описание мотивации угроз фстэк. Федеральная служба по техническому и экспортному контролю (фстэк россии)
Скачать 0.57 Mb.
|
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ (ФСТЭК РОССИИ) Утвержден ФСТЭК России « » _________ 2015 г. МЕТОДИЧЕСКИЙ ДОКУМЕНТ МЕТОДИКА ОПРЕДЕЛЕНИЯ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПРОЕКТ 2015 2 СОДЕРЖАНИЕ 1. Общие положения…………………………………………………………... 3 2. Процесс определения угроз безопасности информации в информацион- ной системе...................................................................................................... 5 3. Оценка возможностей нарушителя по реализации угроз безопасности информации (разработка модели нарушителя)…………………………… 10 4. Определение актуальных угроз безопасности информации в информа- ционной системе…………………………………………………………….. 20 Приложение № 1……………………………………………………………. Приложение № 2……………………………………………………………. Приложение № 3……………………………………………………………. 32 35 37 3 1. ОБЩИЕ ПОЛОЖЕНИЯ Настоящий методический документ ФСТЭК России «Методика определе- ния угроз безопасности информации в информационных системах» (далее – Методика) разработан и утвержден в соответствии с подпунктом 4 пункта 8 По- ложения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085. Документ устанавливает единый методический подход к определению угроз безопасности информации и разработке моделей угроз безопасности ин- формации в государственных информационных системах (далее – информаци- онные системы), защита информации в которых обеспечивается в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17 (зарегистрирован Миню- стом России 31 мая 2013 г., рег. № 28608). По решению оператора персональных данных Методика может приме- няться для определения в соответствии с пунктом 1 части 2 статьи 19 Федераль- ного закона «О персональных данных» угроз безопасности персональных дан- ных при их обработке в информационных системах персональных данных, за- щита которых обеспечивается в соответствии с Составом и содержанием органи- зационных и технических мер по обеспечению безопасности персональных дан- ных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. № 21 (зарегистри- рован Минюстом России 14 мая 2013 г., рег. № 28375). Методика не распространяется на определение угроз безопасности инфор- мации, составляющей государственную тайну. Методика предназначена для: органов государственной власти, органов местного самоуправления и ор- ганизаций, являющихся в соответствии с законодательством Российской Феде- рации обладателями информации, заказчиками и (или) операторами информаци- онных систем; организаций, осуществляющих в соответствии с законодательством Рос- сийской Федерации работы по созданию (проектированию) информационных систем; организаций, осуществляющих в соответствии с законодательством Рос- сийской Федерации работы по защите информации в ходе создания (проектиро- вания) и эксплуатации информационных систем; организаций, осуществляющих в соответствии с законодательством Рос- сийской Федерации работы по аттестации (оценке соответствия) информацион- ных систем требованиям о защите информации. Настоящая Методика применяется на этапах создания информационных систем для определения и оценки угроз безопасности информации и разработки моделей угроз, а также в ходе эксплуатации информационных систем при пери- одическом пересмотре (переоценке) угроз безопасности информации. 4 Методика применяется совместно с банком данных угроз безопасности информации, сформированным ФСТЭК России (ubi.fstec.ru), а также базовыми и типовыми моделями угроз безопасности информации в информационных систе- мах различных классов и типов, разрабатываемых ФСТЭК России в соответ- ствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техниче- скому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085. Методика ориентирована на определение и оценку антропогенных угроз безопасности информации, возникновение которых обусловлено объективными факторами. Вместе с тем, часть приведенных в Методике подходов может также применяться для оценки техногенных угроз в случае, если они позволяют до- стичь целей такой оценки. Определение угроз, связанных со стихийными бед- ствиями и природными явлениями осуществляется в соответствии с правилами, установленными уполномоченными федеральными органами исполнительной власти, национальными стандартами и находятся за рамками настоящей Мето- дики. В случае, если в соответствии с настоящей Методикой к числу актуальных угроз, отнесены угрозы, связанные с утечкой информации по техническим кана- лам, дальнейшая их оценка проводится в соответствии со специальными требо- ваниями и рекомендациями по технической защите конфиденциальной инфор- мации и методиками оценки защищенности конфиденциальной информации. В Методике используются термины и их определения, установленные национальными стандартами в области защиты информации. В связи с утверждением настоящего методического документа не приме- няется для определения угроз безопасности информации Методика определения актуальных угроз безопасности персональных данных при их обработке в ин- формационных системах персональных данных (ФСТЭК России, 2008 г.). 5 2. ПРОЦЕСС ОПРЕДЕЛЕНИЯ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ Целью определения угроз безопасности информации является установле- ние того, существует ли возможность нарушения конфиденциальности, целост- ности или доступности информации, содержащейся в информационной системе, и приведет ли нарушение хотя бы одного из указанных свойств безопасности информации к наступлению неприемлемых негативных последствий (ущерба) для обладателя информации или оператора, а в случае обработки персональных данных и для субъектов персональных данных. Определение угроз безопасности информации должно носить системати- ческий характер и осуществляться как на этапе создания информационной си- стемы и формирования требований по ее защите, так и в ходе эксплуатации ин- формационной системы. Систематический подход к определению угроз безопас- ности информации необходим для того, чтобы определить потребности в кон- кретных требованиях к защите информации и создать адекватную эффективную систему защиты информации в информационной системе. Меры защиты инфор- мации, принимаемые обладателем информации и оператором, должны обеспечи- вать эффективное и своевременное выявление и блокирование (нейтрализацию) угроз безопасности информации, в результате реализации которых возможно наступление неприемлемых негативных последствий (ущерба). Систематический подход к определению угроз безопасности информации предусматривает реализацию непрерывного процесса, в рамках которого опре- деляется область применения процесса определения угроз, идентифицируются источники угроз и угрозы безопасности информации, оценивается возможность реализации угроз безопасности информации и степень возможного ущерба в случае такой реализации, осуществляется мониторинг (периодический пере- смотр) и переоценка угроз безопасности информации. Оценка угроз безопасности информации проводится экспертным методом. Рекомендации по формированию экспертной группы и проведению экспертной оценки при определении угроз безопасности информации приведены в приложе- нии № 1 к настоящей Методике. а) область применения процесса определения угроз безопасности ин- формации На этапах принятия решения о необходимости защиты информации в ин- формационной системе и разработки требований к защите информации должны быть определены физические и логические границы информационной системы, в которых принимаются и контролируются меры защиты информации, за которые ответственен оператор, а также определены объекты защиты и сегменты инфор- мационной системы. Процесс определения угроз безопасности информации должен охватывать все объекты защиты и сегменты в логических и физических границах информа- ционной системы, в которых оператором принимаются и контролируются меры 6 защиты информации. Процесс определения угроз безопасности информации ор- ганизуется подразделением оператора, назначенным ответственным за защиту информации в информационной системе. В случае, если информационная систе- ма имеет сегменты, эксплуатируемые разными подразделениями оператора, ко- торые могут самостоятельно принимать и контролировать меры защиты инфор- мации, должны быть определены границы ответственности этих подразделений и порядок их взаимодействия в процессе определения угроз безопасности ин- формации. Область применения процесса определения угроз безопасности информа- ции отражается в модели угроз безопасности информации наряду с областью действия модели угроз, структурно-функциональными характеристиками ин- формационной системы и особенностями ее функционирования. б) идентификация источников угроз и угроз безопасности информации В обобщенном виде угрозы безопасности информации характеризуется ис- точниками угроз, факторами, обуславливающими возможность реализации угроз, способами (методами) реализации угроз и последствиями от реализации угроз безопасности информации. Важным этапом в процессе определения угроз безопасности информации является идентификация лиц или событий (явлений), в результате действий (наступления, возникновения) которых возможно нарушение конфиденциально- сти, целостности или доступности информации, содержащейся в информацион- ной системе, и возникновение неприемлемых негативных последствий (ущерба). В качестве источников угроз безопасности информации могут выступать субъекты (физические лица, организации, государства) или явления (техноген- ные аварии, стихийные бедствия, иные природные явления). Источники угроз безопасности информации являются определяющим фактором при определении угроз безопасности информации в информационных системах. В процессе определения угроз безопасности информации подлежат оценке те угрозы, у которых есть источники и источники имеют возможности и условия для реализации угроз безопасности информации в информационной си- стеме с заданными структурно-функциональными характеристиками и особен- ностями ее функционирования. Источники угроз безопасности информации могут быть следующих типов: антропогенные источники (антропогенные угрозы); техногенные источники (техногенные угрозы); стихийные источники (угрозы стихийных бедствий, иных природных яв- лений). В качестве источников антропогенных угроз безопасности информации могут выступать: лица, осуществляющие преднамеренные действия с целью доступа к ин- формации (воздействия на информацию), содержащейся в информационной си- стеме, или нарушения функционирования информационной системы или обслу- 7 живающей ее инфраструктуры (преднамеренные угрозы безопасности информа- ции); лица, имеющие доступ к информационной системе, не преднамеренные действия которых могут привести к нарушению безопасности информации (не- преднамеренные угрозы безопасности информации). Для информационных систем, в которых целью защиты является обеспе- чение целостности и доступности обрабатываемой информации, в обязательном порядке подлежат оценке техногенные угрозы, связанные с отказами или сбоями в работе технических средств или программного обеспечения. Такие угрозы мо- гут быть обусловлены: низким качеством (надежностью) технических, программных или про- граммно-технических средств; низким качеством (надежностью) сетей связи и (или) услуг связи; отсутствием или низкой эффективностью систем резервирования или дуб- лирования программно-технических и технических средств; низким качеством (надежностью) инженерных систем (кондиционирова- ния, электроснабжения, охранных систем и т.д.); низким качеством обслуживания со стороны обслуживающих организаций и лиц. При определении угроз безопасности информации оценке подлежат угро- зы, связанные со всеми типами источников. Однако в целях создания и эксплуа- тации адекватной эффективной системы защиты информации в информационной системе следует, в первую очередь, уделять внимание оценке антропогенных угроз, связанных с несанкционированными (неправомерными) действиями субъ- ектов по нарушению безопасности (конфиденциальности, целостности, доступ- ности) информации, в том числе целенаправленными воздействиями программ- ными (программно-техническими) средствами на информационные системы, осуществляемые в целях нарушения (прекращения) их функционирования (ком- пьютерные атаки). Также при определении угроз безопасности информации наряду с угроза- ми, реализация которых может привести непосредственно к нарушению конфи- денциальности, целостности или доступности информации (прямыми угрозами), необходимо выявлять и оценивать угрозы, создающие условия для реализации прямых угроз безопасности информации (косвенные угрозы). В качестве косвен- ных угроз безопасности информации могут рассматриваться угрозы повышения привилегий, исчерпания вычислительных ресурсов, недоступности обновления программного обеспечения и иные угрозы безопасности информации. В процессе определения угроз безопасности информации на всех стадиях (этапах) жизненного цикла информационных систем необходимо регулярно про- водить идентификацию источников угроз, оценивать их возможности и опреде- лять на этой основе угрозы безопасности информации. Данные о нарушителях и их возможностях по реализации угроз безопасности информации, полученные при идентификации источников угроз, включаются в модели угроз безопасности информации. 8 Для идентификации угроз безопасности информации в информационной системе определяются: возможности (тип, вид, потенциал) нарушителей, необходимые им для ре- ализации угроз безопасности информации; уязвимости, которые могут использоваться при реализации угроз безопас- ности информации (включая специально внедренные программные закладки); способы (методы) реализации угроз безопасности информации; объекты информационной системы, на которые направлена угроза без- опасности информации (объекты воздействия); результат и последствия от реализации угроз безопасности информации. Каждая угроза безопасности информации в информационной системе опи- сывается (идентифицируется) следующим образом: УБИ j = [нарушитель (источник угрозы); уязвимости; способы реализации угро- зы; объекты воздействия; последствия от реализации угрозы]. в) оценка вероятности (возможности) реализации угроз безопасности информации и степени возможного ущерба Идентифицированная угроза безопасности информации подлежит нейтра- лизации (блокированию), если она является актуальной (УБИ j А ) для информаци- онной системы, то есть в информационной системе с заданными структурно- функциональными характеристиками и особенностями функционирования су- ществует вероятность (возможность) реализации рассматриваемой угрозы нару- шителем с соответствующим потенциалом и ее реализация приведет к неприем- лемым негативным последствиям (ущербу): УБИ j А = [вероятность (возможность) реализации угрозы (Р j ); степень ущерба (Х j )]. Актуальные угрозы безопасности информации включаются в модель угроз безопасности информации. Модель угроз безопасности информации, учитывая особенности информационной системы, используемые в ней программные, про- граммно-технические, технические средства и процессы обработки информации, дает описание угроз безопасности, которым подвержена информационная систе- ма. Структура модели угроз безопасности информации приведена в приложении № 2 к настоящей Методике. г) мониторинг и переоценка угроз безопасности информации Определение угроз безопасности информации на этапе создания информа- ционной системы позволяет обеспечить формирование требований и внедрение эффективной адекватной системы защиты информации в информационной си- стеме для угроз, актуальных к моменту ввода в эксплуатацию информационной системы. 9 В ходе эксплуатации информационной системы оператор, обеспечивая до- стижение целей и задач информационной системы, может изменять ее базовую конфигурацию, что приводит к изменению структурно-функциональных харак- теристик информационной системы и применяемых информационных техноло- гий. Также в процессе эксплуатации возможно изменение состава и значимости обрабатываемой информации и особенностей функционирования информацион- ной системы. В этих условиях процесс определения угроз безопасности информации должен носить систематический характер. В ходе эксплуатации информацион- ной системы регулярно проводится анализ изменения угроз безопасности ин- формации, а актуальные угрозы безопасности информации подлежат периодиче- ской переоценке. Периодичность переоценки определяется организацией исходя из особенностей функционирования информационной системы. Рекомендуется пересматривать угрозы безопасности информации не реже одного раза в год. По результатам анализа проводится уточнение (при необходимости) модели угроз безопасности информации. Пересмотр (переоценка) угроз безопасности информации, как минимум, осуществляется в случаях: изменения требований законодательства Российской Федерации о защите информации, нормативных правовых актов и методических документов, регла- ментирующих защиту информации; изменения конфигурации (состава основных компонентов) и особенностей функционирования информационной системы, следствием которых стало воз- никновение новых угроз безопасности информации; выявления уязвимостей, приводящих к возникновению новых угроз без- опасности информации или к повышению возможности реализации существую- щих; появления сведений и фактов о новых возможностях нарушителей. 10 3. ОЦЕНКА ВОЗМОЖНОСТЕЙ НАРУШИТЕЛЕЙ ПО РЕАЛИЗАЦИИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ (РАЗРАБОТ- КА МОДЕЛИ НАРУШИТЕЛЯ) Целью оценки возможностей нарушителей по реализации угроз безопасно- сти информации является формирование предположения о типах, видах наруши- телей, которые могут реализовать угрозы безопасности информации в информа- ционной системе с заданными структурно-функциональными характеристиками и особенностями функционирования, а также потенциале этих нарушителей и возможных способах реализации угроз безопасности информации. Результаты оценки возможностей нарушителей включаются в модель нарушителя, которая является составной частью (разделом) модели угроз без- опасности информации и содержит: типы, виды и потенциал нарушителей, которые могут обеспечить реализа- цию угроз безопасности информации; цели, которые могут преследовать нарушители каждого вида при реализа- ции угроз безопасности информации; возможные способы реализации угроз безопасности информации. |