SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Модель угроз ФСТЭК

Модель угроз ФСТЭК
19.02.2024

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  



Руслан Рахметов, Security Vision

 

При формировании системы управления информационной безопасностью (СУИБ) важно верно расставить приоритеты, распланировать затраты и усилия, обеспечить адекватную защиту ресурсов в зависимости от ценности актива, стоимости средств защиты и затрат злоумышленников на проведение кибератаки. Для решения указанных задач используются методы риск-менеджмента, которые позволяют приоритизировать различные киберугрозы, оценить тяжесть последствий и соответствующим образом распределить ресурсы для защиты. Однако перечень киберугроз формируется отдельно - для решения задачи формирования перечня актуальных угроз ИБ российский регулятор ФСТЭК России выпустил методический документ «Методика оценки угроз безопасности информации» (утвержден 05.02.2021 г.). Положения данной методики содержат описание последовательных шагов, которые следует выполнить для формирования перечня актуальных киберугроз в конкретной организации. Следует также отметить, что до выхода в свет данного методического документа компании могли руководствоваться документом «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», который был утвержден ФСТЭК России еще в 2008 году, но последовательность действий и логика формирования модели угроз в нём существенно отличалась от изложенного в актуальном документе.


Итак, оценка угроз безопасности информации проводится для определения перечня актуальных киберугроз, который является результатом работы, проводимой в организации на регулярной основе при создании и модернизации информационных систем. Данная работа выполняется группой экспертов - специалистов по защите информации, с участием работников профильных подразделений компании и с возможностью привлечения сторонних компаний-подрядчиков. Формирование модели актуальных угроз включает в себя следующие основные шаги:


1. Сбор информации и документации на применяемые в компании информационные системы и сети, описание бизнес-процессов и их зависимостей от информационных систем и сетей, получение контактов ответственных работников, формирование экспертной рабочей группы.


2. Анализ результатов проведенной ранее оценки киберрисков, изучение информации об актуальных способах, методах, тактиках, техниках и процедурах кибератак (на основе открытых источников, включая данные проектов MITRE ATT&CK, MITRE CAPEC, OWASP и т.д.), а также формирование общего перечня киберугроз на основе информации из банка данных угроз (БДУ) ФСТЭК России, который доступен по этому адресу и постоянно обновляется и дополняется.


3. При формировании перечня актуальных для компании негативных последствий от реализации угроз безопасности информации за основу можно брать перечень негативных последствий из БДУ или из Приложения №4 к рассматриваемой Методике. В документе подчеркивается, что по результатам анализа исходных данных о процессах и инфраструктуре организации формируется перечень возможных событий (последствий), при наступлении которых могут наступить негативные последствия для граждан (нарушение их законных прав), для государства (ущерб обороноспособности и правопорядку, негативное воздействие на социальную и политическую сферу, ущерб экономической, экологической или продовольственной безопасности) или для компании - обладателя информации (финансовый, производственный, репутационный ущерб). В документе приведены такие возможные негативные последствия, как угроза жизни и здоровью, нарушение неприкосновенности частной жизни, разглашение персональных данных граждан, нарушение компанией действующего законодательства РФ, хищение денежных средств у компании, недополучение прибыли, срыв сделок, незапланированные затраты на выплату штрафов или на восстановление деятельности, потеря клиентов, ущерб деловой репутации, принятие неправильных управленческих решений руководителями компании, прекращение или нарушение функционирования государственного органа, нарушение работы сетей связи или транспортной инфраструктуры, негативное воздействие на окружающую среду.


4. Формирование перечня вероятных объектов воздействия киберугроз, включающее в себя анализ собранной информации на системы и сети, сетевых схем, диаграмм взаимодействия информационных систем и процессов. Важно выявить объекты потенциального негативного воздействия на прикладном, системном, сетевом, аппаратном уровнях, а также на уровне пользователей. В рамках формирования перечня объектов воздействия авторы рассматриваемой Методики рекомендуют использовать средства автоматизации для проведения инвентаризации информационных систем и сетей, определения их компонентов и интерфейсов (внешних и внутренних). Также в документе подчеркивается, что при эксплуатации систем, предоставляемых по моделям IaaS («инфраструктура как сервис»), PaaS («платформа как сервис»), SaaS («ПО как сервис») важно разделять зоны ответственности и границы оценки угроз между организацией-эксплуатантом и провайдером подобных сервисов (например, центров обработки данных или облачных инфраструктур). Типовой перечень объектов воздействия приведен в БДУ, там же перечислены типовые компоненты этих объектов воздействия.


5. Проведение оценки возможности реализации киберугроз и формирование итогового перечня актуальных угроз ИБ выполняется в три этапа:


5.1. Определение источников киберугроз и формирование перечня актуальных нарушителей производится на основе анализа собранных ранее исходных данных, данных из БДУ и отраслевых моделей угроз, а также с учетом ранее сформированного перечня негативных последствий и объектов воздействия. В рассматриваемой Методике приведен перечень основных видов нарушителей, возможности и мотивацию которых следует оценить на данном этапе: спецслужбы недружественных государств, организованные киберкриминальные группы, хакеры-одиночки, конкуренты, разработчики ПО и поставщики услуг, подрядчики и аутсорсеры, администраторы, пользователи, уволенные сотрудники и т.д., некоторые из которых к тому же могут входить в сговор друг с другом.


Актуальными для конкретной организации признаются те нарушители, чьи цели реализации кибератак могут привести к актуальным для компании негативным последствиям и ущербу. При этом атакующие подразделяются по уровням возможностей (оснащенностью ресурсами), компетенций, мотивации на нарушителей, обладающих базовыми, базовыми повышенными, средними или высокими возможностями, а также по уровню доступа и полномочиям в информационных системах (внешние и внутренние нарушители). Описание типов и возможностей нарушителей приведено в БДУ. Кроме указанных антропогенных источников угроз безопасности информации, авторы методики говорят о возможности дополнительного рассмотрения техногенных источников угроз (физические явления, материальные объекты).


5.2. Далее проводится оценка способов реализации киберугроз, которые могут использоваться актуальными нарушителями для атаки на вероятные объекты воздействия, перечень которых был сформирован на предыдущих этапах. При этом способы реализации угрозы ИБ считаются актуальными в случае наличия у актуальных нарушителей соответствующего уровня возможностей, а также при наличии условий реализации таких возможностей - при этом следует учитывать, что одну и ту же угрозу можно реализовать различными способами. Кроме наличия у атакующих необходимого уровня возможностей, для успешной реализации киберугрозы у них должен быть доступ к интерфейсам объекта воздействия, через которые и будет проводится атака - сетевые интерфейсы, интерфейсы для работы периферийного оборудования, интерфейсы логического и физического доступа к компонентам систем и сетей. Типовой перечень способов реализации угроз приведен в БДУ. В результате работ на данном этапе должен быть сформирован перечень актуальных способов реализации угроз ИБ с указанием вероятных типов интерфейсов объектов воздействия, через которые атака может быть осуществлена, а также перечень видов и категорий злоумышленников, имеющих возможности использования данных способов.


5.3. Формирование перечня актуальных угроз производится на заключительном этапе в результате оценки возможных киберугроз. Типовой перечень угроз безопасности информации приведен в БДУ, но кроме него организациям следует руководствоваться результатами работ, выполненных на предыдущих этапах - перечнями актуальных негативных последствий, объектов и видов воздействия, актуальных нарушителей и способов реализации угроз. Киберугроза считается возможной в случае, если существует источник угрозы (нарушитель), объект воздействия, способ реализации угрозы, а также негативные последствия от реализации угрозы. Однако не всё множество теоретически возможных киберугроз будет актуальным - для признания угрозы ИБ актуальной должен существовать хотя бы один сценарий реализации угрозы. Сценарий реализации угрозы ИБ - это последовательность возможных тактик и техник, доступных для применения актуальными нарушителями. В приложении №11 к рассматриваемой Методике приведен типовой перечень тактик и техник атакующих, однако для формирования наиболее современного и полного перечня сценариев атак можно использовать данные регулярно обновляемой матрицы MITRE ATT&CK. После формирования перечня актуальных киберугроз для обоснования выбора средств защиты можно обратиться к разделу БДУ, в котором перечислены основные меры защиты информации с указанием парируемых ими угроз и способов их реализации.


В заключение отметим, что на сайте БДУ ФСТЭК России в настоящее время проводится опытная эксплуатация модернизированного раздела угроз, в котором представлен инструмент для автоматизации процесса формирования перечня возможных угроз безопасности информации - правда, в достаточно типовом варианте, который должен быть расширен и адаптирован организациями с учетом особенностей их инфраструктуры и бизнес-процессов.

ФСТЭК Угрозы ИБ MITRE Подкасты ИБ

Рекомендуем

Положение Банка России № 716-П и управление операционными рисками
Положение Банка России № 716-П и управление операционными рисками
TIP и TI (Threat Intelligence или Киберразведка), что это такое
TIP и TI (Threat Intelligence или Киберразведка), что это такое
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9  «Общайтесь, взаимодействуйте, делитесь информацией»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9 «Общайтесь, взаимодействуйте, делитесь информацией»
Ландшафт угроз информационной безопасности последних лет. Часть 1
Ландшафт угроз информационной безопасности последних лет. Часть 1
Динамический анализ исходного кода
Динамический анализ исходного кода
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №8 «Используйте инструменты автоматизации для обеспечения работы аналитиков SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №8 «Используйте инструменты автоматизации для обеспечения работы аналитиков SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №5 «Приоритизируйте реагирование на киберинциденты»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №5 «Приоритизируйте реагирование на киберинциденты»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»
Практическая защита персональных данных
Практическая защита персональных данных
«Фишки» Security Vision: объекты и процессы
«Фишки» Security Vision: объекты и процессы
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №4 «Нанимайте и удерживайте квалифицированных сотрудников»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №4 «Нанимайте и удерживайте квалифицированных сотрудников»
Что такое фактор аутентификации, зачем нужен второй и сколько их всего
Что такое фактор аутентификации, зачем нужен второй и сколько их всего

Рекомендуем

Положение Банка России № 716-П и управление операционными рисками
Положение Банка России № 716-П и управление операционными рисками
TIP и TI (Threat Intelligence или Киберразведка), что это такое
TIP и TI (Threat Intelligence или Киберразведка), что это такое
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9 «Общайтесь, взаимодействуйте, делитесь информацией»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9  «Общайтесь, взаимодействуйте, делитесь информацией»
Ландшафт угроз информационной безопасности последних лет. Часть 1
Ландшафт угроз информационной безопасности последних лет. Часть 1
Динамический анализ исходного кода
Динамический анализ исходного кода
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №8 «Используйте инструменты автоматизации для обеспечения работы аналитиков SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №8 «Используйте инструменты автоматизации для обеспечения работы аналитиков SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №5 «Приоритизируйте реагирование на киберинциденты»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №5 «Приоритизируйте реагирование на киберинциденты»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»
Практическая защита персональных данных
Практическая защита персональных данных
«Фишки» Security Vision: объекты и процессы
«Фишки» Security Vision: объекты и процессы
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №4 «Нанимайте и удерживайте квалифицированных сотрудников»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №4 «Нанимайте и удерживайте квалифицированных сотрудников»
Что такое фактор аутентификации, зачем нужен второй и сколько их всего
Что такое фактор аутентификации, зачем нужен второй и сколько их всего

Похожие статьи

Нормативные документы по ИБ. Часть 11. Защита коммерческой тайны
Нормативные документы по ИБ. Часть 11. Защита коммерческой тайны
Нормативные документы по ИБ. Часть 12. Обзор российского законодательства в области информационной безопасности финансовых организаций
Нормативные документы по ИБ. Часть 12. Обзор российского законодательства в области информационной безопасности финансовых организаций
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
ChatGPT в ИБ - на темной и светлой стороне
ChatGPT в ИБ - на темной и светлой стороне
Кибергигиена: 15 полезных привычек жизни с информацией
Кибергигиена: 15 полезных привычек жизни с информацией
Модуль «Управление активами и инвентаризация» на платформе Security Vision: еще больше возможностей
Модуль «Управление активами и инвентаризация» на платформе Security Vision: еще больше возможностей
Биометрические персональные данные, изменения в регулировании их обработки и влияние на рынок
Биометрические персональные данные, изменения в регулировании их обработки и влияние на рынок
Пентесты
Пентесты
Нормативные документы по ИБ. Часть 1. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Нормативные документы по ИБ. Часть 1. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018

Похожие статьи

Нормативные документы по ИБ. Часть 11. Защита коммерческой тайны
Нормативные документы по ИБ. Часть 11. Защита коммерческой тайны
Нормативные документы по ИБ. Часть 12. Обзор российского законодательства в области информационной безопасности финансовых организаций
Нормативные документы по ИБ. Часть 12. Обзор российского законодательства в области информационной безопасности финансовых организаций
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
ChatGPT в ИБ - на темной и светлой стороне
ChatGPT в ИБ - на темной и светлой стороне
Кибергигиена: 15 полезных привычек жизни с информацией
Кибергигиена: 15 полезных привычек жизни с информацией
Модуль «Управление активами и инвентаризация» на платформе Security Vision: еще больше возможностей
Модуль «Управление активами и инвентаризация» на платформе Security Vision: еще больше возможностей
Биометрические персональные данные, изменения в регулировании их обработки и влияние на рынок
Биометрические персональные данные, изменения в регулировании их обработки и влияние на рынок
Пентесты
Пентесты
Нормативные документы по ИБ. Часть 1. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Нормативные документы по ИБ. Часть 1. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018