Модель угроз информационной безопасности

В этой статье мы разберем, что такое модель угроз информационной безопасности и зачем она нужна вашей организации.

Для начала разберем основные термины и их значения.

Угроза безопасности информации — это ситуации, действия, обстоятельства и процессы, которые могут привести к нарушению целостности, конфиденциальности и охраняемых сведений. Угрозы могут исходить от третьих лиц и целых групп, природных явлений, стихийных бедствий и проч. В контексте обеспечения ИБ в организациях угрозы также могут представлять сотрудники, клиенты, подрядчики и контрагенты.

Подробнее об ИБ-угрозах мы рассказали тут.

Модель угроз безопасности информации (далее — МУ) — это термин, применяемый к задокументированному перечню потенциальных источников опасности и нежелательных событий для ИБ каждой конкретной организации.

Соответственно, моделирование ИБ-угроз — это формализованная тактика, которая помогает компаниям выявлять слабости внутри системы, а также ИБ-угрозы, управлять ими и делать менее ощутимыми потенциальные негативные результаты.

Процедуры моделирования угроз могут различаться. Это зависит от сложности архитектуры каждой конкретной ИС. При этом любые организации, которые внедрят данную процедуру и сделают ее рутинной, смогут сузить круг угроз, изучать их и постоянно совершенствовать систему управления безопасностью данных.

Информационная система (далее — ИС) — это совокупность ПО, оборудования и телекоммуникационных сетей, которые применяются для сбора, обработки, эксплуатации и хранения информационных активов.

Далее мы рассмотрим преимущества моделирования ИБ-угроз для организаций.

Зачем нужно моделирование угроз информационной безопасности?

Как уже говорилось выше, регулярное проведение процедуры моделирования угроз позволяет организациям существенно сократить риски информационной безопасности. Помимо этого, можно выделить и другие преимущества. Рассмотрим их подробнее.

Уязвимости ИС будут выявлены до того, как злоумышленники используют их. Процедура моделирования угроз позволяет ИБ-специалистам действовать превентивно, то есть разрабатывать и внедрять соответствующие средства защиты до момента реализации угрозы.

Чем больше уязвимостей системы будет устранено на раннем этапе, тем меньше времени и ресурсов будет потрачено на исправление ошибок, восстановление работоспособности ИС, ее информационных активов и, конечно, тем меньше будет финансовый и репутационный ущерб, который понесет организация.

Подробнее тема раскрыта в нашей статье «Управление инцидентами информационной безопасности».

Экономическая выгода. Моделирование угроз помогает организациям понять, какие угрозы требуют наибольшего внимания и ресурсов, на какие меры безопасности стоит выделить бюджет, а какие меры будут избыточными и тратить средства на них нерационально.

Соответствие требованиям регуляторов. Моделирование угроз помогает компаниям соблюдать требования, описанные в нормативно-правовых актах. Например, GDPR (Общий регламент по защите данных) обязывает организации выявлять риски, возникающие в результате обработки персональных данных, и минимизировать эти риски как можно раньше. Этот процесс должен повторяться не реже одного раза в три года. Невыполнение этого и других требований, описанных в GDPR, может повлечь штраф вплоть до 4% от годового дохода бизнеса.

Помимо GDPR, существуют и другие правовые распоряжения, регулирующие вопросы формирования стратегии безопасности в целом и структурирования МУ в частности.

Регуляторы предписывают разрабатывать модель ИБ-угроз

В правовой базе РФ содержатся требования и различные рекомендации к разработке МУ.

Так, в Федеральном законе №152-ФЗ «О персональных данных», статья 19, пункт 2 предписано определять угрозы безопасности данных граждан.

Приказ ФСТЭК России от 18 февраля 2013 г. №21, статья 1, пункт 4, регламентирующий вопросы защиты персональных данных (далее — ПД) граждан, предписывает внедрять меры по обеспечению информационной безопасности, включая использование различных аппаратных и программных средств для предупреждения и нивелирования угроз, осуществление которых приведет к компрометации охраняемых сведений.

В Приказе ФСТЭК России от 11 февраля 2013 г. №17, статья 1, пункт 14, описаны регламенты защиты информации с анализом рисков

Еще один Приказ Федеральной службы от 14 марта 2014 г. №31, регламентирующий основные критерии защиты данных в автоматизированных системах управления (далее — АСУ) на объектах критической информационной инфраструктуры (далее — КИИ), обязывает организации выявлять и анализировать угрозы ИБ для составления модели актуальных угроз.

Согласно Приказу ФСТЭК России от 25 декабря 2017 г. №239, при обеспечении безопасности объектов КИИ необходимо анализировать потенциальные ИБ-угрозы и, опираясь на агрегированный массив данных, формировать МУ — или актуализировать ее, если она уже есть.

Исходя из сказанного выше, компании и предприятия обязаны разработать и регулярно актуализировать МУ — чтобы отвечать строгим предписаниям регуляторов.

Как составить модель угроз безопасности данных?

В этом материале мы рассмотрим моделирование угроз на примере модели, рекомендованной Федеральной службой по техническому и экспортному контролю.

В Приказе ФСТЭК России от 11 февраля 2013 г. №17 описаны следующие требования к содержанию МУ:

• структура ИС, ее архитектура и свойства;
• перечень актуальных угроз, их подробное описание, возможные пути их реализации, потенциальные последствия;
• потенциальные источники угроз, в том числе нарушители;
• слабые места ИС.

Методические рекомендации и стандарты

Некоторые государственные учреждения уполномочены разрабатывать и утверждать нормативно-правовую документацию, которая регламентирует вопросы обеспечения ИБ организаций, в том числе используемые методы, программные и технические средства и проч. В РФ регуляторами по вопросам информационной безопасности являются: ФСО, ФСТЭК, ФСБ, Роскомнадзор. Определенные полномочия имеет и Минкомсвязь России.

Основные рекомендации по составляю модели угроз дает Методический документ «Методика оценки угроз безопасности информации», утвержденная ФСТЭК России 5 февраля 2021 года. Подход, изложенный в документе, сосредоточен преимущественно на угрозах, вызванных антропогенным фактором.

При этом важно учитывать, для ИС какой организации создается МУ и какие требования предъявляют регуляторы к их системам защиты в общем и моделированию угроз в частности. Так, предписания к охране АСУ ТП на объектах КИИ будут отличаться от требований, предъявляемых к организациям из банковского сектора. Риски и угрозы безопасности данных для этих организаций существенно различаются — как и возможные последствия.

Поэтому, проектируя модель угроз для АСУ ТП, можно не включать Приказы №№ 17 и 21 ФСТЭК, при этом следует добавить Приказ №31.

Для организаций, собирающих и обрабатывающих ПД граждан РФ, ФСТЭК разработал и утвердил документ «Базовая модель угроз безопасности ПД при их обработке в ИС» от 15.02.2008.

Оптимальная модель защиты данных

ФСТЭК рекомендует оформлять МУ документально. Основные рекомендации по оформлению указаны в Приложении 3 к «Методике оценки угроз безопасности информации».

Вступительная часть должна содержать список сокращений, основные определения и понятия.

Важно: согласно Постановлению Правительства РФ от 11 мая 2017 г. №555, МУ государственной информационной системы утверждает уполномоченное представитель государственной власти — и подписывает титульный лист соответственно. В негосударственных структурах МУ утверждает и подписывает владелец ИС.

Общие положения

В данном разделе, как правило, обосновывают проведение процедуры моделирования угроз, указывая тип информации, которая нуждается в защите: ПД граждан, ноу-хау, данные ограниченного доступа и данные, которые не являются конфиденциальными, при этом их изменение или уничтожение могут привести к различным последствиям. Речь идет об остановке производства, порче или уничтожении дорогостоящего оборудования, станков, замедлению бизнес-процессов и проч.

Описание ИС и ее характеристик

Здесь необходимо описать технологическую инфраструктуру компании:

• расположение и название ИС;
• архитектура ИС, ее задачи;
• процессы;
• классы пользователей и их группы;
• тип и класс обрабатываемых данных.

Не стоит описывать ИС слишком подробно. Например, копирование информации из технических паспортов оборудования будет избыточным. При этом, человек, который не работал с ИС ранее, из документа должен понять, как она устроена.

В этот же раздел необходимо добавить пункт «Охрана помещений», в котором будут описаны введенные на предприятии защитные меры: пост охраны, средства ограничения доступа, сигнализация, видеонаблюдение и проч.

Если организация использует средства криптографической защиты данных, их также можно указать. Если нет — данный пункт можно вычеркнуть.

Возможные последствия в случае реализации угроз

В данном разделе описывают возможный ущерб, который понесет владелец ИС в случае реализации угроз.

Объекты, на которые могут воздействовать нарушители

Перечень компонентов ИС, влияние на которые приводит к нежелательным последствиям: эксфильтрации данных, нарушению их сохранности и доступности.

Возможные источники угроз, модель нарушителя

В этом разделе требуется указать возможные слабые места в защите информации — то есть составлена модель нарушителей. Источником ИБ-угроз могут быть природные явления, стихийные бедствия, износ оборудования. При этом основная часть угроз, как правило, вызвана антропогенным фактором, то есть действиями нарушителей.

Нарушитель безопасности информации — это человек, случайные или умышленные действия которого привели к утечке, искажению или уничтожению ценных информационных активов.

Нарушителей разделяют на внешних и внутренних. Каждый тип нарушителей классифицируется по масштабу потенциального вреда, который может быть причинен ИС его действиями — это «базовый», «базовый повышенный», «средний» и «высокий» высокий.

Важно: наиболее опасными по данной классификации являются внутренние нарушители с доступом к чувствительным активам. 

Как правило, потенциальным нарушителям присваивают средний и низкий потенциал.

«Методика» предлагает следующий перечень возможных нарушителей:

• представители иностранных спецслужб;
• террористы, экстремисты;
• киберпреступники, киберкриминальные группировки;
• недобросовестные конкуренты;
• поставщики ПО и технических средств;
• ИТ-специалисты, привлекаемые к настройке и обслуживанию рабочих станций и иного оборудования;
• внутренние пользователи, в том числе наделенные исключительными привилегиями и с высокой степенью доверия со стороны владельца ИС;
• системные администраторы, офицеры безопасности и их отделы;
• сотрудники, трудовые отношения с которыми были разорваны.

Список правонарушителей варьируется с учетом особенностей учреждения и его задач.

В приложении 9 к Методике приведены примеры определения актуальных нарушителей.

Способы реализации угроз

В этом разделе должны быть рассмотрены пути компрометации систем, которые могут создать угрозы ИБ. Также целесообразно перечислить ПО, системы и сервисы, используя которые злоумышленник может внедриться за контур безопасности организации.

В «Методике» приведены следующие способы реализации:

• заражение системы вирусами;
• использование различных уязвимостей ИС;
• использование скрытых информационных каналов для хищения охраняемых данных или создание новых каналов;
• непреднамеренные действия персонала организации, которые стали причиной утечки данных;
• перехват побочного электромагнитного излучения и проч.

Информационная угроза может реализоваться через различные вектора, а также сразу несколькими способами.

Перечень алгоритмов воздействия на безопасность может улучшаться и пополняться в соответствии со спецификой деятельности каждой конкретной организации. Кроме того, организации должны регулярно актуализировать данный перечень по мере возникновения новых неучтенных способов.

Уязвимости информационной системы

При описании МУ необходимо указать и уязвимости информационной системы. При описании уязвимостей системы целесообразно перечислять не уязвимости, а классы уязвимостей.

Список актуальных уязвимостей для каждой конкретной инфраструктуры динамично изменяется — это нормально. Одни уязвимости выявляются и устраняются, другие возникают.

Перечень классов уязвимости не указан в «Методике», однако исчерпывающе описан в ГОСТ Р 56546-2015, Уязвимости информационных систем». Среди прочих можно выделить такие классы:

• по области происхождения: уязвимости кода, конфигурации и проч.;
• по типу недостатков ИС: ошибки в настройке компонентов системы и проч.;
• по месту возникновения и проч.

Как составить список актуальных угроз информационной безопасности?

Данный раздел составляется с учетом уже собранных данных. Здесь, помимо перечня возможных угроз, необходимо расписать вероятные сценарии и возможные последствия от их реализации. Завершается раздел выводами об актуальности описанных угроз. Перечень угроз формируется на основе списка, предложенного ФСТЭК.

Для начала необходимо составить перечень с описанием угроз в виде таблицы, как показано на рисунке.

Указывать угрозы необходимо с идентификатором и описанием. Информация о способах реализации также берется из перечня на официальном сайте федеральной службы.

С полным перечнем ИБ-угроз по ФСТЭК России вы можете ознакомиться тут, в Банке данных угроз безопасности информации (БДУ).

Данные для столбцов о потенциалах внутренних и внешних нарушителей каждая организация определяет самостоятельно, опираясь на пункт «Возможные источники угроз, модель нарушителя» данной статьи.

Информация для столбца «Объекты воздействия» также представлена в БДУ.

На заметку! Некоторые источники рекомендуют вести список неактуальных угроз с обоснованием причины их исключения из списка. Например, можно исключить угрозы, характерные для АСУ ТП, если организация работает в банковском секторе.

В столбец «Нарушаемые свойства» необходимо внести, какие свойства данных нарушает угроза в случае реализации: конфиденциальность, целостность, доступность.

В столбец «Предпосылки» вносят информацию о существующих предпосылках реализации угрозы.

Финальный шаг: на основе собранных материалов составляем список актуальных угроз

Для этого нам потребуется провести анализ исходной защищенности и определить риск осуществления угрозы — то есть уточнить коэффициент Y1 и Y2.

Анализ исходной защищенности

Степень исходной защищенности, или коэффициент исходной защищенности Y1, определяется посредством списка характеристик, предложенных в «Методике». Чтобы получить значение Y1, выберите одно из значений, предложенных ФСТЭК.

Таблицу с указанием показателей исходной защищенности можно найти тут.

В зависимости от выбранных значений определяется уровень защищенности: высокий, средний или низкий.

• Если 70% и более характеристик соответствуют значению «высокий», остальные 30% характеристик соответствуют уровню «средний», уровень исходной защищенности будет высоким, соответственно, коэффициент будет равен 0.
• Если 70% и более характеристик соответствуют значению «высокий», при этом некоторые характеристики соответствуют значению «низкий», уровень исходной защищенности будет средним, соответственно, коэффициент будет равен 5.
• Если менее 70% характеристик имеют значение «высокий», уровень исходной защищенности будет низким, коэффициент будет равен 10.

Вероятность реализации угрозы

Под строчкой «Вероятность реализации угрозы», или коэффициент Y2, необходимо указать, с какой вероятностью может реализоваться угроза в анализируемой ИС и в текущих условиях.

Меры по нейтрализации угрозы считаются эффективными и полными, если они устраняют все ее компоненты. Если же компоненты устранены не все, меры считаются принятыми, но неполными. В ситуации, когда меры не позволяют нейтрализовать ни один компонент угрозы, они считаются непринятыми.

Для определения коэффициента используют четыре градации:

• маловероятно — возможности реализации не выявлены, коэффициент 0;
• низкая вероятность — принятых мер безопасности достаточно, чтобы существенно сократить риски реализации угрозы, коэффициент 2;
• средняя вероятность — возможности реализации выявлены, меры безопасности организованы, но их недостаточно, коэффициент 5;
• высокая вероятность — возможности реализации выявлены, меры безопасности отсутствуют, коэффициент 10.

Опираясь на полученные коэффициенты мы можем получить коэффициент актуальности реализуемости угрозы Y. Определить его можно по следующей простой формуле:

Y = (Y1+Y2)/20

Полученное значение оценивается следующим образом:

• от 0 до 0,3 — низкая вероятность;
• больше 0,3, менее либо равно 0,6 — вероятность средняя;
• больше 0,6, менее либо равно 0,8 — вероятность высокая;
• больше 0,8 — вероятность очень высокая.

Затем необходимо определить ключевой параметр модели — актуальность угрозы. Определяется по следующей таблице, где значение «Н» — неактуальная угроза,«А» — актуальная угроза.

Исходя из информации, собранной выше, можно составить полный перечень угроз безопасности данных, актуальных для каждой конкретной организации.

Важно! Выявление и оценка потенциальных угроз должны носить систематический характер, производиться на этапе разработки информационной системы до момента ее ввода в эксплуатацию. На этапе эксплуатации оценка угроз производится с целью проверки соответствия принятых в организации мер безопасности актуальным угрозам.

Другие примеры методологий моделирования угроз

• PASTA (Process for Attack Simulation and Threat Analysis) — это методология МУ, ориентированная на риски. Модель включает семь этапов: определение целей, определение технической области, декомпозиция, идентификация угроз, анализ уязвимостей, моделирование атак и анализ рисков. PASTA позволяет проводить комплексный анализ потенциальных угроз и их потенциала воздействия на систему.
• TRIKE. Методология направлена на выявление ИБ-рисков для ценных информационных активов организации. TRIKE подразумевает создание диаграммы потока данных, идентификацию активов, определение потенциальных угроз, выявление субъектов, заинтересованных в компрометации данных.
• FIXED (Functionality, Information, External entities, Data flow и Entry points — рус. Функциональность, Информация, Внешние сущности, Поток данных и Точки входа). Модель фокусируется на анализе угроз для каждого из перечисленных компонентов. FIXED рекомендуется к применению в компаниях, обрабатывающих большие массивы данных.
• CVSS (Common Vulnerability Scoring System — рус. Общая система оценки уязвимости). Методология фиксировать основные характеристики уязвимости и выдавать числовую оценку, отражающую ее серьезность для ИБ организации. Числовую оценку можно перевести в вербальную характеристику (например, «низкий», «средний», «высокий» и «критический» уровень), чтобы определить серьезность и потенциальный ущерб, который может получить ИС в случае использования уязвимости для осуществления угрозы.

Роль DLP-системы Falcongaze SecureTower в обеспечении защиты чувствительной информации

DLP SecureTower позволяет существенно минимизировать риски утечки данных по вине сотрудников.

Система автоматически и непрерывно мониторит информационные каналы, перехватывает и анализирует данные на предмет движения и изменения конфиденциальной информации: коммерчески ценных сведений, документов с меткой конфиденциальности, документов с печатями, чертежей, схем и проч.

Для этого в системе предусмотрены такие аналитические инструменты: статистический, контентный анализ, анализ по цифровым отпечаткам, поиск по меткам конфиденциальности, инвентаризация оборудования и приложений, категоризатор приложений и проч.

Опробовать все возможности системы можно бесплатно в течение 30 дней. Свяжитесь с нашими менеджерами для консультации по телефонам, указанным на сайте, или оформите заявку на получение доступа здесь. К каждому клиенту нашей компании мы прикрепляем технического специалиста и менеджера, которые обучат правилам работы с системой, помогут настроить правила безопасности и ответят на любые вопросы, если такие возникнуть в течение пробного периода или во время использования системы.

В заключение

Процесс моделирования ИБ-угроз должен проводиться регулярно — это необходимо для того, чтобы совершенствовать ИБ-систему, актуализировать принятые меры.

При правильном выполнении моделирование угроз позволяет рационально распределять средства на защитные меры, выявлять уязвимости ИС, существенно сузить круг угроз и, что немаловажно, сформировать план действий в случае их реализации.

Моделирование угроз позволяет сделать информационную систему надежной и устойчивой.