Модель угроз и модель нарушителя: фундамент защиты
Модель угроз — это документ, в котором собран перечень актуальных для конкретной системы угроз безопасности информации: что и как может пойти не так. Модель нарушителя — связанный с ней документ, описывающий, кто способен реализовать эти угрозы: тип злоумышленника, его мотивы, возможности и уровень доступа. Вместе они отвечают на вопрос «от кого и от чего мы защищаемся», и от этого ответа дальше зависит весь набор мер защиты.
Конкретные методики разработки, формы документов и привязка к нормативным актам стоит сверять с актуальной редакцией методических документов ФСТЭК России. Мы — IT-аутсорсер: помогаем технически выявить угрозы и поверхность атаки; правовую квалификацию документов оставляем юристу.
Зачем это нужно
Без модели угроз защита превращается в случайный набор средств: купили антивирус, поставили firewall — а от чего именно защищаемся, неясно. Модель угроз заставляет проговорить это явно. Сначала описывается, что защищаем (данные, процессы, системы), затем — какие угрозы для них актуальны, и только потом подбираются меры, которые эти конкретные угрозы закрывают.
Это экономит ресурсы. Если для системы неактуальна угроза от внешнего нарушителя из интернета (например, она физически изолирована), то и тратиться на защиту периметра от такого нарушителя избыточно. И наоборот — модель подсветит угрозы, о которых не подумали.
В регуляторном контексте модель угроз обязательна: именно под неё адаптируется базовый набор мер из приказов ФСТЭК (№17, №21, №239). Без актуальной модели угроз корректно подобрать состав мер невозможно.
Что описывает модель нарушителя
Модель нарушителя отвечает на вопрос «кто может атаковать». Обычно нарушители делятся на категории:
| Признак | Варианты |
|---|---|
| Расположение | Внешний (из интернета) / внутренний (сотрудник, подрядчик) |
| Мотив | Корысть, конкуренция, месть, любопытство, ошибка без умысла |
| Возможности | От базовых навыков до высококвалифицированных групп с большими ресурсами |
| Уровень доступа | Без доступа / пользователь / привилегированный администратор |
Чем выше предполагаемый потенциал нарушителя, тем серьёзнее должны быть меры защиты. Для одних систем достаточно защититься от рядового внешнего сканирования, для других — от целенаправленной атаки подготовленной группы.
Что описывает модель угроз
Модель угроз перечисляет конкретные угрозы и оценивает их актуальность для системы. По каждой угрозе фиксируется: источник (кто из нарушителей её реализует), способ реализации, объект воздействия и возможные последствия. Угрозы, признанные неактуальными, тоже отмечаются — с обоснованием, почему они не применимы.
При составлении перечня угроз опираются на отраслевые базы данных угроз и методические документы регулятора. Их актуальный состав нужно сверять с действующей редакцией.
Как это разрабатывается на практике
- Обследование системы — границы, состав, потоки данных, точки взаимодействия с внешним миром
- Описание защищаемых активов и возможных последствий их компрометации
- Построение модели нарушителя — кто реалистично может атаковать именно эту систему
- Формирование перечня угроз и оценка их актуальности
- Связка с мерами защиты — какая мера какую угрозу закрывает
- Поддержание в актуальном состоянии — модель пересматривается при изменениях в системе
Хорошая модель угроз опирается на реальную картину инфраструктуры. Получить её помогает аудит информационной безопасности, а практическую проверку устойчивости даёт пентест — тестирование на проникновение: он показывает, какие угрозы реализуемы на самом деле. Для систем с персональными данными модель угроз — обязательная часть выполнения требований 152-ФЗ о персональных данных.
Почему всё это в итоге работает на главную цель — защиту данных от утечек — мы разбирали в статье «Как защитить компанию от утечек данных».
Наша роль
«Кибер Авангард» помогает с технической частью: проводим обследование инфраструктуры, выявляем поверхность атаки и реальные угрозы, помогаем сформировать перечень угроз и связать его с мерами защиты, готовим техническую документацию. Юридическую квалификацию документов и обязанностей формирует ваш юрист — работаем в связке.
Связанные термины
- Аудит информационной безопасности — даёт картину инфраструктуры для модели
- 152-ФЗ — закон о персональных данных — где модель угроз обязательна
- Пентест — тестирование на проникновение — проверка реализуемости угроз
- Приказы ФСТЭК (№17, №21, №239) — меры, адаптируемые под модель угроз
Нужна модель угроз под вашу систему?
Обследуем инфраструктуру, выявим реальные угрозы и поверхность атаки, поможем связать их с мерами защиты. Откройте калькулятор или запросите КП.
Открыть калькулятор Получить КП