5 февраля 2021 года ФСТЭК России утвердила новую методику оценки угроз безопасности информации.
Это один из самых долгожданных документов в сообществе специалистов по информационной безопасности, особенно среди тех, кто приступил к разработке модели угроз для значимых объектов критической информационной инфраструктуры и стоял перед выбором, по какой методике это делать:
- по методике определения актуальных угроз безопасности персональных данных (ПДн) при их обработке в информационных системах персональных данных (2008 года);
- по методике определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры (КСИИ) (2007 года).
Обе указанные методики по ряду аспектов потеряли свою актуальность и имеют довольно ограниченную область применения. Новая же описывает порядок и содержание работ по моделированию и определению актуальности угроз безопасности информации для самых разнообразных типов объектов:
- информационных систем;
- автоматизированных систем управления;
- информационно-телекоммуникационных сетей;
- информационно-телекоммуникационных инфраструктур центров обработки данных;
- облачных инфраструктур.
При этом методика применяется:
- к государственным и муниципальным информационным системам;
- к информационным системам персональных данных;
- значимым объектам критической информационной инфраструктуры Российской Федерации;
- информационным системам управления производством, используемым организациями оборонно-промышленного комплекса;
- автоматизированным системам управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.
К тому же, на этой основе могут разрабатываться отраслевые (ведомственные, корпоративные) методики оценки угроз безопасности информации, учитывающие особенности функционирования объектов.
Предыдущие методики оценки актуальности угроз (для ПДн и для КСИИ) в связи с утверждением нового документа более не применяются, однако модели угроз, которые были разработаны и приняты до выпуска новой методики, продолжают действовать и подлежат корректировке в случае изменения соответствующих систем или сетей.
Обновленный порядок оценки угроз безопасности информации включает следующие этапы:
1) определение негативных последствий, которые могут наступить от реализации (возникновения) угроз безопасности информации;
2) определение возможных объектов воздействия угроз безопасности информации;
3) оценку возможности реализации (возникновения) угроз безопасности информации и определение их актуальности.
Рассмотрим подробнее этап оценки возможности реализации (возникновения) угроз безопасности информации и определения их актуальности.
Данный этап состоит из трех подэтапов:
1. Определение источников угроз безопасности информации . Новая методика ФСТЭК России ориентирована, в первую очередь, на оценку антропогенных угроз безопасности информации, то есть обусловленных действиями нарушителей.
Угрозы безопасности информации, связанные с техногенными источниками, включаются в модель угроз безопасности информации по решению обладателя информации или оператора систем и сетей. За рамками методического документа остается оценка угроз безопасности криптографических средств защиты, а также угроз, связанных с техническими каналами утечки данных. Также не рассматриваются угрозы, связанные со стихийными бедствиями и природными явлениями.
По результатам определения источников угроз безопасности информации должны быть определены:
а) виды актуальных нарушителей и возможные цели реализации ими угроз безопасности информации, а также их возможности;
б) категории актуальных нарушителей, которые могут реализовывать угрозы безопасности информации, в том числе непреднамеренные угрозы.
2. Оценка способов реализации (возникновения) угроз безопасности информации . По результатам оценки возможных способов реализации угроз безопасности информации должны быть определены:
а) виды и категории нарушителей, которые имеют возможность использования актуальных способов;
б) актуальные способы реализации угроз безопасности информации и типы интерфейсов объектов воздействия, за счет которых они могут быть реализованы.
3. Оценка актуальности угроз безопасности информации . Угроза безопасности информации возможна, если имеются нарушитель или иной источник угрозы, объект, на который осуществляются воздействия, способы реализации угрозы безопасности информации, а реализация угрозы может привести к негативным последствиям. Актуальность возможных угроз безопасности информации определяется наличием сценариев их реализации. Сценарии реализации угроз безопасности информации должны быть определены для соответствующих способов реализации угроз безопасности информации и применительно к объектам воздействия и видам воздействия на них. Определение сценариев предусматривает установление последовательности возможных тактик и соответствующих им техник, применение которых возможно актуальным нарушителем с соответствующим уровнем возможностей, а также доступности интерфейсов для использования соответствующих способов реализации угроз безопасности информации. При наличии хотя бы одного сценария угрозы безопасности информации такая угроза признается актуальной для системы и сети и включается в модель угроз безопасности.
Результаты оценки угроз безопасности информации оформляются в модели угроз, для которой в методике приведена рекомендуемая структура. Отметим, что модель угроз должна постоянно поддерживаться в актуальном состоянии, и вести ее можно в электронном виде.
Также стоит отметить, что работы по оценке угроз безопасности информации могут проводиться либо обладателем информации (оператором) самостоятельно, либо с привлечением сторонних организаций. При этом требование к наличию у сторонней организации лицензии на техническую защиту конфиденциальной информации из методики убрали (в проекте методики оно было и вызвало шквал недоумения, поскольку моделирование угроз не является лицензируемым видом деятельности).
К основным преимуществам новой методики можно отнести:
- универсальность и широкая область применения;
- наличие примеров для выполнения каждого из подэтапов оценки угроз;
- наличие рекомендаций о применении экспертного метода;
- привязка актуальности угроз к наличию (либо отсутствию) негативных последствий;
- моделирование угроз рассматривается как процесс.
Вместе с широким набором положительных сторон новой методики мы получаем также и то, что процесс разработки модели угроз становится более трудоемким, при этом от разработчика (группы разработчиков) требуются глубокие знания в различных областях: знание нормативных актов, понимание особенностей функционирования систем и сетей, понимание сценариев атак, навыки оценки рисков и т.д.
Поэтому для грамотной оценки угроз безопасности рекомендуется обращаться к профессионалам. Специалисты ООО «СофтМолл» готовы провести работы по моделированию угроз и ответить на интересующие вопросы. https://softmall.ru/