Подарок от ФСТЭК – утверждена новая методика оценки угроз

Методический документ, определяющий методику оценки угроз безопасности информации, был подписан ФСТЭК России 5 февраля 2021г. Это событие открыло новые двери для специалистов в области ИБ, которые занимаются анализом потенциальных угроз для важных объектов информационной инфраструктуры.

Раньше для определения потенциальных угроз безопасности информации использовали одну из следующих методик:

• методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (2008 года);
• методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры (2007 года).

Данные документы узкоспециализированные и ограничивают область работы с различными типами объектов, а также к 2021 году по ряду аспектов утратили свою актуальность.

Новая методика более универсальна и работает со следующими типами объектов:

• информационные системы (ИС);
• автоматизированные системы управления;
• информационно-телекоммуникационные сети;
• информационно-телекоммуникационные инфраструктуры центров обработки данных;
• облачные инфраструктуры.

Также методика применима для следующих областей:

• информационные системы персональных данных;
• информационные системы управления производством, используемые организациями оборонно-промышленного комплекса;
• муниципальные и государственные ИС;
• значимые объекты критической информационной инфраструктуры РФ;
• критически важные, потенциально опасные объекты с автоматизированными системами управления производственными и технологическими процессами.

Утвержденная методика оценки потенциальных угроз начала активно использоваться специалистами в области ИБ. Прежние методики перестали применять при подготовке документации, однако модели угроз, разработанные с их применением, не теряют своей актуальности и продолжают действовать. Они должны быть скорректированы только в случае изменения соответствующей инфраструктуры.

Этапы оценки угроз безопасности информации по обновленной методики:

• определение негативных последствий, которые могут наступить от реализации (возникновения) угроз безопасности информации;
• определение возможных объектов воздействия угроз безопасности информации;
• оценка возможности реализации (возникновения) угроз безопасности информации и определение их актуальности.

Этап оценки возможности реализации (возникновения) и актуальности угроз состоит из трех подэтапов, которые описаны далее.

1. Выявление источников угроз безопасности информации.

Новая методика ориентирована на оценку угроз безопасности, которые обусловлены действиями нарушителей, и поэтому не включает в себя ряд факторов, не зависящих от человека:

• угрозы безопасности, связанных с природными явлениями и стихийными бедствиями;
• угрозы безопасности криптографических средств защиты;
• угрозы безопасности, связанных с техническими каналами утечки данных.

Также стоит отметить, что право включения техногенных угроз в модель угроз ИБ остается за оператором систем и сетей или владельцем информации

В результате определения источников угроз ИБ выявляются:

а) виды потенциальных нарушителей и возможные цели реализации ими угроз безопасности информации, а также их возможности

б) категории потенциальных нарушителей, которые могут реализовывать угрозы безопасности информации, в том числе непреднамеренные угрозы

2. Оценка способов реализации угроз безопасности информации.

На данном этапе определяются:

а) виды и категории нарушителей, способных применить актуальные способы;

б) актуальные способы осуществления угроз ИБ и типы интерфейсов объектов воздействия, за счет которых они могут быть реализованы.

3. Оценка актуальности угроз безопасности информации.

Угроза считается допустимой, если на этапах оценки были обнаружены следующие признаки:

• присутствует объект воздействия угроз;
• присутствует непосредственно нарушитель или другой источник угрозы;
• обнаружены пути осуществления угрозы ИБ;
• осуществление угрозы может привести к негативным последствиям.

Если обнаружены сценарии реализации угрозы ИБ, то угроза считается актуальной. Сценарии должны быть определены для всех способов осуществления угроз, относительно объектов и видов воздействия. Сценарий определяется путем установления возможных тактик, потенциально применимых нарушителем для создания угрозы, с определением уровня возможностей для реализации угроз безопасности информации. . При обнаружении минимум одного сценария угроза считается актуальной и включается в формируемую модель угроз.

Результаты, полученные в ходе оценки угроз, заносятся в модель угроз, для которой существует рекомендуемая структура, определенная новой методикой. Данный документ должен поддерживаться в актуальном состоянии и при необходимости обновляться.

Отметим, что оценка угроз может осуществляться как владельцем информации самостоятельно, так и с привлечением сторонних организаций. Стоит отметить, что сторонние организации не должны иметь лицензию на техническую защиту конфиденциальной информации в обязательном порядке. Несмотря на то, что на этапе проектирование методики планировалось ввести обязательное лицензирование организаций, требование решили отменить. Это связано с тем, что моделирование угроз не является лицензируемым видом деятельности, поэтому нововведение вызвало шквал недоумения.

Главные достоинства новой методики:

– универсальна и применима для широкого круга областей;

– наглядные примеры для выполнения каждого из подэтапов оценки потенциальных угроз;

– рекомендации о применении экспертного метода;

– нацеленность на оценку негативных последствий угроз.

Положительные стороны новой методики обусловлены продуманным и трудоемким процессом оценки потенциальных угроз, требующим специальных знаний в информационной безопасности.

Для правильной оценки угроз безопасности информации обращайтесь к специалистам своего дела. ООО "СофтМолл" поможет выявить актуальные угрозы и провести их оценку.