Федеральная служба по техническому и экспортному контролю (фстэк россии)

32
Приложение № 1 к
Методике определения угроз безопасности информации в информационных системах
Рекомендации по формированию
экспертной группы и проведению экспертной оценки при
определении угроз безопасности информации
Качественное формирование экспертной группы способствует снижению субъективных факторов при оценке угроз безопасности информации. Занижение
(ослабление) экспертами прогнозов и предположений при определении угроз может повлечь наступление непрогнозируемого (неожиданного) ущерба в ре- зультате реализации угрозы безопасности информации. Завышение экспертами прогнозов и предположений при определении угроз может повлечь за собой не- оправданные расходы на нейтрализацию угроз, являющихся неактуальными.
Независимо от результата формирования экспертной группы при оценке угроз безопасности информации существуют субъективные факторы, связанные с психологией принятия решений человеком. Это также может приводить как к занижению (ослаблению), так и к завышению (усилению) экспертами прогнозов и предположений при определении угроз безопасности информации, что в свою очередь может привести к пропуску отдельных угроз безопасности информации или к неоправданным затратам на нейтрализацию неактуальных угроз.
Любое решение, принимаемое экспертами при определении угроз безопас- ности информации, должно исходить из правил, при которых нарушитель нахо- дится в наилучших условиях для реализации угрозы безопасности (принципа
«гарантированности»).
а) формирование экспертной группы
В состав экспертной группы для определения угроз безопасности инфор- мации рекомендуется включать экспертов (независимо от того, реализуются ли функции обладателя информации, заказчика и оператора в рамках одной или не- скольких организаций): от подразделений обладателей информации, содержащейся в информаци- онной системе; от подразделений оператора информационной системы; от подразделения по защите информации; от лиц, предоставляющих услуги по обработке информации; от разработчика информационной системы; от операторов взаимодействующих внешних информационных систем (по согласованию).
В качестве экспертов рекомендуется привлекать специалистов, деятель- ность которых связана с обработкой информации в информационной системе, а

33
также специалистов, имеющие квалификацию и опыт работы в области приме- нения информационных технологий и (или) в области защиты информации.
При привлечении в качестве экспертов специалистов от подразделений по защите информации рекомендуется привлекать лиц, имеющих высшее образова- ние или прошедших переподготовку (повышение квалификации) по направле- нию подготовки «Информационная безопасность», или имеющих не менее трех лет стажа практической работы в своей сфере деятельности.
Эксперты должны обладать независимостью, основанной на отсутствии коммерческого и финансового интереса или другого давления, которое может оказать влияние на принимаемые решения. Не рекомендуется формировать экс- пертную группу из участников, находящихся в прямом подчинении, так как это может негативным образом повлиять на результат определения угроз безопасно- сти информации.
Состав экспертной группы зависит от целей и задач информационной си- стемы, но не должен быть меньше трех экспертов.
б) проведение экспертной оценки
При проведении экспертной оценки принимаются меры, направленные на снижение уровня субъективности и неопределенности при определении каждой из угроз безопасности информации.
Экспертную оценку рекомендуется проводить в отношении, как минимум, следующих параметров: цели реализации угроз безопасности информации (мотивация нарушите- лей); типы и виды нарушителей; уязвимости, которые могут быть использованы для реализации угроз без- опасности информации; способы реализации угроз безопасности информации; степень воздействия угрозы безопасности информации на каждое из свойств безопасности информации; последствия от реализации угроз безопасности информации; вероятность реализации угроз безопасности информации; уровень защищенности информационной системы; потенциал нарушителя, требуемый для реализации угрозы безопасности информации (в случае отсутствия потенциала в банке данных угроз безопасно- сти информации).
Оценку параметров рекомендуется проводить опросным методом с состав- лением анкеты, в которой указываются вопросы и возможные варианты ответа в единой принятой шкале измерений («низкий», «средний», «высокий» или «да»,
«нет» или иные шкалы). При этом вопросы должны быть четкими и однозначно трактуемыми, предполагать однозначные ответы.
Опрос экспертов включает следующие этапы: каждый эксперт проводит оценку оцениваемого параметра (рекомендуется не мене двух раундов оценки), результаты которой заносятся в таблицу 1.1;

34
после оценки каждым из экспертов отбрасываются минимальные и макси- мальные значения; определяется среднее значение оцениваемого параметра в каждом раунде; определяется итоговое среднее значение оцениваемого параметра.
Пример таблицы результатов оценки параметров
Таблица 1.1
Эксперты
Значение оцениваемого параметра (раунд 1)
Значение оцениваемого параметра (раунд 2)
Эксперт 1
Эксперт 2
Эксперт n
Итоговое значение

35
Приложение № 2 к
Методике определения угроз безопасности информации в информационных системах
Структура модели угроз безопасности информации
Модель угроз безопасности информации содержит следующие разделы:
1. Общие положения.
2. Описание информационной системы и особенностей ее функционирова- ния.
2.1. Цель и задачи, решаемые информационной системой.
2.2. Описание структурно-функциональных характеристик информацион- ной системы.
2.3. Описание технологии обработки информации.
3. Возможности нарушителей (модель нарушителя).
3.1. Типы и виды нарушителей.
3.2. Возможные цели и потенциал нарушителей.
3.3. Возможные способы реализации угроз безопасности информации.
4. Актуальные угрозы безопасности информации.
Приложения (при необходимости).
Раздел «Общие положения» содержит назначение и область действия до- кумента, информацию о полном наименовании информационной системы, для которой разработана модель угроз безопасности информации, а также информа- цию об использованных для разработки модели угроз безопасности информации нормативных и методических документах, национальных стандартах. В данный раздел также включается информация об используемых данных и источниках, на основе которых определяются угрозы безопасности информации (документация, исходные тексты программ, опросы персонала, журналы регистрации средств защиты, отчеты об аудите и иные источники).
Раздел «Описание информационной системы и особенностей ее функцио- нирования» содержит общую характеристику информационной системы, описа- ние структурно-функциональных характеристик информационной системы, опи- сание взаимосвязей между сегментами информационной системы, описание вза- имосвязей с другими информационными системами и информационно- телекоммуникационными сетями, описание технологии обработки информации.
Также в данном разделе приводятся предположения, касающиеся информацион- ной системы и особенностей ее функционирования (в частности предположения об отсутствии неучтенных беспроводных каналов доступа или динамичность выделения адресов узлам информационной системы, иные предположения). В раздел включаются любые ограничения, касающиеся информационной системы и особенностей ее функционирования.
Раздел «Возможности нарушителей (модель нарушителя)» содержит опи- сание типов, видов, потенциала и мотивации нарушителей, от которых необхо- димо обеспечить защиту информации в информационной системе, способов реа-

36
лизации угроз безопасности информации. В данный раздел также включаются предположения, касающиеся нарушителей (в частности предположение об от- сутствии у нарушителя возможности доступа к оборудованию, сделанному на заказ и применяемому при реализации угрозы, предположение о наличии (отсут- ствии) сговора между внешними и внутренними нарушителями или иные пред- положения). В раздел включаются любые ограничения, касающиеся определения нарушителей (в частности исключение администраторов информационной си- стемы или администраторов безопасности из числа потенциальных нарушителей или иные предположения).
Раздел «Актуальные угрозы безопасности информации» содержит описа- ние актуальных угроз безопасности, включающее наименование угрозы безопас- ности информации, возможности нарушителя по реализации угрозы, используе- мые уязвимости информационной системы, описание способов реализации угро- зы безопасности информации, объекты воздействия, возможные результат и по- следствия от реализации угрозы безопасности информации.

37
Приложение № 3 к
Методике определения угроз безопасности информации в информационных системах
Определение
потенциала нарушителя, необходимого для реализации угрозы без-
опасности информации в информационной системе
Настоящее приложение применяется для определения потенциала, необхо- димого для реализации угрозы безопасности информации, данные по которой отсутствуют в банке данных угроз безопасности информации, и характеристики которых определяются на основе иных источников или результатов исследова- ний.
Приведенный подход к оценке потенциала нарушителя направлен на сни- жение уровня субъективности и неопределенности при оценке потенциала нарушителя, который требуется для реализации угрозы безопасности информа- ции в информационной системе с заданными структурно-функциональными ха- рактеристиками и особенностями функционирования.
Исходными данными для определения потенциала нарушителя являются: данные об аппаратном, общесистемном и прикладном программном обес- печении, применяемых информационных технологиях, особенностях функцио- нирования информационной системы; данные об уязвимостях в аппаратном, общесистемном и прикладном про- граммном обеспечении, опубликованные в различных базах данных уязвимо- стей, полученные в результате исследований (тестировании) или полученные от уполномоченных федеральных органов исполнительной власти и организаций.
При оценке потенциала нарушителя необходимо исходить из того, что для успешного достижения целей реализации угроз безопасности информации, нарушителю необходимо осуществить подготовку к реализации угрозы и непо- средственно реализацию угрозы безопасности информации. При этом не един- ственным, но необходимым условием на этапе подготовки к реализации угрозы безопасности информации является идентификация уязвимостей в информаци- онной системе, а на этапе реализации угрозы безопасности информации – ис- пользование уязвимостей информационной системы.
Таким образом, для определения потенциала нарушителя необходимо оце- нить возможности нарушителя идентифицировать уязвимости и использовать их в информационной системе в ходе подготовки к реализации и непосредственно в ходе реализации угрозы безопасности информации. Для проведения указанной оценки делается предположение о наличии уязвимостей, которые потенциально содержатся в информационной системе и могут быть использованы для реализа- ции угрозы безопасности информации.
Потенциальные уязвимости определяются для каждого класса и типа про- граммного обеспечения и для каждого узла (хоста) информационной системы исходя из условия, что для реализации угрозы безопасности информации нару-

38
шителю необходимо идентифицировать и использовать как минимум одну уяз- вимость на каждом узле и хосте.
В качестве исходных данных для определения потенциальных уязвимостей используются данные по составу информационной системы и особенностям ее функционирования, а также данные об уязвимостях в этом программном обеспе- чении, опубликованные в общедоступных источниках, полученные по результа- там исследований и (или) полученные от уполномоченных органов и организа- ций.
Для каждой выявленной потенциальной уязвимости проводится оценка возможностей ее идентификации и использования в информационной системе нарушителем, обладающим определенными возможностями и для каждого из возможных сценариев реализации угрозы безопасности информации.
Оценка возможностей нарушителя по идентификации и использованию уязвимости в информационной системе проводится по результатам определения следующих показателей: время, затрачиваемое нарушителем на идентификацию и использование уязвимости (затрачиваемое время); техническая компетентность нарушителя; знание нарушителем проекта и информационной системы; оснащенность нарушителя; возможности нарушителя по доступу к информационной системе.
Во многих случаях указанные показатели являются зависимыми и могут в различной степени заменять друг друга. В частности, показатели технической компетентности или оснащенности могут заменяться показателем затрачиваемо- го времени.
а) определение показателя «затрачиваемое время»
Показатель «затрачиваемое время» характеризует время, непрерывно за- трачиваемое нарушителем для идентификации и использования уязвимости для реализации угрозы безопасности информации.
Показатель «затрачиваемое время» может принимать значения «за мину- ты», «за часы», «за дни» или «за месяцы».
Значение «за минуты» присваивается, если для реализации угрозы без- опасности информации нарушитель затратит менее получаса на идентификацию и использование уязвимости.
Значение «за часы» присваивается, если для реализации угрозы безопасно- сти информации нарушитель затратит менее чем один день на идентификацию и использование уязвимости.
Значение «за дни» присваивается, если для реализации угрозы безопасно- сти информации нарушитель затратит менее чем один месяц на идентификацию и использование уязвимости.
Значение «за месяцы» присваивается, если для реализации угрозы без- опасности информации нарушитель затратит, как минимум, месяц на идентифи- кацию и использование уязвимости.

39
б) определение показателя «техническая компетентность нарушителя»
Показатель «техническая компетентность нарушителя» характеризует, ка- ким уровнем знаний и подготовкой в области информационных технологий и защиты информации должен обладать нарушитель, чтобы идентифицировать и использовать уязвимости для реализации угрозы безопасности информации.
Показатель «техническая компетентность нарушителя» может принимать значения «специалист», «профессионал» или «непрофессионал».
Значение «профессионал» присваивается, если нарушитель имеет хоро- шую осведомленность о мерах защиты информации, применяемых в информа- ционной системе, об алгоритмах, аппаратных и программных средствах, исполь- зуемых в информационной системе, а также обладает специальными знаниями о методах и средствах выявления новых уязвимостей и способах реализации угроз безопасности информации для информационных систем данного типа.
Значение «специалист» присваивается, если нарушитель имеет осведом- ленность о мерах защиты информации, применяемых в информационной систе- ме данного типа.
Значение «непрофессионал» присваивается, если нарушитель имеет сла- бую осведомленность (по сравнению со специалистами или профессионалами) о мерах защиты информации, применяемых в информационных системах данного типа, и не обладает специальными знаниями по реализации угроз безопасности информации.
в) определение показателя «знание нарушителем проекта и информа-
ционной системы»
Показатель «знание нарушителем проекта и информационной системы» характеризует, какие сведения об информационной системе и условиях ее экс- плуатации доступны нарушителю, чтобы идентифицировать и использовать уяз- вимости для реализации угрозы безопасности информации.
Показатель «знание нарушителем проекта и информационной системы» может принимать значения «отсутствие знаний», «ограниченные знания» или
«знание чувствительной информации».
Значение «отсутствие знаний» присваивается, если в результате принятия мер по защите информации нарушителю не может стать известно о структурно- функциональных характеристиках информационной системы, системе защиты информации информационной системы, а также об иной информации по разра- ботке (проектированию) и эксплуатации информационной системы, включая сведения из конструкторской, проектной и эксплуатационной документации.
При этом может быть доступна информация о целях и задачах, решаемых ин- формационной системой. Данный показатель также присваивается, если сведе- ния об информационной системе отнесены к информации ограниченного досту- па и не могут быть доступны для неограниченного круга лиц.

40
Значение «ограниченные знания» присваивается, если нарушителю наряду с информацией о целях и задачах, решаемых информационной системой, может стать известна только эксплуатационная документация на информационную си- стему (в частности руководство пользователя и (или) правила эксплуатации ин- формационной системы).
Значение «знание чувствительной информации» присваивается, если нарушителю может стать известны конструкторская (проектная) и эксплуатаци- онная документация на информационную систему, информация о структурно- функциональных характеристиках информационной системы, системе защиты информационной системы.
г) определение показателя «возможности нарушителя по доступу к
информационной системе»
Показатель «возможности нарушителя по доступу к информационной си- стеме» характеризует, как долго по времени нарушитель должен иметь возмож- ность доступа к информационной системе для идентификации и использования уязвимостей для реализации угроз безопасности информации.
Показатель «возможности нарушителя по доступу к информационной си- стеме» может принимать значения «за минуты», «за часы», «за дни» или «за ме- сяцы».
Значение «за минуты» присваивается, если для идентификации и исполь- зования уязвимости для реализации угрозы безопасности информации наруши- телю требуется доступ менее получаса.
Значение «за часы» присваивается, если для идентификации и использова- ния уязвимости для реализации угрозы безопасности информации нарушителю требуется доступ менее одного дня.
Значение «за дни» присваивается, если для идентификации и использова- ния уязвимости для реализации угрозы безопасности информации нарушителю требуется доступ менее одного месяца.
Значение «за месяцы» присваивается, если для идентификации и использо- вания уязвимости для реализации угрозы безопасности информации нарушите- лю требуется доступ более одного месяца.
Показатель «возможности нарушителя по доступу к информационной си- стеме» взаимосвязан с показателем «затраченное время». Идентификация и ис- пользование уязвимости при реализации угрозы безопасности информации мо- гут требовать продолжительного времени по доступу к информационной систе- ме, что увеличивает возможность обнаружения уязвимости. В отдельных случа- ях продолжительный доступ к информационной системе не требуется (методы и средства реализации угроз безопасности разрабатываются автономно), но при этом требуется кратковременный доступ к информационной системе.

41