Разработка Модели угроз, или Как одолеть “Джомолунгму” информационной безопасности? Кто такая МУ и почему ею интересуются ФСБ и ФСТЭК

5 октября 2019

Будь благословен Федеральный закон “О персональных данных”! Сколько увлекательных вечеров благодаря нему проводят сотрудники разных компаний за подготовкой к радушной встрече с инспекторами Роскомнадзора, ФСТЭК и ФСБ. О глобальной режиссуре этого сейшена мы уже писали. Теперь давайте разбираться с “бумажными” деталями. Один из обязательных пунктов программы — разработка так называемой “модели угроз” (МУ).

Предупреждаем на берегу: это не самое веселое занятие. Но как только вы разберетесь в вопросе, сразу почувствуете себя героем. А мы компетентно поможем вам одолеть эту высоту.

Итак:

Что она, вообще, такое, эта загадочная МУ, и для чего она нужна?

Модель угроз информационной безопасности (ИБ) — это описание существующих угроз, насколько они реалистичны, каковы шансы, что они воплотятся в жизнь, и, само собой, каковы последствия.

С помощью грамотных МУ можно повысить уровень ИБ и даже затраты на защиту оптимизировать, сосредоточившись на самых вероятных угрозах.

В общем, модель угроз — штука хорошая, полезная. И закон говорит, что без нее никак. Необходимость разработки этого документа законодательно закреплена вот здесь:

  1. Часть 2 статьи 19 закона №152-ФЗ «О персональных данных»: «Обеспечение безопасности персональных данных достигается, в частности: 1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных».
  2. Приказы ФСТЭК 21, 17, 31 и 239 определяют, что формирование требований к защите информации должно основываться на определении угроз безопасности.

На основе модели угроз формируются требования к защите информации. А на базе этих требований создается система защиты персональных данных (ПДн). МУ обосновывает возможность использования организационных мер, чтобы избежать определенных угроз. Плюс ко всему, она обосновывает использование определенных типов и классов средств защиты информации.

Модель угроз применяют при решении разных задач:

  • выбор организационных и технических мер по обеспечению безопасности ПДн и их реализации в системе защиты ПДн;
  • определение требуемого уровня защищенности ПДн;
  • анализ защищенности от угроз безопасности ПДн в ходе организации и выполнения работ по обеспечению безопасности ПДн;
  • разработка системы защиты ПДн, обеспечивающей нейтрализацию угроз с использованием организационных и технических мер обеспечения безопасности ПДн;
  • проведение мероприятий, направленных на предотвращение несанкционированного доступа (НСД) к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;
  • недопущение воздействия на технические средства ИСПДн, в результате которого может быть нарушено их функционирование.

В общем, мы не ошибемся, если назовем модель угроз ключевым документом, который нужен на всех остальных этапах работ по защите ПДн, включая проверку.

*

Содержание МУ

Простора для творчества при разработке Модели угроз, прямо скажем, не так много. Зато это здорово упрощает жизнь. Содержание МУ прописано в нормативных документах и должно включать в себя следующие части:

Содержание модели угроз

  • из общих положений это титульный лист, аннотация, содержание и список сокращений;

  • в вводной части нужно указать:
    • на основании каких нормативно-методических документов разработана модель угроз;
    • какую информацию она содержит;
    • при решении каких задач используется;
    • как часто может актуализироваться и пересматриваться;
    • какой компанией разработана и для кого предназначена.


Кроме этого, в модели угроз должны присутствовать:

  • описание информационной системы персональных данных, включая описание информационно-технологической инфраструктуры;
  • структурно-функциональные характеристики;
  • описание угроз безопасности;
  • модель нарушителя;
  • возможные уязвимости;
  • способы реализации угроз;
  • последствия нарушения безопасности информации.

Теперь остановимся на некоторых пунктах чуть подробнее.

Описание информационной системы персональных данных включает в себя сведения об ИТ-инфраструктуре, обрабатываемых данных, о взаимодействии со смежными системами и функциональную схему ИСПДн. Здесь же указывают адреса объектов, на которых расположены технические средства ИСПДн и границы контролируемой зоны, какие средства используются для защиты ИСПДн и прошли ли они процедуру сертификации.

А контролируемая зона — это пространство (территория, здание, часть здания, помещение), в которое “дяде Феде” и любым другим персонажам с улицы вход заказан. Такой запрет касается не только посторонних лиц, но еще и транспортных, технических и других материальных средств.

Возвращаясь к пункту о нормативно-методических документах, на основании которых должна быть разработана Модель угроз, перечисляем эти самые документы:

  1. Базовая модель угроз безопасности персональных данных при обработке в информационных системах персональных данных (далее – ИСПДн).
    https://fstec.ru/component/attachments/download/289
  2. Методика определения актуальных угроз безопасности персональных данных при их обработке в ИСПДн.
    https://fstec.ru/component/attachments/download/290
  3. Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн.
    https://fstec.ru/component/attachments/download/561
  4. Методический документ. Меры защиты информации в государственных информационных системах (если речь идёт о ГИС).
    https://fstec.ru/component/attachments/download/675
*

Враг: найти и обезвредить

Один из этапов разработки Модели угроз — создание Модели нарушителя безопасности. И тут наш скучный “бумажный” сюжет принимает практически детективный оборот. Художественный портрет нам, конечно, вряд ли понадобится, а вот классификация нарушителей — обязательно. В этом вопросе должна быть полная ясность.

По наличию права постоянного или разового доступа в контролируемую зону ИСПДн, нарушителей подразделяют на два типа:
  • внешние – нарушители, не имеющие доступа к ИСПДн, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена;
  • внутренние – нарушители, имеющие доступ к ИСПДн, включая пользователей ИСПДн, реализующие угрозы непосредственно в ИСПДн.

Берем из базовой Модели угроз https://fstec.ru/component/attachments/download/289 список возможных нарушителей безопасности и определяем, кто из них может относиться к рассматриваемой ИСПДн. После этого переходим к определению актуальных угроз, которые могут реализовать установленные нами категории нарушителей.

*

По-настоящему опасно

А дальше разрабатываем частную Модель угроз, рассматривая угрозы утечки информации по техническим каналам и угрозы несанкционированного доступа к персональным данным. Задача — обнаружить актуальные угрозы безопасности. Для этого с помощью заполнения приведенной ниже таблицы определяется исходный уровень защищенности — коэффициент исходной защищенности Y1.

Технические и эксплуатационные характеристики ИСПДн Уровень защищенности
Высокий Средний Низкий
По территориальному размещению
Распределенная ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом +
Городская ИСПДн, охватывающая не более одного населенного пункта (города, поселка) +
Корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации +
Локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий +
Локальная ИСПДн, развернутая в пределах одного здания +
По наличию соединения с сетями общего пользования
ИСПДн, имеющая многоточечный выход в сеть общего пользования +
ИСПДн, имеющая одноточечный выход в сеть общего пользования +
ИСПДн, физически отделенная от сети общего пользования +
По встроенным (легальным) операциям с записями баз персональных данных
Чтение, поиск +
Запись, удаление, сортировка +
Модификация, передача +
По разграничению доступа к персональным данным
ИСПДн, к которой имеет доступ определенный перечень сотрудников организации, являющейся владельцем ИСПДн, либо субъект ПДн +
ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн +
ИСПДн с открытым доступом +
По наличию соединений с другими базами ПДн иных ИСПДн
Интегрированная ИСПДн (организация использует несколько баз ПДн ИСПДн, при этом организация не является владельцем всех используемых баз ПДн) +
ИСПДн, в которой используется одна база ПДн, принадлежащая организации — владельцу данной ИСПДн +
По уровню обобщения (обезличивания) ПДн
ИСПДн, в которой предоставляемые пользователю данные являются обезличенными (на уровне организации, отрасли, области, региона и т.д.) +
ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации +
ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн) +
По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки
ИСПДн, предоставляющая всю БД с ПДн +
ИСПДн, предоставляющая часть ПДн +
ИСПДн, не предоставляющие никакой информации +


Теперь включим энтузиазм на полную и попробуем разобраться с этой увлекательной таблицей.

Вот смотрите: каждой характеристике соответствует высокий, средний или низкий уровень защищенности. Нам нужно посчитать процент характеристик с разными уровнями защищенности. Если «высокий» и «средний» набрали 70% и выше, значит уровень исходной защищенности средний (Y1 = 5), если меньше 70%, то – низкий (Y1 = 10).

Второй параметр для определения актуальных угроз — Y2 (он же вероятность реализации угрозы) — может принимать такие значения:

0 – для маловероятной угрозы;

2 – для низкой вероятности угрозы;

5 – для средней вероятности угрозы;

10 – для высокой вероятности угрозы.

Из этих двух параметров определяется коэффициент реализуемости угрозы Y. Вычисляется он по формуле: Y = (Y1+Y2) / 20. В зависимости от полученного значения угроза относится к низкой, средней или высокой.

Следующим шагом мы исключаем те угрозы, которые не имеют отношения к системе. Например, если мобильный и беспроводной доступ не используется, то связанные с ним угрозы будут явно лишними в списке.

Перечень угроз есть в базовой модели угроз. Помимо нее существует база угроз безопасности, но ничто не мешает вам дополнить список собственными вариантами угроз. “Режиссерская версия”, так сказать.

*

Финальные “аккорды”

Отдельная глава в нашем суровом “романе об угрозах” — модель угроз безопасности ПДн при их обработке с использованием средств криптографической защиты информации (СКЗИ, это сфера интересов ФСБ России). Определяем в ней на основе модели нарушителя и угроз, относящихся к СКЗИ, класс криптографической защиты информации.

Ну а дальше на базе вычисленных актуальных угроз безопасности и требованиям нормативных актов выявляем и фиксируем в документе организационные и технические меры защиты информации.

Модели угроз составляются на основе постоянно меняющихся данных, поэтому их нужно систематически пересматривать и обновлять.

Вот теперь можно выдохнуть, потому что мы на финишной прямой. Надеемся, у вас появилась некоторая ясность, и словосочетание “модель угроз” больше не вызывает в вашем мозге “короткое замыкание”. Напоследок отметим, что модели угроз составляются на основе постоянно меняющихся данных, поэтому их нужно систематически пересматривать и обновлять.

Если у вас остались какие-то вопросы (наверняка!), обязательно свяжитесь с нашей “группой оперативного реагирования”. Пароли, явки: corp@corpsoft24.ru; 8 (495) 983-04-12, 8 (800) 707-04-12.

Разработать модель угроз
Хостинг ИСПДн
Защита
персональных
данных

Остались вопросы?

Напишите нам и мы вам ответим
Демьян Раменский
Руководитель направления Хостинг ИСПДн CorpSoft24
Ваше сообщение
успешно отправлено
Мы ответим вам в ближайшее время
CorpSoft24
Адрес компании corpsoft24 127473, РФ, МОСКВА, УЛ. СЕЛЕЗНЕВСКАЯ, Д.32
загрузка карты...