности информации, а также их мониторинг и переоценка;
• подробно описаны модели нарушителя, что необходимо для создания полной картины об источниках угроз, возможных действиях нарушителя, способах и методах реализации угроз, а также последствиях от их реализации;
• установлена взаимосвязь с банком данных угроз ФСТЭК России.
Однако есть весомый недостаток в самом процессе определения угроз безопасности информации - для современных информационных систем показатель уровня проектной защищенности в любом случае получается «высокий», что приводит к актуальности большей части угроз безопасности информации, присущих ИС, и сказывается на построении систем защиты. Такая ситуация затрудняет использование методического документа на практике в случае его утверждения в данной редакции. Поэтому ФСТЭК России, учитывая все замечания к проекту Методики, обещала пересмотреть данную версию и выпустить в начале 2017 г. переработанный документ.
Список источников
1. Кубарев А. В. Подход к формализации уязвимостей информационных систем на основе их классификационных признаков // Вопросы кибербезопасности. 2013. № 2. С. 29-33.
2. Оладько В.С. Модель выбора рационального состава средств защиты в системе электронной коммерции // Вопросы кибербезопасности. 2016. № 1 (14). С. 17-23.
3. Булдакова Т. И., Кривошеева Д.А. Угрозы безопасности в системах дистанционного мониторинга // Вопросы кибербезопасности. 2015. № 5 (13). С. 45-50.
4. Макеев С.А. Проблемы нейтрализации негативных информационных воздействий на бизнес-процесс кредитной организации // Вопросы кибербезопасности. 2015. № 5 (13). С. 51-54.
5. Марков А. С., Никулин М. Ю., Цирлов В.Л. Сертификация средств защиты персональных данных: революция или эволюция // Защита информации. Инсайд. 2008. № 5 (23). С. 20-25.
