УДК 004.056.53
В. В. Воронин, Я. П. Сухоруков
АСПЕКТЫ РАЗРАБОТКИ ЧАСТНОЙ МОДЕЛИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ТИПОВЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ
Рассматривается задача оценки актуальности угроз безопасности информации в случае её самостоятельного проведения IT-специалистами организаций — операторов информационных систем. Приводится пример расчёта актуальности одной из угроз с рекомендациями по её нейтрализации.
Ключевые слова: актуальность угрозы, нарушитель безопасности информации, потенциал нарушителя, уровень защищённости, выбор средств защиты информации.
DOI: 10.24411 /2227-1384-2020-10003
В процессе создания защищённой информационной системы в определённый момент встаёт вопрос определения необходимых мероприятий по защите информации и выбора состава применяемых средств защиты информации.
Целью настоящего исследования является разъяснение аспектов практического применения нормативных методических документов ФСТЭК России при самостоятельной разработке Частной модели угроз безопасности информации, обрабатываемой в информационных системах (далее — Частная модель) организаций и предприятий различного уровня и принадлежности.
В настоящее время данная проблема активно изучается на прикладном уровне, что позволяет выделить разнообразные подходы исследователей к решению данной проблемы.
Авторами публикации [4 — 6, 9] описаны виды угроз, разработана классификация атак. Однако в работах [5], [6] и [9] сделан акцент на защите информации только в информационных системах персональных данных. Между тем, описанные в работах подходы давно уже применяются на практике и для других типов информационных систем, обрабатывающих информацию ограниченного доступа. Авторы в исследовании [4] предлагают методику определения актуальных угроз в достаточ-
Владимир Викторович Воронин — доктор технических наук, профессор, (Тихоокеанский государственный университет, Хабаровск, Россия); e-mail: [email protected].
Ярослав Павлович Сухоруков — заведующий сектором информационной безопасности (Министерство финансов Хабаровского края, Хабаровск, Россия); e-mail: [email protected].
© Воронин В. В., Сухоруков Я. П., 2020
24
но специфическом сегменте автоматизированных систем управления критически важными объектами. К тому же, в подобных системах зачастую не требуется обеспечить конфиденциальность информации, а основной целью систем защиты в них является обеспечение целостности и доступности, что не характерно для типовых информационных систем в большинстве организаций.
Зарубежные авторы в работах [10] и [11] концентрируются на математических методах построения модели поведения нарушителей защищаемой информации, при этом уделяя мало внимания самим угрозам, реализуемым данными нарушителями и способам нейтрализации этих угроз.
Исходя из реалий жизненного цикла информационных систем, зачастую проблемным является определение именно такого набора мер и средств защиты, который без излишней нагрузки на компоненты информационной системы и бюджет организации способен реализовать задачу обеспечения безопасности обрабатываемой информации. Как правило, проблемы в этой области испытывают небольшие организации, в штате которых есть минимально необходимый штат 1Т-специалистов. В данных организациях зачастую развёрнуты типовые немасштабные информационные системы локального характера, использующие простейшие технологии и обеспечивающие элементарные технологические процессы обработки информации.
В соответствии с действующим законодательством оператор информационной системы обязан обеспечить защиту информации. Причём независимо от степени ограничения доступа меры по защите информационной системы должны быть направлены на обеспечение целостности и доступности информации. При наличии в системе информации ограниченного доступа (ограничение доступа устанавливается исключительно федеральными законами) необходимо дополнительно обеспечить её конфиденциальность [8].
Выбор сбалансированного набора мероприятий и инструментов обеспечения безопасности информации в данном случае возможен только в результате корректно проведённой оценки угроз безопасности информации применительно к защищаемой информационной системе. Это позволит снизить финансовую нагрузку на бюджет организации, одновременно выполнив требования законодательства по защите информации. Данная оценка реализуется, как правило, разработкой Частной модели.
В настоящее время существует единственный официальный документ, доступно описывающий процедуру оценки угроз. Это утверждённая ФСТЭК России 14 февраля 2008 г. «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (далее — Методика) [7]. Ввиду особенностей существующей законодательной базы в области информационной безопасности положения данного документа на
25
практике применяются не только в информационных системах персональных данных, но и в других системах, подлежащих защите.
Данный документ при отсутствии в организации отличной от Методики Базовой модели угроз, разработанной вышестоящей организацией, легко применяем в организации — операторе информационной системы при наличии в ней 1Т-специалиста любого уровня. Кроме того, при необходимости согласования моделей с органами государственной власти — регуляторами в сфере информационной безопасности — применение данной Методики остаётся практически единственным вариантом, позволяющим выполнить требования законодательства.
Далее приводится наиболее оптимальный порядок разработки Частной модели, успешно применяемый на практике.
Структурно Частная модель как документ состоит из нескольких разделов.
Первый раздел характеризует непосредственно сам создаваемый документ — Частную модель угроз безопасности информационной системы. Этот раздел документа не объёмный и служит для формального обозначения области действия Частной модели используемой нормативной правовой базы и терминологии.
Следующий раздел вкратце описывает защищаемую информационную систему. Здесь указываются общие сведения об информационной системе, её назначение, характеристика субъектов и объектов доступа, описание используемого программного обеспечения, а также краткие сведения о логических (функциональных) связях между компонентами и технологическом процессе обработки информации. Подробно описывать защищаемую систему здесь нет необходимости, это делается в соответствующей технической документации. Задача раздела в том, чтобы обеспечить незнакомому с системой человеку понимание основных принципов её работы.
Далее следующим разделом необходимо систематизировать нарушителей и их потенциал. В соответствии с ГОСТ 53113.1-2008 нарушителем является физическое лицо (субъект), случайно или преднамеренно совершившее действия, следствием которых является нарушение безопасности информации при её обработке техническими средствами в информационных системах [3].
Возможные нарушители разделятся на внешних и внутренних.
Внешние нарушители здесь понимаются как субъекты, не имеющие физического доступа к информационной системе и реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена.
Внутренние нарушители описаны более обширно в Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных [1]. Если за основу взять эту классификацию, то нарушителей можно сгруппировать по следующим признакам:
26
1) лица, имеющие санкционированный доступ к информационной системе, но не имеющие доступа к защищаемой информации;
2) зарегистрированные пользователи информационной системы, имеющие доступ к защищаемой информации;
3) зарегистрированные пользователи информационной системы, не имеющие доступа к защищаемой информации;
4) зарегистрированные пользователи информационной системы, осуществляющие удалённый доступ к защищаемой информации по локальным и (или) распределённым информационным системам;
5) зарегистрированные пользователи с полномочиями администраторов информационной системы;
6) разработчики (поставщики) прикладного программного обеспечения и лица, обеспечивающие его сопровождение;
7) лица, обеспечивающие поставку, сопровождение и ремонт технических средств информационной системы.
Также на этом этапе вводится кодификация типов нарушителей. Как правило, внешних нарушителей обозначают кодом КН0, а внутренних — КН1, КН2 и далее по порядку в зависимости от количества определённых ранее групп.
Данное деление характерно для большинства стандартных систем, более обширная классификация производится непосредственно разработчиками Частной модели и зависит от характеристик информационной системы и её инфраструктуры.
Наибольшими возможностями по реализации угроз безопасности обладают внутренние нарушители. При оценке возможностей внутреннего нарушителя учитываются принимаемые организационные меры по доступу субъектов к защищаемой информации, и его возможности существенным образом зависят от установленной разрешительной системы доступа пользователей к информационной системе и её компонентам, а также мер по контролю над доступом и работой этих лиц.
Внешний нарушитель рассматривается, если имеется подключение информационной системы к внешним информационно-телекоммуникационным сетям.
Потенциал нарушителя разделяется на высокий, средний и низкий.
Основным и самым объёмным разделом модели является непосредственно расчёт актуальности угроз. При этом важно корректно определить уровень исходной защищённости информационной системы и вероятность реализации конкретной угрозы безопасности информации. Необходимо понимать, что актуальность угрозы в итоге значительно зависит от этих величин.
Перечень оцениваемых угроз берётся из Банка данных угроз безопасности информации ФСТЭК России [2] (далее — БДУ) и разработанной вышестоящей организацией Базовой модели угроз, в случае её наличия. При использовании обоих источников необходимо учитывать
27
потенциал нарушителей. В большинстве случаев для организаций малого и среднего сегмента вряд ли будут актуальны нарушители с высоким потенциалом.
Чтобы не тратить время на расчёт актуальности угроз, не имеющих предпосылок, на этом этапе возможно их исключение посредством анализа структуры информационной системы и обрабатываемой в ней информации.
Например, очевидно, что угрозы воздействия на виртуальные машины можно отбросить в случае отсутствия использования технологии виртуализации, а угрозы отказа в локальном доступе к защищаемой информации не будут актуальными при наличии актуальных резервных копий необходимых файлов. Также здесь отсеиваются угрозы по признаку потенциала нарушителей.
В отношении таких угроз составляется таблица исключаемых угроз, нехарактерных для защищаемой системы и в дальнейшем не участвующих в расчёте актуальности.
Для каждой из оставшихся угроз проводится элементарный расчёт по формуле, приведённой в Методике:
у = (уг + у2)/20, (1)
где У — коэффициент реализуемости угрозы;
У1 — исходный уровень защищённости информационной системы;
У2 — вероятность реализации угрозы.
Исходный уровень защищённости У1 определяется простым расчётом, привязанным к свойствам защищаемой системы — территориальному размещению, наличию подключения к сети Интернет и соединению с другими базами данных, другим параметрам. Подробная таблица с распределением показателей приводится в Методике, она не сложна в использовании. Исходный уровень может принимать три значения: высокая (У1 = 0), средняя (У1 = 5) и низкая (У1 = 10) степень защищённости.
Вероятность реализации угрозы (У2) определяется экспертным методом. Этот показатель в зависимости от вербальной оценки экспертами (специалистами организации в области 1Т/защиты информации) принимает значения:
- маловероятная угроза, У2 = 0, принимается в случае, если отсутствуют объективные предпосылки для осуществления угрозы (например, угроза хищения носителей информации лицами, не имеющими легального доступа в помещение, где последние хранятся);
- низкая вероятность угрозы, У2 = 2, принимается в случае, если объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют её реализацию (например, использованы соответствующие средства защиты информации);
- средняя вероятность угрозы, У2 = 5, принимается в случае, если объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности информации недостаточны;
28
- высокая вероятность угрозы, У2 = 10, принимается в случае, если объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности информации не приняты.
Очевидно, что У1 для всех угроз в конкретной системе является величиной постоянной, а У2 может принимать различные значения из числа определённых Методикой.
По значению коэффициента реализуемости угрозы формируется вербальная интерпретация реализуемости угрозы:
- если 0 < У < 0,3 — возможность реализации угрозы признаётся низкой;
- если 0,3 < У < 0,6 — возможность реализации угрозы признаётся средней;
- если 0,6 < У < 0,8 — возможность реализации угрозы признаётся высокой;
- если У > 0,8 — возможность реализации угрозы признаётся очень высокой.
Также на основе вербальной оценки экспертами (специалистами организации в области 1Т/защиты информации) определяется опасность угрозы в отношении обеспечиваемого информационной системой процесса:
- низкая опасность — если реализация угрозы может привести к незначительным негативным последствиям;
- средняя опасность — если реализация угрозы может привести к умеренным негативным последствиям;
- высокая опасность — если реализация угрозы может привести к существенным негативным последствиям.
Актуальность каждой не исключенной в начале данного этапа угрозы получают, сопоставляя полученный по формуле (1) коэффициент реализуемости и опасность угрозы. При этой операции также применяется таблица, приведённая в Методике (таблица 1).
Таблица1
Определение степени актуальности угрозы безопасности информации
Коэффициент реализуемости угрозы У Показатель опасности угрозы
Низкая Средняя Высокая
Низкая неактуальная неактуальная актуальная
Средняя неактуальная актуальная актуальная
Высокая актуальная актуальная актуальная
Очень высокая актуальная актуальная актуальная
В качестве примера можно рассмотреть оценку актуальности угрозы из БДУ УБИ.071 «Угроза несанкционированного восстановления удалённой защищаемой информации» для информационной системы, имеющей средний (У1 = 5) исходный уровень защищённости.
29
В данном случае для внешнего нарушителя вероятность реализации угрозы признана экспертом низкой. Данный вывод обоснован тем, что носитель с удалённой информацией может попасть в распоряжение внешнего нарушителя (объективные предпосылки для реализации угрозы существуют), но организационными мерами организован учёт носителей и запрет их перемещения за пределы организации, поэтому реализация данной угрозы внешними нарушителями затруднена. Индексу У2 присвоено значение 2. Поэтому расчётная реализуемость угрозы по формуле (1) получается средней:
У = (5+2)/20 = 0,35.
Вероятность реализации данной угрозы для внутренних нарушителей признана маловероятной (У2 = 0) в связи с тем, что данные нарушители и так имеют доступ к информации на носителе и предпринимать какие-либо действия по восстановлению и так известной им информации не имеет смысла. Расчётная реализуемость угрозы внутренними нарушителями по формуле (1) получается низкой:
У = (5+0)/20 = 0,25.
Полученные в результате вербальной оценки и расчёта значения вносятся в колонки 5 — 8 таблицы 2.
Зная характер защищаемой информации и её практическую значимость для организации, эксперты пришли к выводу, что реализация угрозы может привести к умеренным негативным последствиям, поэтому её опасность признана средней. Данный показатель вносится в колонку 9 таблицы 2.
Таблица 2
Пример оформления результатов расчета актуальности угрозы безопасности информации
Услов- Вербальное Объект Нару- Вероят- Y2 Y Коэффи- Показа- Результат
ное обо- описание воз- ши- ность циент тель оценки
значе- угрозы дейст- тель реали- реали- опасно- актуаль-
ние вия зации зуемости сти ности
1 2 3 4 5 6 7 8 9 10
УБИ.071 угроза несанкциони- машинный КН0 низкая 2 0,35 средняя средняя АКТУАЛЬНАЯ
рованного носи- КН3 малове- 0 0,25 низкая средняя не акту-
восстановле- тель роятно альная
ния удалён- инфор- КН5 малове- 0 0,25 низкая средняя не акту-
ной защи- мации роятно альная
щаемой ин-
формации
Сопоставив коэффициент реализуемости (колонка 8) и показатель опасности (колонка 9) из таблицы 2, авторы Частной модели сделали заключение, что со стороны внешних нарушителей данная угроза (согласно
30
таблице 1) признаётся актуальной. Следовательно, необходимо в дальнейшем предусмотреть мероприятия по исключению возможности её реализации, например, установив средства защиты информации, позволяющие блокировать подключение неучтённых носителей и реализующие функцию гарантированного затирания информации при удалении файлов.
Для защиты от внутренних нарушителей мерами по защите информации от утечки посредством данной угрозы можно пренебречь ввиду её неактуальности. Неактуальность данной угрозы со стороны допущенных к информации пользователей логично происходит из нецелесообразности действий по восстановлению и так известной нарушителю информации.
Аналогичным образом просчитываются все не отсеянные ранее угрозы. На практике из всего обширного перечня угроз (более 200 только в БДУ) актуальными для большинства типовых систем малых и средних организаций остаётся от силы 15 — 20 угроз.
Некоторую часть из них можно нейтрализовать организационными мерами, прописав их в нормативной документации на защищаемую информационную систему. Исходя из оставшихся после применения организационных мер выбирается оптимальная конфигурация приобретаемых программных и программно-технических средств защиты на рабочих местах пользователей информационной системы и сетевой инфраструктуры защищаемой информационной системы.
Список литературы
1. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных / / ФСТЭК России. URL: https://fstec.ru/ tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/379-bazovaya-model-ugroz-bezopasnosti-personaInykh-dannykh-pri-ikh-obrabotke-v-informatsionnykh-sistemakh-personaInykh-dannykh-vypiska-fstek-rossii-2008-god (дата обращения 08.04.2020).
2. Банк данных угроз безопасности информации / / ФСТЭК России. URL: https://bdu.fstec.ru/threat (дата обращения 08.04.2020).
3. ГОСТ Р 53113.1-2008 Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов / / Техэксперт. URL: http://docs.cntd.ru/document/1200075568 (дата обращения 08.04.2020).
4. Дроботун Е. Б., Цветков О. В. Построение модели угроз безопасности информации в автоматизированной системе управления критически важными объектами на основе сценариев действий нарушителя// Программные продукты и системы. 2016. № 3. С. 42 — 50.
5. Еникеева Л. А., Дурандина А. П. Организация защиты персональных данных в банковских информационных системах Российской Федерации/ / Петербургский экономический журнал. 2018. № 4. С. 102 — 118.
6. Зайцев А. С. Защита информации ограниченного доступа в учреждении социального обеспечения / / Психолого-педагогический журнал Гаудеамус. 2014. № 2(24). С. 197—199.
7. Методика определения актуальных угроз безопасности персональных данных
31
при их обработке в информационных системах персональных данных / / ФСТЭК России. URL: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/ dokumenty/114-spetsialnye-normativny-dokumenty/380-metodika-opredeleniya-aktualnykh-ugroz-bezopasnosti-personalnykh-dannykh-pri-ikh-obrabotke-v-informatsionnykh-sistemakh-personalnykh-dannykh-fstek-rossii-2008-god (дата обращения 08.04.2020).
8. Федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации» / / Консультант Плюс. URL: http://www.consultant.ru/document/cons_doc_LAW_ 61798 (дата обращения 08.04.2020).
9. Шабуров А. С., Юшкова С. А., Бодерко А. В. Моделирование оценки угроз безопасности информационных систем персональных данных / / Вестник Пермского национального исследовательского политехнического университета. Электротехника, информационные технологии, системы управления. 2013. № 7. С. 149-158.
10. Abomhara M, Koien G. M. Cyber Security and the Internet of Things: Vulnerabilities, Threats, Intruders and Attacks // Journal of Cyber Security and Mobility. 2015., Vol. 4. URL: https://www.riverpublishers.com/journal_read_html_article.php?j= JCSM/4/1/4 (дата обращения 08.04.2020).
11. Jouini M. Classification of Security Threats in Information Systems // Procedia Computer Science. 2014. Vol. 32. URL: https://www.sciencedirect.com/science/ article/pii/S1877050914006528(дата обращения 08.04.2020).
•Je -Je -Je
Voronin Vladimir V., Sykhorukov Yaroslav P.
ASPECTS OF DEVELOPING A PRIVATE THREAT MODEL
OF INFORMATION SECURITY IN TYPICAL INFORMATION SYSTEMS
(Pacific National University, Khabarovsk, Russia;
Ministry of Finance of the Khabarovsk Territory, Khabarovsk, Russia)
The task of assessing the relevance of information security threats in the case of its independent implementation by IT specialists of organizations, e.g. information system operators is considered. An example of calculating the relevance of one of the threats with recommendations for its neutralization is given.
Keywords: the relevance of the threat, information security violator, violator potential, security level, choice of information protection tools.
DOI: 10.24411 /2227-1384-2020-10003
References
1. Bazovaya model' ugroz bezopasnosti personal'nykh dannykh pri ikh obrabotke v informatsionnykh sistemakh personal'nykh dannykh (The basic model of threats to the security of personal data during their processing in personal data information systems). Available at: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/ 114-spetsialnye-normativnye-dokumenty/379-bazovaya-model-ugroz-bezopasnosti-personalnykh-dannykh-pri-ikh-obrabotke-v-informatsionnykh-sistemakh-personalnykh-dannykh-vypiska-fstek-rossii-2008-god (accessed 08/04/2020) (In Russ.).
2. Bank dannykh ugroz bezopasnosti informatsii (Databank of threats to information security). Available at: https://bdu.fstec.ru/threat (accessed 04/04/2020) (In Russ.).
32
3. GOST R 53113.1-2008 Informatsionnaya tekhnologiya. Zashchita informatsionnykh tekhnologiy i avtomatizirovannykh sistem ot ugroz informatsionnoy bezopasnosti, realizuemykh s ispol'zovaniem skrytykh kanalov (GOST R 53113.1-2008 Information technology. Protection of information technologies and automated systems from threats to information security implemented using covert channels). Available at: http://docs.cntd.ru/document/1200075568// (accessed 08/04/2020) (In Russ.).
4. Drobotun Ye. B., Tsvetkov O. V. Building a model of information security threats in an automated control system for critical facilities based on scenarios of the actions of the intruder [Postroenie modeli ugroz bezopasnosti informatsii v avtomatizirovannoy sisteme upravleniya kriticheski vazhnymi ob"ektami na osnove stsenariev deystviy narushitelya], Programmnye produkty i sistemy, 2016, no. 3, pp. 42—50.
5. Enikeeva L. A., Durandina A. P. Organization of the protection of personal data in banking information systems of the Russian Federation [Organizatsiya zashchity personal'nykh dannykh v bankovskikh informatsionnykh sistemakh Rossiyskoy Federatsii], Peterburgskiy ekonomicheskiy zhurnal, 2018, no. 4, pp. 102—118.
6. Zaytsev A. S. Information security of limited access in a social security institution [Zashchita informatsii ogranichennogo dostupa v uchrezhdenii sotsial'nogo obespecheniya], Psikhologo-pedagogicheskiy zhurnal Gaudeamus, 2014, no. 2(24), pp. 197 — 199.
7. Metodika opredeleniya aktual'nykh ugroz bezopasnosti personal'nykh dannykh pri ikh obrabotke v informatsionnykh sistemakh personal'nykh dannykh (Methodology for determining the actual threats to the security of personal data during their processing in personal data information systems). Available at: https://fstec.ru/ tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativny-dokumenty/380-metodika-opredeleniya-aktualnykh-ugroz-bezopasnosti-personalnykh-dannykh-pri-ikh-obrabotke-v-informatsionnykh-sistemakh-personalnykh-dannykh-fstek-rossii-2008-god (accessed 08/04/2020) (In Russ.).
8. Federal'nyy zakon ot 27.07.2006 N 149-FZ «Ob informatsii, informatsionnykh tekhnologiyakh i o zashchite informatsii» (Federal Law of July 27, 2006 N 149-®3 "On Information, Information Technologies and Information Protection"). Available at: http://www.consultant.ru/document/cons_doc_LAW_ 61798 (accessed 08/04/2020) (In Russ.).
9. Shaburov A. S., Yushkova S. A., Boderko A. V. Modeling the assessment of threats to the security of personal data information systems [Modelirovanie otsenki ugroz bezopasnosti informatsionnykh sistem personal'nykh dannykh], Vestnik Permskogo natsional'nogo issledovatel'skogo politekhnicheskogo universiteta. Elektrotekhnika, informatsionnye tekhnologii, sistemy upravleniya, 2013, no. 7, pp. 149 — 158.
10. Jouini M. Classification of Security Threats in Information Systems, Procedia Computer Science, 2014, vol. 32. Available at: https:/ /www.sciencedirect.com/science/ article/pii/S1877050914006528 (accessed 08/04/2020).
11. Abomhara M, Koien G.M. Cyber Security and the Internet of Things: Vulnerabilities, Threats, Intruders and Attacks, Journal of Cyber Security and Mobility, 2015, vol. 4, available at: https://www.riverpublishers.com/journal_read_html_article. php?j=JCSM/4/1/4 (accessed 08/04/2020).
•Jc -Jc -Jc
33