Модель угроз информационной безопасности

В этой статье мы разберем, что такое модель угроз информационной безопасности и зачем она нужна вашей организации.

В статье мы рассмотрим:

1. Зачем нужно моделирование угроз информационной безопасности?

2. Как составить модель угроз безопасности данных

3. Как составить список актуальных угроз информационной безопасности?

4. Как составить список актуальных угроз?

5. Другие примеры методологий моделирования угроз

6. Роль DLP-системы Falcongaze SecureTower в обеспечении защиты чувствительной информации

Для начала разберем основные термины и их значения.

Угроза безопасности информации — это ситуации, действия, обстоятельства и процессы, которые могут привести к нарушению целостности, конфиденциальности и охраняемых сведений. Угрозы могут исходить от третьих лиц и целых групп, природных явлений, стихийных бедствий и проч. В контексте обеспечения ИБ в организациях угрозы также могут представлять сотрудники, клиенты, подрядчики и контрагенты.

Подробнее об ИБ-угрозах мы рассказали тут.

Модель угроз безопасности информации (далее — МУ) — это термин, применяемый к задокументированному перечню потенциальных источников опасности и нежелательных событий для ИБ каждой конкретной организации. 

Соответственно, моделирование ИБ-угроз — это формализованная тактика, которая помогает компаниям выявлять слабости внутри системы, а также ИБ-угрозы, управлять ими и делать менее ощутимыми потенциальные негативные результаты. 

Процедуры моделирования угроз могут различаться. Это зависит от сложности архитектуры каждой конкретной ИС. При этом любые организации, которые внедрят данную процедуру и сделают ее рутинной, смогут сузить круг угроз, изучать их и постоянно совершенствовать систему управления безопасностью данных.

Информационная система (далее — ИС) — это совокупность ПО, оборудования и телекоммуникационных сетей, которые применяются для сбора, обработки, эксплуатации и хранения информационных активов.

Далее мы рассмотрим преимущества моделирования ИБ-угроз для организаций.

 Зачем нужно моделирование угроз информационной безопасности?

Как уже говорилось выше, регулярное проведение процедуры моделирования угроз позволяет организациям существенно сократить риски информационной безопасности. Помимо этого, можно выделить и другие преимущества. Рассмотрим их подробнее.

Уязвимости ИС будут выявлены до того, как злоумышленники используют их. Процедура моделирования угроз позволяет ИБ-специалистам действовать превентивно, то есть разрабатывать и внедрять соответствующие средства защиты до момента реализации угрозы.

Чем больше уязвимостей системы будет устранено на раннем этапе, тем меньше времени и ресурсов будет потрачено на исправление ошибок, восстановление работоспособности ИС, ее информационных активов и, конечно, тем меньше будет финансовый и репутационный ущерб, который понесет организация. 

Подробнее тема раскрыта в нашей статье «Управление инцидентами информационной безопасности».

Экономическая выгода. Моделирование угроз помогает организациям понять, какие угрозы требуют наибольшего внимания и ресурсов, на какие меры безопасности стоит выделить бюджет, а какие меры будут избыточными и тратить средства на них нерационально.

Соответствие требованиям регуляторов. Моделирование угроз помогает компаниям соблюдать требования, описанные в нормативно-правовых актах. Например, GDPR (Общий регламент по защите данных) обязывает организации выявлять риски, возникающие в результате обработки персональных данных, и минимизировать эти риски как можно раньше. Этот процесс должен повторяться не реже одного раза в три года. Невыполнение этого и других требований, описанных в GDPR, может повлечь штраф вплоть до 4% от годового дохода бизнеса.

Помимо GDPR, существуют и другие правовые распоряжения, регулирующие вопросы формирования стратегии безопасности в целом и структурирования МУ в частности.

Регуляторы предписывают разрабатывать модель ИБ-угроз 

В правовой базе РФ содержатся требования и различные рекомендации к разработке МУ.

Так, в Федеральном законе №152-ФЗ «О персональных данных», статья 19, пункт 2 предписано определять угрозы безопасности данных граждан. 

Приказ ФСТЭК России от 18 февраля 2013 г. №21, статья 1, пункт 4, регламентирующий вопросы защиты персональных данных (далее — ПД) граждан, предписывает внедрять меры по обеспечению информационной безопасности, включая использование различных аппаратных и программных средств для предупреждения и нивелирования угроз, осуществление которых приведет к компрометации охраняемых сведений. 

В Приказе ФСТЭК России от 11 февраля 2013 г. №17, статья 1, пункт 14, описаны регламенты защиты информации с анализом рисков

Еще один Приказ Федеральной службы от 14 марта 2014 г. №31, регламентирующий основные критерии защиты данных в автоматизированных системах управления (далее — АСУ) на объектах критической информационной инфраструктуры (далее — КИИ), обязывает организации выявлять и анализировать угрозы ИБ для составления модели актуальных угроз.

Согласно Приказу ФСТЭК России от 25 декабря 2017 г. №239, при обеспечении безопасности объектов КИИ необходимо анализировать потенциальные ИБ-угрозы и, опираясь на агрегированный массив данных, формировать МУ — или актуализировать ее, если она уже есть.

Исходя из сказанного выше, компании и предприятия обязаны разработать и регулярно актуализировать МУ — чтобы отвечать строгим предписаниям регуляторов.

 Как составить модель угроз безопасности данных? 

В этом материале мы рассмотрим моделирование угроз на примере модели, рекомендованной Федеральной службой по техническому и экспортному контролю. 

В Приказе ФСТЭК России  от 11 февраля 2013 г. №17 описаны следующие требования к содержанию МУ:

• структура ИС, ее архитектура и свойства;
• перечень актуальных угроз, их подробное описание, возможные пути их реализации, потенциальные последствия;
• потенциальные источники угроз, в том числе нарушители;
• слабые места ИС.

Методические рекомендации и стандарты

Некоторые государственные учреждения уполномочены разрабатывать и утверждать нормативно-правовую документацию, которая регламентирует вопросы обеспечения ИБ организаций, в том числе используемые методы, программные и технические средства и проч. В РФ регуляторами по вопросам информационной безопасности являются: ФСО, ФСТЭК, ФСБ, Роскомнадзор. Определенные полномочия имеет и Минкомсвязь России.

Основные  рекомендации по составляю модели угроз дает Методический документ «Методика оценки угроз безопасности информации», утвержденная ФСТЭК России 5 февраля 2021 года. Подход, изложенный в документе, сосредоточен преимущественно на угрозах, вызванных антропогенным фактором. 

При этом важно учитывать, для ИС какой организации создается МУ и какие требования предъявляют регуляторы к их системам защиты в общем и моделированию угроз в частности. Так, предписания к охране АСУ ТП на объектах КИИ будут отличаться от требований, предъявляемых к организациям из банковского сектора. Риски и угрозы безопасности данных для этих организаций существенно различаются — как и возможные последствия.

Поэтому, проектируя модель угроз для АСУ ТП, можно не включать Приказы №№ 17 и 21 ФСТЭК, при этом следует добавить Приказ №31.

Для организаций, собирающих и обрабатывающих ПД граждан РФ,  ФСТЭК разработал и утвердил документ «Базовая модель угроз безопасности ПД при их обработке в ИС» от 15.02.2008.

Оптимальная модель защиты данных

ФСТЭК рекомендует оформлять МУ документально. Основные рекомендации по оформлению указаны в Приложении 3 к «Методике оценки угроз безопасности информации».

Вступительная часть должна содержать список сокращений, основные определения и понятия.

Важно: согласно Постановлению Правительства РФ от 11 мая 2017 г. №555, МУ государственной информационной системы утверждает уполномоченное представитель государственной власти — и подписывает титульный лист соответственно. В негосударственных структурах МУ утверждает и подписывает владелец ИС.

Общие положения

В данном разделе, как правило, обосновывают проведение процедуры моделирования угроз, указывая тип информации, которая нуждается в защите: ПД граждан, ноу-хау, данные ограниченного доступа и данные, которые не являются конфиденциальными, при этом их изменение или уничтожение могут привести к различным последствиям. Речь идет об остановке производства, порче или уничтожении дорогостоящего оборудования, станков, замедлению бизнес-процессов и проч.

Описание ИС и ее характеристик

Здесь необходимо описать технологическую инфраструктуру компании:

• расположение и название ИС;
• архитектура ИС, ее задачи;
• процессы;
• классы пользователей и их группы;
• тип и класс обрабатываемых данных.

Не стоит описывать ИС слишком подробно. Например, копирование информации из технических паспортов оборудования будет избыточным. При этом, человек, который не работал с ИС ранее, из документа должен понять, как она устроена.

В этот же раздел необходимо добавить пункт «Охрана помещений», в котором будут описаны введенные на предприятии защитные меры: пост охраны, средства ограничения доступа, сигнализация, видеонаблюдение и проч.

Если организация использует средства криптографической защиты данных, их также можно указать. Если нет — данный пункт можно вычеркнуть.

Возможные последствия в случае реализации угроз

В данном разделе описывают возможный ущерб, который понесет владелец ИС в случае реализации угроз.

Объекты, на которые могут воздействовать нарушители

Перечень компонентов ИС, влияние на которые приводит к нежелательным последствиям: эксфильтрации данных, нарушению их сохранности и доступности.

Возможные источники угроз, модель нарушителя

В этом разделе требуется указать возможные слабые места в защите информации — то есть составлена модель нарушителей. Источником ИБ-угроз могут быть природные явления, стихийные бедствия, износ оборудования. При этом основная часть угроз, как правило, вызвана антропогенным фактором, то есть действиями нарушителей.

Нарушитель безопасности информации — это человек, случайные или умышленные действия которого привели к утечке, искажению или уничтожению ценных информационных активов.

Нарушителей разделяют на внешних и внутренних. Каждый тип нарушителей классифицируется по масштабу потенциального вреда, который может быть причинен ИС его действиями — это «базовый», «базовый повышенный», «средний» и «высокий» высокий.

Важно: наиболее опасными по данной классификации являются внутренние нарушители с доступом к чувствительным активам. 

Как правило, потенциальным нарушителям присваивают средний и низкий потенциал.

«Методика» предлагает следующий перечень возможных нарушителей:

• представители иностранных спецслужб;
• террористы, экстремисты;
• киберпреступники, киберкриминальные группировки;
• недобросовестные конкуренты;
• поставщики ПО и технических средств;
• ИТ-специалисты, привлекаемые к настройке и обслуживанию рабочих станций и иного оборудования;
• внутренние пользователи, в том числе наделенные исключительными привилегиями и с высокой степенью доверия со стороны владельца ИС;
• системные администраторы, офицеры безопасности и их отделы;
• сотрудники, трудовые отношения с которыми были разорваны.

Список правонарушителей варьируется с учетом особенностей учреждения и его задач.

В приложении 9 к Методике приведены примеры определения актуальных нарушителей.

Способы реализации угроз

В этом разделе должны быть рассмотрены пути компрометации систем, которые могут создать угрозы ИБ. Также целесообразно перечислить ПО, системы и сервисы, используя которые злоумышленник может внедриться за контур безопасности организации.

В «Методике» приведены следующие способы реализации:

• заражение системы вирусами;
• использование различных уязвимостей ИС;
• использование скрытых информационных каналов для хищения охраняемых данных или создание новых каналов;
• непреднамеренные действия персонала организации, которые стали причиной утечки данных;
• перехват побочного электромагнитного излучения и проч.

Информационная угроза может реализоваться через различные вектора, а также сразу несколькими способами.

Перечень алгоритмов воздействия на безопасность может улучшаться и пополняться в соответствии со спецификой деятельности каждой конкретной организации. Кроме того, организации должны регулярно актуализировать данный перечень по мере возникновения новых неучтенных способов.

Уязвимости информационной системы

При описании МУ необходимо указать и уязвимости информационной системы. При описании уязвимостей системы целесообразно перечислять не уязвимости, а классы уязвимостей. 

Список актуальных уязвимостей для каждой конкретной инфраструктуры динамично изменяется — это нормально. Одни уязвимости выявляются и устраняются, другие возникают. 

Перечень классов уязвимости не указан в «Методике», однако исчерпывающе описан в ГОСТ Р 56546-2015, Уязвимости информационных систем». Среди прочих можно выделить такие классы:

• по области происхождения: уязвимости кода, конфигурации и проч.;
• по типу недостатков ИС: ошибки в настройке компонентов системы и проч.;
• по месту возникновения и проч.

 Как составить список актуальных угроз информационной безопасности?

Данный раздел составляется с учетом уже собранных данных. Здесь, помимо перечня возможных угроз, необходимо расписать вероятные сценарии и возможные последствия от их реализации. Завершается раздел выводами об актуальности описанных угроз. Перечень угроз формируется на основе списка, предложенного ФСТЭК. 

Для начала необходимо составить перечень с описанием угроз в виде таблицы, как показано на рисунке.

Указывать угрозы необходимо с идентификатором и описанием. Информация о способах реализации также берется из перечня на официальном сайте федеральной службы.

С полным перечнем ИБ-угроз по ФСТЭК России вы можете ознакомиться тут, в Банке данных угроз безопасности информации (БДУ).

Данные для столбцов о потенциалах внутренних и внешних нарушителей каждая организация определяет самостоятельно, опираясь на пункт «Возможные источники угроз, модель нарушителя» данной статьи.

Информация для столбца «Объекты воздействия» также представлена в БДУ.

На заметку! Некоторые источники рекомендуют вести список неактуальных угроз с обоснованием причины их исключения из списка. Например, можно исключить угрозы, характерные для АСУ ТП, если организация работает в банковском секторе.

В столбец «Нарушаемые свойства» необходимо внести, какие свойства данных нарушает угроза в случае реализации: конфиденциальность, целостность, доступность. 

В столбец «Предпосылки» вносят информацию о существующих предпосылках реализации угрозы. 

 Финальный шаг: на основе собранных материалов составляем список актуальных угроз

Для этого нам потребуется провести анализ исходной защищенности и определить риск осуществления угрозы — то есть уточнить коэффициент Y1 и Y2.

Анализ исходной защищенности

Степень исходной защищенности, или коэффициент исходной защищенности Y1, определяется посредством списка характеристик, предложенных в «Методике». Чтобы получить значение Y1, выберите одно из значений, предложенных ФСТЭК.

Таблицу с указанием показателей исходной защищенности можно найти тут. 

В зависимости от выбранных значений определяется уровень защищенности: высокий, средний или низкий.

• Если 70% и более характеристик соответствуют значению «высокий», остальные 30% характеристик соответствуют уровню «средний», уровень исходной защищенности будет высоким, соответственно, коэффициент будет равен 0.
• Если 70% и более характеристик соответствуют значению «высокий», при этом некоторые характеристики соответствуют значению «низкий», уровень исходной защищенности будет средним, соответственно, коэффициент будет равен 5.
• Если менее 70% характеристик имеют значение «высокий», уровень исходной защищенности будет низким, коэффициент будет равен 10. 

Вероятность реализации угрозы 

Под строчкой «Вероятность реализации угрозы», или коэффициент Y2, необходимо указать, с какой вероятностью может реализоваться угроза в анализируемой ИС и в текущих условиях.

Меры по нейтрализации угрозы считаются эффективными и полными, если они устраняют все ее компоненты. Если же компоненты устранены не все, меры считаются принятыми, но неполными. В ситуации, когда меры не позволяют нейтрализовать ни один компонент угрозы, они считаются непринятыми.

Для определения коэффициента используют четыре градации:

• маловероятно — возможности реализации не выявлены, коэффициент 0;
• низкая вероятность — принятых мер безопасности достаточно, чтобы существенно сократить риски реализации угрозы, коэффициент 2;
• средняя вероятность — возможности реализации выявлены, меры безопасности организованы, но их недостаточно, коэффициент 5;
• высокая вероятность — возможности реализации выявлены, меры безопасности отсутствуют, коэффициент 10.

Опираясь на полученные коэффициенты мы можем получить коэффициент актуальности реализуемости угрозы Y. Определить его можно по следующей простой формуле:

Y = (Y1+Y2)/20

Полученное значение оценивается следующим образом:

• от 0 до 0,3 — низкая вероятность;
• больше 0,3, менее либо равно 0,6 — вероятность средняя;
• больше 0,6, менее либо равно 0,8  — вероятность высокая;
• больше 0,8  — вероятность очень высокая.

Затем необходимо определить ключевой параметр модели — актуальность угрозы. Определяется по следующей таблице, где значение «Н» — неактуальная угроза, «А» — актуальная угроза.

Исходя из информации, собранной выше, можно составить полный перечень угроз безопасности данных, актуальных для каждой конкретной организации. 

Важно! Выявление и оценка потенциальных угроз должны носить систематический характер, производиться на этапе разработки информационной системы до момента ее ввода в эксплуатацию. На этапе эксплуатации оценка угроз производится с целью проверки соответствия принятых в организации мер безопасности актуальным угрозам.

 Другие примеры методологий моделирования угроз

• PASTA (Process for Attack Simulation and Threat Analysis) — это методология МУ, ориентированная на риски. Модель включает семь этапов: определение целей, определение технической области, декомпозиция, идентификация угроз, анализ уязвимостей, моделирование атак и анализ рисков. PASTA позволяет проводить комплексный анализ потенциальных угроз и их потенциала воздействия на систему.
• TRIKE. Методология направлена на выявление ИБ-рисков для ценных информационных активов организации. TRIKE подразумевает создание диаграммы потока данных, идентификацию активов, определение потенциальных угроз, выявление субъектов, заинтересованных в компрометации данных. 
• FIXED (Functionality, Information, External entities, Data flow и Entry points — рус. Функциональность, Информация, Внешние сущности, Поток данных и Точки входа). Модель фокусируется на анализе угроз для каждого из перечисленных компонентов. FIXED рекомендуется к применению в компаниях, обрабатывающих большие массивы данных.
• CVSS (Common Vulnerability Scoring System — рус. Общая система оценки уязвимости). Методология фиксировать основные характеристики уязвимости и выдавать числовую оценку, отражающую ее серьезность для ИБ организации. Числовую оценку можно перевести в вербальную характеристику (например, «низкий», «средний», «высокий» и «критический» уровень), чтобы определить серьезность и потенциальный ущерб, который может получить ИС в случае использования уязвимости для осуществления угрозы.

 Роль DLP-системы Falcongaze SecureTower в обеспечении защиты чувствительной информации

DLP SecureTower позволяет существенно минимизировать риски утечки данных по вине сотрудников.

Система автоматически и непрерывно мониторит информационные каналы, перехватывает и анализирует данные на предмет движения и изменения конфиденциальной информации: коммерчески ценных сведений, документов с меткой конфиденциальности, документов  с печатями, чертежей, схем и проч.

Для этого в системе предусмотрены такие аналитические инструменты: статистический, контентный анализ, анализ по цифровым отпечаткам, поиск по меткам конфиденциальности, инвентаризация оборудования и приложений, категоризатор  приложений и проч.

Опробовать все возможности системы можно бесплатно в течение 30 дней. Свяжитесь с нашими менеджерами для консультации по телефонам, указанным на сайте, или оформите заявку на получение доступа здесь. К каждому клиенту нашей компании мы прикрепляем технического специалиста и менеджера, которые обучат правилам работы с системой, помогут настроить правила безопасности и ответят на любые вопросы, если такие возникнуть в течение пробного периода или во время использования системы.

В заключение

Процесс моделирования ИБ-угроз должен проводиться регулярно — это необходимо для того, чтобы совершенствовать ИБ-систему, актуализировать принятые меры.

При правильном выполнении моделирование угроз позволяет рационально распределять средства на защитные меры, выявлять уязвимости ИС, существенно сузить круг угроз и, что немаловажно, сформировать план действий в случае их реализации.

Моделирование угроз позволяет сделать информационную систему надежной и устойчивой.