Модель угроз информационной безопасности: для чего нужна и как ее разработать

erid: 2SDnjcjDGxK
Модель угроз информационной безопасности: для чего нужна и как ее разработать
Модель угроз информационной безопасности: для чего нужна и как ее разработать
24.05.2023

Защищая организацию от возможных кибератак, легко перегнуть палку. Всегда есть риск перестраховаться и потратить на ИБ больше, чем нужно. При этом если не учесть важные риски, то имеющихся средств защиты может оказаться недостаточно. Именно поэтому в ИБ принято разрабатывать модель угроз информационной безопасности. Того же от множества организаций в России требует законодательство.

С какими сложностями сталкиваются ИБ-специалисты, когда проектируют собственную модель угроз? На что обратить внимание при ее разработке? И как часто нужно актуализировать такой документ? Обо всем по порядку – в этой статье.

Разбираемся в терминах

Модель угроз простыми словами – это то, как организация представляет возможные риски информационной безопасности для своих систем. Она описывает все условия и факторы, которые могут создавать потенциальную или реальную опасность для компании.

Определять вероятные угрозы для информационных систем – обязательное требование к организациям, которые попадают под действие 152-ФЗ о персональных данных и приказы ФСТЭК. Нормативные правовые акты уточняют, что модель угроз – это внутренний документ. Его цель – описать все угрозы, которые актуальны для каждой информационной системы. Если документа нет, организация нарушает законодательство.

Но не все так просто

Казалось бы, модель угроз информационной безопасности – понятие, которое уже есть в правовом поле РФ. Более того, ФСТЭК подготовила рекомендации по разработке документа. Регулятор представил Методику оценки угроз безопасности информации 5 февраля 2021 года. В ней же он уточнил, что описывать возможные ИБ-инциденты нужно вместе с проработкой моделей нарушителя. Однако вопросы у организаций к тому, как разработать документ, все равно остались.

Максим Карчевский

Руководитель GR-направления R‑Vision

Организации часто сталкиваются с проблемой правильного определения границ информационных систем, а также входящего в них перечня технических компонентов, подлежащих защите. Это связано с тем, что процесс инвентаризации активов (сбор информации о виртуальных машинах, физических серверах, помещениях, процессах производства) требует большого количества трудозатрат. Необходимо проводить регулярные сканирования вычислительных сетей, собирать данные об оборудовании и их владельцах, контролировать информационные потоки.

Эксперты отмечают: обычно времени и ресурсов на такие задачи в организациях нет. Именно поэтому модель угроз часто пишут для галочки – лишь бы документ был.

Алена Игнатьева

Руководитель отдела консалтинга и аудита информационной безопасности STEP LOGIC

Даже если модель угроз разрабатывает внешний подрядчик, персонал компании должен быть вовлечен в процесс: отвечать на вопросы исполнителя, согласовывать результаты. В итоге компания получает документ, который актуален на текущий момент. Он отражает существующую ИТ-инфраструктуру, внешние и внутренние условия реализации бизнес-процессов, текущие угрозы.

Однако для того, чтобы этот документ заработал, потребуется пласт работ: совершенствование системы защиты информации, встраивание управления рисками ИБ в существующие бизнес-процессы, закупка дополнительных средств защиты информации или модернизация ИТ-инфраструктуры.

По ее словам, большинство организаций, от которых законодательно требуется наличие модели угроз, еще не достигли соответствующего уровня зрелости. Для них это не потребность, а просто папка с документами, которая пылится в шкафу до проверки регуляторов.

Как создать модель угроз: рекомендации экспертов

Тем не менее разрабатывать модель угроз информационной безопасности приходится многим организациям в России. Тем, кто сталкивается с такой задачей впервые, эксперты советуют обратить внимание на несколько важных моментов.

Первый и самый очевидный – нужно заранее провести инвентаризацию ИТ-инфраструктуры (ПО, оборудование, каналы связи, базы данных, сеть), средств защиты информации, процессов защиты информации, бизнес-процессов и обрабатываемых данных.

Алена Игнатьева

Руководитель отдела консалтинга и аудита информационной безопасности STEP LOGIC

В процессе инвентаризации используйте разные источники информации. Постарайтесь проверить с помощью технических средств и журналов событий даже то, что кажется очевидным. Можно воспользоваться бесплатным инструментом для моделирования угроз, который предлагает ФСТЭК на своем сайте.

Если инфраструктура большая и быстро меняющаяся, лучше рассмотреть вариант привлечения опытного подрядчика, который поможет перестроить процессы таким образом, чтобы модель угроз стала работающим инструментом и не потеряла своей актуальности еще до этапа утверждения.

Второй момент – при подготовке модели угроз следует учитывать актуальные тренды в сфере информационной безопасности. В частности, сегодня эксперты советуют рассмотреть возможность атак со стороны политически активных группировок.

Карэн Багдасарян

Консультант Центра экспертизы R-Vision

В сводках новостей всё чаще фигурируют не только государственные, но и частные организации, которые являются целью кибергруппировок для политической дестабилизации. Этот тип нарушителей необходимо учитывать при моделировании угроз.

Изменились не только типы нарушителей, но и способы, которые используются в ходе атак. Примерами являются DDoS-атаки, которые генерируются мобильными и IoT-устройствами, в том числе расположенными за территорией РФ. Это не бот-программы, а реальное оборудование, которое невозможно выявить и заблокировать на основании типовых IDS-сигнатур.

Третий совет от экспертов – при разработке моделей нарушителя информационной безопасности уделить особое внимание социальной инженерии. Злоумышленники используют все более изощренные техники подготовки фишинговых рассылок. Игнорировать этот факт не может даже ФСТЭК. Нарушителей, специализирующихся на социальной инженерии, регулятор упоминает в своей Методике оценки угроз.

Еще одна рекомендация – отслеживать актуальную оценку рисков (ущербов) информационной системы, проведенной ее обладателем. 

Вячеслав Флеров

Инженер-проектировщик компании «Газинформсервис»

Если она занижена или наоборот завышена, то необходимо дать аргументированный ответ, какие могут быть последствия в том или ином случае.

Кроме того, при создании модели угроз информационной безопасности нужно учитывать, где развернута информационная система. Если в арендуемом центре обработки данных, то необходимо четко определить зоны ответственности по определению актуальных угроз информации.

И наконец, эксперты сходятся во мнении, что важно следить за изменениями законодательства и поддерживать модель угроз в актуальном состоянии. Чем ближе документ к реальной ситуации с ИБ в стране, тем больше от него пользы для организации и меньше претензий со стороны регулятора.

Как часто актуализировать модель угроз

Нужно ли вносить изменения в документ, зависит от нескольких факторов. Наиболее значимый из них – новые технологические решения в системе, по которой разработана модель угроз. 

Максим Карчевский

Руководитель GR-направления R‑Vision

Примерами могут быть миграция информационной системы в облачную инфраструктуру, процессы импортозамещения в прикладном или системном программном обеспечении. Использование новых технологий меняет ландшафт угроз и автоматически делает разработанные ранее модели неактуальными.

По его словам, актуализировать документ нужно, если меняется подход к процессам обработки данных в организации. Пример – перевод сотрудников на удаленку, с которым работодатели вынужденно столкнулись в 2020 году.

Вячеслав Флеров

Инженер-проектировщик компании «Газинформсервис»

О том, что пора актуализировать модель угроз, также могут говорить изменения  нормативных правовых актов Российской Федерации и руководящих документов, регламентирующих обеспечение защиты информации, обрабатываемой в информационной системе.

Еще один повод заглянуть в модель угроз – если были изменения в информационной системе, приводящие к повышению уровня/класса защищенности и категории значимости обрабатываемой информации.

Подводим итоги

Пока модель угроз информационной безопасности – это документ, который организации часто разрабатывают из-за давления государства, а не по своей воле. Хотя именно модель угроз для них может стать хорошим оружием в борьбе с киберпреступниками. Но только при одном условии – если она будет всегда актуальной.

Изменится ли ситуация в будущем – вопрос, на который эксперты пока затрудняются ответить. Очевидно лишь одно: организации смогут оценить плюсы полноценного моделирования угроз тогда, когда на это будут средства и люди. В ином случае руководить процессом продолжит государство. И будет это делать по своим правилам. 


Популярные публикации

Читайте также


Комментарии 0