5 февраля 2021 ФСТЭК России опубликовал новую методику по определению актуальных угроз. Подготовили новый материал по разработке сценариев реализации угроз с учётом новой методики.
Будь благословен Федеральный закон “О персональных данных”! Сколько увлекательных вечеров благодаря нему проводят сотрудники разных компаний за подготовкой к радушной встрече с инспекторами Роскомнадзора, ФСТЭК и ФСБ. О глобальной режиссуре этого сейшена мы уже писали. Теперь давайте разбираться с “бумажными” деталями. Один из обязательных пунктов программы — разработка так называемой “модели угроз” (МУ).
Предупреждаем на берегу: это не самое веселое занятие. Но как только вы разберетесь в вопросе, сразу почувствуете себя героем. А мы компетентно поможем вам одолеть эту высоту.
Итак:
Что она, вообще, такое, эта загадочная МУ, и для чего она нужна?
Модель угроз информационной безопасности (ИБ) — это описание существующих угроз, насколько они реалистичны, каковы шансы, что они воплотятся в жизнь, и, само собой, каковы последствия.
С помощью грамотных МУ можно повысить уровень ИБ и даже затраты на защиту оптимизировать, сосредоточившись на самых вероятных угрозах.
В общем, модель угроз — штука хорошая, полезная. И закон говорит, что без нее никак. Необходимость разработки этого документа законодательно закреплена вот здесь:
- Часть 2 статьи 19 закона №152-ФЗ «О персональных данных»: «Обеспечение безопасности персональных данных достигается, в частности: 1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных».
- Приказы ФСТЭК 21, 17, 31 и 239 определяют, что формирование требований к защите информации должно основываться на определении угроз безопасности.
На основе модели угроз формируются требования к защите информации. А на базе этих требований создается система защиты персональных данных (ПДн). МУ обосновывает возможность использования организационных мер, чтобы избежать определенных угроз. Плюс ко всему, она обосновывает использование определенных типов и классов средств защиты информации.
Модель угроз применяют при решении разных задач:
- выбор организационных и технических мер по обеспечению безопасности ПДн и их реализации в системе защиты ПДн;
- определение требуемого уровня защищенности ПДн;
- анализ защищенности от угроз безопасности ПДн в ходе организации и выполнения работ по обеспечению безопасности ПДн;
- разработка системы защиты ПДн, обеспечивающей нейтрализацию угроз с использованием организационных и технических мер обеспечения безопасности ПДн;
- проведение мероприятий, направленных на предотвращение несанкционированного доступа (НСД) к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;
- недопущение воздействия на технические средства ИСПДн, в результате которого может быть нарушено их функционирование.
В общем, мы не ошибемся, если назовем модель угроз ключевым документом, который нужен на всех остальных этапах работ по защите ПДн, включая проверку.
Содержание МУ
Простора для творчества при разработке Модели угроз, прямо скажем, не так много. Зато это здорово упрощает жизнь. Содержание МУ прописано в нормативных документах и должно включать в себя следующие части:
Содержание модели угроз
- из общих положений это титульный лист, аннотация, содержание и список сокращений;
- в вводной части нужно указать:
- на основании каких нормативно-методических документов разработана модель угроз;
- какую информацию она содержит;
- при решении каких задач используется;
- как часто может актуализироваться и пересматриваться;
- какой компанией разработана и для кого предназначена.
Кроме этого, в модели угроз должны присутствовать:
- описание информационной системы персональных данных, включая описание информационно-технологической инфраструктуры;
- структурно-функциональные характеристики;
- описание угроз безопасности;
- модель нарушителя;
- возможные уязвимости;
- способы реализации угроз;
- последствия нарушения безопасности информации.
Теперь остановимся на некоторых пунктах чуть подробнее.
Описание информационной системы персональных данных включает в себя сведения об ИТ-инфраструктуре, обрабатываемых данных, о взаимодействии со смежными системами и функциональную схему ИСПДн. Здесь же указывают адреса объектов, на которых расположены технические средства ИСПДн и границы контролируемой зоны, какие средства используются для защиты ИСПДн и прошли ли они процедуру сертификации.
А контролируемая зона — это пространство (территория, здание, часть здания, помещение), в которое “дяде Феде” и любым другим персонажам с улицы вход заказан. Такой запрет касается не только посторонних лиц, но еще и транспортных, технических и других материальных средств.
Возвращаясь к пункту о нормативно-методических документах, на основании которых должна быть разработана Модель угроз, перечисляем эти самые документы:
- Базовая модель угроз безопасности персональных данных при обработке в информационных системах персональных данных (далее – ИСПДн).
- Методика определения актуальных угроз безопасности персональных данных при их обработке в ИСПДн.
- Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн.
- Методический документ. Меры защиты информации в государственных информационных системах (если речь идёт о ГИС).
Враг: найти и обезвредить
Один из этапов разработки Модели угроз — создание Модели нарушителя безопасности. И тут наш скучный “бумажный” сюжет принимает практически детективный оборот. Художественный портрет нам, конечно, вряд ли понадобится, а вот классификация нарушителей — обязательно. В этом вопросе должна быть полная ясность.
По наличию права постоянного или разового доступа в контролируемую зону ИСПДн, нарушителей подразделяют на два типа:
- внешние – нарушители, не имеющие доступа к ИСПДн, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена;
- внутренние – нарушители, имеющие доступ к ИСПДн, включая пользователей ИСПДн, реализующие угрозы непосредственно в ИСПДн.
Берем из базовой Модели угроз список возможных нарушителей безопасности и определяем, кто из них может относиться к рассматриваемой ИСПДн. После этого переходим к определению актуальных угроз, которые могут реализовать установленные нами категории нарушителей.
По-настоящему опасно
А дальше разрабатываем частную Модель угроз, рассматривая угрозы утечки информации по техническим каналам и угрозы несанкционированного доступа к персональным данным. Задача — обнаружить актуальные угрозы безопасности. Для этого с помощью заполнения приведенной ниже таблицы определяется исходный уровень защищенности — коэффициент исходной защищенности Y1.
Технические и эксплуатационные характеристики ИСПДн | Уровень защищенности | ||
---|---|---|---|
Высокий | Средний | Низкий | |
По территориальному размещению | |||
Распределенная ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом | + | ||
Городская ИСПДн, охватывающая не более одного населенного пункта (города, поселка) | + | ||
Корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации | + | ||
Локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий | + | ||
Локальная ИСПДн, развернутая в пределах одного здания | + | ||
По наличию соединения с сетями общего пользования | |||
ИСПДн, имеющая многоточечный выход в сеть общего пользования | + | ||
ИСПДн, имеющая одноточечный выход в сеть общего пользования | + | ||
ИСПДн, физически отделенная от сети общего пользования | + | ||
По встроенным (легальным) операциям с записями баз персональных данных | |||
Чтение, поиск | + | ||
Запись, удаление, сортировка | + | ||
Модификация, передача | + | ||
По разграничению доступа к персональным данным | |||
ИСПДн, к которой имеет доступ определенный перечень сотрудников организации, являющейся владельцем ИСПДн, либо субъект ПДн | + | ||
ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн | + | ||
ИСПДн с открытым доступом | + | ||
По наличию соединений с другими базами ПДн иных ИСПДн | |||
Интегрированная ИСПДн (организация использует несколько баз ПДн ИСПДн, при этом организация не является владельцем всех используемых баз ПДн) | + | ||
ИСПДн, в которой используется одна база ПДн, принадлежащая организации — владельцу данной ИСПДн | + | ||
По уровню обобщения (обезличивания) ПДн | |||
ИСПДн, в которой предоставляемые пользователю данные являются обезличенными (на уровне организации, отрасли, области, региона и т.д.) | + | ||
ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации | + | ||
ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн) | + | ||
По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки | |||
ИСПДн, предоставляющая всю БД с ПДн | + | ||
ИСПДн, предоставляющая часть ПДн | + | ||
ИСПДн, не предоставляющие никакой информации | + |
Теперь включим энтузиазм на полную и попробуем разобраться с этой увлекательной таблицей.
Вот смотрите: каждой характеристике соответствует высокий, средний или низкий уровень защищенности. Нам нужно посчитать процент характеристик с разными уровнями защищенности. Если «высокий» и «средний» набрали 70% и выше, значит уровень исходной защищенности средний (Y1 = 5), если меньше 70%, то – низкий (Y1 = 10).
Второй параметр для определения актуальных угроз — Y2 (он же вероятность реализации угрозы) — может принимать такие значения:
0 – для маловероятной угрозы;
2 – для низкой вероятности угрозы;
5 – для средней вероятности угрозы;
10 – для высокой вероятности угрозы.
Из этих двух параметров определяется коэффициент реализуемости угрозы Y. Вычисляется он по формуле: Y = (Y1+Y2) / 20. В зависимости от полученного значения угроза относится к низкой, средней или высокой.
Следующим шагом мы исключаем те угрозы, которые не имеют отношения к системе. Например, если мобильный и беспроводной доступ не используется, то связанные с ним угрозы будут явно лишними в списке.
Перечень угроз есть в базовой модели угроз. Помимо нее существует база угроз безопасности, но ничто не мешает вам дополнить список собственными вариантами угроз. “Режиссерская версия”, так сказать.
Финальные “аккорды”
Отдельная глава в нашем суровом “романе об угрозах” — модель угроз безопасности ПДн при их обработке с использованием средств криптографической защиты информации (СКЗИ, это сфера интересов ФСБ России). Определяем в ней на основе модели нарушителя и угроз, относящихся к СКЗИ, класс криптографической защиты информации.
Ну а дальше на базе вычисленных актуальных угроз безопасности и требованиям нормативных актов выявляем и фиксируем в документе организационные и технические меры защиты информации.
Модели угроз составляются на основе постоянно меняющихся данных, поэтому их нужно систематически пересматривать и обновлять.
Вот теперь можно выдохнуть, потому что мы на финишной прямой. Надеемся, у вас появилась некоторая ясность, и словосочетание “модель угроз” больше не вызывает в вашем мозге “короткое замыкание”. Напоследок отметим, что модели угроз составляются на основе постоянно меняющихся данных, поэтому их нужно систематически пересматривать и обновлять.
Если у вас остались какие-то вопросы (наверняка!), обязательно свяжитесь с нашей “группой оперативного реагирования”. Пароли, явки: corp@corpsoft24.ru; 8 (495) 983-04-12, 8 (800) 707-04-12.