Анализ новых уязвимостей программных средств защиты из банка данных угроз ФСТЕК России

В современном мире для полноценного функционирования информационной системы (далее – ИС), необходимо пройти аттестацию на соответствие требованиям безопасности информации.

В соответствии с приказом ФСТЭК России от 29 апреля 2021 г. № 77 «Об утверждении порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну», необходимо разработать:

• технический паспорт на объект информатизации;
• акт классификации ИС;
• модель угроз безопасности информации;
• техническое задание на создание системы защиты информации;
• проектную документацию на систему защиты информации;
• эксплуатационную документацию на систему защиты информации;
• организационно-распорядительные документы по защите информации;
• документы, содержащие результаты анализа уязвимостей в ИС.

В данной научной работе разберем такие пункты как разработка модели угроз безопасности информации и техническое задание на создание системы защиты информации (далее – модель угроз и техническое задание). Как мы знаем, модель угроз и техническое задание разрабатываются на этапе создания ИС и согласуется с федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в соответствии с пунктом 3 постановления Правительства Российской Федерации от 6 июля 2015 г. № 676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем, и дальнейшего хранения содержащейся в их базах данных информации».

Для разработки данных документов используются следующие нормативные правовые акты, методические документы и ГОСТы:

• приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
• Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• методический документ ФСТЭК России «Методика оценки угроз безопасности информации» 5 февраля 2021 г.;
• ГОСТ 34.602-2020 «Информационные технологии. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы;
• ГОСТ Р 51624-2000 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования»;
• ГОСТ Р 51583-2000 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения»;
• ГОСТ 34.601-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания».

В рамках модели угроз безопасности информации определяются актуальные угрозы безопасности информации. Для того чтобы определить актуальность угроз безопасности информации для ИС, необходимо определить класс защищенности ИС, актуальных нарушителей, объекты воздействия на ИС и т.д. Более подробно можно ознакомится в выше указанных документах.

Хотелось бы отметить, что от класса защищенности, актуальных нарушителей и объектов воздействия на ИС зависит количество актуальных угроз безопасности информации, а также мы не должны забывать, что, если ИС функционирует на базе информационно-телекоммуникационной инфраструктуры центра обработки данных (далее – ЦОД), должны учитываться угрозы безопасности информации, актуальные для ЦОД. Как мы знаем, количество угроз безопасности информации в банке данных угроз ФСТЭК России на данный момент 222 угрозы безопасности информации. От правильного определения и классификации системы, зависит количество угроз безопасности информации.

В методике оценки угроз безопасности информации отмечается 4 вида нарушителей:

• нарушители с базовыми возможностями (Н1);
• нарушители с базовыми повышенными возможностями (Н2);
• нарушители со средними возможностями (Н3);
• нарушители с высокими возможностями (Н4).

Так же актуальность угроз безопасности информации определяется наличием сценарием их реализации. Сценарии устанавливаются при последовательности тактик и соответствующих им техник. Хотелось бы отметить, что при наличии хотя бы одного сценария угрозы безопасности информации, то такая угрозы безопасности информации признается актуальной для ИС.

В рамках аттестации и согласования со ФСТЭК России, так же необходимо на этапе создания системы разработать техническое задание для ИС.

Техническое задание также разрабатывается на основании класса защищенности ИС, кроме этого, исходными данными будет являться модель угроз.

Исходя из класса защищенности определяется базовый набор мер, после формирования и адаптации которого, учитываются структурно-функциональные характеристики ИС и на основании этого, исключаются некоторые меры.

Кроме базового набора мер в техническом задании необходимо предъявить требования к средствам защиты информации, программному обеспечению, определить объекты защиты в ИС, требования к мерам и средствам защиты информации, функции заказчика и оператора по обеспечению защиты информации в ИС, требования при информационном взаимодействии с иными ИС и т.д.

В результате разработки модели угроз и технического задания получаем перечень угроз безопасности информации и систему защиты, которые необходимо согласовать с регуляторами (ФСТЭК России и ФСБ России). После согласования данных документов и разработки всей необходимой документации указанной в приказе ФСТЭК России от 29 апреля 2021 г. № 77 «Об утверждении порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну», можно приступать к аттестационным мероприятиям.

Хотелось бы отметить, что банк данных угроз ФСТЭК России ориентирован на анализ уязвимостей и угроз безопасности информации. Дальнейшее развитие разработанной технологии направлено на создание модулей, обрабатывающих нормативно-методические документы и стандарты по обеспечению защиты информации информационной инфраструктуры, что позволит существенно расширить «зону выявления угроз», в частности, за счёт учета подходов организационного характера.

В заключении хотелось бы добавить, что модель угроз и техническое задание – это неотъемлемая часть для аттестации объекта информатизации. Без согласования и утверждения этих документов аттестация невозможна.