Разработка модели угроз: создаем документ, который повысит уровень информационной безопасности организации
Определить наиболее эффективные меры защиты информации информационной системы (ИС) и спроектировать систему защиты информации (СЗИ) невозможно без понимания, какие угрозы безопасности информации наиболее актуальны для данной системы. Источником таких угроз может быть как внешний нарушитель, так и внутренний. Для описания существующих угроз, их реализуемости и вероятности, а также их возможных последствий для организации, разрабатывается модель угроз безопасности информации, содержащая в числе прочего сведения об актуальных нарушителях безопасности информации. Алгоритм и подход регуляторов к вопросу моделирования угроз изложен в нормативно-методическом документе «Методика оценки угроз безопасности информации», утвержденном ФСТЭК России.
Этап разработки модели угроз и модели нарушителя логично продолжает этап аудита информационной безопасности организации. Согласно законодательству, разработка модели угроз обязательна для информационных систем персональных данных (ИСПДн) и для государственных и муниципальных информационных систем (ГИС), содержащих информацию, не составляющую государственную тайну. А также для автоматизированных систем управления технологическими процессами на критически важных и потенциально опасных объектах, значимых объектах критической информационной инфраструктуры (ОКИИ) и ИС управления производством оборонно-промышленного комплекса. Подготовить модель угроз можно как силами специалистов самой организации, так и силами сторонних организаций. Для моделирования угроз безопасности информации рекомендуется привлекать Лицензиатов ФСТЭК России в сфере технической защиты конфиденциальной информации.
При формировании модели угроз безопасности информации рекомендуется руководствоваться следующими нормативно-правовыми и нормативно-методическими документами, а также иными источниками:
Методика оценки угроз безопасности информации, утвержденная ФСТЭК России 05 февраля 2021 года;
Методические рекомендации ФСБ РФ от 2015 года для определения угроз безопасности ПДн, предназначенные для государственных органов и операторов, использующих средства криптографической защиты информации (СКЗИ) и разрабатывающих соответствующие модели угроз;
Общий перечень угроз безопасности информации, содержащийся в банке данных угроз безопасности информации ФСТЭК России;
Описания векторов (шаблоны) компьютерных атак, содержащиеся в базах данных и иных источниках, опубликованных в сети «Интернет» (CAPEC, ATT&CK, OWASP, STIX, WASC и др.);
Нормативные правовые акты Российской Федерации, в соответствии с которыми создаются и функционируют системы и сети, содержащие в том числе описание назначения, задач (функций) систем и сетей, состав обрабатываемой информации и ее правовой режим.
Структуру документа определяет приложение 3 Методики оценки угроз безопасности информации. В реальной ИС могут быть реализованы далеко не все факторы, приведенные в качестве примеров Методики моделирования, поэтому задача специалистов заключается в выявлении рисков, актуальных для конкретной информационной системы. Такая модель угроз будет называться частной и, в соответствии с постановлением Правительства РФ № 676 от 11.05.2017 г., подлежит согласованию с ФСТЭК России.
Что входит в модель угроз
Модель угроз ― один из ключевых документов, необходимый на всех этапах работ по организации защиты информации. В него должна быть включена исчерпывающая информация об информационной системе, для которой мы планируем проектировать СЗИ: используемые в системе технологии, технические и программные средства, задачи, бизнес-процессы, архитектура, а также обрабатываемые данные, ИТ-инфраструктура, взаимодействие со смежными системами и др. После того как ИС подробно описана, можно приступать непосредственно к определению актуальных угроз безопасности информации. Специалист по ИБ составляет «портрет» потенциального нарушителя и формирует предварительный список угроз. Для создания списка угроз информационной безопасности информации используют базы данных угроз, такие как основной российский банк данных угроз безопасности информации ФСТЭК России, отраслевые каталоги угроз и др. Для определения перечня актуальных угроз безопасности информации формируется перечень потенциальных негативных последствий от реализации угроз безопасности информации, объекты воздействия, виды воздействия, способы реализации, а также сценарии реализации угроз безопасности информации.
После составления списка актуальных угроз (т. е. написания детализированной, частной модели угроз), формируются частное техническое задание и технический проект на создание системы защиты информации, содержащие технические и организационные профилактические мероприятия согласно требованиям ФСБ и ФСТЭК России.
Комментирует Евгений Шувалов, руководитель департамента системных решений:
ФСТЭК России жестко не регламентирует частоту обновления модели угроз. Регулятор предписывает, что обновлять модель угроз нужно в случае изменения требований нормативных правовых актов и методических документов ФСТЭК России, при изменениях архитектуры и условий функционирования ИС и режима обработки информации, а также при выявлении новых угроз безопасности информации или новых сценариях реализации существующих угроз. Так как угрозы безопасности постоянно совершенствуются и появляются новые, оптимальным будет периодически возвращаться к тексту данного документа и поддерживать его в актуальном состоянии.
Особые случаи
Если в ИС есть угрозы безопасности информации, локализация которых возможна только криптографическими методами, данные должны защищаться с использованием средств криптографической защиты информации (СКЗИ). В этом случае модель угроз дополняют отдельным разделом, в котором определяют класс криптографических средств защиты информации (6 классов, от КС1 до КА1).