Подписаться на рассылку новых сообщений в блоге

Постоянные читатели

воскресенье, 1 мая 2011 г.

Пишем модель угроз



      Компьютеры, мобильные телефоны, сервера и люди – это постоянные активы, которыми обладает почти любая компания. Именно активы играют большую роль в бизнесе и имеют определенную ценность для компании. Активы хранят и обрабатывают информацию, способствуют организации достигать максимальной эффективности за счёт увеличения инвестиций, расширения своих площадей, сокращению убытков и накладных расходов.


Активы являются наиболее ценным в компании, активы надо беречь как зеницу ока. Они как маленький ребёнок требует повышенного внимания: не увеличишь мощность сервера в связи с приростом очередной БД, упадет время обработки данных, а это время, а время, как известно стоит денег. Не сделаешь активам инъекцию или не дашь им иммунитета,  как тут же ваши активы атакуют различного рода вирусы, шпионские программы и т.д. и т.п. Атаковать и наносить вред вашим активам может человек или мать природа, каждый по отдельности или все вместе. Ваши активы подвергаются многочисленным видам угроз.
Для того что бы предвидеть откуда к вашим активам подберется неприятность, необходимо знать врага в лицо, уметь ему противостоять. Одно из умений – это правильно проводить классификацию таких угроз, знать их сильные и слабые стороны, методы воздействия и каналы по которым они к вам приходят. Все эти параметры являются неотъемлемой частью одной большой библиотеки – модели угроз.
А что же является моделью угроз,  что в ней описывать и  как её составлять, мы попробуем дальше разобраться.
«Модель угроз содержит единые исходные данные по угрозам безопасности…» говорит нам «Базовая модель угроз безопасности персональных данных  при их обработке в информационных системах персональных данных» от 15.02.2008 года. С таким определением соглашается и ФСБ России декларируя:  «Модель угроз – перечень возможных угроз». Угроза это синоним к слову опасность, так говорит нам Словарь русских синонимов. А ГОСТ Р51901.1-2002 утверждает что:
Опасности могут быть отнесены к следующим четырем основным категориям:
а) природные опасности  (наводнения, землетрясения, ураганы, молния и т. д.);
б) технические опасности,  источниками которых являются промышленное оборудование, сооружения, транспортные системы, потребительская продукция, пестициды, гербициды, фармацевтические препараты и т. п.;
в) социальные опасности, источниками которых являются вооруженное нападение, война, диверсия, инфекционное заболевание и т. д.;
г) опасности, связанные с укладом жизни (злоупотребление наркотиками, алкоголь, курение и т. д.).
 Для защиты от угроз используются определенные действия, которые снижают риск возникновения такой опасности или совсем ее нейтрализуют. ГОСТ Р 13335 определяет, что для полного отображения опасности надо использовать:
  •   Меры для защиты активов; 
  • Приемлемые для организации остаточные риски.
Отсюда мы можем сделать вывод, что для составления модели угроз нам придется использовать следующие параметры:
  • Библиотеку угроз;
  • Источники угроз; 
  • Категории, к которым эти угрозы относятся;
  • Меры принимаемые для защиты от угроз; 
  • Актуальность угроз; 
  • Риски связанные с возникновением описанных угроз, и риски их возникновения на предприятии; 
  • Потери которые несет организация при возникновении угроз.

Библиотека угроз.
Любая угроза,  возникающая в информационной системе предприятия,  несёт в себе негативные последствия. Негативные последствия, как правило, рассматриваются как некий ущерб нанесенный существующему  активу. 
Ущерб может быть причинён каким-либо субъектом, либо явиться в результате действий не связанных с субъектом.  Определяют два вида ущерба: материальный и моральный. Например: Хищение информации с сервера компании с целью ее незаконного тиражирования другим лицам наносит как моральный, так и материальный ущерб. Для более качественного составления библиотеки угроз я предлагаю существующие угрозы разделить на отдельные классы. Классы можно разделить на угрозы, использующие определённые уязвимости, на случайные и преднамеренные, на угрозы воздействующие на операционные системы или прикладные программы и т.д. и т.п.

Подчеркнуть угрозы можно из различных российский и зарубежных стандартов, из компьютерной литературы по информационной безопасности, из документов ФСТЭК и ФСБ России, ну и конечно же из поисковых систем. 
 Категории угроз.

Мы говорили, что ГОСТ Р51901.1-2002, делит угрозы на несколько классов, давайте на них подробней остановимся.
Стихийное угрозы -  это угрозы, возникающие в результате природных катаклизмов:
·       Пожаров;
·       Наводнений;
·       Землетрясений;
·       Цунами и т.д.
В модели угроз, природные катаклизмы занимают небольшое пространство, однако о них тоже не стоит забывать.  И в обязательном порядке включать в модель угроз. Во внимание необходимо принимать абсолютно все разновидности угроз. В сфере защиты информации большое внимание уделяется угрозам, связанных с деятельностью человека, преднамеренным или случайным.
Человек, это физическое лицо, которое стремиться нанести ущерб вашей организации или попросту злоумышленник. Действия и описание злоумышленника описывает модель нарушителя. Злоумышленник может быть внешним, действующий за пределами контролируемой зоны и внутренний, действующий в пределах контролируемой зоны.
К внешним нарушителям могут быть:
1.      Конкуренты;
2.      Члены ОПГ;
3.      Недобросовестные партнеры
4.      Разведывательные службы иностранных государств и т.д.
Ко внутренним нарушителям, как правило, относятся работники организации,  использующие легально предоставленные  права и полномочия. Ими могут быть:
1.    Сотрудники, получившие легальный доступ в информационную систему, а также легальный доступ в КЗ;
2.    Сотрудники, имеющие легальный доступ в КЗ, но не имеющие доступ в информационную систему (уборщица, водитель…);
3.    Сотрудники, имеющие легальный доступ в информационную систему, но не имеющие доступ в КЗ (удаленные сотрудники).

Риски.
Все риски должны быть учтены и зафиксированы, но для их обработки, организация сама для себя определяет  критерии такого выбора. Риски могут быть приняты или не приняты. Для неприятия риска могут быть использованы два параметра:
- низкая стоимость риска или когда внедрение системы защиты  экономически не выгодно.
Определение риска может быть как качественным, так и количественным.
Качественное определение риска –  это  определение, где риск оценивается экспертом или группой экспертов. Качественное определение риска всегда является субъективным, так как чаще всего основывается на мнении и знании эксперта определенной области.  «Методика  определения актуальных угроз  безопасности персональных данных  при их обработке в информационных системах персональных данных», утвержденная заместителем директора ФСТЭК России говорит нам, что оценка проводится качественным путем. В этом же документе не указано, что является экспертной оценкой и кто может ее осуществлять. Но следуя простой человеческой логики, мы приходим к мнению, что эксперт этот тот человек, который прошел необходимые курсы повышения квалификации согласованные со ФСТЭК и\или ФСБ России. Только такой человек может делать оценку рисков и составлять модель угроз. Для оценки рисков существуют отдельные методики и программы, которые можно найти в глобальной сети. Их немного, но они есть. На мой взгляд, выражение риска должно носить определенный финансовый показатель, по которому будет хорошо виден ущерб, нанесённый компании, в результате атаки на активы или в результате не применения мер защиты. Такой показатель можно взять из процентов годового оборота или годовой прибыли, самое главное что бы этот показатель был достаточно четким и имел под собой как математическое, так и логическое обоснование.
Меры защиты:
Меры защиты информации, применяемые в компании, могут быть организационными или техническими.
Организационные меры, менее затратные по отношению к техническим, но наиболее эффективные, что подтверждается многолетней практикой. К числу организационных мер относятся:
- создание службы безопасности на предприятии;
- внедрение положения о защите информации в компании;
- ограничение числа лиц к определенному виду информации;
- постоянный мониторинг событий связанных с нарушением информационной безопасности;
Организационные меры играют большую роль в обеспечении безопасности активов. Организационные меры – это тот единственный рычаг управления, который остается, когда другие методы и средства отсутствуют или не могут обеспечить необходимый уровень защиты.
Технические средства защиты информации, как правило, являются дополнением к организационным мерам и призваны устранить недостатки организационных мер. Для защиты компьютерных систем чаще всего используются технические средства способствующие предотвращению несанкционированного доступа к таким системам. К основным методам защиты информации от НСД как правило относят:
·       Аутентификация и авторизация;
·       Разграничение прав доступа (мандатный и дискреционный);
·       Криптографическая защита;
·       Резервирование и восстановление;
·       Обнаружение и предотвращение атак и т.д.
Информация может быть считана и с предметов находящихся в непосредственной близости от источника информации – это канал утечки информации. Основным признаком такого канала является физическая природа носителя. По этому признаку выделяют акустические, оптические, радиоэлектронные и материально-вещественные носители информации. Такие носители информации также необходимо защищать техническими устройствами.
Не следует также забывать и о правовых нормах защиты информации, но надо помнить, что при использовании законодательных мер, с сотрудниками компании необходимо постоянно проводить разъяснительную работу. Правовые меры эффективны только при постоянном общении с сотрудниками компании. В модели угроз необходимо указывать меры по предотвращению угрозы. На сколько детально вы это будете делать, зависит только от вас. Вы можете просто написать один из вариантов: технические меры или организационные, а можете детально описать выбранный вами метод включая полное  описание мер защиты информации.
Это краткая инструкция как писать модель угроз, что включать в нее и на что стоит обратить внимание.

Комментариев нет:

Отправить комментарий