SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Модель угроз ФСТЭК

Модель угроз ФСТЭК
19.02.2024

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  



Руслан Рахметов, Security Vision

 

При формировании системы управления информационной безопасностью (СУИБ) важно верно расставить приоритеты, распланировать затраты и усилия, обеспечить адекватную защиту ресурсов в зависимости от ценности актива, стоимости средств защиты и затрат злоумышленников на проведение кибератаки. Для решения указанных задач используются методы риск-менеджмента, которые позволяют приоритизировать различные киберугрозы, оценить тяжесть последствий и соответствующим образом распределить ресурсы для защиты. Однако перечень киберугроз формируется отдельно - для решения задачи формирования перечня актуальных угроз ИБ российский регулятор ФСТЭК России выпустил методический документ «Методика оценки угроз безопасности информации» (утвержден 05.02.2021 г.). Положения данной методики содержат описание последовательных шагов, которые следует выполнить для формирования перечня актуальных киберугроз в конкретной организации. Следует также отметить, что до выхода в свет данного методического документа компании могли руководствоваться документом «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», который был утвержден ФСТЭК России еще в 2008 году, но последовательность действий и логика формирования модели угроз в нём существенно отличалась от изложенного в актуальном документе.


Итак, оценка угроз безопасности информации проводится для определения перечня актуальных киберугроз, который является результатом работы, проводимой в организации на регулярной основе при создании и модернизации информационных систем. Данная работа выполняется группой экспертов - специалистов по защите информации, с участием работников профильных подразделений компании и с возможностью привлечения сторонних компаний-подрядчиков. Формирование модели актуальных угроз включает в себя следующие основные шаги:


1. Сбор информации и документации на применяемые в компании информационные системы и сети, описание бизнес-процессов и их зависимостей от информационных систем и сетей, получение контактов ответственных работников, формирование экспертной рабочей группы.


2. Анализ результатов проведенной ранее оценки киберрисков, изучение информации об актуальных способах, методах, тактиках, техниках и процедурах кибератак (на основе открытых источников, включая данные проектов MITRE ATT&CK, MITRE CAPEC, OWASP и т.д.), а также формирование общего перечня киберугроз на основе информации из банка данных угроз (БДУ) ФСТЭК России, который доступен по этому адресу и постоянно обновляется и дополняется.


3. При формировании перечня актуальных для компании негативных последствий от реализации угроз безопасности информации за основу можно брать перечень негативных последствий из БДУ или из Приложения №4 к рассматриваемой Методике. В документе подчеркивается, что по результатам анализа исходных данных о процессах и инфраструктуре организации формируется перечень возможных событий (последствий), при наступлении которых могут наступить негативные последствия для граждан (нарушение их законных прав), для государства (ущерб обороноспособности и правопорядку, негативное воздействие на социальную и политическую сферу, ущерб экономической, экологической или продовольственной безопасности) или для компании - обладателя информации (финансовый, производственный, репутационный ущерб). В документе приведены такие возможные негативные последствия, как угроза жизни и здоровью, нарушение неприкосновенности частной жизни, разглашение персональных данных граждан, нарушение компанией действующего законодательства РФ, хищение денежных средств у компании, недополучение прибыли, срыв сделок, незапланированные затраты на выплату штрафов или на восстановление деятельности, потеря клиентов, ущерб деловой репутации, принятие неправильных управленческих решений руководителями компании, прекращение или нарушение функционирования государственного органа, нарушение работы сетей связи или транспортной инфраструктуры, негативное воздействие на окружающую среду.


4. Формирование перечня вероятных объектов воздействия киберугроз, включающее в себя анализ собранной информации на системы и сети, сетевых схем, диаграмм взаимодействия информационных систем и процессов. Важно выявить объекты потенциального негативного воздействия на прикладном, системном, сетевом, аппаратном уровнях, а также на уровне пользователей. В рамках формирования перечня объектов воздействия авторы рассматриваемой Методики рекомендуют использовать средства автоматизации для проведения инвентаризации информационных систем и сетей, определения их компонентов и интерфейсов (внешних и внутренних). Также в документе подчеркивается, что при эксплуатации систем, предоставляемых по моделям IaaS («инфраструктура как сервис»), PaaS («платформа как сервис»), SaaS («ПО как сервис») важно разделять зоны ответственности и границы оценки угроз между организацией-эксплуатантом и провайдером подобных сервисов (например, центров обработки данных или облачных инфраструктур). Типовой перечень объектов воздействия приведен в БДУ, там же перечислены типовые компоненты этих объектов воздействия.


5. Проведение оценки возможности реализации киберугроз и формирование итогового перечня актуальных угроз ИБ выполняется в три этапа:


5.1. Определение источников киберугроз и формирование перечня актуальных нарушителей производится на основе анализа собранных ранее исходных данных, данных из БДУ и отраслевых моделей угроз, а также с учетом ранее сформированного перечня негативных последствий и объектов воздействия. В рассматриваемой Методике приведен перечень основных видов нарушителей, возможности и мотивацию которых следует оценить на данном этапе: спецслужбы недружественных государств, организованные киберкриминальные группы, хакеры-одиночки, конкуренты, разработчики ПО и поставщики услуг, подрядчики и аутсорсеры, администраторы, пользователи, уволенные сотрудники и т.д., некоторые из которых к тому же могут входить в сговор друг с другом.


Актуальными для конкретной организации признаются те нарушители, чьи цели реализации кибератак могут привести к актуальным для компании негативным последствиям и ущербу. При этом атакующие подразделяются по уровням возможностей (оснащенностью ресурсами), компетенций, мотивации на нарушителей, обладающих базовыми, базовыми повышенными, средними или высокими возможностями, а также по уровню доступа и полномочиям в информационных системах (внешние и внутренние нарушители). Описание типов и возможностей нарушителей приведено в БДУ. Кроме указанных антропогенных источников угроз безопасности информации, авторы методики говорят о возможности дополнительного рассмотрения техногенных источников угроз (физические явления, материальные объекты).


5.2. Далее проводится оценка способов реализации киберугроз, которые могут использоваться актуальными нарушителями для атаки на вероятные объекты воздействия, перечень которых был сформирован на предыдущих этапах. При этом способы реализации угрозы ИБ считаются актуальными в случае наличия у актуальных нарушителей соответствующего уровня возможностей, а также при наличии условий реализации таких возможностей - при этом следует учитывать, что одну и ту же угрозу можно реализовать различными способами. Кроме наличия у атакующих необходимого уровня возможностей, для успешной реализации киберугрозы у них должен быть доступ к интерфейсам объекта воздействия, через которые и будет проводится атака - сетевые интерфейсы, интерфейсы для работы периферийного оборудования, интерфейсы логического и физического доступа к компонентам систем и сетей. Типовой перечень способов реализации угроз приведен в БДУ. В результате работ на данном этапе должен быть сформирован перечень актуальных способов реализации угроз ИБ с указанием вероятных типов интерфейсов объектов воздействия, через которые атака может быть осуществлена, а также перечень видов и категорий злоумышленников, имеющих возможности использования данных способов.


5.3. Формирование перечня актуальных угроз производится на заключительном этапе в результате оценки возможных киберугроз. Типовой перечень угроз безопасности информации приведен в БДУ, но кроме него организациям следует руководствоваться результатами работ, выполненных на предыдущих этапах - перечнями актуальных негативных последствий, объектов и видов воздействия, актуальных нарушителей и способов реализации угроз. Киберугроза считается возможной в случае, если существует источник угрозы (нарушитель), объект воздействия, способ реализации угрозы, а также негативные последствия от реализации угрозы. Однако не всё множество теоретически возможных киберугроз будет актуальным - для признания угрозы ИБ актуальной должен существовать хотя бы один сценарий реализации угрозы. Сценарий реализации угрозы ИБ - это последовательность возможных тактик и техник, доступных для применения актуальными нарушителями. В приложении №11 к рассматриваемой Методике приведен типовой перечень тактик и техник атакующих, однако для формирования наиболее современного и полного перечня сценариев атак можно использовать данные регулярно обновляемой матрицы MITRE ATT&CK. После формирования перечня актуальных киберугроз для обоснования выбора средств защиты можно обратиться к разделу БДУ, в котором перечислены основные меры защиты информации с указанием парируемых ими угроз и способов их реализации.


В заключение отметим, что на сайте БДУ ФСТЭК России в настоящее время проводится опытная эксплуатация модернизированного раздела угроз, в котором представлен инструмент для автоматизации процесса формирования перечня возможных угроз безопасности информации - правда, в достаточно типовом варианте, который должен быть расширен и адаптирован организациями с учетом особенностей их инфраструктуры и бизнес-процессов.

ФСТЭК Угрозы ИБ MITRE Подкасты ИБ

Рекомендуем

Риски взлома аккаунтов и как им противостоять
Риски взлома аккаунтов и как им противостоять
Security Vision NG SGRC, или Новые горизонты автоматизации процессов
Security Vision NG SGRC, или Новые горизонты автоматизации процессов
SCA на языке безопасника
SCA на языке безопасника
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Интернет вещей и его применение
Интернет вещей и его применение
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Сертификация ФСТЭК
Сертификация ФСТЭК
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 1: Технические инструменты и способы реализации
Кибератаки. Часть 1: Технические инструменты и способы реализации

Рекомендуем

Риски взлома аккаунтов и как им противостоять
Риски взлома аккаунтов и как им противостоять
Security Vision NG SGRC, или Новые горизонты автоматизации процессов
Security Vision NG SGRC, или Новые горизонты автоматизации процессов
SCA на языке безопасника
SCA на языке безопасника
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Интернет вещей и его применение
Интернет вещей и его применение
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Сертификация ФСТЭК
Сертификация ФСТЭК
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 1: Технические инструменты и способы реализации
Кибератаки. Часть 1: Технические инструменты и способы реализации

Похожие статьи

Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Образование в ИБ. Ожидание vs Реальность
Образование в ИБ. Ожидание vs Реальность
Управление ИТ-активами
Управление ИТ-активами
Что такое социальная инженерия и как от нее защититься
Что такое социальная инженерия и как от нее защититься
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Уязвимости
Уязвимости
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 1: Технические инструменты и способы реализации
Кибератаки. Часть 1: Технические инструменты и способы реализации

Похожие статьи

Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Образование в ИБ. Ожидание vs Реальность
Образование в ИБ. Ожидание vs Реальность
Управление ИТ-активами
Управление ИТ-активами
Что такое социальная инженерия и как от нее защититься
Что такое социальная инженерия и как от нее защититься
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Уязвимости
Уязвимости
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 1: Технические инструменты и способы реализации
Кибератаки. Часть 1: Технические инструменты и способы реализации