Upload
alexey-lukatsky
View
11.846
Download
5
Embed Size (px)
DESCRIPTION
Citation preview
1/424© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling
Построение модели угроз
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 2/424
� Цель: Понимание методов разработки модели угроз как с практической точки зрения, так и для выполнения требования регуляторов
� На сегодняшний день модель угроз обязательно требуется только по линии защиты персональных данных
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 3/424
Модель угроз
Служба ИБ
Регуляторы
Надзорный орган
ВендорИнтегратор
Нарушитель
Юрист
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 4/424
Общий подход к оценке угроз
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 5/424
“Анализ рисков, оценка их вероятности и тяжести последствий похожа на посещение игроками Лас-Вегаса – зал общий, а система игры у каждого своя”
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 6/424
� Совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и(или) несанкционированными и(или) непреднамеренными воздействиями на нее
Рекомендации ФСТЭК по защите коммерческой тайны и КСИИ
� Потенциальная причина инцидента, который может нанести ущерб системе или организации
ГОСТ Р ИСО/МЭК 13355-1:2006, ГОСТ Р ИСО/МЭК 27002
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 7/424
� Угрозы безопасности персональных данных -совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных
Требования ФСТЭК по защите персональных данных
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 8/424
� Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации
ГОСТ 50.1.056-2005
� Возможная причина нежелательного инцидента, который может закончиться ущербом для системы или организации
ISO\IEC 13355-1:2004, ГОСТ Р ИСО/МЭК 27002
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 9/424
� Вероятная частота и вероятная величина будущих потерь
Метод FAIR
� Сочетание вероятности события и его последствий
ГОСТ Р 51901.1-2002
� Комбинация вероятности события и его последствий
ГОСТ Р ИСО/МЭК 17799-2005
� Вероятность причинения ущерба вследствие того, что определенная угроза реализуется в результате наличия определенной уязвимости
ГОСТ Р 52448-2005
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 10/424
� Потенциальная опасность нанесения ущербаорганизации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов
ГОСТ Р ИСО/МЭК 13335-1-2006
ГОСТ Р ИСО/МЭК 13569 (проект)
� Риск – сочетание вероятности нанесения ущерба и тяжести этого ущерба
ГОСТ Р 51898-2002
� Состояние неопределенности, в котором некоторые возможности приводят к потерям, катастрофам или иным нежелательным результатам
Даг Хаббард
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 11/424
� Риск описывается комбинацией следующих элементов:
Тяжесть возможного ущерба (последствия)
Вероятность нанесения ущерба
Частота и продолжительность воздействия угрозы
Вероятность возникновения угрозы
Возможность избежать угрозы или ограничить ущерб от нее
� Эффективность управления рисками зависит от того, сможем ли мы оценить эти элементы
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 12/424
� Также надо учитывать и другие характеристики (например, согласно ISO 13335)
Источник – внутренний или внешний;
Мотивация, например финансовая выгода, конкурентное преимущество
Частота возникновения
Правдоподобие
Вредоносное воздействие
� Нельзя забывать про длительность воздействия угрозы
Разовая утечка информации vs. DDoS-атака в течение квартала
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 13/424
Что такое модель угроз?
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 14/424
� Описание источников угроз ИБ; методов реализации угроз ИБ; объектов, пригодных для реализации угроз ИБ; уязвимостей, используемых источниками угроз ИБ; типов возможных потерь (например, нарушение доступности, целостности или конфиденциальности информационных активов); масштабов потенциального ущерба
РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций банковской системы РФ. Методика оценки рисков нарушения информационной безопасности»
� Физическое, математическое, описательное представление свойств и характеристик угроз безопасности информации
ГОСТ 50922-2006 «Защита информации. Основные термины и определения»
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 15/424
� Модель нарушителя - предположения о возможностях нарушителя, которые он может использовать для разработки и проведения атак, а также об ограничениях на эти возможности
� Модель угроз - перечень возможных угроз
Методические рекомендации ФСБ по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 16/424
Зачем нужна модель угроз?
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 17/424
� Систематическая идентификация потенциальных опасностей
� Систематическая идентификация возможных видов отказов
� Количественные оценки или ранжирование рисков
� Выявление факторов, обуславливающих риск, и слабых звеньев в системе
� Более глубокое понимание устройства и функционирование системы
� Сопоставление риска исследуемой системы с рисками альтернативных систем или технологий
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 18/424
� Идентификация и сопоставление рисков и неопределенностей
� Возможность выбора мер и приемов по обеспечению снижения риска
� ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ риска технологических систем»
� Основная задача моделирования угроз – обоснование решений, касающихся рисков
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 19/424
� Модель нарушителя должна ответить на следующие вопросы
Какие угрозы могут быть реализованы?
Кем могут быть реализованы эти угрозы?
Модель нарушителя
С какой вероятностью могут быть реализованы эти угрозы?
Каков потенциальный ущерб от этих угроз?
Каким образом могут быть реализованы эти угрозы?
Средства и каналы реализации
Почему эти угрозы могут быть реализованы?
Уязвимости и мотивация
На что могут быть направлены эти угрозы?
Как можно отразить эти угрозы?
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 20/424
� Согласно РС БР ИББС-2.2-2009 моделирование угроз предшествует оценке рисков
� Согласно другим стандартам и лучшим практикам анализ угроз и анализ рисков очень тесно переплетены
� Анализ рисков позволяет ответить на 3 вопроса (согласно ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ риска технологических систем»)
Что может выйти из строя (идентификация опасности)
С какой вероятностью это может произойти (анализ частоты)
Каковы последствия этого события (анализ последствий)
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 21/424
Качественная или количественная оценка?
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 22/424
� Отсутствие количественной оценки не позволяет
Оценить адекватность затрат на снижение рисков
Оценить возможность перекладывания рисков
Продемонстрировать снижение рисков
Сравнить текущий уровень с предыдущими значениями
Качественная оценка
Качественная оценка Количественная
оценкаКоличественная
оценка
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 23/424
� Количественная оценка не всегда возможна из-за
Недостатка информации о системе
Недостатка информации о деятельности, подвергающейся оценке
Отсутствии или недостатке данных об инцидентах
Влияния человеческого фактора
� Качественная оценка требует
Четкого разъяснения всех используемых терминов
Обоснования всех классификаций частот и последствий
Понимания всех плюсов и минусов качественной (экспертной) оценки
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 24/424
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 25/424
� Основной принцип: если опросить людей, обладающих компетенцией в интересующем нас вопросе, их усредненная оценка обычно будет точна более чем на 80%
Если провести второй раунд, предварительно ознакомив экспертов с результатам первого, то результативность становится еще выше
� Модификация метода: брать среднюю оценку после отбрасывания крайних значений
Данный метод рекомендуется применять, если эксперты не могут подкрепить свое мнение серьезными аргументами
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 26/424
Эксперт 1 50 55
Эксперт 2 65 60
Эксперт 3 100 80
Эксперт 4 30 50
Эксперт 5 60 60
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 27/424
Психология восприятия риска
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 28/424
� Даже при наличии фактов и достаточного объема информации об анализируемой системе у экспертов существует сложность с восприятием риска
� Безопасность основана не только на вероятности различных рисков и эффективности различных контрмер (реальность), но и на ощущениях
� Ощущения зависят от психологических реакций на риски и контрмеры
Чего вы больше опасаетесь – попасть в авиакатастрофу или автоаварию?
Что вероятнее – пасть жертвой террористов или погибнуть на дороге?
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 29/424
� Реальность безопасности ≠ ощущения безопасности
� Система может быть безопасной, даже если мы не чувствуем и не понимаем этого
Мы можем думать, что система в безопасности, когда это не так
� Психология восприятия риска безопасности
Поведенческая экономика
Психология принятия решений
Психология риска
Неврология
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 30/424
� Число погибших в авиакатастрофах в России в 2008 году – 139 человек
1980 – 1989 гг. – в СССР 2624 жертвы авиакатастроф
� Трагедия 11 сентября в США унесла жизни 2973 человек
� Число жертв автоаварий в России – около 100 человек ежедневно (!)
1,2 млн. жертв в год, 20-50 млн. получают травмы
� От отравления пищей в США ежегодно умирают 5000 человек
ОщущениеОщущениеРеальностьРеальность
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 31/424
� Мы преувеличиваем одни риски и преуменьшаем другие
� Наше восприятие риска чаще всего «хромает» в пяти направлениях
Степень серьезности риска
Вероятность риска
Объем затрат
Эффективность контрмер
Возможность адекватного сопоставления рисков и затрат
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 32/424
Производят глубокое впечатление Не привлекают внимание
Случаются редко Являются обычными
Персонифицированы Анонимны
Неподконтрольны или навязаны
извне
Контролируются в большей
степени или принимаются
добровольно
Обсуждаются Не обсуждаются
Преднамеренные или
спровоцированные человеком
Естественные
Угрожают непосредственно Угрожают в будущем, или границы
которых размыты
Внезапны Развиваются медленно, со
временем
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 33/424
Угрожают человеку лично Угрожают другим
Новые и незнакомые Знакомые
Неопределенные Понятные
Угрожающие их детям Угрожающие им самим
Оскорбительные с моральной
точки зрения
Желательные с моральной точки
зрения
Полностью лишенные выгод Связанные с дополнительными
выгодами
Выходят за рамки обычной
ситуации
Характерны для обычной ситуации
Недоверенные источники Доверенные источники
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 34/424
� Мобильные вирусы
«Операторы сотовой связи готовятся к эпидемиями вирусов для мобильных телефонов»
«Мобильный апокалипсис лишь вопрос времени»
� Западные производители ПО специально вставляют закладки, чтобы украсть вашу информацию
� В моем антивирусе для смартфона всего 1000 записей и ни одного предупреждения за 2 (!) года
� Отечественный разработчик несет большую угрозу
он пока не дорожит репутацией
Более опасный риски
Более опасный риски РеальностьРеальность
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 35/424
� В человеческом мозгу 2 системы отвечают за анализ рисков
Примитивная интуитивная –работает быстро
Продвинутая аналитическая –принимает решения медленно
Продвинутая система появилась только у высших приматов – еще не отшлифована
Обе системы работают одновременно и конфликтуют между собой
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 36/424
� Человек не анализирует риски безопасности с точки зрения математики
Мы не анализируем вероятности событий
� Люди не могут анализировать каждое свое решение
Это попросту невозможно
� Человек использует готовые рецепты, общие установки, стереотипы, предпочтения и привычки
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 37/424
� «Предубеждение оптимизма» -мы считаем, что «с нами это не случится», даже если это случилось с другими
Несмотря на эпидемии и атаки других компаний, сами мы считаем, что нас это никак не коснется – мы игнорируем или преуменьшаем риски сетевой безопасности
� Человеческий мозг не умеет работать с большими числами
1 шанс из 2-х против 1 шанса из 8-ми гораздо понятнее, чем 1 шанс из 10000 против 1 шанса из 100000
1 шанс из 10000 = «почти никогда»
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 38/424
� «Эвристика доступности» –события, которые легче вспоминаются, имеют больший риск
Или произошли недавно
Или имели более серьезные последствия (для эксперта)
Или преподносятся ярко
� Люди склонны игнорировать действительные вероятности в случаях, когда ситуация эмоционально окрашена
Терроризм, авиакатастрофы
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 39/424
� Риски, имевшие место когда-либо в жизни эксперта, имеют больший вес, чем те, с которыми он никогда не встречался
Мы будем бороться с атаками, уже произошедшими в прошлом, игнорируя будущие угрозы
� Чем более выдающимся кажется событие, тем выше вероятность, что оно покажется случайным
СМИ и вендоры часто вредят адекватности восприятия эксперта
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 40/424
Моделирование угроз на разных этапах жизненного цикла
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 41/424
� Чем позже осуществляется моделирование угроз, тем дороже обходится борьба с ними
Дизайн и архитектура
• 1Х
Внедрение
• 5Х
Тесты интеграции
• 10Х
Бета-тестирование
• 15Х
Боевой запуск
• 30Х
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 42/424
Стратегии анализа рисков
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 43/424
Источник: ГОСТ Р ИСО/МЭК ТО 13335-3-2007(ISO\IEC TR 13335-3-1998)
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 44/424
� Принятие усредненного значения риска для всехсистем
� Выбор стандартных средств защиты (ISO/IEC TR 13335-4 или ISO\IEC 27002)
� Сложно применим в организациях с системами разного уровня критичности, разными видами конфиденциальной информации
Достоинства
• Минимум ресурсов
• Унификация защитных мер
Недостатки
• Завышение или занижение уровня риска
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 45/424
� Проведение анализа, основанного на практическом опыте конкретного эксперта
Достоинства
• Не требует значительных средств и времени
Недостатки
• Увеличивается вероятность пропуска важных деталей
• Трудности при обосновании защитных мер
• Возможна низкая квалификация эксперта
• Зависимость от субъективности или увольнения эксперта
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 46/424
� Детальная идентификация и оценка активов, оценка угроз, оценка уровня уязвимости активов и т.д.
Достоинства
• Адекватный выбор защитных мер
Недостатки
• Значительные финансовые, временные и людские ресурсы
• Вероятность опоздать с выбором защитных мер из-за глубокого анализа
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 47/424
� Предварительный анализ высокого уровня для всех систем с последующей детализацией для наиболее критичных для бизнеса систем и использованием базового подхода для менее критичных систем
Достоинства
• Быстрая оперативная оценка систем с последующим выбором адекватного метода анализа рисков
• Оптимизация и эффективность использования ресурсов
Недостатки
• Потенциальная ошибочность отнесения систем к некритичным для бизнеса
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 48/424
Процесс моделирования угроз
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 49/424
� Существует различные описанные процессы моделирования угроз
� Более детально рассмотрим ГОСТ Р 51901.1-2002
Источник: Ford Motor Company
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 50/424
� Определение области применения
� Идентификация опасности и предварительная оценка последствий
� Оценка величины угрозы
� Проверка результатов анализа
� Документальное обоснование
� Корректировка результатов анализа с учетом последних данных
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 51/424
� Область применения должна быть определена и задокументирована
Документы ФСТЭК определяют такое понятие как «контролируемая зона», но оно уже «области применения»
� Этапы определения области применения
Описание оснований для и/или проблем, повлекших моделирование угроз (анализ риска)
Описание исследуемой системы
Установление источников, содержащих информацию о всех технических, правовых, человеческих, организационных факторах, имеющих отношение к системе и проблемам
Описание предположения, ограничивающих анализ
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 52/424
� В ГОСТ Р ИСО/МЭК ТО 13335-3-2007 вводится понятие «границы рассмотрения»
Позволяет избежать ненужных операций и повысить качество анализа рисков
� Для конкретной системы необходимо учитывать
ИТ-активы
Персонал (включая субподрядчиков и персонал сторонних организаций)
Необходимые условия для производственной деятельности (помещения, банкоматы, CCTV и т.п.)
Бизнес-операции
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 53/424
� Необходимо идентифицировать опасности
Известные опасности (происходившие ранее) должны быть четко и точно описаны
Неучтенные ранее опасности должны быть идентифицированы с помощью формальных методов анализа
Предварительная оценка должна основываться на анализе последствий и изучении их основных причин
� Предварительная оценка позволяет сделать следующий шаг
Принятие немедленных мер с целью снижения или исключения опасностей
Прекращение анализа из-за несущественности опасности
Переход к оценке рисков и угроз
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 54/424
� Анализ последствий используется для оценки вероятного воздействия, которое вызывается нежелательным событием
� Анализ последствий должен
Основываться на выбранных нежелательных событиях
Описывать любые последствия, являющиеся результатом нежелательных событий
Учитывать меры, направленные на смягчение последствий, наряду с условиями, оказывающими влияние на последствия
Устанавливать критерии, используемые для полной идентификации последствий
Учитывать как немедленные последствия, так и те, которые могут проявиться по прошествии определенного времени
Учитывать вторичные последствия на смежные системы
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 55/424
� Для эффективной интерпретации значений риска и угроз очень важно понимание неопределенностей и вызывающих их причин
� Анализ неопределенностей предусматривает определение изменений и неточностей в результатах моделирования, которые являются следствием отклонения параметров и предположений, применяемых при построении модели
С анализом неопределенностей тесно связан анализ чувствительности
� Анализ чувствительности подразумевает определение изменений в реакции модели на отклонения отдельных параметров модели
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 56/424
� Проверка анализа позволяет убедиться, что анализ проведен корректно и ничего не забыто
� Для проверки анализа необходимо привлекать людей, не участвующих в анализе
� Проверка анализа включает
Проверка соответствия области применения поставленным задачам
Проверка всех важных допущений
Подтверждение правильности использованных методов, моделей и данных
Проверка результатов на повторяемость
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 57/424
Нарушитель Мотивация Источник Угрозы
� Определение нарушителей, их мотивация и источников угроз позволяет сузить спектр возможных угроз, из которых формируется список актуальных
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 58/424
Нарушители
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 59/424
� ГОСТ Р 52448-2005 «Обеспечение безопасности сетей электросвязи. Общие положения»
Террористы и террористические организации
Конкурирующие организации и структуры
Спецслужбы иностранных государств и блоков государств
Криминальные структуры
Взломщики программных продуктов ИТ
Бывшие сотрудники организаций связи
Недобросовестные сотрудники и партнеры
Пользователи услугами связи
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 60/424
� ГОСТ Р 52448-2005 «Обеспечение безопасности сетей электросвязи. Общие положения»
Месть
Достижение денежной выгоды
Хулиганство и любопытство
Профессиональное самоутверждение
� Я бы еще добавил политику и идеологию
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 61/424
Источники угроз
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 62/424
� ГОСТ Р 52448-2005 «Обеспечение безопасности сетей электросвязи. Общие положения»
Субъект
Материальный объект
Физическое явление
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 63/424
� РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности»
Неблагоприятные события природного, техногенного и социального характера
Террористы и криминальные элементы
Зависимость от поставщиков/провайдеров/партнеров/клиентов
Сбои, отказы, разрушения/повреждения ПО и техсредств
Внутренние нарушители ИБ
Внешние нарушители ИБ
Несоответствие требованиям надзорных и регулирующих органов
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 64/424
Факторы, воздействующие на информацию
Источники или категории угроз?
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 65/424
� Природные опасности
Наводнения, землетрясения, ураганы, молнии и т.п.
� Технические опасности
� Социальные опасности
Войны, вооруженные нападения, диверсии, эпидемии и т.п.
� Опасности, связанные с укладом жизни
Злоупотребление наркотиками, алкоголь, сектантство и т.п.
� ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ риска технологических систем»
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 66/424
� Национальности руководителей отдела ИБ и службы внутреннего контроля банка – осетин и ингуш
Конфликт
� Клиент банка (на Кавказе) – давний друг семьи, к которой принадлежит руководитель отдела банка
Потенциальная проблема
� Руководитель и подчиненный организации (в Казахстане) из разных кланов (тейпов)
Конфликт
� Не каждая служба ИБ рассматривает эти угрозы
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 67/424
� ГОСТ Р 51275-2006 «Объект информатизации. Факторы, воздействующие на информацию»
Стандарт устанавливает классификацию и перечень факторов, воздействующих на безопасность защищаемой информации, в целях обоснования угроз безопасности информации и требований по защите информации на объекте информатизации
Природа возникновения
Объективные Субъективные
Источник возникновения
Внутренние Внешние
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 68/424
� Внутренние
Передача сигналов
Излучение сигналов, функционально присущие тех.средствам
Побочные электромагнитные излучения
Паразитное электромагнитное излучение
Наводка
Наличие акустоэлектрических преобразователей в элементах тех.средств
Дефекты, сбои и отказы, аварии тех.средств
Дефекты, сбои и отказы ПО
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 69/424
� Внешние
Явления техногенного характера
Природные явления, стихийные бедствия
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 70/424
� Внутренние
Разглашение защищаемой информации лицами, имеющими к ней право доступа
Неправомерные действия со стороны лиц, имеющих право доступа к защищаемой информации
Несанкционированный доступ к информации
Недостатки организационного обеспечения защиты информации
Ошибки обслуживающего персонала
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 71/424
� Внешние
Доступ к защищаемой информации с применением тех.средств
Несанкционированный доступ к защищаемой информации
Блокирование доступа к защищаемой информации путем перегрузки тех.средств обработки информации запросами на ее обработку
Действия криминальных групп и отдельных преступных субъектов
Искажение, уничтожение или блокирование информации с применением тех.средств
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 72/424
Каталоги угроз
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 73/424
� ГОСТы 51901 и 51275 позволяют сформировать высокоуровневый список возможных угроз, который может быть расширен за счет каталогов угроз
� Каталоги угроз
ФСТЭК – «Методика определения актуальных угроз ПДн»
ФСТЭК – «Методика определения актуальных угроз КСИИ»
BSI – Threats Catalogue Force majeur
MAGERIT: Risk Analysis and Management Methodology for Information Systems
ГОСТ Р ИСО/МЭК ТО 13335-3-2007
� Учитывайте, что угрозы постоянно меняются и могут отсутствовать в используемой версии каталога или измениться по сравнению с описанными в ней
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 74/424
D – угрозы, обусловленные преднамеренными действиямиA – угрозы, обусловленные случайными действиямиE – угрозы, обусловленные естественными причинами
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 75/424
Методы анализа рисков и определения опасностей
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 76/424
� Существует множество различных методов анализа рисков / угроз
Универсального метода не существует
� При выборе метода надо учитывать, что должен быть
Научно обоснованным и соответствовать сложности и природе анализируемой системы
Давать результаты в форме, обеспечивающей понимание природы риска/угрозы и способов его контроля
Типовым и обладать свойствами, обеспечивающими возможность прослеживаемости, повторяемости и контролируемости
� В документации необходимо представить обоснование выбранного метода анализа / моделирования
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 77/424
� Метод анализа риска и угроз выбирается исходя из приемлемости целого ряда факторов
� Например, на ранней стадии развития системы могут использоваться менее детализированные методы
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 78/424
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 79/424
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 80/424
� Не стоит опираться только на один метод анализа рисков / угроз – лучше их комбинировать
� Важно помнить, что существенным фактором во многих инцидентах является человеческий фактор и организационные ошибки
Нельзя ограничиваться только технической стороной анализируемой системы
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 81/424
Процесс моделирования угроз(продолжение)
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 82/424
� На практике идентификация опасностей может приводить к очень большому числу сценариев потенциальных инцидентов
Детальный количественный анализ частот и последствий в таком случае не всегда возможен и осуществим
� Необходимо качественно ранжировать сценарии, поместив их в матрицы риска
Детальный количественный анализ осуществляется для сценариев с более высокими уровнями рисков
� Не существует универсальной формы и содержания матрицы риска
Классификация частот и серьезности последствий (как и количество их категорий) могут меняться в зависимости от ситуации
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 83/424
Источник: ГОСТ Р 51901.1-2002:• В – высокая величина риска• С – средняя величина риска• М – малая величина риска• Н – незначительная величина риска
:• Катастрофическое – практически полная потеря анализируемого объекта• Значительное – крупный ущерб системе• Серьезное – серьезный ущерб системе• Незначительное – незначительное повреждение системы
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 84/424
Вероятность
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 85/424
Считаем самостоятельно (экспертная оценка)
Считаем самостоятельно (экспертная оценка) Используем готовую
статистикуИспользуем готовую
статистику
Собственная Чужая
Базовый расчет
Детальный Детальный расчет
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 86/424
� У нас же есть отчеты CSI/FBI, E&Y, PwC, KPMG, МВД, Infowatch, Perimetrix и т.п.!
Мы не знаем условий, при которых произошел инцидент
Мы не имеем деталей по каждому респонденту
Средняя температура по больнице
� Пример: риски для АСУ ТП
Небольшое число внедрений
Публичной статистики нет (базы BCIT и INL не в счет)
Статистики вендоров нет – «закрытые» технологии
Собственной статистики нет – у ИБ/ИТ не доступа к АСУ ТП
Экспертных оценок в России нет
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 87/424
Proofpoint
• 43% утечек через e-mail
Infowatch
• 5% утечек через e-mail
IDC
• 56% утечек через e-mail
� Собираемая статистика очень сильно зависит от используемых методов опроса, аудитории, желания респондентов делиться информацией, масштаба опроса и даже от того, с какой ноги встал интервьюер
� Не каждая компания приглашает социологов для осуществления опросов
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 88/424
� При отсутствии статистической/исторической информации экспертная оценка является единственным методов определения частоты/вероятности реализации угроз
� Эксперты ранжируют вероятность наступления события исходя из своего опыта и знаний анализируемой системы
� Экспертная оценка является дополняет статистику и зачастую подтверждает ее
� Желательно использовать комбинацию всех методов
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 89/424
Вероятность
Уязвимость
Сила защитной меры
Возможности нарушителя
Угроза
Наличие доступа
Действие
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 90/424
� Профиль (модель) нарушителя
Мотив (причина)
Цель
«Спонсор» (кто помогает ресурсами?)
Потенциальные возможности
Озабоченность косвенным ущербом
Приемлемый уровень риска
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 91/424
� ГОСТ Р ИСО/МЭК 18045 «Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий» определяет в Приложении А (А.8.1) потенциал нападения, зависящий от
Мотивации нарушителя
Компетентности нарушителя
Ресурсов нарушителя
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 92/424
� 2 аспекта - идентификация и использование
Время, затрачиваемое на идентификацию уязвимости
Техническая компетентность специалиста
Знание проекта и функционирования атакуемой системы
Доступ к атакуемой системе
Аппаратное обеспечение/ПО или другое оборудование, требуемое для анализа
� Эти факторы не всегда независимы друг от друга и могут время от времени заменять друг друга
Компетентность � время, доступные ресурсы � время
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 93/424
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 94/424
� Складываются 10 значений из предыдущей таблицы
Таблица – не догма, а руководство к действию
Если значение близко к границе, подумайте об усреднении двух значений
ОО – объект оценки, СФБ – стойкость функции безопасности
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 95/424
� Сравнение/сопоставление с аналогичным риском
ГОСТ Р 51344-99
� Сравнение с риском на аналогичном решении с учетом следующих факторов
Аналогичное оборудование безопасности
Предполагаемое использование и технологии на обоих решениях сравнимы
Опасность и элементы риска сравнимы
Технические условия сравнимы
Условия использования сравнимы
� Необходимо учитывать дополнительные факторы
Например, тип защищаемой информации или потенциал нападения
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 96/424
� Прогнозирование с использованием аналитических методов
«Дерево неисправностей» (Fault Tree Analysis) – диаграмма всех возможных последствий инцидента в системе (МЭК 61025)
«Дерево событий» (Event Tree Analysis) - диаграмма всех возможных последствий данного события
Имитационное моделирование отказов/инцидентов
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 97/424
� Вероятность принимается равной единице, если угроза может быть осуществлена, и нулю – если нет
При отсутствии защитных мер
� Этот подход имеет право на жизнь, но только для небольшого количества систем и сценариев
В обычной жизни это слишком дорого
� �или для угроз, которые являются очень распространенными
� Данный метод применяется в неьольшом количестве различных методик
Ключевые системы информационной инфраструктуры – ФСТЭК
Security Architecture for Enterprise (SAFE) – Cisco
Методика ФСБ по персданным
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 98/424
� Существуют различные градации частот / вероятности опасностей / угроз
Девять уровней – ГОСТ 13569
Шесть уровней – ГОСТ Р 51901.1-2002
Четыре уровня – «Методика определения актуальных угроз ПДн»
Три уровня – ГОСТ Р 52448-2005
И т.п.
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 99/424
Последствия
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 100/424
� ГОСТ Р ИСО/МЭК ТО 13335-4-2007 «Методы и средства обеспечения безопасности. Выбор защитных мер» выделает 6 свойств информации, для которых описываются последствия
Конфиденциальность
Целостность
Доступность
Подотчетность
Аутентичность
Достоверность
� Такая классификация позволяет систематизировать последствия
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 101/424
� Потеря общественного доверия
� Снижение имиджа
� Ответственность перед законом
� Отрицательное влияние на политику организации
� Создание угрозы безопасности персонала
� Финансовые потери
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 102/424
� Принятие неправильных решений
� Обман
� Прерывание коммерческих операций
� Потеря общественного доверия
� Снижение имиджа
� Финансовые потери
� Ответственность перед законом
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 103/424
Оценка потерь
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 104/424
� Анализ риска не может быть осуществлен без оценки потерь
Потеря в природе риска. Без потерь рисков не бывает
� Оценка риска не имеет смысла, если мы не можем определить ценность актива, подверженного рискам
� Особенности оценки потерь
Точная оценка невозможна по своей природе. Многие ее и не ждут, столкнувшись с потерями при инвестиционных, рыночных рисках�
Worst-case (самый худший случай) не имеет отношения к анализу рисков, т.к. исчезает элемент вероятности
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 105/424
� Информационный актив может иметь разную ценность
В разное время, для разных аудиторий, в разных бизнес-процессах
� Потери могут принимать разные формы
� Одно событие может быть причиной нескольких форм потерь
� Сложные взаимосвязи между разными формами потерь
� Объем потерь определяется множеством факторов
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 106/424
� Ценность стакана воды в городских условиях равна нулю
� Вода есть везде
� Стакан воды в пустыне бесценнен
� Воды практически нет
Цена стакана воды одинакова в обоих условиях(в худшем случае ценность = цене)
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 107/424
� Потери
Прямые – потеря доходов, штрафы за нарушение договорных обязательств, штрафы надзорных органов, иски
Косвенные – упущенная выгода, потеря доли рынка, снижение лояльности заказчиков/партнеров, репутация
� Приобретение
Ускорение сделок, снижение времени вывода продукта на рынок, рост продуктивности, рост числа клиентов и т.д.
Ценность потериЦенность потери Ценность
приобретенияЦенность
приобретения
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 108/424
• Простои
• Ухудшение психологического климатаПродуктивность
• Расследование инцидента
• PR-активностьРеагирование
• Замена оборудования
• Повторный ввод информацииЗамена
• Судебные издержки, досудебное урегулирование
• Приостановление деятельностиШтрафы
• Ноу-хау, государственная, коммерческая тайна
• Отток клиентов, обгон со стороны конкурентаКонкуренты
• Гудвил
• Снижение капитализации, курса акцийРепутация
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 109/424
� Цена «сбоя» складывается из множества параметров
Восстановление утерянной информации
«Процедурные» затраты
Стоимость времени восстановления
Взаимодействие с пострадавшими стейкхолдерами
Резервирование автоматизации ключевых процессов ручными операциями
Снижение качества обслуживания
Извлечение уроков и т.п.
� Необходимо учитывать динамику потерь
Ущерб может наступить мгновенно или спустя недели
Активность бизнес-процессов может зависеть от квартала/сезона � ущерб зависит от этого же
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 110/424
RPO – Recovery Point Objectives, RTO – Recovery Time Objectives, MAD – Maximum Allowable Downtime
� Степень влияния и составляющие цены «сбоя» меняется с течением времени
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 111/424
� Активы бывают материальные и нематериальные
� Материальные активы оцениваются обычно на основе стоимости их замены или восстановления
� Аналогичным образом часто оценивается и программное обеспечение
� Ценность информации и иных нематериальных активов определяется либо экспертным способом (метод Дельфи) или с помощью специальных методик
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 112/424
Стоимость обмена Вероятная цена продажи, когда условия
обмена известны обеим сторонам и сделка
считается взаимовыгодной
Обоснованная рыночная
стоимость
Наиболее вероятная цена, по которой
объект оценки переходит из рук одного
продавца в руки другого на открытом рынке
и добровольно
Стоимость
использования
Стоимость объекта оценки в представлении
конкретного пользователя и с учетом его
ограничений
Ликвидационная
стоимость
Стоимость объекта оценки при вынужденной
продаже, банкротстве
Стоимость замещения Наименьшая стоимость эквивалентного
объекта оценки
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 113/424
Рыночный
• Метод сравнения продаж аналогичных объектов оценки
Затратный
• Метод стоимости замещения
• Метод восстановительной стоимости
• Метод исходных затрат
Доходный
• Метод расчета роялти
• Метод исключения ставки роялти
• Метод DCF
• Метод прямой капитализации
• Экспресс-оценка
• Метод избыточной прибыли
• Метод по правилу 25%
• Экспертные методы
� У каждого метода есть своя область применения, свои достоинства и недостатки
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 114/424
� МСФО 38 «Нематериальные активы»
� GAAP – для США
� EVS 2000 – для Евросоюза
� Стандарты оценки РФ
Утверждены ПП-519 от 6.07.2001
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 115/424
Методики моделирования угроз
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 116/424
� AS/NZS 4360
� HB 167:200X
� EBIOS
� ISO 27005 (ISO/IEC IS 13335-2)
� MAGERIT
� MARION
� MEHARI
� CRISAM
� OCTAVE
� ISO 31000
� NIST SP 800-3
� SOMAP
� Lanifex Risk Compass
� Austrian IT Security Handbook
� A&K Analysis
� ISF IRAM (включая SARA, SPRINT)
� OSSTMM RAV
� BSI 100-3
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 117/424
� Trike
� IT-Grundschutz Methodology от BSI (Германия)
� AS/NZS 4360:2004 (Австралия)
� MAGERIT: Risk Analysis and Management Methodology for Information Systems (Испания)
� EBIOS - Expression of Needs and Identification of Security Objectives (Франция)
� MEHARI (Франция)
� OCTAVE
� FRAP
� NIST 800-30 (США)
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 118/424
� MG-2, MG-3 (Канада)
� SOMAP
� IRAM
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 119/424
ISO\IEC TR 13569
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 120/424
� 5 зон уязвимостей
Персонал
Помещения и оборудование
Приложения
Системы связи
Программные средства и операционные системы
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 121/424
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 122/424
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 123/424
� Оценка осуществляется с учетом наличия мер защиты
Наличие мер защиты обычно снижает вероятность события, но не ущерб от него. Если мера направлена на снижение ущерба, то обычно она не влияет на вероятность
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 124/424
ГОСТ Р 51344-99
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 125/424
� «Безопасность машин. Принципы оценки и распределения риска»
� Является руководством для принятия решений при конструировании машин
Но изложенные в нем подходы могут быть использованы и в других областях безопасности
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 126/424
Риск
Тяжесть ущерба
Вероятность ущерба
Частота и продолжительность
воздействия опасности
Вероятность возникновения опасности
Возможность исключения или
ограничения ущерба
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 127/424
� При оценке риска необходимо принимать во внимание человеческий фактор
Взаимодействие человек – техсредство
Взаимодействие между людьми
Психологические аспекты
Эргономические факторы
Способность осознавать риск в данной ситуации (зависит от обучения, опыта или способностей)
� Также в этот список можно добавить и экономические аспекты
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 128/424
Методика Банка России
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 129/424
� РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности»
� Настоящие рекомендации в области стандартизации Банка России распространяются на организации БС РФ, проводящие оценку рисков нарушения ИБ в рамках построения/совершенствования системы обеспечения информационной безопасности (СОИБ) в соответствии с требованиями СТО БР ИББС-1.0
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 130/424
� Оценка риска нарушения ИБ определяется на основании качественных оценок
степени возможности реализации угроз ИБ выявленными и(или) предполагаемыми источниками угроз ИБ в результате их воздействия на объекты среды информационных активов
степени тяжести последствий от потери свойств ИБ для рассматриваемых типов информационных активов
� Оценка возможности реализации угроз ИБ и тяжести последствий нарушения ИБ должны определяться на основе экспертного оценивания
сотрудниками службы ИБ и ИТ
дополнительно необходимо привлекать сотрудников профильных подразделений, использующих рассматриваемые типы информационных активов
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 131/424
� Предварительно необходимо
Оценить информационные активы
Оценить типы объектов среды
Оценить актуальные источники угроз
� Учитывается
Мотивация нарушителя
Квалификация и ресурсы нарушителя
Статистика частоты реализации
Способы реализации угроз
Сложность обнаружения угрозы
Наличие защитных мер
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 132/424
� Учитывается
степень влияния на непрерывность деятельности организации
степень влияния на репутацию организации
объем финансовых и материальных потерь
объем финансовых и материальных затрат, необходимых для восстановления
объем людских ресурсов, необходимых для восстановления
объем временных затрат, необходимых для восстановления
степень нарушения законодательных требований и(или) договорных обязательств
степень нарушения требований регулирующих и контролирующих (надзорных) органов в области ИБ, а также требований нормативных актов Банка России
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 133/424
� Учитывается
объем хранимой, передаваемой, обрабатываемой, уничтожаемой информации
данные о наличии у рассматриваемых типов объектов среды организационных, технических и прочих апостериорных защитных мер
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 134/424
� Качественная шкала тяжести последствий
Минимальная
Средняя
Высокая
Критическая
� ��
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 135/424
� Настоящий документ распространяется на организации БС РФ и содержит актуальные для большинства организаций БС РФ угрозы безопасности ПДн при их обработке в ИСПДн (88 угроз)
� В случае необходимости, в организации БС РФ может быть составлена частная модель актуальных угроз безопасности ПДн
В случае сокращения набора актуальных угроз Отраслевой модели угроз – согласование с регуляторами
В случае расширения – согласование не требуется
� В качестве методики выбора актуальных для организации БС РФ угроз и последующего составления частной модели угроз рекомендуется использовать рекомендации РС БР ИББС-2.2-2009
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 136/424
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 137/424
Методика определения актуальных угроз ИСПДнФСТЭК
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 138/424
� Применяется для специальных ИСПДн
� Позволяет определить актуальные угрозы из списка всех возможных
� На основе модели угроз вырабатываются требования по защите
� Угрозы могут быть реализованы за счет
НСД к данным
Утечки ПДн по техническим каналам
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 139/424
� Необходимо составить список всех угроз
«Наличие источника угрозы и уязвимого звена, которое может быть использовано для реализации угрозы, свидетельствует о наличии данной угрозы»
Трата времени
� Составление списка актуальных угроз
Угроза, которую можно реализовать и которая опасна для ПДн
� Оценка возможности реализации
Уровень исходной защищенности ИСПДн
Частота (вероятность) реализации рассматриваемой угрозы
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 140/424
Низкая Средняя Высокая
Низкая Неактуальная Неактуальная Актуальная
Средняя Неактуальная Актуальная Актуальная
Высокая Актуальная Актуальная Актуальная
Очень высокая Актуальная Актуальная Актуальная
� Привязка к экспертной оценке
А если по конкретной ИСПДн экспертов нет?
� Модель угроз жестко закрепляется за ИСПДн и не предусматривает ее пересмотра
В противном случае это влечет за собой пересмотр класса ИСПДн, перечня защитных мероприятий, переаттестации ИСПДн�
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 141/424
Базовая модель угроз КСИИФСТЭК
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 142/424
� Наиболее объемный документ из четверки – 145 страниц
� В документе определяются перечень и характеристики угроз безопасности информации в КСИИ
Электромагнитное воздействие на информацию (ее носители)
Перехват (съем) информации по техническим каналам
НСД к информации
� Область применения – КСИИ с открытой информацией (неограниченного доступа)
� Угрозы могут уточняться и дополняться в порядке, устанавливаемом ФСТЭК
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 143/424
� Описана модель угроз
� Приведены различные классификации угроз
� Учитываются особенности и характеристики различных КСИИ
Источник угрозы
Среда распространения информации и воздействия на
нее
Носитель информации
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 144/424
� По возможным источникам
� По среде (пути) распространения
� По способам реализации
� По возможному объекту воздействия
� По деструктивному действию на информацию
� По используемым уязвимостям
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 145/424
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 146/424
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 147/424
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 148/424
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 149/424
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 150/424
� �� � � �� � � � � � � � � � � � � � � � �� ��� � � � � � �� � � � � � �� � � � � � � � � � � � � � �� � � � � � � � � � � � � � � � � � � � � � � � �DСA B Е
В 2
�� ! " # $ % & ", ! ( ! ) * * ( +* ) , " - " + # ! . /0 1 $ 2 1 ) # # * $3)0 0 ) 1 ) & * $ 4 ) 5 , ) 6 5 "
В 1
�� ! " # $ % & "0 1 $ 2 1 ) # # * $ 2 $$ 7 + %0 + - + * " � ( * ) , " - " + ! . /! 1 + 6 $ * $ % * $ 40 1 $ 2 1 ) # # ( )
В 1.1
� � ! " # $ % & "# " 5 1 $0 1 $ 2 1 ) # # ,0 1 $ : " ! $ 5 ; < �, ; ; < �
В 1.2
� � ! " # $ % & " 6 1 ) 4 ! + 1 $ !)0 0 ) 1 ) & * ( = % 1 + 6 % & !
В 1.3
� � ! " # $ % & "$0 + 1 ) > " $ * * ( = % " % & + #
А 1
? ) 1 @ : " & + , A D 1
B * C $ 1 # ) > " � , $ 7 1 ) 7 ) & ( ! ) + # ) � * ) . D E ( @ , + )! ( - " % , " & + , A * $ 4 % + & "С 1
FGH IJ K L IM NO P Q GR S Q GT MR U S P VR W L M P X IGT Q YH Z I[ Z N X X O I\ NH H N Z NT O I [ II ] Q GH Q^ Q O P W ( a b ) a dС 2.1
? ) e & )0 +0 1 $ + 5 & " 1 $ ! ) * " � " 1 ) 1 ) 7 $ & 5 " . /
С 2.3
? ) e & )0 + % $0 1 $ ! $ f 6 + * " � ( # $ 6 + 1 * " ) > " " ) . /С 2.2
? ) e & )0 + e 5 %0 , @ ) & ) > " "С 2
g O Qh Z Q O P Q (M O Q G Q O P Q ) O IM i VR W LM P X IGT Q Y M a dС 2.2.1
FGH IJ K L IM NO P Q O Qj T NT O I [ I a bС 2.2.2
g O QG Q O P QR W L M P X IGT Q Y GPGH IJ K L I M NO P Q X j T NT O i V G Z Qh GT MС 2.2.2.2
B # + * + * " + 5 $ * C " 2 @ 1 ) > " " ; . kС 2.2.2.3
E $ 6 " C " 5 ) > " � ; k " 6 ) * * ( =С 2.2.2.4
D ) 1 ) 7 $ & 5 ) ! 1 + 6 $ * $ % * ( =0 1 $ 2 1 ) # #С 2.2.2.5
; @ 7 , " 5 ) > " � , 1 ) 2 , ) : + * " + ) l " l ) + # ( = % ! + 6 + * " 4
Е 2
? ) 1 @ : + * " + > + , $ % & * $ % & " ( @ * " - & $ f + * " + ,# $ 6 " C " 5 ) > " � , 6 + " * C $ 1 # ) > " � )Е 1
mn o p q r s t r u v s w t x r s y t n z { s v | } t
Е 2.1
~� � � � �� � � � � � � � � � � � � � � � � � � � �� � � � � � �
Е 2.2
~� � � � �� � � � � � � � � � �� � �� � � � � � �, � � � � � �� � � � � � � � � �� � �� �� � � � � � �� � � � � � � �� � � �� � � � �
Е 3.1
� N ZR j Q O P Q �R O �� P I O P Z I M N O P WP IT � N L i G Z Qh G T M I ] Z N ] IT � P P O � I Z X N � P PŠ1.1
� � � � � �� � � � � � � � � �Š1.2
� � � � � � � � � � � � � � � � � � ��� � � � � � � � � �
Е 3
? ) 1 @ : + * " + 6 $ % & @0 * $ % & "А 2
; 1 $ 2 1 ) # # * $3 )0 0 ) 1 ) & * ) � ) 5 , ) 6 5 )
А 3.1
; 1 $ 2 1 ) # # * ( + ) 5 , ) 6 5 "( * + 6 + 5 , ) 1 " 1 $ ! ) * * ( + ! $ # $ f * $ % & "; k, 0 1 $ 2 1 ) # # ( & "0 )“ ¢ 1 $ � * % 5 " 4 5 $ * A ” , %0 + > " ) , A * ( +0 1 $ 2 1 ) # # ( : 5 , ) ! " ) & @ 1 * ( + :0 " $ * ( ,0 1 $ 2 1 ) # # (0 $ 6 7 $ 1 )0 ) 1 $ , + 4@ 6 ) , + * * $ 2 $ 6 $ % & @0 ) " 6 1. )
Е 1.4
¦ � � � � � § � � � � ,( � � © � � � � � � � )� � « � « � � � � �� � �� � � � � � �А 1.2
¬ * @ & 1 + * * " 4
А 2.1
$ * % & 1 @ 5 & " ! * $ ! % & 1 $ + * * ) �
А 2.2
. ! & $ * $ # * ) �
А 3
¬ 1 + 6 $ * $ % * ) � 0 1 $ 2 1 ) # # )
А 3.2
; 1 $ 2 1 ) # # * ( + ! " 1 @ % (
В 1.5
�� ! " # $ % & "%0 + > " ) , A * $ 2 $ ; k 1.4
� � ! " # $ % & "0 1 " 5 , ) 6 * $ 2 $ ; k
В 1.6
�� ! " # $ % & " ; k0 $ , A $ ! ) & + , �
С 1.1
k 7 = $ 6 / < B
С 1.2
® + % & 1 @ 5 & " ! * $ + ! $ 6 + 4 % & ! " + * ) / < B
С 1.3
¬ % 5 1 ( & " + " , "0 + 1 + = ! ) &0 ) 1 $ , �С 1.5
B %0 $ , A $ ! ) * " + $ % & ) & $ - * $ 4,* + @ - & + * * $ 4 " * C $ 1 # ) > " "( % 7 $ 1 “ # @ % $ 1 ) ” )В 4
�� ! " # $ % & " ,! ( ! ) * * ( + * + 6 $ % & ) & 5 ) # "$ 1 2 ) * " ) > " " ¢ < B $ & ? / ®В 5
� � ! " # $ % & " / < BВ 6
�� ! " # $ % & "0 1 $ 2 1 ) # # * $3)0 0 ) 1 ) & * ( = % 1 + 6 % & ! . / !1 + @ , A & ) & + % 7 $ + ! ! 1 ) 7 $ & +,$ & 5 ) $ ! e & " = % 1 + 6 % & !
В 1.3.1
¬0 1 $ > + % % +" * " > " ) , " ) > " " k /
В 1.3.2
¬ * + ) l " l + * * $ #1 + f " # + 1 ) 7 $ & (0 1 $ > + % % $ 1 )С 2.2.2.1
k 7 # + *0 1 $ 2 1 ) # # ) # " " 6 ) * * ( # " ,% $ 6 + 1 f ) l " # " ! (0 $ , * � + # ( + # $ 6 @ , "( % 5 1 "0 & ( , # ) 5 1 $ % ( " &. 6. )Е 2.8
~ � � � � � � � � � � � �� �� � �� � � �� � � � � � �
Е 2.9
~ � � � � � � � � � �� � � � � � �� � � � � � � � �� � � � � � � � � �
D 1.3
¬ % 1 + 6 % & ! ) = $ 7 1 ) 7 $ & 5 " " = 1 ) * + * " �$0 + 1 ) & " ! * $ 4 " * C $ 1 # ) > " "D 1.2
? ) ! % & 1 $ + * * ( = * $ % " & + , � =6 $ , 2 $ ! 1 + # + * * $ 2 $ = 1 ) * + * " � " * C $ 1 # ) > " "D 1.1
? ) $ & - @ f 6 ) + # ( = * $ % " & + , � = " * C $ 1 # ) > " "D 1.4
¬ % 1 + 6 % & ! ) = (0 $ 1 & ) = )! ! $ 6 ) / ! ( ! $ 6 ) " * C $ 1 # ) > " "
Е 3.2
? ) 1 @ : + * " + " $ & 5 ) ( C @ * 5 > " $ * " 1 $ ! ) * " �% 1 + 6 % & ! ! ! $ 6 ) / ! ( ! $ 6 ) " * C $ 1 # ) > " "
Е 3.3
? ) 1 @ : + * " + " $ & 5 ) ( C @ * 5 > " $ * " 1 $ ! ) * " �% 1 + 6 % & ! = 1 ) * + * " � " * C $ 1 # ) > " "
Е 3.5
? ) 1 @ : + * " + " $ & 5 ) ( C @ * 5 > " $ * " 1 $ ! ) * " � / < B
Е 2.3
~ � � � � �� � � � � � � � �� � � � � � �, � � � � � �� � � � � � � � � �� � �� �� � � � © �� � � � � � � ° « � �� � � � � � � � ( � � � � � � � � � � � � ° ) � ± � ± ² ³
Е 2.4
~ � � � � �� � � � � � � � �� � � � � � � � � � � � � � ( � �� � � � � �� � � , � � �� � � � � �, � � � � � � � � �, � � © � � � � � �. µ . ) � ±
Е 2.5
~� � � � �� � � � � � � � �� � � � � � � � � � � � � �� � � � � � � �� �� � �
Е 2.7
~� � � � �� � � � � � � � �� � � ¶ � �� � � � � (� � � � � � � � � � � )� � � � � � � � � �� � � � � � � � � � � � · � � �� � �� � � � · � © � � ©� � � �� � � �� � � � � � � �� � �� �� � � � � � � � � �� � � � � � � �� � � � · � � � �А 1.2.1
¸ � � �, � � � ° « � �� � � � � �� � � �� � � � � � � �� � � � � ��� � � �� � � � � � � � ° �� � �, �� � � � � � ° « � ��� � � � � � � ³ ¦
А 1.2.2
² � � � � �� � � � �� � � � � � ��� � � �� � � � � � � � � �� � � � � �� � � � ·� �� � �� � � , � � � ° « � �� � � � � � � � � � � � � � � � � �� � � � � � � ³ ¦ ¹ ±� � � ©� � � �� � � � � �
А 1.2.5
² � � � � �� � � � �� � � � � � ��� � � �� � � � � � � � �� � �� �� � � � � �� �� � � � �� �� � � � � � �� � � � �� � �� � �� � � � � �� � � � · � �� � �� � �
А 1.2.6
² � � � � �� � � � �� � � � � � ��� � � �� � � � � � � � �� � �� �� � � � � �� � � � � �� � � � �� � � © � �� � �� �� � � �� � « � « � � �� �� � ©º � � � �
А 1.2.7
� �� � � � � � �� � � � � � � � ©� � � � � �� � � � � � � �� �� � �� � � � � � �� �� � © � � � � � � � � �� � � � �, � © �� � � � � � � ° « � � � ��� � � �� �� ¶ � � � � � � � � � « � « � � �� � � ©º � � � �
А 1.2.8
� � � � � ©� � � � � � � � � � �,� © � � � � � � � � ° « � � �� � � � � � �,� � � �� �� ¶ � � � � � � � � �� � � � � · � � � �� � � ·� � � �� � � � � � � « � « � � �� � � ©º � � � �
D 1.1.1
» � © � � � � � � � � � � � � � �� � �D 1.1.3
� � �� � � � � � � Z I PD 1.1.4
� � �� � � � � � � ¿ � � � � �� � �� � � � � � � � � � � � � � ¿ §D 1.1.5
¹ � � �� , � � � �� � �� � � � �, � � � � � � � � � � � � � �D 1.1.6
� � � � � � � � � � �� � � � � � � �� � �D 1.1.8
À � � �� � � � � � � �� � � � � � �D 1.1.*
µ � � � � � �� � �� �� � � �D 1.1.2
Á �� � � � � � � � � � � � � � � �� � �D 1.2.3
� � � � � �� � � � � � � � � � � � � ( � � � � � � � �� � � � � � � � )� � �� � � � � ° « � � �� � �� �� � � �D 1.2.2
�� � �� � � � � � � � �� � � � � ° « � � �� � �� �� � � �D 1.2.1
Á �� � � � � � � � � � � � � � � �� � �D 1.3.4
� � � � � � � � � � � � � � � � ��� � � � ° � � � � � · �� � �� �� � �D 1.3.3 ~ � � �� � � � � � �D1.3.2
 ¿ § � � � � � �, © � � � � � � �� � � � � �� � �D 1.3.1
� � � � � � � � � � � � � � � � �D 1.4.1
 � � � � � � � � �D 1.4.2
à � � � � � � � �� � � � § �D 1.4.3
± � � � � �D 1.4.4
µ �� � � � �, �� � � �� �D 1.4.5
� � � � � � �D 1.4.6
� �� � � � �D 1.4.7
� � � �� � � � � � � � � � � · � � � � � � �� � � · � �� �� �
D 1.4.8
�� � � � � �� � � / � � �� � � � � � �� � � � ° � � � � �� � � � � � � � � � � · �� � �� �� � �
D 1.4.*
µ � � � � � �� � �� �� � � � � �� � � / � � �� � � � � �� � � � � � �В 1.3.3
¬ 0 1 $ > + % % + C @ * 53> " $ * " 1 $ ! ) * " � k / ! 0 1 "3! " , + 2 " 1 $ ! ) * * $ # 1 + f " # +
С 1.6
B %0 $ , A $ ! ) * " +* + & 1 ) 6 " > " $ * * ( = ( % & + 2 ) * $ 2 1 ) C " - + % 5 " = )5 ) * ) , $ !0 + 1 + 6 ) - " " * C $ 1 # ) > " "
А 1.2.3
�� � � �� � � � � � � � � �� � � � � �� � � � ·� � � � �� � � , � � � « � � � � � � ° « � � � � � � � � � � ��� � � � � � ³ ¦ �� ~ ±
А 1.2.4
² � � � � �� � � � �� � � � � � � �� � � �� � � � � � �� � �� � � � � �� � � � · � �� � �� � � ��� � �� �� � � � � � � � � � � �� � � � �� � �© � �� � �� �� � � � � � � � � � � � �� �� �� � � � � � � � � � � �� � « � « � � �� �� � ©º � � � �
А 3.3
¬ 1 + 6 $ * $ % * ( +0 1 $ 2 1 ) # # (1 ) %0 1 $ % & 1 ) * � Å l " + % � 0 $ % + & "( % + & + ! ( + - + 1 ! " )
В 3
�� ! " # $ % & " , % ! � ) * * ( + %1 + ) , " ) > " + 40 1 $ & $ 5 $ , $ !% + & + ! $ 2 $ ! ) " # $ 6 + 4 % & ! " �" 5 ) * ) , $ ! 0 + 1 + 6 ) - " 6 ) * * ( =
В 3.1
� � ! " # $ % & " * )5 ) * ) , A * $ # @ 1 $ ! * +
С 1.4
�� ! " # $ % & "0 1 $ & $ 5 $ , $ ! % + & + ! $ 2 $! ) " # $ 6 + 4 % & ! " � " 5 ) * ) , $ ! 0 + 1 + 6 ) - " 6 ) * * ( =
С 1.4.1
� � � � · � � � � � �� � � � � � �
С 1.4.2
Ã� � � � � � � � � � � � � � � � � � � � � · � � � � � ·
С 1.4.3
� � � � � � � � � � � � � � �� � �(� � � � � � � ©� � � ¶ � � � � � � )
С 1.4.4
~ � � � � � � � � � � � �� �� � � � · � �� � � � � �С 1.4.5
� � � � � � � � � � �� � � � � �� � � �� � � � � � ��� � � � � � � �� � � � �
С 1.4.6
¦ � � � � � § � � � � � � � � � � � � � �� � � � � � �� � � � � � « � « � � � � � � � ©� � � � � � � � �� � � �� � � � � � � �� � � � � �D 2
FO � I Z X N� P W M G Z Qh GT M N V Z Q NJ P LR U S P V G QT QM I QM L N P X Ih Q YGT M P Q P � NO NJ N VH Q Z Qh N P h NO O i V M G QT P
D 2.1
B * C $ 1 # ) > " � * ) 5 ) * ) , A * $ # @ 1 $ ! * +
Е 2.10
~ � � � � �� � � � � � � � � · �� � � � � � � � � � °� � � � � � ° � � �� � � � � � °
Е 2.10.1
± � � �� � � � � � � � � � � � � � �� � � � � � � � � � � � � � � � �
Е 2.10.2
± � � �� � � � � � � � � � � � � � � � � �� � � � �� � � § � � � � � � � � � � � � � � � � � � � � � � � · � � � � �
Е 2.10.3
± � � �� � � � � � � � � � � � � � � � � � � �� � � � � � � ��� � � �� � � � � � � �
Е 2.10.4
± � � �� � � � � � � � � � � � � � © � �� � �� �� � � � °� � �� � � � � � � � � � � �D 1.4.9
³ � �� � � � � � � � � � � �� � � � · ( � � � � � � � � � � )� � � � � � � � � � � � � ·Е 1.3
� � � � · � � �� � �� � � � � � �� � � � � � � ·� � � � � � � � � � � � � ·
Е 3.4
? ) 1 @ : + * " + " $ & 5 ) ( C @ * 5 > " $ * " 1 $ ! ) * " �)0 0 ) 1 ) & @ 1 ( " 5 ) * ) , $ !0 + 1 + 6 ) - " 6 ) * * ( =
В 3.4
� � ! " # $ % & " * )% + ) * % $ ! $ # @ 1 $ ! * +В 3.5
� � ! " # $ % & " * )0 1 + + * & ) > " $ * * $ # @ 1 $ ! * +В 3.6
� � ! " # $ % & " * )0 1 " 5 , ) 6 * $ # @ 1 $ ! * +D 2.4
B * C $ 1 # ) > " � * ) % + ) * % $ ! $ # @ 1 $ ! * +
D 2.5
B * C $ 1 # ) > " � * )0 1 + + * & ) > " $ * * $ # @ 1 $ ! * +
D 2.6
B * C $ 1 # ) > " � * )0 1 " 5 , ) 6 * $ # @ 1 $ ! * +D
mp3- 1.1.7
±� �� � � � � � � � �� � � , � � � � � � � � � �� � � � ° � � � � ,� � � �� � � � �� �� � � � � � � � � , � �� � � � � � � � � � �А 1.1
¬ * + : * " 4
В 3.2
� � ! " # $ % & " * )% + & + ! $ # @ 1 $ ! * +
В 3.3
� � ! " # $ % & " * )& 1 ) * %0 $ 1 & * $ # @ 1 $ ! * +D 2.2
B * C $ 1 # ) > " � * ) % + & + ! $ # @ 1 $ ! * +
D 2.3
B * C $ 1 # ) > " � * ) & 1 ) * %0 $ 1 & * $ # @ 1 $ ! * +
А 1.2.*
µ � � � � � � � � � �� � � � � � � � � � � �� � � � � � � � � § � � � �� � � � � � � � � �� � � ©º � � � �
С 2.4
? ) e & )0 + @ & " , " ) > " " e , + # + * & $ ! . /
Е 1.*.1
³ � �� � � � � � � ,� © � � © � � � � � � � � � � � � ©º � � � �Е 1.*.2
±� � � � � ��� � � � � � � � � � � � ¹ �Е 1.*.3
±� � � � � ��� � � � � � � � � � � ± ² ³
Е 2.6
~� � � � �� � � � � � � � �� � � � � � � � � � � � � �� � � � � � � � �� �� � �
Е 2.11
~� � � � �� � � � � � � ± ² ³
А 3.4
® 1 @ 2 " + ! 1 + 6 $ * $ % * ( +0 1 $ 2 1 ) # # ( , 0 1 + 6 * ) * ) - + * * ( +6 , � $ % @ l. ? / ®
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 151/424
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 152/424
и н с т а л л я ц и и ин а с т р о йк ип р о г р а м м н о г оо бе с п е ч е н и яре а л и з а ц и ип р о г р а м м н о г оо бе с п е ч е н и я
Кл а с с и ф и к а ц и я у я з в и м о ст е йп р ог р а м м н ог оо б е сп е ч е н и я
По э т а п у ж и з н е н но го ц и к л ап ро г р а м м но го о б е с п е ч е н и я, н ако то ро м во з н и к а е т у я з в и мо с т ь П о п р и ч и н ево з н и к но в е н и яу я з в и мо с т и По х а р а к т е р упо с л е д с т в и й о тр е а л и з а ц и и а т а кУ я з в и м о с т и,в о з н ик а ю щ и е н а э т а п еп р ое к т и р о в а н и яп р о г р а м м н о г оо бе с п е ч е н и я
LM N O P Q R Q S T U M V R W T X U O YR Z QM W Q T [ T S R \ T TН е д о с т а тк и з а щ и т ыу ч е т н ы х з а п и се йН а л и ч и е ф у нк ц и й ,п о з в о л я ю щ и хв ы п о л н я т ьде с т р ук т и в н ы е де й с т в и яУ я з в и м о с т и,и с п о л ь з уе м ы е д л яп е ре п о л н е н и я б у фе р аУ я з в и м о с т и,и с п о л ь з уе м ы е д л яп о д б о р а п а р о л я и л ии де н т и ф ик а т о р аУ я з в и м о с т и,и с п о л ь з уе м ы е д л яи з ме н е н и я п р а вд о с т у п аУ я з в и м о с т и,и с п о л ь з уе м ы е д л яре а л и з а ц и и а т ак и" О тк а з во б с л у ж и в а н и и "
По т и п у П ОС и с те м н ое П ОП р ик л а д н оеп р о г р а м м н оео бе с п е ч е н и е
О т с у т с т в и е п р о ве рк ик о р ре к т н о с т и в х о д н ы хд а н н ы х
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 153/424
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 154/424
� Учтен широкий спектр различных угроз, уязвимостей, каналов и средств съема информации
Аппаратные закладки
Малогабаритные телескопы
Электронные стетоскопы
Перехват информации в оптических каналах связи
Упоминаются системы сотовой связи, пейджинговых сообщений спутниковых и беспроводных сетей
Уязвимости и закладки в материнских платах
Утечки через графические, аудио и текстовые контейнеры
� 8 категорий внутренних нарушителей
В зависимости от способа и полномочий доступа к ресурсам
� 5 типов объектов информатизации и моделей угроз для них
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 155/424
� Нарушители, не имеющие права доступа в контролируемую зону территории (помещения) –внешние нарушители
Представители разведывательных служб иностранных государств
Представители криминальных структур
Представители конкурентов (конкурирующих организаций)
Недобросовестные партнеры
Посторонние лица
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 156/424
� Нарушители, имеющие право доступа в контролируемую зону территории (помещения) –внутренние нарушители
Лица, имеющие санкционированный доступ в контролируемую зону, но не имеющие доступа к информационным ресурсам
Зарегистрированные пользователи АС, осуществляющие ограниченный доступ к ресурсам АС с рабочего места
Зарегистрированные пользователи АС, осуществляющий удаленный доступ к ресурсам по ЛВС
Зарегистрированные пользователи АС с полномочиями администратора безопасности АС
Зарегистрированные пользователи с полномочиями системного администратора АС
Зарегистрированные пользователи с полномочиями администратора безопасности АС
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 157/424
� Нарушители, имеющие право доступа в контролируемую зону территории (помещения) –внутренние нарушители
Программисты-разработчики (поставщики) прикладного программного обеспечения и лица, обеспечивающие его сопровождение на защищаемом объекте
Разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств на защищаемом объекте
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 158/424
Методика определения актуальных угроз КСИИФСТЭК
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 159/424
� Область применения – КСИИ с открытой информацией (неограниченного доступа)
� Актуальность угрозы определяется как функция от вероятности реализации угрозы и ее опасности
� Коэффициент опасности не зависит от вида ущерба
Величина ущерба определяется экспертным способом
� Определен математический аппарат для определения актуальных угроз, коэффициентов опасности деструктивных действий
� Легко автоматизируемый алгоритм
=
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 160/424
� Дана методика оценки важности (ценности) информации
5 степеней важности по конфиденциальности
3 степени важности по целостности
3 степени важности по доступности
� Признается
Необходимость наличия своей модели расчета вероятности для каждой угрозы (в планах есть их разработка)
Отсутствие моделей расчета вероятности угрозы
� Поэтому вероятность принимается равной единице, если угроза НСД может быть осуществлена (при отсутствии защитных мер), и нулю – если нет
Этот подход имеет право на жизнь, но только для КСИИ – в обычной жизни это слишком дорого
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 161/424
� Выявление источников угроз осуществляется экспертным методом по имеющимся анкетам
Конкуренты
Зарубежные спецслужбы
Криминальные структуры
Недобросовестные партнеры
Персонал учреждения
Внешние субъекты (физлица) и хакеры
Разработчики и производители техсредств и ПО
� Выявление уязвимых звеньев также осуществляется по имеющимся анкетам
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 162/424
� Выявление взаимосвязи источников угроз, угроз безопасности и уязвимых звеньев осуществляется по имеющимся таблицам
К методике прилагается достаточно обширный перечень угроз безопасности
� Выявление взаимосвязи угроз безопасности информации с деструктивными воздействиями осуществляется по имеющимся таблицам
� Определение вероятностей наличия благоприятных условий для использования уязвимостей осуществляется по имеющимся таблицам
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 163/424
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 164/424
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 165/424
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 166/424
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 167/424
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 168/424
1. Копирование (чтение) информации
2. Перехват информации
3. Уничтожение информации (носителя информации)
4. Модификация, запись новой информации
5. Блокирование
6. Разглашение информации
7. Хищение информации
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 169/424
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 170/424
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 171/424
Как автоматизировать моделирование угроз?
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 172/424
� Электронные таблицы
� ПО Wingdoc ПД от НТЦ Сфера
� DS Office от Digital Security
� РискМенеджер от ИСП РАН
� CRAMM
� Skybox
� Tiramisu
� DFD Studio
� Иные средства автоматизации анализа рисков
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 173/424
Как оформить модель угроз?
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 174/424
� Нормативные документы ФСТЭК и ФСБ не дают ответа на вопрос «как оформить модель угроз?»
� Вы вправе самостоятельно выбрать форму этого документа
� Если моделирование угроз реализуется не «для галочки», то
Желательно учитывать существующие нормативные документы в смежных областях
Пишите на понятном предполагаемой аудитории языке
Учитывайте, что вы можете уйти из компании и модель угроз может анализировать человек, который ее не составлял (комментируйте и обосновывайте свои позиции и выводы)
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 175/424
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 176/424
� Модель угроз должна включать
Описание ресурсов инфокоммуникационной структуры (объектов безопасности) сети связи, требующих защиты
Описание источников формирования дестабилизирующих воздействий и их потенциальных возможностей
Стадии жизненного цикла сети электросвязи
Описание процесса возникновения угроз и путей их практической реализации
� Приложение к модели угроз
Полный перечень угроз
База данных выявленных нарушений безопасности электросвязи с описанием обстоятельств, связанных с обнаружением нарушением
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 177/424
� Документация оценки и определения риска включает
Характеристика оборудования (техусловия, область применения, использование по назначению)
Любые относящиеся к делу предположения, которые были сделаны (например, факторы безопасности и т.д.)
Идентифицированные опасности
Информация, на основании которой сделана оценка и определение риска (использованные данные и источники)
Сомнения, связанные с использованными данными и источниками
Цели, которые должны быть достигнуты защитными мерами (например, конфиденциальность, целостность и т.д.)
Меры безопасности, принимаемые для устранения выявленных опасностей или уменьшения риска
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 178/424
� Документация оценки и определения риска включает
Остаточные риски
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 179/424
� Отчет по анализу риска/угроз включает
Краткое изложение анализа
Выводы
Цели и область применения анализа
Ограничения, допущения и обоснование предположений
Описание соответствующих частей системы
Методология анализа
Результаты идентификации опасностей
Используемые модели, в т.ч. допущения и их обоснования
Используемые данные и их источники
Результаты оценки величины риска
Анализ чувствительности и неопределенности
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 180/424
� Отчет по анализу риска/угроз включает
Рассмотрение и обсуждение результатов
Рассмотрение и обсуждение трудностей моделирования
Ссылки и рекомендации
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 181/424
Заключение
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 182/424
“В настоящее время нельзя говорить о правильном или неправильном методе анализа риска. Важно, чтобы организация пользовалась наиболее удобным и внушающем доверие методом, приносящим воспроизводимые результаты.”
ГОСТ Р ИСО/МЭК ТО 13335-3-2007
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 183/424
� Избежание риска
Устранение источника угрозы�
� Принятие риска
Бороться себе дороже
� Передача риска
Аутсорсинг, страхование�
� Снижение рисков
Реализация защитных мер�
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 184/424
� В зависимости от выбранной методологии моделирования угроз (анализа рисков) перечень предлагаемых защитных мер может предлагаться тем же стандартом
ISO\IEC TR 13335-4
ISO 27002
IT-Grundschutz Methodology
СТО БР ИББС-1.0
Четверокнижие ФСТЭК по ПДн и КСИИ
И т.д.
� В ряде случаев стандарты включают рекомендации по выбору, а не только их законченный список
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 185/424
Вопросы?
Дополнительные вопросы Вы можете задать по электронной почте [email protected]или по телефону: +7 495 961-1410
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 186/424