Модель угроз информационной безопасности
План статьи
В этой статье мы разберем, что такое модель угроз информационной безопасности и зачем она нужна вашей организации. Для начала разберем основные термины.
Угроза безопасности информации — это ситуации, действия, обстоятельства и процессы, которые могут привести к нарушению целостности, конфиденциальности и доступности охраняемых сведений. Угрозы могут исходить от третьих лиц, природных явлений или стихийных бедствий. В контексте обеспечения ИБ в организациях угрозы также могут представлять сотрудники, клиенты, подрядчики и контрагенты.
Модель угроз безопасности информации (МУ) — это документ, содержащий систематизированный перечень потенциальных источников опасности и нежелательных событий для ИБ каждой конкретной организации.
Моделирование ИБ-угроз — это формализованная тактика, которая помогает компаниям выявлять слабости внутри системы, управлять рисками и минимизировать потенциальный ущерб. Процедуры моделирования могут различаться в зависимости от сложности архитектуры конкретной информационной системы (ИС).
Зачем нужно моделирование угроз информационной безопасности?
Регулярное проведение процедуры моделирования угроз позволяет организациям существенно сократить риски. Рассмотрим ключевые преимущества:
1. Превентивное выявление уязвимостей
Процедура позволяет ИБ-специалистам действовать на опережение: разрабатывать и внедрять средства защиты до момента реализации угрозы. Уязвимости ИС будут выявлены до того, как злоумышленники используют их. Чем раньше устранена проблема, тем меньше ресурсов потребуется на исправление ошибок и восстановление активов, и тем меньше будет финансовый ущерб.
Подробнее эта тема раскрыта в материале «Управление инцидентами информационной безопасности».
2. Экономическая выгода
Моделирование помогает понять, какие угрозы требуют наибольшего внимания. Это позволяет рационально распределять бюджет: выделять средства на критически важные меры безопасности и избегать затрат на избыточные средства защиты.
3. Соответствие требованиям регуляторов
Моделирование помогает соблюдать требования нормативно-правовых актов. Например, GDPR обязывает выявлять риски при обработке данных и минимизировать их. В РФ также существуют строгие предписания.
Требования регуляторов РФ к разработке модели угроз
В российской правовой базе содержатся четкие требования к разработке МУ:
- 152-ФЗ «О персональных данных»
Статья 19, пункт 2 предписывает операторам определять угрозы безопасности персональных данных при их обработке в информационных системах.
- Приказ ФСТЭК №21 (от 18.02.2013)
Регламентирует защиту персональных данных (ПД) и предписывает внедрять меры по предупреждению и нивелированию угроз, реализация которых может привести к компрометации сведений.
- Приказ ФСТЭК №17 (от 11.02.2013)
Описывает требования к защите информации в государственных информационных системах (ГИС), включая обязательный анализ рисков.
- Приказ ФСТЭК №31 (от 14.03.2014)
Регламентирует защиту данных в автоматизированных системах управления (АСУ) на производственных объектах. Обязывает выявлять угрозы для составления актуальной модели.
- Приказ ФСТЭК №239 (от 25.12.2017)
Касается безопасности объектов критической информационной инфраструктуры (КИИ). Требует анализировать потенциальные угрозы и формировать (или актуализировать) МУ.
Исходя из этого, компании обязаны разработать и регулярно обновлять МУ, чтобы не нарушать законодательство.
Как составить модель угроз: пошаговая инструкция (методика ФСТЭК)
Рассмотрим процесс на примере методики, рекомендованной ФСТЭК России. Согласно Приказу №17, документ должен содержать:
- Структуру ИС, ее архитектуру и свойства.
- Перечень актуальных угроз, описание их реализации и последствий.
- Модель нарушителя (источники угроз).
- Уязвимости информационной системы.
1. Общие положения и описание ИС
Вступительная часть обосновывает проведение моделирования. Указывается тип защищаемой информации: ПД граждан, ноу-хау, данные ограниченного доступа. Здесь же описывается инфраструктура:
- Расположение и архитектура ИС.
- Задачи и бизнес-процессы.
- Классы пользователей и обрабатываемых данных.
- Меры физической охраны и наличие средств криптографии.
2. Модель нарушителя (Источники угроз)
Нарушитель — это лицо, действия которого могут привести к ущербу. Их классифицируют по уровню возможностей (потенциалу): базовый, средний, высокий.
Важно. Наиболее опасными являются внутренние нарушители (инсайдеры) с легитимным доступом к активам. Внешние нарушители — это хакеры, конкуренты, спецслужбы, криминальные группировки.
3. Способы реализации и уязвимости
Описываются векторы атак: использование уязвимостей кода (по ГОСТ Р 56546-2015), вредоносное ПО, социальная инженерия, перехват излучений (ПЭМИН). Список уязвимостей должен регулярно обновляться.
Алгоритм определения актуальности угроз
Финальный шаг — отсеять теоретические угрозы и оставить только актуальные для вашей компании. Для этого рассчитываются коэффициенты Y1 и Y2.
Анализ исходной защищенности (Y1)
Определяется на основе выполнения требований безопасности:
- Высокий уровень (Y1 = 0): Выполнено более 70% требований.
- Средний уровень (Y1 = 5): Выполнено от 70% требований, но есть недостатки.
- Низкий уровень (Y1 = 10): Выполнено менее 70% требований.
Вероятность реализации угрозы (Y2)
Оценивается возможность атаки в текущих условиях:
- 0 — Маловероятно.
- 2 — Низкая вероятность.
- 5 — Средняя вероятность.
- 10 — Высокая вероятность.
Итоговая оценка (Коэффициент Y)
Актуальность рассчитывается по формуле:
Y = (Y1 + Y2) / 20
Интерпретация результата:
- 0 – 0.3: Низкая вероятность (Угроза неактуальна).
- 0.3 – 0.6: Средняя вероятность.
- 0.6 – 0.8: Высокая вероятность.
- > 0.8: Очень высокая вероятность.
Альтернативные методологии (PASTA, TRIKE, FIXED)
Помимо методики ФСТЭК, существуют международные подходы:
- PASTA: Риск-ориентированная методология из 7 этапов, симулирующая атаку злоумышленника.
- TRIKE: Фокусируется на управлении правами доступа и аудите активов.
- FIXED: Подходит для компаний с Big Data, анализирует потоки данных и точки входа.
- CVSS: Числовая система оценки критичности уязвимостей.
Роль DLP-системы в защите от угроз
DLP-система (например, Falcongaze SecureTower) является эффективным техническим средством для нейтрализации угроз, связанных с человеческим фактором.
Система непрерывно мониторит каналы связи, выявляет передачу конфиденциальной информации (чертежей, баз данных) и блокирует утечки. Функционал включает статистический анализ, цифровые отпечатки и контроль оборудования.
Опробовать систему можно бесплатно в течение 30 дней, оставив заявку на сайте. Специалисты помогут настроить политики безопасности под вашу модель угроз.
Часто задаваемые вопросы (FAQ)
- Как часто нужно обновлять модель угроз?
Модель угроз необходимо пересматривать не реже одного раза в 3 года, а также при существенных изменениях в инфраструктуре ИС (ввод нового оборудования, смена ПО, изменение бизнес-процессов) или при появлении новых методов атак.
- Кто несет ответственность за отсутствие модели угроз?
Ответственность несет оператор данных (организация) и должностные лица. За нарушение требований по защите информации (в том числе ПДн и КИИ) предусмотрены штрафы по КоАП РФ, а в случае тяжких последствий — уголовная ответственность.
- Можно ли использовать зарубежные методологии (PASTA, STRIDE) в РФ?
Для коммерческих компаний, не являющихся субъектами КИИ и не работающих с гостайной, допустимо использование международных стандартов. Однако для ГИС и КИИ приоритетными являются методики ФСТЭК и ФСБ.
- Помогает ли DLP закрыть все угрозы из модели?
DLP закрывает угрозы, связанные с утечкой информации и внутренними нарушителями. Для защиты от внешних атак (хакеров, вирусов) требуются дополнительные средства: антивирусы, межсетевые экраны (Firewall), SIEM-системы.
- Где брать список актуальных уязвимостей для модели?
Основным источником в РФ является Банк данных угроз безопасности информации (БДУ) ФСТЭК России (bdu.fstec.ru). Также используются базы CVE и отчеты ведущих вендоров по кибербезопасности.
.jpg)
