методичка. Федеральная служба по техническому и экспортному контролю (фстэк россии)
Скачать 2.21 Mb.
|
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ (ФСТЭК РОССИИ) Утвержден ФСТЭК России « » _________ 2020 г. МЕТОДИЧЕСКИЙ ДОКУМЕНТ МЕТОДИКА МОДЕЛИРОВАНИЯ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ ПРОЕКТ 2020 2 СОДЕРЖАНИЕ 1. Общие положения …………………………………………………………...... 3 2. Порядок моделирования угроз безопасности информации и разработки моделей угроз безопасности информации........................................................ 5 3. Определение возможных негативных последствий от реализации угроз безопасности информации…………………………………………………….. 14 4. Оценка условий реализации угроз безопасности информации……….……. 19 5. Источники угроз безопасности информации и оценка возможностей нарушителей…………………………………………………………………… 24 6. Определение сценариев реализации угроз безопасности информации…… 34 7. Оценка уровней опасности угроз безопасности информации……………… 42 Приложение № 1. Термины и определения, применяемые для целей настоящего методического документа ………………………………………. 47 Приложение № 2. Рекомендации по формированию экспертной группы и проведению экспертной оценки при моделировании угроз безопасности информации ……………………………………………………………………. 49 Приложение № 3. Структура модели угроз безопасности информации ….. 52 3 1. ОБЩИЕ ПОЛОЖЕНИЯ 1.1. Настоящая Методика моделирования угроз безопасности информации (далее – Методика) разработана в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утверждённого Указом Президента Российской Федерации от 16 августа 2004 г. № 1085. 1.2. Методика определяет порядок и содержание работ по моделированию угроз безопасности информации, включая персональные данные, в информационных (автоматизированных) системах, автоматизированных системах управления, информационно-телекоммуникационных сетях, в том числе отнесенных к объектам критической информационной инфраструктуры Российской Федерации, в информационно-телекоммуникационных инфраструктурах центров обработки данных и облачных инфраструктурах, защита информации в которых или безопасность которых обеспечивается в соответствии с требованиями по защите информации (обеспечению безопасности), утвержденными ФСТЭК России в пределах своей компетенции (далее – системы и сети). 1.3. Методика ориентирована на выявление и оценку антропогенных угроз безопасности информации, возникновение которых обусловлено действиями нарушителей. Часть приведенных в Методике подходов может применяться для оценки техногенных угроз в случае, если они позволяют достичь целей такой оценки. 1.4. В документе не рассматриваются методические подходы по моделированию угроз безопасности информации, связанных с нарушением безопасности шифровальных (криптографических) средств защиты информации, а также угроз, связанных с техническими каналами утечки информации. 1.5. Выявление угроз, связанных со стихийными бедствиями и природными явлениями, осуществляется в соответствии с требованиями и правилами, установленными уполномоченными федеральными органами исполнительной власти, национальными стандартами, и не входит в область действия настоящей Методики. 1.6. На основе настоящей Методики могут разрабатываться отраслевые (ведомственные, корпоративные) методики моделирования угроз безопасности информации, которые учитывают особенности функционирования систем и сетей в соответствующей области деятельности. Разрабатываемые отраслевые 4 (ведомственные, корпоративные) методики моделирования угроз безопасности информации не должны противоречить положениям настоящей Методики. 1.7. В Методике используются термины и определения, приведенные в приложении № 1 к настоящей Методике, а также термины и определения, установленные законодательством Российской Федерации и национальными стандартами в области защиты информации и обеспечения информационной безопасности. 1.8. Методика применяется совместно с банком данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru), а также базовыми и типовыми моделями угроз безопасности информации, разрабатываемыми ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085. 1.9. В связи с утверждением настоящего методического документа не применяется для определения угроз безопасности информации Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ФСТЭК России, 2008 г.) и Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры (ФСТЭК России, 2007 г.). 5 2. ПОРЯДОК МОДЕЛИРОВАНИЯ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ И РАЗРАБОТКИ МОДЕЛЕЙ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ 2.1. Целью моделирования угроз безопасности информации является выявление совокупности условий и факторов, которые приводят или могут привести к нарушению безопасности обрабатываемой в системах и сетях информации (нарушению конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации и (или) средств её обработки), а также к нарушению или прекращению функционирования систем и сетей. В качестве угроз безопасности информации, подлежащих определению при моделировании угроз безопасности информации, рассматриваются неправомерные действия и (или) воздействия на информационные ресурсы или компоненты систем или сетей, в результате которых возможно нарушение безопасности информации и (или) нарушение или прекращение функционирования систем и сетей, повлекшее наступление негативных последствий. 2.2. В результате моделирования угроз безопасности информации должен быть сформирован перечень угроз безопасности информации, реализуемых для рассматриваемой архитектуры и условий функционирования систем и сетей. 2.3. Процесс моделирования угроз безопасности информации включает (рисунок 1): 1) определение возможных негативных последствий от реализации угроз безопасности информации; 2) определение условий для реализации угроз безопасности информации; Пример 1: 1) получение несанкционированного доступа к персональным данным, содержащимся в базе данных, в результате которого возможно нарушение их конфиденциальности; 2) изменение (модификация) уставок устройства, приводящее к прекращению функционирования релейной защиты и автоматики в аварийной ситуации; 3) несанкционированный доступ к программируемому логическому контроллеру, в результате которого возможно включение выключателя подачи электроэнергии цифровой электроподстанции; 3) отказ в обслуживании маршрутизатора информационно-телекоммуникационной сети, в результате которого возможно прекращение передачи данных 6 3) определение источников угроз безопасности информации и оценку возможностей нарушителей; 4) определение сценариев реализации угроз безопасности информации; 5) оценку уровня опасности угроз безопасности информации. Определение возможных негативных последствий от реализации угроз безопасности информации Определение условий реализации угроз безопасности информации Определение источников угроз безопасности информации и оценка возможностей нарушителей Определение сценариев реализации угроз безопасности информации Оценка уровня опасности угроз безопасности информации 1 2 3 4 5 Перечень возможных негативных последствий Информационные ресурсы и компоненты систем и сетей Виды неправомерного доступа и (или) воздействий Перечень угроз безопасности информации Требования законодательства Российской Федерации Сведения об архитектуре систем и сетей и особенностях их функционирования Результаты оценки ущерба (рисков) Сведения об информационных ресурсах и (или) компонентах систем и сетей и др. Сведения об архитектуре систем и сетей и особенностях их функционирования Сведения об уязвимостях систем и сетей Сведения о доступе к компонентам систем и сетей и др. Типы уязвимостей и (или) недекларированные возможности Варианты возможного доступа нарушителей к информационным ресурсам и компонентам систем и сетей Особенности организации процессов у оператора Сведения о сервисах, предоставляемых сторонними организациями Сведения о типах внутренних и внешних пользователей и др. Виды источников угроз безопасности информации Возможные цели реализации угроз безопасности информации нарушителями Категории, виды и возможности нарушителей Сведения об архитектуре систем и сетей и особенностях их функционирования Условия реализации угроз безопасности информации Категории, виды и возможности нарушителей Перечень сценариев угроз безопасности информации Перечень сценариев реализации угроз безопасности информации Сведения о типе доступа к системам и сетям Сведения о сложности реализации сценария Сведения об уровне значимости информационных ресурсов или компонентов Уровни опасности угроз безопасности информации Входные данные Этап Получаемый результат Рисунок 1 – Процесс моделирования угроз безопасности информации 2.4. При моделировании угроз безопасности информации определяется граница процесса моделирования, в которую включаются информационные ресурсы и компоненты систем и сетей, обрабатывающие, хранящие информацию и (или) обеспечивающие реализацию основных (критических) процессов (бизнес- процессов) обладателя информации и оператора, интерфейсы их взаимодействия с пользователями, со смежными (взаимодействующими) системами и сетями, а также инженерные системы (системы электроснабжения, вентиляции, охлаждения, кондиционирования, охраны, системы охраны), средства, каналы и услуги связи, другие услуги и сервисы, предоставляемые сторонними организациями, от которых зависит функционирование систем и сетей (далее – обеспечивающие системы). 7 К основным (критическим) процессам (бизнес-процессам) относятся управленческие, технологические, производственные, финансово-экономические и другие процессы (бизнес-процессы), выполняемые обладателем информации и оператором в рамках реализации функций (полномочий) или осуществления основных видов деятельности. Процессом моделирования угроз безопасности информации должны быть охвачены все информационные ресурсы и компоненты систем и сетей, составляющих информационную инфраструктуру обладателя информации и (или) оператора, неправомерный доступ к которым или воздействие на которые может привести к негативным последствиям. 2.5. Моделирование угроз безопасности информации должно носить систематический характер и осуществляться как на этапе создания систем и сетей и формирования требований по их защите, так и в ходе их эксплуатации. Систематический подход к моделированию угроз безопасности информации позволяет поддерживать адекватную и эффективную систему защиты в условиях изменения угроз безопасности информации и информационных ресурсов. Учет изменений угроз безопасности информации способствует своевременной выработке адекватных мер защиты информации (обеспечения безопасности). 2.6. На этапе создания систем и сетей моделирование угроз безопасности информации проводится на основе их предполагаемой архитектуры и должно быть направлено на обоснованный выбор организационных мер, функциональных возможностей и настроек средств защиты информации. На этапе эксплуатации систем и сетей моделирование угроз безопасности информации проводится для реальной архитектуры систем и сетей и условий их функционирования и должно быть направлено на выявление изменений угроз безопасности информации и оценку эффективности применяемых мер и средств защиты информации. 2.7. Моделирование угроз безопасности информации должно проводиться с учетом применяемых в системах и сетях в соответствии с требованиями нормативных правовых актов Российской Федерации и (или) технических заданий средств защиты информации. Однако при этом необходимо учитывать возможность наличия в организации работ и применяемых средствах защиты информации уязвимостей, которые могут использоваться для реализации угроз безопасности информации. 2.8. Моделирование угроз безопасности информации проводится подразделением по защите информации обладателя информации или оператора, 8 или отдельными специалистами, назначенными ответственными за защиту информации (обеспечение безопасности), с участием в том числе подразделений и специалистов, ответственных за эксплуатацию систем и сетей (ИТ- специалистов), а также основных подразделений обладателя информации и оператора. К моделированию угроз безопасности информации могут привлекаться организации, имеющие лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации. В этом случае обладателем информации и (или) оператором предоставляется вся информация о системах и сетях, условиях их функционирования, необходимая для моделирования угроз безопасности информации в соответствии с настоящей Методикой. 2.9. Для проведения оценок, в основе которых лежат экспертные методы, могут создаваться экспертные группы. В частности, экспертный метод может применяться для оценки возможных последствий от реализации угроз безопасности информации, определения возможных целей реализации угроз безопасности информации, сценариев реализации угроз безопасности информации. Рекомендации по формированию экспертной группы и проведению экспертной оценки приведены в приложении № 2 к настоящей Методике. 2.10. В случае моделирования угроз безопасности информации для систем и сетей, функционирующих на базе информационно-телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры, угрозы безопасности информации определяются как для самих систем и сетей, так и для информационно-телекоммуникационной инфраструктуры, на которой они функционируют. Пример границы процесса моделирования угроз безопасности информации систем и сетей, функционирующих на базе информационно- телекоммуникационной инфраструктуры центра обработки данных, приведен на рисунке 2. 9 ЦОД Информационные ресурсы и сервисы ИС 1 Информационные ресурсы и сервисы ИС n Граница моделирования угроз безопасности информации Рисунок 2 – Пример границы процесса моделирования угроз безопасности информации в информационной инфраструктуре на базе центра обработки данных 2.11. При размещении систем и сетей на базе информационно- телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры, принадлежащей поставщику услуг, моделирование угроз безопасности информации проводится оператором во взаимодействии с поставщиком услуг. Пример распределения зон ответственности между оператором и поставщиком услуг представлен на рисунке 3. 10 Сетевое оборудование Сетевое оборудование Серверный сегмент Терминал Терминал Терминал Виртуал изация Хранилища Сетевое оборудование Терминал Канал связи Канал связи Терминал Граница моделирования угроз безопасности информации Рисунок 3 – Пример распределения зон ответственности между оператором и поставщиком услуг Угрозы безопасности информации, актуальные для арендуемых компонентов информационно-телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры, определяются поставщиком услуг в модели угроз безопасности информации информационно- телекоммуникационной инфраструктуры центра обработки данных (облачной инфраструктуры). Указанная модель угроз безопасности информации предоставляется оператору для использования в ходе моделирования угроз безопасности информации в принадлежащих ему системах и сетях. Поставщик услуг информационно-телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры информирует оператора об изменении угроз безопасности информации в его информационно- телекоммуникационной инфраструктуре. Если поставщик услуг не определил угрозы безопасности информации для информационно-телекоммуникационной инфраструктуры центра обработки данных (облачной инфраструктуры), размещение на базе такой инфраструктуры систем и сетей не рекомендуется. 2.12. При моделировании угроз безопасности информации в системах и сетях, функционирующих на базе информационно-телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры, 11 учитываются состав и содержание услуг, предоставляемых поставщиком услуг (например, SaaS, PaaS, IaaS). При аренде оператором вычислительных ресурсов (физических серверов, систем хранения данных и т.д.) арендуемые программно-аппаратные средства и все их физические и логические интерфейсы взаимодействия с информационно- телекоммуникационной инфраструктурой поставщика услуг включаются в границу процесса моделирования угроз безопасности информации, проводимой оператором. В отношении остальной информационно-телекоммуникационной инфраструктуры угрозы безопасности информации определяются поставщиком услуг (рисунок 4). Терминал Граница моделирования угроз безопасности информации Терминал Терминал Виртуализация Хранилища Сетевое оборудование Терминал Терминал Канал связи Сетевое оборудование Канал связи Сетевое оборудование Канал связи Рисунок 4 – Пример границы моделирования угроз безопасности информации в информационной инфраструктуре на базе центра обработки данных поставщика услуг При аренде программного обеспечения (в том числе виртуальных машин, виртуальных серверов, систем управления виртуализацией, виртуальных каналов связи и т.д.) в границу моделирования угроз безопасности информации оператора включается арендуемое программное обеспечение, а также программные интерфейсы взаимодействия с иным программным обеспечением и программно- аппаратными средствами, на которых это программное обеспечение функционирует и с которыми взаимодействует. Моделирование угроз безопасности информации для программно-аппаратных средств, на которых функционирует программное обеспечение, осуществляется поставщиком услуг. Пример определения границы процесса моделирования угроз безопасности 12 информации для систем и сетей, функционирующих на базе средств виртуализации информационно-телекоммуникационной инфраструктуры центра обработки данных, арендованной оператором, приведен на рисунке 5. Терминал Граница идентификации угроз безопасности информации Терминал Терминал Виртуализация Хранилища Сетевое оборудование Терминал Терминал Канал связи Канал связи Канал связи Сетевое оборудование Сетевое оборудование Рисунок 5 – Пример границы моделирования угроз безопасности информации при аренде виртуальной инфраструктуры 2.13. Результаты моделирования угроз безопасности информации отражаются в модели угроз, которая представляет собой формализованное описание актуальных угроз безопасности информации. Структура модели угроз безопасности информации приведена в приложении № 3 к настоящей Методике. 2.14. Модель угроз безопасности информации формируется применительно ко всем информационным ресурсам и компонентам систем и сетей, которые были включены в границу процесса моделирования угроз безопасности информации. По решению обладателя информации (заказчика) или оператора модель угроз безопасности информации может разрабатываться для отдельной системы или сети. При этом модель угроз безопасности информации должна содержать описание угроз безопасности информации, актуальных для информационно- телекоммуникационной инфраструктуры, на базе которой эта система функционирует, а также угроз безопасности информации, связанных с интерфейсами взаимодействия со смежными (взаимодействующими) системами и сетями. 2.15. Модель угроз безопасности информации должна поддерживаться в актуальном состоянии в процессе функционирования систем и сетей. 13 Ведение модели угроз безопасности информации и поддержание ее в актуальном состоянии может осуществляться в электронном виде. При этом ее вид определяется обладателем информации или оператором с учетом приложения № 3 к настоящей Методике. Изменение модели угроз безопасности информации осуществляется в случаях: а) изменения требований нормативных правовых актов Российской Федерации и методических документов ФСТЭК России, регламентирующих вопросы моделирования угроз безопасности информации; б) изменения архитектуры и условий функционирования систем и сетей, порядка обработки информации, влияющих на угрозы безопасности информации; в) выявления, в том числе по результатам внешнего или внутреннего контроля эффективности защиты информации (аудита, тестирований на проникновение), новых угроз безопасности информации или новых сценариев реализации существующих угроз. При проведении внутреннего или внешнего контроля эффективности защиты информации (аудита, тестирований на проникновение) перед организациями, проводящими такие работы, должна ставиться задача по выявлению максимально возможного числа сценариев реализации существующих угроз безопасности информации, а также задача выявления новых угроз безопасности информации, приводящих к наступлению негативных последствий. 14 |