Попробовать бесплатно

    Редакция Falcongaze

    Авторы материала

    Информационная безопасность
    28.03.2025
    12 мин.

    Модель угроз информационной безопасности

    В этой статье мы разберем, что такое модель угроз информационной безопасности и зачем она нужна вашей организации.

    Для начала разберем основные термины и их значения.

    Угроза безопасности информации — это ситуации, действия, обстоятельства и процессы, которые могут привести к нарушению целостности, конфиденциальности и охраняемых сведений. Угрозы могут исходить от третьих лиц и целых групп, природных явлений, стихийных бедствий и проч. В контексте обеспечения ИБ в организациях угрозы также могут представлять сотрудники, клиенты, подрядчики и контрагенты.

    Подробнее об ИБ-угрозах мы рассказали тут.

    Модель угроз безопасности информации (далее — МУ) — это термин, применяемый к задокументированному перечню потенциальных источников опасности и нежелательных событий для ИБ каждой конкретной организации.

    Соответственно, моделирование ИБ-угроз — это формализованная тактика, которая помогает компаниям выявлять слабости внутри системы, а также ИБ-угрозы, управлять ими и делать менее ощутимыми потенциальные негативные результаты.

    Процедуры моделирования угроз могут различаться. Это зависит от сложности архитектуры каждой конкретной ИС. При этом любые организации, которые внедрят данную процедуру и сделают ее рутинной, смогут сузить круг угроз, изучать их и постоянно совершенствовать систему управления безопасностью данных.

    Информационная система (далее — ИС) — это совокупность ПО, оборудования и телекоммуникационных сетей, которые применяются для сбора, обработки, эксплуатации и хранения информационных активов.

    Далее мы рассмотрим преимущества моделирования ИБ-угроз для организаций.

    Зачем нужно моделирование угроз информационной безопасности?

    Как уже говорилось выше, регулярное проведение процедуры моделирования угроз позволяет организациям существенно сократить риски информационной безопасности. Помимо этого, можно выделить и другие преимущества. Рассмотрим их подробнее.

    моделирование угроз информационной безопасности

    Уязвимости ИС будут выявлены до того, как злоумышленники используют их. Процедура моделирования угроз позволяет ИБ-специалистам действовать превентивно, то есть разрабатывать и внедрять соответствующие средства защиты до момента реализации угрозы.

    Чем больше уязвимостей системы будет устранено на раннем этапе, тем меньше времени и ресурсов будет потрачено на исправление ошибок, восстановление работоспособности ИС, ее информационных активов и, конечно, тем меньше будет финансовый и репутационный ущерб, который понесет организация.

    Подробнее тема раскрыта в нашей статье «Управление инцидентами информационной безопасности».

    Экономическая выгода. Моделирование угроз помогает организациям понять, какие угрозы требуют наибольшего внимания и ресурсов, на какие меры безопасности стоит выделить бюджет, а какие меры будут избыточными и тратить средства на них нерационально.

    Соответствие требованиям регуляторов. Моделирование угроз помогает компаниям соблюдать требования, описанные в нормативно-правовых актах. Например, GDPR (Общий регламент по защите данных) обязывает организации выявлять риски, возникающие в результате обработки персональных данных, и минимизировать эти риски как можно раньше. Этот процесс должен повторяться не реже одного раза в три года. Невыполнение этого и других требований, описанных в GDPR, может повлечь штраф вплоть до 4% от годового дохода бизнеса.

    Помимо GDPR, существуют и другие правовые распоряжения, регулирующие вопросы формирования стратегии безопасности в целом и структурирования МУ в частности.

    Регуляторы предписывают разрабатывать модель ИБ-угроз

    В правовой базе РФ содержатся требования и различные рекомендации к разработке МУ.

    Так, в Федеральном законе №152-ФЗ «О персональных данных», статья 19, пункт 2 предписано определять угрозы безопасности данных граждан.

    Приказ ФСТЭК России от 18 февраля 2013 г. №21, статья 1, пункт 4, регламентирующий вопросы защиты персональных данных (далее — ПД) граждан, предписывает внедрять меры по обеспечению информационной безопасности, включая использование различных аппаратных и программных средств для предупреждения и нивелирования угроз, осуществление которых приведет к компрометации охраняемых сведений.

    В Приказе ФСТЭК России от 11 февраля 2013 г. №17, статья 1, пункт 14, описаны регламенты защиты информации с анализом рисков

    Еще один Приказ Федеральной службы от 14 марта 2014 г. №31, регламентирующий основные критерии защиты данных в автоматизированных системах управления (далее — АСУ) на объектах критической информационной инфраструктуры (далее — КИИ), обязывает организации выявлять и анализировать угрозы ИБ для составления модели актуальных угроз.

    Согласно Приказу ФСТЭК России от 25 декабря 2017 г. №239, при обеспечении безопасности объектов КИИ необходимо анализировать потенциальные ИБ-угрозы и, опираясь на агрегированный массив данных, формировать МУ — или актуализировать ее, если она уже есть.

    Исходя из сказанного выше, компании и предприятия обязаны разработать и регулярно актуализировать МУ — чтобы отвечать строгим предписаниям регуляторов.

    Как составить модель угроз безопасности данных?

    В этом материале мы рассмотрим моделирование угроз на примере модели, рекомендованной Федеральной службой по техническому и экспортному контролю.

    В Приказе ФСТЭК России от 11 февраля 2013 г. №17 описаны следующие требования к содержанию МУ:

    • структура ИС, ее архитектура и свойства;
    • перечень актуальных угроз, их подробное описание, возможные пути их реализации, потенциальные последствия;
    • потенциальные источники угроз, в том числе нарушители;
    • слабые места ИС.

    Методические рекомендации и стандарты

    Некоторые государственные учреждения уполномочены разрабатывать и утверждать нормативно-правовую документацию, которая регламентирует вопросы обеспечения ИБ организаций, в том числе используемые методы, программные и технические средства и проч. В РФ регуляторами по вопросам информационной безопасности являются: ФСО, ФСТЭК, ФСБ, Роскомнадзор. Определенные полномочия имеет и Минкомсвязь России.

    Основные рекомендации по составляю модели угроз дает Методический документ «Методика оценки угроз безопасности информации», утвержденная ФСТЭК России 5 февраля 2021 года. Подход, изложенный в документе, сосредоточен преимущественно на угрозах, вызванных антропогенным фактором.

    При этом важно учитывать, для ИС какой организации создается МУ и какие требования предъявляют регуляторы к их системам защиты в общем и моделированию угроз в частности. Так, предписания к охране АСУ ТП на объектах КИИ будут отличаться от требований, предъявляемых к организациям из банковского сектора. Риски и угрозы безопасности данных для этих организаций существенно различаются — как и возможные последствия.

    Поэтому, проектируя модель угроз для АСУ ТП, можно не включать Приказы №№ 17 и 21 ФСТЭК, при этом следует добавить Приказ №31.

    Для организаций, собирающих и обрабатывающих ПД граждан РФ, ФСТЭК разработал и утвердил документ «Базовая модель угроз безопасности ПД при их обработке в ИС» от 15.02.2008.

    Оптимальная модель защиты данных

    ФСТЭК рекомендует оформлять МУ документально. Основные рекомендации по оформлению указаны в Приложении 3 к «Методике оценки угроз безопасности информации».

    Вступительная часть должна содержать список сокращений, основные определения и понятия.

    Важно: согласно Постановлению Правительства РФ от 11 мая 2017 г. №555, МУ государственной информационной системы утверждает уполномоченное представитель государственной власти — и подписывает титульный лист соответственно. В негосударственных структурах МУ утверждает и подписывает владелец ИС.

    Общие положения

    В данном разделе, как правило, обосновывают проведение процедуры моделирования угроз, указывая тип информации, которая нуждается в защите: ПД граждан, ноу-хау, данные ограниченного доступа и данные, которые не являются конфиденциальными, при этом их изменение или уничтожение могут привести к различным последствиям. Речь идет об остановке производства, порче или уничтожении дорогостоящего оборудования, станков, замедлению бизнес-процессов и проч.

    Описание ИС и ее характеристик

    Здесь необходимо описать технологическую инфраструктуру компании:

    • расположение и название ИС;
    • архитектура ИС, ее задачи;
    • процессы;
    • классы пользователей и их группы;
    • тип и класс обрабатываемых данных.

    Не стоит описывать ИС слишком подробно. Например, копирование информации из технических паспортов оборудования будет избыточным. При этом, человек, который не работал с ИС ранее, из документа должен понять, как она устроена.

    В этот же раздел необходимо добавить пункт «Охрана помещений», в котором будут описаны введенные на предприятии защитные меры: пост охраны, средства ограничения доступа, сигнализация, видеонаблюдение и проч.

    Если организация использует средства криптографической защиты данных, их также можно указать. Если нет — данный пункт можно вычеркнуть.

    Возможные последствия в случае реализации угроз

    В данном разделе описывают возможный ущерб, который понесет владелец ИС в случае реализации угроз.

    Объекты, на которые могут воздействовать нарушители

    Перечень компонентов ИС, влияние на которые приводит к нежелательным последствиям: эксфильтрации данных, нарушению их сохранности и доступности.

    Возможные источники угроз, модель нарушителя

    В этом разделе требуется указать возможные слабые места в защите информации — то есть составлена модель нарушителей. Источником ИБ-угроз могут быть природные явления, стихийные бедствия, износ оборудования. При этом основная часть угроз, как правило, вызвана антропогенным фактором, то есть действиями нарушителей.

    Нарушитель безопасности информации — это человек, случайные или умышленные действия которого привели к утечке, искажению или уничтожению ценных информационных активов.

    Нарушителей разделяют на внешних и внутренних. Каждый тип нарушителей классифицируется по масштабу потенциального вреда, который может быть причинен ИС его действиями — это «базовый», «базовый повышенный», «средний» и «высокий» высокий.

    Важно: наиболее опасными по данной классификации являются внутренние нарушители с доступом к чувствительным активам. 

    Как правило, потенциальным нарушителям присваивают средний и низкий потенциал.

    «Методика» предлагает следующий перечень возможных нарушителей:

    • представители иностранных спецслужб;
    • террористы, экстремисты;
    • киберпреступники, киберкриминальные группировки;
    • недобросовестные конкуренты;
    • поставщики ПО и технических средств;
    • ИТ-специалисты, привлекаемые к настройке и обслуживанию рабочих станций и иного оборудования;
    • внутренние пользователи, в том числе наделенные исключительными привилегиями и с высокой степенью доверия со стороны владельца ИС;
    • системные администраторы, офицеры безопасности и их отделы;
    • сотрудники, трудовые отношения с которыми были разорваны.

    Список правонарушителей варьируется с учетом особенностей учреждения и его задач.

    В приложении 9 к Методике приведены примеры определения актуальных нарушителей.

    Способы реализации угроз

    В этом разделе должны быть рассмотрены пути компрометации систем, которые могут создать угрозы ИБ. Также целесообразно перечислить ПО, системы и сервисы, используя которые злоумышленник может внедриться за контур безопасности организации.

    В «Методике» приведены следующие способы реализации:

    • заражение системы вирусами;
    • использование различных уязвимостей ИС;
    • использование скрытых информационных каналов для хищения охраняемых данных или создание новых каналов;
    • непреднамеренные действия персонала организации, которые стали причиной утечки данных;
    • перехват побочного электромагнитного излучения и проч.

    Информационная угроза может реализоваться через различные вектора, а также сразу несколькими способами.

    Перечень алгоритмов воздействия на безопасность может улучшаться и пополняться в соответствии со спецификой деятельности каждой конкретной организации. Кроме того, организации должны регулярно актуализировать данный перечень по мере возникновения новых неучтенных способов.

    Уязвимости информационной системы

    При описании МУ необходимо указать и уязвимости информационной системы. При описании уязвимостей системы целесообразно перечислять не уязвимости, а классы уязвимостей.

    Список актуальных уязвимостей для каждой конкретной инфраструктуры динамично изменяется — это нормально. Одни уязвимости выявляются и устраняются, другие возникают.

    Перечень классов уязвимости не указан в «Методике», однако исчерпывающе описан в ГОСТ Р 56546-2015, Уязвимости информационных систем». Среди прочих можно выделить такие классы:

    • по области происхождения: уязвимости кода, конфигурации и проч.;
    • по типу недостатков ИС: ошибки в настройке компонентов системы и проч.;
    • по месту возникновения и проч.

    Как составить список актуальных угроз информационной безопасности?

    Данный раздел составляется с учетом уже собранных данных. Здесь, помимо перечня возможных угроз, необходимо расписать вероятные сценарии и возможные последствия от их реализации. Завершается раздел выводами об актуальности описанных угроз. Перечень угроз формируется на основе списка, предложенного ФСТЭК.

    Для начала необходимо составить перечень с описанием угроз в виде таблицы, как показано на рисунке.

    список актуальных угроз информационной безопасности

    Указывать угрозы необходимо с идентификатором и описанием. Информация о способах реализации также берется из перечня на официальном сайте федеральной службы.

    С полным перечнем ИБ-угроз по ФСТЭК России вы можете ознакомиться тут, в Банке данных угроз безопасности информации (БДУ).

    Данные для столбцов о потенциалах внутренних и внешних нарушителей каждая организация определяет самостоятельно, опираясь на пункт «Возможные источники угроз, модель нарушителя» данной статьи.

    Информация для столбца «Объекты воздействия» также представлена в БДУ.

    На заметку! Некоторые источники рекомендуют вести список неактуальных угроз с обоснованием причины их исключения из списка. Например, можно исключить угрозы, характерные для АСУ ТП, если организация работает в банковском секторе.

    В столбец «Нарушаемые свойства» необходимо внести, какие свойства данных нарушает угроза в случае реализации: конфиденциальность, целостность, доступность.

    В столбец «Предпосылки» вносят информацию о существующих предпосылках реализации угрозы.

    Финальный шаг: на основе собранных материалов составляем список актуальных угроз

    Для этого нам потребуется провести анализ исходной защищенности и определить риск осуществления угрозы — то есть уточнить коэффициент Y1 и Y2.

    Анализ исходной защищенности

    Степень исходной защищенности, или коэффициент исходной защищенности Y1, определяется посредством списка характеристик, предложенных в «Методике». Чтобы получить значение Y1, выберите одно из значений, предложенных ФСТЭК.

    Таблицу с указанием показателей исходной защищенности можно найти тут.

    В зависимости от выбранных значений определяется уровень защищенности: высокий, средний или низкий.

    • Если 70% и более характеристик соответствуют значению «высокий», остальные 30% характеристик соответствуют уровню «средний», уровень исходной защищенности будет высоким, соответственно, коэффициент будет равен 0.
    • Если 70% и более характеристик соответствуют значению «высокий», при этом некоторые характеристики соответствуют значению «низкий», уровень исходной защищенности будет средним, соответственно, коэффициент будет равен 5.
    • Если менее 70% характеристик имеют значение «высокий», уровень исходной защищенности будет низким, коэффициент будет равен 10.

    Вероятность реализации угрозы

    Под строчкой «Вероятность реализации угрозы», или коэффициент Y2, необходимо указать, с какой вероятностью может реализоваться угроза в анализируемой ИС и в текущих условиях.

    Меры по нейтрализации угрозы считаются эффективными и полными, если они устраняют все ее компоненты. Если же компоненты устранены не все, меры считаются принятыми, но неполными. В ситуации, когда меры не позволяют нейтрализовать ни один компонент угрозы, они считаются непринятыми.

    Для определения коэффициента используют четыре градации:

    • маловероятно — возможности реализации не выявлены, коэффициент 0;
    • низкая вероятность — принятых мер безопасности достаточно, чтобы существенно сократить риски реализации угрозы, коэффициент 2;
    • средняя вероятность — возможности реализации выявлены, меры безопасности организованы, но их недостаточно, коэффициент 5;
    • высокая вероятность — возможности реализации выявлены, меры безопасности отсутствуют, коэффициент 10.

    Опираясь на полученные коэффициенты мы можем получить коэффициент актуальности реализуемости угрозы Y. Определить его можно по следующей простой формуле:


    Y = (Y1+Y2)/20


    Полученное значение оценивается следующим образом:

    • от 0 до 0,3 — низкая вероятность;
    • больше 0,3, менее либо равно 0,6 — вероятность средняя;
    • больше 0,6, менее либо равно 0,8 — вероятность высокая;
    • больше 0,8 — вероятность очень высокая.

    Затем необходимо определить ключевой параметр модели — актуальность угрозы. Определяется по следующей таблице, где значение «Н» — неактуальная угроза,«А» — актуальная угроза.

    моделирование угроз информационной безопасности

    Исходя из информации, собранной выше, можно составить полный перечень угроз безопасности данных, актуальных для каждой конкретной организации.

    Важно! Выявление и оценка потенциальных угроз должны носить систематический характер, производиться на этапе разработки информационной системы до момента ее ввода в эксплуатацию. На этапе эксплуатации оценка угроз производится с целью проверки соответствия принятых в организации мер безопасности актуальным угрозам.

    Другие примеры методологий моделирования угроз

    • PASTA (Process for Attack Simulation and Threat Analysis) — это методология МУ, ориентированная на риски. Модель включает семь этапов: определение целей, определение технической области, декомпозиция, идентификация угроз, анализ уязвимостей, моделирование атак и анализ рисков. PASTA позволяет проводить комплексный анализ потенциальных угроз и их потенциала воздействия на систему.
    • TRIKE. Методология направлена на выявление ИБ-рисков для ценных информационных активов организации. TRIKE подразумевает создание диаграммы потока данных, идентификацию активов, определение потенциальных угроз, выявление субъектов, заинтересованных в компрометации данных.
    • FIXED (Functionality, Information, External entities, Data flow и Entry points — рус. Функциональность, Информация, Внешние сущности, Поток данных и Точки входа). Модель фокусируется на анализе угроз для каждого из перечисленных компонентов. FIXED рекомендуется к применению в компаниях, обрабатывающих большие массивы данных.
    • CVSS (Common Vulnerability Scoring System — рус. Общая система оценки уязвимости). Методология фиксировать основные характеристики уязвимости и выдавать числовую оценку, отражающую ее серьезность для ИБ организации. Числовую оценку можно перевести в вербальную характеристику (например, «низкий», «средний», «высокий» и «критический» уровень), чтобы определить серьезность и потенциальный ущерб, который может получить ИС в случае использования уязвимости для осуществления угрозы.

    Роль DLP-системы Falcongaze SecureTower в обеспечении защиты чувствительной информации

    DLP SecureTower позволяет существенно минимизировать риски утечки данных по вине сотрудников.

    Система автоматически и непрерывно мониторит информационные каналы, перехватывает и анализирует данные на предмет движения и изменения конфиденциальной информации: коммерчески ценных сведений, документов с меткой конфиденциальности, документов с печатями, чертежей, схем и проч.

    Для этого в системе предусмотрены такие аналитические инструменты: статистический, контентный анализ, анализ по цифровым отпечаткам, поиск по меткам конфиденциальности, инвентаризация оборудования и приложений, категоризатор приложений и проч.

    фалкон гейс

    Опробовать все возможности системы можно бесплатно в течение 30 дней. Свяжитесь с нашими менеджерами для консультации по телефонам, указанным на сайте, или оформите заявку на получение доступа здесь. К каждому клиенту нашей компании мы прикрепляем технического специалиста и менеджера, которые обучат правилам работы с системой, помогут настроить правила безопасности и ответят на любые вопросы, если такие возникнуть в течение пробного периода или во время использования системы.

    фалконгейз

    В заключение

    Процесс моделирования ИБ-угроз должен проводиться регулярно — это необходимо для того, чтобы совершенствовать ИБ-систему, актуализировать принятые меры.

    При правильном выполнении моделирование угроз позволяет рационально распределять средства на защитные меры, выявлять уязвимости ИС, существенно сузить круг угроз и, что немаловажно, сформировать план действий в случае их реализации.

    Моделирование угроз позволяет сделать информационную систему надежной и устойчивой.

    Важные публикации