О моделировании угроз
Вопрос обеспечения информационной безопасности Государственных Информационных Систем не только не теряет актуальности, но с развитием концепции электронного правительства и увеличением количества электронных услуг, становится более значимым. Так, около месяца назад большой резонанс на Хабрахабре вызвала статья «И так сойдёт… или как данные 14 миллионов россиян оказались у меня в руках».
Используя терминологию проекта документа «Методика определения угроз безопасности информации в ИС», эту ситуацию потенциально можно описать следующим образом:
В данном приказе содержатся требования по защите информации и определены этапы работ по созданию защиты информации. Ниже приведена краткая выписка таких этапов.
Для обеспечения защиты информации, содержащейся в информационной системе, проводятся следующие мероприятия:
В контексте данной статьи нас будет в первую очередь интересовать этап формирования требований к защите.
Формирование требований к защите информации, содержащейся в информационной системе, осуществляется с учетом ГОСТ Р 51583 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения» и ГОСТ Р 51624 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования» и в том числе включает:
Итак, попробуем разобраться с данным документом.
Непосредственно разработка модели угроз должна основываться на следующих документах ФСТЭК:
Подробнее о проекте документа «Методика определения угроз безопасности информации в ИС» можно прочитать на Хабре в статье «Документ, который ждали».
Однако, возвращаясь 17-му приказу мы читаем следующее.
Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).
В качестве исходных данных для определения угроз безопасности информации используется банк данных угроз безопасности информации (bdu.fstec.ru), а также иные источники, содержащие сведения об уязвимостях и угрозах безопасности информации.
А вот здесь возникает заминка, банк данных создан, есть программные продукты автоматизирующие анализ защищенности в соответствии с данным банком, а вот упоминания про этот банк в действующих документах «Базовой модели» и «Методиках определения актуальных угроз» нет.
В общем-то ситуация довольно типичная для наших законодателей и со временем обычно ими исправляется, но когда именно, ясности нет. Поэтому к моделированию подходим творчески, компилируя оба подхода, это не запрещено и дает более соотносящуюся с реальной защищенностью информацию.
Что нужно определить и учесть согласно приказу:
Про содержание документа «Модель угроз безопасности», процитирую 17 приказ, который от нас требует следующее:
«Модель угроз безопасности информации должна содержать описание информационной системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.»
Данный перечень пунктов не претендует на истину в последней инстанции, но как показывали проверки его полноты достаточно, конечно, в зависимости от содержания таких пунктов. Для верного заполнения данных пунктов специалисту по безопасности необходимо достаточно глубоко погрузиться в информацию о системе, понять какие приложения используются, с какой целью и для чего.
Естественно, если функции безопасности возложены не на системного администратора, такому специалисту в большинстве случаев потребуется помощь от знающих данную систему людей. Но наши реалии в большинстве случаев показывают, что заниматься всеми этапами приведения в соответствие с законодательством информационных систем приходится именно системным администраторам. Конечно, в крупных организациях в большинстве своем есть соответствующие штатные единицы, ответственные за безопасность. А если позволяет бюджет, то нанимаются специализированные организации, имеющие лицензии на соответствующий вид деятельности.
Составляем модель нарушителей: на что обратить внимание
Оператору персональных данных для корректной работы в правовом поле необходимо выполнить ряд требований законодательства. Одно из них – составление моделей угроз и нарушителей информационной системы. В этой статье мы рассмотрим модели нарушителей, а в следующей поговорим о модели угроз. ( ВСТАВИТЬ ССЫЛКУ НА ТЕКСТ ПРО МОДЕЛЬ УГРОЗ ).
Правильно построенные модели угроз позволяют построить эффективную систему обеспечения ИБ. Система информационной защиты строится с опорой на них. Модель нарушителя – составная часть модели угроз.
Что такое модель нарушителя?
Модель нарушителя – это перечень вариантов действий одного или нескольких возможных нарушителей ИБ, их квалификации, рабочей техники и пр.
Учреждения разработали свои рекомендации:
Также полезными для оставления модели нарушителей будут эти документы:
Учитывая, что подходы у ведомств различаются, разработчики моделей угроз обычно составляют два документа: под требования обеих служб.
Модель нарушителя по ФСБ
В соответствии с требованиями ведомства по контролю использования средств криптографической защиты и среде их использования, выделяются шесть категорий возможностей, которыми могут обладать нарушители. Согласно им нарушители могут атаковать:
Модель нарушителя по ФСТЭК
Как было сказано выше, ФСТЭК рассматривает различные виды нарушителей, их возможности и потенциал. Потенциал может быть низким, средним и высоким.
Нарушители с высоким потенциалом вносят закладки в программно-техническое обеспечение системы, применяют особые средства проникновения в систему и проводят специальные исследования. Эта категория выделена под иностранные спецслужбы;
Нарушители со средним потенциалом могут проводить анализ кода прикладного ПО, сопоставлять данные, находить уязвимости и использовать их. В эту категорию попадают конкуренты, системные администраторы и разработчики программного обеспечения, криминальные и террористические группы;
Нарушители с низким потенциалом используют для осуществления атак только доступные источники. К ним причисляются рядовые сотрудники организации, пользователи системы и люди, не имеющие отношение к компании.
Отсеять лишнее
После анализа данных необходимо определить, какие нарушители представляют для информационной системы угрозу и как их нейтрализовать. Для этого необходимо хотя бы предварительно классифицировать ИС. ( поставить ссылку на Что на счет защиты: определяем необходимый уровень защищенности персональных данных)
— ИС 1 класса система защиты должна нейтрализовать угрозы нарушителей высокого потенциала;
— ИС 2 класса – угрозы от нарушителей среднего потенциала;
— ИС 3 и 4 классов – угрозы от нарушителей низкого потенциала.
— угрозы 1 типа связаны с наличием недекларированных возможностей в системно ПО;
— угрозы 2 типа связаны с наличием недекларированных возможностей в прикладном ПО;
— угрозы 3 типа не связаны с наличием недекларированных возможностей в ПО.
После определения ИС нужно составить описание нарушителей, подходящих под модель, исключив нарушителей с более высоким потенциалом.
Объединение нарушителей
— Нарушители с низким потенциалом по классификации ФСТЭК – это нарушители 1, 2, 3 типов по ФСБ;
— Нарушители со средним потенциалом у ФСТЭК – это нарушители 4,5 типов по классификации ФСБ;
Модель угроз разрабатывается для чего
УТВЕРЖДЕНА
Заместителем директора
ФСТЭК России
15 февраля 2008 года
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных
Примечание: при рассмотрении угроз утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИН) необходимо применять полную версию данного документа.
Обозначения и сокращения
1. Термины и определения
В настоящем документе используются следующие термины и их определения:
2. Общие положения
Модель угроз содержит единые исходные данные по угрозам безопасности персональных данных, обрабатываемых в информационных системах персональных данных (ИСПДн), связанным:
с перехватом (съемом) ПДн по техническим каналам с целью их копирования или неправомерного распространения;
с несанкционированным, в том числе случайным, доступом в ИСПДн с целью изменения, копирования, неправомерного распространения ПДн или деструктивных воздействий на элементы ИСПДн и обрабатываемых в них ПДн с использованием программных и программно-аппаратных средств с целью уничтожения или блокирования ПДн.
разработка частных моделей угроз безопасности ПДн в конкретных ИСПДн с учетом их назначения, условий и особенностей функционирования;
анализ защищенности ИСПДн от угроз безопасности ПДн в ходе организации и выполнения работ по обеспечению безопасности ПДн;
разработка системы защиты ПДн, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты ПДн, предусмотренных для соответствующего класса ИСПДн;
проведение мероприятий, направленных на предотвращение несанкционированного доступа к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;
недопущение воздействия на технические средства ИСПДн, в результате которого может быть нарушено их функционирование;
Модель угроз безопасности персональных данных
Защита данных
с помощью DLP-системы
Л юбой человек хотел бы рассчитывать на то, что доверенные им госорганам или провайдерам личные сведения окажутся в полной сохранности. Одной из важных составляющих защиты личности становится безопасность персональных данных. Неправомерный доступ к ним третьих лиц может повлечь за собой реальную опасность, которая может носить характер диффамации, умаления деловой репутации, хищения имущества, даже физического покушения. ФСТЭК России смог оценить степень и виды угроз персональным данным при их обработке в информационных системах персональных данных (ИСПД) и разработать рекомендации по их защите, а Роскомнадзор отвечает за то, чтобы все операторы данных, от социальных сетей до ГИБДД, отвечали за надежность их защиты.
Сохранность личной информации
Персональные данные – это любая информация, непосредственно связанная с человеком, гражданином, и доверяемая им третьим лицам. Их сохранность от любых угроз безопасности персональных данных должна гарантироваться всеми субъектами правоотношений, которые получают к ним доступ благодаря осуществлению ими государственных функций или предпринимательской деятельности. Основные нормы, регулирующие оборот таких сведений, указаны в законе «О персональных данных». Среди лиц, попадающих под его действие:
В распоряжении каждого из этих субъектов оказывается огромный массив важных сведений, содержащихся в информационных системах персональных данных, которые при их попадании в руки недобросовестных третьих лиц могут стать инструментом для нанесения ущерба их владельцам. Например, при хищении базы ГИБДД можно получить опасные знания о владельцах транспортных средств, их местах жительства, зарегистрированных автомобилях, датах сделок. Обладание этими данными будет крайне интересным представителям преступного мира для планирования хищений.
Если любой из операторов предполагает какие-то действия, связанные с возможностью использования этих сведений, он должен получить письменное и осознанное согласие на их обработку. Это не помогает избегать большинства угроз, но частично снимает с оператора ответственность за попадание информации к третьим лицам и ее использование различными, иногда и причиняющими ущерб, способами. Так, банк, передавая данные клиента-неплательщика коллекторским агентствам, при предварительном получении согласия на обработку персональных данных, устраняет риск его преследования за разглашение банковской тайны.
Нормативная документация
Любые персональные данные должны обрабатываться на условиях обеспечения информационной безопасности и исключения утечек. Сейчас в этой сфере работает Постановление Правительства РФ от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Оно широко применяется на разных уровнях.
В рамках постановления госоргану поручается разработка и утверждение документов, которыми регламентируется обеспечение защиты этой сферы правоотношений. Помимо ФСТЭК РФ нормативную документацию, имеющую регламентирующее значение, утверждает Роскомнадзор РФ. Так, им принят приказ от 05.09.2013 г. № 996 о порядке обезличивания информации при ее обработке. В свою очередь, служба по техническому контролю разработала нормативную документацию, позволяющую определить степень угроз, которым подвергаются защищаемые массивы информации. Основным документом, опосредующим отношения в этой сфере, стал документ, названный «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах». Он был утвержден в 2008 году.
Основные параметры модели угроз
Деятельность всех лиц, имеющих доступ к охраняемым законом массивам личной информации, должна опираться на нормы, введенные «Моделью». Модель видит четыре вида субъектов, которые могут нанести ущерб охраняемым законом интересам:
Их шаги, посягающие на сохранность и целостность защищенных массивов сведений, могут принести ущерб интересам личности, общества, государства.
Государственное учреждение разработало модель действий этих типов субъектов. Посягательства, по версии документа, могут совершаться следующими путями:
ФСТЭК, разрабатывая свою модель угроз, была уверена в том, что с ее помощью каждый конкретный оператор сможет разработать собственные методики защиты от угроз персональным данным при их обработке в информационных системах персональных данных. Для этого требуется грамотно использовать материальные средства хранения и передачи, среди которых ведомство называет:
Ответственность за работоспособность и защищенность оборудования и сетей несут их владельцы.
Задачи, решаемые «Моделью угроз»
Любой субъект рынка, попавший в реестр, должен не только в любой момент быть готовым пройти проверку Роскомнадзора, но и решать задачи, не предусмотренные действующей на текущий момент нормативной документацией, становящиеся новыми вызовами. К таким задачам относятся:
Модель предлагает изучить основные уязвимые точки систем защиты, актуальные виды угроз, доступные способы обеспечения информационной безопасности. Федеральная служба проводит постоянный мониторинг вновь появляющихся видов угроз, внося изменения в свои рекомендации.
Классификация угроз
Невозможно бороться с любыми угрозами, если не понимать их происхождения, степени серьезности, иных параметров. Решению этой задачи поможет предложенная ФСТЭК классификация угроз. Ведомство в модели предлагает следующее определение угрозы: это совокупность внешних и внутренних факторов или условий, которые позволяют злоумышленникам намеренно или ненамеренно получить доступ к охраняемой информации, благодаря чему становится возможным ее несанкционированное:
Риски могут носить как личностный, связанный с умыслом третьих лиц, так и обезличенный, техногенный, характер, связанный с ошибками или неосторожностью обслуживающего персонала. Совокупность факторов и условий для каждой отдельной системы будет иметь индивидуальный характер, который складывается из характеристик конкретной ИСПД, среды и путей распространения информационных сигналов, технических и иных возможностей, имеющихся у источников потенциальных угроз.
Характеристики ИСПД, которые влияют на появление новых угроз и рисков:
При этом свойства среды распространения сигналов учитываются с различных точек зрения, часто получить доступ к охраняемым сведениям можно, используя линии подключения к электрическим сетям, путем съема информации об изменении электромагнитного излучения.
Полностью до сих пор не исключена возможность подслушивания и сохранения звуковой информации при помощи устройств звукозаписи.
При анализе источников угроз необходимо изучить такие их типы, как возможности, возникающие в связи с использованием служебного положения, технические, программные, физические. Любая угроза получает свою реализацию на практике в тот момент, когда между субъектом, намеренным совершить противоправное действие, и охраняемым объектом возникает канал доступа, что приводит к возможности возникновения несанкционированного, осознанного или случайного доступа к объекту.
Анализируя угрозы, возникающие при обработке персональных данных, опираясь на многогранность возможностей получения доступа к информации, модель выделяет следующие их классы:
| ВНУТРЕННИЕ, ИНСАЙДЕРСКИЕ | Риски похищения или изменения сведений возникают при реализации возможностей внутреннего пользователя, доступ к информационным системам он получает вследствие своего служебного положения, работы в компании или госструктуре. |
| ВНЕШНИЕ | Субъект угроз получает возможность несанкционированного доступа к объекту защиты, используя возможности сетей общего пользования. |
| ТЕХНИЧЕСКИЕ | Возникают при использовании возможностей аппаратных закладок и программ, предназначенных для хищения электронных сведений. |
Все эти типы угроз требуют серьезного анализа личностей сотрудников, имеющих доступ к базам, и повышенного внимания к технической защищенности средств хранения и обработки данных с использованием специализированных программных средств, DLP-систем и SIEM-систем.
Также в модели дается классификация, основанная на различных типах используемого оборудования:
Также в модели угроз безопасности предлагается классификация, связанная с различными типами технических средств, благодаря которым осуществляется доступ к охраняемым массивам информации:
По типам уязвимости средств защиты и технических средств, установленных у конкретного оператора, модель угроз выделяет следующие:
Для выявления этих точек уязвимости необходимо проведение регулярного аудита безопасности и систем защиты информации. Помимо анализа возможностей доступа предполагаемых нарушителей режима конфиденциальности к средствам компьютерной обработки сведений, необходимо иметь в виду, что практически любое офисное техническое средство может стать потенциальным источником угрозы. Модель безопасности классифицирует их так:
Технические каналы утечки
Практика показывает, что большая часть охраняемой информации утекает по техническим каналам передачи данных. Сигнал распространяется в определенной физической среде, он может быть акустическим или электромагнитным, его перехват осуществляется при помощи закладных устройств и другими путями. Устройства могут перехватывать данные электромагнитного излучения, акустическую и визуальную информацию. Защита от этого способа перехвата осуществляется путем ограничения доступа на охраняемый объект.
Несанкционированный доступ
Редкая организация может полностью защитить персональные данные от действий собственных сотрудников. Для причинения ущерба данным могут использоваться:
Для борьбы с ними необходимы установка защитного ПО, регулярный мониторинг функционирования рабочих станций. Кроме того, Роскомнадзор проводит проверки соответствия готовности технических систем операторов и выдает предписания, позволяющие увеличить степень защищенности. Не всегда для этого требуются серьезные финансовые средства. Стандартные меры безопасности и соблюдение инструкций помогают обеспечить до 90 % сохранности данных.
Любая из перечисленных угроз может нести за собой различные по уровню негативные последствия – от незначительных до чрезвычайных. В обязанности оператора персональных данных входит обеспечение таких условий их обработки, при которых причинение ущерба интересам конкретных лиц или всего общества было бы невозможным.
Модель угроз разрабатывается для чего
2. Порядок оценки угроз безопасности информации
2.2. Основными задачами, решаемыми в ходе оценки угроз безопасности информации, являются:
а) определение негативных последствий, которые могут наступить от реализации (возникновения) угроз безопасности информации;
б) инвентаризация систем и сетей и определение возможных объектов воздействия угроз безопасности информации;
в) определение источников угроз безопасности информации и оценка возможностей нарушителей по реализации угроз безопасности информации;
г) оценка способов реализации (возникновения) угроз безопасности информации;
д) оценка возможности реализации (возникновения) угроз безопасности информации и определение актуальности угроз безопасности информации;
е) оценка сценариев реализации угроз безопасности информации в системах и сетях.
2.3. Исходными данными для оценки угроз безопасности информации являются:
а) общий перечень угроз безопасности информации, содержащийся в банке данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru), модели угроз безопасности информации, разрабатываемые ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, а также отраслевые (ведомственные, корпоративные) модели угроз безопасности информации;
б) описания векторов (шаблоны) компьютерных атак, содержащиеся в базах данных и иных источниках, опубликованных в сети «Интернет» (CAPEC, ATT&CK, OWASP, STIX, WASC и др.);
в) документация на системы и сети (а именно: техническое задание на создание систем и сетей, частное техническое задание на создание системы защиты, программная (конструкторская) и эксплуатационная (руководства, инструкции) документация, содержащая сведения о назначении и функциях, составе и архитектуре систем и сетей, о группах пользователей и уровне их полномочий и типах доступа, о внешних и внутренних интерфейсах, а также иные документы на системы и сети, разработка которых предусмотрена требованиями по защите информации (обеспечению безопасности) или национальными стандартами);
г) договоры, соглашения или иные документы, содержащие условия использования информационно-телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры поставщика услуг (в случае функционирования систем и сетей на базе информационно-телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры);
д) нормативные правовые акты Российской Федерации, в соответствии с которыми создаются и функционируют системы и сети, содержащие в том числе описание назначения, задач (функций) систем и сетей, состав обрабатываемой информации и ее правовой режим;
ж) результаты оценки рисков (ущерба), проведенной обладателем информации и (или) оператором.
Указанные исходные данные могут уточняться или дополняться с учетом особенностей области деятельности, в которой функционируют системы и сети.
2.4. Оценка угроз безопасности информации должна носить систематический характер и осуществляться как на этапе создания систем и сетей, так и в ходе их эксплуатации, в том числе при развитии (модернизации) систем и сетей. Систематический подход к оценке угроз безопасности информации позволит поддерживать адекватную и эффективную систему защиты в условиях изменения угроз безопасности информации и информационных ресурсов и компонентов систем и сетей. Учет изменений угроз безопасности информации обеспечит своевременную выработку адекватных и эффективных мер по защите информации (обеспечению безопасности) в системах и сетях.
2.5. На этапе создания систем и сетей оценка угроз безопасности информации проводится на основе их предполагаемых архитектуры и условий функционирования, определенных по результатам изучения и анализа исходных данных на них. В ходе эксплуатации систем и сетей, в том числе при развитии (модернизации) систем и сетей, оценка угроз безопасности информации проводится для реальной архитектуры систем и сетей и условий их функционирования, полученных по результатам анализа исходных данных, инвентаризации информационных ресурсов, анализа уязвимостей и (или) тестирования на проникновение систем и сетей, а также иных методов исследований уровня защищенности систем и сетей и содержащейся в них информации.
2.6. По результатам оценки, проведенной в соответствии с настоящей Методикой, должны быть выявлены актуальные угрозы безопасности информации, реализация (возникновение) которых может привести к нарушению безопасности обрабатываемой в системах и сетях информации (нарушению конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации и (или) средств ее обработки) и (или) к нарушению, прекращению функционирования систем и сетей.
На этапе создания систем и сетей результаты оценки угроз безопасности информации должны быть направлены на обоснование выбора организационных и технических мер по защите информации (обеспечению безопасности), а также на выбор средств защиты информации и их функциональных возможностей.
На этапе эксплуатации систем и сетей результаты оценки угроз безопасности информации должны быть направлены на оценку эффективности принятых технических мер, в том числе используемых средств защиты информации.
2.7. Оценка угроз безопасности информации проводится подразделением по защите информации (отдельными специалистами, назначенными ответственными за обеспечение защиты информации (обеспечение безопасности)) обладателя информации или оператора с участием подразделений или специалистов, ответственных за эксплуатацию систем и сетей (ИТ-специалистов, специалистов автоматизированных систем управления, специалистов связи и др.), основных (профильных) подразделений обладателя информации или оператора. Для оценки угроз безопасности информации по решению обладателя информации или оператора в соответствии с законодательством Российской Федерации могут привлекаться специалисты сторонних организаций.
Для оценки угроз безопасности информации рекомендуется привлекать специалистов, обладающих следующими знаниями и умениями:
б) угроз безопасности информации и способов их реализации (возникновения);
в) тактик и техник проведения компьютерных атак (реализации угроз безопасности информации);
г) основных типов компьютерных инцидентов и причин их возникновения;
д) основных уязвимостей систем и сетей;
е) нормативных правовых актов по созданию и функционированию систем и сетей, защите информации (обеспечению безопасности) в них, основных (критических) процессов (бизнес-процессов) обладателя информации и (или) оператора;
ж) оценивать информационные риски;
з) классифицировать и оценивать угрозы безопасности информации;
и) определять сценарии (тактики, техники) реализации угроз безопасности информации;
к) определять источники и причины возникновения компьютерных инцидентов;
л) проводить инвентаризацию систем и сетей, анализ уязвимостей, тестирование на проникновение систем и сетей с использованием соответствующих автоматизированных средств;
м) оценку уровня защищенности (аудит) систем и сетей и содержащейся в них информации.
2.8. Оценка угроз безопасности информации проводится с использованием экспертного метода. В интересах снижения субъективных факторов при оценке угроз безопасности информации рекомендуется создавать экспертную группу. Рекомендации по формированию экспертной группы и проведению экспертной оценки угроз безопасности информации приведены в приложении 2 к настоящей Методике.
2.9. При оценке угроз безопасности информации могут использоваться программные средства, позволяющие автоматизировать данную деятельность.
Для получения (уточнения) отдельных исходных данных (например, объектов воздействия и их интерфейсов, уязвимостей) в интересах оценки угроз безопасности информации на этапе эксплуатации систем и сетей применяются автоматизированные средства инвентаризации систем и сетей, анализа уязвимостей, тестирования на проникновение систем и сетей, а также иные средства, используемые для исследований уровня защищенности систем и сетей и содержащейся в них информации.
2.10. В случае оценки угроз безопасности информации для систем и сетей, функционирующих на базе информационно-телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры, угрозы безопасности информации определяются как для самих систем и сетей, так и для информационно-телекоммуникационной инфраструктуры, на которой они функционируют (рисунок 1).
Рисунок 1. Оценка угроз безопасности информации
в информационной инфраструктуре на базе центра
2.11. При размещении систем и сетей на базе информационно-телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры, принадлежащей поставщику услуг, оценка угроз безопасности информации проводится оператором во взаимодействии с поставщиком услуг.
В случае размещения систем и сетей на базе информационно-телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры, для которой поставщик услуг не оценил угрозы безопасности информации или не представил результаты такой оценки, оператор при оценке угроз безопасности информации исходит из предположения, что информационно-телекоммуникационная инфраструктура центра обработки данных или облачная инфраструктура, являющаяся средой функционирования для его систем и сетей, подвержена угрозам безопасности информации (скомпрометирована нарушителем с максимальным уровнем возможностей).
2.12. Результаты оценки угроз безопасности информации отражаются в модели угроз, которая представляет собой описание систем и сетей и актуальных угроз безопасности информации. Рекомендуемая структура модели угроз безопасности информации приведена в приложении 3 к настоящей Методике.
2.13. По решению обладателя информации или оператора модель угроз безопасности информации разрабатывается как для отдельной системы или сети, так и для совокупности взаимодействующих систем и сетей оператора. При разработке модели угроз безопасности информации для отдельной системы и сети, она должна содержать описание угроз безопасности информации, актуальных для информационно-телекоммуникационной инфраструктуры, на базе которой эта система или сеть функционирует, а также угроз безопасности информации, связанных с интерфейсами взаимодействия со смежными (взаимодействующими) системами и сетями.
Допускается разработка одной модели угроз безопасности информации для нескольких однотипных создаваемых систем и сетей обладателя информации или оператора.
2.14. Модель угроз безопасности информации должна поддерживаться в актуальном состоянии в процессе функционирования систем и сетей.
Ведение модели угроз безопасности информации и поддержание ее в актуальном состоянии может осуществляться в электронном виде с учетом приложения 3 к настоящей Методике.
Изменение модели угроз безопасности информации осуществляется в случаях:
а) изменения требований нормативных правовых актов Российской Федерации, методических документов ФСТЭК России, регламентирующих вопросы оценки угроз безопасности информации;
б) изменений архитектуры и условий функционирования систем и сетей, режима обработки информации, правового режима информации, влияющих на угрозы безопасности информации;
в) выявления, в том числе по результатам контроля уровня защищенности систем и сетей и содержащейся в них информации (анализа уязвимостей, тестирований на проникновение, аудита), новых угроз безопасности информации или новых сценариев реализации существующих угроз;
г) включения в банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru) сведений о новых угрозах безопасности информации, сценариях (тактиках, техниках) их реализации.
2.15. Оценка угроз безопасности информации включает следующие этапы:
1) определение негативных последствий, которые могут наступить от реализации (возникновения) угроз безопасности информации;
2) определение возможных объектов воздействия угроз безопасности информации;
3) оценку возможности реализации (возникновения) угроз безопасности информации и определение их актуальности.
Общая схема проведения оценки угроз безопасности информации приведена на рисунке 2.
Рисунок 2. Общая схема проведения оценки угроз