Мастер класс по моделированию угроз

1/424© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling

Построение модели угроз

© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 2/424

� Цель: Понимание методов разработки модели угроз как с практической точки зрения, так и для выполнения требования регуляторов

� На сегодняшний день модель угроз обязательно требуется только по линии защиты персональных данных


Модель угроз

Служба ИБ

Регуляторы

Надзорный орган

ВендорИнтегратор

Нарушитель

Юрист


Общий подход к оценке угроз


“Анализ рисков, оценка их вероятности и тяжести последствий похожа на посещение игроками Лас-Вегаса – зал общий, а система игры у каждого своя”


� Совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и(или) несанкционированными и(или) непреднамеренными воздействиями на нее

Рекомендации ФСТЭК по защите коммерческой тайны и КСИИ

� Потенциальная причина инцидента, который может нанести ущерб системе или организации

ГОСТ Р ИСО/МЭК 13355-1:2006, ГОСТ Р ИСО/МЭК 27002


� Угрозы безопасности персональных данных -совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных

Требования ФСТЭК по защите персональных данных


� Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации

ГОСТ 50.1.056-2005

� Возможная причина нежелательного инцидента, который может закончиться ущербом для системы или организации

ISO\IEC 13355-1:2004, ГОСТ Р ИСО/МЭК 27002


� Вероятная частота и вероятная величина будущих потерь

Метод FAIR

� Сочетание вероятности события и его последствий

ГОСТ Р 51901.1-2002

� Комбинация вероятности события и его последствий

ГОСТ Р ИСО/МЭК 17799-2005

� Вероятность причинения ущерба вследствие того, что определенная угроза реализуется в результате наличия определенной уязвимости

ГОСТ Р 52448-2005


� Потенциальная опасность нанесения ущербаорганизации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов

ГОСТ Р ИСО/МЭК 13335-1-2006

ГОСТ Р ИСО/МЭК 13569 (проект)

� Риск – сочетание вероятности нанесения ущерба и тяжести этого ущерба

ГОСТ Р 51898-2002

� Состояние неопределенности, в котором некоторые возможности приводят к потерям, катастрофам или иным нежелательным результатам

Даг Хаббард


� Риск описывается комбинацией следующих элементов:

Тяжесть возможного ущерба (последствия)

Вероятность нанесения ущерба

Частота и продолжительность воздействия угрозы

Вероятность возникновения угрозы

Возможность избежать угрозы или ограничить ущерб от нее

� Эффективность управления рисками зависит от того, сможем ли мы оценить эти элементы


� Также надо учитывать и другие характеристики (например, согласно ISO 13335)

Источник – внутренний или внешний;

Мотивация, например финансовая выгода, конкурентное преимущество

Частота возникновения

Правдоподобие

Вредоносное воздействие

� Нельзя забывать про длительность воздействия угрозы

Разовая утечка информации vs. DDoS-атака в течение квартала


Что такое модель угроз?


� Описание источников угроз ИБ; методов реализации угроз ИБ; объектов, пригодных для реализации угроз ИБ; уязвимостей, используемых источниками угроз ИБ; типов возможных потерь (например, нарушение доступности, целостности или конфиденциальности информационных активов); масштабов потенциального ущерба

РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций банковской системы РФ. Методика оценки рисков нарушения информационной безопасности»

� Физическое, математическое, описательное представление свойств и характеристик угроз безопасности информации

ГОСТ 50922-2006 «Защита информации. Основные термины и определения»


� Модель нарушителя - предположения о возможностях нарушителя, которые он может использовать для разработки и проведения атак, а также об ограничениях на эти возможности

� Модель угроз - перечень возможных угроз

Методические рекомендации ФСБ по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации


Зачем нужна модель угроз?


� Систематическая идентификация потенциальных опасностей

� Систематическая идентификация возможных видов отказов

� Количественные оценки или ранжирование рисков

� Выявление факторов, обуславливающих риск, и слабых звеньев в системе

� Более глубокое понимание устройства и функционирование системы

� Сопоставление риска исследуемой системы с рисками альтернативных систем или технологий


� Идентификация и сопоставление рисков и неопределенностей

� Возможность выбора мер и приемов по обеспечению снижения риска

� ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ риска технологических систем»

� Основная задача моделирования угроз – обоснование решений, касающихся рисков


� Модель нарушителя должна ответить на следующие вопросы

Какие угрозы могут быть реализованы?

Кем могут быть реализованы эти угрозы?

Модель нарушителя

С какой вероятностью могут быть реализованы эти угрозы?

Каков потенциальный ущерб от этих угроз?

Каким образом могут быть реализованы эти угрозы?

Средства и каналы реализации

Почему эти угрозы могут быть реализованы?

Уязвимости и мотивация

На что могут быть направлены эти угрозы?

Как можно отразить эти угрозы?


� Согласно РС БР ИББС-2.2-2009 моделирование угроз предшествует оценке рисков

� Согласно другим стандартам и лучшим практикам анализ угроз и анализ рисков очень тесно переплетены

� Анализ рисков позволяет ответить на 3 вопроса (согласно ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ риска технологических систем»)

Что может выйти из строя (идентификация опасности)

С какой вероятностью это может произойти (анализ частоты)

Каковы последствия этого события (анализ последствий)


Качественная или количественная оценка?


� Отсутствие количественной оценки не позволяет

Оценить адекватность затрат на снижение рисков

Оценить возможность перекладывания рисков

Продемонстрировать снижение рисков

Сравнить текущий уровень с предыдущими значениями

Качественная оценка

Качественная оценка Количественная

оценкаКоличественная

оценка


� Количественная оценка не всегда возможна из-за

Недостатка информации о системе

Недостатка информации о деятельности, подвергающейся оценке

Отсутствии или недостатке данных об инцидентах

Влияния человеческого фактора

� Качественная оценка требует

Четкого разъяснения всех используемых терминов

Обоснования всех классификаций частот и последствий

Понимания всех плюсов и минусов качественной (экспертной) оценки


� Основной принцип: если опросить людей, обладающих компетенцией в интересующем нас вопросе, их усредненная оценка обычно будет точна более чем на 80%

Если провести второй раунд, предварительно ознакомив экспертов с результатам первого, то результативность становится еще выше

� Модификация метода: брать среднюю оценку после отбрасывания крайних значений

Данный метод рекомендуется применять, если эксперты не могут подкрепить свое мнение серьезными аргументами


Эксперт 1 50 55






Психология восприятия риска


� Даже при наличии фактов и достаточного объема информации об анализируемой системе у экспертов существует сложность с восприятием риска

� Безопасность основана не только на вероятности различных рисков и эффективности различных контрмер (реальность), но и на ощущениях

� Ощущения зависят от психологических реакций на риски и контрмеры

Чего вы больше опасаетесь – попасть в авиакатастрофу или автоаварию?

Что вероятнее – пасть жертвой террористов или погибнуть на дороге?


� Реальность безопасности ≠ ощущения безопасности

� Система может быть безопасной, даже если мы не чувствуем и не понимаем этого

Мы можем думать, что система в безопасности, когда это не так

� Психология восприятия риска безопасности

Поведенческая экономика

Психология принятия решений

Психология риска

Неврология


� Число погибших в авиакатастрофах в России в 2008 году – 139 человек

1980 – 1989 гг. – в СССР 2624 жертвы авиакатастроф

� Трагедия 11 сентября в США унесла жизни 2973 человек

� Число жертв автоаварий в России – около 100 человек ежедневно (!)

1,2 млн. жертв в год, 20-50 млн. получают травмы

� От отравления пищей в США ежегодно умирают 5000 человек

ОщущениеОщущениеРеальностьРеальность


� Мы преувеличиваем одни риски и преуменьшаем другие

� Наше восприятие риска чаще всего «хромает» в пяти направлениях

Степень серьезности риска

Вероятность риска

Объем затрат

Эффективность контрмер

Возможность адекватного сопоставления рисков и затрат


Производят глубокое впечатление Не привлекают внимание

Случаются редко Являются обычными

Персонифицированы Анонимны

Неподконтрольны или навязаны

извне

Контролируются в большей

степени или принимаются

добровольно

Обсуждаются Не обсуждаются

Преднамеренные или

спровоцированные человеком

Естественные

Угрожают непосредственно Угрожают в будущем, или границы

которых размыты

Внезапны Развиваются медленно, со

временем


Угрожают человеку лично Угрожают другим

Новые и незнакомые Знакомые

Неопределенные Понятные

Угрожающие их детям Угрожающие им самим

Оскорбительные с моральной

точки зрения

Желательные с моральной точки

зрения

Полностью лишенные выгод Связанные с дополнительными

выгодами

Выходят за рамки обычной

ситуации

Характерны для обычной ситуации

Недоверенные источники Доверенные источники


� Мобильные вирусы

«Операторы сотовой связи готовятся к эпидемиями вирусов для мобильных телефонов»

«Мобильный апокалипсис лишь вопрос времени»

� Западные производители ПО специально вставляют закладки, чтобы украсть вашу информацию

� В моем антивирусе для смартфона всего 1000 записей и ни одного предупреждения за 2 (!) года

� Отечественный разработчик несет большую угрозу

он пока не дорожит репутацией

Более опасный риски

Более опасный риски РеальностьРеальность


� В человеческом мозгу 2 системы отвечают за анализ рисков

Примитивная интуитивная –работает быстро

Продвинутая аналитическая –принимает решения медленно

Продвинутая система появилась только у высших приматов – еще не отшлифована

Обе системы работают одновременно и конфликтуют между собой


� Человек не анализирует риски безопасности с точки зрения математики

Мы не анализируем вероятности событий

� Люди не могут анализировать каждое свое решение

Это попросту невозможно

� Человек использует готовые рецепты, общие установки, стереотипы, предпочтения и привычки


� «Предубеждение оптимизма» -мы считаем, что «с нами это не случится», даже если это случилось с другими

Несмотря на эпидемии и атаки других компаний, сами мы считаем, что нас это никак не коснется – мы игнорируем или преуменьшаем риски сетевой безопасности

� Человеческий мозг не умеет работать с большими числами

1 шанс из 2-х против 1 шанса из 8-ми гораздо понятнее, чем 1 шанс из 10000 против 1 шанса из 100000

1 шанс из 10000 = «почти никогда»


� «Эвристика доступности» –события, которые легче вспоминаются, имеют больший риск

Или произошли недавно

Или имели более серьезные последствия (для эксперта)

Или преподносятся ярко

� Люди склонны игнорировать действительные вероятности в случаях, когда ситуация эмоционально окрашена

Терроризм, авиакатастрофы


� Риски, имевшие место когда-либо в жизни эксперта, имеют больший вес, чем те, с которыми он никогда не встречался

Мы будем бороться с атаками, уже произошедшими в прошлом, игнорируя будущие угрозы

� Чем более выдающимся кажется событие, тем выше вероятность, что оно покажется случайным

СМИ и вендоры часто вредят адекватности восприятия эксперта


Моделирование угроз на разных этапах жизненного цикла


� Чем позже осуществляется моделирование угроз, тем дороже обходится борьба с ними

Дизайн и архитектура

• 1Х

Внедрение

• 5Х

Тесты интеграции

• 10Х

Бета-тестирование

• 15Х

Боевой запуск

• 30Х


Стратегии анализа рисков


Источник: ГОСТ Р ИСО/МЭК ТО 13335-3-2007(ISO\IEC TR 13335-3-1998)


� Принятие усредненного значения риска для всехсистем

� Выбор стандартных средств защиты (ISO/IEC TR 13335-4 или ISO\IEC 27002)

� Сложно применим в организациях с системами разного уровня критичности, разными видами конфиденциальной информации

Достоинства

• Минимум ресурсов

• Унификация защитных мер

Недостатки

• Завышение или занижение уровня риска


� Проведение анализа, основанного на практическом опыте конкретного эксперта


• Не требует значительных средств и времени


• Увеличивается вероятность пропуска важных деталей

• Трудности при обосновании защитных мер

• Возможна низкая квалификация эксперта

• Зависимость от субъективности или увольнения эксперта


� Детальная идентификация и оценка активов, оценка угроз, оценка уровня уязвимости активов и т.д.


• Адекватный выбор защитных мер


• Значительные финансовые, временные и людские ресурсы

• Вероятность опоздать с выбором защитных мер из-за глубокого анализа


� Предварительный анализ высокого уровня для всех систем с последующей детализацией для наиболее критичных для бизнеса систем и использованием базового подхода для менее критичных систем


• Быстрая оперативная оценка систем с последующим выбором адекватного метода анализа рисков

• Оптимизация и эффективность использования ресурсов


• Потенциальная ошибочность отнесения систем к некритичным для бизнеса


Процесс моделирования угроз


� Существует различные описанные процессы моделирования угроз

� Более детально рассмотрим ГОСТ Р 51901.1-2002

Источник: Ford Motor Company


� Определение области применения

� Идентификация опасности и предварительная оценка последствий

� Оценка величины угрозы

� Проверка результатов анализа

� Документальное обоснование

� Корректировка результатов анализа с учетом последних данных


� Область применения должна быть определена и задокументирована

Документы ФСТЭК определяют такое понятие как «контролируемая зона», но оно уже «области применения»

� Этапы определения области применения

Описание оснований для и/или проблем, повлекших моделирование угроз (анализ риска)

Описание исследуемой системы

Установление источников, содержащих информацию о всех технических, правовых, человеческих, организационных факторах, имеющих отношение к системе и проблемам

Описание предположения, ограничивающих анализ


� В ГОСТ Р ИСО/МЭК ТО 13335-3-2007 вводится понятие «границы рассмотрения»

Позволяет избежать ненужных операций и повысить качество анализа рисков

� Для конкретной системы необходимо учитывать

ИТ-активы

Персонал (включая субподрядчиков и персонал сторонних организаций)

Необходимые условия для производственной деятельности (помещения, банкоматы, CCTV и т.п.)

Бизнес-операции


� Необходимо идентифицировать опасности

Известные опасности (происходившие ранее) должны быть четко и точно описаны

Неучтенные ранее опасности должны быть идентифицированы с помощью формальных методов анализа

Предварительная оценка должна основываться на анализе последствий и изучении их основных причин

� Предварительная оценка позволяет сделать следующий шаг

Принятие немедленных мер с целью снижения или исключения опасностей

Прекращение анализа из-за несущественности опасности

Переход к оценке рисков и угроз


� Анализ последствий используется для оценки вероятного воздействия, которое вызывается нежелательным событием

� Анализ последствий должен

Основываться на выбранных нежелательных событиях

Описывать любые последствия, являющиеся результатом нежелательных событий

Учитывать меры, направленные на смягчение последствий, наряду с условиями, оказывающими влияние на последствия

Устанавливать критерии, используемые для полной идентификации последствий

Учитывать как немедленные последствия, так и те, которые могут проявиться по прошествии определенного времени

Учитывать вторичные последствия на смежные системы


� Для эффективной интерпретации значений риска и угроз очень важно понимание неопределенностей и вызывающих их причин

� Анализ неопределенностей предусматривает определение изменений и неточностей в результатах моделирования, которые являются следствием отклонения параметров и предположений, применяемых при построении модели

С анализом неопределенностей тесно связан анализ чувствительности

� Анализ чувствительности подразумевает определение изменений в реакции модели на отклонения отдельных параметров модели


� Проверка анализа позволяет убедиться, что анализ проведен корректно и ничего не забыто

� Для проверки анализа необходимо привлекать людей, не участвующих в анализе

� Проверка анализа включает

Проверка соответствия области применения поставленным задачам

Проверка всех важных допущений

Подтверждение правильности использованных методов, моделей и данных

Проверка результатов на повторяемость


Нарушитель Мотивация Источник Угрозы

� Определение нарушителей, их мотивация и источников угроз позволяет сузить спектр возможных угроз, из которых формируется список актуальных


Нарушители


� ГОСТ Р 52448-2005 «Обеспечение безопасности сетей электросвязи. Общие положения»

Террористы и террористические организации

Конкурирующие организации и структуры

Спецслужбы иностранных государств и блоков государств

Криминальные структуры

Взломщики программных продуктов ИТ

Бывшие сотрудники организаций связи

Недобросовестные сотрудники и партнеры

Пользователи услугами связи



Месть

Достижение денежной выгоды

Хулиганство и любопытство

Профессиональное самоутверждение

� Я бы еще добавил политику и идеологию


Источники угроз



Субъект

Материальный объект

Физическое явление


� РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности»

Неблагоприятные события природного, техногенного и социального характера

Террористы и криминальные элементы

Зависимость от поставщиков/провайдеров/партнеров/клиентов

Сбои, отказы, разрушения/повреждения ПО и техсредств

Внутренние нарушители ИБ

Внешние нарушители ИБ

Несоответствие требованиям надзорных и регулирующих органов


Факторы, воздействующие на информацию

Источники или категории угроз?


� Природные опасности

Наводнения, землетрясения, ураганы, молнии и т.п.

� Технические опасности

� Социальные опасности

Войны, вооруженные нападения, диверсии, эпидемии и т.п.

� Опасности, связанные с укладом жизни

Злоупотребление наркотиками, алкоголь, сектантство и т.п.

� ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ риска технологических систем»


� Национальности руководителей отдела ИБ и службы внутреннего контроля банка – осетин и ингуш

Конфликт

� Клиент банка (на Кавказе) – давний друг семьи, к которой принадлежит руководитель отдела банка

Потенциальная проблема

� Руководитель и подчиненный организации (в Казахстане) из разных кланов (тейпов)

Конфликт

� Не каждая служба ИБ рассматривает эти угрозы


� ГОСТ Р 51275-2006 «Объект информатизации. Факторы, воздействующие на информацию»

Стандарт устанавливает классификацию и перечень факторов, воздействующих на безопасность защищаемой информации, в целях обоснования угроз безопасности информации и требований по защите информации на объекте информатизации

Природа возникновения

Объективные Субъективные

Источник возникновения

Внутренние Внешние


� Внутренние

Передача сигналов

Излучение сигналов, функционально присущие тех.средствам

Побочные электромагнитные излучения

Паразитное электромагнитное излучение

Наводка

Наличие акустоэлектрических преобразователей в элементах тех.средств

Дефекты, сбои и отказы, аварии тех.средств

Дефекты, сбои и отказы ПО


� Внешние

Явления техногенного характера

Природные явления, стихийные бедствия


� Внутренние

Разглашение защищаемой информации лицами, имеющими к ней право доступа

Неправомерные действия со стороны лиц, имеющих право доступа к защищаемой информации

Несанкционированный доступ к информации

Недостатки организационного обеспечения защиты информации

Ошибки обслуживающего персонала


� Внешние

Доступ к защищаемой информации с применением тех.средств

Несанкционированный доступ к защищаемой информации

Блокирование доступа к защищаемой информации путем перегрузки тех.средств обработки информации запросами на ее обработку

Действия криминальных групп и отдельных преступных субъектов

Искажение, уничтожение или блокирование информации с применением тех.средств


Каталоги угроз


� ГОСТы 51901 и 51275 позволяют сформировать высокоуровневый список возможных угроз, который может быть расширен за счет каталогов угроз

� Каталоги угроз

ФСТЭК – «Методика определения актуальных угроз ПДн»

ФСТЭК – «Методика определения актуальных угроз КСИИ»

BSI – Threats Catalogue Force majeur

MAGERIT: Risk Analysis and Management Methodology for Information Systems

ГОСТ Р ИСО/МЭК ТО 13335-3-2007

� Учитывайте, что угрозы постоянно меняются и могут отсутствовать в используемой версии каталога или измениться по сравнению с описанными в ней


D – угрозы, обусловленные преднамеренными действиямиA – угрозы, обусловленные случайными действиямиE – угрозы, обусловленные естественными причинами


Методы анализа рисков и определения опасностей


� Существует множество различных методов анализа рисков / угроз

Универсального метода не существует

� При выборе метода надо учитывать, что должен быть

Научно обоснованным и соответствовать сложности и природе анализируемой системы

Давать результаты в форме, обеспечивающей понимание природы риска/угрозы и способов его контроля

Типовым и обладать свойствами, обеспечивающими возможность прослеживаемости, повторяемости и контролируемости

� В документации необходимо представить обоснование выбранного метода анализа / моделирования


� Метод анализа риска и угроз выбирается исходя из приемлемости целого ряда факторов

� Например, на ранней стадии развития системы могут использоваться менее детализированные методы


� Не стоит опираться только на один метод анализа рисков / угроз – лучше их комбинировать

� Важно помнить, что существенным фактором во многих инцидентах является человеческий фактор и организационные ошибки

Нельзя ограничиваться только технической стороной анализируемой системы


Процесс моделирования угроз(продолжение)


� На практике идентификация опасностей может приводить к очень большому числу сценариев потенциальных инцидентов

Детальный количественный анализ частот и последствий в таком случае не всегда возможен и осуществим

� Необходимо качественно ранжировать сценарии, поместив их в матрицы риска

Детальный количественный анализ осуществляется для сценариев с более высокими уровнями рисков

� Не существует универсальной формы и содержания матрицы риска

Классификация частот и серьезности последствий (как и количество их категорий) могут меняться в зависимости от ситуации


Источник: ГОСТ Р 51901.1-2002:• В – высокая величина риска• С – средняя величина риска• М – малая величина риска• Н – незначительная величина риска

:• Катастрофическое – практически полная потеря анализируемого объекта• Значительное – крупный ущерб системе• Серьезное – серьезный ущерб системе• Незначительное – незначительное повреждение системы


Вероятность


Считаем самостоятельно (экспертная оценка)

Считаем самостоятельно (экспертная оценка) Используем готовую

статистикуИспользуем готовую

статистику

Собственная Чужая

Базовый расчет

Детальный Детальный расчет


� У нас же есть отчеты CSI/FBI, E&Y, PwC, KPMG, МВД, Infowatch, Perimetrix и т.п.!

Мы не знаем условий, при которых произошел инцидент

Мы не имеем деталей по каждому респонденту

Средняя температура по больнице

� Пример: риски для АСУ ТП

Небольшое число внедрений

Публичной статистики нет (базы BCIT и INL не в счет)

Статистики вендоров нет – «закрытые» технологии

Собственной статистики нет – у ИБ/ИТ не доступа к АСУ ТП

Экспертных оценок в России нет


Proofpoint

• 43% утечек через e-mail

Infowatch


IDC


� Собираемая статистика очень сильно зависит от используемых методов опроса, аудитории, желания респондентов делиться информацией, масштаба опроса и даже от того, с какой ноги встал интервьюер

� Не каждая компания приглашает социологов для осуществления опросов


� При отсутствии статистической/исторической информации экспертная оценка является единственным методов определения частоты/вероятности реализации угроз

� Эксперты ранжируют вероятность наступления события исходя из своего опыта и знаний анализируемой системы

� Экспертная оценка является дополняет статистику и зачастую подтверждает ее

� Желательно использовать комбинацию всех методов


Вероятность

Уязвимость

Сила защитной меры

Возможности нарушителя

Угроза

Наличие доступа

Действие


� Профиль (модель) нарушителя

Мотив (причина)

Цель

«Спонсор» (кто помогает ресурсами?)

Потенциальные возможности

Озабоченность косвенным ущербом

Приемлемый уровень риска


� ГОСТ Р ИСО/МЭК 18045 «Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий» определяет в Приложении А (А.8.1) потенциал нападения, зависящий от

Мотивации нарушителя

Компетентности нарушителя

Ресурсов нарушителя


� 2 аспекта - идентификация и использование

Время, затрачиваемое на идентификацию уязвимости

Техническая компетентность специалиста

Знание проекта и функционирования атакуемой системы

Доступ к атакуемой системе

Аппаратное обеспечение/ПО или другое оборудование, требуемое для анализа

� Эти факторы не всегда независимы друг от друга и могут время от времени заменять друг друга

Компетентность � время, доступные ресурсы � время


� Складываются 10 значений из предыдущей таблицы

Таблица – не догма, а руководство к действию

Если значение близко к границе, подумайте об усреднении двух значений

ОО – объект оценки, СФБ – стойкость функции безопасности


� Сравнение/сопоставление с аналогичным риском

ГОСТ Р 51344-99

� Сравнение с риском на аналогичном решении с учетом следующих факторов

Аналогичное оборудование безопасности

Предполагаемое использование и технологии на обоих решениях сравнимы

Опасность и элементы риска сравнимы

Технические условия сравнимы

Условия использования сравнимы

� Необходимо учитывать дополнительные факторы

Например, тип защищаемой информации или потенциал нападения


� Прогнозирование с использованием аналитических методов

«Дерево неисправностей» (Fault Tree Analysis) – диаграмма всех возможных последствий инцидента в системе (МЭК 61025)

«Дерево событий» (Event Tree Analysis) - диаграмма всех возможных последствий данного события

Имитационное моделирование отказов/инцидентов


� Вероятность принимается равной единице, если угроза может быть осуществлена, и нулю – если нет

При отсутствии защитных мер

� Этот подход имеет право на жизнь, но только для небольшого количества систем и сценариев

В обычной жизни это слишком дорого

� �или для угроз, которые являются очень распространенными

� Данный метод применяется в неьольшом количестве различных методик

Ключевые системы информационной инфраструктуры – ФСТЭК

Security Architecture for Enterprise (SAFE) – Cisco

Методика ФСБ по персданным


� Существуют различные градации частот / вероятности опасностей / угроз

Девять уровней – ГОСТ 13569

Шесть уровней – ГОСТ Р 51901.1-2002

Четыре уровня – «Методика определения актуальных угроз ПДн»

Три уровня – ГОСТ Р 52448-2005

И т.п.


Последствия


� ГОСТ Р ИСО/МЭК ТО 13335-4-2007 «Методы и средства обеспечения безопасности. Выбор защитных мер» выделает 6 свойств информации, для которых описываются последствия

Конфиденциальность

Целостность

Доступность

Подотчетность

Аутентичность

Достоверность

� Такая классификация позволяет систематизировать последствия


� Потеря общественного доверия

� Снижение имиджа

� Ответственность перед законом

� Отрицательное влияние на политику организации

� Создание угрозы безопасности персонала

� Финансовые потери


� Принятие неправильных решений

� Обман

� Прерывание коммерческих операций

� Потеря общественного доверия

� Снижение имиджа

� Финансовые потери

� Ответственность перед законом


Оценка потерь


� Анализ риска не может быть осуществлен без оценки потерь

Потеря в природе риска. Без потерь рисков не бывает

� Оценка риска не имеет смысла, если мы не можем определить ценность актива, подверженного рискам

� Особенности оценки потерь

Точная оценка невозможна по своей природе. Многие ее и не ждут, столкнувшись с потерями при инвестиционных, рыночных рисках�

Worst-case (самый худший случай) не имеет отношения к анализу рисков, т.к. исчезает элемент вероятности


� Информационный актив может иметь разную ценность

В разное время, для разных аудиторий, в разных бизнес-процессах

� Потери могут принимать разные формы

� Одно событие может быть причиной нескольких форм потерь

� Сложные взаимосвязи между разными формами потерь

� Объем потерь определяется множеством факторов


� Ценность стакана воды в городских условиях равна нулю

� Вода есть везде

� Стакан воды в пустыне бесценнен

� Воды практически нет

Цена стакана воды одинакова в обоих условиях(в худшем случае ценность = цене)


� Потери

Прямые – потеря доходов, штрафы за нарушение договорных обязательств, штрафы надзорных органов, иски

Косвенные – упущенная выгода, потеря доли рынка, снижение лояльности заказчиков/партнеров, репутация

� Приобретение

Ускорение сделок, снижение времени вывода продукта на рынок, рост продуктивности, рост числа клиентов и т.д.

Ценность потериЦенность потери Ценность

приобретенияЦенность

приобретения


• Простои

• Ухудшение психологического климатаПродуктивность

• Расследование инцидента

• PR-активностьРеагирование

• Замена оборудования

• Повторный ввод информацииЗамена

• Судебные издержки, досудебное урегулирование

• Приостановление деятельностиШтрафы

• Ноу-хау, государственная, коммерческая тайна

• Отток клиентов, обгон со стороны конкурентаКонкуренты

• Гудвил

• Снижение капитализации, курса акцийРепутация


� Цена «сбоя» складывается из множества параметров

Восстановление утерянной информации

«Процедурные» затраты

Стоимость времени восстановления

Взаимодействие с пострадавшими стейкхолдерами

Резервирование автоматизации ключевых процессов ручными операциями

Снижение качества обслуживания

Извлечение уроков и т.п.

� Необходимо учитывать динамику потерь

Ущерб может наступить мгновенно или спустя недели

Активность бизнес-процессов может зависеть от квартала/сезона � ущерб зависит от этого же


RPO – Recovery Point Objectives, RTO – Recovery Time Objectives, MAD – Maximum Allowable Downtime

� Степень влияния и составляющие цены «сбоя» меняется с течением времени


� Активы бывают материальные и нематериальные

� Материальные активы оцениваются обычно на основе стоимости их замены или восстановления

� Аналогичным образом часто оценивается и программное обеспечение

� Ценность информации и иных нематериальных активов определяется либо экспертным способом (метод Дельфи) или с помощью специальных методик


Стоимость обмена Вероятная цена продажи, когда условия

обмена известны обеим сторонам и сделка

считается взаимовыгодной

Обоснованная рыночная

стоимость

Наиболее вероятная цена, по которой

объект оценки переходит из рук одного

продавца в руки другого на открытом рынке

и добровольно

Стоимость

использования

Стоимость объекта оценки в представлении

конкретного пользователя и с учетом его

ограничений

Ликвидационная

стоимость

Стоимость объекта оценки при вынужденной

продаже, банкротстве

Стоимость замещения Наименьшая стоимость эквивалентного

объекта оценки


Рыночный

• Метод сравнения продаж аналогичных объектов оценки

Затратный

• Метод стоимости замещения

• Метод восстановительной стоимости

• Метод исходных затрат

Доходный

• Метод расчета роялти

• Метод исключения ставки роялти

• Метод DCF

• Метод прямой капитализации

• Экспресс-оценка

• Метод избыточной прибыли

• Метод по правилу 25%

• Экспертные методы

� У каждого метода есть своя область применения, свои достоинства и недостатки


� МСФО 38 «Нематериальные активы»

� GAAP – для США

� EVS 2000 – для Евросоюза

� Стандарты оценки РФ

Утверждены ПП-519 от 6.07.2001


Методики моделирования угроз


� AS/NZS 4360

� HB 167:200X

� EBIOS

� ISO 27005 (ISO/IEC IS 13335-2)

� MAGERIT

� MARION

� MEHARI

� CRISAM

� OCTAVE

� ISO 31000

� NIST SP 800-3

� SOMAP

� Lanifex Risk Compass

� Austrian IT Security Handbook

� A&K Analysis

� ISF IRAM (включая SARA, SPRINT)

� OSSTMM RAV

� BSI 100-3


� Trike

� IT-Grundschutz Methodology от BSI (Германия)

� AS/NZS 4360:2004 (Австралия)

� MAGERIT: Risk Analysis and Management Methodology for Information Systems (Испания)

� EBIOS - Expression of Needs and Identification of Security Objectives (Франция)

� MEHARI (Франция)

� OCTAVE

� FRAP

� NIST 800-30 (США)


� MG-2, MG-3 (Канада)

� SOMAP

� IRAM


ISO\IEC TR 13569


� 5 зон уязвимостей

Персонал

Помещения и оборудование

Приложения

Системы связи

Программные средства и операционные системы


� Оценка осуществляется с учетом наличия мер защиты

Наличие мер защиты обычно снижает вероятность события, но не ущерб от него. Если мера направлена на снижение ущерба, то обычно она не влияет на вероятность


ГОСТ Р 51344-99


� «Безопасность машин. Принципы оценки и распределения риска»

� Является руководством для принятия решений при конструировании машин

Но изложенные в нем подходы могут быть использованы и в других областях безопасности


Риск

Тяжесть ущерба

Вероятность ущерба

Частота и продолжительность

воздействия опасности

Вероятность возникновения опасности

Возможность исключения или

ограничения ущерба


� При оценке риска необходимо принимать во внимание человеческий фактор

Взаимодействие человек – техсредство

Взаимодействие между людьми

Психологические аспекты

Эргономические факторы

Способность осознавать риск в данной ситуации (зависит от обучения, опыта или способностей)

� Также в этот список можно добавить и экономические аспекты


Методика Банка России


� РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности»

� Настоящие рекомендации в области стандартизации Банка России распространяются на организации БС РФ, проводящие оценку рисков нарушения ИБ в рамках построения/совершенствования системы обеспечения информационной безопасности (СОИБ) в соответствии с требованиями СТО БР ИББС-1.0


� Оценка риска нарушения ИБ определяется на основании качественных оценок

степени возможности реализации угроз ИБ выявленными и(или) предполагаемыми источниками угроз ИБ в результате их воздействия на объекты среды информационных активов

степени тяжести последствий от потери свойств ИБ для рассматриваемых типов информационных активов

� Оценка возможности реализации угроз ИБ и тяжести последствий нарушения ИБ должны определяться на основе экспертного оценивания

сотрудниками службы ИБ и ИТ

дополнительно необходимо привлекать сотрудников профильных подразделений, использующих рассматриваемые типы информационных активов


� Предварительно необходимо

Оценить информационные активы

Оценить типы объектов среды

Оценить актуальные источники угроз

� Учитывается

Мотивация нарушителя

Квалификация и ресурсы нарушителя

Статистика частоты реализации

Способы реализации угроз

Сложность обнаружения угрозы

Наличие защитных мер



степень влияния на непрерывность деятельности организации

степень влияния на репутацию организации

объем финансовых и материальных потерь

объем финансовых и материальных затрат, необходимых для восстановления

объем людских ресурсов, необходимых для восстановления

объем временных затрат, необходимых для восстановления

степень нарушения законодательных требований и(или) договорных обязательств

степень нарушения требований регулирующих и контролирующих (надзорных) органов в области ИБ, а также требований нормативных актов Банка России



объем хранимой, передаваемой, обрабатываемой, уничтожаемой информации

данные о наличии у рассматриваемых типов объектов среды организационных, технических и прочих апостериорных защитных мер


� Качественная шкала тяжести последствий

Минимальная

Средняя

Высокая

Критическая

� ��


� Настоящий документ распространяется на организации БС РФ и содержит актуальные для большинства организаций БС РФ угрозы безопасности ПДн при их обработке в ИСПДн (88 угроз)

� В случае необходимости, в организации БС РФ может быть составлена частная модель актуальных угроз безопасности ПДн

В случае сокращения набора актуальных угроз Отраслевой модели угроз – согласование с регуляторами

В случае расширения – согласование не требуется

� В качестве методики выбора актуальных для организации БС РФ угроз и последующего составления частной модели угроз рекомендуется использовать рекомендации РС БР ИББС-2.2-2009


Методика определения актуальных угроз ИСПДнФСТЭК


� Применяется для специальных ИСПДн

� Позволяет определить актуальные угрозы из списка всех возможных

� На основе модели угроз вырабатываются требования по защите

� Угрозы могут быть реализованы за счет

НСД к данным

Утечки ПДн по техническим каналам


� Необходимо составить список всех угроз

«Наличие источника угрозы и уязвимого звена, которое может быть использовано для реализации угрозы, свидетельствует о наличии данной угрозы»

Трата времени

� Составление списка актуальных угроз

Угроза, которую можно реализовать и которая опасна для ПДн

� Оценка возможности реализации

Уровень исходной защищенности ИСПДн

Частота (вероятность) реализации рассматриваемой угрозы


Низкая Средняя Высокая

Низкая Неактуальная Неактуальная Актуальная

Средняя Неактуальная Актуальная Актуальная

Высокая Актуальная Актуальная Актуальная

Очень высокая Актуальная Актуальная Актуальная

� Привязка к экспертной оценке

А если по конкретной ИСПДн экспертов нет?

� Модель угроз жестко закрепляется за ИСПДн и не предусматривает ее пересмотра

В противном случае это влечет за собой пересмотр класса ИСПДн, перечня защитных мероприятий, переаттестации ИСПДн�


Базовая модель угроз КСИИФСТЭК


� Наиболее объемный документ из четверки – 145 страниц

� В документе определяются перечень и характеристики угроз безопасности информации в КСИИ

Электромагнитное воздействие на информацию (ее носители)

Перехват (съем) информации по техническим каналам

НСД к информации

� Область применения – КСИИ с открытой информацией (неограниченного доступа)

� Угрозы могут уточняться и дополняться в порядке, устанавливаемом ФСТЭК


� Описана модель угроз

� Приведены различные классификации угроз

� Учитываются особенности и характеристики различных КСИИ

Источник угрозы

Среда распространения информации и воздействия на

нее

Носитель информации


� По возможным источникам

� По среде (пути) распространения

� По способам реализации

� По возможному объекту воздействия

� По деструктивному действию на информацию

� По используемым уязвимостям


� �� DСA B Е

В 2

�� ! " # $ % & ", ! ( ! ) * * ( +* ) , " - " + # ! . /0 1 $ 2 1 ) # # * $3)0 0 ) 1 ) & * $ 4 ) 5 , ) 6 5 "

В 1

�� ! " # $ % & "0 1 $ 2 1 ) # # * $ 2 $$ 7 + %0 + - + * " � ( * ) , " - " + ! . /! 1 + 6 $ * $ % * $ 40 1 $ 2 1 ) # # ( )

В 1.1

� � ! " # $ % & "# " 5 1 $0 1 $ 2 1 ) # # ,0 1 $ : " ! $ 5 ; < �, ; ; < �

В 1.2

� � ! " # $ % & " 6 1 ) 4 ! + 1 $ !)0 0 ) 1 ) & * ( = % 1 + 6 % & !

В 1.3

� � ! " # $ % & "$0 + 1 ) > " $ * * ( = % " % & + #

А 1

? ) 1 @ : " & + , A D 1

B * C $ 1 # ) > " � , $ 7 1 ) 7 ) & ( ! ) + # ) � * ) . D E ( @ , + )! ( - " % , " & + , A * $ 4 % + & "С 1

FGH IJ K L IM NO P Q GR S Q GT MR U S P VR W L M P X IGT Q YH Z I[ Z N X X O I\ NH H N Z NT O I [ II ] Q GH Q^ Q O P W ( a b ) a dС 2.1

? ) e & )0 +0 1 $ + 5 & " 1 $ ! ) * " � " 1 ) 1 ) 7 $ & 5 " . /

С 2.3

? ) e & )0 + % $0 1 $ ! $ f 6 + * " � ( # $ 6 + 1 * " ) > " " ) . /С 2.2

? ) e & )0 + e 5 %0 , @ ) & ) > " "С 2

g O Qh Z Q O P Q (M O Q G Q O P Q ) O IM i VR W LM P X IGT Q Y M a dС 2.2.1

FGH IJ K L IM NO P Q O Qj T NT O I [ I a bС 2.2.2

g O QG Q O P QR W L M P X IGT Q Y GPGH IJ K L I M NO P Q X j T NT O i V G Z Qh GT MС 2.2.2.2

B # + * + * " + 5 $ * C " 2 @ 1 ) > " " ; . kС 2.2.2.3

E $ 6 " C " 5 ) > " � ; k " 6 ) * * ( =С 2.2.2.4

D ) 1 ) 7 $ & 5 ) ! 1 + 6 $ * $ % * ( =0 1 $ 2 1 ) # #С 2.2.2.5

; @ 7 , " 5 ) > " � , 1 ) 2 , ) : + * " + ) l " l ) + # ( = % ! + 6 + * " 4

Е 2

? ) 1 @ : + * " + > + , $ % & * $ % & " ( @ * " - & $ f + * " + ,# $ 6 " C " 5 ) > " � , 6 + " * C $ 1 # ) > " � )Е 1

mn o p q r s t r u v s w t x r s y t n z { s v | } t

Е 2.1

~� � � � ��

Е 2.2

~� � � � �� , � � � � � ��

Е 3.1

� N ZR j Q O P Q �R O �� P I O P Z I M N O P WP IT � N L i G Z Qh G T M I ] Z N ] IT � P P O � I Z X N � P PЕ 1.1

� � � � � �� Е 1.2

� � � � � � � � � � � � � � � � � � ��

Е 3

? ) 1 @ : + * " + 6 $ % & @0 * $ % & "А 2

; 1 $ 2 1 ) # # * $3 )0 0 ) 1 ) & * ) � ) 5 , ) 6 5 )

А 3.1

; 1 $ 2 1 ) # # * ( + ) 5 , ) 6 5 "( * + 6 + 5 , ) 1 " 1 $ ! ) * * ( + ! $ # $ f * $ % & "; k, 0 1 $ 2 1 ) # # ( & "0 )“ ¢ 1 $ � * % 5 " 4 5 $ * A ” , %0 + > " ) , A * ( +0 1 $ 2 1 ) # # ( : 5 , ) ! " ) & @ 1 * ( + :0 " $ * ( ,0 1 $ 2 1 ) # # (0 $ 6 7 $ 1 )0 ) 1 $ , + 4@ 6 ) , + * * $ 2 $ 6 $ % & @0 ) " 6 1. )

Е 1.4

¦ � � � � � § � � � � ,( � � © � � � � � � � )� � « � « � � � � �� А 1.2

¬ * @ & 1 + * * " 4

А 2.1

$ * % & 1 @ 5 & " ! * $ ! % & 1 $ + * * ) �

А 2.2

. ! & $ * $ # * ) �

А 3

¬ 1 + 6 $ * $ % * ) � 0 1 $ 2 1 ) # # )

А 3.2

; 1 $ 2 1 ) # # * ( + ! " 1 @ % (

В 1.5

�� ! " # $ % & "%0 + > " ) , A * $ 2 $ ; kВ 1.4

� � ! " # $ % & "0 1 " 5 , ) 6 * $ 2 $ ; k

В 1.6

�� ! " # $ % & " ; k0 $ , A $ ! ) & + , �

С 1.1

k 7 = $ 6 / < B

С 1.2

® + % & 1 @ 5 & " ! * $ + ! $ 6 + 4 % & ! " + * ) / < B

С 1.3

¬ % 5 1 ( & " + " , "0 + 1 + = ! ) &0 ) 1 $ , �С 1.5

B %0 $ , A $ ! ) * " + $ % & ) & $ - * $ 4,* + @ - & + * * $ 4 " * C $ 1 # ) > " "( % 7 $ 1 “ # @ % $ 1 ) ” )В 4

�� ! " # $ % & " ,! ( ! ) * * ( + * + 6 $ % & ) & 5 ) # "$ 1 2 ) * " ) > " " ¢ < B $ & ? / ®В 5

� � ! " # $ % & " / < BВ 6

�� ! " # $ % & "0 1 $ 2 1 ) # # * $3)0 0 ) 1 ) & * ( = % 1 + 6 % & ! . / !1 + @ , A & ) & + % 7 $ + ! ! 1 ) 7 $ & +,$ & 5 ) $ ! e & " = % 1 + 6 % & !

В 1.3.1

¬0 1 $ > + % % +" * " > " ) , " ) > " " k /

В 1.3.2

¬ * + ) l " l + * * $ #1 + f " # + 1 ) 7 $ & (0 1 $ > + % % $ 1 )С 2.2.2.1

k 7 # + *0 1 $ 2 1 ) # # ) # " " 6 ) * * ( # " ,% $ 6 + 1 f ) l " # " ! (0 $ , * � + # ( + # $ 6 @ , "( % 5 1 "0 & ( , # ) 5 1 $ % ( " &. 6. )Е 2.8

~ � � � � � � � � � � � ��

Е 2.9

~ � � � � � � � � � ��

D 1.3

¬ % 1 + 6 % & ! ) = $ 7 1 ) 7 $ & 5 " " = 1 ) * + * " �$0 + 1 ) & " ! * $ 4 " * C $ 1 # ) > " "D 1.2

? ) ! % & 1 $ + * * ( = * $ % " & + , � =6 $ , 2 $ ! 1 + # + * * $ 2 $ = 1 ) * + * " � " * C $ 1 # ) > " "D 1.1

? ) $ & - @ f 6 ) + # ( = * $ % " & + , � = " * C $ 1 # ) > " "D 1.4

¬ % 1 + 6 % & ! ) = (0 $ 1 & ) = )! ! $ 6 ) / ! ( ! $ 6 ) " * C $ 1 # ) > " "

Е 3.2

? ) 1 @ : + * " + " $ & 5 ) ( C @ * 5 > " $ * " 1 $ ! ) * " �% 1 + 6 % & ! ! ! $ 6 ) / ! ( ! $ 6 ) " * C $ 1 # ) > " "

Е 3.3

? ) 1 @ : + * " + " $ & 5 ) ( C @ * 5 > " $ * " 1 $ ! ) * " �% 1 + 6 % & ! = 1 ) * + * " � " * C $ 1 # ) > " "

Е 3.5

? ) 1 @ : + * " + " $ & 5 ) ( C @ * 5 > " $ * " 1 $ ! ) * " � / < B

Е 2.3

~ � � � � �� , � � � � � �� © �� ° « � �� ( � � � � � � � � � � � � ° ) � ± � ± ² ³

Е 2.4

~ � � � � �� ( � �� , � � �� , � � � � � � � � �, � � © � � � � � �. µ . ) � ±

Е 2.5

~� � � � ��

Е 2.7

~� � � � �� ¶ � �� (� � � � � � � � � � � )� � � � � � � � � �� · � � �� · � © � � ©� � � �� · � � � �А 1.2.1

¸ � � �, � � � ° « � �� ° �� , �� ° « � �� ³ ¦

А 1.2.2

² � � � � �� ·� �� , � � � ° « � �� ³ ¦ ¹ ±� � � ©� � � ��

А 1.2.5

² � � � � �� · � ��

А 1.2.6

² � � � � �� © � �� « � « � � �� ©º � � � �

А 1.2.7

� �� ©� � � � � �� © � � � � � � � � �� , � © �� ° « � � � �� ¶ � � � � � � � � � « � « � � �� ©º � � � �

А 1.2.8

� � � � � ©� � � � � � � � � � �,� © � � � � � � � � ° « � � �� ,� � � �� ¶ � � � � � � � � �� · � � � �� ·� � � �� « � « � � �� ©º � � � �

D 1.1.1

» � © � � � � � � � � � � � � � �� D 1.1.3

� � �� Z I PD 1.1.4

� � �� ¿ � � � � �� ¿ §D 1.1.5

¹ � � �� , � � � �� , � � � � � � � � � � � � � �D 1.1.6

� � � � � � � � � � �� D 1.1.8

À � � �� D 1.1.*

µ � � � � � �� D 1.1.2

Á �� D 1.2.3

� � � � � �� ( � � � � � � � �� )� � �� ° « � � �� D 1.2.2

�� ° « � � �� D 1.2.1

Á �� D 1.3.4

� � � � � � � � � � � � � � � � �� ° � � � � � · �� D 1.3.3 ~ � � �� D1.3.2

Â ¿ § � � � � � �, © � � � � � � �� D 1.3.1

� � � � � � � � � � � � � � � � �D 1.4.1

Â � � � � � � � � �D 1.4.2

Ã � � � � � � � �� § �D 1.4.3

± � � � � �D 1.4.4

µ �� , �� D 1.4.5

� � � � � � �D 1.4.6

� �� D 1.4.7

� � � �� · � � � � � � �� · � ��

D 1.4.8

�� / � � �� ° � � � � �� · ��

D 1.4.*

µ � � � � � �� / � � �� В 1.3.3

¬ 0 1 $ > + % % + C @ * 53> " $ * " 1 $ ! ) * " � k / ! 0 1 "3! " , + 2 " 1 $ ! ) * * $ # 1 + f " # +

С 1.6

B %0 $ , A $ ! ) * " +* + & 1 ) 6 " > " $ * * ( = ( % & + 2 ) * $ 2 1 ) C " - + % 5 " = )5 ) * ) , $ !0 + 1 + 6 ) - " " * C $ 1 # ) > " "

А 1.2.3

�� ·� � � � �� , � � � « � � � � � � ° « � � � � � � � � � � �� ³ ¦ �� ~ ±

А 1.2.4

² � � � � �� · � �� © � �� « � « � � �� ©º � � � �

А 3.3

¬ 1 + 6 $ * $ % * ( +0 1 $ 2 1 ) # # (1 ) %0 1 $ % & 1 ) * � Å l " + % � 0 $ % + & "( % + & + ! ( + - + 1 ! " )

В 3

�� ! " # $ % & " , % ! � ) * * ( + %1 + ) , " ) > " + 40 1 $ & $ 5 $ , $ !% + & + ! $ 2 $ ! ) " # $ 6 + 4 % & ! " �" 5 ) * ) , $ ! 0 + 1 + 6 ) - " 6 ) * * ( =

В 3.1

� � ! " # $ % & " * )5 ) * ) , A * $ # @ 1 $ ! * +

С 1.4

�� ! " # $ % & "0 1 $ & $ 5 $ , $ ! % + & + ! $ 2 $! ) " # $ 6 + 4 % & ! " � " 5 ) * ) , $ ! 0 + 1 + 6 ) - " 6 ) * * ( =

С 1.4.1

� � � � · � � � � � ��

С 1.4.2

Ã� � � � � � � � � � � � � � � � � � � � � · � � � � � ·

С 1.4.3

� � � � � � � � � � � � � � �� (� � � � � � � ©� � � ¶ � � � � � � )

С 1.4.4

~ � � � � � � � � � � � �� · � �� С 1.4.5

� � � � � � � � � � ��

С 1.4.6

¦ � � � � � § � � � � � � � � � � � � � �� « � « � � � � � � � ©� � � � � � � � �� D 2

FO � I Z X N� P W M G Z Qh GT M N V Z Q NJ P LR U S P V G QT QM I QM L N P X Ih Q YGT M P Q P � NO NJ N VH Q Z Qh N P h NO O i V M G QT P

D 2.1

B * C $ 1 # ) > " � * ) 5 ) * ) , A * $ # @ 1 $ ! * +

Е 2.10

~ � � � � �� · �� °� � � � � � ° � � �� °

Е 2.10.1

± � � ��

Е 2.10.2

± � � �� § � � � � � � � � � � � � � � � � � � � � � � � · � � � � �

Е 2.10.3

± � � ��

Е 2.10.4

± � � �� © � �� °� � �� D 1.4.9

³ � �� · ( � � � � � � � � � � )� � � � � � � � � � � � � ·Е 1.3

� � � � · � � �� ·� � � � � � � � � � � � � ·

Е 3.4

? ) 1 @ : + * " + " $ & 5 ) ( C @ * 5 > " $ * " 1 $ ! ) * " �)0 0 ) 1 ) & @ 1 ( " 5 ) * ) , $ !0 + 1 + 6 ) - " 6 ) * * ( =

В 3.4

� � ! " # $ % & " * )% + ) * % $ ! $ # @ 1 $ ! * +В 3.5

� � ! " # $ % & " * )0 1 + + * & ) > " $ * * $ # @ 1 $ ! * +В 3.6

� � ! " # $ % & " * )0 1 " 5 , ) 6 * $ # @ 1 $ ! * +D 2.4

B * C $ 1 # ) > " � * ) % + ) * % $ ! $ # @ 1 $ ! * +

D 2.5

B * C $ 1 # ) > " � * )0 1 + + * & ) > " $ * * $ # @ 1 $ ! * +

D 2.6

B * C $ 1 # ) > " � * )0 1 " 5 , ) 6 * $ # @ 1 $ ! * +D

mp3- 1.1.7

±� �� , � � � � � � � � � �� ° � � � � ,� � � �� , � �� А 1.1

¬ * + : * " 4

В 3.2

� � ! " # $ % & " * )% + & + ! $ # @ 1 $ ! * +

В 3.3

� � ! " # $ % & " * )& 1 ) * %0 $ 1 & * $ # @ 1 $ ! * +D 2.2

B * C $ 1 # ) > " � * ) % + & + ! $ # @ 1 $ ! * +

D 2.3

B * C $ 1 # ) > " � * ) & 1 ) * %0 $ 1 & * $ # @ 1 $ ! * +

А 1.2.*

µ � � � � � � � � � �� § � � � �� ©º � � � �

С 2.4

? ) e & )0 + @ & " , " ) > " " e , + # + * & $ ! . /

Е 1.*.1

³ � �� ,� © � � © � � � � � � � � � � � � ©º � � � �Е 1.*.2

±� � � � � �� ¹ �Е 1.*.3

±� � � � � �� ± ² ³

Е 2.6

~� � � � ��

Е 2.11

~� � � � �� ± ² ³

А 3.4

® 1 @ 2 " + ! 1 + 6 $ * $ % * ( +0 1 $ 2 1 ) # # ( , 0 1 + 6 * ) * ) - + * * ( +6 , � $ % @ l. ? / ®


и н с т а л л я ц и и ин а с т р о йк ип р о г р а м м н о г оо бе с п е ч е н и яре а л и з а ц и ип р о г р а м м н о г оо бе с п е ч е н и я

Кл а с с и ф и к а ц и я у я з в и м о ст е йп р ог р а м м н ог оо б е сп е ч е н и я

По э т а п у ж и з н е н но го ц и к л ап ро г р а м м но го о б е с п е ч е н и я, н ако то ро м во з н и к а е т у я з в и мо с т ь П о п р и ч и н ево з н и к но в е н и яу я з в и мо с т и По х а р а к т е р упо с л е д с т в и й о тр е а л и з а ц и и а т а кУ я з в и м о с т и,в о з н ик а ю щ и е н а э т а п еп р ое к т и р о в а н и яп р о г р а м м н о г оо бе с п е ч е н и я

LM N O P Q R Q S T U M V R W T X U O YR Z QM W Q T [ T S R \ T TН е д о с т а тк и з а щ и т ыу ч е т н ы х з а п и се йН а л и ч и е ф у нк ц и й ,п о з в о л я ю щ и хв ы п о л н я т ьде с т р ук т и в н ы е де й с т в и яУ я з в и м о с т и,и с п о л ь з уе м ы е д л яп е ре п о л н е н и я б у фе р аУ я з в и м о с т и,и с п о л ь з уе м ы е д л яп о д б о р а п а р о л я и л ии де н т и ф ик а т о р аУ я з в и м о с т и,и с п о л ь з уе м ы е д л яи з ме н е н и я п р а вд о с т у п аУ я з в и м о с т и,и с п о л ь з уе м ы е д л яре а л и з а ц и и а т ак и" О тк а з во б с л у ж и в а н и и "

По т и п у П ОС и с те м н ое П ОП р ик л а д н оеп р о г р а м м н оео бе с п е ч е н и е

О т с у т с т в и е п р о ве рк ик о р ре к т н о с т и в х о д н ы хд а н н ы х


� Учтен широкий спектр различных угроз, уязвимостей, каналов и средств съема информации

Аппаратные закладки

Малогабаритные телескопы

Электронные стетоскопы

Перехват информации в оптических каналах связи

Упоминаются системы сотовой связи, пейджинговых сообщений спутниковых и беспроводных сетей

Уязвимости и закладки в материнских платах

Утечки через графические, аудио и текстовые контейнеры

� 8 категорий внутренних нарушителей

В зависимости от способа и полномочий доступа к ресурсам

� 5 типов объектов информатизации и моделей угроз для них


� Нарушители, не имеющие права доступа в контролируемую зону территории (помещения) –внешние нарушители

Представители разведывательных служб иностранных государств

Представители криминальных структур

Представители конкурентов (конкурирующих организаций)

Недобросовестные партнеры

Посторонние лица


� Нарушители, имеющие право доступа в контролируемую зону территории (помещения) –внутренние нарушители

Лица, имеющие санкционированный доступ в контролируемую зону, но не имеющие доступа к информационным ресурсам

Зарегистрированные пользователи АС, осуществляющие ограниченный доступ к ресурсам АС с рабочего места

Зарегистрированные пользователи АС, осуществляющий удаленный доступ к ресурсам по ЛВС

Зарегистрированные пользователи АС с полномочиями администратора безопасности АС

Зарегистрированные пользователи с полномочиями системного администратора АС

Зарегистрированные пользователи с полномочиями администратора безопасности АС


� Нарушители, имеющие право доступа в контролируемую зону территории (помещения) –внутренние нарушители

Программисты-разработчики (поставщики) прикладного программного обеспечения и лица, обеспечивающие его сопровождение на защищаемом объекте

Разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств на защищаемом объекте


Методика определения актуальных угроз КСИИФСТЭК


� Область применения – КСИИ с открытой информацией (неограниченного доступа)

� Актуальность угрозы определяется как функция от вероятности реализации угрозы и ее опасности

� Коэффициент опасности не зависит от вида ущерба

Величина ущерба определяется экспертным способом

� Определен математический аппарат для определения актуальных угроз, коэффициентов опасности деструктивных действий

� Легко автоматизируемый алгоритм

=


� Дана методика оценки важности (ценности) информации

5 степеней важности по конфиденциальности

3 степени важности по целостности

3 степени важности по доступности

� Признается

Необходимость наличия своей модели расчета вероятности для каждой угрозы (в планах есть их разработка)

Отсутствие моделей расчета вероятности угрозы

� Поэтому вероятность принимается равной единице, если угроза НСД может быть осуществлена (при отсутствии защитных мер), и нулю – если нет

Этот подход имеет право на жизнь, но только для КСИИ – в обычной жизни это слишком дорого


� Выявление источников угроз осуществляется экспертным методом по имеющимся анкетам

Конкуренты

Зарубежные спецслужбы

Криминальные структуры

Недобросовестные партнеры

Персонал учреждения

Внешние субъекты (физлица) и хакеры

Разработчики и производители техсредств и ПО

� Выявление уязвимых звеньев также осуществляется по имеющимся анкетам


� Выявление взаимосвязи источников угроз, угроз безопасности и уязвимых звеньев осуществляется по имеющимся таблицам

К методике прилагается достаточно обширный перечень угроз безопасности

� Выявление взаимосвязи угроз безопасности информации с деструктивными воздействиями осуществляется по имеющимся таблицам

� Определение вероятностей наличия благоприятных условий для использования уязвимостей осуществляется по имеющимся таблицам


1. Копирование (чтение) информации

2. Перехват информации

3. Уничтожение информации (носителя информации)

4. Модификация, запись новой информации

5. Блокирование

6. Разглашение информации

7. Хищение информации


Как автоматизировать моделирование угроз?


� Электронные таблицы

� ПО Wingdoc ПД от НТЦ Сфера

� DS Office от Digital Security

� РискМенеджер от ИСП РАН

� CRAMM

� Skybox

� Tiramisu

� DFD Studio

� Иные средства автоматизации анализа рисков


Как оформить модель угроз?


� Нормативные документы ФСТЭК и ФСБ не дают ответа на вопрос «как оформить модель угроз?»

� Вы вправе самостоятельно выбрать форму этого документа

� Если моделирование угроз реализуется не «для галочки», то

Желательно учитывать существующие нормативные документы в смежных областях

Пишите на понятном предполагаемой аудитории языке

Учитывайте, что вы можете уйти из компании и модель угроз может анализировать человек, который ее не составлял (комментируйте и обосновывайте свои позиции и выводы)


� Модель угроз должна включать

Описание ресурсов инфокоммуникационной структуры (объектов безопасности) сети связи, требующих защиты

Описание источников формирования дестабилизирующих воздействий и их потенциальных возможностей

Стадии жизненного цикла сети электросвязи

Описание процесса возникновения угроз и путей их практической реализации

� Приложение к модели угроз

Полный перечень угроз

База данных выявленных нарушений безопасности электросвязи с описанием обстоятельств, связанных с обнаружением нарушением


� Документация оценки и определения риска включает

Характеристика оборудования (техусловия, область применения, использование по назначению)

Любые относящиеся к делу предположения, которые были сделаны (например, факторы безопасности и т.д.)

Идентифицированные опасности

Информация, на основании которой сделана оценка и определение риска (использованные данные и источники)

Сомнения, связанные с использованными данными и источниками

Цели, которые должны быть достигнуты защитными мерами (например, конфиденциальность, целостность и т.д.)

Меры безопасности, принимаемые для устранения выявленных опасностей или уменьшения риска


� Документация оценки и определения риска включает

Остаточные риски


� Отчет по анализу риска/угроз включает

Краткое изложение анализа

Выводы

Цели и область применения анализа

Ограничения, допущения и обоснование предположений

Описание соответствующих частей системы

Методология анализа

Результаты идентификации опасностей

Используемые модели, в т.ч. допущения и их обоснования

Используемые данные и их источники

Результаты оценки величины риска

Анализ чувствительности и неопределенности


� Отчет по анализу риска/угроз включает

Рассмотрение и обсуждение результатов

Рассмотрение и обсуждение трудностей моделирования

Ссылки и рекомендации


Заключение


“В настоящее время нельзя говорить о правильном или неправильном методе анализа риска. Важно, чтобы организация пользовалась наиболее удобным и внушающем доверие методом, приносящим воспроизводимые результаты.”

ГОСТ Р ИСО/МЭК ТО 13335-3-2007

© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID


� Избежание риска

Устранение источника угрозы�

� Принятие риска

Бороться себе дороже

� Передача риска

Аутсорсинг, страхование�

� Снижение рисков

Реализация защитных мер�


� В зависимости от выбранной методологии моделирования угроз (анализа рисков) перечень предлагаемых защитных мер может предлагаться тем же стандартом

ISO\IEC TR 13335-4

ISO 27002

IT-Grundschutz Methodology

СТО БР ИББС-1.0

Четверокнижие ФСТЭК по ПДн и КСИИ

И т.д.

� В ряде случаев стандарты включают рекомендации по выбору, а не только их законченный список


Вопросы?

Дополнительные вопросы Вы можете задать по электронной почте [email protected]или по телефону: +7 495 961-1410

Мастер класс по моделированию угроз

Technology

cisco systems

ddos threat modeling

isoiec tr13335