В этой статье мы разберем, что такое модель угроз информационной безопасности и зачем она нужна вашей организации.
В статье мы рассмотрим:
1. Зачем нужно моделирование угроз информационной безопасности?
2. Как составить модель угроз безопасности данных
3. Как составить список актуальных угроз информационной безопасности?
4. Как составить список актуальных угроз?
5. Другие примеры методологий моделирования угроз
6. Роль DLP-системы Falcongaze SecureTower в обеспечении защиты чувствительной информации
Для начала разберем основные термины и их значения.
Угроза безопасности информации — это ситуации, действия, обстоятельства и процессы, которые могут привести к нарушению целостности, конфиденциальности и охраняемых сведений. Угрозы могут исходить от третьих лиц и целых групп, природных явлений, стихийных бедствий и проч. В контексте обеспечения ИБ в организациях угрозы также могут представлять сотрудники, клиенты, подрядчики и контрагенты.
Подробнее об ИБ-угрозах мы рассказали тут.
Модель угроз безопасности информации (далее — МУ) — это термин, применяемый к задокументированному перечню потенциальных источников опасности и нежелательных событий для ИБ каждой конкретной организации.
Соответственно, моделирование ИБ-угроз — это формализованная тактика, которая помогает компаниям выявлять слабости внутри системы, а также ИБ-угрозы, управлять ими и делать менее ощутимыми потенциальные негативные результаты.
Процедуры моделирования угроз могут различаться. Это зависит от сложности архитектуры каждой конкретной ИС. При этом любые организации, которые внедрят данную процедуру и сделают ее рутинной, смогут сузить круг угроз, изучать их и постоянно совершенствовать систему управления безопасностью данных.
Информационная система (далее — ИС) — это совокупность ПО, оборудования и телекоммуникационных сетей, которые применяются для сбора, обработки, эксплуатации и хранения информационных активов.
Далее мы рассмотрим преимущества моделирования ИБ-угроз для организаций.
Как уже говорилось выше, регулярное проведение процедуры моделирования угроз позволяет организациям существенно сократить риски информационной безопасности. Помимо этого, можно выделить и другие преимущества. Рассмотрим их подробнее.
Уязвимости ИС будут выявлены до того, как злоумышленники используют их. Процедура моделирования угроз позволяет ИБ-специалистам действовать превентивно, то есть разрабатывать и внедрять соответствующие средства защиты до момента реализации угрозы.
Чем больше уязвимостей системы будет устранено на раннем этапе, тем меньше времени и ресурсов будет потрачено на исправление ошибок, восстановление работоспособности ИС, ее информационных активов и, конечно, тем меньше будет финансовый и репутационный ущерб, который понесет организация.
Подробнее тема раскрыта в нашей статье «Управление инцидентами информационной безопасности».
Экономическая выгода. Моделирование угроз помогает организациям понять, какие угрозы требуют наибольшего внимания и ресурсов, на какие меры безопасности стоит выделить бюджет, а какие меры будут избыточными и тратить средства на них нерационально.
Соответствие требованиям регуляторов. Моделирование угроз помогает компаниям соблюдать требования, описанные в нормативно-правовых актах. Например, GDPR (Общий регламент по защите данных) обязывает организации выявлять риски, возникающие в результате обработки персональных данных, и минимизировать эти риски как можно раньше. Этот процесс должен повторяться не реже одного раза в три года. Невыполнение этого и других требований, описанных в GDPR, может повлечь штраф вплоть до 4% от годового дохода бизнеса.
Помимо GDPR, существуют и другие правовые распоряжения, регулирующие вопросы формирования стратегии безопасности в целом и структурирования МУ в частности.
В правовой базе РФ содержатся требования и различные рекомендации к разработке МУ.
Так, в Федеральном законе №152-ФЗ «О персональных данных», статья 19, пункт 2 предписано определять угрозы безопасности данных граждан.
Приказ ФСТЭК России от 18 февраля 2013 г. №21, статья 1, пункт 4, регламентирующий вопросы защиты персональных данных (далее — ПД) граждан, предписывает внедрять меры по обеспечению информационной безопасности, включая использование различных аппаратных и программных средств для предупреждения и нивелирования угроз, осуществление которых приведет к компрометации охраняемых сведений.
В Приказе ФСТЭК России от 11 февраля 2013 г. №17, статья 1, пункт 14, описаны регламенты защиты информации с анализом рисков
Еще один Приказ Федеральной службы от 14 марта 2014 г. №31, регламентирующий основные критерии защиты данных в автоматизированных системах управления (далее — АСУ) на объектах критической информационной инфраструктуры (далее — КИИ), обязывает организации выявлять и анализировать угрозы ИБ для составления модели актуальных угроз.
Согласно Приказу ФСТЭК России от 25 декабря 2017 г. №239, при обеспечении безопасности объектов КИИ необходимо анализировать потенциальные ИБ-угрозы и, опираясь на агрегированный массив данных, формировать МУ — или актуализировать ее, если она уже есть.
Исходя из сказанного выше, компании и предприятия обязаны разработать и регулярно актуализировать МУ — чтобы отвечать строгим предписаниям регуляторов.
В этом материале мы рассмотрим моделирование угроз на примере модели, рекомендованной Федеральной службой по техническому и экспортному контролю.
В Приказе ФСТЭК России от 11 февраля 2013 г. №17 описаны следующие требования к содержанию МУ:
Некоторые государственные учреждения уполномочены разрабатывать и утверждать нормативно-правовую документацию, которая регламентирует вопросы обеспечения ИБ организаций, в том числе используемые методы, программные и технические средства и проч. В РФ регуляторами по вопросам информационной безопасности являются: ФСО, ФСТЭК, ФСБ, Роскомнадзор. Определенные полномочия имеет и Минкомсвязь России.
Основные рекомендации по составляю модели угроз дает Методический документ «Методика оценки угроз безопасности информации», утвержденная ФСТЭК России 5 февраля 2021 года. Подход, изложенный в документе, сосредоточен преимущественно на угрозах, вызванных антропогенным фактором.
При этом важно учитывать, для ИС какой организации создается МУ и какие требования предъявляют регуляторы к их системам защиты в общем и моделированию угроз в частности. Так, предписания к охране АСУ ТП на объектах КИИ будут отличаться от требований, предъявляемых к организациям из банковского сектора. Риски и угрозы безопасности данных для этих организаций существенно различаются — как и возможные последствия.
Поэтому, проектируя модель угроз для АСУ ТП, можно не включать Приказы №№ 17 и 21 ФСТЭК, при этом следует добавить Приказ №31.
Для организаций, собирающих и обрабатывающих ПД граждан РФ, ФСТЭК разработал и утвердил документ «Базовая модель угроз безопасности ПД при их обработке в ИС» от 15.02.2008.
ФСТЭК рекомендует оформлять МУ документально. Основные рекомендации по оформлению указаны в Приложении 3 к «Методике оценки угроз безопасности информации».
Вступительная часть должна содержать список сокращений, основные определения и понятия.
Важно: согласно Постановлению Правительства РФ от 11 мая 2017 г. №555, МУ государственной информационной системы утверждает уполномоченное представитель государственной власти — и подписывает титульный лист соответственно. В негосударственных структурах МУ утверждает и подписывает владелец ИС.
В данном разделе, как правило, обосновывают проведение процедуры моделирования угроз, указывая тип информации, которая нуждается в защите: ПД граждан, ноу-хау, данные ограниченного доступа и данные, которые не являются конфиденциальными, при этом их изменение или уничтожение могут привести к различным последствиям. Речь идет об остановке производства, порче или уничтожении дорогостоящего оборудования, станков, замедлению бизнес-процессов и проч.
Здесь необходимо описать технологическую инфраструктуру компании:
Не стоит описывать ИС слишком подробно. Например, копирование информации из технических паспортов оборудования будет избыточным. При этом, человек, который не работал с ИС ранее, из документа должен понять, как она устроена.
В этот же раздел необходимо добавить пункт «Охрана помещений», в котором будут описаны введенные на предприятии защитные меры: пост охраны, средства ограничения доступа, сигнализация, видеонаблюдение и проч.
Если организация использует средства криптографической защиты данных, их также можно указать. Если нет — данный пункт можно вычеркнуть.
В данном разделе описывают возможный ущерб, который понесет владелец ИС в случае реализации угроз.
Перечень компонентов ИС, влияние на которые приводит к нежелательным последствиям: эксфильтрации данных, нарушению их сохранности и доступности.
В этом разделе требуется указать возможные слабые места в защите информации — то есть составлена модель нарушителей. Источником ИБ-угроз могут быть природные явления, стихийные бедствия, износ оборудования. При этом основная часть угроз, как правило, вызвана антропогенным фактором, то есть действиями нарушителей.
Нарушитель безопасности информации — это человек, случайные или умышленные действия которого привели к утечке, искажению или уничтожению ценных информационных активов.
Нарушителей разделяют на внешних и внутренних. Каждый тип нарушителей классифицируется по масштабу потенциального вреда, который может быть причинен ИС его действиями — это «базовый», «базовый повышенный», «средний» и «высокий» высокий.
Важно: наиболее опасными по данной классификации являются внутренние нарушители с доступом к чувствительным активам.
Как правило, потенциальным нарушителям присваивают средний и низкий потенциал.
«Методика» предлагает следующий перечень возможных нарушителей:
Список правонарушителей варьируется с учетом особенностей учреждения и его задач.
В приложении 9 к Методике приведены примеры определения актуальных нарушителей.
В этом разделе должны быть рассмотрены пути компрометации систем, которые могут создать угрозы ИБ. Также целесообразно перечислить ПО, системы и сервисы, используя которые злоумышленник может внедриться за контур безопасности организации.
В «Методике» приведены следующие способы реализации:
Информационная угроза может реализоваться через различные вектора, а также сразу несколькими способами.
Перечень алгоритмов воздействия на безопасность может улучшаться и пополняться в соответствии со спецификой деятельности каждой конкретной организации. Кроме того, организации должны регулярно актуализировать данный перечень по мере возникновения новых неучтенных способов.
При описании МУ необходимо указать и уязвимости информационной системы. При описании уязвимостей системы целесообразно перечислять не уязвимости, а классы уязвимостей.
Список актуальных уязвимостей для каждой конкретной инфраструктуры динамично изменяется — это нормально. Одни уязвимости выявляются и устраняются, другие возникают.
Перечень классов уязвимости не указан в «Методике», однако исчерпывающе описан в ГОСТ Р 56546-2015, Уязвимости информационных систем». Среди прочих можно выделить такие классы:
Данный раздел составляется с учетом уже собранных данных. Здесь, помимо перечня возможных угроз, необходимо расписать вероятные сценарии и возможные последствия от их реализации. Завершается раздел выводами об актуальности описанных угроз. Перечень угроз формируется на основе списка, предложенного ФСТЭК.
Для начала необходимо составить перечень с описанием угроз в виде таблицы, как показано на рисунке.
Указывать угрозы необходимо с идентификатором и описанием. Информация о способах реализации также берется из перечня на официальном сайте федеральной службы.
С полным перечнем ИБ-угроз по ФСТЭК России вы можете ознакомиться тут, в Банке данных угроз безопасности информации (БДУ).
Данные для столбцов о потенциалах внутренних и внешних нарушителей каждая организация определяет самостоятельно, опираясь на пункт «Возможные источники угроз, модель нарушителя» данной статьи.
Информация для столбца «Объекты воздействия» также представлена в БДУ.
На заметку! Некоторые источники рекомендуют вести список неактуальных угроз с обоснованием причины их исключения из списка. Например, можно исключить угрозы, характерные для АСУ ТП, если организация работает в банковском секторе.
В столбец «Нарушаемые свойства» необходимо внести, какие свойства данных нарушает угроза в случае реализации: конфиденциальность, целостность, доступность.
В столбец «Предпосылки» вносят информацию о существующих предпосылках реализации угрозы.
Для этого нам потребуется провести анализ исходной защищенности и определить риск осуществления угрозы — то есть уточнить коэффициент Y1 и Y2.
Степень исходной защищенности, или коэффициент исходной защищенности Y1, определяется посредством списка характеристик, предложенных в «Методике». Чтобы получить значение Y1, выберите одно из значений, предложенных ФСТЭК.
Таблицу с указанием показателей исходной защищенности можно найти тут.
В зависимости от выбранных значений определяется уровень защищенности: высокий, средний или низкий.
Под строчкой «Вероятность реализации угрозы», или коэффициент Y2, необходимо указать, с какой вероятностью может реализоваться угроза в анализируемой ИС и в текущих условиях.
Меры по нейтрализации угрозы считаются эффективными и полными, если они устраняют все ее компоненты. Если же компоненты устранены не все, меры считаются принятыми, но неполными. В ситуации, когда меры не позволяют нейтрализовать ни один компонент угрозы, они считаются непринятыми.
Для определения коэффициента используют четыре градации:
Опираясь на полученные коэффициенты мы можем получить коэффициент актуальности реализуемости угрозы Y. Определить его можно по следующей простой формуле:
Y = (Y1+Y2)/20
Полученное значение оценивается следующим образом:
Затем необходимо определить ключевой параметр модели — актуальность угрозы. Определяется по следующей таблице, где значение «Н» — неактуальная угроза, «А» — актуальная угроза.
Исходя из информации, собранной выше, можно составить полный перечень угроз безопасности данных, актуальных для каждой конкретной организации.
Важно! Выявление и оценка потенциальных угроз должны носить систематический характер, производиться на этапе разработки информационной системы до момента ее ввода в эксплуатацию. На этапе эксплуатации оценка угроз производится с целью проверки соответствия принятых в организации мер безопасности актуальным угрозам.
DLP SecureTower позволяет существенно минимизировать риски утечки данных по вине сотрудников.
Система автоматически и непрерывно мониторит информационные каналы, перехватывает и анализирует данные на предмет движения и изменения конфиденциальной информации: коммерчески ценных сведений, документов с меткой конфиденциальности, документов с печатями, чертежей, схем и проч.
Для этого в системе предусмотрены такие аналитические инструменты: статистический, контентный анализ, анализ по цифровым отпечаткам, поиск по меткам конфиденциальности, инвентаризация оборудования и приложений, категоризатор приложений и проч.
Опробовать все возможности системы можно бесплатно в течение 30 дней. Свяжитесь с нашими менеджерами для консультации по телефонам, указанным на сайте, или оформите заявку на получение доступа здесь. К каждому клиенту нашей компании мы прикрепляем технического специалиста и менеджера, которые обучат правилам работы с системой, помогут настроить правила безопасности и ответят на любые вопросы, если такие возникнуть в течение пробного периода или во время использования системы.
Процесс моделирования ИБ-угроз должен проводиться регулярно — это необходимо для того, чтобы совершенствовать ИБ-систему, актуализировать принятые меры.
При правильном выполнении моделирование угроз позволяет рационально распределять средства на защитные меры, выявлять уязвимости ИС, существенно сузить круг угроз и, что немаловажно, сформировать план действий в случае их реализации.
Моделирование угроз позволяет сделать информационную систему надежной и устойчивой.