Меню
Главная
Лента
Закладки
Скачайте приложение
App Store
установить
Play Market
установить
RuStore
установить
Комментарии 0
...комментариев пока нет
Назад
Audit-it.ru
6 месяцев назад

Моделирование угроз безопасности: формальный подход к выстраиванию реальной безопасности

Автор: Екатерина Витенбург, Руководитель информационной безопасности компании Б-152

Определение угроз безопасности информации требуется согласно части 2 статьи 19 закона № 152-ФЗ «О персональных данных», п.2 постановления Правительства РФ от 1 ноября 2012 г. N 1119, а также п. 4 приказа ФСТЭК России от 18 февраля 2013 г. № 21. В рамках защиты объектов критической информационной инфраструктуры, государственных ИС и ИС компаний финансового сектора наличие документа “Модель угроз безопасности информации” является обязательным и определено Приказами ФСТЭК и Банка России соответственно.

Процесс моделирования угроз безопасности определён методическим документом ФСТЭК России  от 5 февраля 2021 г.

Из опыта проведения аудитов информационной безопасности как в крупных, так и в средних компаниях, в 60% случаях модель угроз отсутствует, в 20 %- разработана по устаревшим методикам. Актуальная модель угроз, используемая в работе служб безопасности - встречается в 10% компаний.

Основная причина такого подхода - непонимание:

  • ценности наличия модели угроз

  • правил разработки

  • способов использования

  • роли в процессе построения системы защиты

  • возможности оперативного обновления модели угроз.

Разработка модели угроз позволит упростить решение различных задач.

  • Выбор наиболее эффективных организационных и технических мер, включая внедрение новых технологий, обучение сотрудников или разработку процедур реагирования на инциденты.

  • Построение дорожной карты создания / модернизации системы защиты информации.

Исходя из актуальных угроз можно  определить приоритеты в реализации мер безопасности, оптимизировать ресурсы и сконцентрироваться на самых критических участках.

  • Выявление причин сбоев в работе информационных систем

  • Сформировать план устранения уязвимостей или недостатков в текущей инфраструктуре, которые могут приводить к сбоям или низкой эффективности работы.

  • Подобрать подходящие инструменты для оценки защищенности ИС от различных видов атак.

Модель угроз должна быть удобной и понятной, быстро обновляемой. Для этого рекомендуем использовать exel-таблицы или SGRC - системы.

Моделирование угроз выполняется в пять этапов.

На этом этапе необходимо подробно описать все элементы системы, такие как аппаратное и программное обеспечение, сетевую инфраструктуру, базы данных и пользовательские интерфейсы. Это позволит понять структуру системы и выявить уязвимые точки.

  • Определение последствий от направленных угроз.

 Следует идентифицировать все виды возможного ущерба в случае компрометации системы, включая финансовые потери, утрату конфиденциальности данных, повреждение репутации компании и т.д.

  • Идентификация источников угроз безопасности информации и оценка их возможностей для реализации атак.

Важно понять мотивацию и вероятные методы злоумышленников. Нарушителей разделяют на 2 группы:

- внешние нарушители – у которых нет прав доступа в контролируемую зону;

- внутренние нарушители – имеющие доступ в контролируемую зону, а также соответствующие полномочия по доступу к информационным системам и данным.

Нормативные требования для признания нарушителя актуальным прописаны в методике ФСТЭК. Кроме того, помогут его выявить  три простых вопроса.

  • Кто заинтересован в получении сведений из информационной системы организации?
  • Кто получит выгоду в случае сбоя?
  • У кого есть потенциальная возможность нанести вред информационной системе?

При использовании средств криптографической защиты информации (СКЗИ) следует определять типы угроз, возможности нарушителей, а также класс СКЗИ согласно приказу ФСБ России от 10 июля 2014 года № 378. Методические рекомендации для этого утверждены руководством 8 Центра ФСБ России 31 марта 2015 года, № 149/7/2/6-432.

  • Оценка способов появления угроз.

Целесообразно анализировать конкретные способы, такие как фишинговые атаки, эксплойты в программном обеспечении, социальная инженерия и другие методы.

  • Определение актуальности угроз.

Для этого рассматривают тенденции в области кибербезопасности и используют имеющиеся данных для предсказания вероятности реализации тех или иных рисков. В результате удаётся отслеживать новые типы вредоносных приложений и методов атак.

БДУ ФСТЭК включает 222 УБИ и  определяет 11 видов угроз.

  1. Угроза утечки информации

  2. Угроза несанкционированного доступа

  3. Угроза несанкционированной модификации (искажения)

  4. Угроза несанкционированной подмены

  5. Угроза удаления информационных ресурсов

  6. Угроза отказа в обслуживании

  7. Угроза ненадлежащего (нецелевого) использования

  8. Угроза нарушения функционирования (работоспособности)

  9. Угроза получения информационных ресурсов из недоверенного или скомпрометированного источника

  10. Угроза распространения противоправной информации

  11. Угроза несанкционированного массового сбора информации

Анализ угроз должен проводить специалист по защите информации, а если в компании его нет, необходимо привлекать профильных экспертов, обладающих обширной информацией о возможных рисках.

По результатам определения актуальных угроз безопасности рекомендуем сразу же сформировать перечень мер защиты для их нейтрализации и провести ранжирование угроз по степени опасности и вероятности их реализации. Это позволит понять с чего начать совершенствование или создание системы защиты.

Выводы

Моделирование угроз безопасности информации играет критическую роль в современном мире цифровых технологий. Оно позволяет организациям заранее готовиться к потенциальным атакам и защищать свои данные на всех уровнях ИТ - инфраструктуры: от физических компонентов до информационных активов.


Назад