Для чего нужна модель угроз безопасности

  • ПДн – персональные данные;
  • ФСТЭК — Федеральная служба по техническому и экспортному контролю;
  • ФСБ — Федеральная служба безопасности;
  • ИБ — информационная безопасность;
  • ИСПД — информационной системы персональных данных;
  • КИ — конфиденциальная информация;
  • ЗИ — защищаемая информация;
  • СУИБ —система управления информационной безопасностью;

В наше время системы информационной безопасности часто подвергаются угрозам. Чтобы защититься от них, нужно сначала понять, какие угрозы могут быть. Для этого создаётся модель угроз.

Модель угроз — это инструмент, который помогает понять, какие опасности могут угрожать информационной системе. Она не просто перечисляет возможные атаки, а рассматривает, как угрозы могут возникнуть и какие риски представляются для системы. Модель угроз учитывает взаимосвязь между важными данными (информационными активами), потенциальными злоумышленниками (нарушителями) и слабыми местами в системе (уязвимостями).

Понимание самой модели угроз безопасности информации позволяет организации правильно её построить и эффективно планировать меры защиты информации, уменьшить затраты на безопасность и улучшить устойчивость
к кибератакам.

Для компаний риски зависят от того, чем они занимаются, и от того, насколько их система защищена от атак. Модель строится на основе анализа угроз
и классификации нарушителей. Проще говоря, нужно сначала выяснить, какие проблемы могут возникнуть, а потом придумать, как их решить.

Разработка модели угроз информационной безопасности — это важнейший шаг перед созданием (построением) системы защиты. Сначала нужно определить, насколько важна защита информации (класс защищённости), затем установить правила, как можно обрабатывать данные, и утвердить документ, который будет регулировать защиту персональных данных. Вкратце, это подготовка к защите информации, которая включает в себя определение уровня защиты, правил работы с данными, и документов, регламентирующих эту защиту.

Для чего нужна модель угроз?

Представьте, что ваша информационная система — это дом. Модель угроз помогает найти все слабые места (например, незащищённые окна или двери), через которые злоумышленники могут проникнуть и навредить. Зная эти слабые места, можно установить дополнительные замки, сигнализацию или другие защитные меры. Так модель угроз помогает предотвратить возможные проблемы и обеспечить безопасность информации. Эффективная защита требует постоянного развития. Модель угроз должна регулярно обновляться, чтобы соответствовать текущим реалиям и обеспечивать адекватную защиту от возникающих рисков.

Рассмотрим детально важность моделирования угроз безопасности

Определение приоритетов мер защиты информации — у нас всегда есть ограниченное количество ресурсов для защиты от разных угроз. Модель угроз помогает понять, какие из них самые опасные и требуют немедленных действий. Например, если есть несколько потенциальных проблем, модель угроз покажет, какая из них может нанести наибольший вред, и поможет сосредоточиться на её решении в первую очередь.

Анализ потенциальных угроз и выбор стратегий для действий — формирование модели становится отправной точкой для оценки рисков, предоставляя возможность определения последствий и вероятностей реализаций угроз, что в конечном счете влияет на управленческие решения.

Упорядочение знаний о возможных угрозах — без системного подхода увеличивается риск пропустить критические уязвимости или неверно оценить степень рисков.

Разработка эффективных планов реагирования — знание конкретных сценариев атак помогает быть готовым к различным ситуациям, стремительнее среагировать и уменьшить вред.

Усиление безопасности и повышение осведомленности сотрудников — совместный процесс моделирования вовлекает разные уровни компании
и способствует пониманию, что все мы зависим друг от друга и риски могут затрагивать не только одного человека, но и компанию в целом.

Соответствие нормативным требованиям и стандартам. Многие законодательные акты, такие как Федеральный закон №187-ФЗ «О безопасности критической информационной инфраструктуры» и рекомендации ФСТЭК и ФСБ, прямо предписывают проведение анализа угроз с использованием формализованных моделей.

Таким образом, если не будет грамотно построенной модели угроз информационной безопасности, невозможно будет обеспечить надежную защиту
и устойчивость организации в условиях изменчивого кибермира.

Для каких информационных систем не требуется разрабатывать Модель угроз.

Разработка модели угроз обязательна для большинства информационных систем, однако в исключительных случаях можно обосновать её отсутствие. К таким ситуациям относятся:

Неавтоматизированные процессы — системы, где обработка данных осуществляется исключительно вручную без использования программно-аппаратных средств (например, бумажные журналы учета или стендовые демонстрационные материалы).

Системы с нулевой критичностью — ресурсы, не влияющие на бизнес-процессы даже при полном выходе из строя (тестовые среды разработки, учебные тренажеры без доступа к реальным данным).

Важно отметить, что решение об отсутствии необходимости разработки модели угроз должно быть формализовано в виде внутреннего документа с указанием объективных критериев такого решения. Это позволяет продемонстрировать осознанный подход к оценке рисков при взаимодействии с проверяющими органами.

Содержание и оформление модели угроз

Модели угроз информационной безопасности (ИБ) описывают потенциальные нарушения и источники угроз, а также объекты, которые могут быть подвергнуты этим угрозам. Они также включают оценку вероятности реализации угроз, их последствий, масштабов и уязвимых мест в информационной системе.

В модели угроз надо рассказать о том, как устроена система, как она взаимодействует с другими объектами, есть ли у системы сертификат, и где она находится (какие границы контролируемой области у системы), какие угрозы для неё актуальны.

Нужно указать адреса расположения технических средств, а также тех, кому запрещён доступ в контролируемую зону, и перечислить, какие технические
и транспортные средства не могут быть использованы в системе.

При этом не нужно углубляться в технические детали или копировать паспорта устройств. Просто нужно, чтобы проверяющий представитель регулирующего органа понял, как работает система защиты. Для этого можно использовать схемы, которые показывают, как действуют угрозы и как работает защита.

Кроме того, в документации нужно указать, как охраняются помещения, где находится система, — и в рабочие, и в нерабочие часы. И перечислить, какие охранные средства используются, например, сигнализация, видеонаблюдение, вахтёры и охранники.

В свою очередь, построение модели угроз должно опираться на актуальную нормативную и методическую базу, к которой относятся:

Законодательные акты, регулирующие информационную безопасность и защиту данных:

  • Федеральный закон №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;
  • Федеральный закон №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • другие профильные законы и постановления.

Методические документы и рекомендации ФСБ и ФСТЭК:

  • требования к обеспечению целостности и доступности информации;
  • правила криптографической защиты;
  • требования по защите гостайны и конфиденциальной информации.

Внутренние политики, регламенты и стандарты организации, регламентирующие процесс анализа и управления угрозами.

Наличие нормативного основания обеспечивает, что разработанная модель угроз будет не только методологически правильной, но и юридически подкреплённой. Это критически важно для организаций, оперирующих конфиденциальной информацией.

Создание модели угроз информационной безопасности представляет собой сложный, многогранный и непрерывный процесс, являющийся фундаментом для эффективного управления защитой информационных систем. Это своего рода карта опасностей для информации, она помогает организации заранее узнать
о возможных рисках, чтобы можно было предпринять меры по их устранению или снижению.

Важно помнить, что моделирование угроз не является разовой задачей. Информационная среда непрерывно изменяется: появляются новые технологии, уязвимости, меняются мотивы и методы злоумышленников. Поэтому модель угроз необходимо регулярно пересматривать и обновлять.

Уважаемые пользователи сервиса 152DOC, вы можете сформировать данный документ на странице – «Мастер заполнения» в блоке «Модель угроз безопасности информации»! Наши специалисты постарались максимально упростить создание документа

В результате применения методик моделирования угроз организация получает четкое представление о своих рисках, возможность планировать защитные меры и минимизировать вероятность и последствия инцидентов. Это значительно повышает безопасность информационных активов и способствует устойчивому развитию бизнеса и государственных структур.

Оставьте комментарий

Продолжая использовать сайт, вы даете согласие на обработку файлов cookie генерируемых Яндекс.Метрикой. Если вы не хотите, чтобы ваши данные обрабатывались, покиньте сайт.
Принять