Анализ модели угроз ПДн Банка России

Банк России опубликовал долгожданный проект отраслевой модели угроз безопасности персональным данных. За прошедший с небольшим месяц это уже третий документ в области моделирования угроз ПДн. Сначала появился проект методики моделирования угроз ФСТЭК, затем методика ФСБ и вот уже готовая модель от Банка России.

История этого документа достаточно стара. Его впервые подготовили в 2013-м году, но его согласование застряло в ФСБ России. Потом Крым присоединился к России и ЦБ было уже не до принятия модели угроз - были более важные дела и документы (по этой же причине и FinCERT появился на год позже запланированного). Затем начались геополитические игрища и ЦБ решил пересмотреть свой подход к моделированию угроз ПДн. Если раньше в модели был прописан тезис о неактуальности угроз 1-го и 2-го типа (т.е. недокументированные возможности в системном и прикладном ПО), а в текущей редакции СТО БР ИББС 1.0 эта мысль звучит до сих пор, то в нынешней модели угроз от этого подхода отказались, отдав его на откуп каждому банку, который сам и должен принять решение - опасаться ли закладок в операционных системах, СУБД, банковских приложениях или нет.

В модели зафиксировано всего 10 актуальных угроз ПДн:

1. НСД лицами, обладающими полномочиями
2. НСД лицами, необладающими полномочиями, но использующими уязвимости
• в организации системы защиты
• в ПО ИСПДн
• в обеспечении защиты сетевого взаимодействия и каналов передачи данных
• в обеспечении защиты вычислительных сетей ИСПДн
• вызванных несоблюдением требований по эксплуатации СКЗИ
3. Воздействие внешнего по отношению к ИСПДн вредоносного кода
4. Социальный инжиниринг
5. НСД к отчуждаемым носителям
6. Утрата носителей ПДн, включая переносные компьютеры.

Текущий вариант документа сильно изменился по сравнению с проектом 2013-го года. И дело не только в количестве страниц - 4 против 22. В прошлой версии модели очень большое внимание уделялось систематизации типов внешних и внутренних нарушителей, а также способов реализации угроз. К тому же в прошлой редакции вводилось такое понятие как "степень актуальности угрозы" (их было три - высокая, средняя и низкая), что малость вводило в ступор, так как если угроза актуальная, то с ней надо в любом случае бороться и совсем неважно, какой уровень этой актуальности. В нынешнем варианте от этого, к счастью, ушли.

Отличия между проектами моделей угроз ПДн 2013-го и 2015-го годов

Наконец, в прошлом варианте говорилось даже не о перечне актуальных угроз, а скорее о комбинации 4-х элементов - источнике угрозы, категории нарушителя, способе реализации угрозы и оценке актуальности. То, что в текущем проекте называется угрозой, в прежней версии называлось способом реализации угроз. И тогда их было 21, а не 10, как сейчас. Поэтому на выходе комбинированный из 4-х элементов перечень содержал еще больше пунктов - 47.

Фрагмент проекта модели угроз ПДн 2013-го года

Если уж я начал сравнивать, то нельзя не упомянуть и модель угроз из уже отмененной РС 2.4. В ней структура также отличалась и от модели 2013-го года, и от модели 2015-го года. По сути угроз в этой модели было всего 3 - угрозы нарушения классической триады - конфиденциальности, целостности и доступности. Но скомбинированные с типом объекта среды, в которой угрозы реализовывалась, уровнем ИСПДн и источником угрозы, на выходе модель содержала уже 88 пунктов.

Фрагмент модели угроз ПДн из РС 2.4

В целом можно отметить, что текущая модель стала гораздо проще и понятнее. Перечень из 10 угроз, с которыми и надо бороться, опираясь на 382-П, если речь идет ПДн в рамках денежных переводов, и на 21-й приказ ФСТЭК и 378-й приказ ФСБ, если речь идет обо всех остальных случаях. При этом не требуется создавать своих моделей угроз по методикам ФСТЭК или ФСБ - по сути, Банк России это уже сделал за банки. Пожалуй, можно только расширить этот перечень актуальных угроз чем-то своим, что не попало в Указание ЦБ.

Документ согласован с ФСБ и ФСТЭК и, с вероятностью близкой к 100%, изменяться уже не будет. Так что на него можно ориентироваться уже сейчас, не дожидаясь его официального принятия и опубликования в "Вестнике Банка России".