Оценка угроз безопасности информации (RA) и Анализ влияния на бизнес (BIA) по методике ФСТЭК

Часть 1. Основы: BIA и RA в контексте ФСТЭК#

1.1 Две стороны одной медали: BIA vs RA#

Прежде чем мы начнем строить модель угроз, важно понять разницу между этими двумя процессами. Методика ФСТЭК (пункт 2.3) прямо указывает, что исходными данными для RA являются, в том числе, результаты BIA.

1.2 Структура методики ФСТЭК: дорожная карта нашего курса#

Методика четко делит процесс оценки угроз на три крупных этапа. Именно им мы и будем следовать в этом курсе:

1. Этап 1: Определение негативных последствий (Раздел 3). Это зона ответственности BIA. Мы должны понять, какой ущерб для нас критичен.
2. Этап 2: Определение возможных объектов воздействия (Раздел 4). Мы проводим инвентаризацию и находим, на что именно нужно воздействовать, чтобы нанести этот ущерб.
3. Этап 3: Оценка возможности реализации угроз (Раздел 5).
   • 5.1: Кто хочет это сделать? (Источники угроз/нарушители).
   • 5.2: Как они это могут сделать? (Способы реализации).
   • 5.3: Какие сценарии для этого существуют? (Актуальные угрозы).

Часть 2. Этап 1: Анализ влияния на бизнес (BIA) — определяем “что мы теряем”#

2.1 От общих слов к конкретному ущербу#

Пункт 3.3 методики требует от нас определить события, которые могут привести к нарушению прав граждан, ущербу государству или финансовым/репутационным рискам компании. Просто сказать «мы боимся утечки данных» недостаточно. Нужно быть конкретными.

Пример для коммерческого банка (У2 — риски юрлицу):

• Потеря (хищение) денежных средств.
• Недополучение ожидаемой (прогнозируемой) прибыли.
• Потеря клиентов, поставщиков.
• Нарушение деловой репутации.
• Неспособность выполнения договорных обязательств.

Пример для государственной больницы (У1 и У3):

• Угроза жизни или здоровью (У1).
• Нарушение конфиденциальности (утечка) персональных данных (У1).
• Прекращение или нарушение функционирования объекта обеспечения жизнедеятельности населения (У3).
• Принятие неправильных решений (У2 для учреждения как юрлица).

2.2 Связываем последствия с бизнес-процессами#

Мы не можем защищать все сразу. Нужно определить критические процессы. Задайте владельцам бизнес-процессов простые вопросы:

1. Есть ли процесс, простой которого даже на 1 час приводит к катастрофе?
2. Есть ли процессы, без которых мы не можем начать работу на следующий день?
3. Обработка какой информации (если она будет скомпрометирована) нанесет максимальный репутационный ущерб?

Результатом этого этапа должен быть список из 5-10 критических процессов и привязанных к ним негативных последствий из Приложения 4. Это и будет наш «TO-BE» с точки зрения безопасности — состояние, при котором эти последствия не наступают.

Часть 3. Этап 2: Инвентаризация и объекты воздействия#

3.1 Что может стать мишенью?#

Пункт 4.3 методики дает нам исчерпывающий список групп объектов воздействия. Наша задача — связать этот список с нашей инфраструктурой.

Группы объектов воздействия:

• Информация (данные): ПДн, коммерческая тайна, конфигурации, исходный код.
• Программно-аппаратные средства: АРМ, серверы, контроллеры, технологическое оборудование.
• Программные средства: ОС, СУБД, прикладное ПО, системы виртуализации.
• Машинные носители: флешки, диски, ленты.
• Телекоммуникационное оборудование: маршрутизаторы, коммутаторы.
• Средства защиты информации: СЗИ, их консоли управления.
• Пользователи (особенно привилегированные).
• Обеспечивающие системы: кондиционеры, электричество, охрана.

Практический шаг: Создайте простую таблицу инвентаризации, но не просто «список железа», а с привязкой к критическим процессам из Этапа 1.

Пример таблицы объектов воздействия:

Почему это важно: Методика требует (п. 4.1) определить не просто объекты, а совокупность объектов и их интерфейсов. Понимая, к какому процессу привязан объект, мы понимаем, к каким последствиям приведет атака на него.

Часть 4. Этап 3: Моделирование нарушителя (кто нападает?)#

4.1 Виды нарушителей и их цели (Приложение 6)#

Пункт 5.1.3 предлагает нам большой список нарушителей: от спецслужб до уборщиц. Нам не нужно включать их всех. Нужно выбрать тех, чьи цели (Приложение 6) совпадают с нашими негативными последствиями (которые мы определили в Этапе 1).

• Если вы боитесь финансового ущерба, вам актуальны преступные группы и конкуренты.
• Если вы боитесь за репутацию, актуальны бывшие сотрудники и хакеры (активисты).
• Если вы работаете в госсекторе или “оборонке”, актуальны спецслужбы иностранных государств.

4.2 Уровни возможностей нарушителей Н1-Н4 (Приложение 8)#

Самое важное в новой методике — это градация нарушителей по уровням возможностей. Это позволяет не защищаться “ото всех сразу”, а выстроить адекватную оборону.

Правило моделирования: Если ваша система привлекательна для нарушителя с высокими возможностями (Н4), вы обязаны предполагать, что он может вступить в сговор с внутренним нарушителем (п. 5.1.9), и его возможности станут еще шире.

Часть 5. Этап 3: Способы и сценарии реализации (как нападают?)#

Это сердце методики. Здесь мы связываем нарушителя, объект и способ в единый сценарий.

5.1 Способы реализации (п. 5.2.3) и интерфейсы (п. 5.2.4)#

Нам нужно ответить на вопрос: как именно нарушитель Н2 сможет воздействовать на объект OBJ-01?

Для этого мы смотрим на интерфейсы объекта (п. 5.2.4):

• Есть ли у сервера БД (OBJ-01) внешний сетевой интерфейс? (скорее всего нет)
• Есть ли у него внутренний сетевой интерфейс? (да, он в локальной сети).
• Есть ли у него интерфейс для пользователей? (администраторы подключаются к нему).
• Есть ли у него физический доступ? (стоит в серверной).

Значит, нарушитель может использовать следующие способы:

1. Использование уязвимостей — если он сможет добраться до сервера через сеть.
2. Внедрение ВПО — если он сможет заставить администратора запустить вредоносную программу.
3. Ошибочные действия — если администратор сам настроит что-то не так.

5.2 От способов к сценариям: Используем Приложение 11 и MITRE ATT&CK#

Методика в Приложении 11 дает нам 10 тактик (от Т1 до Т10) и множество конкретных техник. Это русскоязычный аналог MITRE ATT&CK, адаптированный ФСТЭК. Строить сценарий — значит описать последовательность тактик, которые приведут к цели.

Давайте построим сценарий для нарушителя Н2 (преступная группа), цель которого — похитить ПДн из интернет-банка (OBJ-04).

1. Т1. Сбор информации: Нарушитель изучает сайт банка, находит в соцсетях сотрудников техподдержки, определяет версию CMS интернет-банка.
2. Т2. Получение первоначального доступа: Используя технику Т2.11 (компрометация учетных данных) , он покупает на “даркнет-форуме” базу логинов и паролей одного из сотрудников, который использовал тот же пароль для личной почты.
3. Т2. Получение первоначального доступа: С этими данными он заходит в личный кабинет сотрудника (веб-интерфейс).
4. Т7. Сокрытие действий: Чтобы его не заблокировали, он работает по ночам или использует прокси (Т7.19).
5. Т3. Внедрение и исполнение ВПО: Он загружает на сайт веб-шелл, используя уязвимость в CMS (Т2.5).
6. Т8. Распространение доступа: С зараженного веб-сервера он сканирует внутреннюю сеть (Т1.4) и находит сервер БД (OBJ-01).
7. Т6. Повышение привилегий: На сервере БД он находит файл с паролем администратора БД в открытом виде (Т6.1).
8. Т9. Сбор и вывод информации: Он делает дамп базы с ПДн и передает его на свой сервер, зашифровав трафик (Т9.12) и используя протокол HTTPS (Т9.3).
9. Т10. Несанкционированный доступ…: Цель достигнута — произошла утечка ПДн, что ведет к негативным последствиям (штрафы, потеря клиентов).

Это и есть сценарий угрозы безопасности информации. Мы описали, кто, как и через какие этапы достиг цели.

Часть 6. Финальный этап: Структура модели угроз (Приложение 3)#

Теперь у нас есть все ингредиенты, чтобы подготовить итоговый документ — Модель угроз безопасности информации. Приложение 3 дает нам идеальную структуру.

1. Общие положения: Для чего, на основании чего, кто делал.
2. Описание систем и сетей: Копируем наши данные из инвентаризации (Часть 3), описываем архитектуру.
3. Возможные негативные последствия: Копируем из нашего BIA (Часть 2).
4. Возможные объекты воздействия: Копируем из нашей таблицы объектов (Часть 3).
5. Источники угроз безопасности информации: Описываем наших актуальных нарушителей (например, Н2 — преступные группы) и их цели.
6. Способы реализации угроз: Описываем, какие интерфейсы доступны и какие способы могут использовать нарушители.
7. Актуальные угрозы безопасности информации: Приводим перечень самих угроз (например, “Угроза утечки ПДн из БД интернет-банка”) и для каждой — хотя бы один сценарий (как мы построили в Части 5).

Домашнее задание#

Мы прошли полный путь от бизнес-последствий до технических сценариев. Вы теперь знаете, как применять Методику ФСТЭК на практике и как BIA и RA работают в связке.

Домашнее задание:

1. Выберите один критический бизнес-процесс в вашей компании.
2. Определите для него негативные последствия (используя Приложение 4).
3. Найдите 2-3 ключевых объекта воздействия, связанных с этим процессом.
4. Определите одного вероятного нарушителя и его уровень (Н1-Н4).
5. Попробуйте построить для него сценарий атаки, используя тактики из Приложения 11 (достаточно 3-4 шагов).