ппп. Гефнер_TBF_2022_hall4_1602. Практика реализации методики оценки угроз безопасности информации

Название	Практика реализации методики оценки угроз безопасности информации
Дата	06.03.2023
Размер	2.21 Mb.
Формат файла
Имя файла	Гефнер_TBF_2022_hall4_1602.pdf
Тип	Документы #972270

ПРАКТИКА РЕАЛИЗАЦИИ МЕТОДИКИ ОЦЕНКИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Начальник отдела управления ФСТЭК России
Гефнер Ирина Сергеевна
ВЫБОР МЕТОДИЧЕСКИХ ДОКУМЕНТОВ ДЛЯ РАЗРАБОТКИ МОДЕЛЕЙ УГРОЗ Применяется для КИИ, ГИС, ИСПДн
Вступил в действие с 5 февраля 2021 г.
Отмена Методика определения угроз для ИСПДн 2008 года
Не рассматриваются угрозы утечки по техническим каналам
Не является предметом моделирования техногенных угроз
СТАТИСТИКА ПОКОЛИ ЧЕС Т В УМ ОДЕЛ ЕЙ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ, КОТОРЫЕ ПОСТУПАЮТ НАС О ГЛАС О ВАН И Е ВО Ф СТ ЭК РОСС И И Количество рассмотренных
ФСТЭК России документов по защите информации государственных информационных систем за и года год год
Количество рассмотренных документов в 2021 году увеличилось в 1,5
раза
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
Утверждена
ФСТЭК России февраля 2021 г.
МЕТОДИКА ОЦЕНКИ УГРОЗ БЕЗОПАСНОСТИ
ИНФОРМАЦИИ
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
Утверждена
ФСТЭК России февраля 2021 г.
МЕТОДИКА ОЦЕНКИ УГРОЗ БЕЗОПАСНОСТИ
ИНФОРМАЦИИ
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
Утверждена
ФСТЭК России февраля 2021 г.
МЕТОДИКА ОЦЕНКИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ - по Методике ИСПДн
695 - новой Методике
2021 года
ТИПОВЫЕ ЗАМЕЧАНИЯ ПОРА С СМОТРЕНИЮ МОДЕЛЕЙ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМ Не в полном объеме определены негативные последствия для видов (рисков) ущерба, а также объекты воздействия
Не оценены виды нарушителей, которые могут реализовывать угрозы безопасности информации
Внутренние пользователи не признаются актуальными нарушителями
Не в полном объеме представлено описание сценариев реализации угроз безопасности информации
Не оценены угрозы безопасности информации, связанные с технологией контейнеризации, представленными ФСТЭК России способами
Для информационно-телекоммуникационной инфраструктуры центра обработки данных, на которой размещается государственная информационная система не оценены угрозы безопасности информации документов возвращаются на доработку
ЭТАПЫ ОЦЕНКИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Определение негативных последствий, которые могут наступить от реализации (возникновения) угроз безопасности информации
Инвентаризация систем и сетей и определение возможных объектов воздействия угроз безопасности информации
Определение источников угроз безопасности информации и оценка возможностей нарушителей по реализации угроз безопасности
информации
Оценка способов реализации (возникновения) угроз безопасности
информации
Оценка сценариев реализации угроз безопасности информации в системах и сетях
Этап 1 Определение негативных
последствий
Этап 2 Определение объектов
воздействий
Этап 3 Оценка возможности реализации угроз и их актуальности
ИСТОЧНИКИ ИСХОДНЫХ ДАННЫХ
Утверждена
__________ 202_ г.
Модель угроз безопасности информации
Согласована ФСБ России 202_ г.
Согласована
ФСТЭК России 202_ г.
Технические задания на создание систем и сетей, программная (конструкторская) и эксплуатационная руководства, инструкции) документация
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
Утверждена
ФСТЭК России февраля 2008 г.
БАЗОВАЯ МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ
КОНТРОЛЮ
Утверждена
ФСТЭК России февраля
2021 г.
МЕТОДИКА ОЦЕНКИ УГРОЗ БЕЗОПАСНОСТИ
ИНФОРМАЦИИ
Нормативные правовые акты Российской Федерации, в соответствии с которыми задаются и функционируют системы и сети, содержащие в том числе описание назначения, задач (функций) систем и сетей, состав обрабатываемой информации и ее правовой режим
Возможности нарушителей
Негативные последствия
Объекты воздействия угроз безопасности
информации
Тактики и техники
ВЕДЕНИЕ МОДЕЛИ УГРОЗ В ЭЛЕКТРОННОМ ВИДЕ Банк данных угроз безопасности
Новые угрозы безопасности информации
Удобство ведения Модели угроз безопасности информации в электронном виде в период эксплуатации систем и сетей
Модель угроз

Оператор
Поставщик услуг
Приложения
Данные
Среда выполнения
Связующее программное обеспечение
Операционная система
Платформа виртуализации
Аппаратная платформа
Система хранения данных
Инфраструктура оператора
Инфраструктура как услуга
Платформа как услуга
Программное обеспечение как услуга
Сетевая инфраструктура
Приложения
Данные
Среда выполнения
Операционная система
Платформа виртуализации
Аппаратная платформа
Система хранения данных
Сетевая инфраструктура
Приложения
Данные
Среда выполнения
Связующее программное обеспечение
Операционная система
Платформа виртуализации
Аппаратная платформа
Система хранения данных
Сетевая инфраструктура
Приложения
Данные
Среда выполнения
Связующее программное обеспечение
Операционная система
Платформа виртуализации
Аппаратная платформа
Система хранения данных
Сетевая инфраструктура
Связующее программное обеспечение
РАС ПРЕДЕЛЕ НИЕ ОТВЕТСТВЕННОСТИ ПРИ ОЦЕНКЕ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ МЕЖДУ ОПЕРАТОРОМ И ПОСТАВЩИКОМ УСЛУГ Вариант. Включение в модель угроз системы или сети угроз, актуальных для инфраструктуры поставщика услуг Вариант. Включение в модель угроз системы или сети ссылки на модель угроз безопасности информации инфраструктуры поставщика услуг
ОПРЕДЕЛЕНИЕ НЕГАТИВНЫХ ПОСЛЕДСТВИЙ НАПРИМЕР Е ИНФОРМАЦИОННОЙ СИСТЕМЫ ОРГАНА ГОСУДАРСТВЕННОЙ ВЛАСТИ bИнформирование граждан о деятельности органа власти
Реализация полномочий ОГВ
Предоставление государственной услуги
Цели:
Прием обращений граждан Ведение реестра юридических лиц для осуществления для разрешительной
деятельности
Задачи
Повышение качества предоставления государственных услуг
Техническое задание на создание информационной
системы
Проектная документация
Концепция создания информационной системы
Положение об органе государственной власти
Нормативный правовой акт о создании системы
Федеральный закон О персональных данных»
Федеральный закон Об информации, информационных технологиях и о защите информации»
Отсутствие доступа к государственной услуге
Неспособность выполнения договорных обязательств
Отсутствие возможности информирования граждан
Увеличение количества жалоб в органы государственной власти или органы местного самоуправления
Финансовый, иной материальный ущерб физического лица
1.Исходные данные
3.Негативные последствия
2.Область деятельности
ПРОВЕДЕНИЕ ЭКСПЕРТНОЙ ОЦЕНКИ РИСКОВ (УЩЕРБА) В СООТВЕТСТВИИ С МЕТОДИКОЙ ОЦЕНКИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ последствия от реализации угроз безопасности
информации
Опросный
метод
Шкала
измерений
Низкий
Средний
Высокий
Формирование результатов с занесением в таблицу
ЭКСПЕРТНАЯ ОЦЕНКА НЕГАТИВНЫХ ПОСЛЕДСТВИЙ НАПР ИМЕ РЕ СИСТЕМЫ ОРГАНА ГОСУДАРСТВЕННОЙ ВЛАСТИ Эксперты Отсутствие доступа к государственной услуге
Финансовый, иной материальный ущерб физического лица
Отсутствие возможности информирования
граждан
Увеличение количества жалоб в органы государственной власти или органы местного
самоуправления
Неспособность выполнения договорных
обязательств
Специалист по защите
информации
низкий
высокий
высокий
высокий
высокий
Специалист
финансово-
экономического
объекта
средний
низкий
высокий
высокий
высокий
Специалист ответственный за эксплуатацию сетей
связи
высокий
средний
низкий
высокий
высокий
Специалист правового
отдела
высокий
высокий
средний
низкий
высокий
Специалист ответственный за эксплуатацию АСУ ТП
высокий
высокий
высокий
средний
Низкий
Итоговое значение
высокий
высокий
высокий
высокий
высокий

ГРУППИРОВАНИЕ ИНФОРМАЦИОННЫХ РЕСУРСОВ И КОМПОНЕНТОВ НАПРИМЕР ЕГО СУДА Р СТ ВЕН НОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПРИ ОПРЕДЕЛЕНИИ ОБЪЕКТОВ ВОЗДЕЙСТВИЯ bИнформация (данные, содержащаяся в системах и
сетях
Программно-аппаратные средства обработки и хранения информации
Программные средства Негативные последствия от реализации (возникновения) угроз безопасности
информации
Персональные данные
Конфигурационная информация сетевого
оборудования
Аутентификационная информация Специальное ПО (веб-приложение)
Серверное ПО Система управления базами данных и др.
Веб-сервер
Сервер базы данных
АРМ
База данных
Телекоммуникационные оборудование
Отсутствие доступа к ГИС
Увеличение количества жалоб в органы государственной власти или органы местного самоуправления Появление негативных публикаций в
общедоступных
источниках о ГИС
Разглашение персональных данных граждан
ВИДЫ ВОЗДЕЙСТВИЯ НА ИНФОРМАЦИОННЫЕ РЕСУРСЫ Г И СОР ГАНА ГОСУДАРСТВЕННОЙ ВЛАСТИ bНегативные последствия
Объекты воздействия
Виды воздействия
Разглашение персональных данных граждан
База данных
Утечка идентификационной информации граждан из базы данных Отсутствие доступа к ГИС
Веб-приложение портала государственных услуг
Отказ в обслуживании веб-приложения
Не предоставление государственных услуг
Система управления содержимым веб-приложения сайта) ГИС
Подмена информации на страницах портала на недостоверную
Не предоставление государственных услуг
Сервер баз данных ГИС
Отказ в обслуживании сервера управления базами данных Не предоставление государственных услуг
Подмена информации в базах данных на недостоверную Не предоставление государственных услуг
Утечка персональных данных граждан
ОПРЕДЕЛЕНИЕ ИСТОЧНИКОВ УГРОЗ bСпециальные службы иностранных
государств
Преступные группы криминальные
структуры)
Авторизованные
пользователи
Цели нарушителей
Перечень
негативных последствий от реализации угроз безопасности информации
Возможные цели нарушителей приведены в приложении
№ 6 к Методике
ОПРЕДЕЛЕНИЕ ИСТОЧНИКОВ УГРОЗ
Специальные службы иностранных
государств
Преступные группы криминальные
структуры)
Авторизованные
пользователи
Банк данных угроз безопасности информации
Методика оценки угроз безопасности информации
Потенциал нарушителей
Уровень возможностей
нарушителей
Низкий
Средний
Высокий
Базовый
Базовый с повышенными
возможностями
Средний
Высокий

ОПРЕДЕЛЕНИЕ ВОЗМОЖНЫХ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Возможные угрозы
Способы реализации угроз
Объекты воздействия
Актуальные нарушители
Интерфейсы
Общий перечень угроз Пункт 5.1.4
Методики
Пункт 5.2.3
Методики
Пункт 5.2.4
Методики
Пример описания угрозы безопасности информации
УБИ.001 Угроза
несанкционированного доступа к
АРМ
пользователя путем внедрения вредосного кода
УБИ.003 Угроза отказав обслуживании
веб-портала путем эксплуатации уязвимостей
УБИ.004 Угроза подмены информации, содержащейся в базе данных, из-за ошибочных действий
Угрозы, содержащие в банке данных угроз
(bdu.fstec.ru)

ПРИМЕРЫ ОПИСАНИЙ СЦЕНАРИЕВ РЕАЛИЗАЦИИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Пример Пример Пример Пример 4

ОПРЕДЕЛЕНИЕ СЦЕНАРИЕВ РЕАЛИЗАЦИИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Выбирается некоторая начальная точка сценария Проводится поиск последовательности тактик, которая потенциально может привести к получению нарушителем доступа в целевой сегмент
3
• Определяются сценарии реализации угрозы безопасности информации на уровне тактик Выбираются компоненты, за счет эксплуатации которых нарушителем может быть реализована каждая тактика Производится поиск последовательности техник, которые позволят нарушителю создать условия, необходимые для получения доступа в следующий сегмент систем и сетей до целевого сегмента Производится поиск последовательности техник в целевом сегменте
ИЗМЕНЕНИЯ В МЕТОДИКУ ОЦЕНКИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Изменение подхода к моделированию угроз систем и сетей в инфраструктуре поставщика услуг
Уточнение процедуры определения негативных последствий Уточнение процедуры определения объектов воздействий
Изменение процедуры определения актуальных угроз безопасности информации
Доработка раздела угроз, содержащихся в банке данных
Автоматизация процесса формирования перечня возможных угроз
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
Утверждена
ФСТЭК России февраля 2021 г.
МЕТОДИКА ОЦЕНКИ УГРОЗ
БЕЗОПАСНОСТИ ИНФОРМАЦИИ
СПАСИБО ЗА ВНИМАНИЕ!
Начальник отдела управления ФСТЭК России
Гефнер Ирина Сергеевна