Что такое базовая модель угроз ФСТЭК?
Содержание данной статьи проверено и подтверждено:
Гончаров Андрей Михайлович
Юрист в области информационной безопасностиУгроза безопасности информации – это
Угроза безопасности информации – это условия и факторы, создающие потенциальную или уже существующую опасность нарушения безопасности информации (ее конфиденциальности, целостности и доступности). Реализация угроз безопасности информации, как правило, возможна в информационных системах, автоматизированных системах управления, информационно-телекоммуникационных сетях, облачных инфраструктурах.
Что такое модель угроз безопасности информации
Модель угроз (безопасности информации) — это физическое, математическое и описательное представление свойств или характеристик угроз безопасности информации.
Законодательство, в частности Федеральный закон №152 и Приказ ФСТЭК России №17 от 11.02.2013, предъявляют требования по защите к обширному перечню информационных систем, одно из них – определение вероятных угроз.
Соответственно, модель угроз — это документ, назначение которого— определить угрозы, актуальные для конкретной системы. Только по факту наличия у организации подобного документа законодательные требования по моделированию будут выполнены.
Модель угроз информационной безопасности по Методике ФСТЭК 2021. Процесс разработки
Содержимое модели угроз полностью описано новой методикой оценки ФСТЭК, выпущенной 5 февраля 2021, она пришла на смену полностью устаревшей базовой модели угроз 2008 года. Новая методика диктует следующие требования к содержанию модели:
- определить все последствия, которые могут возникнуть в случае реализации угроз (ущерб рядовым гражданам или компаниям, ущерб государству);
- определить все возможные объекты для атак, перечислить функционирующие в ИС элементы и сети, каналы связи;
- оценить группы потенциальных нарушителей и их возможности, иными словами – определить источники атак;
- оценить способы атак, вероятные для исследуемой системы;
- оценить вероятные сценарии атак в Ваших системах;
- на основании собранной информации оценить возможности по реализации для каждой из угроз.
Это обобщённое наполнение реальной модели угроз, но всё же дословно следовать этому списку не следует. При разработке собственного документа можно и нужно опираться на приложение 3 новой методики ФСТЭК, на его основе можно сразу составить оглавление:
- Введение.
- Описание систем и сетей. Должен включать в себя наименования, классы защищённости, задачи, бизнес-процессы, архитектуру, описание групп пользователей, интерфейсов нормативно-правовую базу функционирования конкретных систем, в общем, исчерпывающую информацию о всех функционирующих системах и сетях.
- Возможные последствия. Должен содержать описание видов ущерба, актуальных для владельца ИС, а также негативных последствий, которые повлекут за собой описанный ущерб.
- Возможные объекты воздействия. Требуется наличие наименований и назначения компонентов систем и сетей, воздействие на которые может привести к нежелательным последствиям.
- Источники. Должен включать категории возможных нарушителей, их характеристику и возможности.
- Способы. Здесь необходимо описать способы реализации угроз, которые могут быть использованы возможными нарушителями, а также описать интерфейсы, через которые наиболее вероятные нарушители могут реализовать атаки.
- Актуальные угрозы. Финальный список всех возможных угроз, составленный на основе всех предыдущих глав. Также должен включать описание вероятных сценариев реализации и выводы об актуальности угроз. Главы 2–5 методики ФСТЭК дают исчерпывающие рекомендации по разработке каждого элемента модели угроз. Приложения 4–11 дают примеры таблиц, которые должны быть приведены в документе, опираясь на них, вполне возможно создать собственную модель угроз.
Категории нарушителей
Такие характеристики, как уровень профессиональной и технической подготовки, осведомленности, оснащенности ресурсами, мотивации, определяют возможности нарушителей по реализации угроз безопасности информации.
Уровни возможностей нарушителей по реализации угроз безопасности информации классифицируются следующим образом:
- базовый (хакер, поставщик ПО, обеспечивающих систему, администрация организации);
- базовый повышенный (преступные группировки, конкуренты, системные администраторы);
- средний (разработчики ПО, террористические группировки);
- высокий (спец. службы иностранных государств).
Помимо представленной классификации нарушителей необходимо определить их категории в зависимости от прав и условий доступа к системам и сетям:
- внешние нарушители (не имеют прав доступа к информационным ресурсам). Реализуют преднамеренно угрозы безопасности информации либо с использованием программно-аппаратных средств, либо без использования таковых;
- внутренние нарушители (имеют права доступа к информационным ресурсам). К ним относятся пользователи, имеющие как пользовательские, так и административные права доступа.
Перечень актуальных угроз информационной безопасности ФСТЭК
Общий перечень угроз безопасности информации содержится в Банке данных угроз ФСТЭК России.
Базовая модель угроз ИБ: основные моменты
Подводя итоги: модель угроз — это один из главных элементов всего пакета внутренних документов ИБ, который должен содержать выявление вероятных угроз для Вашей информационной системы. Требования к структуре и содержанию предъявляет новая методика оценки угроз безопасности информации ФСТЭК, она же даёт подробные рекомендации по разработке частной модели угроз.
Подписывайтесь на канал ИТ. Право. Безопасность в Telegram