Zurov.md 15 KB
Методы оценки опасности угроз
Угроза информационной безопасности — это любая подозрительная активность, потенциально направленная на нарушение конфиденциальности, доступности, целостности ключевых информационных ресурсов.
Основными задачами, решаемыми в ходе методов оценки угроз безопасности информации, являются:
-определение негативных последствий, которые могут наступить от реализации (возникновения) угроз безопасности информации;
-инвентаризация систем и сетей и определение возможных объектов воздействия угроз безопасности информации;
-определение источников угроз безопасности информации и оценка возможностей нарушителей по реализации угроз безопасности информации;
-оценка способов реализации (возникновения) угроз безопасности информации;
-оценка возможности реализации (возникновения) угроз безопасности информации и определение актуальности угроз безопасности информации;
-оценка сценариев реализации угроз безопасности информации в системах и сетях.
Исходными данными для оценки угроз безопасности информации являются:
-общий перечень угроз безопасности информации, содержащийся в банке данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru), модели угроз безопасности информации, разрабатываемые
ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16
августа 2004 г. N 1085, а также отраслевые (ведомственные, корпоративные) модели угроз безопасности информации;
-описания векторов (шаблоны) компьютерных атак, содержащиеся в базах данных и иных источниках, опубликованных в сети "Интернет" (CAPEC, ATT&CK, OWASP, STIX, WASC и др.);
-документация на системы и сети (а именно: техническое задание на создание систем и сетей, частное техническое задание на создание системы защиты, программная (конструкторская) и
эксплуатационная (руководства, инструкции) документация, содержащая сведения о назначении и функциях, составе и архитектуре систем и сетей, о группах пользователей и уровне их полномочий
и типах доступа, о внешних и внутренних интерфейсах, а также иные документы на системы и сети, разработка которых предусмотрена требованиями по защите информации (обеспечению безопасности)
или национальными стандартами);
-договоры, соглашения или иные документы, содержащие условия использования информационно-телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры поставщика
услуг (в случае функционирования систем и сетей на базе информационно-телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры);
-нормативные правовые акты Российской Федерации, в соответствии с которыми создаются и функционируют системы и сети, содержащие в том числе описание назначения, задач (функций) систем и
сетей, состав обрабатываемой информации и ее правовой режим;
-технологические, производственные карты или иные документы, содержащие описание управленческих, организационных, производственных и иных основных процессов (бизнес-процессов) в рамках
выполнения функций (полномочий) или осуществления видов деятельности обладателя информации, оператора (далее - основные (критические) процессы);
-результаты оценки рисков (ущерба), проведенной обладателем информации и (или) оператором.
Указанные исходные данные могут уточняться или дополняться с учетом особенностей области деятельности, в которой функционируют системы и сети.
Оценка угроз безопасности информации проводится подразделением по защите информации (отдельными специалистами, назначенными ответственными за обеспечение защиты информации (обеспечение
безопасности)) обладателя информации или оператора с участием подразделений или специалистов, ответственных за эксплуатацию систем и сетей (ИТ-специалистов, специалистов автоматизированных
систем управления, специалистов связи и др.), основных (профильных) подразделений обладателя информации или оператора. Для оценки угроз безопасности информации по решению обладателя
информации или оператора в соответствии с законодательством Российской Федерации могут привлекаться специалисты сторонних организаций.
Для оценки угроз безопасности информации рекомендуется привлекать специалистов, обладающих следующими знаниями и умениями:
-основ оценки рисков, а также основных рисков от нарушения функционирования систем и сетей и нарушения безопасности обрабатываемой информации (далее – информационные риски);
-угроз безопасности информации и способов их реализации (возникновения);
-тактик и техник проведения компьютерных атак (реализации угроз безопасности информации);
-основных типов компьютерных инцидентов и причин их возникновения;
-основных уязвимостей систем и сетей;
-нормативных правовых актов по созданию и функционированию систем и сетей, защите информации (обеспечению безопасности) в них, основных (критических) процессов (бизнес-процессов)
обладателя информации и (или) оператора;
-оценивать информационные риски;
-классифицировать и оценивать угрозы безопасности информации;
-определять сценарии (тактики, техники) реализации угроз безопасности информации;
-определять источники и причины возникновения компьютерных инцидентов;
-проводить инвентаризацию систем и сетей, анализ уязвимостей, тестирование на проникновение систем и сетей с использованием соответствующих автоматизированных средств;
-оценку уровня защищенности (аудит) систем и сетей и содержащейся в них информации.
Результаты оценки угроз безопасности информации отражаются в модели угроз, которая представляет собой описание систем и сетей и актуальных угроз безопасности информации. Рекомендуемая
структура модели угроз безопасности информации приведена в приложении 3 к настоящей Методике.
По решению обладателя информации или оператора модель угроз безопасности информации разрабатывается как для отдельной системы или сети, так и для совокупности взаимодействующих систем и
сетей оператора. При разработке модели угроз безопасности информации для отдельной системы и сети, она должна содержать описание угроз безопасности информации, актуальных для
информационно-телекоммуникационной инфраструктуры, на базе которой эта система или сеть функционирует, а также угроз безопасности информации, связанных с интерфейсами взаимодействия со
смежными (взаимодействующими) системами и сетями.
Допускается разработка одной модели угроз безопасности информации для нескольких однотипных создаваемых систем и сетей обладателя информации или оператора.
Модель угроз безопасности информации должна поддерживаться в актуальном состоянии в процессе функционирования систем и сетей.
Изменение модели угроз безопасности информации осуществляется в случаях:
-изменения требований нормативных правовых актов Российской Федерации, методических документов ФСТЭК России, регламентирующих вопросы оценки угроз безопасности информации;
-изменений архитектуры и условий функционирования систем и сетей, режима обработки информации, правового режима информации, влияющих на угрозы безопасности информации;
-выявления, в том числе по результатам контроля уровня защищенности систем и сетей и содержащейся в них информации (анализа уязвимостей, тестирований на проникновение, аудита), новых угроз
безопасности информации или новых сценариев реализации существующих угроз;
-включения в банк данных угроз безопасности информации ФСТЭК России сведений о новых угрозах безопасности информации, сценариях (тактиках, техниках) их реализации.
Оценка угроз безопасности информации включает следующие этапы:
1) определение негативных последствий, которые могут наступить от реализации (возникновения) угроз безопасности информации;
2) определение возможных объектов воздействия угроз безопасности информации;
3) оценку возможности реализации (возникновения) угроз безопасности информации и определение их актуальности.
Источники:
1.fstec.ru
2.www.ec-rs.ru
3.itsec2012.ru