Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

ФСТЭК предложила методику определения угроз

Федеральная служба по техническому и экспортному контролю (ФСТЭК) опубликовала на своём сайте проект документа «Методика определения угроз безопасности информации в ИС». Проект вынесен на всеобщее обсуждение, которое продлится до 10 июня – любой желающий сможет внести предложения по совершенствованию методики.

Как говорится в документе, он «устанавливает единый методический подход к определению угроз безопасности информации и разработке моделей угроз безопасности информации в государственных информационных системах (далее – информационные системы), защита информации в которых обеспечивается в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17». Впрочем, далее уточняется, что методика может быть использована для проверки не только ГИС, но и информационных систем, в которых обрабатываются персональные данные, и других ИС, в которых данные не составляют государственной тайны. Если же в модели угроз числится возможность утечки по техническим каналам, рекомендуется прибегать к помощи дополнительных документов.

Документ предусматривает, что им будут пользоваться:

  • «органы государственной власти, органы местного самоуправления и организации, являющиеся в соответствии с законодательством Российской Федерации обладателями информации, заказчиками и (или) операторами информационных систем;
  • организации, осуществляющие в соответствии с законодательством Российской Федерации работы по созданию (проектированию) информационных систем;
  • организации, осуществляющие в соответствии с законодательством Российской Федерации работы по защите информации в ходе создания (проектирования) и эксплуатации информационных систем;
  • организации, осуществляющие в соответствии с законодательством Российской Федерации работы по аттестации (оценке соответствия) информационных систем требованиям к защите информации».

Таким образом, методика является «общим знаменателем» для всех участников рынка информационной безопасности, которые занимаются защитой государственных систем, ИСПДн и др. Именно поэтому всем заинтересованным сторонам важно добиться консенсуса при обсуждении данного документа.

Унификацию в подходах к построению сертифицированных средств защиты отмечает Алексей Оськин, руководитель отдела технического и маркетингового сопровождения ESET Russia: «Целью документа является разработка единой методологии определения угроз ИБ, используемой при построении сертифицированных систем защиты персональных данных. Коммерческим организациям, которые работают с персональными данными пользователей, также будет полезно применять данный документ при сертификации средств защиты. Принятие методики не сильно повлияет на рынок услуг в области ИБ. Она лишь облегчит работу специалистов, разрабатывающих системы защиты информации для сторонних организаций, и сотрудников, проводящих аттестацию таких систем. В свою очередь, заказчики смогут участвовать в экспертных группах по определению угроз ИБ, что позволит им лучше понимать, какие средства защиты необходимо использовать и почему. Наконец, удастся избегать проблем при проверках ИБ-систем, поскольку эти проверки будут проходить по той же единой методике».

Андрей Прозоров, эксперт сообщества BISA, так прокомментировал документ в своём блоге: «Я обратил внимание, что с каждым годом коллеги из ФСТЭК России выпускают все более качественные документы. И это радует! На первый взгляд, документ весьма неплох: у него – хорошая структура, отсутствуют откровенные "ляпы", неплохо проработаны общие моменты и процедура оценки. Данный документ является верхнеуровневым, поэтому вы не найдете в нем конкретных рекомендаций, как и примеров составления списков угроз и оценки их актуальности. Но это – скорее, плюс».

Примерно в том же духе прокомментировал документ в своем блоге и Алексей Лукацкий, бизнес-консультант Cisco по информационной безопасности: «Методика мне в целом понравилась. Получился добротный документ, который позволяет, сделав указанные шаги, получить на выходе список актуальных угроз».

Правда, Марк Беленький, директор ClickSoftware по продажам и развитию бизнеса в России, отметил: «Мы, как компания, обращающаяся за сертификацией к одной из лицензированных тестовых лабораторий, не ожидаем каких-либо серьезных изменений кроме увеличения срока сертификации на первых порах, когда новые методики ещё только будут внедряться».

Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.