Как правильно составить модель угроз

Что такое базовая модель угроз ФСТЭК?

Задать вопрос эксперту

Связанные услуги

Что делать?

Составляем модель нарушителей: на что обратить внимание

---

Оператору персональных данных для корректной работы в правовом поле необходимо выполнить ряд требований законодательства. Одно из них – составление моделей угроз и нарушителей информационной системы. В этой статье мы рассмотрим модели нарушителей, а в следующей поговорим о модели угроз. (ВСТАВИТЬ ССЫЛКУ НА ТЕКСТ ПРО МОДЕЛЬ УГРОЗ).

Правильно построенные модели угроз позволяют построить эффективную систему обеспечения ИБ. Система информационной защиты строится с опорой на них. Модель нарушителя – составная часть модели угроз.

Что такое модель нарушителя?

Модель нарушителя – это перечень вариантов действий одного или нескольких возможных нарушителей ИБ, их квалификации, рабочей техники и пр.

Рекомендации по составлению модели нарушителя дают ФСТЭК и ФСБ. Каждое из ведомств контролирует свою область: ФСБ отвечает за правильное использование средств криптографической защиты, ФСТЭК описывает виды и возможности нарушителей и их мотивацию.

Учреждения разработали свои рекомендации:

— Федеральная служба безопасности России составила «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности»,

— Федеральная служба по техническому и экспортному контролю написала «Методику определения угроз безопасности информации в информационных системах»,

собрала банк данных угроз безопасности информации.

Также полезными для оставления модели нарушителей будут эти документы:

 — базовая модель угроз безопасности ПДн при их обработке в ИСПДн;

— методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн

Учитывая, что подходы у ведомств различаются, разработчики моделей угроз обычно составляют два документа: под требования обеих служб.

Модель нарушителя по ФСБ

В соответствии с требованиями ведомства по контролю использования средств криптографической защиты и среде их использования, выделяются шесть категорий возможностей, которыми могут обладать нарушители. Согласно им нарушители могут атаковать:

1. только за пределами криптографической защиты (КЗ);
2. в пределах КЗ без доступа к вычислительной технике (СВТ);
3. в пределах КЗ с доступом к СВТ;
4. с привлечением специалистов в области анализа сигналов линейной передачи и ПЭМИН (Побочных ЭлектроМагнитных Излучений и Наводки);
5. с привлечением специалистов в области использования недекларированных возможностей (НДВ) прикладного ПО;
6. с привлечением специалистов в области использования НДВ аппаратного и программного компонентов среды функционирования средств криптографической защиты информации (СКЗИ).

Каждая возможность соответствует определенному классу СКЗИ. В приказе ФСБ №378 сказано, что средства криптозащиты необходимо выбирать и использовать, опираясь на актуальную для информационной системы возможность.

Модель нарушителя по ФСТЭК

Как было сказано выше, ФСТЭК рассматривает различные виды нарушителей, их возможности и потенциал. Потенциал может быть низким, средним и высоким.

Нарушители с высоким потенциалом вносят закладки в программно-техническое обеспечение системы, применяют особые средства проникновения в систему и проводят специальные исследования. Эта категория выделена под иностранные спецслужбы;

Нарушители со средним потенциалом могут проводить анализ кода прикладного ПО, сопоставлять данные, находить уязвимости и использовать их. В эту категорию попадают конкуренты, системные администраторы и разработчики программного обеспечения, криминальные и террористические группы;

Нарушители с низким потенциалом используют для осуществления атак только доступные источники. К ним причисляются рядовые сотрудники организации, пользователи системы и люди, не имеющие отношение к компании.

Отсеять лишнее

После анализа данных необходимо определить, какие нарушители представляют для информационной системы угрозу и как их нейтрализовать. Для этого необходимо хотя бы предварительно классифицировать ИС. (поставить ссылку на Что на счет защиты: определяем необходимый уровень защищенности персональных данных)

Если информационная система государственная (ГИС), ответ дает пункт 25 приказа ФСТЭК №17. Там сказано, что для:

— ИС 1 класса система защиты должна нейтрализовать угрозы нарушителей высокого потенциала;

— ИС 2 класса – угрозы от нарушителей среднего потенциала;

— ИС 3 и 4 классов – угрозы от нарушителей низкого потенциала.

Для систем, которые к ГИС не относятся, типы угроз регламентирует постановление правительства 1119. В нем указано, что:

— угрозы 1 типа связаны с наличием недекларированных возможностей в системно ПО;

— угрозы 2 типа связаны с наличием недекларированных возможностей в прикладном ПО;

— угрозы 3 типа не связаны с наличием недекларированных возможностей в ПО.

После определения ИС нужно составить описание нарушителей, подходящих под модель, исключив нарушителей с более высоким потенциалом.

Объединение нарушителей

Зачастую, как было сказано ранее, сотрудники безопасность создают две модели нарушителей, по ФСБ и ФСТЭК. Дело в том, что объединение чаще всего представляется сложным или невозможным. Но если есть желание составить общую модель, портал Securitylab.ru, опираясь на описания возможных нарушителей, предлагает объединить нарушителей по ФСТЭК и ФСБ по следующему принципу:

— Нарушители с низким потенциалом по классификации ФСТЭК – это нарушители 1, 2, 3 типов по ФСБ;

— Нарушители со средним потенциалом у ФСТЭК – это нарушители 4,5 типов по классификации ФСБ;

— Нарушители с высоким потенциалом по ФСТЭК – это нарушители 6 типа у ФСБ.

Экспертный материал

Алексей Залецкий | специалист по информационной безопасности

Любой современный бизнес сталкивается с киберугрозами, которые не так очевидны, как финансовые угрозы и угрозы физической безопасности бизнеса, но потенциально могут нанести гораздо больший вред.

Столкнувшись с инцидентами информационной безопасности или требованиями регуляторов, первый вопрос, который встает перед любой компанией: «На чём основываться при создании системы защиты информации?». И тут на помощь приходит процедура моделирования угроз, которая позволяет определить актуальные угрозы безопасности, от которых и необходимо защищать бизнес.

Без моделирования угроз либо будет построена избыточная система защиты, защищающая в том числе от угроз, которых нет. Либо неэффективная система защиты, не охватывающая все актуальные угрозы.

Что такое модель угроз и кому необходимо ее разрабатывать

Модель угроз является фундаментом для создания системы защиты информации. При создании любой системы защиты в первую очередь нужно ответить на следующие вопросы:

1. Что защищаем?

2. От чего защищаем?

3. Какой ущерб может быть нанесен?

Первый и третий вопрос относится к оценке рисков. Оценка и анализ рисков позволит определить все активы в компании, которые необходимо защитить, определить их стоимость, критичность и какой ущерб может быть нанесён этим активам.

Как результат оценки рисков будет понимание, сколько обосновано компания может потратить на создание системы защиты информации. Так как информационная безопасность –  это почти неосязаемая сфера, пока не случится инцидент, крайне важно руководству иметь какие-то ориентиры для определения объёма финансирования этой составляющей.

Но если смотреть с точки зрения построения системы защиты, даже при отчетливо понятных границах бюджета всё равно остаётся вопрос: «А от чего защищать?». И ответ на этот вопрос предоставляет модель угроз. Она позволяет понять, какие угрозы для компании актуальны, а какие нет, и что даёт возможность построить действительно эффективную систему защиты.

Моделирование угроз является обязательным для компаний, которые создают систему защиты в соответствии с требованиями регуляторов. То есть если у вас  обрабатываются персональные данные или есть государственная информационная система либо даже критическая информационная инфраструктура, то вам это точно нужно. В остальных случаях – не обязательно. Но чем вы будете руководствоваться при выборе мер защиты? Можно, конечно, придерживаться лучших практик, но где гарантия, что созданная вами система будет не избыточно и при этом достаточна.

О том, как разработать модель угроз и на что обратить внимание, мы писали в статье.

Что нового в моделировании угроз

5 февраля 2021 года вышла новая методика ФСТЭК России по определению актуальных угроз. В этой методике нет ни одной формулы, она вся основывается на экспертном подходе и сочетает в себе определение актуальных угроз с риск ориентированным подходом. Это весьма современный документ, который учитывает в том числе вариант размещения защищаемых систем в облаках.

С 2015 года существует ресурс bdu.fstec.ru, который крайне полезен при моделировании угроз, а для некоторых типов систем даже обязателен.

Чего пока нет, так это новых базовых моделей угроз. Есть базовая модель угроз КСИИ от 2007 года (которая, в дальнейшем заменила документы по КИИ, кроме как раз базовой модели угроз) и базовая модель угроз персональных данных от 2008 года.

Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры (утв. ФСТЭК России 18.05.2007) имеет гриф ДСП (для служебного пользования и не распространяется свободно).

Основные сложности при моделировании угроз

Самое сложное при моделировании угроз по новой методике – это разработка реалистичных сценариев. В методике приводятся только графические примеры таких сценариев. Но что, если актуальных угроз, например, штук 10, и на каждую есть по 10 разных сценариев. Трудоёмкость рисования этих сценариев становится крайне высока.

В конце данной статьи приводится более простой способ составления сценариев реализации угроз в табличном виде.

Кроме того, не имея опыта попытки эксплуатации уязвимостей как можно определить, реалистичный сценарий или нет. В идеале в команде экспертов должен быть пентестер, который точно может на основе своего опыта сказать, будет сценарий реалистичным или нет.

Используемые методики, иные документы и ресурсы 

В первую очередь это методика оценки угроз безопасности информации ФСТЭК России от 5 февраля 2021 года.

Базовая модель угроз безопасности персональных данных при обработке в информационной системе персональных данных, утвержденная заместителем директора ФСТЭК России 15.02.2008.

Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры, утвержденная ФСТЭК России 18 мая 2007 г.

Отраслевые базовые модели угроз.

Сайт Банка данных угроз ФСТЭК России.

Основные этапы моделирования угроз

В соответствии с новой методикой определение актуальных угроз проводится в три этапа:

Этап 1. Определение негативных последствий

Это как раз интеграция риск ориентированного подхода в процесс моделирования угроз. Но есть отличия. В риск ориентированном подходе сначала определяются активы, которым может быть нанесён ущерб, а уже потом определяются негативные последствия для этих активов.

В данном же случае негативные последствия определяются в отношении физических, юридических лиц и государства. То есть суммарный риск по всем активам.

Этап 2. Определение возможных объектов воздействия угроз безопасности информации

На данном этапе определяются конкретные активы, которым может быть нанесён вред. Начиная с информации, циркулирующей в информационной системе, заканчивая ПО и машинными носителями.

Этап 3. Оценка возможности реализации (возникновения) угроз безопасности информации и определение их актуальности.

Определяются источники угроз безопасности. В новой методике рассматриваются только антропогенные источники, иначе говоря, злоумышленники. Техногенные и природные факторы в расчёт не берутся. Как результат, должен быть определен список актуальных нарушителей.

Актуальные нарушители бывают как внешние, так и внутренние. Кроме того, они обладают разным потенциалом воздействия. Например, администратор будет иметь гораздо больше возможностей по взлому и нанесению негативных последствий, чем рядовой пользователь. Так же возможности спецслужб и опытных хакерских групп гораздо выше, чем возможности хакеров одиночек.

В новой методике определены четыре уровня возможностей нарушителей:

• базовые возможности по реализации угроз безопасности информации (Н1);

• базовые повышенные возможности по реализации угроз безопасности информации (Н2);

• средние возможности по реализации угроз безопасности информации (Н3);

• высокие возможности по реализации угроз безопасности информации (Н4).

Здесь есть отличия от того, как возможности классифицируются в Банке данных угроз (БДУ) ФСТЭК России, которые делятся на:

• нарушитель с низким потенциалом;

• нарушитель со средним потенциалом;

• нарушитель с высоким потенциалом.

Возможно, в БДУ приведут классификацию нарушителей к формату новой методики. Но на данный момент принято считать, что нарушителям с базовыми, повышенными и средними возможностями соответствуют нарушителям со средним потенциалом.

Оценка актуальности угроз безопасности информации

Угроза является актуальной, если от реализации угрозы может быть нанесён ущерб, есть актуальный нарушитель и сценарий реализации угрозы.

В качестве исходных данных используются данные, собранные и систематизированные на предыдущих этапах. Явным образом не рассматривается мотивация нарушителя, но понятно, что немотивированного нарушителя вы при моделировании угроз навряд ли отнесете к актуальным.

Самое сложное – это определение сценариев реализации угроз.

В методике приведены примеры таких сценариев, например:

Данный сценарий показывают последовательность атаки на инфраструктуру промышленного предприятия. Для получения доступа к корпоративной сети используется атака отказ в обслуживании и письмо с вредоносным вложением. Что дальше позволяет с компьютеров корпоративной сети изменить настройки межсетевого экрана между корпоративной сетью и производственным сегментом и совершить атаку на сеть АСУ ТП, выводя из строя технологический процесс.

Разработка сценариев реализации угроз

Сценарии в графическом виде выглядят наглядно, но при большом количестве сценариев трудоёмкость составления модели угроз вырастает в разы.

Более удобный и предсказуемый в плане трудозатрат вариант – сценарии в табличном виде.

Примеры сценариев

Пример сценариев в табличном виде:

Номера тактик и техник можно взять из приложения к методике и добавить собственные. Данный табличный вид позволяет автоматизировать процесс моделирования. Можно разработать свой шаблон сценариев, например, в Excel. Где, выбирая из перечня тактик и техник, можно за сравнительно небольшое время получить сценарии всех актуальных угроз.

Более детально сценарии реализации угроз безопасности, мы рассматривали на вебинаре.

Заключение

Процесс моделирования угроз весьма не прост, но разобраться в нём по силам каждому. Для качественного моделирования угроз лучше обращаться к профессионалам, потому что, как уже упоминалось в статье, для определения реалистичных сценариев угроз нужно привлекать опытных аудиторов и пентестеров. Компания Corpsoft 24 в рамках услуг размещения в облаке информационных систем, обрабатывающих информацию ограниченного доступа, предоставляет услуги по моделированию угроз, так и полного спектра услуг по защите информации.

Построение систем защиты информации начинается с создания модели угроз. Для предприятий риски зависят от сферы деятельности и готовности информационной системы к отражению атак. Модель необходимо строить, с учетом результатов анализа угроз информационной безопасности и после классификации типов нарушителей.

Понятие и источники рисков

Под угрозой ИБ понимается совокупность условий и факторов, реализация которых приводит к ситуации, в которой информационная безопасность организации оказывается в зоне риска. Результатом реализации риска оказывается событие, наступление которого имеет экономические или иные неблагоприятные последствия для человека, организации или государства. Формат ущерба для информации может быть трояким – утечка, изменение или нарушение уровня доступности. Но последствия оказываются разнообразными – от техногенных аварий до потери средств с карточных счетов или разглашения компрометирующей информации.

В процессе анализа угроз информации необходимо оценить:

• источник риска;
• зону риска;
• гипотетическую фигуру злоумышленника;
• вероятность реализации риска;
• степень ущерба от его реализации;
• соотношение расходов, необходимых для минимизации риска, и убытка, причиняемого в случае его реализации.

Анализировать позиции можно качественными и количественными методами.

Источники

Традиционно основным источником угроз считаются международные или национальные хакерские группировки. Однако на практике ситуация иная, все чаще на первый план выходят криминальные группировки или иностранные технические разведки. Эксперты выделяют называют три группы источников:

• антропогенные (внутренние и внешние);
• техногенные;
• стихийные.

Антропогенные источники угроз информационной безопасности – это граждане или организации, случайные или намеренные действия или бездействие которых приводят к реализации рисков ИБ, с ними можно связать до 95% инцидентов. По данным исследований, до 80 % утечек имеют внутреннее, инсайдерское, происхождение. 

Если риски, инициируемые сотрудниками, прогнозируемы и могут быть устранены очевидными программными и техническими средствами, внешние источники непредсказуемы, к ним относятся:

• хакеры;
• конкуренты;
• криминальные структуры;
• недобросовестные поставщики и подрядчики;
• консалтинговые, оценочные компании, иные бизнес-структуры, оказывающие услуги на аутсорсинге;
• провайдеры облачных услуг, при этом атака хакеров на их инфраструктуру одновременно окажется атакой на клиентов;
• проверяющие организации, ФНС и силовые структуры.

Чем более квалифицирован специалист и чем выше его позиция в табели о рангах организации, тем больше возможностей он имеет для причинения ущерба предприятию, на страницах СМИ часто появляются ситуации, когда топ-менеджер похищает доверенную ему информацию, как произошло в конфликте Google, чьи разработки беспилотных автомобилей были переданы Uber.

Техногенные угрозы сложнее спрогнозировать, но проще предотвратить. К ним относятся технические средства, внутренние и внешние. 

К внутренним относятся:

• несертифицированное и нелицензионное ПО;
• лицензионное ПО, имеющее известные хакерам изъяны или незадекларированные возможности;
• средства контроля за работоспособностью информационных сетей со слабыми возможностями мониторинга, отказ от своевременного и четкого реагирования на их сигналы;
• некачественные средства наблюдения за помещениями и сотрудниками;
• неисправное или некачественное оборудование.

Внешние источники:

• каналы связи;
• инженерно-технические сети;
• провайдеры интернет-услуг и облачных технологий.

Чтобы нивелировать риски, связанные с техническими источниками угроз, следует обращать внимание на рекомендации ФСТЭК и ФСБ при выборе программных и технических средств.

---

Для контроля событий в программных и аппаратных источниках удобно использовать SIEM-систему. «СёрчИнформ SIEM» обрабатывает поток событий, выявляет угрозы и собирает результаты в едином интерфейсе, что ускоряет внутренние расследования.  

---

Стихийные источники угроз наименее прогнозируемы, к ним относятся стихийные бедствия и иные форс-мажорные обстоятельства.

Зона риска

При анализе зоны риска нужно установить объект, на который направлена гипотетическая угроза. С технической точки зрения объектами становятся информация, оборудование, программы, каналы связи, системы управления и контроля. 

Классическими «жертвами» злоумышленников становятся признаки доброкачественности информации:

• конфиденциальность. Этот риск реализуется при неправомерном доступе к данным и их последующей утечке;
• целостность. В результате реализации риска данные могут быть утрачены, модифицированы, искажены, и принимаемые на их основе решения, управленческие или технические, окажутся неверными;
• доступность. Доступ к данным и услуге блокируется или утрачивается.

При определении сектора реализации угрозы требуется дополнительно оценить степень важности данных, их стоимость. Это позволит провести более точный анализ угроз информационной безопасности. 

При анализе зон риска нужно также принимать во внимание:

• объем текущей зоны контроля за информационной безопасностью и перспективы ее расширения в случае увеличения организации, появления новых предприятий или сфер деятельности;
• особенности функционирования программно-технических средств и их совместимость, перспективы возникновения новых угроз, новых требований регуляторов, направлений развития рынка информационных технологий;
• возникновение зон информационного периметра, вне защитных мер;
• непредсказуемость точек атаки, их количество и рост;
• особенности управления сложными, многообъектными сетями.

Факторы реализации риска изменчивы, поэтому их анализ должен происходить с установленной в компании регулярностью.

Классификация нарушителей

Провести анализ угроз информационной безопасности невозможно, если не опираться на понимание типов и роли нарушителей ИБ. В России существует две классификации нарушителей, они предложены регуляторами – ФСТЭК РФ и ФСБ. Объединение классификаций позволит создать оптимальную модель, учитывающую большинство рисков, и поможет разработать методику устранения большинства угроз. Если компания работает с криптографическими средствами, сертифицируемыми ФСБ РФ, ей придется учитывать в своей модели угроз характеристики нарушителя, предложенные этим ведомством. В большинстве случаев при защите персональных данных или коммерческой тайны, при анализе угроз конфиденциальности информации модель ФСТЭК окажется исчерпывающей.

Ведомство классифицирует нарушителей по их потенциалу (низкий, средний, высокий). Он влияет на набор возможностей, перечень используемых технических, программных и интеллектуальных средств.

Большинство угроз генерируется нарушителями с низким потенциалом. Они связаны с возможностью получения ресурсов для неправомерного доступа к информации только из общедоступных источников. Это инсайдеры и взломщики, использующие интернет-ресурсы, для мониторинга работоспособности системы, распространяющие вредоносные программы.

Нарушители со средним потенциалом способны проводить анализ кода прикладного программного обеспечения, кода сайта, самостоятельно находить в нем ошибки и уязвимости и использовать их для организации утечек. К этим группам ФСТЭК относит хакерские группировки, конкурентов, применяющих незаконные методы добычи информации, системных администраторов, компании, по заказу разрабатывающие программное обеспечение.

Высокий потенциал характеризуется способностью вносить «закладки» в программно-техническое обеспечение системы, организовывать научные исследования, направленные на сознательное создание уязвимостей, применять специальные средства проникновения в информационные сети для добычи информации. 

Ведомство считает, что к категории нарушителей с высоким потенциалом могут относятся только иностранные разведки. Практика добавляет к ним еще и военные ведомства зарубежных стран, по чьему заказу иногда действуют хакеры.

ФСБ классифицирует нарушителей информационной безопасности по возможностям и степени нарастания угроз:

1. Атаки на данные могут проводиться только вне зоны криптозащиты.

2. Атаки организовываются без физического доступа к средствам вычислительной техники (СВТ), но в пределах зоны криптозащиты, например, при передаче данных по каналам связи.

3. Атаки реализуются при доступе к СВТ и в зоне работы криптозащиты.

4. Нарушители обладают перечисленными возможностями и могут прибегать к помощи экспертов, имеющих опыт в области анализа сигналов линейной передачи и ПЭМИН (побочных электромагнитных излучений и наводок).

5. Нарушители также могут привлечь специалистов, способных находить и использовать незадекларированные возможности (НДВ) прикладного ПО.

6. Злоумышленники работают с экспертами, способными находить и применять НДВ аппаратного и программного компонентов среды функционирования средств криптографической защиты.

Исходя из предполагаемого класса нарушителя, необходимо выбрать класс применяемых СКЗИ, они также классифицируются по уровню злоумышленников. При анализе угроз информационной безопасности и формировании модели угроз параметры ФСТЭК и ФСБ могут быть объединены. 

В большинстве случаев компании не угрожают злоумышленники с высоким потенциалом по классификации ФСТЭК и из 4-6 групп по классификации ФСБ. Поэтому, анализ производится исходя из низкого или среднего потенциала инсайдеров или хакеров. Для государственных информационных систем уровень рисков окажется выше.

Иногда при анализе вероятности реализации угрозы требуется еще несколько категорий угроз конфиденциальности информации:

• по степени воздействия на ИС. При реализации пассивных угроз архитектура и наполнение системы не меняются, при активных они частично уничтожаются или модифицируются;
• по природе возникновения – естественные и искусственные. Первые крайне редки, вторые наиболее вероятны, при этом ущерб от реализации первых оказывается выше, часто проявляясь в полной гибели данных и оборудования. Такие угрозы при их вероятности, например, в сейсмоопасных районах создают необходимость постоянного резервного копирования;
• непреднамеренные и преднамеренные.

Целесообразно опираться на статистику, показывающую вероятность реализации того или иного риска.

Анализ вероятности реализации угрозы и ущерба от ее возникновения

На первых этапах анализа используются качественные методы, исследование, сравнение, обращение к собранным экспертами данным позволит оценить реальные риски для бизнеса.

Количественные методы анализа помогут в ситуации, когда нужно определить:

• какова вероятность возникновения угрозы того или иного типа;
• какой ущерб может быть причинен компании, если риск окажется серьезным.

Для решения первой задачи потребуется статистика. В отчетах компаний, оказывающих информационные услуги, приводится квартальная или полугодовая статистика по тем рискам, которые наиболее часто реализовывались в истекшем периоде и прогнозируются на будущий. Часто такая статистика предоставляется по отраслям. В этих отчетах могут быть представлены цифры ущерба, причиненного экономике, отрасли или отдельному предприятию при реализации угрозы. Эти цифры далеко не всегда верны, многие компании утаивают реальные данные, опасаясь репутационных рисков. Но даже в усеченном виде открытые цифры помогут оценить реальный риск утечки данных. 

В случае утраты доступности информации можно посчитать убытки или неполученную прибыль и понять, какая сумма может быть потеряна, если меры обеспечения информационной безопасности не будут приняты своевременно. Также анализ поможет понять, насколько экономически эффективно применять более сложные системы защиты, 

При анализе угроз информационной безопасности, необходимо опираться на рекомендации регуляторов и реальную ситуацию в бизнесе или в государственной организации. Это сделает результат исследования релевантным и позволит избежать ненужных или незапланированных расходов. Бюджет, потраченный на анализ рисков, возвратится, позволив сократить расходы на оборудование или программы, которые не будут необходимыми в реальных условиях.

---

Проверить, все ли в порядке с защитой данных в компании, можно во время 30-дневного бесплатного теста «СёрчИнформ КИБ».   

---

01.06.2020

Сегодня, наш системный аналитик Алина поделится опытом применения требований информационной безопасности в рамках проектирования коммерческой системы. В статье разберемся, что это такое и зачем нужно.

«Что такое модель угроз и нарушителя?»

Первый и самый логичный вопрос, который возникает, когда видишь этот документ в списке требований от Заказчика.

Сначала пойдем простым путем и поищем определение на просторах интернета. Как итог – определение Роскомнадзора используется практически везде. Звучит оно так:

Теперь разберёмся с основной целью написания документа (оставлю небольшую ремарку: в целом, модель нарушителя – это больше описание «бумажной безопасности»).

Для более точного понимания обратимся к нормативной документации, а именно – методике Федеральной службы по техническому и экспортному контролю (ФСТЭК). Получим следующее определение:

Если вы впервые сталкиваетесь с требованиями информационной безопасности, то скорее всего вам будет «очень интересно, но ничего непонятно».

Будем проще – данная модель содержит перечень возможных нарушителей, которые могут скомпрометировать/навязать/испортить информацию в разрабатываемой системе; список угроз в соответствии с классом вашей системы и описание некоторых последствий, которые могут появиться, если нарушитель все-таки украдет вашу информацию.

Нормативно-методическая база

С моей точки зрения, необходимо сделать небольшое формальное отступление и перечислить ФЗ, которые, как раз-таки, регламентируют написание данного документа:

Итак, я думаю, что со списком ФЗ тоже все понятно.

Вывод: если вы взялись за разработку государственной информационной системы, которая содержит коммерчески значимую информацию или персональные данные, которые, как ни крути, подлежат защите в соответствии с законодательством, от разработки модели угроз вам никуда не деться.

Содержание модели угроз

Рассмотрение вопроса о необходимости написания документа позади, теперь давайте посмотрим, что предписывает нам законодательство по его содержанию. Здесь, как ни странно, все довольно скромно.

Для того, чтобы понять, что конкретно должно содержаться в модели, обратимся снова к нормативным документам ФСТЭКа, а именно к 17 приказу.

«Модель угроз безопасности информации должна содержать описание информационной системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации».

Вы не поверите, но это все. С другой стороны, хоть требование и небольшое, оно довольно содержательное.

Давайте еще раз перечитаем и выделим основные моменты, которые должны быть:

Это по законодательству, что требует ФСТЭК. Также, дополнительно есть требования Федеральной службы безопасности (ФСБ). Их в рамках нашей статьи мы не будем рассматривать, так как в нашей системе не предусмотрено применение средств криптографической защиты (СКЗИ), по крайней мере, пока что.

Давайте чуть подробнее пробежимся по содержанию требования для создания «общей картины» документа:

В списке выше данный пункт не указан, но упомянуть его все же необходимо. Определение вероятности угрозы – здесь важно сказать, что заполнение данной информации – чисто наша инициатива и законодательством не предусмотрена. Поэтому можете его спокойно убирать. Но я считаю важным, что если специалист дополнительно исключает угрозы, потому что для их реализации нет предпосылок, важно чтобы он описал, почему он так решил.

Выводы

Было полезно? Будем рады получить обратную связь и узнать о вашем опыте в этом вопросе ✌