

Модель угроз информационной безопасности
План статьи
В этой статье мы разберем, что такое модель угроз информационной безопасности и зачем она нужна вашей организации.
Для начала разберем основные термины и их значения.
Угроза безопасности информации — это ситуации, действия, обстоятельства и процессы, которые могут привести к нарушению целостности, конфиденциальности и охраняемых сведений. Угрозы могут исходить от третьих лиц и целых групп, природных явлений, стихийных бедствий и проч. В контексте обеспечения ИБ в организациях угрозы также могут представлять сотрудники, клиенты, подрядчики и контрагенты.
Подробнее об ИБ-угрозах мы рассказали тут.
Модель угроз безопасности информации (далее — МУ) — это термин, применяемый к задокументированному перечню потенциальных источников опасности и нежелательных событий для ИБ каждой конкретной организации.
Соответственно, моделирование ИБ-угроз — это формализованная тактика, которая помогает компаниям выявлять слабости внутри системы, а также ИБ-угрозы, управлять ими и делать менее ощутимыми потенциальные негативные результаты.
Процедуры моделирования угроз могут различаться. Это зависит от сложности архитектуры каждой конкретной ИС. При этом любые организации, которые внедрят данную процедуру и сделают ее рутинной, смогут сузить круг угроз, изучать их и постоянно совершенствовать систему управления безопасностью данных.
Информационная система (далее — ИС) — это совокупность ПО, оборудования и телекоммуникационных сетей, которые применяются для сбора, обработки, эксплуатации и хранения информационных активов.
Далее мы рассмотрим преимущества моделирования ИБ-угроз для организаций.
Зачем нужно моделирование угроз информационной безопасности?
Как уже говорилось выше, регулярное проведение процедуры моделирования угроз позволяет организациям существенно сократить риски информационной безопасности. Помимо этого, можно выделить и другие преимущества. Рассмотрим их подробнее.
Уязвимости ИС будут выявлены до того, как злоумышленники используют их. Процедура моделирования угроз позволяет ИБ-специалистам действовать превентивно, то есть разрабатывать и внедрять соответствующие средства защиты до момента реализации угрозы.
Чем больше уязвимостей системы будет устранено на раннем этапе, тем меньше времени и ресурсов будет потрачено на исправление ошибок, восстановление работоспособности ИС, ее информационных активов и, конечно, тем меньше будет финансовый и репутационный ущерб, который понесет организация.
Подробнее тема раскрыта в нашей статье «Управление инцидентами информационной безопасности».
Экономическая выгода. Моделирование угроз помогает организациям понять, какие угрозы требуют наибольшего внимания и ресурсов, на какие меры безопасности стоит выделить бюджет, а какие меры будут избыточными и тратить средства на них нерационально.
Соответствие требованиям регуляторов. Моделирование угроз помогает компаниям соблюдать требования, описанные в нормативно-правовых актах. Например, GDPR (Общий регламент по защите данных) обязывает организации выявлять риски, возникающие в результате обработки персональных данных, и минимизировать эти риски как можно раньше. Этот процесс должен повторяться не реже одного раза в три года. Невыполнение этого и других требований, описанных в GDPR, может повлечь штраф вплоть до 4% от годового дохода бизнеса.
Помимо GDPR, существуют и другие правовые распоряжения, регулирующие вопросы формирования стратегии безопасности в целом и структурирования МУ в частности.
Регуляторы предписывают разрабатывать модель ИБ-угроз
В правовой базе РФ содержатся требования и различные рекомендации к разработке МУ.
Так, в Федеральном законе №152-ФЗ «О персональных данных», статья 19, пункт 2 предписано определять угрозы безопасности данных граждан.
Приказ ФСТЭК России от 18 февраля 2013 г. №21, статья 1, пункт 4, регламентирующий вопросы защиты персональных данных (далее — ПД) граждан, предписывает внедрять меры по обеспечению информационной безопасности, включая использование различных аппаратных и программных средств для предупреждения и нивелирования угроз, осуществление которых приведет к компрометации охраняемых сведений.
В Приказе ФСТЭК России от 11 февраля 2013 г. №17, статья 1, пункт 14, описаны регламенты защиты информации с анализом рисков
Еще один Приказ Федеральной службы от 14 марта 2014 г. №31, регламентирующий основные критерии защиты данных в автоматизированных системах управления (далее — АСУ) на объектах критической информационной инфраструктуры (далее — КИИ), обязывает организации выявлять и анализировать угрозы ИБ для составления модели актуальных угроз.
Согласно Приказу ФСТЭК России от 25 декабря 2017 г. №239, при обеспечении безопасности объектов КИИ необходимо анализировать потенциальные ИБ-угрозы и, опираясь на агрегированный массив данных, формировать МУ — или актуализировать ее, если она уже есть.
Исходя из сказанного выше, компании и предприятия обязаны разработать и регулярно актуализировать МУ — чтобы отвечать строгим предписаниям регуляторов.
Как составить модель угроз безопасности данных?
В этом материале мы рассмотрим моделирование угроз на примере модели, рекомендованной Федеральной службой по техническому и экспортному контролю.
В Приказе ФСТЭК России от 11 февраля 2013 г. №17 описаны следующие требования к содержанию МУ:
- структура ИС, ее архитектура и свойства;
- перечень актуальных угроз, их подробное описание, возможные пути их реализации, потенциальные последствия;
- потенциальные источники угроз, в том числе нарушители;
- слабые места ИС.
Методические рекомендации и стандарты
Некоторые государственные учреждения уполномочены разрабатывать и утверждать нормативно-правовую документацию, которая регламентирует вопросы обеспечения ИБ организаций, в том числе используемые методы, программные и технические средства и проч. В РФ регуляторами по вопросам информационной безопасности являются: ФСО, ФСТЭК, ФСБ, Роскомнадзор. Определенные полномочия имеет и Минкомсвязь России.
Основные рекомендации по составляю модели угроз дает Методический документ «Методика оценки угроз безопасности информации», утвержденная ФСТЭК России 5 февраля 2021 года. Подход, изложенный в документе, сосредоточен преимущественно на угрозах, вызванных антропогенным фактором.
При этом важно учитывать, для ИС какой организации создается МУ и какие требования предъявляют регуляторы к их системам защиты в общем и моделированию угроз в частности. Так, предписания к охране АСУ ТП на объектах КИИ будут отличаться от требований, предъявляемых к организациям из банковского сектора. Риски и угрозы безопасности данных для этих организаций существенно различаются — как и возможные последствия.
Поэтому, проектируя модель угроз для АСУ ТП, можно не включать Приказы №№ 17 и 21 ФСТЭК, при этом следует добавить Приказ №31.
Для организаций, собирающих и обрабатывающих ПД граждан РФ, ФСТЭК разработал и утвердил документ «Базовая модель угроз безопасности ПД при их обработке в ИС» от 15.02.2008.
Оптимальная модель защиты данных
ФСТЭК рекомендует оформлять МУ документально. Основные рекомендации по оформлению указаны в Приложении 3 к «Методике оценки угроз безопасности информации».
Вступительная часть должна содержать список сокращений, основные определения и понятия.
Важно: согласно Постановлению Правительства РФ от 11 мая 2017 г. №555, МУ государственной информационной системы утверждает уполномоченное представитель государственной власти — и подписывает титульный лист соответственно. В негосударственных структурах МУ утверждает и подписывает владелец ИС.
Общие положения
В данном разделе, как правило, обосновывают проведение процедуры моделирования угроз, указывая тип информации, которая нуждается в защите: ПД граждан, ноу-хау, данные ограниченного доступа и данные, которые не являются конфиденциальными, при этом их изменение или уничтожение могут привести к различным последствиям. Речь идет об остановке производства, порче или уничтожении дорогостоящего оборудования, станков, замедлению бизнес-процессов и проч.
Описание ИС и ее характеристик
Здесь необходимо описать технологическую инфраструктуру компании:
- расположение и название ИС;
- архитектура ИС, ее задачи;
- процессы;
- классы пользователей и их группы;
- тип и класс обрабатываемых данных.
Не стоит описывать ИС слишком подробно. Например, копирование информации из технических паспортов оборудования будет избыточным. При этом, человек, который не работал с ИС ранее, из документа должен понять, как она устроена.
В этот же раздел необходимо добавить пункт «Охрана помещений», в котором будут описаны введенные на предприятии защитные меры: пост охраны, средства ограничения доступа, сигнализация, видеонаблюдение и проч.
Если организация использует средства криптографической защиты данных, их также можно указать. Если нет — данный пункт можно вычеркнуть.
Возможные последствия в случае реализации угроз
В данном разделе описывают возможный ущерб, который понесет владелец ИС в случае реализации угроз.
Объекты, на которые могут воздействовать нарушители
Перечень компонентов ИС, влияние на которые приводит к нежелательным последствиям: эксфильтрации данных, нарушению их сохранности и доступности.
Возможные источники угроз, модель нарушителя
В этом разделе требуется указать возможные слабые места в защите информации — то есть составлена модель нарушителей. Источником ИБ-угроз могут быть природные явления, стихийные бедствия, износ оборудования. При этом основная часть угроз, как правило, вызвана антропогенным фактором, то есть действиями нарушителей.
Нарушитель безопасности информации — это человек, случайные или умышленные действия которого привели к утечке, искажению или уничтожению ценных информационных активов.
Нарушителей разделяют на внешних и внутренних. Каждый тип нарушителей классифицируется по масштабу потенциального вреда, который может быть причинен ИС его действиями — это «базовый», «базовый повышенный», «средний» и «высокий» высокий.
Важно: наиболее опасными по данной классификации являются внутренние нарушители с доступом к чувствительным активам.
Как правило, потенциальным нарушителям присваивают средний и низкий потенциал.
«Методика» предлагает следующий перечень возможных нарушителей:
- представители иностранных спецслужб;
- террористы, экстремисты;
- киберпреступники, киберкриминальные группировки;
- недобросовестные конкуренты;
- поставщики ПО и технических средств;
- ИТ-специалисты, привлекаемые к настройке и обслуживанию рабочих станций и иного оборудования;
- внутренние пользователи, в том числе наделенные исключительными привилегиями и с высокой степенью доверия со стороны владельца ИС;
- системные администраторы, офицеры безопасности и их отделы;
- сотрудники, трудовые отношения с которыми были разорваны.
Список правонарушителей варьируется с учетом особенностей учреждения и его задач.
В приложении 9 к Методике приведены примеры определения актуальных нарушителей.
Способы реализации угроз
В этом разделе должны быть рассмотрены пути компрометации систем, которые могут создать угрозы ИБ. Также целесообразно перечислить ПО, системы и сервисы, используя которые злоумышленник может внедриться за контур безопасности организации.
В «Методике» приведены следующие способы реализации:
- заражение системы вирусами;
- использование различных уязвимостей ИС;
- использование скрытых информационных каналов для хищения охраняемых данных или создание новых каналов;
- непреднамеренные действия персонала организации, которые стали причиной утечки данных;
- перехват побочного электромагнитного излучения и проч.
Информационная угроза может реализоваться через различные вектора, а также сразу несколькими способами.
Перечень алгоритмов воздействия на безопасность может улучшаться и пополняться в соответствии со спецификой деятельности каждой конкретной организации. Кроме того, организации должны регулярно актуализировать данный перечень по мере возникновения новых неучтенных способов.
Уязвимости информационной системы
При описании МУ необходимо указать и уязвимости информационной системы. При описании уязвимостей системы целесообразно перечислять не уязвимости, а классы уязвимостей.
Список актуальных уязвимостей для каждой конкретной инфраструктуры динамично изменяется — это нормально. Одни уязвимости выявляются и устраняются, другие возникают.
Перечень классов уязвимости не указан в «Методике», однако исчерпывающе описан в ГОСТ Р 56546-2015, Уязвимости информационных систем». Среди прочих можно выделить такие классы:
- по области происхождения: уязвимости кода, конфигурации и проч.;
- по типу недостатков ИС: ошибки в настройке компонентов системы и проч.;
- по месту возникновения и проч.
Как составить список актуальных угроз информационной безопасности?
Данный раздел составляется с учетом уже собранных данных. Здесь, помимо перечня возможных угроз, необходимо расписать вероятные сценарии и возможные последствия от их реализации. Завершается раздел выводами об актуальности описанных угроз. Перечень угроз формируется на основе списка, предложенного ФСТЭК.
Для начала необходимо составить перечень с описанием угроз в виде таблицы, как показано на рисунке.
Указывать угрозы необходимо с идентификатором и описанием. Информация о способах реализации также берется из перечня на официальном сайте федеральной службы.
С полным перечнем ИБ-угроз по ФСТЭК России вы можете ознакомиться тут, в Банке данных угроз безопасности информации (БДУ).
Данные для столбцов о потенциалах внутренних и внешних нарушителей каждая организация определяет самостоятельно, опираясь на пункт «Возможные источники угроз, модель нарушителя» данной статьи.
Информация для столбца «Объекты воздействия» также представлена в БДУ.
На заметку! Некоторые источники рекомендуют вести список неактуальных угроз с обоснованием причины их исключения из списка. Например, можно исключить угрозы, характерные для АСУ ТП, если организация работает в банковском секторе.
В столбец «Нарушаемые свойства» необходимо внести, какие свойства данных нарушает угроза в случае реализации: конфиденциальность, целостность, доступность.
В столбец «Предпосылки» вносят информацию о существующих предпосылках реализации угрозы.
Финальный шаг: на основе собранных материалов составляем список актуальных угроз
Для этого нам потребуется провести анализ исходной защищенности и определить риск осуществления угрозы — то есть уточнить коэффициент Y1 и Y2.
Анализ исходной защищенности
Степень исходной защищенности, или коэффициент исходной защищенности Y1, определяется посредством списка характеристик, предложенных в «Методике». Чтобы получить значение Y1, выберите одно из значений, предложенных ФСТЭК.
Таблицу с указанием показателей исходной защищенности можно найти тут.
В зависимости от выбранных значений определяется уровень защищенности: высокий, средний или низкий.
- Если 70% и более характеристик соответствуют значению «высокий», остальные 30% характеристик соответствуют уровню «средний», уровень исходной защищенности будет высоким, соответственно, коэффициент будет равен 0.
- Если 70% и более характеристик соответствуют значению «высокий», при этом некоторые характеристики соответствуют значению «низкий», уровень исходной защищенности будет средним, соответственно, коэффициент будет равен 5.
- Если менее 70% характеристик имеют значение «высокий», уровень исходной защищенности будет низким, коэффициент будет равен 10.
Вероятность реализации угрозы
Под строчкой «Вероятность реализации угрозы», или коэффициент Y2, необходимо указать, с какой вероятностью может реализоваться угроза в анализируемой ИС и в текущих условиях.
Меры по нейтрализации угрозы считаются эффективными и полными, если они устраняют все ее компоненты. Если же компоненты устранены не все, меры считаются принятыми, но неполными. В ситуации, когда меры не позволяют нейтрализовать ни один компонент угрозы, они считаются непринятыми.
Для определения коэффициента используют четыре градации:
- маловероятно — возможности реализации не выявлены, коэффициент 0;
- низкая вероятность — принятых мер безопасности достаточно, чтобы существенно сократить риски реализации угрозы, коэффициент 2;
- средняя вероятность — возможности реализации выявлены, меры безопасности организованы, но их недостаточно, коэффициент 5;
- высокая вероятность — возможности реализации выявлены, меры безопасности отсутствуют, коэффициент 10.
Опираясь на полученные коэффициенты мы можем получить коэффициент актуальности реализуемости угрозы Y. Определить его можно по следующей простой формуле:
Y = (Y1+Y2)/20
Полученное значение оценивается следующим образом:
- от 0 до 0,3 — низкая вероятность;
- больше 0,3, менее либо равно 0,6 — вероятность средняя;
- больше 0,6, менее либо равно 0,8 — вероятность высокая;
- больше 0,8 — вероятность очень высокая.
Затем необходимо определить ключевой параметр модели — актуальность угрозы. Определяется по следующей таблице, где значение «Н» — неактуальная угроза,«А» — актуальная угроза.
Исходя из информации, собранной выше, можно составить полный перечень угроз безопасности данных, актуальных для каждой конкретной организации.
Важно! Выявление и оценка потенциальных угроз должны носить систематический характер, производиться на этапе разработки информационной системы до момента ее ввода в эксплуатацию. На этапе эксплуатации оценка угроз производится с целью проверки соответствия принятых в организации мер безопасности актуальным угрозам.
Другие примеры методологий моделирования угроз
- PASTA (Process for Attack Simulation and Threat Analysis) — это методология МУ, ориентированная на риски. Модель включает семь этапов: определение целей, определение технической области, декомпозиция, идентификация угроз, анализ уязвимостей, моделирование атак и анализ рисков. PASTA позволяет проводить комплексный анализ потенциальных угроз и их потенциала воздействия на систему.
- TRIKE. Методология направлена на выявление ИБ-рисков для ценных информационных активов организации. TRIKE подразумевает создание диаграммы потока данных, идентификацию активов, определение потенциальных угроз, выявление субъектов, заинтересованных в компрометации данных.
- FIXED (Functionality, Information, External entities, Data flow и Entry points — рус. Функциональность, Информация, Внешние сущности, Поток данных и Точки входа). Модель фокусируется на анализе угроз для каждого из перечисленных компонентов. FIXED рекомендуется к применению в компаниях, обрабатывающих большие массивы данных.
- CVSS (Common Vulnerability Scoring System — рус. Общая система оценки уязвимости). Методология фиксировать основные характеристики уязвимости и выдавать числовую оценку, отражающую ее серьезность для ИБ организации. Числовую оценку можно перевести в вербальную характеристику (например, «низкий», «средний», «высокий» и «критический» уровень), чтобы определить серьезность и потенциальный ущерб, который может получить ИС в случае использования уязвимости для осуществления угрозы.
Роль DLP-системы Falcongaze SecureTower в обеспечении защиты чувствительной информации
DLP SecureTower позволяет существенно минимизировать риски утечки данных по вине сотрудников.
Система автоматически и непрерывно мониторит информационные каналы, перехватывает и анализирует данные на предмет движения и изменения конфиденциальной информации: коммерчески ценных сведений, документов с меткой конфиденциальности, документов с печатями, чертежей, схем и проч.
Для этого в системе предусмотрены такие аналитические инструменты: статистический, контентный анализ, анализ по цифровым отпечаткам, поиск по меткам конфиденциальности, инвентаризация оборудования и приложений, категоризатор приложений и проч.
Опробовать все возможности системы можно бесплатно в течение 30 дней. Свяжитесь с нашими менеджерами для консультации по телефонам, указанным на сайте, или оформите заявку на получение доступа здесь. К каждому клиенту нашей компании мы прикрепляем технического специалиста и менеджера, которые обучат правилам работы с системой, помогут настроить правила безопасности и ответят на любые вопросы, если такие возникнуть в течение пробного периода или во время использования системы.
В заключение
Процесс моделирования ИБ-угроз должен проводиться регулярно — это необходимо для того, чтобы совершенствовать ИБ-систему, актуализировать принятые меры.
При правильном выполнении моделирование угроз позволяет рационально распределять средства на защитные меры, выявлять уязвимости ИС, существенно сузить круг угроз и, что немаловажно, сформировать план действий в случае их реализации.
Моделирование угроз позволяет сделать информационную систему надежной и устойчивой.