КАСЛ ЦЛС «Прогресс» — Телеграм КАСЛ ЦЛС «Прогресс» — WhatsApp
Бесплатно по всей России
8 800 707-81-25
Телефон в Москве
+7 (499) 112-44-47
Телефон в Санкт-Петербурге
+7 (812) 241-17-61
Электронная почта
info@licensefsb.ru
ВК
WhatsApp
Telegram

Основные правила создания моделей угроз: указания ФСТЭК

модель угроз ФСТЭК

Выступление представителей ФСБ И ФСТЭК на 8 международной конференции по защите персональных данных касалось в основном проблем определения актуальных угроз для БД и создания моделей для эффективной защиты. Регуляторы обобщили опыт последний проверок и акцентировали внимание слушателей на следующих моментах:

1. В подавляющем большинстве проверенных организаций утверждённые модели угроз не соответствовали требованиям ФСТЭК. Основные нарушения:

  • при моделировании не принимались во внимание уязвимости и угрозы из Базы уязвимостей, формируемой ФСТЭК;
  • при создании модели угроз не учитывались уязвимости, связанные с конкретной используемой технологией (например, применяя виртуализацию, необходимо учитывать угрозы, связанные именно с данной технологией);

  • категории нарушителей или, напротив, их исключение из модели никак не обосновано с точки зрения актуальности угрозы;
  • неправильное определение классов средств контроля защищенности ИС;
  • неинформативная описательная часть модели угроз (к примеру, отсутствует полное описание информационной системы и обоснование актуальности угроз для конкретной ИС).

2. Для органов исполнительной власти, где ведётся обработка персональных данных, необходимо разработать и принять НПА, которые будут чётко регламентировать обработку персональных данных и содержать перечень актуальных угроз для конкретных информационных систем, используемых при данных видах деятельности. В качестве примера и ориентира приведён Приказ Минюста РФ № 208 от 23 октября 2017 года, где достаточно чётко описаны угрозы и разработка защиты ИС. Регуляторы отметили, что угрозы и уязвимости для конкретных видов деятельности могут быть описаны как в виде перечня, так и скомпонованы по типам ИС (в случае использования нетиповых).

3. ФСТЭК требует поддерживать модель угроз в актуальном состоянии, «привязывая» МУ к свежей версии Базы уязвимостей ФСТЭК. Это следует иметь в виду при получении лицензии ФСТЭК на ТЗКИ и создании систем, где будут обрабатываться персональные данные. При каждом обновлении базы угроз информационной безопасности необходимо актуализировать и модель угроз, пересматривая перечень уязвимостей и принимая новый приказ.

Есть вопросы по защите информации при лицензировании ФСТЭК? Мы поможем разобраться. Звоните!

Заказать обратный звонок

Бесплатная консультация по всей России

Работа с лицензиями ФСБ весьма специфична; это сложные процессы, требующие глубоких знаний и опыта, нюансов — множество. Если у вас остались вопросы, проконсультируйтесь с нашими специалистами: это быстро, бесплатно и профессионально!