Обзор изменений в законодательстве за март 2015

Дата: 01.04.2015
Автор: Юлия Добровольская, старший аналитик

Банк данных угроз безопасности информации

В соответствии с информационным сообщением ФСТЭК России 11 марта был открыт доступ к информационному ресурсу www.bdu.fstec.ru, содержащему банк данных угроз безопасности информации.

Банк данных включает в себя базу данных уязвимостей ПО, а также перечень и описание угроз безопасности информации, наиболее характерных для государственных информационных систем, ИСПДн и АСУ ТП. Сейчас в базе 162 угрозы и 10299 уязвимостей, однако их количество будет увеличиваться, так как база продолжает пополняться. Принять участие в ее расширении может любой желающий, сообщив о новой уязвимости или угрозе через специальную форму.

База данных уязвимостей ПО включает:

  • краткую характеристику уязвимости;
  • название, версию и вендора ПО;
  • класс уязвимости (уязвимость кода, уязвимость архитектуры, уязвимость многофакторная);
  • наименование ОС и тип аппаратной платформы;
  • базовый вектор CVSS;
  • уровень опасности уязвимости;
  • возможные меры по устранению;
  • статус уязвимости (подтверждена в ходе исследований, подтверждена производителем, потенциальная уязвимость);
  • наличие эксплойта;
  • описание и тип ошибки CWE.

Среди различных типов ПО в отдельную группу выделено ПО АСУ ТП, для которого на данный момент в базе имеется 20 уязвимостей.

Описание угроз в базе содержит следующую информацию:

  • краткое описание угрозы, включая условия ее реализации с точки зрения возможностей нарушителей и наличия уязвимостей в системах и технологиях;
  • объект воздействия;
  • источник угрозы (внутренний или внешний нарушитель) с указанием уровня потенциала (высокий, средний, низкий), упоминание о котором было ранее в приказах ФСТЭК России №17 и №21;
  • последствия реализации угрозы (нарушение конфиденциальности, целостности, доступности).

Среди всех угроз безопасности можно выделить специфические угрозы, определенные для конкретного типа систем или технологии. Так, например, банк данных содержит угрозы для:

  • грид-систем;
  • облачных технологий;
  • технологии виртуализации;
  • суперкомпьютера;
  • беспроводных сетей;
  • BIOS.

Отдельных групп угроз для ГИС, ИСПДн и АСУ ТП в банке данных не выделено, что, безусловно, вызывает вопросы в части согласованности данного перечня с другими нормативными документами, например, Базовой моделью угроз безопасности ПДн. Однако по информации, полученной от представителей ФСТЭК России, представленную базу данных следует использовать только в качестве дополнительного источника информации.

Среди перечня объектов воздействия, рассматриваемых при описании угроз, встречаются некоторые расхождения и несоответствия в терминологии. Кроме того, присутствует сомнение и в полноте списка объектов воздействия. Например, защищаемая информация, как объект воздействия, встречается в базе дважды, что не может не показаться странным.

Несмотря на ряд недостатков, нельзя не отметить удобство созданного ресурса, предусматривающего, помимо прочего, инструменты фильтрации по всем основным параметрам описания угроз и уязвимостей, а также полезные разделы, содержащие основные термины со ссылками на нормативные документы и даже калькулятор CVSS.

Защита информации по ГОСТ Р 51583-2014

C сентября прошлого года на смену одному из основополагающих стандартов в области защиты информации, ГОСТ 51583-2000, был введен в действие новый стандарт ГОСТ 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения».

Концептуального различия между данными документами нет, за исключением появления одного нового раздела, регламентирующего защиту информации о создаваемой автоматизированной системе в защищенном исполнении (АСЗИ). Сравнение структуры документов приведено ниже.

Регуляторы отчитались о работе

Роскомнадзор (РКН) и ФСТЭК России опубликовали отчеты о своей деятельности за 2014 год.

Доклад РКН об осуществлении государственного контроля (надзора) содержит, в том числе, данные по деятельности, связанной с осуществлением контроля и надзора в сфере ПДн:

  • количество плановых и внеплановых проверок, проведенных РКН в 2014 году составило 743 и 184 соответственно;
  • количество предписаний, выданных по результатам проверок: 684.
  • количество принятых обращений со стороны субъектов ПДн и юридических лиц: 20132. Интересно, что лишь в 10% от общего числа обращений граждан, содержащих жалобы, приведенные доводы были признаны действительными.

К наиболее популярным нарушениям требований по обработке ПДн, выявленным в ходе проверок, относятся:

  • непринятие мер или несоблюдение условий, обеспечивающих сохранность ПДн и исключающих несанкционированный к ним доступ;
  • обработка ПДн без согласия субъекта (либо содержание согласия не соответствует требованиям);
  • нарушение требований конфиденциальности при обработке ПДн;
  • обработка ПДн по достижении цели обработки;
  • неуведомление РКН об осуществлении обработки ПДн.

Из доклада ФСТЭК России можно узнать такие интересные показатели, как:

  • среднюю стоимость проверки, проводимой регулятором, она равна 63,08 тысяч рублей;
  • среднее время участия одного работника в проверках — 50,24 дней
    и другие.

Всего за 2014 год сотрудниками ФСТЭК России проведено 144 проверки, а общая сумма наложенных штрафов составила 2802 тыс. руб.

Взгляд NIST на безопасность мобильных приложений

В начале этого года NIST опубликовал новый документ в области безопасности мобильных приложений — NIST Special Publication 800-163. Vetting the Security of Mobile Applications.

Данный документ призван разъяснить процесс проверки безопасности мобильных приложений и предложить порядок его проведения, обобщив существующие требования к безопасности таких приложений. Кроме того, данные рекомендации содержат описание различных типов уязвимостей мобильных приложений для Android и iOS и методов тестирования, используемых для их выявления.

ISACA расследует инциденты ИБ

ISACA разработала новый документ по цифровой криминалистике Overview of Digital Forensics, описывающий процесс проведения экспертизы в рамках расследования инцидентов ИБ. В данном случае понятие цифровой криминалистики обобщает такие виды исследований, как компьютерная и сетевая криминалистика, а также экспертиза мобильных устройств.

В рамках документа проблема компьютерных преступлений рассматривается с двух сторон: в случае, если компьютер является непосредственной целью злоумышленника, либо когда компьютер используется в качестве основного средства при реализации преступлений. Документ содержит краткую информацию по истории развития данного направления начиная с 1970 года, а также включает вопросы законодательства в этой сфере.

Рекомендации по реализации процесса расследования приводятся авторами на 3 основных этапах, включая сбор данных, их анализ и оформление результатов. При этом отмечается, что в процессе расследования должны использоваться научные методы, доказывающие или опровергающие сформулированные гипотезы.