Методика определения угроз безопасности информации в информационных системах: Обзор проекта новой методики моделирования угроз безопасности информации

Содержание

Обзор проекта новой методики моделирования угроз безопасности информации

9 апреля на сайте ФСТЭК России был опубликован проект «Методики определения угроз безопасности информации в информационных системах». Методика может стать первым за последние 12 лет официально принятым документом, описывающим порядок моделирования и определения актуальности угроз безопасности информации. С учетом того, что определение угроз безопасности является основополагающим мероприятием при построении любой системы защиты, важность Методики переоценить сложно.

В своей статье мы хотим рассмотреть и оценить новый подход регулятора к моделированию угроз, а также ответить на следующий вопрос – насколько такой подход отвечает текущим реалиям в области информационной безопасности.

Как сейчас регулируется вопрос моделирования угроз?

Определение актуальных угроз безопасности информации требуется для самых разнообразных объектов: ИСПДН, ГИС, АСУ ТП, значимые объекты КИИ, ИС финансовых организаций (далее при совместном упоминании – «информационные системы»). Следовательно, обработка информации с использованием таких объектов требует четкого понимания кто (или что) и каким образом может стать причиной нарушения информационной безопасности.

Вместе с тем, единственным действующим на сегодняшний день документом в области моделирования угроз безопасности является «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», выпущенная в далеком 2008 году. Помимо преклонного возраста, данный документ может похвастаться рядом моментов, свидетельствующих о том, что он, к сожалению, давно потерял свою актуальность и продолжает использоваться только по причине отсутствия какой-либо замены. Жесткая привязка к персональным данным, использование показателя исходной защищенности системы, в качестве фактора, влияющего на определение актуальности угроз, отсутствие какого-либо разделения ответственности в вопросах моделирования угроз безопасности при использовании внешних хостингов – лишь часть огрехов, которые продолжают обсуждаться ИБ-сообществом.

В такой ситуации обладателям информации (операторам) приходится импровизировать, самостоятельно «дорабатывая» документ для собственных нужд. Такой подход, во-первых, не является абсолютно легальным (в своих приказах ФСТЭК настаивает на использование разработанных ими методических документов для определения угроз безопасности), а во-вторых, представляет весьма нетривиальную задачу, особенно при отсутствии соответствующего опыта у исполнителя. В связи с этим, новая Методика должна стать если и не панацеей, то инструментом, значительно упрощающим процесс моделирования угроз информационной безопасности.

Ключевые особенности новой методики

Область применения Методики

Первой и одной из наиболее важных отличительных черт новой Методики является область ее применения, которая теперь не ограничивается лишь ИСПДн. Документ должен использоваться для определения угроз безопасности информации при ее обработке с использованием любых объектов, требования по защите к которым утверждены ФСТЭК. К таким объектам, как упоминалось ранее, относятся значимые объекты КИИ, ИСПДн, ГИС и иные типы систем.

Помимо этого, документ прямо предусматривает возможность разработки и использования отраслевых/ведомственных/корпоративных методик, учитывающих особенности функционирования объектов. Какой-либо порядок разработки и согласования «дочерних» методик не предусмотрен, единственное требование – они не должны противоречить положениям Методики.

Использование БДУ ФСТЭК при моделировании угроз безопасности

Основным источником информации об угрозах станет БДУ ФСТЭК, а также базовые и типовые модели угроз безопасности. Если для значимых объектов КИИ и ГИС такой подход предполагался и ранее, то вопрос использования (или неиспользования) БДУ по отношению к ИСПДн теперь получил однозначный ответ.

Такой подход выглядит вполне логичным, если бы не одно «но». Дело в том, что разнообразие «базовых и типовых моделей угроз» на сегодняшний день оставляет желать лучшего – в свободном доступе опубликован лишь один документ, попадающий под это описание, да и тот представляет собой выписку и нацелен на все те же ИСПДн.

Означает ли это, что в ближайшее время после утверждения Методики стоит ожидать пополнение в рядах базовых и типовых моделей угроз? Вопрос остается открытым.

Порядок моделирования угроз безопасности

Обновленный порядок включает в себя пять этапов, выполняемых в определенной последовательности. Общая схема процесса, представленная в Методике, выглядит следующим образом:

За определение актуальности угрозы безопасности информации отвечают этапы с первого по четвертый. В соответствии с Методикой, угроза безопасности будет являться актуальной при наличии хотя бы одного сценария ее реализации и если ее реализация приведет к каким-либо негативным последствиям для обладателя информации (оператора) или государства.

Цель пятого этапа – определить опасность каждой из актуальных угроз. По сути, данная характеристика носит исключительно информационный характер и не оказывает прямого влияния ни на итоговый документ, формируемый по результатам моделирования, ни на возможные варианты нейтрализации угрозы. Можно предположить, что данный параметр должен использоваться для определения очередности закрытия угрозы, однако малое число возможных значений показателя – «низкий», «средний», «высокий» — не позволяют сделать это с достаточной степенью детализации. Более того, любая из дошедших до данного шага угроз должна быть так или иначе закрыта, поэтому забыть про «неопасную» угрозу попросту не получится. Таким образом, истинная цель данного параметра остается не раскрытой в полной мере.

Стоит отметить, что работы по моделированию угроз безопасности должны проводиться либо обладателем информации (оператором) самостоятельно, либо с привлечением лицензиатов ФСТЭК. Такой подход, в соответствии с нормативными документами регулятора, применяется и в настоящее время.

Определение актуальности угроз безопасности информации

Подробнее хочется остановиться непосредственно на порядке определения актуальности угроз безопасности.

1. Итак, на первом этапе предлагается определить все возможные негативные последствия от реализации угроз безопасности. Помогать в этом должна либо проведенная ранее оценка ущерба (рисков) от нарушения основных критических процессов, либо экспертная оценка, либо информация, получаемая от эксплуатирующих информационную систему подразделений.

При любом выбранном подходе, необходимо определить информационные ресурсы, обеспечивающие выполнение критических процессов (непосредственно информация, программно-аппаратные средства, средства защиты информации и иные) и основные виды неправомерного доступа по отношению к каждому из ресурсов. Методичка содержит перечень основных видов ресурсов и неправомерного доступа к ним, а также примеры определения возможных негативных последствий.

2. На втором этапе необходимо определить наличие потенциальных уязвимостей и их типы, наличие недекларированных возможностей в информационных системах, а также необходимость доступа к системе для реализации каждой из угроз безопасности.

В качестве основного метода выявления потенциальных уязвимостей в информационной системе на этапе ее эксплуатации является тестирование на проникновение, проводимое в том числе с учетом функциональных возможностей и настроек средств защиты.

3. Следующим, третьим этапом является определение нарушителей безопасности и оценка их возможностей. В качестве источников угроз предлагается рассматривать как антропогенные, так и техногенные: первые рассматриваются абсолютно для всех информационных систем, тогда как вторые – только для тех систем, для которых предъявляются требования к устойчивости и надежности функционирования.

Подход к определению возможных антропогенных источников угроз – нарушителей – является стандартным и заключается в выявлении конкретных видов нарушителей, их потенциала и возможностей при реализации угроз в отношении защищаемой информационной системы. Стоит отметить, что при наличии связи информационной системы с Интернетом, внешний нарушитель как минимум с низким потенциалом всегда рассматривается в качестве актуального источника угроз.

Также необходимо обратить внимание, что согласно новой Методике, нарушитель может обладать одним из четырех уровней потенциала (базовый, базовый повышенный, средний и высокий), в то время как БДУ, при описании источника угроз, использует лишь 3 уровня (низкий, средний, базовый). Как правильно в этом случае обеспечить корреляцию – вопрос, который также остается без ответа.

4. На заключительном этапе осуществляется анализ возможных тактик и техник реализации угроз. Для определения возможных сценариев атак, Методика предлагает использовать приведенные в ней тактики и техники, а также дополнительную информацию из БДУ ФСТЭК или иных баз данных компьютерных атак (по всей видимости здесь имеются в виду матрица ATT&CK и аналогичные походы).

Стоит отметить еще один момент, касающийся БДУ. На сегодняшний день этот ресурс не содержит какой-либо структурированной информации о возможных способах реализации угроз, в связи с чем ссылка на него выглядит неуместной.

Выдержка из матрицы тактик и методик, представленной в документе:

В общем и целом, предложенный подход значительно выделяется своими положительными сторонами, особенно на фоне порядка, представленного в действующей методике. Среди «плюсов», как минимум, можно выделить следующие:

отказ от неудобных в использовании и далеко не всегда корректных параметров исходной защищенности информационной системы и вероятности реализации угрозы, используемых в методике 2008 года;

зависимость актуальности угроз безопасности от действительно значимых для информационной безопасности параметров, таких как потенциальный ущерб от реализации угрозы и сценарии ее реализации;

большой акцент на мероприятиях, позволяющих корректно и точно определить, от чего необходимо защищаться – оценка рисков, проведение тестирования на проникновение, использование источников о тактиках и техниках реализации угроз;

предусмотрены различные варианты выполнения мероприятий при определении актуальности угроз, например, определение потенциальных последствий от реализации угрозы тремя разными способами;

предоставление исходных данных и примеров выполнения для каждого из мероприятий, выполняемых для определения актуальности угроз.

Таким образом, мероприятия по определению актуальности угроз безопасности являются целостным и структурированным процессом, способным учитывать особенности функционирования различных типов информационных систем.

Вместе с тем стоит отметить тот факт, что модернизация подхода к определению актуальности угроз сделал его значительно более трудоемким. От исполнителя (или, вероятнее, группы исполнителей) требуются глубокие знания как об инфраструктуре системы, так и различных областях ИБ, начиная от законодательных норм, заканчивая пониманием (и, желательно, наличием практических навыков) по реализации различных типов атак.

Определение угроз безопасности для инфраструктуры, размещаемой на внешних хостингах

Особое внимание уделяется вопросу разделения ответственности при моделировании угроз для информационных систем, размещаемых во внешних ЦОД и облачных сервисах.

Определение актуальных угроз безопасности в рассматриваемой ситуации должно осуществляться владельцем информации совместно с используемым хостингом. В общем случае хостинг определяет актуальные угрозы безопасности для предоставляемой им инфраструктуры и доводит эти сведения до своего клиента – обладателя информации (оператора).

Например, границы моделирования угроз безопасности при аренде виртуальной инфраструктуры выглядят следующим образом:

В случае, если владелец хостинга не выполняет моделирование угроз, Методика не рекомендует использование его услуг. С учетом того, что такая рекомендательная мера далеко не всегда будет соблюдаться, остается открытым вопрос о том, как быть владельцу информации, если он решится на использование услуг такого хостинга.

Поддержание модели угроз в актуальном состояние

Результаты моделирования угроз оформляются в виде документа по форме, представленной в приложении к Методике, и утверждается руководителем обладателя информации (оператора). Стоит отметить, что предлагаемая к использованию форма документа имеет достаточно стандартную структуру, повторяющую основные разделы Методики, при этом в ней отсутствует раздел с указанием выводов или какой-либо иной информации, объясняющей, что же с этими угрозами делать дальше. Такой подход, к сожалению, создает впечатление неоконченного документа, описывающего мероприятие, вырванное из общего контекста.

Но перейдем к дальнейшим этапам жизненного цикла модели угроз. Подразумевается, что в течение всего периода эксплуатации информационной системы, модель угроз должна актуализироваться с учетом изменения требований законодательства, изменения архитектуры и условий функционирования системы, выявления новых угроз безопасности информации. Таким образом, обновление БДУ ФСТЭК должно повлечь за собой и обновление всех разработанных и используемых моделей угроз безопасности информации. С учетом того, что внесение изменений в БДУ событие относительно частое (от 1 до 3 раз в год, в соответствии с представленной в базе информацией), возвращаться к вопросу актуализации модели угроз придется регулярно.

Вместе с тем стоит отметить, что поддерживать в актуальном состоянии модель угроз можно и в виде электронного документа. Необходимо ли в этом случае утверждать такой документ у руководителя и если да, то каким именно образом – пока неясно.

Удалась ли новая Методика?

Опубликованный проект документа демонстрирует, что в вопросах обеспечения безопасности информационных систем регулятор старается идти в ногу со временем и вместе с тем учитывать пожелания владельцев таких систем.

Из очевидных плюсов обновленной Методики стоит отметить:

ее универсальность и, следовательно, возможность использования для различных типов информационных систем;

структурированный и понятный подход к определению актуальности угроз безопасности;

зависимость актуальности угроз от действительно важных факторов – наличия потенциальных негативных последствий от реализации угрозы и сценариев ее реализации.

Вместе с тем, при прочтении Методики отчетливо ощущается, что это лишь проект, а не финальная версия методического документа:

неоднократное упоминание БДУ в контексте функций, которая она в настоящий момент не реализует;

ссылки на фактически отсутствующие для большинства типов информационных систем базовых и типовых моделей угроз;

форма документа по результатам моделирования угроз, требующая доработки и иные мелкие недочеты.

И что же дальше?

Новый вариант Методики значительно отличается от действующей в настоящее время. В случае утверждения этого документа (а пока не видно ни одной действительно значимой причины, почему это может не произойти), перед владельцами информационных систем встанет вопрос о том, нужно ли им актуализировать имеющиеся модели угроз и если да, то как и в какой срок необходимо это осуществить.

И если ответ на первый вопрос с большой долей вероятности будет утвердительным, то информацию по последующим в настоящий момент взять неоткуда. Очевидно, что необходима какая-либо отсрочка при вступлении в силу новой Методики. Проведение детальной и качественной работы по моделированию угроз – процесс, требующий значительных ресурсов, как временных, так и человеческих.

Чтобы узнать о практической стороне вопроса моделирования угроз безопасности, в том числе с использованием новой Методики, продолжайте следить за нашими информационными источниками.

Владислав Павлов
Специалист отдела аудита и консалтинга, Акрибия

Информационное сообщение ФСТЭК России от 9 апреля 2020 г. N 240/22/1534

Информация о материале: Создано: 09 Апреля 2020 12:04; Обновлено: 09 Апреля 2020 12:07; Просмотров: 5416

+ 1 — 0

Оценить:

В соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, ФСТЭК России разработан проект методического документа «Методика моделирования угроз безопасности информации».

Документ определяет порядок и содержание работ по моделированию угроз безопасности информации, включая персональные данные, в информационных (автоматизированных) системах, автоматизированных системах управления, информационно-телекоммуникационных сетях, в том числе отнесенных к объектам критической информационной инфраструктуры Российской Федерации, в информационно-телекоммуникационных инфраструктурах центров обработки данных и облачных инфраструктурах, защита информации в которых или безопасность которых обеспечивается в соответствии с требованиями по защите информации (обеспечению безопасности), утвержденными ФСТЭК России в пределах своей компетенции.

Методический документ должен применяться совместно с банком данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru).

В целях реализации положений методического документа планируется модернизация раздела «Угрозы» банка данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru).

Проект указанного документа размещен на официальном сайте ФСТЭК России www.fstec.ru в разделе «Техническая защита информации/Документы/Проекты».

ФСТЭК России предлагает специалистам в области информационной безопасности заинтересованных органов государственной власти, субъектов критической информационной инфраструктуры и организаций рассмотреть проект методического документа и направить предложения по указанному документу в соответствии с прилагаемой формой на адрес электронной почты Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript..

Предложения и замечания по проекту методического документа принимаются до 30 апреля 2020 г.

Заместитель директора

ФСТЭК России

В.Лютиков

N п/п	N пункта проекта Методики	Содержание замечания (предложения)	Предлагаемая редакция пункта проекта Методики
1
…
n

БДУ — Угрозы

Описание угрозы	Угроза заключается в возможности внедрения и запуска вредоносного кода от имени доверенного процесса на любом из ресурсных центров грид-системы и его автоматического распространения на все узлы грид-системы. Данная угроза обусловлена слабостями технологии грид-вычислений – высоким уровнем автоматизации при малой администрируемости грид-системы. Реализация данной угрозы возможна при условии наличия у нарушителя привилегий легального пользователя грид-системы
Источники угрозы	Внутренний нарушитель со средним потенциалом Внешний нарушитель со средним потенциалом
Объект воздействия	Ресурсные центры грид-системы
Последствия реализации угрозы	Нарушение конфиденциальности Нарушение целостности Нарушение доступности

ФСТЭК России разработала методику определения угроз безопасности информации в информационных системах

Кибербезопасность

Федеральная служба по техническому и экспортному контролю РФ разработала проект методического документа «Методика определения угроз безопасности информации в информационных системах».

Документ устанавливает единый методический подход к определению угроз безопасности информации и разработке моделей угроз безопасности информации в государственных информационных системах, защита информации в которых обеспечивается в соответствии с требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17 (зарегистрирован Минюстом России 31 мая 2013 г., per. N 28608).

Методика не распространяется на определение угроз безопасности информации, составляющей государственную тайну.

Методика предназначена для:

органов государственной власти, органов местного самоуправления и организаций, являющихся в соответствии с законодательством Российской Федерации обладателями информации, заказчиками и (или) операторами информационных систем;
организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию (проектированию) информационных систем;
организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по защите информации в ходе создания (проектирования) и эксплуатации информационных систем;
организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по аттестации (оценке соответствия) информационных систем требованиям о защите информации.

Читать также: “О системе защиты национальных информационных ресурсов” >>

Определение угроз безопасности информации должно носить систематический характер и осуществляться как на этапе создания информационной системы и формирования требований по ее защите, так и в ходе эксплуатации информационной системы, говорится в документе.

В методике описываются типы нарушителей, их виды и потенциал (например, специальные службы иностранных государств, террористические организации, конкурирующие компании, пользователи ИС и пр.), определяются возможные способы реализации угроз безопасности информации, предлагается оценка вероятности (возможности) реализации угрозы безопасности информации. Так, вводятся три градации вероятности угрозы: низкая, средняя и высокая – оцениваются они, исходя из возможной частоты реализации угрозы и мотивации “нападающих”.

В документе также приводится таблица показателей, характеризующих проектную защищенность информационной системы, предлагается методика оценки степени возможного ущерба от реализации угрозы безопасности информации, даются рекомендации по формированию экспертной группы и проведению экспертной оценки при определении угроз безопасности информации и пр.

ФСТЭК предлагает специалистам в области информационной безопасности заинтересованных органов государственной власти и организаций рассмотреть проект методического документа и направить предложения по указанному проекту на адрес электронной почты [email protected].

Предложения и замечания принимаются до 10 июня 2015 года.

Читать также: “Особенности обеспечения безопасности информации в информационных системах органов местного самоуправления” >>

Эксперт по информационной безопасности Андрей Прозоров в своем блоге оценил документ как “неплохой”, однако отметил ряд недостатков. Прозоров подтвердил Экспертному центру электронного государства, что самыми заметными недостатками являются следующие.

“В качестве исходных данных об угрозах безопасности информации и их характеристиках используется банк данных угроз безопасности информации, сформированный и поддерживаемый ФСТЭК России (ubi.fstec.ru)”, говорится в методике. Это хоть и декларируется, отмечает эксперт, но не описан механизм процедуры использования «банка данных угроз безопасности информации, сформированный и поддерживаемый ФСТЭК России», и, судя по составу угроз в банке данных и их описанию, у разработчиков модели угроз могут быть сложности по “скрещиванию” методики и банка угроз.

Также Прозоров отмечает, что методический документ используется для оценки угроз информации в государственных ИС и может быть применен и для ПДн, при этом методика не распространяется на ГТ (об этом сказано в п.1 “общие положение”). Но почему-то нет отсыла к другим видам информации ограниченного доступа, в том числе “служебной тайны” / ДСП. Да, с термином есть сложности, но основной пользователь документа – госорганы, можно ли им использовать данный документ для защиты своей информации, не попадающей в ГосИС?

Документ не распространяется на защиту информации на бумажных носителях (про них не написано в п.3 а), указывает эксперт. И в нем не хватает конкретных рекомендаций по расчету возможного ущерба, приводятся лишь общие идеи.

как скрестить ежа и ужа

Те кто уже успел изучить новые методики регуляторов по моделированию угроз, наверное заметили, что большое внимание уделяется описанию потенциального нарушителя. Например, в проекте методики моделирования угроз от ФСТЭК подробно описаны виды нарушителей и их мотивация. В банке угроз ФСТЭК, для каждой угрозы задан тип и потенциал нарушителя, который может ее реализовать. В общем, модель нарушителя перестает быть простой формальностью и начинает оказывать большое влияние на перечень актуальных угроз.

Проблема в том, что подходы двух регуляторов (ФСБ и ФСТЭК) к формированию модели нарушителя, несколько отличаются. ФСБ отвечает за регулирование в области криптографии и ее методика в основном служит для выбора класса криптосредств. Соответственно, ФСБ при описании нарушителя делает упор на возможностях нарушителя по атакам на криптосредства и среду их функционирования (СФ). Методика ФСТЭК более широкая и описывает возможности нарушителя по атакам на систему в целом.

В результате перед разработчиком модели угроз стоит выбор: либо сделать две модели нарушителя по разным методикам, либо пытаться объединить подходы обоих регуляторов в едином документе.

Поэтому обычно разрабатывается два документа: модель угроз ФСТЭК (включающая свое описание нарушителей) и, отдельно, модель нарушителя ФСБ. По крайней мере так поступали безопасники в большинстве проектов, которые я видел. Две модели нарушителя в одном проекте — это то не очень логично.

В связи с выходом новых документов ФСТЭК и ФСБ, интересно насколько сблизились подходы регуляторов к к описанию потенциальных нарушителей. Стала модель нарушителя более логичной?

Модель нарушителя по ФСТЭК

В проекте методики ФСТЭК перечислены виды нарушителей и их потенциал. Потенциал нарушителя может быть высоким, средним или низким. Для каждого из вариантов задан свой набор возможностей:

Так, нарушители с низким потенциаломмогут для реализации атак использовать информацию только из общедоступных источников. К нарушителям с низким потенциалом ФСТЭК относит любых «внешних» лиц, а также внутренний персонал и пользователей системы.

Нарушители со средним потенциаломимеют возможность проводить анализ кода прикладного программного обеспечения, самостоятельно находить в нем уязвимости и использовать их. К таким нарушителям ФСТЭК относит террористические и криминальные группы, конкурирующие организации, администраторов системы и разработчиков ПО.

Нарушители с высоким потенциаломимеют возможность вносить закладки в программно-техническое обеспечение системы, проводить специальные исследования и применять спец. средства проникновения и добывания информации. К таким нарушителям ФСТЭК относит только иностранные спецслужбы.

Возможности нарушителей по ФСБ

Как уже говорилось выше, у ФСБ своя методика угроз, с криптосредствами и СФ 🙂 В недавно вышедших методических рекомендациях приводится 6 обобщенных возможностей нарушителей:
1) Возможность проводить атаки только за пределами КЗ;
2) Возможность проводить атаки в пределах КЗ, но без физического доступа к СВТ.
3) Возможность проводить атаки в пределах КЗ, с физическим доступом к СВТ.
4) Возможность привлекать специалистов, имеющих опыт в области анализа сигналов линейной передачи и ПЭМИН;
5) Возможность привлекать специалистов, имеющих опыт в области использования НДВ прикладного ПО;
6) Возможность привлекать специалистов, имеющих опыт в области использования НДВ аппаратного и программного компонентовсреды функционирования СКЗИ.

Эти возможности соответствуют классам криптосредств (СКЗИ). В зависимости от того, какую возможность мы признаем актуальной, необходимо использовать СКЗИ соответствующего класса. Подробнее это детализировано в другом документе — в приказе ФСБ №378.

Конкретных примеров нарушителей (террористы, конкуренты и т.д.) в своих новых документах ФСБ не дает. Но вспомним, что ранее были методические рекомендации ФСБ 2008 г.. В них то как раз рассказывалось о 6 типах нарушителей, которые обозначались как Н1- Н6. Возможности описанные в новых документах ФСБ соответствуют тем самым нарушителям Н1 — Н6 из старых методических рекомендаций.

Объединяем нарушителей ФСТЭК и ФСБ

Если прочесть описание возможностей нарушителя, то можно заметить, что оба регулятора уделяют внимание возможностям нарушителя по использованию НДВ. Сравнив описания нарушителей у ФСТЭК и ФСБ, получим примерно следующее:

Таким образом, для каждого нарушителя из методики ФСТЭК можно взять вполне определенный набор свойств из методики ФСБ.

Выбираем подходящих нарушителей и избавляемся от остальных

Остается только определиться, каких нарушителей рассматривать для конкретной информационной системы. А это регулятор сам подсказывает нам, уже на этапе классификации системы.

В случае государственной информационной системы, приглядимся к п.25 приказа ФСТЭК №17. В нем сказано:

В случае, если система не относится к ГИС, стоит взглянуть на три типа угроз из ПП 1119:

Угрозы 1 типа явно может использовать только нарушитель с высоким потенциалом. Угрозы 2 типа — нарушитель со средним потенциалом, а угрозы 3 типа — с низким. Поскольку большинство операторов рассматривают актуальными только угрозы 3 типа, то потенциал у нарушителей будет низкий.

У новых методик ФСТЭК и ФСБ есть внятные точки соприкосновения. Грамотно комбинируя обе методики, можно разработать общую и непротиворечивую модель угроз. А заодно и снизить потенциал нарушителя и класс используемых средств защиты.

Простыми словами о новом проекте методики моделирования угроз безопасности информации ФСТЭК

7 Мая, 2020Информационное сообщение о разработке проекта методики было зарегистрировано 09.04.2020. До 30 апреля был открыт сбор замечаний по проекту в указанной форме.

Законодательство в сфере информационной безопасности неизбежно изменяется, становится более приближённым к реальной технической защите. Данный проект меняет ситуацию в сфере информационной безопасности. В случае утверждения проекта, станет обязательным применение БДУ ФСТЭК при разработке модели угроз. Также документ рекомендует при разработке модели угроз использовать результаты проведённого тестирования на проникновение. Изменения в методике непременно несет за собой необходимость обновления существующих моделей угроз, разработанных по старым документам.

Сказать, что многие ждали новую методику, это не сказать ничего. Подобный документ был необходим, как «глоток свежего воздуха». В настоящий момент не существует документа, который разложит по полочкам знания для разработки модели угроз. Моё опасение, как аналитика, состоит в том, что и этот проект могут не утвердить, и всё так и останется в подвешенном состоянии. А интеграторам и сотрудникам ИБ в компаниях придется и дальше продолжать разрабатывать модель угроз по существующим методикам, одна из которых так и осталась проектом:
Что нового в методике?
1. Данная методика унифицирована, то есть рассчитана сразу на несколько видов информационных систем. В пункте 1.2. перечислены системы и сети, к которым может применяться настоящая методика:

персональные данные;
информационные (автоматизированные) системы;
автоматизированные системы управления;
информационно-телекоммуникационные сети, в том числе отнесенных к объектам критической информационной инфраструктуры Российской Федерации;
информационно-телекоммуникационные инфраструктуры;
центры обработки данных;
облачные инфраструктуры.

2. Настоящая методика не предусматривает угрозы, связанные со стихийными бедствиями и природными явлениями, это значит, что в некоторых случаях методика должна рассматриваться в совокупности с другими стандартами.

3. Ранее ФСТЭК России в проекте методики от 2015 года уже ссылался на БДУ . Так что в новом документе этот пункт был ожидаем.

4. Ну и конечно же, если проект будет утвержден, это бы пресекло споры о способах и подходах по разработке модели угроз безопасности персональных данных, и мы бы наконец-то получили официальный ответ о том, что методика 2008 года утратила свою силу. В этом случае, все модели угроз, построенные на этой методике, необходимо будет пересмотреть.

5. Визуально этот проект методики стал понятнее, чем её неизданный предшественник. Текст стал менее витиеватым, а из-за разбиения на пункты стал более структурированным. По всему документу прослеживаются примеры.

6. В пункте 2.3 представлена схема проведения процесса моделирования угроз. В проекте методики от 2015 года тоже был перечень действий, которые необходимо было выполнить в соответствии с документом, однако в проекте методики от 2020 года разработан наиболее чёткий процесс моделирования. В схеме представлены исходные данные, необходимые для моделирования, этапы выполнения моделирования и, конечно, какой должен быть результат. Несмотря на то, что процесс моделирования рассмотрен схематически, он существенно упрощает понимание структуры документа и принципы построения модели угроз.

7. Проект от 2020 года выделяет зоны ответственности для операторов и поставщиков услуг в следующих категориях информационной инфраструктуры: ЦОД или облачная инфраструктура, принадлежащая поставщику услуг. Рекомендации по взаимодействию с поставщиком услуг представлены в пунктах 2.11-2.12. В настоящих пунктах рассмотрены несколько вариантов взаимодействия с поставщиком услуг.

8. В новом проекте появилось упоминание тестирования на проникновение, а это значит, что при формировании модели угроз мы получим не только экспертную оценку, но и сможем обоснованно опираться на технические аргументы и реально выявленные уязвимости. Эта методика стала больше приближена к существующим реалиям и не ограничивается только показателями исходной защищённости, представленной в методиках от 2008 и 2015 годов.

9. Проект методики выделяет два этапа развития информационной инфраструктуры проверяемой компании:

этап создания систем и сетей;
этап эксплуатации систем и сетей.

Для каждого из этапов предусмотрен свой сценарий моделирования угроз безопасности.

Для создаваемой системы и сети в информационной инфраструктуре мы можем оценить наличие и возможность использования нарушителем потенциальных уязвимостей. Это означает, что мы делаем предположение о типовых уязвимостях на основании имеющихся данных о системе.

Для систем и сетей, которые уже эксплуатируются в информационной инфраструктуре, ФСТЭК России предлагает оценивать возможность использования уязвимостей посредством тестирования на проникновение в периметр компании.

10. Методика рассматривает следующие источники угроз:

техногенные источники;
антропогенные источники.

В проекте 2015 года регулятор рассматривал 3 вида источников, третьим из которых стали стихийные источники.

При рассмотрении стихийных источников угроз ФСТЭК России рекомендует использовать требования и правила, установленные уполномоченными федеральными органами исполнительной власти, национальными стандартами, не ссылаясь при этом на конкретные стандарты. Значит, в случае с моделированием угроз для КИИ придется объединить несколько стандартов, для наиболее грамотного содержания разрабатываемой модели угроз.

11. В новом проекте регулятор разработал таблицу с целями нарушителей, в которой отразил большее количество возможных мотивов (целей). В пункте 5.7 был представлен перечень действий, необходимых для фиксации в модели нарушителя. Также ФСТЭК России предложил в документе пример основных видов тактики и соответствующие им техники, применяемых нарушителем при реализации угроз безопасности информации: при моделировании угроз теперь необходимо проводить оценку возможности реализации нарушителем тактик и соответствующих им техник, в соответствии с предложенным примером. Тактики и техники (способы) реализации можно соотнести с угрозами из БДУ ФСТЭК. При определении сценариев атак мы сможем перебрать большее количество потенциально опасных событий и избежать их наступления.

12. При моделировании угроз, уровень опасности угрозы определяется на основании оценки нескольких показателей:

тип доступа к системе, необходимый для реализации угрозы;
сложность реализации угрозы;
уровень значимости атакуемых ресурсов.

Для определения уровня опасности угрозы появилась новая формула, которая рассчитывает сумму числовых значений показателей. Определяется уровень опасности каждой угрозы безопасности информации для КАЖДОГО из сценариев реализации угрозы. Согласно диапазону сравнений, предложенному регулятором, мы определяем уровень опасности угрозы для того, чтобы в дальнейшем разработать перечень актуальных угроз безопасности информации.

Для перечисления актуальных угроз ФСТЭК установил формат описания, в который включил следующие значения:

идентификатор;
наименование;
описание;
сценарии;
уровень опасности.

13. Еще одним интересным нововведением стало Приложение № 3, в котором регулятор привел пример структуры документа: Модель угроз безопасности информации.

Итоги
После рассмотрения методики, хотелось бы подвести итоги:

Если рассматривать методику как документ, который выстраивает полную и логичную структуру документа, и на примерах помогает разобраться в его содержании, то он вышел более понятным и логичным, чем предыдущий проект методики от 2015 года. Предложенная методика оценки на основании показателей и обновленной формулы выглядит законченной.

Документ будет полезен при построении системы защиты для компаний, так как рассматривается более широкий спектр категорий оценки.

От себя хочу добавить, что я искренне надеюсь о скором выходе в свет новой методики, а пока запасаемся знаниями из этого проекта, чтобы применить их в дальнейшем на практике.

Автор: Анастасия Голдобина, Руководитель отдела аналитики ГК Axxtel

Наш блог на Яндекс.Дзен

информационная безопасность
модель угроз
ФСТЭК России

Подписывайтесь на каналы «SecurityLab» в
Telegram и
Twitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Поделиться новостью:

Разработка Модели угроз, или Как одолеть “Джомолунгму” информационной безопасности? Кто такая МУ и почему ею интересуются ФСБ и ФСТЭК

Будь благословен Федеральный закон “О персональных данных”! Сколько увлекательных вечеров благодаря нему проводят сотрудники разных компаний за подготовкой к радушной встрече с инспекторами Роскомнадзора, ФСТЭК и ФСБ. О глобальной режиссуре этого сейшена мы уже писали. Теперь давайте разбираться с “бумажными” деталями. Один из обязательных пунктов программы — разработка так называемой “модели угроз” (МУ).

Предупреждаем на берегу: это не самое веселое занятие. Но как только вы разберетесь в вопросе, сразу почувствуете себя героем. А мы компетентно поможем вам одолеть эту высоту.

Итак:

Что она, вообще, такое, эта загадочная МУ, и для чего она нужна?

Модель угроз информационной безопасности (ИБ) — это описание существующих угроз, насколько они реалистичны, каковы шансы, что они воплотятся в жизнь, и, само собой, каковы последствия.

С помощью грамотных МУ можно повысить уровень ИБ и даже затраты на защиту оптимизировать, сосредоточившись на самых вероятных угрозах.

В общем, модель угроз — штука хорошая, полезная. И закон говорит, что без нее никак. Необходимость разработки этого документа законодательно закреплена вот здесь:

Часть 2 статьи 19 закона №152-ФЗ «О персональных данных»: «Обеспечение безопасности персональных данных достигается, в частности: 1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных».
Приказы ФСТЭК 21, 17, 31 и 239 определяют, что формирование требований к защите информации должно основываться на определении угроз безопасности.

На основе модели угроз формируются требования к защите информации. А на базе этих требований создается система защиты персональных данных (ПДн). МУ обосновывает возможность использования организационных мер, чтобы избежать определенных угроз. Плюс ко всему, она обосновывает использование определенных типов и классов средств защиты информации.

Модель угроз применяют при решении разных задач:

выбор организационных и технических мер по обеспечению безопасности ПДн и их реализации в системе защиты ПДн;
определение требуемого уровня защищенности ПДн;
анализ защищенности от угроз безопасности ПДн в ходе организации и выполнения работ по обеспечению безопасности ПДн;
разработка системы защиты ПДн, обеспечивающей нейтрализацию угроз с использованием организационных и технических мер обеспечения безопасности ПДн;
проведение мероприятий, направленных на предотвращение несанкционированного доступа (НСД) к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;
недопущение воздействия на технические средства ИСПДн, в результате которого может быть нарушено их функционирование.

В общем, мы не ошибемся, если назовем модель угроз ключевым документом, который нужен на всех остальных этапах работ по защите ПДн, включая проверку.

Содержание МУ

Простора для творчества при разработке Модели угроз, прямо скажем, не так много. Зато это здорово упрощает жизнь. Содержание МУ прописано в нормативных документах и должно включать в себя следующие части:

Содержание модели угроз

из общих положений это титульный лист, аннотация, содержание и список сокращений;
в вводной части нужно указать:
- на основании каких нормативно-методических документов разработана модель угроз;
- какую информацию она содержит;
- при решении каких задач используется;
- как часто может актуализироваться и пересматриваться;
- какой компанией разработана и для кого предназначена.

Кроме этого, в модели угроз должны присутствовать:

описание информационной системы персональных данных, включая описание информационно-технологической инфраструктуры;
структурно-функциональные характеристики;
описание угроз безопасности;
модель нарушителя;
возможные уязвимости;
способы реализации угроз;
последствия нарушения безопасности информации.

Теперь остановимся на некоторых пунктах чуть подробнее.

Описание информационной системы персональных данных включает в себя сведения об ИТ-инфраструктуре, обрабатываемых данных, о взаимодействии со смежными системами и функциональную схему ИСПДн. Здесь же указывают адреса объектов, на которых расположены технические средства ИСПДн и границы контролируемой зоны, какие средства используются для защиты ИСПДн и прошли ли они процедуру сертификации.

А контролируемая зона — это пространство (территория, здание, часть здания, помещение), в которое “дяде Феде” и любым другим персонажам с улицы вход заказан. Такой запрет касается не только посторонних лиц, но еще и транспортных, технических и других материальных средств.

Возвращаясь к пункту о нормативно-методических документах, на основании которых должна быть разработана Модель угроз, перечисляем эти самые документы:

Базовая модель угроз безопасности персональных данных при обработке в информационных системах персональных данных (далее – ИСПДн).
https://fstec.ru/component/attachments/download/289
Методика определения актуальных угроз безопасности персональных данных при их обработке в ИСПДн.

https://fstec.ru/component/attachments/download/290
Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн.

https://fstec.ru/component/attachments/download/561
Методический документ. Меры защиты информации в государственных информационных системах (если речь идёт о ГИС).

https://fstec.ru/component/attachments/download/675

Враг: найти и обезвредить

Один из этапов разработки Модели угроз — создание Модели нарушителя безопасности. И тут наш скучный “бумажный” сюжет принимает практически детективный оборот. Художественный портрет нам, конечно, вряд ли понадобится, а вот классификация нарушителей — обязательно. В этом вопросе должна быть полная ясность.

По наличию права постоянного или разового доступа в контролируемую зону ИСПДн, нарушителей подразделяют на два типа:

внешние – нарушители, не имеющие доступа к ИСПДн, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена;
внутренние – нарушители, имеющие доступ к ИСПДн, включая пользователей ИСПДн, реализующие угрозы непосредственно в ИСПДн.

Берем из базовой Модели угроз https://fstec.ru/component/attachments/download/289 список возможных нарушителей безопасности и определяем, кто из них может относиться к рассматриваемой ИСПДн. После этого переходим к определению актуальных угроз, которые могут реализовать установленные нами категории нарушителей.

По-настоящему опасно

А дальше разрабатываем частную Модель угроз, рассматривая угрозы утечки информации по техническим каналам и угрозы несанкционированного доступа к персональным данным. Задача — обнаружить актуальные угрозы безопасности. Для этого с помощью заполнения приведенной ниже таблицы определяется исходный уровень защищенности — коэффициент исходной защищенности Y1.

Технические и эксплуатационные характеристики ИСПДн	Уровень защищенности
Технические и эксплуатационные характеристики ИСПДн	Высокий	Средний	Низкий
По территориальному размещению
Распределенная ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом			+
Городская ИСПДн, охватывающая не более одного населенного пункта (города, поселка)			+
Корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации		+
Локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий		+
Локальная ИСПДн, развернутая в пределах одного здания	+
По наличию соединения с сетями общего пользования
ИСПДн, имеющая многоточечный выход в сеть общего пользования			+
ИСПДн, имеющая одноточечный выход в сеть общего пользования		+
ИСПДн, физически отделенная от сети общего пользования	+
По встроенным (легальным) операциям с записями баз персональных данных
Чтение, поиск	+
Запись, удаление, сортировка		+
Модификация, передача			+
По разграничению доступа к персональным данным
ИСПДн, к которой имеет доступ определенный перечень сотрудников организации, являющейся владельцем ИСПДн, либо субъект ПДн		+
ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн			+
ИСПДн с открытым доступом			+
По наличию соединений с другими базами ПДн иных ИСПДн
Интегрированная ИСПДн (организация использует несколько баз ПДн ИСПДн, при этом организация не является владельцем всех используемых баз ПДн)			+
ИСПДн, в которой используется одна база ПДн, принадлежащая организации — владельцу данной ИСПДн	+
По уровню обобщения (обезличивания) ПДн
ИСПДн, в которой предоставляемые пользователю данные являются обезличенными (на уровне организации, отрасли, области, региона и т.д.)	+
ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации		+
ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн)			+
По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки
ИСПДн, предоставляющая всю БД с ПДн			+
ИСПДн, предоставляющая часть ПДн		+
ИСПДн, не предоставляющие никакой информации	+

Теперь включим энтузиазм на полную и попробуем разобраться с этой увлекательной таблицей.

Вот смотрите: каждой характеристике соответствует высокий, средний или низкий уровень защищенности. Нам нужно посчитать процент характеристик с разными уровнями защищенности. Если «высокий» и «средний» набрали 70% и выше, значит уровень исходной защищенности средний (Y1 = 5), если меньше 70%, то – низкий (Y1 = 10).

Второй параметр для определения актуальных угроз — Y2 (он же вероятность реализации угрозы) — может принимать такие значения:

0 – для маловероятной угрозы;

2 – для низкой вероятности угрозы;

5 – для средней вероятности угрозы;

10 – для высокой вероятности угрозы.

Из этих двух параметров определяется коэффициент реализуемости угрозы Y. Вычисляется он по формуле: Y = (Y1+Y2) / 20. В зависимости от полученного значения угроза относится к низкой, средней или высокой.

Следующим шагом мы исключаем те угрозы, которые не имеют отношения к системе. Например, если мобильный и беспроводной доступ не используется, то связанные с ним угрозы будут явно лишними в списке.

Перечень угроз есть в базовой модели угроз. Помимо нее существует база угроз безопасности, но ничто не мешает вам дополнить список собственными вариантами угроз. “Режиссерская версия”, так сказать.

Финальные “аккорды”

Отдельная глава в нашем суровом “романе об угрозах” — модель угроз безопасности ПДн при их обработке с использованием средств криптографической защиты информации (СКЗИ, это сфера интересов ФСБ России). Определяем в ней на основе модели нарушителя и угроз, относящихся к СКЗИ, класс криптографической защиты информации.

Ну а дальше на базе вычисленных актуальных угроз безопасности и требованиям нормативных актов выявляем и фиксируем в документе организационные и технические меры защиты информации.

Модели угроз составляются на основе постоянно меняющихся данных, поэтому их нужно систематически пересматривать и обновлять.

Вот теперь можно выдохнуть, потому что мы на финишной прямой. Надеемся, у вас появилась некоторая ясность, и словосочетание “модель угроз” больше не вызывает в вашем мозге “короткое замыкание”. Напоследок отметим, что модели угроз составляются на основе постоянно меняющихся данных, поэтому их нужно систематически пересматривать и обновлять.

Если у вас остались какие-то вопросы (наверняка!), обязательно свяжитесь с нашей “группой оперативного реагирования”. Пароли, явки:
[email protected]; 8 (495) 983-04-12, 8 (800) 707-04-12.

Разработать модель угроз

Лучшие практики и методологии для безопасного SDL (LifeCycle)

В наши дни безопасность приложений может улучшить или разрушить целые компании. Так как же лучше защитить свой продукт?

Ответ на этот вопрос важен как никогда. Когда компания игнорирует вопросы безопасности, она подвергает себя риску. В бизнес-приложениях хранятся огромные объемы конфиденциальных данных, и эти данные могут быть украдены в любой момент. Компании, которые недостаточно инвестируют в безопасность, могут в конечном итоге понести финансовые потери и подорвать репутацию.

Более того, в настоящее время правительства принимают законы и обеспечивают меры по защите данных. Например, GDPR Европейского союза требует от организаций интегрировать меры защиты данных на самых ранних этапах разработки. Игнорирование этих требований может повлечь за собой крупные штрафы.

Когда конечные пользователи теряют деньги, им все равно, кроется ли причина в логике приложения или в нарушении безопасности. Создание безопасных приложений так же важно, как написание качественных алгоритмов.Для тех, кто преуспевает, рентабельные улучшения безопасности дают преимущество перед конкурентами.

Что такое жизненный цикл безопасной разработки (SDL)?

Существует готовое решение, обеспечивающее структурированный подход к безопасности приложений — безопасный жизненный цикл разработки (SDL). Это набор методов разработки для усиления безопасности и соблюдения требований. Для получения максимальной выгоды эти методы следует интегрировать на всех этапах разработки и сопровождения программного обеспечения.

Каковы преимущества SDL?

Наиболее важными причинами для внедрения практики SDL являются:

Повышенная безопасность. В SDL непрерывный мониторинг уязвимостей приводит к повышению качества приложений и снижению бизнес-рисков.
Снижение затрат. В SDL своевременное внимание к недостаткам значительно сокращает усилия, необходимые для их обнаружения и исправления.
Соответствие нормативным требованиям. SDL поощряет сознательное отношение к законам и постановлениям, связанным с безопасностью.Их игнорирование может привести к штрафам и пени, даже если конфиденциальные данные не будут потеряны.

SDL также имеет ряд дополнительных преимуществ, например:

Команды разработчиков проходят непрерывное обучение методам безопасного кодирования.
Подходы к безопасности становятся более единообразными в разных командах.
Клиенты доверяют вам больше, потому что видят, что их безопасности уделяется особое внимание.
Внутренняя безопасность улучшается, когда SDL применяется к внутренним программным средствам.

Каковы лучшие практики SDL?

Прежде чем мы обсудим, как добавить практики SDL в разработку программного обеспечения, давайте рассмотрим типичные рабочие процессы разработки.

Простейший рабочий процесс с водопадом является линейным, в котором один этап следует за другим:

Рис. 1. Цикл разработки Waterfall

В отличие от этого, гибкий рабочий процесс проходит через множество циклов, каждый из которых содержит один и тот же набор этапов:

Рис. 2. Цикл гибкой разработки

Возможны и другие рабочие процессы.Все они состоят из одних и тех же основных строительных блоков (этапов разработки приложения):

Концепция и планирование
Архитектура и дизайн
Реализация
Тестирование и исправление ошибок
Выпуск и обслуживание
Окончание срока службы

Большинство мер, повышающих безопасность приложений, лучше всего работают на определенных этапах. Вот почему важно планировать заранее. Здесь пригодятся методологии безопасной разработки — они говорят, что и когда делать.

В следующих разделах мы даем обзор этих этапов разработки программного обеспечения и соответствующие рекомендации SDL.

1. Концепция и планирование

Целью этого этапа является определение концепции приложения и оценка его жизнеспособности. Это включает в себя разработку плана проекта, написание требований к проекту и распределение человеческих ресурсов.