|
|
@@ -0,0 +1,44 @@
|
|
|
+# Построение модели угроз.
|
|
|
+
|
|
|
+# Что такое модель угроз
|
|
|
+
|
|
|
+Модель угроз (безопасности информации) — это физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации.
|
|
|
+Угроза безопасности информации — это совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.
|
|
|
+
|
|
|
+Законодательство, в частности Федеральный закон №152 и 17 приказ, предъявляют требования по защите к обширному перечню информационных систем, одно из них – определение вероятных угроз.
|
|
|
+
|
|
|
+Соответственно, модель угроз — это документ, назначение которого— определить угрозы, актуальные для конкретной системы. Только по факту наличия у организации подобного документа законодательные требования по моделированию будут выполнены.
|
|
|
+
|
|
|
+# Процесс разработки модели угроз
|
|
|
+
|
|
|
+Содержимое модели угроз полностью описано новой методикой оценки ФСТЭК, выпущенной 5 февраля 2021, она пришла на смену полностью устаревшей базовой модели угроз 2008 года. Новая методика диктует следующие требования к содержанию модели:
|
|
|
+
|
|
|
+-определить все последствия, которые могут возникнуть в случае использования угроз (ущерб рядовым гражданам или компаниям, ущерб государству);
|
|
|
+-определить все возможные объекты для атак, перечислить функционирующие в ИС системы и сети, каналы связи;
|
|
|
+-оценить возможности вероятных злоумышленников, иными словами – определить источники атак;
|
|
|
+-оценить способы атак, вероятные для исследуемой системы;
|
|
|
+-оценить возможности по выполнению атак и определить актуальность угроз;
|
|
|
+-оценить вероятные сценарии атак в Ваших сетях.
|
|
|
+
|
|
|
+Это обобщённое наполнение реальной модели угроз, но всё же дословно следовать этому списку не следует. При разработке собственного документа можно и нужно опираться на приложение 3 новой методики ФСТЭК, на его основе можно сразу составить оглавление:
|
|
|
+
|
|
|
+1.Введение.
|
|
|
+2.Описание систем и сетей. Должен включать в себя наименования, классы защищённости, задачи, бизнес-процессы, архитектуру, описание групп пользователей, интерфейсов нормативно-правовую базу функционирования конкретных систем, в общем, исчерпывающую информацию о всех функционирующих системах и сетях.
|
|
|
+3.Возможные последствия. Должен содержать описание видов ущерба, актуальных для владельца ИС, а также негативных последствий, которые повлекут за собой описанный ущерб.
|
|
|
+4.Возможные объекты воздействия. Требуется наличие наименований и назначения компонентов систем и сетей, воздействие на которые может привести к нежелательным последствиям.
|
|
|
+5.Источники. Должен включать категории возможных нарушителей, их характеристику и возможности.
|
|
|
+6.Способы. Здесь необходимо описать способы реализации угроз, которые могут быть использованы возможными нарушителями, а также описать интерфейсы, через которые наиболее вероятные нарушители могут реализовать атаки.
|
|
|
+7.Актуальные угрозы. Финальный список всех возможных угроз, составленный на основе всех предыдущих глав. Также должен включать описание вероятных сценариев реализации и выводы об актуальности угроз. Главы 2–5 методики ФСТЭК дают исчерпывающие рекомендации по разработке каждого элемента модели угроз. Приложения 4–11 дают примеры таблиц, которые должны быть приведены в документе, опираясь на них, вполне возможно создать собственную модель угроз.
|
|
|
+
|
|
|
+# Модель угроз: основные моменты
|
|
|
+
|
|
|
+Подводя итоги: модель угроз — это один из главных элементов всего пакета внутренних документов ИБ, который должен содержать выявление вероятных угроз для Вашей информационной системы. Требования к структуре и содержанию предъявляет новая методика оценки угроз безопасности информации ФСТЭК, она же даёт подробные рекомендации по разработке частной модели угроз.
|
|
|
+
|
|
|
+Источники:
|
|
|
+
|
|
|
+1)https://rtmtech.ru/articles/base-threat-model-fstek/
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
