Вопрос непраздный и часто возникающий. Чем руководствоваться при создании модели угроз? Есть ли рекомендации ФСТЭК и ФСБ по данному вопросу? Есть ли готовые шаблоны? К сожалению, на последние 2 вопроса ответа со стороны регуляторов нет. Поэтому все руководствуются здравым смыслом и своим пониманием того, как это может быть сделано. Уральцам чуть проще — у них есть методические рекомендации, в которых есть пример шаблона по модели угроз. Он состоит из следующих разделов:
- общие положения
- перечень угроз, представляющих потенциальную опасность для ПДн, обрабатываемых в ИСПДн
- определение актуальных угроз.
Согласно ГОСТ Р 52448-2005 модель угроз должна включать:
- Описание ресурсов инфокоммуникационной структуры (объектов безопасности) сети связи, требующих защиты
- Описание источников формирования дестабилизирующих воздействий и их потенциальных возможностей
- Стадии жизненного цикла сети электросвязи
- Описание процесса возникновения угроз и путей их практической реализации
Приложение к модели должно включать:
- Полный перечень угроз
- Базу данных выявленных нарушений безопасности электросвязи с описанием обстоятельств, связанных с обнаружением нарушением.
Уже неплохо, но содержание тоже неполное. Гораздо полнее и интереснее содержание модели угроз описано в ГОСТ Р 51344-99:
- Характеристика оборудования (техусловия, область применения, использование по назначению)
- Любые относящиеся к делу предположения, которые были сделаны (например, факторы безопасности и т.д.)
- Идентифицированные опасности
- Информация, на основании которой сделана оценка и определение риска (использованные данные и источники)
- Сомнения, связанные с использованными данными и источниками
- Цели, которые должны быть достигнуты защитными мерами (например, конфиденциальность, целостность и т.д.)
- Меры безопасности, принимаемые для устранения выявленных опасностей или уменьшения риска
- Остаточные риски.
Но самым лучшим, на мой взгляд, шаблоном содержания можем похвастаться ГОСТ Р 51901.1-2002, согласно которому модель угроз должна строиться по следующему сценарию:
- Краткое изложение анализа
- Выводы
- Цели и область применения анализа
- Ограничения, допущения и обоснование предположений
- Описание соответствующих частей системы
- Методология анализа
- Результаты идентификации опасностей
- Используемые модели, в т.ч. допущения и их обоснования
- Используемые данные и их источники
- Результаты оценки величины риска
- Анализ чувствительности и неопределенности
- Рассмотрение и обсуждение результатов
- Рассмотрение и обсуждение трудностей моделирования
- Ссылки и рекомендации.
ЗЫ. Это все из курса по моделированию угроз 😉
Вот это кстати интересный вопрос.
Насколько сурово регуляторы будут проверять разработанную оператором модель угроз (если конечно таковая разработана), на соответствие своим требованиям?
На мой взгляд самое правильно определение модели угроз в метод. рек. ФСБ РФ: "перечень возможных угроз". Т.о. в качестве модели угроз достаточно одной таблицы, а вот как ее составлять и обосновывать — это творчество…
ГОСТ Р 51901.1-2002 все-таки больше на АСУТП ориентирован
Алексей, а можете привести "живые" примеры разработанных моделей?
"живую" модель вряд ли кто-либо выкладывать станет, ибо в нормальной организации это ДСПшный документ и за его выкладывание в интернете будут очень серьёзные проблемы.
Александру Шелипову: Учитывая, что нигде не требуется использовать только их методики и формат тоже нигде не определен, то вы вправе сделать это как вам угодно. Я знаю несколько банков, которые так и сделали и нашли у ФСТЭК понимание.
Vair: Определение ФСБ некорректно по сути. Просто перечень угроз не говорит ни о чем. А главное, что вторая группа экспертов или тот, кто будет перепроверять модель, не смогут ничего сказать об адекватности вашего выбора, т.к. он ничем не обоснован и не подкреплен.
Анонимному: Он на технологическую безопасность ориентирован. Почему не взять из него лучшее, коль скоро регуляторы не в состоянии предложить ничего стоящего.
Dmitry: Модель Банка России. Мы на ее основе делаем типовые модели для банковского сообщества.
Алексею Лукацкому: Учитывая, что мне приходится заниматься ИБ в госоргане, нам рекомендовали придерживаться Базовой модели угроз, спущенной нам свыше под грифом ДСП. Поэтому наша модель угроз по сути представляет выдержку Базовой модели, адаптированную под наш конкретный случай. Вышестоящий орган власти был только рад такому подходу (тем более это орган нам такой подход и подсказал))).
Я вам не завидую, потому что согласно базовой модели вы должны рассмотреть блок питания компьютера как носитель вредоносных программ. Я темой ИБ занимаюсь давно, но не слышал, чтобы на блоках питания водились вредоносные программы. Биологические вирусы водятся, а вот компьютерные — нет 😉
Ну у нас всё не так страшно. (По крайней мере вышестоящий орган так полагает)
Настолько критично нас ещё не проверяли и вроде как не должны. Хотя знаю непредсказуемость наших регуляторов, можно предполагать, что им будет интереснее провести показательное дело с наказанием "виновных", чтобы остальные задумались. И вот тут-то регуляторы и начнут по полной применять различные трактовки нормативки.
Как страшно жить…
Очень познавательная статья получилась! Респект автору! 🙂
Алексей, собираемся делать моделирование угроз для разрабатываемой системы ДБО в одном из банков, в связи с этим хочу посоветоваться.
Заказчик хочет, чтобы моделирование угроз проводилось в соответствии с СТО БР ИББС.
Однако сама ДБО по факту хранит только ПДн клиентов, номера карт в маскированном виде, номера счетов и данные для аутентификации клиентов.
Какой метод моделирования угроз посоветуете? В голову приходит комбинированный метод взять банковскую частную модель угроз ИС ПДн для персданных клиента, а остальные угрозы моделировать используя методики Microsoft/OWASP и т.п., как более "приближенные к практике."
Ну методика СТО допускает применение любых других подходов. Все они похожи. Просто методики MS, OWASP, Cisco и т.п. учитывают дополнительную специфику рассматриваемой в модели области и позволяют не забыть те или иные моменты — Web-угрозы, человеческий фактор и т.д.