Актуальность угроз для МУ ГИС - позиция ФСТЭК

По рассказам коллег одно из территориальных Управлений ФСТЭК в рамках высказывания своих пожеланий отказывается согласовывать модель угроз для ГИС, если в ней признана неактуальной хотя бы одна из угроз.

Мотивация: на этапе моделирования угроз вы не должны ничего (реализованные меры, например) учитывать и считать все угрозы актуальными. Соответственно, все меры надо закладывать в техпроект.

На официальные запросы обычно следует ответ в духе: “мы не располагаем достаточной информацией о технических особенностях вашей инфраструктуры для предметного комментария”.

При простом выполнении этого пожелания все модели угроз получаются одинаковыми: все угрозы актуальны. Приходилось ли сталкиваться с таким? Что предпринимаете?

они рекомендуют рассматривать ГИС как “стоящую в чистом поле”, без СЗИ и уже принятых мер):
угрозы из БДУ + угрозы по базовой модели угроз + ПП1119 + ПП211 + 17 приказ + то, чего мы боимся ( потоп, пожар, наводнение, массовые беспорядки)

поэтому модель делается со всеми УБИ, неактуальными объявляем только угрозы, где недостаточно потенциала нарушителя, не используется технология или нет интереса нарушителя.

и только в ТЗ упоминаем, что приняты такие-то меры или используются такие-то СЗИ.

1 Симпатия

После общения с некоторыми представителями ФСТЭК России именно так и моделируем угрозы, отбрасывая лишь те, что не могут быть реализованы из-за неиспользуемых технологий (грид-системы, суперкомпьютеры и т.д.) и те, для которых недостаточен потенциал нарушителя.
По сути да, МУ строятся для “голых” ИС и одинаковые для типовых систем.

1 Симпатия

При оценке актуальности угроз мы должны руководствоваться нормативными документами ФСТЭК России. Для ГИС ФСТЭК рекомендует использовать Методику определения актуальных угроз безопасности персональных данных при их обработке в ИСПДн, смотрим как осуществляется оценка вероятности реализации угрозы:
маловероятно – отсутствуют объективные предпосылки для осуществления угрозы (например, угроза хищения носителей информации лицами, не имеющими легального доступа в помещение, где последние хранятся);
низкая вероятность – объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (например, использованы соответствующие средства защиты информации);
средняя вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны;
высокая вероятность - объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности ПДн не приняты.

т.е. “рекомендации” противоречат нормативному документу.

Понятно, что с точки зрения порядка создания ГИС определение УБИ осуществляется до создания системы защиты, но в организации могут быть реализованы меры защиты в рамках общих политик безопасности информации (например, обязательное использование средств антивирусной защиты), система создаётся не в “чистом поле”, а на базе имеющейся инфраструктуры, с межсетевыми экранами, криптошлюзами, компоненты системы размещаются в выделенных помещениях и проч.

Кроме того, в тексте согласования МУ+ТЗ указывается, что они по структуре соответствуют требованиям нормативных и методических документов ФСТЭК России, про то что угрозы определены верно нет ни слова.

В случае особой упёртости территориального управления можно попробовать решить вопрос через ЦА.

Согласна с вами, что при подходе рассмотрения ИС без уже принятых мер ЗИ есть противоречие с методикой.
Но есть и, как мне кажется, плюс. При рассмотрении “голой” ИС при сопоставлении УБИ и мер ЗИ на этапе разработки уточненного адаптированного базового набора мер ЗИ у нас нет “повисших в воздухе мер защиты”.
Например: В организации есть антивирус => угрозы, которые им закрываются, становятся неактуальными в МУ с учетом принятых мер (установленного антивируса) => следовательно меры АВЗ.1, АВЗ.2 не участвуют в сопоставлении актуальных УБИ и мер ЗИ на этапе уточнения мер в ТЗ. И эти меры просто болтаются в нашем ТЗ, как базовые и уже принятые.
Ничего страшного в этом, конечно, нет. Но, когда есть актуальная угроза и сопоставленная ей мера, которая ее нейтрализует/снижает вероятность ее возникновения, это, мне кажется, более аргументированным и систематизированным в построении системы ЗИ.)

У меня складывается впечатление, что ФСТЭК взял такую позицию, чтоб не отвечать за последствия. С такой позицией вникать в МУ особо не нужно. Все модели будут примерно похожи. Особенно смущают ответы представителей ФСТЭК, что почти все угрозы можно нивелировать орг.мерами. Мне казалось, что согласование МУ и (или) ТЗ для ГИС возложили на регуляторов для помощи и ликбеза заказчикам и лицензиатам. А результат совсем иной. Кроме как отпиской пока согласование МУ назвать не могу…