Бесплатная консультация юриста:
8 (800) 500-27-29 (доб. 553)
СПб и Лен. область:Санкт-Петербург и область:
+7 (812) 426-14-07 (доб. 318)
Москва и МО:
+7 (499) 653-60-72 (доб. 296)
Получить консультацию

Модель угроз информационной безопасности

Зачем нужна модель угроз?

Необходимость разработки модели угроз регламентирована рядом нормативных документов. Вот некоторые из них.

Часть 2 статьи 19 закона №152-ФЗ «О персональных данных»:

2. Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утверждены приказом ФСТЭК России от 18 февраля 2013г. №21):

4. Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.

Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (утверждены ФСТЭК России от 11 февраля 2013г. №17)

Формирование требований к защите информации… в том числе включает:

определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработку на их основе модели угроз безопасности информации;

Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды (утверждены приказом ФСТЭК России от 14 марта 2014г. №31):

Формирование требований к защите информации в автоматизированной системе управления… в том числе включает:

определение угроз безопасности информации, реализация которых может привести к нарушению штатного режима функционирования автоматизированной системы управления, и разработку на их основе модели угроз безопасности информации;

Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации (утверждены приказом ФСТЭК России от 25 декабря 2017г. №239):

11. Разработка организационных и технических мер по обеспечению безопасности значимого объекта осуществляется субъектом критической информационной инфраструктуры… и должна включать:

а) анализ угроз безопасности информации и разработку модели угроз безопасности информации или ее уточнение (при ее наличии);

Итак, вывод отсюда простой: для любых информационных систем, так или иначе подлежащих защите в соответствии с законодательством необходимо разработать модель угроз.

Общее

Попытка реализовать несанкционированный доступ к информационным сетям с целью что ли бо сделать с данными в сети есть компьютерное пиратство. Прослеживая это социальное явление есть тенденция к стремительному росту атак на информационные сети. Компьютерных злоумышленников не интересует как хорошо реализован контроль информационной системы, они ищут одну лазейку которая даст им нужную цель. Используя разные факторы они реализуют преступления, которые как считают они, легче чем ограбление банка в живую. При этом могут быть использованы методы вымогательства или взяточничества. Мало предприятий, где высшее руководство верит в то, что их предприятие может понести убытки из-за хакеров, а еще меньше которые интересовались вопросом угрозы информационной безопасности и проблемы защиты информации в сетях. Множество менеджеров под воздействием информационных волн считают, что нарушители это школьники, и против них нужно бороться. В зависимости от целей или мотивов, действия нарушителя делят на:

  • Идейные хакеры.
  • Искатели приключений.
  • Хакеры — профессионалы.
  • Ненадежные сотрудники.

Искатель приключений, он обычно молодой студент или школьник, без продуманного плана реализации атак. Выбирает случайную цель. Идейный хакер — Он выбирает конкретные цели. Свои достижения рассказывает широкой аудитории или размещает данные на веб ресурсах. Хакер-профессионал — человек с четким планом действий. Атаки продуманы в несколько этапов. Сбор информации и сам взлом. Обычно такие люди финансируются для целей, которые ему не свойственны, но ему платят. Ненадежный сотрудник — его действие могут иметь большие последствия, так как он доверенное лицо системы. Ему не нужно выдумывать сложные атаки для реализации своей цели. Еще одна модель нарушителя показана на рис.1.

Рисунок — 1

Нарушитель, обычно специалист определенной квалификации, которые пытается узнать все о информационной системе и о средствах защиты информации.

Также у служащих, можно выделить следующие мотивы для помощи злоумышленникам:

  • Реакция на замечание или выговор от руководителя.
  • Недовольство действиями руководства.

Руководитель как неудовлетворяющий сотрудника, одна из самых больших угроз в системе коллективного пользования.

Компьютерные атаки обычно сильно спланированы и реализуются со знанием сферы деятельности. Мотивом нарушения обычно есть деньги. Все злоумышленники пытаются свести свой риск к минимуму. В современных информационных системах, где очень сложные системы защиты и других методов совершения транспортировки информации, существует дополнительный риск, что с изменением одного элемента системы может привести к сбою работы других элементов. Многие года шпионаж реализуется как метод, которые вынуждает идти сотрудников за минимальное вознаграждение.