Методика оценки угроз безопасности информации
Личный кабинет
+ 7 (495) 748-09-44 Заказать звонок
Главная Ресурсы Методика оценки угроз безопасности информации

Методика оценки угроз безопасности информации

31.03.2021 Статьи
Методика оценки угроз безопасности информации
Методический документ, определяющий методику оценки угроз безопасности информации, был подписан ФСТЭК России 5 февраля 2021г.

Давайте разберемся в изменениях, этапах проведения и других нюансах процесса оценки и моделирования угроз. Для удобства мы подготовили подробную Mindmap по моделирования угроз безопасности информации согласно новому методическому документу ФСТЭК.
 
Моделирование угроз безопасности информации - позволяет проводить упреждающую оценку, анализировать и определять приоритеты в работе по устранению угроз, обеспечивая эффективное распределение ресурсов.

Ключом к моделированию угроз является определение того, где следует прилагать наибольшие усилия для обеспечения безопасности системы. Эта переменная изменяется по мере того, как добавляются, удаляются или модернизируются информационные системы, приложения, а также изменяются пользовательские требования.

Моделирование угроз - это итеративный процесс, который состоит из определения активов предприятия, определения того, что каждая информационная система делает с этими активами, создания профиля безопасности для каждой ИС, определения потенциальных угроз, установления приоритетов. Моделирование угроз может помочь обеспечить соответствие защиты меняющимся угрозам. В противном случае новые угрозы могут оставаться незащищенными, оставляя системы и данные уязвимыми.


Что определяет методика оценки угроз безопасности информации?

Методика определяет порядок и содержание работ по определению угроз безопасности информации, реализация (возникновение) которых возможна в информационных системах, автоматизированных системах управления, информационно-телекоммуникационных сетях, информационно-телекоммуникационных инфраструктурах центров обработки данных и облачных инфраструктурах , а также по разработке моделей угроз безопасности информации систем и сетей.

Когда применяется методика?


Методика применяется для определения угроз безопасности информации, реализация (возникновение) которых возможна в системах и сетях, отнесенных к государственным и муниципальным информационным системам, информационным системам персональных данных, значимым объектам критической информационной инфраструктуры Российской Федерации, информационным системам управления производством, используемым организациями оборонно-промышленного комплекса автоматизированным системам управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объекта, объектах, представляющих повышенную опасность для жизни и здоровья людей и окружающей природной среде.
В иных случаях решение о применении методики принимается обладателями  или операторами систем и сетей.

По сути, данная методика необходима для большинства информационных систем и сетей.

Основные задачи оценки угроз безопасности информации:

• определение негативных последствий, которые могут наступить от реализации (возникновения) угроз безопасности информации;
• инвентаризация систем и сетей и определение возможных объектов воздействия угроз безопасности информации;
• определение источников угроз безопасности информации и оценка возможностей нарушителей по реализации угроз безопасности информации;
• оценка способов реализации (возникновения) угроз безопасности информации;
• оценка возможности реализации (возникновения) угроз безопасности информации и определение актуальности угроз безопасности информации;
• оценка сценариев реализации угроз безопасности информации в системах и сетях.

Ранее для определения потенциальных угроз безопасности информации использовались следующие методики:

• Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (2008 года);
• Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры (2007 года).

Новая методика ФСТЭК по оценке угроз безопасности информации актуализирована и более универсальна. 


Общая схема проведения моделирования угроз:

Этап 1. Определение негативных последствий от угроз безопасности информации.
- Анализ документации систем и сетей, и иных исходных данных;
- Определение негативных последствий от реализации угроз.

Этап 2. Определение объектов воздействия угроз безопасности информации.
- Анализ документации систем и сетей, и иных исходных данных;
- Инвентаризация систем и сетей;
- Определение групп информационных ресурсов и компонентов систем и сетей.

Этап 3. Оценка возможности реализации угроз и их актуальности. 
- Определение источников угроз;
- Оценка способов реализации угроз;
- Оценка актуальности угроз.



1. Исходными данными для определения негативных последствий, объектов воздействия и источников угроз являются:
Банк данных угроз безопасности ФСТЭК;
- Модели угроз безопасности ФСТЭК;
- Отраслевые модели угроз;
- Нормативно-правовые акты;
- Результаты анализа рисков;
- Документация на системы и сети;
- Базы знаний (ATT&CK, OWASP, CAPEC и др.);
- Технологические, производственные карты или иные документы, содержащие описание основных бизнес-процессов;
- Договоры, соглашения или иные документы, содержащие условия использования информационно-телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры поставщика услуг.

2. На основе анализа исходных данных определяются событие или группа событий, наступление которых в результате реализации (возникновения) угроз безопасности информации может привести к:
- Нарушению прав граждан; 
- Возникновению ущерба в области обеспечения обороны страны, безопасности государства и правопорядка, а также в социальной, экономической, политической, экологической сферах деятельности государства; 
- Возникновению финансовых, производственных, репутационных или иных рисков (видов ущерба) для обладателя информации, оператора.


3. Далее должны быть определены информационные ресурсы и компоненты систем и сетей, несанкционированный доступ к которым или воздействие на которые в ходе реализации (возникновения) угроз безопасности информации может привести к негативным последствиям – объекты воздействия:
- информация (данные), содержащаяся в системах и сетях (в том числе защищаемая информация, персональные данные, информация о конфигурации систем и сетей, данные телеметрии, сведения о событиях безопасности и др.)
- программно-аппаратные средства обработки и хранения информации (в том числе автоматизированные рабочие места, серверы, включая промышленные, средства отображения информации, программируемые логические контроллеры, производственное, технологическое оборудование (исполнительные устройства));
- программные средства (в том числе системное и прикладное программное обеспечение, включая серверы приложений, веб-приложений, системы управления базами данных, системы виртуализации);
- машинные носители информации, содержащие как защищаемую информацию, так и аутентификационную информацию;
- телекоммуникационное оборудование (в том числе программное обеспечение для управления телекоммуникационным оборудованием);
- средства защиты информации (в том числе программное обеспечение для централизованного администрирования средств защиты информации);
- привилегированные и непривилегированные пользователи систем и сетей, а также интерфейсы взаимодействия с ними;
- обеспечивающие системы.

Совокупность объектов воздействия и их интерфейсов определяет границы процесса оценки угроз безопасности информации и разработки модели угроз безопасности информации. 

К основным информационным ресурсам и компонентам систем и сетей могут относиться системы хранения данных (базы данных), системы управления базами данных, веб-сайт, почтовый сервер, почтовый клиент, автоматизированное рабочее место пользователя, система управления и администрирования, контроллер домена, сетевые службы, проводные и беспроводные каналы передачи данных, телекоммуникационное оборудование и т.д.

4. Для определенных информационных ресурсов и компонентов систем и сетей должны быть определены виды воздействия на них, которые могут привести к негативным последствиям. Основными видами таких воздействий являются: 

- утечка (перехват) конфиденциальной информации или отдельных данных (нарушение конфиденциальности)
- несанкционированный доступ к компонентам, защищаемой информации, системным, конфигурационным, иным служебным данным;
- отказ в обслуживании компонентов (нарушение доступности);
- несанкционированная модификация, подмена, искажение защищаемой информации, системных, конфигурационных, иных служебных данных (нарушение целостности);
- несанкционированное использование вычислительных ресурсов систем и сетей в интересах решения несвойственных им задач;
- нарушение функционирования (работоспособности) программно- аппаратных средств обработки, передачи и хранения информации.


5. На основе анализа исходных данных, а также результатов оценки возможных целей реализации нарушителями угроз безопасности информации определяются виды нарушителей, актуальных для систем и сетей.

Основными видами нарушителей, подлежащих оценке, являются: 
- специальные службы иностранных государств; 
- террористические, экстремистские группировки;
- преступные группы (криминальные структуры);
- отдельные физические лица (хакеры);
- конкурирующие организации;
- разработчики программных, программно-аппаратных средств;
- лица, обеспечивающие поставку программных, программно-аппаратных средств, обеспечивающих систем;
- поставщики услуг связи, вычислительных услуг;
- лица, привлекаемые для установки, настройки, испытаний, пусконаладочных и иных видов работ;
- лица, обеспечивающие функционирование систем и сетей или обеспечивающих систем оператора (администрация, охрана, уборщики и др.); авторизованные пользователи систем и сетей;
- системные администраторы и администраторы безопасности;
- бывшие (уволенные) работники (пользователи).

 Указанные виды нарушителей могут быть дополнены иными нарушителями с учетом особенностей области деятельности, в которой функционируют системы и сети. Для одной системы и сети актуальными могут являться нарушители нескольких видов.Нарушители признаются актуальными для систем и сетей, когда возможные цели реализации ими угроз безопасности информации могут привести к определенным для систем и сетей негативным последствиям и соответствующим рискам (видам ущерба).

Нарушители имеют разные уровни компетентности, оснащенности ресурсами и мотивации для реализации угроз безопасности информации. Совокупность данных характеристик определяет уровень возможностей нарушителей по реализации угроз безопасности информации.
В зависимости от уровня возможностей нарушители подразделяются на нарушителей, обладающих:
- базовыми возможностями по реализации угроз безопасности информации (Н1);
- базовыми повышенными возможностями по реализации угроз безопасности информации (Н2);
- средними возможностями по реализации угроз безопасности информации (Н3);
- высокими возможностями по реализации угроз безопасности информации (Н4).
Для одной системы или сети актуальными могут являться нарушители, имеющие разные уровни возможностей.

По результатам определения источников угроз безопасности информации должны быть определены:
а) виды актуальных нарушителей и возможные цели реализации ими угроз безопасности информации, а также их возможности;
б) категории актуальных нарушителей, которые могут реализовывать угрозы безопасности информации, в том числе непреднамеренные угрозы.

6. На основе анализа исходных данных, а также возможностей нарушителей определяются способы реализации (возникновения) угроз безопасности информации, актуальные для систем и сетей.

Основными способами реализации (возникновения) угроз безопасности информации являются:
- использование уязвимостей (уязвимостей кода (программного обеспечения), уязвимостей архитектуры и конфигурации систем и сетей, а также организационных и многофакторных уязвимостей);
- внедрение вредоносного программного обеспечения;
- использование недекларированных возможностей программного обеспечения и (или) программно-аппаратных средств;
- установка программных и (или) программно-аппаратных закладок в программное обеспечение и (или) программно-аппаратные средства;
- формирование и использование скрытых каналов (по времени, по памяти) для передачи конфиденциальных данных;
- перехват (измерение) побочных электромагнитных излучений и наводок (других физических полей) для доступа к конфиденциальной информации, содержащейся в аппаратных средствах аутентификации;
- инвазивные способы доступа к конфиденциальной информации, содержащейся в аппаратных средствах аутентификации;
- нарушение безопасности при поставках программных, программно- аппаратных средств и (или) услуг по установке, настройке, испытаниям, пусконаладочным работам (в том числе администрированию, обслуживанию);
- ошибочные действия в ходе создания и эксплуатации систем и сетей, в том числе при установке, настройке программных и программно-аппаратных средств.

Указанные способы реализации (возникновения) угроз безопасности информации могут быть дополнены иными способами с учетом особенностей архитектуры и условий функционирования систем и сетей.

Условием, позволяющим нарушителям использовать способы реализации угроз безопасности информации, является наличие у них возможности доступа к следующим типам интерфейсов объектов воздействия:
- внешние сетевые интерфейсы, обеспечивающие взаимодействие с сетью «Интернет», смежными (взаимодействующими) системами или сетями (проводные, беспроводные, веб-интерфейсы, интерфейсы удаленного доступа и др.);
- внутренние сетевые интерфейсы, обеспечивающие взаимодействие (в том числе через промежуточные компоненты) с компонентами систем и сетей, имеющими внешние сетевые интерфейсы (проводные, беспроводные);
- интерфейсы для пользователей (проводные, беспроводные, веб-интерфейсы, интерфейсы удаленного доступа и др.);
- интерфейсы для использования съемных машинных носителей информации и периферийного оборудования;
- интерфейсы для установки, настройки, испытаний, пусконаладочных работ (в том числе администрирования, управления, обслуживания) обеспечения функционирования компонентов систем и сетей;
- возможность доступа к поставляемым или находящимся на обслуживании, ремонте в сторонних организациях компонентам систем и сетей.


По результатам оценки возможных способов реализации угроз безопасности информации должны быть определены:
а) виды и категории нарушителей, которые имеют возможность использования актуальных способов;
б) актуальные способы реализации угроз безопасности информации и типы интерфейсов объектов воздействия, за счет которых они могут быть реализованы.


7. На основе анализа исходных данных определяются возможные для систем и сетей угрозы безопасности информации, к которым относятся осуществляемые нарушителем воздействия на информационные ресурсы и компоненты систем и сетей (объекты воздействия), в результате которых возможно нарушение безопасности информации и (или) нарушение или прекращение функционирования систем и сетей.

Угроза безопасности информации возможна, если имеются нарушитель или иной источник угрозы, объект, на который осуществляются воздействия, способы реализации угрозы безопасности информации, а реализация угрозы может привести к негативным последствиям.
Актуальность возможных угроз безопасности информации определяется наличием сценариев их реализации.

Сценарии реализации угроз безопасности информации должны быть определены для соответствующих способов реализации угроз безопасности информации, определенных в соответствии с настоящей Методикой, и применительно к объектам воздействия и видам воздействия на них.

Определение сценариев предусматривает установление последовательности возможных тактик и соответствующих им техник, применение которых возможно актуальным нарушителем с соответствующим уровнем возможностей, а также доступности интерфейсов для использования соответствующих способов реализации угроз безопасности информации.

На этапе создания систем и сетей должен быть определен хотя бы один сценарий каждого способа реализации возможной угрозы безопасности информации. Сценарий определяется для каждого актуального нарушителя и их уровней возможностей.

На этапе эксплуатации определение сценариев реализации угрозы включает:
- анализ исходных данных на систему или сеть, предусматривающий в том числе анализ документации, модели угроз безопасности информации, применяемых средств защиты информации, и определение планируемых к применению автоматизированных средств;
- проведение инвентаризации информационных систем и сетей и определение объектов воздействия и их интерфейсов;
- определение внешних интерфейсов, которые могут быть задействованы при реализации угроз безопасности информации;
- определение внутренних интерфейсов, которые могут быть задействованы при реализации угроз безопасности информации;
- выявление уязвимостей объектов воздействия, а также компонентов систем и сетей, имеющих внешние интерфейсы, с которыми посредством внутренних интерфейсов взаимодействуют объекты воздействия;
- проведение тестирования на проникновение, подтверждающего возможность использования выявленных уязвимостей или выявления новых сценариев реализации угрозы безопасности информации;
- поиск последовательности тактик и техник, применение которых может привести к реализации угрозы безопасности информации, исходя из уровня возможностей актуальных нарушителей, а также результатов инвентаризации, анализа уязвимостей и тестирования на проникновение;
- составление сценариев реализации угрозы безопасности информации применительно к объектам и видам воздействия, а также способам реализации угроз безопасности информации.

Материалы