Что делать?
Что? Зачем? Как?: составляем модель угроз
Система безопасности информационных систем не строится сама по себе. Она базируется на моделях угроз и нарушителей. О модели нарушителей (ССЫЛКА НА МАТЕРИАЛ ПРО МОДЕЛЬ НАРУШИЕЛЕЙ) мы говорили в предыдущей статье, в этой же поговорим о модели угроз.
Составление моделей угроз и нарушителей для систем информационной безопасности – следующий после аудита этап.
Что такое модель угроз?
Понятие «модели угроз» выделено в ГОСТ Р 50922-2006 – «Защита информации. Основные термины и определения» и определено как «физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации».
То есть, модель угроз – это документ, в котором перечислены и описаны возможные угрозы информационной безопасности, вероятность реализации и их последствия.
Сама угроза – это недочет или упущение в системе безопасности, которыми могут воспользоваться злоумышленники. Наличие угрозы не означает неминуемую утечку информации: это говорит о том, что у злоумышленников есть возможность несанкционированного доступа с персональным данным.
Строятся модели в соответствии с:
— федеральным законом №152 «О персональных данных»;
— постановлением правительства РФ №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
— базовой моделью угроз безопасности ПДн при их обработке в ИСПДн;
— методикой определения актуальных угроз безопасности ПДн при их обработке в ИСПДн.
Модели угроз нужны, чтобы построить систему защиты ПДн: в нее включаются защитные средства, нейтрализующие угрозы, которые должны быть актуальны для конкретной информационной системы.
Нормативные документы
Учитывая, что модели угроз разрабатываются для разных категорий систем, от ИСПДн до КИИ, список необходимых документов для каждой из них отличается. Структура модели не регламентирована: каждый оператор разрабатывает его самостоятельно под свою специфику работы.
Приказом ФСТЭК №17 определен список модулей, из которых должен состоять нормативный акт. В него должны входить:
— описание информационной системы и ее структурные и функциональные характеристики;
— описание угроз и возможные уязвимости;
— способы устранения угроз и возможные последствия от проникновения злоумышленников в систему.
Если оператор использует средства криптографической защиты, ему необходимо при составлении модели нарушителя (которая входит в модель угроз) использовать «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности», разработанные ФСБ. В документе находятся правила оформления разделов и все необходимый таблицы.
Как составить модель угроз?
Как и любой нормативный документ, модель угроз строится по модели: титульный лист, список терминов, определений и сокращений, содержания, основной части и приложений.
Для создания модели необходимо проанализировать данные, полученные при аудите ИС. Это поможет выявить слабые места системы, понять, что будет ей угрожать, откуда придет угроза и какими средствами ее нейтрализовать.
Угрозы определяются при обработке данных. В модели необходимо прописать, кем или чем они могут быть вызваны:
- физическим лицом;
- вредоносными программами;
- утечкой по техническим каналам;
- появиться при проектировании крупных электронных устройств ненадежными производителями (т.н. аппаратные закладки);
- при специальном или электромагнитном воздействии на ИСПДн.
Источники угроз – раздел, который также необходимо отразить в модели. Ими могут стать внешний или внутренний нарушители, вирус или программно-аппаратная закладки.
Необходимый блок модели угроз — общая характеристика уязвимостей ИСПДн. В нем детально прописываются особенности каждого класса и указываются причины их возникновения. Согласно ГОСТ Р 56546-2015 класса уязвимостей выделяется три:
— По области происхождения:
- кодовые;
- конфигурационные;
- организационные;
- многофакторные.
— По месту возникновения:
- в общем ПО;
- в прикладном ПО;
- в специальном ПО;
- в технических средствах;
- в портативных технических средствах;
- в средствах защиты информации;
- в сетевом оборудовании.
— По типу недостатков ИС:
- неверная настройка параметров ПО;
- управление разрешениями, доступом и привилегиями;
- неполнота проверки входных данных;
- недостатки, ведущие к утечке или раскрытию информации ограниченного доступа;
- возможность внедрения команд ОС;
- работа с учетными данными;
- межсайтовый скриптинг;
- подмена межсайтовых запросов;
- связанные с аутентификацией;
- переполнение буфера памяти;
- возможность перехода по ссылкам;
- управление ресурсами;
- внедрение произвольного кода;
- криптографические преобразования.
При составлении модели угроз определяется уровень исходной защищенности. Это глобальный параметр, который определяется единоразово и не меняется в зависимости от угрозы. Как его определить, указано в пункте «Порядок определения актуальных угроз безопасности персональных данных в информационных системах персональных данных» в методике определения актуальных угроз безопасности ПДн при их обработке в ИСПДн.
Далее выделяются актуальные угрозы и исключаются лишние — те, которые не несут для системы вред. Угрозы, которые не были исключены, вносятся в модель с описанием. Резюмирует документ перечисление средств защиты информационной системы с описанием их характеристик.
Кто проверяет модели угроз?
Правильность составления моделей угроз согласуется со ФСТЭК и ФСБ. Отраслевые модели угроз должны проверить обе организации, частные модели – только ФСТЭК. После согласования, ведомства посещают оператора с проверками согласно графикам.
Как подготовиться к визитам ФСТЭК и ФСБ , портал «Закон152.рф» писал ранее.
Можно ли купить или составить модель угроз автоматизировано
После изучения продукта под названием Докшел (docshell) сделали вывод, что автоматизированное формирование модели угроз безопасности возможно.
Если коротко, то заходим в пункт меню «модель угроз», смотрим и выполняем все подсказки системы по заполнению/наполнению информации.
На выходе получаем готовую модель, которую можно скачать, утвердить и загрузить в систему для хранения.
Подробный обзор Докшел сделаем в ближайшее время, построить модель угроз и ознакомиться со всеми возможностями сервиса можно на их официальном docshell.ru