zurik12

ЭАСвЗИ/Лекции/1.3.400_Методы_оценки_опасности_угроз1/Zurov.md

@@ -0,0 +1,81 @@
+## Методы оценки опасности угроз  
+  
+Угроза информационной безопасности — это любая подозрительная активность, потенциально направленная на нарушение конфиденциальности, доступности, целостности ключевых информационных 
+ресурсов.  
+  
+Основными задачами, решаемыми в ходе методов оценки угроз безопасности информации, являются:  
+-определение негативных последствий, которые могут наступить от реализации (возникновения) угроз безопасности информации;  
+-инвентаризация систем и сетей и определение возможных объектов воздействия угроз безопасности информации;  
+-определение источников угроз безопасности информации и оценка возможностей нарушителей по реализации угроз безопасности информации;  
+-оценка способов реализации (возникновения) угроз безопасности информации;  
+-оценка возможности реализации (возникновения) угроз безопасности информации и определение актуальности угроз безопасности информации;  
+-оценка сценариев реализации угроз безопасности информации в системах и сетях.  
+  
+![](1.png)  
+  
+Исходными данными для оценки угроз безопасности информации являются:
+-общий перечень угроз безопасности информации, содержащийся в банке данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru), модели угроз безопасности информации, разрабатываемые 
+ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 
+августа 2004 г. N 1085, а также отраслевые (ведомственные, корпоративные) модели угроз безопасности информации;  
+-описания векторов (шаблоны) компьютерных атак, содержащиеся в базах данных и иных источниках, опубликованных в сети "Интернет" (CAPEC, ATT&CK, OWASP, STIX, WASC и др.);  
+-документация на системы и сети (а именно: техническое задание на создание систем и сетей, частное техническое задание на создание системы защиты, программная (конструкторская) и 
+эксплуатационная (руководства, инструкции) документация, содержащая сведения о назначении и функциях, составе и архитектуре систем и сетей, о группах пользователей и уровне их полномочий 
+и типах доступа, о внешних и внутренних интерфейсах, а также иные документы на системы и сети, разработка которых предусмотрена требованиями по защите информации (обеспечению безопасности)
+ или национальными стандартами);  
+-договоры, соглашения или иные документы, содержащие условия использования информационно-телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры поставщика 
+услуг (в случае функционирования систем и сетей на базе информационно-телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры);  
+-нормативные правовые акты Российской Федерации, в соответствии с которыми создаются и функционируют системы и сети, содержащие в том числе описание назначения, задач (функций) систем и 
+сетей, состав обрабатываемой информации и ее правовой режим;  
+-технологические, производственные карты или иные документы, содержащие описание управленческих, организационных, производственных и иных основных процессов (бизнес-процессов) в рамках 
+выполнения функций (полномочий) или осуществления видов деятельности обладателя информации, оператора (далее - основные (критические) процессы);  
+-результаты оценки рисков (ущерба), проведенной обладателем информации и (или) оператором.  
+Указанные исходные данные могут уточняться или дополняться с учетом особенностей области деятельности, в которой функционируют системы и сети.  
+  
+Оценка угроз безопасности информации проводится подразделением по защите информации (отдельными специалистами, назначенными ответственными за обеспечение защиты информации (обеспечение 
+безопасности)) обладателя информации или оператора с участием подразделений или специалистов, ответственных за эксплуатацию систем и сетей (ИТ-специалистов, специалистов автоматизированных
+ систем управления, специалистов связи и др.), основных (профильных) подразделений обладателя информации или оператора. Для оценки угроз безопасности информации по решению обладателя 
+информации или оператора в соответствии с законодательством Российской Федерации могут привлекаться специалисты сторонних организаций.  
+Для оценки угроз безопасности информации рекомендуется привлекать специалистов, обладающих следующими знаниями и умениями:  
+-основ оценки рисков, а также основных рисков от нарушения функционирования систем и сетей и нарушения безопасности обрабатываемой информации (далее – информационные риски);  
+-угроз безопасности информации и способов их реализации (возникновения);  
+-тактик и техник проведения компьютерных атак (реализации угроз безопасности информации);  
+-основных типов компьютерных инцидентов и причин их возникновения;  
+-основных уязвимостей систем и сетей;  
+-нормативных правовых актов по созданию и функционированию систем и сетей, защите информации (обеспечению безопасности) в них, основных (критических) процессов (бизнес-процессов) 
+обладателя информации и (или) оператора;  
+-оценивать информационные риски;  
+-классифицировать и оценивать угрозы безопасности информации;  
+-определять сценарии (тактики, техники) реализации угроз безопасности информации;  
+-определять источники и причины возникновения компьютерных инцидентов;  
+-проводить инвентаризацию систем и сетей, анализ уязвимостей, тестирование на проникновение систем и сетей с использованием соответствующих автоматизированных средств;  
+-оценку уровня защищенности (аудит) систем и сетей и содержащейся в них информации.  
+  
+![](2.png)  
+  
+Результаты оценки угроз безопасности информации отражаются в модели угроз, которая представляет собой описание систем и сетей и актуальных угроз безопасности информации. Рекомендуемая 
+структура модели угроз безопасности информации приведена в приложении 3 к настоящей Методике.  
+По решению обладателя информации или оператора модель угроз безопасности информации разрабатывается как для отдельной системы или сети, так и для совокупности взаимодействующих систем и 
+сетей оператора. При разработке модели угроз безопасности информации для отдельной системы и сети, она должна содержать описание угроз безопасности информации, актуальных для 
+информационно-телекоммуникационной инфраструктуры, на базе которой эта система или сеть функционирует, а также угроз безопасности информации, связанных с интерфейсами взаимодействия со 
+смежными (взаимодействующими) системами и сетями.  
+Допускается разработка одной модели угроз безопасности информации для нескольких однотипных создаваемых систем и сетей обладателя информации или оператора.  
+Модель угроз безопасности информации должна поддерживаться в актуальном состоянии в процессе функционирования систем и сетей.  
+  
+Изменение модели угроз безопасности информации осуществляется в случаях:  
+-изменения требований нормативных правовых актов Российской Федерации, методических документов ФСТЭК России, регламентирующих вопросы оценки угроз безопасности информации;  
+-изменений архитектуры и условий функционирования систем и сетей, режима обработки информации, правового режима информации, влияющих на угрозы безопасности информации;  
+-выявления, в том числе по результатам контроля уровня защищенности систем и сетей и содержащейся в них информации (анализа уязвимостей, тестирований на проникновение, аудита), новых угроз
+ безопасности информации или новых сценариев реализации существующих угроз;  
+-включения в банк данных угроз безопасности информации ФСТЭК России сведений о новых угрозах безопасности информации, сценариях (тактиках, техниках) их реализации.  
+  
+Оценка угроз безопасности информации включает следующие этапы:  
+1) определение негативных последствий, которые могут наступить от реализации (возникновения) угроз безопасности информации;  
+2) определение возможных объектов воздействия угроз безопасности информации;  
+3) оценку возможности реализации (возникновения) угроз безопасности информации и определение их актуальности.  
+  
+![](3.jpg)  
+  
+Источники:
+1.[fstec.ru](https://fstec.ru/component/attachments/download/2919)  
+2.[www.ec-rs.ru](https://www.ec-rs.ru/blog/informacionnaja-bezopasnost/analiz-i-otsenka-informatsionnoy-bezopasnosti/)  
+3.[itsec2012.ru](https://itsec2012.ru/metodika-ocenki-ugroz-bezopasnosti-informacii-utverzhdena-fstek-rossii-5-fevralya-2021-g-1)  

ЭАСвЗИ/Лекции/1.3.400_Методы_оценки_опасности_угроз1/u20-24alexandrov.md

@@ -0,0 +1,28 @@
+1.3.400 Методы оценки опасности угроз.  
+При определении угроз на конкретном объекте защиты важно понимать, что нельзя учесть абсолютно все угрозы, а тем более защититься от них. Здесь уместно говорить о принципе разумности и достаточности. При идентификации угрозы необходимо установить все возможные источники этой угрозы, так как зачастую угроза возникает вследствие наличия определенной уязвимости и может быть устранена с помощью механизма защиты (например, механизм аутентификации). К идентификации угроз можно подходить двумя путями – по уязвимостям, повлекшим за собой появление угрозы, или по источникам угроз.
+![](3.jpg)  
+
+Опасность угрозы определяется риском в случае ее успешной реализации. Риск – потенциально возможный ущерб. Допустимость риска означает, что ущерб в случае реализации угрозы не приведет к серьезным негативным последствиям для владельца информации. Ущерб подразделяется на опосредованный и непосредственный. Непосредственный связан с причинением материального, морального, финансового , физического вреда владельцу информации. Опосредованный (косвенный) ущерб связан с причинением вреда государству или обществу, но не владельцу информации.  
+
+Для оценки рисков целесообразно привлекать экспертов - специалистов в области информационной безопасности, которые должны обладать:  
+
+знаниями законодательства РФ, международных и национальных стандартов в области обеспечения информационной безопасности;  
+знаниями нормативных актов и предписаний регулирующих и надзорных органов в области обеспечения информационной безопасности;  
+знаниями внутренних документов организации, регламентирующих деятельность в области обеспечения информационной безопасности;  
+знаниями о современных средствах вычислительной и телекоммуникационной техники, операционных системах, системах управления базами данных, а также о конкретных способах обеспечения информационной безопасности в них;
+знаниями о возможных источниках угроз ИБ, способах реализации угроз ИБ, частоте реализации угроз ИБ в прошлом;
+пониманием различных подходов к обеспечению информационной безопасности, знания защитных мер, свойственных им ограничений.  
+Существуют различные методы оценки риска, образующие два взаимодополняющих друг друга вида – количественный и качественный.  
+![](2.jpg)  
+
+Целью количественной оценки риска является получение числовых значений потенциального ущерба для каждой конкретной угрозы и для совокупности угроз на защищаемом объекте, а также выгоды от применения средств защиты. Основным недостатком данного подхода является невозможность получения конкретных значений в некоторых случаях. Например, если в результате реализации угрозы наносится ущерб имиджу организации, непонятно, как количественно оценить подобный ущерб.  
+
+Рассмотрим количественный подход боле подробно на примере метода оценки рисков, предлагаемого компанией При количественной оценке рисков необходимо определить характеристики и факторы, указанные ниже.    
+![](1.jpg)  
+Стоимость активов. Для каждого актива организации, подлежащего защите, вычисляется его денежная стоимость. Активами считается все, что представляет ценность для организации, включая как материальные активы (например, физическую инфраструктуру), так и нематериальные (например, репутацию организации и цифровую информацию). Часто именно стоимость актива используется для того, чтобы определить меры безопасности для конкретного актива.  
+Ожидаемый разовый ущерб – ущерб, полученный в результате разовой реализации одной угрозы. Другими словами, это денежная величина, сопоставленная одиночному событию и характеризующая потенциальный ущерб, который понесет компания, если конкретная угроза сможет использовать уязвимость.  
+Ежегодная частота возникновения ( по-простому вероятность) – ожидаемое число проявления угрозы в течение года. Понятно, что величина может меняться от 0 до 100 процентов и не может быть определена точно. В идеальном случае определяется на основе статистики.  
+Общий годовой ущерб – величина, характеризующая общие потенциальные потери организации в течение одного года. Это произведение ежегодной величины возникновения на ожидаемый разовый ущерб от реализации угрозы.  
+Источники  
+[intuit.ru](https://intuit.ru/studies/courses/2291/591/lecture/12687?page=2)
+[helpiks.org](https://helpiks.org/5-108009.html)