5 февраля 2021 года ФСТЭК России утвердила новую методику оценки угроз безопасности информации. Это один из самых долгожданных документов в сообществе специалистов по информационной безопасности, особенно среди тех, кто приступил к разработке модели угроз для значимых объектов критической информационной инфраструктуры и стоял перед выбором, по какой методике это делать:
- по методике определения актуальных угроз безопасности персональных данных (ПДн) при их обработке в информационных системах персональных данных (2008 года);
- по методике определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры (КСИИ) (2007 года).
Обе указанные методики по ряду аспектов потеряли свою актуальность и имеют довольно ограниченную область применения. Новая же описывает порядок и содержание работ по моделированию и определению актуальности угроз безопасности информации для самых разнообразных типов объектов:
- информационных систем;
- автоматизированных систем управления;
- информационно-телекоммуникационных сетей;
- информационно-телекоммуникационных инфраструктур центров обработки данных;
- облачных инфраструктур.
При этом методика применяется:
- к государственным и муниципальным информационным системам;
- к информационным системам персональных данных;
- значимым объектам критической информационной инфраструктуры Российской Федерации;
- информационным системам управления производством, используемым организациями оборонно-промышленного комплекса;
- автоматизированным системам управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.
К тому же, на этой основе могут разрабатываться отраслевые (ведомственные, корпоративные) методики оценки угроз безопасности информации, учитывающие особенности функционирования объектов.
Предыдущие методики оценки актуальности угроз (для ПДн и для КСИИ) в связи с утверждением нового документа более не применяются, однако модели угроз, которые были разработаны и приняты до выпуска новой методики, продолжают действовать и подлежат корректировке в случае изменения соответствующих систем или сетей.
Обновленный порядок оценки угроз безопасности информации включает следующие этапы:
1) определение негативных последствий, которые могут наступить от реализации (возникновения) угроз безопасности информации;
2) определение возможных объектов воздействия угроз безопасности информации;
3) оценку возможности реализации (возникновения) угроз безопасности информации и определение их актуальности.
Рассмотрим подробнее этап оценки возможности реализации (возникновения) угроз безопасности информации и определения их актуальности.
Данный этап состоит из трех подэтапов:
- . Новая методика ФСТЭК России ориентирована, в первую очередь, на оценку антропогенных угроз безопасности информации, то есть обусловленных действиями нарушителей. Угрозы безопасности информации, связанные с техногенными источниками, включаются в модель угроз безопасности информации по решению обладателя информации или оператора систем и сетей. За рамками методического документа остается оценка угроз безопасности криптографических средств защиты, а также угроз, связанных с техническими каналами утечки данных. Также не рассматриваются угрозы, связанные со стихийными бедствиями и природными явлениями.
По результатам определения источников угроз безопасности информации должны быть определены:
а) виды актуальных нарушителей и возможные цели реализации ими угроз безопасности информации, а также их возможности;
б) категории актуальных нарушителей, которые могут реализовывать угрозы безопасности информации, в том числе непреднамеренные угрозы
По результатам оценки возможных способов реализации угроз безопасности информации должны быть определены:
а) виды и категории нарушителей, которые имеют возможность использования актуальных способов;
б) актуальные способы реализации угроз безопасности информации и типы интерфейсов объектов воздействия, за счет которых они могут быть реализованы.
Угроза безопасности информации возможна, если имеются нарушитель или иной источник угрозы, объект, на который осуществляются воздействия, способы реализации угрозы безопасности информации, а реализация угрозы может привести к негативным последствиям.
Актуальность возможных угроз безопасности информации определяется наличием сценариев их реализации. Сценарии реализации угроз безопасности информации должны быть определены для соответствующих способов реализации угроз безопасности информации и применительно к объектам воздействия и видам воздействия на них. Определение сценариев предусматривает установление последовательности возможных тактик и соответствующих им техник, применение которых возможно актуальным нарушителем с соответствующим уровнем возможностей, а также доступности интерфейсов для использования соответствующих способов реализации угроз безопасности информации. При наличии хотя бы одного сценария угрозы безопасности информации такая угроза признается актуальной для системы и сети и включается в модель угроз безопасности.
Результаты оценки угроз безопасности информации оформляются в модели угроз, для которой в методике приведена рекомендуемая структура. Отметим, что модель угроз должна постоянно поддерживаться в актуальном состоянии, и вести ее можно в электронном виде.
Также стоит отметить, что работы по оценке угроз безопасности информации могут проводиться либо обладателем информации (оператором) самостоятельно, либо с привлечением сторонних организаций. При этом требование к наличию у сторонней организации лицензии на техническую защиту конфиденциальной информации из методики убрали (в проекте методики оно было и вызвало шквал недоумения, поскольку моделирование угроз не является лицензируемым видом деятельности).
К основным преимуществам новой методики можно отнести:
- универсальность и широкая область применения;
- наличие примеров для выполнения каждого из подэтапов оценки угроз;
- наличие рекомендаций о применении экспертного метода;
- привязка актуальности угроз к наличию (либо отсутствию) негативных последствий;
- моделирование угроз рассматривается как процесс.
Вместе с широким набором положительных сторон новой методики мы получаем также и то, что процесс разработки модели угроз становится более трудоемким, при этом от разработчика (группы разработчиков) требуются глубокие знания в различных областях: знание нормативных актов, понимание особенностей функционирования систем и сетей, понимание сценариев атак, навыки оценки рисков и т.д.
Поэтому для грамотной оценки угроз безопасности рекомендуется обращаться к профессионалам. Специалисты ООО «СофтМолл» готовы провести работы по моделированию угроз и ответить на интересующие Вас вопросы.