Модели угроз безопасности конфиденциальной информации для информационных систем
Основой эффективной защиты конфиденциальной информации является бесперебойное функционирование комплексной подсистемы информационной безопасности, учитывающей все индивидуальные особенности защищаемой системы.
Несмотря на схожесть структур некоторых систем, назовем их типовыми, каждая из них – уникальна. Информационные системы одного типа могут иметь частичное сходство в архитектуре, назначении систем, характеристиках, технических средствах, показателях экономической целесообразности внедрения систем и некоторых других параметрах. При этом решения, реализованные в типовых системах, как правило, имеют отличия. Данная ситуация логична, так как производственные процессы на разных предприятиях одной отрасли не дублируют друг друга, а имеют некоторые типовые признаки и общее сходство. Именно этот факт обуславливает сложность построения подсистемы ИБ, фактически для защиты каждой информационной системы необходима индивидуализированная подсистема информационной безопасности.
Для создания индивидуализированной подсистемы информационной безопасности необходимо детальное проектирование с учетом всех требований к будущим решениям по защите информации. Требования к параметрам подсистемы защиты конфиденциальной информации задаются нормативно-методическими документами регуляторов, в том числе приказами ФСТЭК России, и иными упоминаемыми и ссылочными документами (ГОСТами, Постановлениями Правительства РФ и так далее).
Основой нормативного определения требований к защите конфиденциальной информации служит изначальное отнесение защищаемой системы к соответствующему уровню (классу) защищенности. Каждому классу защищенности соответствует свой базовый уровень требований (функций защиты и организационных мер) к подсистеме информационной безопасности. Базовые уровни описывают полный объем требований к системе ИБ информационной системы определенного класса, индивидуализированная подсистема ИБ оперирует уточненными, дополненными, обоснованно видоизмененными требованиями для максимально эффективной защиты конкретной информационной системы с учетом ее специфики.
Одним из необходимых этапов проектирования подсистемы защиты конфиденциальной информации является разработка модели угроз безопасности информации. Моделирование угроз безопасности информации представляет собой итерационный процесс определения перечня актуальных угроз безопасности (свойственных только рассматриваемой информационной системе) на основе анализа технологий, архитектуры, технических средств, взаимосвязей, вероятных злоумышленников (их возможностей и целей), выявления уязвимостей конкретной информационной системы.
Актуальная модель угроз безопасности информации содержит краткое описание информационной системы и ее структурно-функциональных характеристик, описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей конкретной информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации. Именно она позволяет уточнить требования к подсистеме защиты информации, создать индивидуализированную подсистему информационной безопасности защищаемой информационной системы.
Построение модели угроз проводится на ранних стадиях проектирования защищаемой информационной системы, являясь по своей сути процессом уточнения исходных данных (дополняющих и конкретизирующих базовый уровень требований) для проектирования подсистемы информационной безопасности. Моделирование угроз является неотъемлемой частью процесса модернизации, доработки информационных систем, дополнительно проводится в случаях появления информации о новых потенциальных угрозах и уязвимостях каких-либо компонентов защищаемой информационной системы.
Для каких систем необходима разработка модели угроз безопасности информации:
Основание для проведения моделирования угроз безопасности информации:
Несмотря на схожесть структур некоторых систем, назовем их типовыми, каждая из них – уникальна. Информационные системы одного типа могут иметь частичное сходство в архитектуре, назначении систем, характеристиках, технических средствах, показателях экономической целесообразности внедрения систем и некоторых других параметрах. При этом решения, реализованные в типовых системах, как правило, имеют отличия. Данная ситуация логична, так как производственные процессы на разных предприятиях одной отрасли не дублируют друг друга, а имеют некоторые типовые признаки и общее сходство. Именно этот факт обуславливает сложность построения подсистемы ИБ, фактически для защиты каждой информационной системы необходима индивидуализированная подсистема информационной безопасности.
Для создания индивидуализированной подсистемы информационной безопасности необходимо детальное проектирование с учетом всех требований к будущим решениям по защите информации. Требования к параметрам подсистемы защиты конфиденциальной информации задаются нормативно-методическими документами регуляторов, в том числе приказами ФСТЭК России, и иными упоминаемыми и ссылочными документами (ГОСТами, Постановлениями Правительства РФ и так далее).
Основой нормативного определения требований к защите конфиденциальной информации служит изначальное отнесение защищаемой системы к соответствующему уровню (классу) защищенности. Каждому классу защищенности соответствует свой базовый уровень требований (функций защиты и организационных мер) к подсистеме информационной безопасности. Базовые уровни описывают полный объем требований к системе ИБ информационной системы определенного класса, индивидуализированная подсистема ИБ оперирует уточненными, дополненными, обоснованно видоизмененными требованиями для максимально эффективной защиты конкретной информационной системы с учетом ее специфики.
Одним из необходимых этапов проектирования подсистемы защиты конфиденциальной информации является разработка модели угроз безопасности информации. Моделирование угроз безопасности информации представляет собой итерационный процесс определения перечня актуальных угроз безопасности (свойственных только рассматриваемой информационной системе) на основе анализа технологий, архитектуры, технических средств, взаимосвязей, вероятных злоумышленников (их возможностей и целей), выявления уязвимостей конкретной информационной системы.
Актуальная модель угроз безопасности информации содержит краткое описание информационной системы и ее структурно-функциональных характеристик, описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей конкретной информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации. Именно она позволяет уточнить требования к подсистеме защиты информации, создать индивидуализированную подсистему информационной безопасности защищаемой информационной системы.
Построение модели угроз проводится на ранних стадиях проектирования защищаемой информационной системы, являясь по своей сути процессом уточнения исходных данных (дополняющих и конкретизирующих базовый уровень требований) для проектирования подсистемы информационной безопасности. Моделирование угроз является неотъемлемой частью процесса модернизации, доработки информационных систем, дополнительно проводится в случаях появления информации о новых потенциальных угрозах и уязвимостях каких-либо компонентов защищаемой информационной системы.
Для каких систем необходима разработка модели угроз безопасности информации:
- автоматизированные системы управления технологическими процессами (АСУ ТП);
- системы управления производственными процессами (MES);
- информационные системы персональных данных (ИСПДн);
- государственные информационные системы (ГИС);
- иные автоматизированные системы (АС);
- информационные системы, являющиеся объектами критической информационной инфраструктуры (ОКИИ).
- определение актуальных угроз безопасности конфиденциальной информации для конкретной информационной системы;
- определение дополнительных (уточненных, углубленных) требований к подсистеме информационной безопасности защищаемой информационной системы.
- анализ защищаемой информационной системы;
- определение объектов воздействия угроз;
- определение вероятных негативных последствий;
- определение вероятных источников угроз;
- определение вероятных способов реализации угроз;
- определение вероятных злоумышленников и их возможностей;
- определение вероятного ущерба;
- определение актуальных угроз безопасности информации.
- модель угроз безопасности информации, содержащая перечень актуальных угроз безопасности защищаемой системы.
- «Сумма технологий» имеет лицензию ФСТЭК на техническую защиту конфиденциальной информации;
- «Сумма технологий» обладает ресурсами для моделирования угроз безопасности:
- создано и функционирует подразделение, укомплектованное сотрудниками с профильным образованием и опытом работы в области информационной безопасности;
- имеются необходимые технические условия для проведения работ – САПР, аттестованные по требованиям безопасности автоматизированное рабочее место и защищаемое помещение;
- налажены рабочие контакты с производителями телекоммуникационного оборудования и средств защиты информации;
Основание для проведения моделирования угроз безопасности информации:
- Федеральный закон от 26.07.2017 №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
- Указ Президента Российской Федерации от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».
- Постановление Правительства Российской Федерации от 08.02.2018 №127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».
- Приказ ФСТЭК России от 21.12.2017 №235 «Об утверждении требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования».
- Приказ ФСТЭК России от 25.12.2017 №239 «Об утверждении требований к обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
- Приказ ФСТЭК России от 14.03.2014 №31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».
- Приказ ФСТЭК России от 25.12.2017 №21 «Об утверждении требований к обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
- Приказ ФСТЭК России от 11.02.2013 №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
Будьте в курсе новостей!