Алгоритм определения актуальных угроз. Проект методики моделирования угроз фстэк


Между майскими праздниками ФСТЭК обнародовала долгожданный проект методики моделирования угроз, которая станет обязательным для государственных и муниципальных органов руководством по определению угроз, актуальных (не путать с типами актуальных угроз в ПП-1119) для, соответственно, государственных и муниципальных информационных систем. Для остальных организаций, включая и операторов ПДн, данный документ носит рекомендательный характер.

Демотивация, добавленная к идентификации некоторой неравномерности в безопасности, является причиной возникновения препятствия. Сотрудник, который имеет недостижимые цели, работает в гнетущих рамках, не чувствует себя комфортно, не имеет перспектив развития карьеры, не умеет или не может нормально работать, создает среду, способствующую сбою. Таким образом, первая мера предотвращения утечки информации - оставить сотрудника на стороне компании. По словам Прескотта, нет готовой формулы. Правильный контракт, реализация программ взаимодействия, которые заставляют людей чувствовать себя достойными работы в компании, улучшить знания, навыки и отношения сотрудников.

Методика мне в целом понравилась. Получился добротный документ, который позволяет пройдя по его шагам получить на выходе список актуальных угроз. Процедура достаточно простая:

  1. Определить область применения методики моделирования угроз. Будем надеяться, что у тех, кто будет следовать этому документу, имея богатый опыт работы со старыми документами ФСТЭК, не возникнет вопрос, как соотносится "область применения" и "контролируемая зона".
  2. Идентифицировать источники и угрозы безопасности
  3. Оценка вероятности (возможности) реализации угрозы и степени возможного ущерба. Вероятность оценивается либо путем использования статистики, либо опираясь на возможность реализации угрозы, которая зависит от уровня защищенности информационной системы и потенциала нарушителя.
  4. Оценить возможности реализации и опасности угрозы
  • Определение типов, видов и потенциала нарушителей
  • Определение возможных способов реализации угроз
  • Определение уровня защищенности
  • Определение потенциала нарушителя
  • Определение уровня опасности угрозы
  • Мониторить и переоценивать угрозы
    • Из интересных моментов, которые я для себя отметил:
    • Моделирование должно производиться на разных этапах жизненного цикла информационной системы.
    • Учитывается, что угроза может быть реализована не только против самой информации или информационной системы, но и против обслуживающей инфраструктуры, например, против DNS-сервера, официального канала Twitter, хостинговой площадки или канала связи.
    • Среди источников названы также и целые государства, что в текущей ситуации вполне актуальная проблема.
    • Очень важно, что среди угроз рассматриваются низкое качество обслуживание со стороны обслуживающих ИС организацией или низкое качество инженерных систем, которые могут привести к реализации ущерба.
    • Не забыты и косвенные угрозы, например, недоступность обновления средства защиты, что в текущих геополитических условиях становится вполне реальным.
    • Установлен рекомендуемый срок пересмотра модели угроз - раз в год, а также в случае изменения законодательства, конфигурации системы, появления новых уязвимостей или появления фактов о новых возможностях нарушителей. Если предположить, что Сноуден говорил правду, то по новой методике это должно было стать причиной пересмотра модели угроз.
    • Приведена классификация видов нарушителей (от спецслужб до бывших работников), а также их возможных мотиваций, которые описывают возможные причины совершения несанкционированных действий.
    • Учтено, что угрозы могут быть реализованы не только на объекты информационной системы, но и на ее субъекты за счет социальной инженерии.
    • Не забыта "случайная" атака, под раздачу которой может попасть ничего не подозревающая организация. Например, веерная DDoS-атака, которая может зацепить не только прямую жертву.
    • Хорошо, что предлагается два варианта оценки вероятности - на базе статистики (если она есть) и на базе потенциала нарушителя.
    • Потенциал нарушителя определяется либо по приложению 3, либо берется для конкретной угрозы из банка данных угроз ФСТЭК. Если в банке данных этой информации нет, тогда и применяется приложение 3.
    • Впервые в документах ФСТЭК дается пример разных видов ущерба от нарушения триады - конфиденциальности, целостности и доступности. К таким видам ФСТЭК относит экономический (финансовый), социальный, политический, репутационный, технологический и т.п.
    • Отменяется методика определения актуальных угроз ПДн (после принятия обсуждаемого проекта)
    • Угрозы по техническим каналам определяются по отдельным документам ФСТЭК.
    К методике прилагаются 3 приложения:
    • Рекомендации по формированию экспертной группы и проведению экспертной оценки. В данном приложении нашли свое отражения как ответы на вопросы "сколько экспертов достаточно", "кто такие эксперты", "какой квалификацией должны обладать эксперты", так и учет психологии восприятия рисков, которая иногда мешает принять правильное решение. Метод Дельфи , который описан в приложении, должен помочь снизить вероятность ошибки и зависимость от человеческого фактора.
    • Структура модели угроз. Еще один часто задаваемый вопрос - "что включать в модель угроз" и "как должна выглядеть модель угроз". Если на второй методика не отвечает (да и не должна), то на первый наконец-то дается ответ - перечисляются разделы документа, который будет включать список актуальных угроз безопасности информации.
    • Определение потенциала нарушителя. По сути, это пересказ ГОСТ Р ИСО/МЭК 18045, в котором впервые термин "потенциал нападения" и появился. Данное приложение нужно в том случае, если в банке данных угроз не найдено значение потенциала нарушителя.
    В следующей заметке я рассмотрю то, чего мне не хватило / не хватает в проекте документа.

    Начну с того, что методика ориентирована в т.ч. и на физлиц, исключая случаи создания информационных систем персональных данных (ИСПДн) для личных и семейных нужд.

    Из систематизированных и организованных исследований можно сделать вывод о том, что информационная безопасность является социальным явлением, в котором пользователи, в том числе менеджеры, информационных систем имеют разумные знания об использовании этих систем, включая возникающие в результате проблемы с помощью правил, а также о тех ролях, которые они должны играть в осуществлении этого использования. Правильное управление или управление информационной безопасностью достигается благодаря приверженности всех пользователей применению установленных стандартов и процедур.

    Угрозой безопасности ПДн называется не только их утечка, но и иные несанкционированные или непреднамеренные воздействия на информацию. С одной стороны у нас достаточно широкий спектр угроз подпадает под понятие, данное ФСТЭК. С другой - мы сталкиваемся с проблемой терминологии. К чему, например, относится доступность? К информации или к информационной системе? Ведь блокируя работу той или иной ИС, с информацией мы ничего не делаем и вообще на нее никак не воздействуем, концентриясь на системе ее обработки, передачи и хранения. Т.е. доступность скорее относится к понятию "информационная система". А раз так, то угрозы доступности не относятся в сферу компетенции рассматриваемой методики ФСТЭК.

    Фактически термин «управление» все чаще используется для указания деятельности по планированию, внедрению и оценке деятельности, связанной с безопасностью. Инвестируйте в социальное обеспечение для борьбы с мошенничеством. Тенденция заключается в том, что все более ограничивая окружающую среду из-за уязвимостей, усугубляемых, например, популяризацией мобильных телефонов, которые позволяют синхронизировать и имеет ряд интерфейсов, риск увеличивается. Важно подтвердить, что закрытие дверей, однако, подразумевает движение в противоположном направлении рынка, что требует большего взаимодействия.

    Интересно, что среди каналов реализации угроз ФСТЭК явно упоминает про электромагнитные излучения и наводки, а также акустику, что делает задачу защиты ПДн явно нетривиальной (но об этом позже).

    Среди нарушителей не забыты операторы связи, которые могут получить доступ к ПДн в процессе их передачи по сетям общего пользования. Вот еще одна терминологическая неувязка. У Минсвязи нет термина "сеть общего пользования", зато есть "сеть связи общего пользования" (ССОП). Видимо сотрудничество Минсвязи и ФСТЭК ограничилось только первыми документами - все остальное делалось самостоятельно с вытекающими отсюда последствиями.

    Задача для компаний состоит в том, чтобы сбалансировать преимущества, которые предоставляют ресурсы для рисков, которые они добавляют в корпоративную среду. Баланс должен учитывать профиль деятельности отдела в организации. Риски будут уменьшаться или быть искоренены, когда предотвращение присутствует в хороших отношениях со своими сотрудниками. Социальная направленность информационной безопасности.

    Человеческий фактор: один из столпов информационной безопасности. Фернандо Феррейра Аудит и безопасность информационных систем. Осознание является ключом к безопасному использованию онлайновых услуг. Руководство по научным статьям. Основная цель этой статьи - приблизиться к социальной инженерии с точки зрения ее методов, методов и средств, используемых социальным инженером для обмана жертвы и, таким образом, для обеспечения безопасности информации, чтобы читатель мог признать этот тип подхода к так что больше не стали жертвой этой практики, столь распространенной в наши дни.

    Выявление угроз осуществляется путем опросов! При опросах можно использовать сканеры уязвимостей. Про режимы обучения в ряде автоматизированных защитных средств во ФСТЭК, видимо, не слышали.

    Очень меня смутила фраза "Наличие источника угрозы и уязвимого звена, которое может быть использовано для реализации угрозы, свидетельствует о наличии данной угрозы". Т.е. наличие сотрудников, которые называются в методике "внутренними нарушителями", автоматически влечет за собой наличие целого класса внутренних угроз (хотя они могут на практике вообще никогда не реализоваться). Теоретическое наличие уязвимого ПО или информации приводит к тому, что мы должны учитывать и эти угрозы. Иными словами, упомянутая фраза приводит к тому, что мы должны учесть ВСЕ возможные в природе угрозы. Зачем это делать для каждой ИСПДн непонятно - проще было сделать единый список всех угроз, от которого отталкиваться в последующей работе.

    Статья также направлена ​​на повышение интереса и осведомленности людей и организаций к этой выдающейся опасности, поскольку это лучший способ защитить информацию. Статья не предназначена для решения технической части информационной безопасности, поскольку она касается протоколов, кодов и т.д. предполагая, что большинство пользователей этого не понимают, они являются непрофессионалами по этому вопросу. Статья была разделена на три замечательных момента. В первый момент будет подходить концепция социальной инженерии и информационной безопасности, а также важность информации на сегодняшний день для людей и особенно для организаций.

    После составления перечня всех угроз мы приступаем к составлению списка актуальных угроз. Актуальной считается угроза, которую можно реализовать и которая опасна для ПДн. Для оценки возможности реализации угрозы применяются два показателя: уровень исходной защищенности ИСПДн и частота (вероятность) реализации рассматриваемой угрозы.

    Во второй момент некоторые характеристики, присущие человеку, что делает его легкой добычей, а также характеристики социального инженера, будут выставлены так, что его можно будет признать. Наконец, будут даны советы о том, как защитить себя от жертвы социальной инженерии.

    Это даст читателю более общую картину рисков, ущерба и последствий социальной инженерии, а также то, что нужно сделать для борьбы с ней и как защитить себя. Ключевые слова: социальная инженерия. В этой статье рассматриваются основные аспекты социальной инженерии такого подхода, а также методы, используемые социальными инженерами для обмана их жертвы и, таким образом, для обеспечения безопасности информации. практика такая распространенная в наши дни. Статья также направлена ​​на то, чтобы пробудить интерес и осознание людей и организаций к этой непосредственной опасности, поскольку это лучший способ защитить информацию.

    Под уровнем исходной защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн, перечисленных в методике. Например, территориальная распределенность ИСПДн, наличие подключения к Интернет, наличие встроенных механизмов регистрации событий, уровень обезличивания ПДн, объем ПДн, передаваемых наружу без обработки и т.д. У каждого из таких параметров есть три степени защищенности - высокий, средний и низкий, оценка которых осуществляется экспертом. Суммирование таких показателей и дает нам совокупный уровень исходной защищенности. Например, ИСПДн имеет высокий уровень исходной защищенности, если не менее 70% характеристик ИСПДн соответствуют уровню "высокий" и т.д.

    Статья не предназначена для решения технических аспектов информационной безопасности, поскольку они относятся к протоколам, кодам и т.д. предполагая, что большинство пользователей этого не понимают, потому что это непростые люди в этом вопросе. Сначала мы рассмотрим концепцию социальной инженерии и информационной безопасности, а также важность информации в настоящее время для людей и особенно для организаций. На втором этапе будут раскрыты некоторые неотъемлемые характеристики человека, которые делают его легкой добычей, а также характеристики социального инженера, поэтому его можно признать.

    С вероятностью все более или менее понятно. Оценка экспертная. Градация по четырехбалльной шкале - маловероятно, низкая вероятность, средняя вероятность и высокая.

    После определения для каждой угрозы вероятности ее реализации и исходного уровня защищенности мы вычисляем коэффициент реализуемости угрозы по приведенной в Методике формуле.

    Наконец, будут даны советы о том, как защитить себя от того, чтобы не стать другой жертвой социальной инженерии. Таким образом, у читателя будет более широкий взгляд на риски, последствия и ущерб, вызванные социальной инженерией, а также на то, что нужно сделать для борьбы с ним и как защитить себя. Сегодня информация является самым ценным достоянием организаций. Поэтому он подвергается воздействию широкого спектра угроз и уязвимостей. Дело в том, что организации сосредоточены только на модернизации своих технопарков, таких как современные технологии, все более сложные продукты, брандмауэры, антивирусные программы, системы обнаружения вторжений, все более мощные устройства аутентификации, токены, смарт-карты, биометрия и т.д. разумеется, вся эта технология важна и фундаментальна для информационной безопасности, но этого недостаточно.

    Затем мы переходим к опасности. Здесь тоже все "просто". Тоже экспертная оценка специалистов по защите информации данной ИСПДн. Правда, что делать, если для данной ИСПДн нет специалистов, которые могли бы оценить опасность угрозы и вероятность ее реализации, Методика не отвечает.

    После определения опасности и реализуемости угроз мы обращаемся к матрице соотнесения угроз к классу актуальных. Согласно Методике почти все угрозы являются актуальными, исключая:
    - с низкой опасностью и низкой и средней возможностью реализации
    - со средней опасностью и низкой возможностью реализации.

    Нет никакого смысла блокировать двери вашего дома, удерживать навесные замки или системы безопасности, которые контролируют или затрудняют вход в двери, а кто-то изнутри всегда открывает дверь плохому парню. Таким образом, все инвестиции снижаются. К сожалению, еще не культура компаний вкладывает средства в обучение и повышение осведомленности своих сотрудников, поскольку они также являются частью информационной безопасности, но компании в конечном итоге оставляют еще один аспект столь же важным, как и технология, которая является человеческим фактором. кстати, является самым слабым звеном в информационной безопасности.

    Судя по описанию ФСТЭК попробовал применить оценку рисков, однако вышло это, на мой взгляд, не очень удачно. Очень сильная зависимость от экспертов, которых может и не быть для всех существующих ИСПДн. Да и появление такого параметра как "исходная защищенность" тоже является не совсем понятным и усложняющим составление итогового перечня приоритетных рисков.

    Чем больше технологий и устройств безопасности развиваются, тем сложнее использовать уязвимости, тем больше захватчиков будет использовать человеческий фактор, потому что, как говорится, «нет патча против человеческой немощи». Существует только один способ борьбы с проблемой человеческого фактора, и это должно быть сделано путем обучения и повышения осведомленности сотрудников. Сотрудники должны быть обучены и образованы в отношении того, какую информацию необходимо защищать и как ее защитить.

    «Социальная инженерия сама по себе является одной из самых сложных задач в контексте уязвимостей, обнаруженных в управлении информационной безопасностью». Недостаточная осведомленность людей о методах социальной инженерии и их избытке уверенности в себе являются основными аспектами успеха социальной инженерии. Компания, которая действительно серьезно относится к проблеме информационной безопасности и считает ее приоритетной в своей корпоративной культуре, продолжает обучать своих сотрудников, как только они допущены, чтобы ни один сотрудник не мог получить доступ к микрокомпьютеру до участия, по крайней мере, в основной класс по информационной безопасности.

    Используя данные о классе ИСПДн (из "приказа трех") и составленного на основе рассмотренной Методики перечня актуальных угроз, на основе «Рекомендаций по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и «Основных мероприятий по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» "формулируются конкретные организационно-технические требования по защите ИСПДн от утечки информации по техническим каналам, от несанкционированного доступа и осуществляется выбор программных и технических средств защиты информации, которые могут быть использованы при создании и дальнейшей эксплуатации ИСПДн ".

    Цель этой статьи - помочь людям понять, как ими манипулировать, и обучать барьерам, которые должны быть построены ими, чтобы не быть жертвами социальной инженерии. Короче говоря, эта статья призвана повысить осведомленность людей о серьезной угрозе со стороны социальной инженерии и помочь им обеспечить, чтобы их компании или даже их собственные дома с меньшей вероятностью использовали такие методы.

    Эта статья имеет в своем объеме нетехническую часть информационной безопасности, которая включает в себя методы, используемые злоумышленниками для кражи информации, компрометация целостности информации, которая считается безопасной, но на самом деле не является или не разрушает самый важный актив компаний это его информация, используя метод социальной инженерии.