Главная страница

описание мотивации угроз фстэк. Федеральная служба по техническому и экспортному контролю (фстэк россии)


Скачать 0.57 Mb.
НазваниеФедеральная служба по техническому и экспортному контролю (фстэк россии)
Дата04.06.2020
Размер0.57 Mb.
Формат файлаpdf
Имя файлаописание мотивации угроз фстэк.pdf
ТипДокументы
#128020
страница1 из 5
  1   2   3   4   5

ФЕДЕРАЛЬНАЯ СЛУЖБА
ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
(ФСТЭК РОССИИ)
Утвержден ФСТЭК России
« » _________ 2015 г.
МЕТОДИЧЕСКИЙ ДОКУМЕНТ
МЕТОДИКА
ОПРЕДЕЛЕНИЯ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
В ИНФОРМАЦИОННЫХ СИСТЕМАХ
ПРОЕКТ
2015

2
СОДЕРЖАНИЕ
1. Общие положения…………………………………………………………... 3 2. Процесс определения угроз безопасности информации в информацион- ной системе......................................................................................................
5 3. Оценка возможностей нарушителя по реализации угроз безопасности информации (разработка модели нарушителя)……………………………
10 4. Определение актуальных угроз безопасности информации в информа- ционной системе……………………………………………………………..
20
Приложение № 1…………………………………………………………….
Приложение № 2…………………………………………………………….
Приложение № 3…………………………………………………………….
32 35 37

3 1. ОБЩИЕ ПОЛОЖЕНИЯ
Настоящий методический документ ФСТЭК России «Методика определе- ния угроз безопасности информации в информационных системах» (далее –
Методика) разработан и утвержден в соответствии с подпунктом 4 пункта 8 По- ложения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г.
№ 1085.
Документ устанавливает единый методический подход к определению угроз безопасности информации и разработке моделей угроз безопасности ин- формации в государственных информационных системах (далее – информаци- онные системы), защита информации в которых обеспечивается в соответствии с
Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17 (зарегистрирован Миню- стом России 31 мая 2013 г., рег. № 28608).
По решению оператора персональных данных Методика может приме- няться для определения в соответствии с пунктом 1 части 2 статьи 19 Федераль- ного закона «О персональных данных» угроз безопасности персональных дан- ных при их обработке в информационных системах персональных данных, за- щита которых обеспечивается в соответствии с Составом и содержанием органи- зационных и технических мер по обеспечению безопасности персональных дан- ных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. № 21 (зарегистри- рован Минюстом России 14 мая 2013 г., рег. № 28375).
Методика не распространяется на определение угроз безопасности инфор- мации, составляющей государственную тайну.
Методика предназначена для: органов государственной власти, органов местного самоуправления и ор- ганизаций, являющихся в соответствии с законодательством Российской Феде- рации обладателями информации, заказчиками и (или) операторами информаци- онных систем; организаций, осуществляющих в соответствии с законодательством Рос- сийской Федерации работы по созданию (проектированию) информационных систем; организаций, осуществляющих в соответствии с законодательством Рос- сийской Федерации работы по защите информации в ходе создания (проектиро- вания) и эксплуатации информационных систем; организаций, осуществляющих в соответствии с законодательством Рос- сийской Федерации работы по аттестации (оценке соответствия) информацион- ных систем требованиям о защите информации.
Настоящая Методика применяется на этапах создания информационных систем для определения и оценки угроз безопасности информации и разработки моделей угроз, а также в ходе эксплуатации информационных систем при пери- одическом пересмотре (переоценке) угроз безопасности информации.

4
Методика применяется совместно с банком данных угроз безопасности информации, сформированным ФСТЭК России (ubi.fstec.ru), а также базовыми и типовыми моделями угроз безопасности информации в информационных систе- мах различных классов и типов, разрабатываемых ФСТЭК России в соответ- ствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техниче- скому и экспортному контролю, утвержденного Указом Президента Российской
Федерации от 16 августа 2004 г. № 1085.
Методика ориентирована на определение и оценку антропогенных угроз безопасности информации, возникновение которых обусловлено объективными факторами. Вместе с тем, часть приведенных в Методике подходов может также применяться для оценки техногенных угроз в случае, если они позволяют до- стичь целей такой оценки. Определение угроз, связанных со стихийными бед- ствиями и природными явлениями осуществляется в соответствии с правилами, установленными уполномоченными федеральными органами исполнительной власти, национальными стандартами и находятся за рамками настоящей Мето- дики.
В случае, если в соответствии с настоящей Методикой к числу актуальных угроз, отнесены угрозы, связанные с утечкой информации по техническим кана- лам, дальнейшая их оценка проводится в соответствии со специальными требо- ваниями и рекомендациями по технической защите конфиденциальной инфор- мации и методиками оценки защищенности конфиденциальной информации.
В Методике используются термины и их определения, установленные национальными стандартами в области защиты информации.
В связи с утверждением настоящего методического документа не приме- няется для определения угроз безопасности информации Методика определения актуальных угроз безопасности персональных данных при их обработке в ин- формационных системах персональных данных (ФСТЭК России, 2008 г.).

5 2. ПРОЦЕСС ОПРЕДЕЛЕНИЯ УГРОЗ БЕЗОПАСНОСТИ
ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ
Целью определения угроз безопасности информации является установле- ние того, существует ли возможность нарушения конфиденциальности, целост- ности или доступности информации, содержащейся в информационной системе, и приведет ли нарушение хотя бы одного из указанных свойств безопасности информации к наступлению неприемлемых негативных последствий (ущерба) для обладателя информации или оператора, а в случае обработки персональных данных и для субъектов персональных данных.
Определение угроз безопасности информации должно носить системати- ческий характер и осуществляться как на этапе создания информационной си- стемы и формирования требований по ее защите, так и в ходе эксплуатации ин- формационной системы. Систематический подход к определению угроз безопас- ности информации необходим для того, чтобы определить потребности в кон- кретных требованиях к защите информации и создать адекватную эффективную систему защиты информации в информационной системе. Меры защиты инфор- мации, принимаемые обладателем информации и оператором, должны обеспечи- вать эффективное и своевременное выявление и блокирование (нейтрализацию) угроз безопасности информации, в результате реализации которых возможно наступление неприемлемых негативных последствий (ущерба).
Систематический подход к определению угроз безопасности информации предусматривает реализацию непрерывного процесса, в рамках которого опре- деляется область применения процесса определения угроз, идентифицируются источники угроз и угрозы безопасности информации, оценивается возможность реализации угроз безопасности информации и степень возможного ущерба в случае такой реализации, осуществляется мониторинг (периодический пере- смотр) и переоценка угроз безопасности информации.
Оценка угроз безопасности информации проводится экспертным методом.
Рекомендации по формированию экспертной группы и проведению экспертной оценки при определении угроз безопасности информации приведены в приложе- нии № 1 к настоящей Методике.
а) область применения процесса определения угроз безопасности ин-
формации
На этапах принятия решения о необходимости защиты информации в ин- формационной системе и разработки требований к защите информации должны быть определены физические и логические границы информационной системы, в которых принимаются и контролируются меры защиты информации, за которые ответственен оператор, а также определены объекты защиты и сегменты инфор- мационной системы.
Процесс определения угроз безопасности информации должен охватывать все объекты защиты и сегменты в логических и физических границах информа- ционной системы, в которых оператором принимаются и контролируются меры

6
защиты информации. Процесс определения угроз безопасности информации ор- ганизуется подразделением оператора, назначенным ответственным за защиту информации в информационной системе. В случае, если информационная систе- ма имеет сегменты, эксплуатируемые разными подразделениями оператора, ко- торые могут самостоятельно принимать и контролировать меры защиты инфор- мации, должны быть определены границы ответственности этих подразделений и порядок их взаимодействия в процессе определения угроз безопасности ин- формации.
Область применения процесса определения угроз безопасности информа- ции отражается в модели угроз безопасности информации наряду с областью действия модели угроз, структурно-функциональными характеристиками ин- формационной системы и особенностями ее функционирования.
б) идентификация источников угроз и угроз безопасности информации
В обобщенном виде угрозы безопасности информации характеризуется ис- точниками угроз, факторами, обуславливающими возможность реализации угроз, способами (методами) реализации угроз и последствиями от реализации угроз безопасности информации.
Важным этапом в процессе определения угроз безопасности информации является идентификация лиц или событий (явлений), в результате действий
(наступления, возникновения) которых возможно нарушение конфиденциально- сти, целостности или доступности информации, содержащейся в информацион- ной системе, и возникновение неприемлемых негативных последствий (ущерба).
В качестве источников угроз безопасности информации могут выступать субъекты (физические лица, организации, государства) или явления (техноген- ные аварии, стихийные бедствия, иные природные явления).
Источники угроз безопасности информации являются определяющим фактором при определении угроз безопасности информации в информационных системах. В процессе определения угроз безопасности информации подлежат оценке те угрозы, у которых есть источники и источники имеют возможности и условия для реализации угроз безопасности информации в информационной си- стеме с заданными структурно-функциональными характеристиками и особен- ностями ее функционирования.
Источники угроз безопасности информации могут быть следующих типов: антропогенные источники (антропогенные угрозы); техногенные источники (техногенные угрозы); стихийные источники (угрозы стихийных бедствий, иных природных яв- лений).
В качестве источников антропогенных угроз безопасности информации могут выступать: лица, осуществляющие преднамеренные действия с целью доступа к ин- формации (воздействия на информацию), содержащейся в информационной си- стеме, или нарушения функционирования информационной системы или обслу-

7
живающей ее инфраструктуры (преднамеренные угрозы безопасности информа- ции); лица, имеющие доступ к информационной системе, не преднамеренные действия которых могут привести к нарушению безопасности информации (не- преднамеренные угрозы безопасности информации).
Для информационных систем, в которых целью защиты является обеспе- чение целостности и доступности обрабатываемой информации, в обязательном порядке подлежат оценке техногенные угрозы, связанные с отказами или сбоями в работе технических средств или программного обеспечения. Такие угрозы мо- гут быть обусловлены: низким качеством (надежностью) технических, программных или про- граммно-технических средств; низким качеством (надежностью) сетей связи и (или) услуг связи; отсутствием или низкой эффективностью систем резервирования или дуб- лирования программно-технических и технических средств; низким качеством (надежностью) инженерных систем (кондиционирова- ния, электроснабжения, охранных систем и т.д.); низким качеством обслуживания со стороны обслуживающих организаций и лиц.
При определении угроз безопасности информации оценке подлежат угро- зы, связанные со всеми типами источников. Однако в целях создания и эксплуа- тации адекватной эффективной системы защиты информации в информационной системе следует, в первую очередь, уделять внимание оценке антропогенных угроз, связанных с несанкционированными (неправомерными) действиями субъ- ектов по нарушению безопасности (конфиденциальности, целостности, доступ- ности) информации, в том числе целенаправленными воздействиями программ- ными (программно-техническими) средствами на информационные системы, осуществляемые в целях нарушения (прекращения) их функционирования (ком- пьютерные атаки).
Также при определении угроз безопасности информации наряду с угроза- ми, реализация которых может привести непосредственно к нарушению конфи- денциальности, целостности или доступности информации (прямыми угрозами), необходимо выявлять и оценивать угрозы, создающие условия для реализации прямых угроз безопасности информации (косвенные угрозы). В качестве косвен- ных угроз безопасности информации могут рассматриваться угрозы повышения привилегий, исчерпания вычислительных ресурсов, недоступности обновления программного обеспечения и иные угрозы безопасности информации.
В процессе определения угроз безопасности информации на всех стадиях
(этапах) жизненного цикла информационных систем необходимо регулярно про- водить идентификацию источников угроз, оценивать их возможности и опреде- лять на этой основе угрозы безопасности информации. Данные о нарушителях и их возможностях по реализации угроз безопасности информации, полученные при идентификации источников угроз, включаются в модели угроз безопасности информации.

8
Для идентификации угроз безопасности информации в информационной системе определяются: возможности (тип, вид, потенциал) нарушителей, необходимые им для ре- ализации угроз безопасности информации; уязвимости, которые могут использоваться при реализации угроз безопас- ности информации (включая специально внедренные программные закладки); способы (методы) реализации угроз безопасности информации; объекты информационной системы, на которые направлена угроза без- опасности информации (объекты воздействия); результат и последствия от реализации угроз безопасности информации.
Каждая угроза безопасности информации в информационной системе опи- сывается (идентифицируется) следующим образом:
УБИ
j
= [нарушитель (источник угрозы); уязвимости; способы реализации угро- зы; объекты воздействия; последствия от реализации угрозы].
в) оценка вероятности (возможности) реализации угроз безопасности
информации и степени возможного ущерба
Идентифицированная угроза безопасности информации подлежит нейтра- лизации (блокированию), если она является актуальной (УБИ
j
А
) для информаци- онной системы, то есть в информационной системе с заданными структурно- функциональными характеристиками и особенностями функционирования су- ществует вероятность (возможность) реализации рассматриваемой угрозы нару- шителем с соответствующим потенциалом и ее реализация приведет к неприем- лемым негативным последствиям (ущербу):
УБИ
j
А
=
[вероятность
(возможность) реализации угрозы (Р
j
); степень ущерба (Х
j
)].
Актуальные угрозы безопасности информации включаются в модель угроз безопасности информации. Модель угроз безопасности информации, учитывая особенности информационной системы, используемые в ней программные, про- граммно-технические, технические средства и процессы обработки информации, дает описание угроз безопасности, которым подвержена информационная систе- ма. Структура модели угроз безопасности информации приведена в приложении
№ 2 к настоящей Методике.
г) мониторинг и переоценка угроз безопасности информации
Определение угроз безопасности информации на этапе создания информа- ционной системы позволяет обеспечить формирование требований и внедрение эффективной адекватной системы защиты информации в информационной си- стеме для угроз, актуальных к моменту ввода в эксплуатацию информационной системы.

9
В ходе эксплуатации информационной системы оператор, обеспечивая до- стижение целей и задач информационной системы, может изменять ее базовую конфигурацию, что приводит к изменению структурно-функциональных харак- теристик информационной системы и применяемых информационных техноло- гий. Также в процессе эксплуатации возможно изменение состава и значимости обрабатываемой информации и особенностей функционирования информацион- ной системы.
В этих условиях процесс определения угроз безопасности информации должен носить систематический характер. В ходе эксплуатации информацион- ной системы регулярно проводится анализ изменения угроз безопасности ин- формации, а актуальные угрозы безопасности информации подлежат периодиче- ской переоценке. Периодичность переоценки определяется организацией исходя из особенностей функционирования информационной системы. Рекомендуется пересматривать угрозы безопасности информации не реже одного раза в год. По результатам анализа проводится уточнение (при необходимости) модели угроз безопасности информации.
Пересмотр (переоценка) угроз безопасности информации, как минимум, осуществляется в случаях: изменения требований законодательства Российской Федерации о защите информации, нормативных правовых актов и методических документов, регла- ментирующих защиту информации; изменения конфигурации (состава основных компонентов) и особенностей функционирования информационной системы, следствием которых стало воз- никновение новых угроз безопасности информации; выявления уязвимостей, приводящих к возникновению новых угроз без- опасности информации или к повышению возможности реализации существую- щих; появления сведений и фактов о новых возможностях нарушителей.

10 3. ОЦЕНКА ВОЗМОЖНОСТЕЙ НАРУШИТЕЛЕЙ ПО
РЕАЛИЗАЦИИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ (РАЗРАБОТ-
КА МОДЕЛИ НАРУШИТЕЛЯ)
Целью оценки возможностей нарушителей по реализации угроз безопасно- сти информации является формирование предположения о типах, видах наруши- телей, которые могут реализовать угрозы безопасности информации в информа- ционной системе с заданными структурно-функциональными характеристиками и особенностями функционирования, а также потенциале этих нарушителей и возможных способах реализации угроз безопасности информации.
Результаты оценки возможностей нарушителей включаются в модель нарушителя, которая является составной частью (разделом) модели угроз без- опасности информации и содержит: типы, виды и потенциал нарушителей, которые могут обеспечить реализа- цию угроз безопасности информации; цели, которые могут преследовать нарушители каждого вида при реализа- ции угроз безопасности информации; возможные способы реализации угроз безопасности информации.
  1   2   3   4   5


написать администратору сайта