Что такое модель угроз безопасности и как с ней работать

Защита конфиденциальной информации – приоритетная задача для любой компании. Чтобы эффективно противостоять киберугрозам, недостаточно просто внедрить стандартный набор средств защиты. Требуется глубокий анализ рисков и построение комплексной стратегии ИБ, адаптированной под особенности конкретного бизнеса.

Одним из ключевых инструментов для решения этой задачи является модель угроз безопасности.

Наш эксперт:

Антон Михайлов

• генеральный директор юридической компании ООО «Банкрот-Сервис»

Что такое модель угроз безопасности информации?

Модель угроз – это не просто формальный документ, а подробная «карта» потенциальных атак и уязвимостей, которым подвержена информационная система компании. Она содержит структурированные данные об актуальных угрозах ИБ, их источниках и объектах воздействия, возможном ущербе, а также планируемых мерах противодействия. Отдельное внимание уделяется моделированию потенциальных нарушителей – как внешних злоумышленников, так и инсайдеров.

«Информационную безопасность предприятия невозможно гарантировать на 100% из-за человеческого фактора, – уверен Антон Михайлов. – Сотрудник, даже проработавший долго, может нанести ущерб компании по разным причинам. От этого нельзя застраховаться, но можно провести превентивные меры при приеме на работу. Жалеть денег на проверку кандидатов, в том числе с помощью специализированных сервисов, не стоит. Иначе в будущем можно потерять гораздо больше».

Какие задачи решает моделирование угроз?

Разрабатывать модель угроз нужно на основе тщательной инвентаризации всех информационных активов и компонентов ИТ-инфраструктуры, оценки рисков и анализа существующего ландшафта ИБ. Это трудоемкий процесс, но он позволяет получить целостную картину состояния защищенности и выявить «узкие места», требующие усиления.

Имея на руках такую модель, ИБ-служба и руководство компании могут принимать точечные решения по оптимизации системы кибербезопасности. Это и планирование инвестиций в ИБ, и проектирование новых средств защиты, и разработка регламентов реагирования на инциденты. Модель угроз – необходимая основа для риск-ориентированного подхода к ИБ.

Кроме того, разработанная модель угроз помогает компании обеспечить соответствие отраслевым стандартам и требованиям регуляторов, таких как ФСТЭК, ФСБ, Банк России, в части защиты конфиденциальной информации. Это особенно важно для организаций, работающих в регулируемых сферах – госсектор, финансы, здравоохранение, критическая инфраструктура.

Банк угроз ФСТЭК: что он содержит и для каких целей создан

Для унификации процесса разработки моделей угроз ФСТЭК России ведет единый Банк данных угроз безопасности информации. Он содержит:

• систематизированный перечень наиболее распространенных угроз ИБ;
• описание каждой угрозы – источники, объекты воздействия, последствия реализации и т.д.;
• статистику по частоте реализации различных типов угроз.

Банк угроз постоянно актуализируется и дополняется на основе анализа текущей ситуации в сфере ИБ. Его используют как основу при разработке частных моделей угроз для конкретных информационных систем.

Требования ФСТЭК по защите информации

ФСТЭК устанавливает общие требования к защите конфиденциальной информации, в том числе персональных данных. 

Требования ФСТЭК включают:

• определение и уточнение актуальных угроз безопасности;
• применение сертифицированных средств защиты информации;
• назначение ответственных за обеспечение ИБ;
• контроль защищенности системы, выявление инцидентов ИБ;
• разграничение доступа пользователей, контроль их действий;
• резервное копирование и восстановление данных;
• обучение персонала правилам ИБ;
• документирование и регулярный пересмотр политики безопасности.

Соответствие этим требованиям проверяется при аттестации информационных систем и аудитах ИБ.

Для кого обязательно выполнение требований ФСТЭК

Необходимость соблюдения требований ФСТЭК по защите информации зависит от типа системы.

Для кого выполнение требований ФСТЭК обязательно:

• Информационные системы, функционирующие в государственных органах и ведомствах.

Для них выполнение этих требований строго обязательно. Госструктуры должны обеспечивать высочайший уровень защиты конфиденциальных данных.

• Оператор ИСПДн: как коммерческие организации, так и некоммерческие. 

Также не имеют права игнорировать требования регулятора. Персональные данные граждан находятся под особой защитой государства.

• Промышленные предприятия в энергетике, транспорте и других критических отраслях.

Автоматизированные системы управления технологическим процессом на таких предприятиях напрямую влияют на безопасность людей и инфраструктуры. Их защита регламентируется специальными нормами ФСТЭК.

• Банки, телеком, крупнейшие информационные ресурсы.

Ключевые системы информационной инфраструктуры страны тоже обязаны следовать требованиям ИБ. От их стабильной работы зависит благополучие государства в целом.

Остальным  компаниям, формально не попадающим под действия этих норм, все же рекомендуется внедрять базовые практики по защите информации «по мотивам» ФСТЭК.

Это позволит укрепить кибербезопасность бизнеса и избежать ненужных рисков.

Основные этапы внедрения модели угроз ФСТЭК

Процесс разработки и внедрения модели угроз обычно включает следующие этапы:

Определение периметра модели

• инвентаризация всех элементов информационной системы;
• выделение ресурсов, для которых актуальны угрозы информационной безопасности предприятия (серверы, рабочие станции, каналы связи и т.д.).

Формирование перечня угроз

• анализ данных из банка угроз ФСТЭК;
• адаптация перечня угроз под особенности организации;
• выделение наиболее критичных угроз.

Оценка границ угроз

• определение объектов и процессов, затрагиваемых каждой угрозой;
• оценка потенциального ущерба от реализации угроз.

Определение источников угроз

• внешние источники – хакеры, конкуренты, преступники и т.д.;
• внутренние источники – недобросовестные сотрудники, ошибки персонала, сбои оборудования.

Разработка плана мероприятий

• подбор оптимального комплекса организационных и технических мер защиты;
• определение порядка реагирования на инциденты ИБ;
• составление плана внедрения модели угроз.

Мониторинг и актуализация модели угроз

• отслеживание появление новых угроз безопасности;
• оценка эффективности реализованных мер защиты;
• регулярный пересмотр модели угроз с учетом изменений.

При наличии ресурсов рекомендуется привлекать для разработки модели угроз внешних экспертов по ИБ.

Модель угроз ИСПДН

Особое внимание уделяется защите персональных данных (ПДн). Операторы ИСПДн обязаны разрабатывать модели угроз безопасности ПДн.

Для них предусмотрен специальный порядок, установленный в Методике ФСТЭК:

1. Определение типа ИСПДн (специальная, муниципальная и т.д.), уровня защищенности ПДн, наличия подключений к сетям общего пользования.
2. Выбор из Банка угроз ФСТЭК актуальных для данной ИСПДн угроз и их источников.
3. Ранжирование угроз по степени опасности и вероятности реализации.
4. Определение возможностей внешних и внутренних нарушителей.
5. Формирование перечня необходимых мер по обеспечению безопасности ПДн.

Модель угроз ИСПДн утверждается руководством организации-оператора и используется при аттестации ИСПДн.

Что такое модель нарушителя и как оцениваются их возможности?

Модель нарушителя – важная часть модели угроз ИБ. Она описывает потенциальных нарушителей, их мотивацию и возможности.

Нарушителей разделяют на категории:

• внешние — не имеющие санкционированного доступа к защищаемым ресурсам;
• внутренние — действующие в рамках предоставленных полномочий;
• комбинированные — использующие методы обеих предыдущих категорий.

Возможности нарушителей оцениваются по уровням:

• базовый — использование общедоступных данных об объекте атаки;
• средний — наличие ограниченной внутренней информации, специальных знаний;
• высокий — полный доступ к инфраструктуре, применение спецсредств.

Учет модели нарушителя позволяет адаптировать систему защиты под наиболее вероятные сценарии атак.

Почему важна проверка персонала и как ее провести?

Внутренние нарушители — одна из главных угроз безопасности. Злоумышленником может стать недобросовестный сотрудник или агент конкурентов. Для их выявления необходима комплексная проверка персонала на благонадежность.

Хороший вариант – использование специализированных сервисов проверки, один из таких инструментов предлагает компания SpectrumData. Подобные решения позволяют в автоматическом режиме собрать максимум информации о кандидатах и сотрудниках из различных источников: как коммерческих, так и государственных баз данных.

«В большом бизнесе с высокой текучкой кадров, например в колл-центрах и точках продаж, использование специализированных сервисов для проверки благонадежности – не роскошь, а необходимость, – подчеркивает Антон Михайлов. – Это экономит время, деньги и человеческие ресурсы службы безопасности, которые можно направить на более важные задачи. Без таких проверок есть риски утечки клиентских данных и воровства».

На основе собранных сведений оценивается уровень благонадежности и рисков, связанных с каждым проверяемым. Это помогает заранее выявлять потенциальных нарушителей и принимать превентивные меры.

Разработка модели угроз требует комплексного анализа ИТ-инфраструктуры, бизнес-процессов и кадрового состава организации. Результатом становится эффективная, адаптированная под потребности компании система ИБ, обеспечивающая надежную защиту конфиденциальных данных.

Автор: Виталий Богданов