Компьютеры, мобильные телефоны, сервера и люди – это постоянные активы, которыми обладает почти любая компания. Именно активы играют большую роль в бизнесе и имеют определенную ценность для компании. Активы хранят и обрабатывают информацию, способствуют организации достигать максимальной эффективности за счёт увеличения инвестиций, расширения своих площадей, сокращению убытков и накладных расходов.
Активы являются наиболее ценным в компании, активы надо беречь как зеницу ока. Они как маленький ребёнок требует повышенного внимания: не увеличишь мощность сервера в связи с приростом очередной БД, упадет время обработки данных, а это время, а время, как известно стоит денег. Не сделаешь активам инъекцию или не дашь им иммунитета, как тут же ваши активы атакуют различного рода вирусы, шпионские программы и т.д. и т.п. Атаковать и наносить вред вашим активам может человек или мать природа, каждый по отдельности или все вместе. Ваши активы подвергаются многочисленным видам угроз.
Для того что бы предвидеть откуда к вашим активам подберется неприятность, необходимо знать врага в лицо, уметь ему противостоять. Одно из умений – это правильно проводить классификацию таких угроз, знать их сильные и слабые стороны, методы воздействия и каналы по которым они к вам приходят. Все эти параметры являются неотъемлемой частью одной большой библиотеки – модели угроз.
А что же является моделью угроз, что в ней описывать и как её составлять, мы попробуем дальше разобраться.
«Модель угроз содержит единые исходные данные по угрозам безопасности…» говорит нам «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 15.02.2008 года. С таким определением соглашается и ФСБ России декларируя: «Модель угроз – перечень возможных угроз». Угроза это синоним к слову опасность, так говорит нам Словарь русских синонимов. А ГОСТ Р51901.1-2002 утверждает что:
Опасности могут быть отнесены к следующим четырем основным категориям:
а) природные опасности (наводнения, землетрясения, ураганы, молния и т. д.);
б) технические опасности, источниками которых являются промышленное оборудование, сооружения, транспортные системы, потребительская продукция, пестициды, гербициды, фармацевтические препараты и т. п.;
в) социальные опасности, источниками которых являются вооруженное нападение, война, диверсия, инфекционное заболевание и т. д.;
г) опасности, связанные с укладом жизни (злоупотребление наркотиками, алкоголь, курение и т. д.).
Для защиты от угроз используются определенные действия, которые снижают риск возникновения такой опасности или совсем ее нейтрализуют. ГОСТ Р 13335 определяет, что для полного отображения опасности надо использовать:
- Меры для защиты активов;
- Приемлемые для организации остаточные риски.
Отсюда мы можем сделать вывод, что для составления модели угроз нам придется использовать следующие параметры:
- Библиотеку угроз;
- Источники угроз;
- Категории, к которым эти угрозы относятся;
- Меры принимаемые для защиты от угроз;
- Актуальность угроз;
- Риски связанные с возникновением описанных угроз, и риски их возникновения на предприятии;
- Потери которые несет организация при возникновении угроз.
Библиотека угроз.
Любая угроза, возникающая в информационной системе предприятия, несёт в себе негативные последствия. Негативные последствия, как правило, рассматриваются как некий ущерб нанесенный существующему активу.
Ущерб может быть причинён каким-либо субъектом, либо явиться в результате действий не связанных с субъектом. Определяют два вида ущерба: материальный и моральный. Например: Хищение информации с сервера компании с целью ее незаконного тиражирования другим лицам наносит как моральный, так и материальный ущерб. Для более качественного составления библиотеки угроз я предлагаю существующие угрозы разделить на отдельные классы. Классы можно разделить на угрозы, использующие определённые уязвимости, на случайные и преднамеренные, на угрозы воздействующие на операционные системы или прикладные программы и т.д. и т.п.
Подчеркнуть угрозы можно из различных российский и зарубежных стандартов, из компьютерной литературы по информационной безопасности, из документов ФСТЭК и ФСБ России, ну и конечно же из поисковых систем.
Категории угроз.
Мы говорили, что ГОСТ Р51901.1-2002, делит угрозы на несколько классов, давайте на них подробней остановимся.
Стихийное угрозы - это угрозы, возникающие в результате природных катаклизмов:
· Пожаров;
· Наводнений;
· Землетрясений;
· Цунами и т.д.
В модели угроз, природные катаклизмы занимают небольшое пространство, однако о них тоже не стоит забывать. И в обязательном порядке включать в модель угроз. Во внимание необходимо принимать абсолютно все разновидности угроз. В сфере защиты информации большое внимание уделяется угрозам, связанных с деятельностью человека, преднамеренным или случайным.
Человек, это физическое лицо, которое стремиться нанести ущерб вашей организации или попросту злоумышленник. Действия и описание злоумышленника описывает модель нарушителя. Злоумышленник может быть внешним, действующий за пределами контролируемой зоны и внутренний, действующий в пределах контролируемой зоны.
К внешним нарушителям могут быть:
1. Конкуренты;
2. Члены ОПГ;
3. Недобросовестные партнеры
4. Разведывательные службы иностранных государств и т.д.
Ко внутренним нарушителям, как правило, относятся работники организации, использующие легально предоставленные права и полномочия. Ими могут быть:
1. Сотрудники, получившие легальный доступ в информационную систему, а также легальный доступ в КЗ;
2. Сотрудники, имеющие легальный доступ в КЗ, но не имеющие доступ в информационную систему (уборщица, водитель…);
3. Сотрудники, имеющие легальный доступ в информационную систему, но не имеющие доступ в КЗ (удаленные сотрудники).
Риски.
Все риски должны быть учтены и зафиксированы, но для их обработки, организация сама для себя определяет критерии такого выбора. Риски могут быть приняты или не приняты. Для неприятия риска могут быть использованы два параметра:
- низкая стоимость риска или когда внедрение системы защиты экономически не выгодно.
Определение риска может быть как качественным, так и количественным.
Качественное определение риска – это определение, где риск оценивается экспертом или группой экспертов. Качественное определение риска всегда является субъективным, так как чаще всего основывается на мнении и знании эксперта определенной области. «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденная заместителем директора ФСТЭК России говорит нам, что оценка проводится качественным путем. В этом же документе не указано, что является экспертной оценкой и кто может ее осуществлять. Но следуя простой человеческой логики, мы приходим к мнению, что эксперт этот тот человек, который прошел необходимые курсы повышения квалификации согласованные со ФСТЭК и\или ФСБ России. Только такой человек может делать оценку рисков и составлять модель угроз. Для оценки рисков существуют отдельные методики и программы, которые можно найти в глобальной сети. Их немного, но они есть. На мой взгляд, выражение риска должно носить определенный финансовый показатель, по которому будет хорошо виден ущерб, нанесённый компании, в результате атаки на активы или в результате не применения мер защиты. Такой показатель можно взять из процентов годового оборота или годовой прибыли, самое главное что бы этот показатель был достаточно четким и имел под собой как математическое, так и логическое обоснование.
Меры защиты:
Меры защиты информации, применяемые в компании, могут быть организационными или техническими.
Организационные меры, менее затратные по отношению к техническим, но наиболее эффективные, что подтверждается многолетней практикой. К числу организационных мер относятся:
- создание службы безопасности на предприятии;
- внедрение положения о защите информации в компании;
- ограничение числа лиц к определенному виду информации;
- постоянный мониторинг событий связанных с нарушением информационной безопасности;
Организационные меры играют большую роль в обеспечении безопасности активов. Организационные меры – это тот единственный рычаг управления, который остается, когда другие методы и средства отсутствуют или не могут обеспечить необходимый уровень защиты.
Технические средства защиты информации, как правило, являются дополнением к организационным мерам и призваны устранить недостатки организационных мер. Для защиты компьютерных систем чаще всего используются технические средства способствующие предотвращению несанкционированного доступа к таким системам. К основным методам защиты информации от НСД как правило относят:
· Аутентификация и авторизация;
· Разграничение прав доступа (мандатный и дискреционный);
· Криптографическая защита;
· Резервирование и восстановление;
· Обнаружение и предотвращение атак и т.д.
Информация может быть считана и с предметов находящихся в непосредственной близости от источника информации – это канал утечки информации. Основным признаком такого канала является физическая природа носителя. По этому признаку выделяют акустические, оптические, радиоэлектронные и материально-вещественные носители информации. Такие носители информации также необходимо защищать техническими устройствами.
Не следует также забывать и о правовых нормах защиты информации, но надо помнить, что при использовании законодательных мер, с сотрудниками компании необходимо постоянно проводить разъяснительную работу. Правовые меры эффективны только при постоянном общении с сотрудниками компании. В модели угроз необходимо указывать меры по предотвращению угрозы. На сколько детально вы это будете делать, зависит только от вас. Вы можете просто написать один из вариантов: технические меры или организационные, а можете детально описать выбранный вами метод включая полное описание мер защиты информации.
Это краткая инструкция как писать модель угроз, что включать в нее и на что стоит обратить внимание.
Комментариев нет:
Отправить комментарий