Частная модель угроз безопасности информации конфиденциального характера для банка. Модель угроз безопасности персональных данных Модель угроз информационной безопасности организации пример

Применительно к основным типам информационных систем разработаны типовые модели угроз безопасности ПДн, характеризующие наступление различных видов последствий в результате несанкционированного или случайного доступа и реализации угрозы в отношении персональных данных. Всего таких моделей шесть и описаны они в документе ФСТЭК России «Базовая модель»:

типовая модель угроз безопасности ПДн, обрабатываемых в автоматизированных рабочих местах, не имеющих подключения к сетям общего пользования и (или) сетям международного информационного обмена;

типовая модель угроз безопасности ПДн, обрабатываемых в автоматизированных рабочих местах, имеющих подключения к сетям общего пользования и (или) сетям международного информационного обмена;

типовая модель угроз безопасности ПДн, обрабатываемых в локальных ИСПДн, не имеющих подключения к сетям общего пользования и (или) сетям международного информационного обмена;

типовая модель угроз безопасности ПДн, обрабатываемых в локальных ИСПДн, имеющих подключения к сетям общего пользования и (или) сетям международного информационного обмена;

типовая модель угроз безопасности ПДн, обрабатываемых в распределенных ИСПДн, не имеющих подключения к сетям общего пользования и (или) сетям международного информационного обмена;

типовая модель угроз безопасности ПДн, обрабатываемых в распределенных ИСПДн, имеющих подключения к сетям общего пользования и (или) сетям международного информационного обмена.

Угрозы безопасности информации (УБИ) определяются по результатам оценки возможностей (потенциала, оснащенности и мотивации) внешних и 8 внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).

Модель угроз безопасности информации представляет собой формализованное описание угроз безопасности информации для конкретной информационной системы или группы информационных систем в определенных условиях их функционирования.

3. Методика и порядок выполнения работы.

На данном практическом занятии студенты выполняют следующие задания:

3.1. Изучают категории нарушителей, описанные в документе ФСТЭК России «Базовая модель».Для конкретной информационной системы определяют перечень вероятных нарушителей ИСПДн с учетом всех исключений.Результаты записывают в таблицу (см. таблицу 2).

3.2. Изучают модели безопасности, описанные в документе ФСТЭК России «Базовая модель». Составляют перечень всех возможных угроз по документу ФСТЭК России «Базовая модель». Результаты записывают в таблицу, см. пример 1.

Таблица 3.

Перечень всех возможных угроз безопасности ПДн.

Владивосток, 201_ г.

Обозначения и сокращения. 3

Заказчик и исполнитель. 4

1. Общие положения. 5

2. Описание информационной системы.. 7

3. Описание угроз Наим системы 8

3.1. Модель нарушителя. 8

3.2. Обобщённые возможности источников атак Наим системы.. 13

3.3. Актуальность использования возможностей нарушителя и направлений атак. 16

3.4. Описание возможных уязвимостей в НАИМ СИСТЕМЫ 22

3.5. Угрозы безопасности информации НАИМ СИСТЕМЫ 25

3.5.1. Угрозы утечки по техническим каналам.. 26

3.5.2. Угрозы НСД к ПДн в НАИМ СИСТЕМЫ 29

3.6. Определение актуальности угроз безопасности информации НАИМ СИСТЕМЫ 73

3.6.1. Исходный уровень защищённости. 73

3.6.2. Алгоритм определения актуальных УБИ.. 74

3.6.3. Актуальность УБИ.. 75

3.6.4. Перечень актуальных угроз. 83

Источники разработки. 87

Обозначения и сокращения

Заказчик и исполнитель

Адрес: адрес орг.

Исполнителем работ является: Общество с ограниченной ответственностью «Системы информационной безопасности» (сокращенное наименование - ООО «СИБ»).

Адрес: 630009, г. Новосибирск, ул. Добролюбова, 16.

Общие положения

Настоящая модель определяет актуальные угрозы безопасности данных при их обработке в информационной системе Наим орг сокращ и должна использоваться при задании требований к системе защиты информации указанной информационной системы.

Настоящая модель угроз разработана на основании данных Аналитического отчёта по обследованию государственной информационной системы «Наим сист» Департамента образования и науки Приморского края и Банка данных угроз безопасности информации ФСТЭК России.

Для разработки модели угроз ГИС Наим орг сокращ использовались следующие нормативные и методические документы, стандарты:

1. Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

3. Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну содержащихся в государственных информационных системах»;

4. Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 г. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

5. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 15 февраля 2008г.);

6. Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности информации персональных данных, актуальные при обработке персональных данных информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, утверждены руководством 8 центра ФСБ России 31 марта 2015 года № 149/7/2/6-432;

7. Приказ ФСБ России от 10.07. 2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищённости» (зарегистрировано в Минюсте России 18.08.2014 г. № 33620);

8. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 14 февраля 2008г.).

Модель угроз формируется и утверждается оператором и может быть пересмотрена:

· по решению оператора на основе периодически проводимых им анализа и оценки угроз безопасности данных с учетом особенностей и (или) изменений конкретной информационной системы;

· по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности данных при их обработке в информационной системе.

Принципы формирования модели угроз:

· безопасность защищаемой информации в ИС обеспечивается с помощью системы защиты информации;

· защищаемая информация обрабатывается и хранится в ИС с использованием определенных информационных технологий и технических средств, порождающих объекты защиты различного уровня, атаки на которые создают прямые и косвенные угрозы защищаемой информации;

· система защиты данных не может обеспечить защиту информации от действий, выполняемых в рамках предоставленных субъекту полномочий.

В модели угроз представлено описание ИС и её структурно – функциональных характеристик, состава и режима обработки защищаемой информации, определение уровня защищённости ИС, описание угроз безопасности информации.

Описание угроз безопасности информации включает:

· описание возможностей нарушителя (модель нарушителя);

· описание возможных уязвимостей ИС;

· способы реализации угроз;

· оценку вероятности (возможности) реализации угроз;

· оценку степени и вида ущерба от реализации угроз;

· определение актуальности УБИ.

Описание информационной системы

Система представляет собой клиент-серверную информационную систему. В качестве СУБД в НАИМ СИСТЕМЫ используется MSQL-2008. Технически серверная часть данной информационной системы находится на сервере под управлением MSQL в Наим орг сокращ.

Клиентские части расположены на АРМ сотрудников Наим орг сокращ.

Вставить из аналитики

Описание угроз НАИМ СИСТЕМЫ Наим орг сокращ

Модель нарушителя

Источниками угроз НСД в ИС могут быть:

· Нарушитель;

· Носитель вредоносной программы;

· Аппаратная закладка.

Нарушитель безопасности ПДн определяется, как физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности ПДн при их обработке техническими средствами в информационных системах.

В Наим орг сокращ всех нарушителей можно классифицировать следующим образом - по наличию права постоянного или разового доступа в КЗ.

По данной классификации они подразделяются на два типа:

· Нарушители, не имеющие доступа в КЗ, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена – внешние нарушители;

· Нарушители, имеющие доступ в КЗ и (или) данным, хранящимся в ИС - внутренние нарушители;

Внешними нарушителями для реализации угроз безопасности информации в ИС Наим орг сокращ могут быть:

· Криминальные структуры;

· Недобросовестные партнёры;

· Внешние субъекты (физические лица).

Внешний нарушитель имеет следующие возможности:

· Осуществлять НСД к каналам связи, выходящим за пределы служебных помещений;

· Осуществлять НСД через АРМ, подключённые к сетям связи общего пользования и (или) сетям международного информационного обмена;

· Осуществлять НСД к информации с использованием специальных программных воздействий посредством программных вирусов, вредоносных программ, алгоритмических или программных закладок;

· Осуществлять НСД через элементы информационной инфраструктуры ИС, которые в процессе своего жизненного цикла (модернизации, сопровождения, ремонта, утилизации) оказываются за пределами КЗ;

· Осуществлять НСД через ИС взаимодействующих ведомств, организаций и учреждений при их подключении к ИС.

Возможности внутреннего нарушителя существенным образом зависят от действующих в пределах КЗ режимных и организационно – технических мер защиты, в том числе по допуску физических лиц к ПДн и контролю порядка проведения работ.

Внутренние потенциальные нарушители подразделяются на восемь категорий в зависимости от способа доступа и полномочий доступа к ПДн.

К первой категории (И1) относятся лица, имеющие санкционированный доступ к ИС, но не имеющие доступа к ПДн. К этому типу нарушителей относятся должностные лица, обеспечивающие нормальное функционирование ИС.

· иметь доступ к фрагментам информации, содержащей ПДн и распространяющейся по внутренним каналам связи ИС;

· располагать фрагментами информации о топологии ИС (коммуникационной части подсети) и об используемых коммуникационных протоколах и их сервисах;

· располагать именами и вести выявление паролей зарегистрированных пользователей;

· изменять конфигурацию технических средств ИС, вносить в нее программно-аппаратные закладки и обеспечивать съём информации, используя непосредственное подключение к техническим средствам ИС.

· обладает всеми возможностями лиц первой категории;

· знает, по меньшей мере, одно легальное имя доступа;

· обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству ПДн;

· располагает конфиденциальными данными, к которым имеет доступ.

· обладает всеми возможностями лиц первой и второй категорий;

· располагает информацией о топологии ИС на базе локальной и распределенной информационных систем, через которую он осуществляет доступ, и составе технических средств ИС;

· имеет возможность прямого (физического) доступа к фрагментам технических средств ИС.

· обладает полной информацией о системном и прикладном программном обеспечении, используемом в - сегменте (фрагменте) ИС;

· обладает полной информацией о технических средствах и конфигурации сегмента (фрагмента) ИС;

· имеет доступ к средствам защиты информации и протоколирования, а также к отдельным элементам, используемым в сегменте (фрагменте) ИС;

· имеет доступ ко всем техническим средствам сегмента (фрагмента) ИС;

· обладает правами конфигурирования и административной настройки некоторого подмножества технических средств сегмента (фрагмента) ИС.

· обладает всеми возможностями лиц предыдущих категорий;

· обладает полной информацией о системном и прикладном программном обеспечении ИС;

· обладает полной информацией о технических средствах и конфигурации ИС;

· имеет доступ ко всем техническим средствам обработки информации данным ИС;

· обладает правами конфигурирования и административной настройки технических средств ИС.

· обладает всеми возможностями лиц предыдущих категорий;

· обладает полной информацией об ИС;

· имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИС;

· не имеет прав доступа к конфигурированию технических средств сети за исключением контрольных (инспекционных).

· обладает информацией об алгоритмах и программах обработки информации на ИС;

· обладает возможностями внесения ошибок, недекларированных возможностей, программных закладок, вредоносных программ в программное обеспечение ИС на стадии ее разработки, внедрения и сопровождения;

· может располагать любыми фрагментами информации о топологии ИС и технических средствах обработки и защиты данных, обрабатываемых в ИС.

· обладает возможностями внесения закладок в технические средства ИС на стадии их разработки, внедрения и сопровождения;

· может располагать любыми фрагментами информации о топологии ИС и технических средствах обработки и защиты информации в ИС.

В следующей таблице приведён сводный перечень внутренних потенциальных нарушителей и наличие их в Наим орг сокращ:

Таблица 3.1.1.

Из числа потенциальных нарушителей безопасности информации Наим орг сокращ исключаются нарушители категории И5 и И6. Данные пользователи осуществляют техническое обслуживание, как общесистемных средств ИС, так и специальных средств защиты информации, включая их настройку, конфигурирование, распределение паролей и ключевой документации между пользователями, поэтому они назначаются из числа особо проверенных и доверенных лиц. Они имеют полный доступ ко всем настройкам сети и подсистем защиты информации на случай необходимости их восстановления, обновления систем и т.п. (т.к. должны иметь возможность отключения СЗИ для выполнения определенных мероприятий). Эффективность всей системы безопасность информации зависит от действий этих пользователей, поэтому устанавливать системы защиты от них было бы нецелесообразно, в связи с ее сложностью и низкой эффективностью. Вместе с тем, нельзя не учитывать, что контроль за деятельностью привилегированных пользователей и оценка их эффективности осуществляется в ходе оценки соответствия ИС по требованиям безопасности при проведении аттестации и проверок со стороны регулирующих органов, а также со стороны правоохранительных органов.

Таким образом, потенциальными нарушителями безопасности информации в Наим орг сокращ принимаются:

1. Внешние нарушители;

Актуальность УБИ

Для каждой угрозы рассчитан коэффициент реализуемости угрозы и определён показатель опасности угрозы.

Классификация несанкционированных воздействий

Под угрозой понимается потенциально существующая возможность случайного или преднамеренного действия (бездействия), в результате которого могут быть нарушены основные свойства информации и систем ее обработки: доступность, целостность и конфиденциальность.

Знание спектра потенциальных угроз защищаемой информации, умение квалифицированно и объективно оценить возможность их реализации и степень опасности каждой из них, является важным этапом сложного процесса организации и обеспечения защиты. Определение полного множества угроз ИБ практически невозможно, но относительно полное описание их, применительно к рассматриваемому объекту, может быть достигнуто при детальном составлении модели угроз.

Удаленные атаки классифицированы по характеру и цели воздействия, по условию начала осуществления воздействия и наличию обратной связи с атакуемым объектом, по расположению объекта относительно атакуемого объекта и по уровню эталонной модели взаимодействия открытых систем ЭМВОС, на котором осуществляется воздействие.

Классификационные признаки объектов защиты и угроз безопасности автоматизированным системам и озможные способы несанкционированного доступа (НСД) к информации в защищаемых АС:

• 1) по принципу НСД:
  • - физический. Может быть реализован при непосредственном или визуальном контакте с защищаемым объектом;
  • - логический. Предполагает преодоление системы защиты с помощью программных средств путем логического проникновения в структуру АС;
• 2) по пути НСД:
  • - использование прямого стандартного пути доступа. Используются слабости установленной политики безопасности и процесса административного управления сетью. Результатом может быть маскировка под санкционированного пользователя;
  • - использование скрытого нестандартного пути доступа. Используются недокументированные особенности (слабости) системы защиты (недостатки алгоритмов и компонентов системы защиты, ошибки реализации проекта системы защиты);
  • - Особую по степени опасности группу представляют угрозы ИБ, осуществляемые путем воздействий нарушителя, которые позволяют не только осуществлять несанкционированное воздействие (НСВ) на информационные ресурсы системы и влиять на них путем использования средств специального программного и программно-технического воздействия, но и обеспечивать НСД к информации.
• 3) по степени автоматизации:
  • - выполняемые при постоянном участии человека. Может использоваться общедоступное (стандартное) ПО. Атака проводится в форме диалога нарушителя с защищаемой системой;
  • - выполняемые специальными программами без непосредственного участия человека. Применяется специальное ПО, разработанное чаще всего по вирусной технологии. Как правило, такой способ НСД для реализации атаки предпочтительнее;
• 4) по характеру воздействия субъекта НСД на объект защиты:
  • - пассивное. Не оказывает непосредственного воздействия на АС, но способно нарушить конфиденциальность информации. Примером является контроль каналов связи;
  • - активное. К этой категории относится любое несанкционированное воздействие, конечной целью которого является осуществление каких-либо изменений в атакуемой АС;
• 5) по условию начала воздействия:
  • - атака по запросу от атакуемого объекта. Субъект атаки изначально условно пассивен и ожидает от атакуемой АС запроса определенного типа, слабости которого используются для осуществления атаки;
  • - атака по наступлению ожидаемого события на атакуемом объекте. За ОС объекта атаки ведется наблюдение. Атака начинается, когда АС находится в уязвимом состоянии;
  • - безусловная атака. Субъект атаки производит активное воздействие на объект атаки вне зависимости от состояния последнего;
• 6) по цели воздействия. Безопасность рассматривают как совокупность конфиденциальности, целостности, доступности ресурсов и работоспособности (устойчивости) АС, нарушение которых нашло отражение в модели конфликта;
• 7) по наличию обратной связи с атакуемым объектом:
  • - с обратной связью. Подразумевается двунаправленное взаимодействие между субъектом и объектом атаки с целью получения от объекта атаки каких-либо данных, влияющих на дальнейший ход НСД;
  • - без обратной связи. Однонаправленная атака. Субъект атаки не нуждается в диалоге с атакуемой АС. Примером является организация направленного "шторма" запросов. Цель - нарушение работоспособности (устойчивости) АС;
• 8) по типу используемых слабостей защиты:
  • - недостатки установленной политики безопасности. Разработанная для АС политика безопасности неадекватна критериям безопасности, что и используется для выполнения НСД:
  • - ошибки административного управления;
  • - недокументированные особенности системы безопасности, в том числе связанные с ПО, - ошибки, неосуществленные обновления ОС, уязвимые сервисы, незащищенные конфигурации по умолчанию;
  • - недостатки алгоритмов защиты. Алгоритмы защиты, использованные разработчиком для построения системы защиты информации, не отражают реальных аспектов обработки информации и содержат концептуальные ошибки;
  • - ошибки реализации проекта системы защиты. Реализация проекта системы защиты информации не соответствует заложенным разработчиками системы принципам.

Логические признаки объектов защиты:

• 1) политика безопасности. Представляет собой совокупность документированных концептуальных решений, направленных на защиту информации и ресурсов, и включает цели, требования к защищаемой информации, совокупность мероприятий по ИБ, обязанности лиц, ответственных за ИБ;
• 2) процесс административного управления. Включает управление конфигурацией и производительностью сети, доступом к сетевым ресурсам, меры повышения надежности функционирования сети, восстановление работоспособности системы и данных, контроль норм и корректности функционирования средств защиты в соответствии с политикой безопасности;
• 3) компоненты системы защиты:
  • - система криптографической защиты информации;
  • - ключевая информация;
  • - пароли;
  • - информация о пользователях (идентификаторы, привилегии, полномочия);
  • - параметры настройки системы защиты;
• 4) протоколы. Как совокупность функциональных и эксплуатационных требований к компонентам сетевого программно-аппаратного обеспечения, должны обладать корректностью, полнотой, непротиворечивостью;
• 5) функциональные элементы вычислительных сетей. Должны быть защищены в общем случае от перегрузок и уничтожения "критических" данных.

Возможные способы и методы осуществления НСД (виды атак):

• 1) анализ сетевого трафика, исследование ЛВС и средств защиты для поиска их слабостей и исследования алгоритмов функционирования АС. В системах с физически выделенным каналом связи передача сообщений осуществляется напрямую между источником и приемником, минуя остальные объекты системы. В такой системе при отсутствии доступа к объектам, через которые осуществляется передача сообщения, не существует программной возможности анализа сетевого трафика;
• 2) введение в сеть несанкционированных устройств.
• 3)перехват передаваемых данных с целью хищения, модификации или переадресации;
• 4) подмена доверенного объекта в АС.
• 5) внедрение в сеть несанкционированного маршрута (объекта) путем навязывания ложного маршрута с перенаправлением через него потока сообщений;
• 6) внедрение в сеть ложного маршрута (объекта) путем использования недостатков алгоритмов удаленного поиска;
• 7) использование уязвимостей общесистемного и прикладного ПО.
• 8) криптоанализ.
• 9) использование недостатков в реализации криптоалгоритмов и криптографических программ.
• 10) перехват, подбор, подмена и прогнозирование генерируемых ключей и паролей.
• 11) назначение дополнительных полномочий и изменение параметров настройки системы защиты.
• 12) внедрение программных закладок.
• 13) нарушение работоспособности (устойчивости) АС путем внесения перегрузки, уничтожения "критических" данных, выполнения некорректных операций.
• 14) доступ к компьютеру сети, принимающему сообщения или выполняющему функции маршрутизации;

Классификация злоумышленников

Возможности осуществления вредительских воздействий в большой степени зависят от статуса злоумышленника по отношению к КС. Злоумышленником может быть:

• 1) разработчик КС;
• 2) сотрудник из числа обслуживающего персонала;
• 3) пользователь;
• 4) постороннее лицо.

Разработчик владеет наиболее полной информацией о программных и аппаратных средствах КС. Пользователь имеет общее представление о структурах КС, о работе механизмов защиты информации. Он может осуществлять сбор данных о системе защиты информации методами традиционного шпионажа, а также предпринимать попытки несанкционированного доступа к информации. Постороннее лицо, не имеющее отношения к КС, находится в наименее выгодном положении по отношению к другим злоумышленникам. Если предположить, что он не имеет доступ на объект КС, то в его распоряжении имеются дистанционные методы традиционного шпионажа и возможность диверсионной деятельности. Он может осуществлять вредительские воздействия с использованием электромагнитных излучений и наводок, а также каналов связи, если КС является распределенной.

Большие возможности оказания вредительских воздействий на информацию КС имеют специалисты, обслуживающие эти системы. Причем, специалисты разных подразделений обладают различными потенциальными возможностями злоумышленных действий. Наибольший вред могут нанести работники службы безопасности информации. Далее идут системные программисты, прикладные программисты и инженерно-технический персонал.

На практике опасность злоумышленника зависит также от финансовых, материально-технических возможностей и квалификации злоумышленника.

Приветствую, читатели!

• для понимания тех угроз и уязвимостей, которые расплодились в информационной системе, а так же нарушителей которые актуальны для данной информационной системы, чтобы запустить процесс технического проектирования для их нейтрализации;
• для галочки, чтобы были выполнены все условия некого проекта, например в сфере персональных данных (не говорю что модель угроз при выполнении проектов в сфере персональных данных всегда делается для галочки, но в основном это так).

Здесь так же большую роль играет Руководство. В зависимости от того, что хочет Руководство, грамотно спроектировать и построить защиту (наш вариант), или же защититься от неких контролирующих органов. Но на эту тему можно написать отдельную статью, в ней будет что сказать.

Модель угроз и модель нарушителя неразрывно связаны. Много споров возникало на тему делать эти модели разными документами, или же правильнее делать это одним документом. По моему мнению, для удобства именно построения модели угроз и модели нарушителя, правильнее делать это одним документом. При передаче модели угроз инженерам (если же моделированием угроз, нарушителя и проектированием занимаются разные отделы в компании) им необходимо видеть ситуацию в полном объеме, а не читать 2 документа и тратить время на соединение их воедино. Таким образом, в данной статье я буду описывать модель угроз и модель нарушителя (далее по тексту - модель угроз) как единый неразрывный документ.

Типовые проблемы

По своему опыту я видел большое количество моделей угроз которые были на столько по разному написаны, что привести их к одному шаблону было просто нереально. У человека не было четкого представления, что писать в таком документе, для кого этот документ и какова его задача. Многие интересуются, сколько листов должна быть модель угроз, что в ней писать, как лучше это сделать.

Типичные ошибки при составлении модели угроз я выявил следующие:

• отсутствие понимания для кого этот документ:
• отсутствие понимания структуры документа;
• отсутствие понимания необходимого содержания документа;
• отсутствие необходимых для проектирования выводов.

План модели угроз

Так как мы, после составления модели угроз, передадим ее для анализа инженерам (не обязательное условие), информация будет группироваться с точки зрения удобства для разработчика модели угроз и инженера, который потом будет проводить ее анализ.
При составлении модели угроз я придерживаюсь следующего плана(подразделы не включены):

Введение
1. Перечень сокращений
2. Перечень нормативных документов
3. Описание ИС
4. Угрозы безопасности
Заключение.
Приложение А.
Приложение Б.
Приложение В.

Забегая на будущее, модель угроз строится из принципа - "Нет необходимости читать весь документ чтобы понять его смысл и сделать правильные выводы ". Давайте разберем каждый из пунктов.

Введение

Типичное введение, описывающее предназначение данного документа и что должно быть определено на этапе его написания.

1. Перечень сокращений

Зачем оно тут? - спросите вы. А я вам отвечу:

• документ может читать не только специалист по информационной безопасности;
• документ может читать высшее руководство, имеющее некое техническое образование;
• при описании Информационной системы некоторые термины могут быть неизвестны ни специалистам, ни руководству.

2. Перечень нормативных документов

Данный раздел обычно необходим в проектах, где используется некая документация, в которой приписаны некие требования или рекомендации. Например, при работе с персональными данными в данный раздел записываются нормативные документы ФСТЭК, ФСБ и т.д.

3. Описание ИС

Данный раздел является одной из главных частей модели угроз. Описание Информационной системы должно раскладывать ее по полочкам на столько подробно, на сколько это возможно. Данные должны включать:

• используемые технические средства, их назначение. Как пример:

Идентификатор служит для быстрого обращения к активу из текста документа, описание служит для понимания что за техническое средство используется, примечание служит для уточнения данных о технических средствах и их назначениях.

• детальное описание технических средств. Как пример: ТС – терминальный сервер. Подключение удаленных клиентов по протоколу RDP для работы с системой. Подключение происходит с аппаратных тонких клиентов и персональных компьютеров. На терминальном сервере установлено приложение, используемое для работы с базой данных.
• Схему подключения технических средств. Данная схема должна отражать детальную архитектуру информационной системы.
• Реализованные защитные меры. Данная информация позволит разработчику модели угроз учесть уже внедренные средства защиты и провести оценку их эффективности, что позвонит с некоторой долей вероятности снизить затраты на закупку средств защиты.
• Формирование перечня активов. Необходимо определить перечень активов, их значимость для компании и идентификатор для быстрой ссылки из документа. Как пример:

В зависимости от выбранной методики оценки рисков, 3 раздел модели угроз может содержать дополнительную информацию. Например, в случае моделирования угроз для персональных данных, данный раздел дополняется «показателями исходной защищенности ИСПДн», «основными характеристиками ИСПДн».

4. Угрозы безопасности

В данном разделе описываются результаты моделирования угроз. В описание входит:

• актуальность внешних или внутренних угроз;
• перечень актуальных нарушителей;
• перечень актуальных угроз информационной безопасности.

Перечень актуальных угроз удобно оформлять в виде такой таблички:

Здесь опять же все просто, идентификатор, описание угрозы и активы, на которые действует угроза. Информации более чем достаточно.

Заключение

В заключении необходимо описать какие мероприятия необходимо провести для защиты Информационной системы. Пример:

1. Защита от несанкционированного подключения незарегистрированных технических средств:

• серверов СУБД;
• серверов приложений.

2. Криптографическая защита каналов связи для доступа к Информационной системе (построение VPN сети).

Информация, расположенная в вышеописанных разделах содержит все необходимые данные для проектирования системы защиты Информационной системы. Вся информация, которая содержит определение актуальных нарушителей, расчет актуальных угроз информационной безопасности находятся в приложениях. Это позволяет получить всю необходимую информацию на первых страницах документа. По опыту скажу, что модель угроз для хорошего проекта и серьезной информационной системы занимает от 100 страниц. Информация представленная выше занимает обычно не более 30.

Приложение А

В приложении А я обычно описываю модель нарушителя. Как правило оно состоит из:

• описания видов нарушителей и их возможностей (внутренние, внешние);
• описание каналов доступа в ИС (физические, общедоступные, технические)
• описание данных видов нарушителей с привязкой к штатной структуре организации;
• описание возможностей данных нарушителей;
• определение актуальности каждого из видов нарушителей.

Табличка на выходе:

Приложение Б

Данное приложение служит для описания и расчета актуальности угроз. В зависимости от выбора методики определения актуальности угроз информационной безопасности, оценки рисков, можно по разному оформлять это приложение(раздел). Я оформляю каждую угрозу следующей табличкой:

Сформатировать табличку в хабраредакторе не очень получилось, в документе она выглядит гораздо лучше. История формирования именно такого вида таблички берет свое начало из стандартов серии СТО БР. Далее она немного модифицировалась под проекты под Персональные данные, и сейчас она представляет собой средство описания угроз для любого из проектов. Данная табличка в полной мере позволяет рассчитать актуальность угрозы информационной безопасности для активов компании. Если используется какая-либо методика оценки рисков, данная табличка так же подойдет. Данный пример приведен для расчета актуальности угроз в рамках работ по проекту защиты Персональных данных. Читается табличка следующим образом: Угроза -> Нарушитель -> Активы -> Нарушаемые свойства -> Данные для расчета актуальности -> Выводы.

Каждая угроза оформляется данной табличкой, которая в полной мере описывает ее и на основе данной таблички можно легко сделать вывод об актуальности/неактуальности угрозы.

Приложение В

Приложение В - справочное. В ней расписаны методики расчета актуальности или же методики оценки рисков.

В результате, при использовании данной методики оформления, модель угроз будет являться читабельным и полезным документом, который можно использовать в организации.

Спасибо за внимание.

Для чего она нужна и как ее разработать?! Ответы на эти вопросы Вы найдете в этой статье.

Модель угроз – это перечень возможных угроз.

Все просто и ясно. Хотя в ГОСТ Р 50922-2006 – «Защита информации. Основные термины и определения» дано более емкое определение:

Модель угроз (безопасности информации) – физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации.

Итак, модель угроз – это документ, тем или иным способом описывающий возможные угрозы безопасности персональных данных.

Теперь разберемся что такое угроза безопасности информации (персональных данных) .

«Базовая модель» содержит систематизированный перечень угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Многие эксперты по защите информации весьма скептически относятся к этому документу. Угрозы, приведенные в базовой модели, устарели и далеко не всеобъемлющи. Однако за неимением лучшего приходится довольствоваться текущей редакцией документа.

Документ «Методика определения актуальных угроз» содержит алгоритм оценки угрозы. Путем несложных расчетов определяется статус каждой вероятной угрозы.

Если Вы решили разрабатывать модель угроз самостоятельно, мы рекомендуем Вам воспользоваться нашим онлайн сервисом для подготовки пакета документов по защите персональных данных . Это позволит избежать ошибок и сократить время подготовки документов.

Наш сервис уже содержит все угрозы безопасности из "Базовой модели". Вам достаточно просто проставить их характеристики и общие характеристики Вашей ИСПДн. Алгоритм расчета актуальности угроз полностью автоматизирован. В результате Вы получите готовый документ в формате RTF