Журнал "Information Security/ Информационная безопасность" #3, 2024

Методика для модели угроз Разумеется, федеральный закон не должен регламентировать моделирова- ние угроз. Но он содержит четкие тре- бования о том, что регулирующему орга- ну необходимо определять актуальные угрозы и согласовывать их с ЦБ и ФСТЭК России. Как будет осуществ- ляться межведомственное взаимодей- ствие, будет понятно из практики, но эта задачка не из простых. Если смотреть формально, то актуаль- ной является методика ФСТЭК России от 05.02.2021 г. Она достаточно сложна и учитывает множество вариантов атак. Применяется эта методика для значимых объектов КИИ и ПДн и может быть суще- ственно упрощена для узкого класса решений, взаимодействующих с ЕБС. В то же время ГОСТ 57580.1 содержит базовую модель угроз персональным данным. Именно этому ГОСТу надо один раз в два года подтверждать соответ- ствие (согласно приказу Минцифры № 453). Приказ является развитием 321-го приказа, обновление выпущено как раз после вступления в силу боль- шинства пунктов 572-ФЗ. Если многочисленные уполномочен- ные регуляторы смогут договориться, будет прорыв не только в межведом- ственном взаимодействии, но и в априор- ном моделировании угроз, ведь приме- няемые технологии известны, поэтому применяющим ЕБС организациям оста- нется только эффективно реализовывать меры защиты. Какими встроенными и наложенными средствами закрываются угрозы Закрытие угроз не является типовой задачей с универсальным решением, несмотря на схожесть реализации сег- ментов ЕБС. В самой системе присут- ствуют такие функции безопасности, как разграничение доступа, шифрование данных в базе и при передаче по сети. Применяемые отказоустойчивые реше- ния можно отнести ко встроенным сред- ствам безопасности. На безопасность системы в целом будет влиять не только безопасность государственной системы, но и защи- щенность комплексов участников ЕБС, например банков. Под средствами защи- ты обычно подразумевают технические, однако ввиду чувствительности данных, хранящихся в ЕБС, необходимо реали- зовать меры защиты, направленные на минимизацию "человеческого фактора", прежде всего контроль действий, опре- деление юридической ответственности. Если вновь обратиться к ГОСТ 57580, то мы увидим, что организационные меры, особенно планирование, контроль и совершенствование, занимают суще- ственный объем стандарта. Самое важ- ное – понимание того, что выстроенная система информационной безопасности не может существовать продолжитель- ное время без потери эффективности, именно поэтому она должна постоянно оцениваться и улучшаться. С технической точки зрения ГОСТ 57580 выделяет восемь процессов без- опасности, каждый из которых подразу- мевает одно или несколько технических решений для защиты от актуальных угроз. Набор таких решений перекрывает требования приказов ФСТЭК России по защите персональных данных, в том числе по биометрии. ГОСТ 57580 диктует необходимость обеспечивать безопасность при разра- ботке программного обеспечения. Было бы хорошо увидеть такую отсылку в законе, но ее, увы, нет. Между тем бреши в безопасности прикладного и системного ПО, например при некор- ректном разграничении доступа, не могут быть эффективно закрыты наложенными средствами. Применение требований по оценке соответствия (ОУД4 в том числе) было бы весьма логичным. Возможно, законодатели готовят что-то аналогич- ное. Коммерческие биометрические системы На практике можно часто услышать словосочетание "коммерческая биомет- рическая система" (КБС). КБС – не законодательный термин, а результат естественного желания рынка удовле- творить потребность в использовании биометрии без лишних расходов. Юри- дически под КБС можно понимать аккредитованную для работы с ЕБС организацию, которая может дать свое условное мобильное приложение и выдать да/нет по результатам аутенти- фикации пользователя. Воспользовать- ся этим результатом может третья орга- низация, которая хочет использовать вход по биометрии, но доступа к био- метрическим данным она таким обра- зом не получит. Заключение Закон 572-ФЗ не дает подробностей технической реализации ЕБС и защиты данных в ней, однако достаточно четко определяет, куда можно обращаться с вопросами. Из того, что явно нуждается в поясне- ниях и доработке, отметим область дей- ствия закона (непонятно, как быть с миг- рационным учетом) и отсутствие требо- ваний к безопасной разработке (воз- можно, появится позднее усилиями регу- ляторов). Что же касается нормативной базы применения биометрии, то после выхода данного закона она лишилась большин- ства противоречий, что не может не радовать. В ближайшем будущем стоит ожидать от регуляторов результат их совместных усилий по определению угроз. l • 67 УПРАВЛЕНИЕ www.itsec.ru Процессы и классы решений Фото: Гротек Процесс Классы решений Обеспечение защиты информации при управлении доступом Системы контроля и управления доступом, видеонаблюдение, управление привилегированными учетными записями (СКУД, PAM) Обеспечение защиты вычислительных сетей Маршрутизаторы и управляемые коммутаторы, межсетевые экраны (NGFW) Контроль целостности и защищенности информационной инфраструктуры Средства доверенной загрузки, сканеры уязвимостей, средства контроля установленного ПО Защита от вредоносного кода Антивирусные средства Предотвращение утечек информации Средства предотвращения утечек (DLP) Управление инцидентами защиты информации Средства работы с событиями (SIEM, SOAR, XDR) Защита среды виртуализации Антивирусные средства, средства виртуализации Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств Средства управления мобильными устройствами (MDM) Ваше мнение и вопросы присылайте по адресу is@groteck.ru