тел:8 (800) 775-99-90

Личный кабинет

Выйти из системы

Сменить пользователя

Блог компании Cortel > Информационная безопасность > Как составить модель угроз для информационных систем персональных данных

By 18.07.2024 Информационная безопасность 0 Comments

Как составить модель угроз для информационных систем персональных данных

Недавно мы опубликовали полный перечень организационно-распределительной документации (ОРД) в сфере персональных данных по требованиям регуляторов. «А почему здесь нет модели угроз?» — поинтересовался читатель.

Как всегда, всё просто, но не очень. Ведомства обязывают подготовить не только ОРД, но и пакет проектной документации для построения системы защиты — к ней-то как раз и относится модель угроз (МУ). А ещё — техническое задание и технический проект.

Основы основ проектной документации ИСПДн и подробно о модели угроз — в сегодняшнем материале.

На чем стоит модель угроз?

Итак, прежде чем перейти к защите информации, нужно понять, КАК и ЧТО защищать. Согласно приказу ФСТЭК №17, порядок действий выглядит так:

  • принятие решения о необходимости защиты информации, содержащейся в информационной системе (ИС);
  • классификация ИС по требованиям защиты информации — здесь определяем, какие информационные системы персональных данных (ИСПДн) есть в организации.

    Затем определяем уровень защищённости (УЗ) для каждой ИСПДн. Как это делать — рассказывали тут. Для государственных информационных систем (ГИС) — определяем класс защищённости (КЗ), об этом тут.

    Затем открываем приказ ФСТЭК №17 (для ГИС) или приказ ФСТЭК №21 (для ИСПДн) и выбираем меры защиты информации в зависимости от результатов проверки УЗ или КЗ. Это база 🙂
  • определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в ИС, и разработку на их основе модели угроз безопасности информации.
  • определение требований к системе защиты информации информационной системы — вот здесь техническое задание и технический проект.

Итак, мы дошли до этапа составления модели угроз. Что делать, и что в ней должно быть?

Создание модели угроз

Модель угроз обязательна при создании системы защиты. Это — основание для внедрения средств защиты информации, организационных и иных мер защиты. Её спрашивают при проверках в соответствии с п.4 приказа ФСТЭК № 21, п.2 постановления Правительства N 1119 и ч.2 статьи 19 закона № 152-ФЗ «О персональных данных».

Разумеется, есть документ, регламентирующий разработку модели угроз для ИС – Методика оценки угроз безопасности информации от ФСТЭК, 2021 года. Она универсальна и подходит как для ИСПДн, так и для ГИС, и субъектов КИИ.

Цель создания МУ — проанализировать все возможные тактики нападений, уязвимости и разработать стратегии по предотвращению и реагированию. Важно учесть — конкретные меры и СЗИ в МУ не прописываем. Они пойдут в техническое задание и проект.

Общая схема проведения оценки угроз безопасности информации. Источник: Методика оценки угроз безопасности информации, ФСТЭК

Согласно Методике, основные этапы моделирования угроз — это:

  • аудит компонентов ИС;
  • определение негативных последствий, которые могут наступить от реализации угроз безопасности информации;
  • определение источников угроз безопасности информации и оценка возможностей нарушителей при реализации;
  • оценка способов реализации (возникновения) угроз безопасности информации;
  • оценка возможности реализации (возникновения) угроз безопасности информации и определение актуальности угроз безопасности информации;
  • оценка сценариев реализации угроз безопасности информации в системах и сетях.

Рассмотрим каждый подробнее.

Аудит компонентов информационной системы

Аудит — наше всё. Он даст реальную картину происходящего, поможет избежать лишних затрат и оценить специфические угрозы. На этом этапе обязательно собрать данные обо всех информационных ресурсах, ПО, железе, СЗИ, взаимодействии с другими системами и пользователей с системой, а также об уже реализованных мерах защиты.

Информационная система обычно состоит из линий связи в локальной и внешней сетях, сетевых сервисов, автоматизированных рабочих мест, серверов — и всего этого в среде виртуализации.

Желательно, чтобы в инвентаризации участвовали не только сотрудники ИТ и ИБ, но и представители других отделов для сбора достоверной информации.

Определение негативных последствий

Негативные последствия — это ущерб, который может быть нанесён физлицу, юрлицу или государству. Если отдельные инциденты не приносят такого ущерба, то их можно не включать в перечень угроз.

Второй нюанс — угрозы могут относиться не только к системам владельца, но и на облачную инфраструктуру. В таких случаях модель угроз составляет поставщик услуг.

И третье — как и на этапе аудита, важно привлекать сотрудников из других подразделений. Они знают о специфических рисках и информации, которая находится под угрозой.

Определение источников угроз и оценка возможностей нарушителей

Отвечаем на вопрос: откуда и кто на вас может напасть? И как раз здесь пригодится информация из первого пункта — какую выгоду из причиненных последствий получит злоумышленник? Кому может быть интересна конкретная ИС и информация, которую в ней обрабатывают?

Если в организации используют средства криптографической защиты информации (СКЗИ), нужно также определить типы угроз, возможности и класс СКЗИ. Подробно об этом рассказывали тут.

Оценка способов реализации угроз

Отвечаем на вопрос: КАК на вас могут напасть? То есть, описываем способы реализации угроз, интерфейсы, через которые могут реализовать атаки.

Оценка возможности реализации угроз и определение актуальности

Отвечаем на вопрос: с какой ВЕРОЯТНОСТЬЮ на вас нападут? Здесь учитываем: источник, уязвимости, способ, последствия воздействия.

Форма представления сведений об угрозе есть в «Банке данных угроз безопасности информации» от ФСТЭК Также он содержит сведения об основных угрозах и уязвимостях. Отсюда должен быть сформирован перечень угроз безопасности информации.

Оценка сценариев реализации угроз безопасности информации в системах и сетях

Далее устанавливаем возможные последовательности тактик и техник — это самая объёмная часть работы. Сценарии также прописаны в Методике ФСТЭК.

При наличии хотя бы одного, угрозу признают актуальной для обоснования выбора мер по защите информации и СЗИ.

Таким образом, угроза актуальна, если её реализации может быть причинён ущерб, есть нарушитель и сценарий реализации угрозы.

После того, как составили модель угроз, переходим к техническому заданию и техническому проекту. Подробнее о них расскажем в следующих материалах.

Кто ответственный?

Закон разрешает работать над моделью угроз любому штатному ИТ или ИБ специалисту. Однако, составить реалистичные сценарии нападения, эксплуатации уязвимостей и оценить возможный ущерб может только опытный профессионал.

Ввиду специфики компании, эксперты могут отходить от установленных методик и регламентов, поскольку часто сценарии угроз индивидуальны.

Оставьте заявку, и наш отдел информационной безопасности проконсультирует вас по составлению модели угроз и другой документации. А ещё, по запросу, бесплатно проведёт аудит вашего сайта на соответствие требованиям регуляторов.