С чего начать моделирование угроз безопасности персональных данных

С точки зрения законодательства Российской Федерации в области обеспечения безопасности информации «определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработка на их основе модели угроз безопасности информации» при создании СЗИ в информационных системах персональных данных (ИСПДн) является обязательным в соответствии с:

• частью 2 статьи 19 закона № 152-ФЗ «О персональных данных»

• п.2 постановления Правительства Российской Федерации от 1 ноября 2012 г. N 1119

• пунктом 4 приказа ФСТЭК России от 18 февраля 2013 г. № 21.

На основе модели угроз формируются требования к защите информации. А на базе этих требований создается система защиты персональных данных (ПДн). Модель угроз обосновывает возможность использования технических и организационных мер и использование определенных типов и классов средств защиты информации.

Модель угроз применяют при решении разных задач:

• выбор организационных и технических мер по обеспечению безопасности ПДн и их реализации в системе защиты ПДн, определение приоритетности внедряемых мер защиты (чем критичнее угроза, тем быстрее ее нужно нейтрализовать. Вот тут и польза для бизнеса – сбалансированное распределение бюджетов на ИБ для минимизации рисков для всего бизнеса);

• выявление причин сбоев и некорректной (малоэффективной) работы сервисов и ИС их обеспечивающих;

• разработка системы защиты ПДн, обеспечивающей нейтрализацию угроз с использованием организационных и технических мер обеспечения безопасности ПДн;

• оценка уровня защищенности от угроз безопасности ПДн в ходе организации и выполнения работ по обеспечению безопасности ПДн;

• проведение мероприятий, направленных на предотвращение несанкционированного доступа (НСД) к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;

• недопущение воздействия на технические средства ИСПДн, в результате которого может быть нарушено их функционирование.

Оставить заявку на моделирование угроз по методике ФСТЭК

ОСТАВИТЬ ЗАЯВКУ

В Российском Законодательстве существует методический документ, содержащий рекомендации по разработке модели угроз безопасности информации для информационных систем различного назначения – Методика оценки угроз безопасности информации, утв. ФСТЭК России 05 февраля 2021 г. (далее – Методика).

Основные этапы моделирования угроз

Методика предлагает следующий процесс определения актуальных угроз безопасности информации:

Методика унифицирует подход к моделированию угроз и может применяться для определения угроз безопасности информации, реализация (возникновение) которых возможна в системах и сетях, отнесенных к государственным и муниципальным информационным системам, информационным системам персональных данных, значимым объектам критической информационной инфраструктуры, информационным системам управления производством, используемым организациями оборонно-промышленного комплекса, автоматизированным системам управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды и в иных случаях, если решение о применении настоящей Методики было принято обладателями информации или операторами систем и сетей.

инвентаризация компонентов информационной системы;

определение возможных негативных последствий от реализации угроз безопасности информации;

определение источников угроз безопасности информации и оценка возможностей нарушителей;

оценка способов реализации (возникновения) угроз безопасности информации;

оценка возможности реализации (возникновения) угроз безопасности информации и определение актуальности угроз безопасности информации.

Исследование собственных информационных систем – это первоначальный этап в любых проектных работах, некачественное исполнение которого может привести к снижению качества любых последующих действий. Именно на этом этапе мы стараемся понять состав ИТ-активов, наиболее значимых для бизнеса, в результате которого мы должны получить ответ на вопрос «Что необходимо защитить?».

Для разработки модели угроз и расчета рисков необходимо, как минимум, описать и отобразить схематично информацию о:

1. Инвентаризация компонентов информационной системы

всех информационных ресурсах;

используемом программном обеспечении;

используемом оборудовании;

используемых средствах защиты;

технологиях обработки и защиты информации;

взаимодействии с другими системами и способах их взаимодействия;

способах взаимодействия пользователей с системой.

Для полного исследования внутренних процессов обработки информации, помимо сотрудников отделов ИБ и ИТ, необходимо привлекать представителей производственных подразделений, которые непосредственно контролируют основные бизнес-процессы.

На практике в состав элементов ИС включаются:

автоматизированные рабочие места (АРМ);

сервера;

линии связи в локально-вычислительной сети;

неконтролируемые линии связи;

сетевые сервисы;

те же элементы, но в виртуальной инфраструктуре.

При анализе угроз необходимо также учитывать, что объектом воздействия угроз выступают не только программно-технические средства Оператора, но и программно-технические средства, размещенные в облаке, в таком случае возможность воздействия на облачную инфраструктуру (локальные сети ЦОД, гипервизор, системы хранения данных и т. п.) должен оценивать поставщик услуг облачных вычислений.

Отсутствие отдельных типов объектов позволяет исключить соответствующие угрозы из анализа (из характерных примеров: грид-системы, технологии больших данных и др.).

Анализ начинается с определения негативных последствий, к которым может привести реализация угроз. К таким последствиям относятся ущерб, причиненный физическому лицу, юридическому лицу или государству.

В Методике прослеживается риск-ориентированный подход: если отдельные события, по оценке экспертов организации, не несут негативных последствий, то соответствующие угрозы могут исключаться. Важно, чтобы оценка проводилась не только специалистами по безопасности, но и к ней привлекались профильные подразделения, обладающие более полной информацией о возможных рисках.

2. Определение возможных негативных последствий от реализации угроз безопасности информации

Уже на текущем этапе необходимо детально подойти к анализу, что позволит исключить отдельные угрозы, которые не приводят к негативным последствиям, и снизить объем различных комбинаций для оценки во время дальнейших действий.

Определение источников угроз и оценка возможностей нарушителей осуществляются в связке с возможными негативными последствиями. Соответствие последствий целям нарушителей определяется экспертами, и нормативных требований, обязывающих считать того или иного нарушителя актуальным, нет. Однако при определении актуальных нарушителей, следует ставить перед собой следующие вопросы:

Кому интересна ИС?

3. Определение источников угроз безопасности информации (УБИ) и оценка возможностей нарушителей

Как правило, для многих систем часть нарушителей может быть исключена, поскольку атаки на эти системы не приведут к реализации определенных для них целей, что опять же позволяет снизить количество рассматриваемых далее угроз (например, для систем, атаки на которые не приведут к ущербу государству, целесообразно признать неактуальными угрозы со стороны спецслужб).

Кому интересна информация, обрабатываемая в ИС?

Кому выгоден сбой ИС?

Кто может навредить ИС?

В случае использования в информационных системах средств криптографической защиты информации (СКЗИ), необходимо дополнительно определить типы угроз и возможности актуальных нарушителей, а в соответствии с ними класс СКЗИ, который можно использовать в рассматриваемой системе, согласно приказу ФСБ России от 10 июля 2014 года № 378.

Исходные данные для разработки этого раздела можно смело брать из нормативного документа ФСБ «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности» (утверждены руководством 8 Центра ФСБ России 31 марта 2015 года, № 149/7/2/6-432).

Здесь необходимо описать способы реализации угроз, которые могут быть использованы возможными нарушителями, а также описать интерфейсы, через которые наиболее вероятные нарушители могут реализовать атаки (согласно п. 5.2 и Приложению 10 Методики).

4. Оценка способов реализации (возникновения) угроз безопасности информации

В результате мы получаем обобщенную информацию о том, как и с помощью каких компонентов информационной системы будет действовать нарушитель для реализации угроз.

При выявлении актуальных угроз в различных ИС необходимо учитывать следующие характеристики: источник угрозы, уязвимости, способствующие ее возникновению, способ реализации угрозы, последствия деструктивного воздействия.

5. Оценка возможности реализации (возникновения) угроз безопасности информации и определение актуальности угроз безопасности информации

Такая форма представления сведений об угрозе используется в «Банке данных угроз безопасности информации» (далее – БДУ), разработанном ФСТЭК России и опубликованном в форме электронного ресурса, а также содержащим сведения об основных угрозах и уязвимостях.

БДУ ФСТЭК России представляет собой систематизированный источник информации о существующих уязвимостях и угрозах безопасности информации, который постоянно развивается путем добавления в него новых данных по результатам анализа инцидентов информационной безопасности.

Для определения актуальных угроз нужно установить корректные взаимосвязи между параметрами, выявленные на предыдущих этапах, и характеризующими угрозу.

В результате угроз безопасности информации должен быть сформирован перечень угроз безопасности информации, реализуемых для рассматриваемой архитектуры и условий функционирования информационных систем и сетей.

При анализе угроз из состава Банка данных угроз (БДУ) ФСТЭК необходимо производить систематизацию перечисленных угроз. Угрозы можно разделить на категории:

угрозы BIOS;

угрозы объектам файловой системы и носителям информации;

угрозы технических отказов по различным причинам;

угрозы вредоносного программного обеспечения;

угрозы средствам защиты информации;

угрозы несанкционированного доступа;

угрозы при использовании виртуализации;

угрозы при использовании внешних облачных технологий;

угрозы при наличии подключения к Интернету или иным сетям;

угрозы при использовании Wi-Fi;

угрозы при использовании мобильных устройств;

угрозы при использовании грид-систем;

угрозы при использовании систем больших данных и суперкомпьютеров;

угрозы, актуальные при обновлении программного обеспечения BIOS и микропрограммного обеспечения используемого оборудования;

угрозы при возможном физическом доступе посторонних лиц;

угрозы при использовании несертифицированного программного обеспечения.

Такое разделение позволяет упростить и оптимизировать определение угроз для ИСПДн и, как следствие, проектирование систем защиты информации.

В ходе оценки возможности реализации угроз и определения их актуальности из общего перечня исключаются те, которые не являются актуальными, с учетом результатов анализа на предыдущих этапах (неприменимые к объектам воздействия и др.), а также те, которые требуют условий, не соответствующих процедурам эксплуатации ИС (например, отсутствие доступа к сети "Интернет"). Из общего перечня угроз порядка 40–50% может быть исключено из рассмотрения к текущему моменту.

Полученный таким образом перечень угроз еще не является окончательным, и он будет уточняться на следующих шагах Методики.

Следующий этап предусматривает установление последовательности возможных тактик и соответствующих им техник, которые могут быть применены нарушителем с соответствующим уровнем возможностей и интерфейсов. Данный шаг является самым масштабным. Возможное количество комбинаций достаточно обширно: методика описывает 10 тактик и 145 соответствующих им техник.

При наличии хотя бы одного сценария, такая угроза признается актуальной для обоснования выбора организационных и технических мер по защите информации (обеспечению безопасности), а также выбора средств защиты информации.

В конечном счете, угроза будет считаться актуальной, если от реализации угрозы может быть нанесён ущерб, есть актуальный нарушитель и сценарий реализации угрозы.

При создании Методики регулятор подразумевал, что штатные ИБ-специалисты смогут самостоятельно в постоянном режиме проводить моделирование угроз, обновлять перечень актуальных угроз, совершенствовать свою систему защиты с учетом экстраполяции и прогнозирования. Но увы, это работает только в компаниях с большим штатом ИБ-специалистов. ИТ-подразделения этим и вовсе не занимаются.

Кто должен разрабатывать модель угроз

Любой штатный ИБ или ИТ-специалист компании может смоделировать угрозы безопасности информации, используя стандартные шаблоны, доступные в Интернете, но это может привести к длительному и трудоемкому процессу и не факт, что результат будет успешным.

Создание модели угроз с учетом структуры и деятельности конкретной компании требует большого опыта. Эти задачи должны выполняться опытными специалистами, поскольку для создания реалистичных сценариев каждой потенциальной угрозы требуется опыт и высокая квалификация. В некоторых случаях экспертам приходится частично отступать от стандартных методик.

Единственная рекомендация в этой связи – организациям делать упор на обращение к профессионалам, которые точно смогут на основе инвентаризации, анализа рисков определить актуальные угрозы, противопоставить им меры защиты.

Компания Б-152 предоставляет как услуги по моделированию угроз безопасности информации в информационных системах, так и полный спектр услуг по защите информации.

Оставить заявку на моделирование угроз по методике ФСТЭК

ОСТАВИТЬ ЗАЯВКУ

Заключение

Разработанная модель угроз безопасности информации является важной частью документации по системе информационной безопасности, которая позволяет эффективнее взаимодействовать ИБ и ИТ специалистам компании с целью обеспечения защиты информационных систем от угроз безопасности информации.

Развитие и правильное применение сценарного подхода при выявлении актуальных угроз будет способствовать повышению защищенности систем и сетей в условиях постоянно изменяющихся угроз, технологий и существенного роста компьютерных атак, который мы наблюдаем последние годы.

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!

бизнес

юридические вопросы

маркетинг

Материалы по теме