Угрозы
Куда я попал?
В сервисе под угрозами понимаются любое негативное событие, которое могут нанести ущерб организации.
Угрозы не описывают как конкретно может произойти негативное событие, за это отвечают уязвимости в активах.
В контексте рисков безопасности угроза - это негативное событие, использующее уязвимость в типе актива для нанесения ущерба организации.
Угрозы не описывают как конкретно может произойти негативное событие, за это отвечают уязвимости в активах.
В контексте рисков безопасности угроза - это негативное событие, использующее уязвимость в типе актива для нанесения ущерба организации.
Классификация
Угрозы можно классифицировать 2 способами – по нарушаемому свойству информации (КЦД + дополнительные свойства) и по модели STRIDE, также отдельными типами выделены угрозы несанкционированного доступа (НСД).
Классификация угроз по нарушаемому свойству информации (триада КЦД):
Классификация угроз по нарушаемому свойству информации (триада КЦД):
- Конфиденциальность / confidentiality - cвойство информации быть недоступной или закрытой для неавторизованных лиц, сущностей или процессов.
- Целостность / integrity - свойство сохранения правильности и полноты активов.
- Доступность / availability - Cвойство актива быть доступным и готовым к использованию по запросу авторизованного субъекта
+ дополнительные свойства: - Неотказуемость (non-repudiation): Способность удостоверять имевшее место действие или событие так, чтобы эти события или действия не могли быть позже отвергнуты.
- подотчетность (accountability): Свойство, обеспечивающее однозначное прослеживание действий любого логического объекта.
- достоверность (reliability): Свойство соответствия предусмотренному поведению и результатам.
- аутентичность (authenticity): Свойство, гарантирующее, что субъект или ресурс идентичны заявленным. Аутентичность применяется к таким субъектам, как пользователи, к процессам, системам и информации.
Классификация угроз по модели STRIDE это модель классификации типов угроз разработанная Microsoft (подробнее), которая включает следующие типы угроз:
- Подмена пользователя / Спуфинг / Spoofing of user identity – незаконный доступ к идентификационным и аутентификационным данным пользователя и их использование.
Защищаемое свойство - аутентичность/аутентификация. - Искажение / Незаконное изменение / Tampering – вредоносное изменение данных, будь то данные в состоянии покоя (файлы, базы данных) или данные в процессе их передачи.
Защищаемое свойство – целостность. - Отрицание / Repudiation – сознательный отказ пользователей от действий, которые они совершили. Примером может служить использование работником своего служебного положения и легального доступа к информационным активам для совершения незаконных, мошеннических действий.
Защищаемое свойство – неотказуемость. - Раскрытие информации / Information disclosure –раскрытие сведений лицам которые к этой информации не должны иметь доступа.
Защищаемое свойство – конфиденциальность. - Отказ в обслуживании / Denial of service – выход из строя активов или нарушение их работоспособности приводящее к невозможности их использования.
Защищаемое свойство – доступность. - Повышение привилегий / Elevation of privilege – предоставление пользователю прав и полномочий больших чем ему предназначено. В том числе в результате нарушений действующих защитных механизмов.
Защищаемое свойство – авторизация.
Отдельно выделена возможность классификации угроз несанкционированного доступа.
Несанкционированный доступ к информации (НСД, Unauthorized access to information) - доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.
Несанкционированный доступ к информации (НСД, Unauthorized access to information) - доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.
Цепочки угроз
Реализация одних угроз может являться предпосылкой для реализации других. Например, угроза несанкционированного доступа в серверное помещение ведет к возможной реализации угрозы несанкционированного физического доступа к серверному оборудованию, далее доступа к жестким дискам и компрометации защищаемой информации.
Аналогом в Методике ФСТЭК по моделированию угроз являются сценарии реализации угроз. Аналогом в методиках Mitre являются процедуры. Также аналогом являются понятия Cyber-Kill Chain или просто Kill Chain.
В начале цепочек чаще всего фигурируют низкоуровневые, технические угрозы, а к концу цепочек ключевые угрозы (негативные последствия), понятные руководству компании и бизнес-подразделениям (например, нарушение законодательства по персональным данным, утечка коммерческой тайны, остановка производства).
Составление подобных цепочек угроз позволяет лучше понимать векторы атак и рассчитывать риски безопасности. В сервисе реализована возможность настройки связей между различными угрозами в виде предпосылки/следствия, функционал доступен в карточках редактирования угроз.
Аналогом в Методике ФСТЭК по моделированию угроз являются сценарии реализации угроз. Аналогом в методиках Mitre являются процедуры. Также аналогом являются понятия Cyber-Kill Chain или просто Kill Chain.
В начале цепочек чаще всего фигурируют низкоуровневые, технические угрозы, а к концу цепочек ключевые угрозы (негативные последствия), понятные руководству компании и бизнес-подразделениям (например, нарушение законодательства по персональным данным, утечка коммерческой тайны, остановка производства).
Составление подобных цепочек угроз позволяет лучше понимать векторы атак и рассчитывать риски безопасности. В сервисе реализована возможность настройки связей между различными угрозами в виде предпосылки/следствия, функционал доступен в карточках редактирования угроз.
Ключевые угрозы (негативные последствия)
Ключевая угроза это высокоуровневая, бизнес угроза. Ключевые угрозы часто являются конечными в цепочках угроз, к их реализации приводят более низкоуровневые, технические угрозы.
В отношении ключевых угроз возможный ущерб конкретен и понятен руководству компании и бизнес-подразделениям (например, нарушение законодательства по персональным данным, утечка коммерческой тайны, остановка производства) в отличие от более низкоуровневых угроз, реализация которых сама по себе не наносит ущерба (например: заражение ВПО, несанкционированный доступ к ПК), а лишь может привести к реализации других, ключевых угроз.
Если низкоуровневые, технические угрозы оцениваются профильными специалистами по информационной безопасности то ущерб от ключевых угроз подлежит оценке со стороны руководства компании и бизнес-подразделений.
Ключевая угроза в Сервисе соответствует понятию негативное последствие, определенному в Методике моделирования угроз ФСТЭК:
В отношении ключевых угроз возможный ущерб конкретен и понятен руководству компании и бизнес-подразделениям (например, нарушение законодательства по персональным данным, утечка коммерческой тайны, остановка производства) в отличие от более низкоуровневых угроз, реализация которых сама по себе не наносит ущерба (например: заражение ВПО, несанкционированный доступ к ПК), а лишь может привести к реализации других, ключевых угроз.
Если низкоуровневые, технические угрозы оцениваются профильными специалистами по информационной безопасности то ущерб от ключевых угроз подлежит оценке со стороны руководства компании и бизнес-подразделений.
Ключевая угроза в Сервисе соответствует понятию негативное последствие, определенному в Методике моделирования угроз ФСТЭК:
К негативным последствиям от реализации угроз безопасности относятся событие или группа событий, наступление которых в результате успешной реализации угроз безопасности может привести к нарушению законодательства Российской Федерации и (или) социальному, экономическому (финансовому), политическому, технологическому, экологическому ущербу, ущербу в области обеспечения обороны страны, безопасности государства и правопорядка, ущербу репутации или иным негативным последствиям, установленным законодательством Российской Федерации или определенным по результатам проведенной оценки ущерба (рисков).
Для того чтобы выделить угрозу как ключевую в карточке угрозы есть соответствующая опция - Ключевая угроза.
Оценка угроз
У угроз в сервисе есть качественный оценочный параметр Величина угрозы, который определяется на уровне угрозы (базовое значение) и может быть переопределен на уровне конкретных рисков, включающих эту угрозу. Величина угрозы: отсутствует, низкая, средняя, высокая, критическая. Величина угрозы используется в оценке рисков безопасности.
На базе угроз формируются риски, которые в свою очередь могут быть оценены и рассчитаны с учетом влияния защитных мер, как следствие становится возможным оценка непосредственно угроз через риски, которые они образуют. Оценка связанных с угрозами рисков приведена в реестре угроз.
На базе угроз формируются риски, которые в свою очередь могут быть оценены и рассчитаны с учетом влияния защитных мер, как следствие становится возможным оценка непосредственно угроз через риски, которые они образуют. Оценка связанных с угрозами рисков приведена в реестре угроз.
Источники угрозы
Для угроз и, как следствие, рисков безопасности реализована возможность определения одного или нескольких источников угрозы:
- Внешний нарушитель
Находящийся вне информационной системы нарушитель. Внешний нарушитель находится во вне системы в начале атаки и в случае ее успешной реализации проникает в информационную систему, при этом не являясь ее легальным пользователем. После авторизации в информационной системе внешний нарушитель может рассматриваться как внутренний. - Внутренний нарушитель
В отличии от внешнего нарушителя внутренний уже в начале реализации атаки или иной угрозы обладает правами и полномочиями в информационной системе. - Техногенный источник
Техника и иные результаты труда человека, провоцирующие возникновение угроз в результате выхода из строя своих компонентов, нештатного функционирования или в целом самого факта своего существования. - Стихийный источник
Различные природные происшествия и катаклизмы, такие как землетрясения, наводнения и пожары, а также в целом любые происшествия, которые нельзя явно отнести к техногенным источникам.
Для внешних и внутренних нарушителей возможно определение потенциала: низкий, средний, высокий.
- Низкий потенциал подразумевает наличие возможностей уровня одного человека по приобретению (в свободном доступе на бесплатной или платной основе) и использованию специальных средств эксплуатации уязвимостей.
- Средний потенциал подразумевает наличие возможностей уровня группы лиц/организации по разработке и использованию специальных средств эксплуатации уязвимостей.
- Высокий потенциал подразумевает наличие возможностей уровня предприятия/группы предприятий/государства по разработке и использованию специальных средств эксплуатации уязвимостей.
Определения угрозы
Существуют различные определения угроз безопасности:
угроза (threat): Потенциальная причина нежелательного инцидента, результатом которого может быть нанесение ущерба системе или организации.
угроза безопасности информации: Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации
ГОСТ Р 50.1.056-2005, Методический документ ФСТЭК России от 05.02.2021 "Методика оценки угроз безопасности информации"
Под угрозами безопасности ПДн при их обработке в ИСПДн понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
угроза (threat): Потенциальный источник опасности, вреда и т.д.
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.