Разработка модели угроз информационной безопасности

В современном информационном обществе, где использование компьютеров и Интернета стало неотъемлемой частью нашей повседневной жизни, вопросы информационной безопасности становятся все более актуальными и значимыми. Развитие информационных технологий приводит к появлению новых угроз и вызовов, которые могут нанести серьезный ущерб как отдельным пользователям, так и организациям в целом. На сегодняшний день в БДУ ФСТЭК включено 222 записи угроз и более 52000 записей уязвимостей.

Разработка эффективной Модели угроз информационной безопасности является необходимостью для защиты ценных данных и обеспечения непрерывной работоспособности информационных систем.

Использование Модели угроз информационной безопасности позволяет оценить вероятность возникновения угроз и определить их последствия. Это предоставляет возможность принять необходимые меры по защите информационных систем и снижению возможного ущерба. 

Методика разработки моделей угроз и типовых видов опасностей определена в следующих документах:

• указ № 1119 от 1 ноября 2012 г, статья 19, пункт 2 федерального закона № 152
• приказ ФСТЭК № 31 от 14 марта 2014 г
• приказ ФСТЭК № 17 от 11 февраля 2013 г, с изменениями от 15 февраля 2017 г
• приказ ФСТЭК № 21 от 18 февраля 2013 г, с изменениями от 23 марта 2017 г
• приказ ФСТЭК № 239 от 25 декабря 2017 г
• методический документ. Методика оценки угроз безопасности информации ФСТЭК от 05.02.21. (далее Методика) 

Эти документы составляют основу для разработки моделей угроз в коммерческих организациях. Однако каждая компания имеет свои индивидуальные характеристики, связанные с конкретными ситуациями, структурами и особенностями деятельности, поэтому процесс может быть дополнен или адаптирован под конкретные потребности.
В основе разработки лежит базовая модель угроз информационной безопасности, способы ее определения, а также содержание и структура мер безопасности.

Органами управления в области информационной безопасности являются ФСБ, ФСТЭК и Роскомнадзор.

Разработка моделей угроз информационной безопасности должна проводиться серьезно и профессионально, так как от этого этапа зависит эффективность дальнейшей эксплуатации информационной системы и деловая репутация компании. 

* Модели угроз создаются на основе постоянно меняющихся или дополняющихся данных, поэтому требуют регулярного пересмотра и обновления.

1.1 Цель и задачи моделирования

Целью моделирования угроз является ясное определение требований к системам защиты информации для коммерческих компаний. Эта модель обеспечивает надежную и эффективную защиту всех категорий информации, таких как технические данные, бухгалтерская информация, персональные данные, конфиденциальная информация и "коммерческая тайна". 

Главными задачами моделирования угроз являются:

• выявление и объективный анализ нарушений в отношении конкретных коммерческих предприятий
• подготовка документации для создания реальных систем предотвращения и устранения угроз информационной безопасности
• выполнение требований органов сертификации, регулирующих защиту информации.

Модель угроз является неотъемлемой основой для обязательной сертификации безопасности информационных систем.
Целью разработки также является выбор оптимальных методов защиты с учетом финансовых вложений. Финансовые затраты на создание системы информационной безопасности оптимизируются путем выявления существующих групп угроз.

Моделирование угроз безопасности информации выполняет ряд критически важных задач:

• обоснование применения конкретных мер для предотвращения потенциальных угроз
• обоснование применения конкретных классов и типов мер для защиты информации
• анализ уровня защиты в процессе организационных мероприятий по обеспечению безопасности
• установление требуемого уровня защиты
• определение технических мер и их реализации при внедрении системы информационной безопасности
• разработка методов нейтрализации угроз с использованием технических и организационных средств
• защита от взлома информационных систем и несанкционированного доступа к персональным данным
• защита технических средств от внешнего воздействия

Качественная проработка модели позволяет выявить существующие угрозы и потенциальные опасности, разработать меры противодействия и повысить уровень информационной безопасности.

1.2 Содержание и документация модели угроз

Модель угроз информационной безопасности должна включать:

• описание возможных нарушений и источников угрозы
• возможных целей, против которых может быть направлена угроза
• вероятность реализации угрозы
• величину и характер последствий
• чувствительные области информационной системы

Документы, соответствующие этому положению, должны содержать следующие разделы:

• Титульный лист
  Титульный лист (обязательно) должен быть подписан ответственным лицом компании - владельца информационной системы. 
• Список сокращений
• Оглавление
• Резюме
• Вводный раздел с указанием методических и нормативных документов, на основе которых разработано моделирование угроз безопасности информации

Во вводном разделе должны быть указаны:

• организация-разработчик
• организация-пользователь
• перечень решаемых задач
• информационное наполнение
• условия обновления и пересмотра
• описание ИСПДн и инфраструктуры
• описание угроз информационной безопасности
• описание уязвимостей
• описание методов реализации, выводов и структурных особенностей

В перечень нормативных документов включены только правовые акты, имеющие непосредственное отношение к модели угроз безопасности конкретной компании, такие как объекты, виды угроз и оборудование.
Модель угроз и техническое задание на построение всей системы защиты должны быть утверждены уполномоченным представителем административного органа.
Защищаемая информация обозначается в шаблоне аббревиатурой ПНД (персональные данные). 

* Если компания не заинтересована в этой категории информации, она может указать другое название, например CI (конфиденциальная информация) или PII (защищенная информация). Данные могут быть защищены доступностью или целостностью.

Пояснительный документ ИСПДн должен содержать подробную информацию:

• о функциональной схеме системы персональных данных
• принципах взаимодействия с другими объектами
• наличии средств защиты и сертификатов
• границах зоны контроля 

Описание должно включать:

• адрес расположения технических средств
• перечень лиц, которым запрещен доступ в зону контроля
• список запрещенных технических средств и видов транспорта

* Нет необходимости предоставлять слишком подробные описания, такие как копии технических паспортов оборудования или углубляться в детали конструкции компонентов. Тем не менее инспекторам необходимо точно знать, как работает система защиты в целом, чтобы хорошо понять описание. Описание может сопровождаться функциональной схемой информационной безопасности, иллюстрирующей механизмы угроз и тактику защиты, но не топологической схемой.

В документации должно быть отражено состояние безопасности объекта в нерабочий и рабочий периоды и описаны меры защиты (сигнализация, система видеонаблюдения и др.).

Модель должна учитывать все этапы обнаружения реальной угрозы.
 
Каждая потенциальная угроза проходит четыре этапа:

1. появление активных источников (например, ожидаемые природные или техногенные катастрофы, наличие мотивированных хакеров)
2. уязвимость защищаемой информационной системы
3. реализация угрозы
4. результаты

Потенциальные угрозы могут иметь различные характеристики в рамках одной или разных ИС. 

В связи с этим действия по разработке модели угроз, подлежащих защите, выполняются по следующему алгоритму:

• выявление реальных источников существующих угроз
• выявление проблемных областей и объектов информационной безопасности
• разработка отдельного списка угроз для каждого проблемного объекта
• определение способов реализации угроз
• оценка экономического ущерба и анализ результатов реализации

При разработке предположений по модели угроз ответственные сотрудники оператора используют методический документ "Методика оценки угроз информационной безопасности", утвержденный Советом Безопасности Российской Федерации ФСТЭК России.

* В модели угроз обязательно указывается классификация нарушителей. Рассмотрим подробнее.

Классификация нарушителей безопасности:

В соответствии с критериями прав доступа к защищаемой системе, существует два типа нарушителей: внутренние и внешние.
Для визуализации этих категорий в Методике представлены две диаграммы, показывающие поведение внешних и внутренних нарушителей (Рис.1).
Эти примеры наглядно показывают, что внутренние нарушители информационной безопасности иногда могут представлять более реальную угрозу, чем внешние.

Давайте рассмотрим подробнее, кто такие нарушители и какой ущерб они могут нанести:
Несколько примеров из Методики:

Внутренние нарушители информационной безопасности. Это могут быть.

• разработчики программного обеспечения, программных и аппаратных средств
• поставщики вычислительных и коммуникационных услуг

Каковы последствия?

• внедрение дополнительной функциональности в программное обеспечение, микропрограммное или аппаратное обеспечение на этапе разработки
• получение финансовой или иной материальной выгоды; 3. непреднамеренные, неосторожные или незрелые действия

Внешние нарушители информационной безопасности. К ним относятся:

• террористы, экстремистские группировки
• отдельные лица (хакеры)

Какой вред они могут причинить.

• совершают террористические акты и угрожают жизни мирного населения
• получить экономическую или иную материальную выгоду

Необходимо проанализировать и оценить объект угрозы информационной безопасности, чтобы определить подходящий тип нарушителя для системы и сети.
 
При этом учитываются:

• результаты анализа исходных данных
• возможные негативные последствия и ущерб, которые могут возникнуть в результате реализации угрозы

В целом, оценка рисков, анализ и оценка угроз информационной безопасности являются важными и основополагающими элементами обеспечения безопасности информационных систем и сетей. Знание основных источников угроз помогает принять соответствующие меры по защите информации и предотвращению потенциальных проблем.
Разработка модели угроз, включающей внутренние и внешние источники угроз информационной безопасности, - первый шаг в этом направлении.

Любой штатный эксперт может смоделировать угрозы информационной безопасности, используя стандартные шаблоны, доступные в Интернете, но это может привести к длительному и трудоемкому процессу и не факт, что результат будет успешным.

Создание модели угроз с учетом структуры и деятельности конкретной компании требует большого опыта. Эти задачи должны выполняться опытными специалистами, поскольку для создания реалистичных сценариев каждой потенциальной угрозы требуется опыт и высокая квалификация. В некоторых случаях экспертам приходится частично отступать от стандартных методик.

Единственная рекомендация в этой связи – организациям делать упор на развитие собственных специалистов.

В России обострился дефицит ИТ-кадров, наблюдавшийся в последние годы.
В настоящее время существует проблема в нехватке квалифицированных ИТ-специалистов: лишь около 3,5 % профессионалов соответствуют современным требованиям, включая такие навыки, как Linux и облачная безопасность. Ожидается, что будет растущий спрос на профессионалов, что в свою очередь повысит их значимость в организациях и приведет к росту зарплат.

Интересуетесь, как можно повысить свою квалификацию и стать востребованным специалистом в области информационной безопасность?

В этом вам поможет Единый Всероссийский Институт Дополнительного Профессионального Образования!
EVIDPO предлагает более десятка онлайн-курсов по информационной безопасности, а также сертификаты о повышении квалификации.

Разработка Модели угроз информационной безопасности является ключевым элементом обеспечения безопасности информационных систем. Понимание принципов и методов ее создания позволяет организациям эффективно реагировать на возникающие угрозы и минимизировать возможные риски.

В данной статье проведен обзор основных аспектов разработки Модели угроз информационной безопасности, что может служить полезным ресурсом для специалистов в области информационной безопасности и всех, кто заинтересован в защите своей информации от внешних угроз.