Модель угроз ФСТЭК

Руслан Рахметов, Security Vision

При формировании системы управления информационной безопасностью (СУИБ) важно верно расставить приоритеты, распланировать затраты и усилия, обеспечить адекватную защиту ресурсов в зависимости от ценности актива, стоимости средств защиты и затрат злоумышленников на проведение кибератаки. Для решения указанных задач используются методы риск-менеджмента, которые позволяют приоритизировать различные киберугрозы, оценить тяжесть последствий и соответствующим образом распределить ресурсы для защиты. Однако перечень киберугроз формируется отдельно - для решения задачи формирования перечня актуальных угроз ИБ российский регулятор ФСТЭК России выпустил методический документ «Методика оценки угроз безопасности информации» (утвержден 05.02.2021 г.). Положения данной методики содержат описание последовательных шагов, которые следует выполнить для формирования перечня актуальных киберугроз в конкретной организации. Следует также отметить, что до выхода в свет данного методического документа компании могли руководствоваться документом «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», который был утвержден ФСТЭК России еще в 2008 году, но последовательность действий и логика формирования модели угроз в нём существенно отличалась от изложенного в актуальном документе.

Итак, оценка угроз безопасности информации проводится для определения перечня актуальных киберугроз, который является результатом работы, проводимой в организации на регулярной основе при создании и модернизации информационных систем. Данная работа выполняется группой экспертов - специалистов по защите информации, с участием работников профильных подразделений компании и с возможностью привлечения сторонних компаний-подрядчиков. Формирование модели актуальных угроз включает в себя следующие основные шаги:

1. Сбор информации и документации на применяемые в компании информационные системы и сети, описание бизнес-процессов и их зависимостей от информационных систем и сетей, получение контактов ответственных работников, формирование экспертной рабочей группы.

2. Анализ результатов проведенной ранее оценки киберрисков, изучение информации об актуальных способах, методах, тактиках, техниках и процедурах кибератак (на основе открытых источников, включая данные проектов MITRE ATT&CK, MITRE CAPEC, OWASP и т.д.), а также формирование общего перечня киберугроз на основе информации из банка данных угроз (БДУ) ФСТЭК России, который доступен по этому адресу и постоянно обновляется и дополняется.

3. При формировании перечня актуальных для компании негативных последствий от реализации угроз безопасности информации за основу можно брать перечень негативных последствий из БДУ или из Приложения №4 к рассматриваемой Методике. В документе подчеркивается, что по результатам анализа исходных данных о процессах и инфраструктуре организации формируется перечень возможных событий (последствий), при наступлении которых могут наступить негативные последствия для граждан (нарушение их законных прав), для государства (ущерб обороноспособности и правопорядку, негативное воздействие на социальную и политическую сферу, ущерб экономической, экологической или продовольственной безопасности) или для компании - обладателя информации (финансовый, производственный, репутационный ущерб). В документе приведены такие возможные негативные последствия, как угроза жизни и здоровью, нарушение неприкосновенности частной жизни, разглашение персональных данных граждан, нарушение компанией действующего законодательства РФ, хищение денежных средств у компании, недополучение прибыли, срыв сделок, незапланированные затраты на выплату штрафов или на восстановление деятельности, потеря клиентов, ущерб деловой репутации, принятие неправильных управленческих решений руководителями компании, прекращение или нарушение функционирования государственного органа, нарушение работы сетей связи или транспортной инфраструктуры, негативное воздействие на окружающую среду.

4. Формирование перечня вероятных объектов воздействия киберугроз, включающее в себя анализ собранной информации на системы и сети, сетевых схем, диаграмм взаимодействия информационных систем и процессов. Важно выявить объекты потенциального негативного воздействия на прикладном, системном, сетевом, аппаратном уровнях, а также на уровне пользователей. В рамках формирования перечня объектов воздействия авторы рассматриваемой Методики рекомендуют использовать средства автоматизации для проведения инвентаризации информационных систем и сетей, определения их компонентов и интерфейсов (внешних и внутренних). Также в документе подчеркивается, что при эксплуатации систем, предоставляемых по моделям IaaS («инфраструктура как сервис»), PaaS («платформа как сервис»), SaaS («ПО как сервис») важно разделять зоны ответственности и границы оценки угроз между организацией-эксплуатантом и провайдером подобных сервисов (например, центров обработки данных или облачных инфраструктур). Типовой перечень объектов воздействия приведен в БДУ, там же перечислены типовые компоненты этих объектов воздействия.

5. Проведение оценки возможности реализации киберугроз и формирование итогового перечня актуальных угроз ИБ выполняется в три этапа:

5.1. Определение источников киберугроз и формирование перечня актуальных нарушителей производится на основе анализа собранных ранее исходных данных, данных из БДУ и отраслевых моделей угроз, а также с учетом ранее сформированного перечня негативных последствий и объектов воздействия. В рассматриваемой Методике приведен перечень основных видов нарушителей, возможности и мотивацию которых следует оценить на данном этапе: спецслужбы недружественных государств, организованные киберкриминальные группы, хакеры-одиночки, конкуренты, разработчики ПО и поставщики услуг, подрядчики и аутсорсеры, администраторы, пользователи, уволенные сотрудники и т.д., некоторые из которых к тому же могут входить в сговор друг с другом.

Актуальными для конкретной организации признаются те нарушители, чьи цели реализации кибератак могут привести к актуальным для компании негативным последствиям и ущербу. При этом атакующие подразделяются по уровням возможностей (оснащенностью ресурсами), компетенций, мотивации на нарушителей, обладающих базовыми, базовыми повышенными, средними или высокими возможностями, а также по уровню доступа и полномочиям в информационных системах (внешние и внутренние нарушители). Описание типов и возможностей нарушителей приведено в БДУ. Кроме указанных антропогенных источников угроз безопасности информации, авторы методики говорят о возможности дополнительного рассмотрения техногенных источников угроз (физические явления, материальные объекты).

5.2. Далее проводится оценка способов реализации киберугроз, которые могут использоваться актуальными нарушителями для атаки на вероятные объекты воздействия, перечень которых был сформирован на предыдущих этапах. При этом способы реализации угрозы ИБ считаются актуальными в случае наличия у актуальных нарушителей соответствующего уровня возможностей, а также при наличии условий реализации таких возможностей - при этом следует учитывать, что одну и ту же угрозу можно реализовать различными способами. Кроме наличия у атакующих необходимого уровня возможностей, для успешной реализации киберугрозы у них должен быть доступ к интерфейсам объекта воздействия, через которые и будет проводится атака - сетевые интерфейсы, интерфейсы для работы периферийного оборудования, интерфейсы логического и физического доступа к компонентам систем и сетей. Типовой перечень способов реализации угроз приведен в БДУ. В результате работ на данном этапе должен быть сформирован перечень актуальных способов реализации угроз ИБ с указанием вероятных типов интерфейсов объектов воздействия, через которые атака может быть осуществлена, а также перечень видов и категорий злоумышленников, имеющих возможности использования данных способов.

5.3. Формирование перечня актуальных угроз производится на заключительном этапе в результате оценки возможных киберугроз. Типовой перечень угроз безопасности информации приведен в БДУ, но кроме него организациям следует руководствоваться результатами работ, выполненных на предыдущих этапах - перечнями актуальных негативных последствий, объектов и видов воздействия, актуальных нарушителей и способов реализации угроз. Киберугроза считается возможной в случае, если существует источник угрозы (нарушитель), объект воздействия, способ реализации угрозы, а также негативные последствия от реализации угрозы. Однако не всё множество теоретически возможных киберугроз будет актуальным - для признания угрозы ИБ актуальной должен существовать хотя бы один сценарий реализации угрозы. Сценарий реализации угрозы ИБ - это последовательность возможных тактик и техник, доступных для применения актуальными нарушителями. В приложении №11 к рассматриваемой Методике приведен типовой перечень тактик и техник атакующих, однако для формирования наиболее современного и полного перечня сценариев атак можно использовать данные регулярно обновляемой матрицы MITRE ATT&CK. После формирования перечня актуальных киберугроз для обоснования выбора средств защиты можно обратиться к разделу БДУ, в котором перечислены основные меры защиты информации с указанием парируемых ими угроз и способов их реализации.

В заключение отметим, что на сайте БДУ ФСТЭК России в настоящее время проводится опытная эксплуатация модернизированного раздела угроз, в котором представлен инструмент для автоматизации процесса формирования перечня возможных угроз безопасности информации - правда, в достаточно типовом варианте, который должен быть расширен и адаптирован организациями с учетом особенностей их инфраструктуры и бизнес-процессов.