Мастер класс по моделированию угроз

14,330 views
14,108 views

Published on

Published in: Technology
1 Comment
4 Likes
Statistics
Notes
No Downloads
Views
Total views
14,330
On SlideShare
0
From Embeds
0
Number of Embeds
8,182
Actions
Shares
0
Downloads
376
Comments
1
Likes
4
Embeds 0
No embeds

No notes for slide

Мастер класс по моделированию угроз

  1. 1. Построение модели угрозThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 1/424
  2. 2. Цель: Понимание методов разработки модели угроз как с практической точки зрения, так и для выполнения требования регуляторов На сегодняшний день модель угроз обязательно требуется только по линии защиты персональных данныхThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 2/424
  3. 3. Служба ИБ Юрист Регуляторы Модель угроз Надзорный Нарушитель орган Интегратор ВендорThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 3/424
  4. 4. Общий подход к оценке угрозThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 4/424
  5. 5. “Анализ рисков, оценка их вероятности и тяжести последствий похожа на посещение игроками Лас-Вегаса – зал общий, а система игры у каждого своя”Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 5/424
  6. 6. Совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и(или) несанкционированными и(или) непреднамеренными воздействиями на нее Рекомендации ФСТЭК по защите коммерческой тайны и КСИИ Потенциальная причина инцидента, который может нанести ущерб системе или организации ГОСТ Р ИСО/МЭК 13355-1:2006, ГОСТ Р ИСО/МЭК 27002Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 6/424
  7. 7. Угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных Требования ФСТЭК по защите персональных данныхThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 7/424
  8. 8. Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации ГОСТ 50.1.056-2005 Возможная причина нежелательного инцидента, который может закончиться ущербом для системы или организации ISOIEC 13355-1:2004, ГОСТ Р ИСО/МЭК 27002Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 8/424
  9. 9. Вероятная частота и вероятная величина будущих потерь Метод FAIR Сочетание вероятности события и его последствий ГОСТ Р 51901.1-2002 Комбинация вероятности события и его последствий ГОСТ Р ИСО/МЭК 17799-2005 Вероятность причинения ущерба вследствие того, что определенная угроза реализуется в результате наличия определенной уязвимости ГОСТ Р 52448-2005Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 9/424
  10. 10. Потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов ГОСТ Р ИСО/МЭК 13335-1-2006 ГОСТ Р ИСО/МЭК 13569 (проект) Риск – сочетание вероятности нанесения ущерба и тяжести этого ущерба ГОСТ Р 51898-2002 Состояние неопределенности, в котором некоторые возможности приводят к потерям, катастрофам или иным нежелательным результатам Даг ХаббардThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 10/424
  11. 11. Риск описывается комбинацией следующих элементов: Тяжесть возможного ущерба (последствия) Вероятность нанесения ущерба Частота и продолжительность воздействия угрозы Вероятность возникновения угрозы Возможность избежать угрозы или ограничить ущерб от нее Эффективность управления рисками зависит от того, сможем ли мы оценить эти элементыThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 11/424
  12. 12. Также надо учитывать и другие характеристики (например, согласно ISO 13335) Источник – внутренний или внешний; Мотивация, например финансовая выгода, конкурентное преимущество Частота возникновения Правдоподобие Вредоносное воздействие Нельзя забывать про длительность воздействия угрозы Разовая утечка информации vs. DDoS-атака в течение кварталаThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 12/424
  13. 13. Что такое модель угроз?Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 13/424
  14. 14. Описание источников угроз ИБ; методов реализации угроз ИБ; объектов, пригодных для реализации угроз ИБ; уязвимостей, используемых источниками угроз ИБ; типов возможных потерь (например, нарушение доступности, целостности или конфиденциальности информационных активов); масштабов потенциального ущерба РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций банковской системы РФ. Методика оценки рисков нарушения информационной безопасности» Физическое, математическое, описательное представление свойств и характеристик угроз безопасности информации ГОСТ 50922-2006 «Защита информации. Основные термины и 14/424Threat Modeling определения» © 2008 Cisco Systems, Inc. All rights reserved.
  15. 15. Модель нарушителя - предположения о возможностях нарушителя, которые он может использовать для разработки и проведения атак, а также об ограничениях на эти возможности Модель угроз - перечень возможных угроз Методические рекомендации ФСБ по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизацииThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 15/424
  16. 16. Зачем нужна модель угроз?Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 16/424
  17. 17. Систематическая идентификация потенциальных опасностей Систематическая идентификация возможных видов отказов Количественные оценки или ранжирование рисков Выявление факторов, обуславливающих риск, и слабых звеньев в системе Более глубокое понимание устройства и функционирование системы Сопоставление риска исследуемой системы с рисками альтернативных систем или технологийThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 17/424
  18. 18. Идентификация и сопоставление рисков и неопределенностей Возможность выбора мер и приемов по обеспечению снижения риска ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ риска технологических систем» Основная задача моделирования угроз – обоснование решений, касающихся рисковThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 18/424
  19. 19. Модель нарушителя должна ответить на следующие вопросы Какие угрозы могут быть реализованы? Кем могут быть реализованы эти угрозы? Модель нарушителя С какой вероятностью могут быть реализованы эти угрозы? Каков потенциальный ущерб от этих угроз? Каким образом могут быть реализованы эти угрозы? Средства и каналы реализации Почему эти угрозы могут быть реализованы? Уязвимости и мотивация На что могут быть направлены эти угрозы? Как можно отразить эти угрозы?Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 19/424
  20. 20. Согласно РС БР ИББС-2.2-2009 моделирование угроз предшествует оценке рисков Согласно другим стандартам и лучшим практикам анализ угроз и анализ рисков очень тесно переплетены Анализ рисков позволяет ответить на 3 вопроса (согласно ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ риска технологических систем») Что может выйти из строя (идентификация опасности) С какой вероятностью это может произойти (анализ частоты) Каковы последствия этого события (анализ последствий)Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 20/424
  21. 21. Качественная или количественная оценка?Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 21/424
  22. 22. Качественная оценка Количественная оценка Отсутствие количественной оценки не позволяет Оценить адекватность затрат на снижение рисков Оценить возможность перекладывания рисков Продемонстрировать снижение рисков Сравнить текущий уровень с предыдущими значениямиThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 22/424
  23. 23. Количественная оценка не всегда возможна из-за Недостатка информации о системе Недостатка информации о деятельности, подвергающейся оценке Отсутствии или недостатке данных об инцидентах Влияния человеческого фактора Качественная оценка требует Четкого разъяснения всех используемых терминов Обоснования всех классификаций частот и последствий Понимания всех плюсов и минусов качественной (экспертной) оценкиThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 23/424
  24. 24. Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 24/424
  25. 25. Основной принцип: если опросить людей, обладающих компетенцией в интересующем нас вопросе, их усредненная оценка обычно будет точна более чем на 80% Если провести второй раунд, предварительно ознакомив экспертов с результатам первого, то результативность становится еще выше Модификация метода: брать среднюю оценку после отбрасывания крайних значений Данный метод рекомендуется применять, если эксперты не могут подкрепить свое мнение серьезными аргументамиThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 25/424
  26. 26. Эксперт 1 50 55 Эксперт 2 65 60 Эксперт 3 100 80 Эксперт 4 30 50 Эксперт 5 60 60Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 26/424
  27. 27. Психология восприятия рискаThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 27/424
  28. 28. Даже при наличии фактов и достаточного объема информации об анализируемой системе у экспертов существует сложность с восприятием риска Безопасность основана не только на вероятности различных рисков и эффективности различных контрмер (реальность), но и на ощущениях Ощущения зависят от психологических реакций на риски и контрмеры Чего вы больше опасаетесь – попасть в авиакатастрофу или автоаварию? Что вероятнее – пасть жертвой террористов или погибнуть на дороге?Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 28/424
  29. 29. Реальность безопасности ≠ ощущения безопасности Система может быть безопасной, даже если мы не чувствуем и не понимаем этого Мы можем думать, что система в безопасности, когда это не так Психология восприятия риска безопасности Поведенческая экономика Психология принятия решений Психология риска НеврологияThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 29/424
  30. 30. Число погибших в Число жертв автоаварий в авиакатастрофах в России – около 100 России в 2008 году – 139 человек ежедневно (!) человек 1,2 млн. жертв в год, 20-50 1980 – 1989 гг. – в СССР 2624 млн. получают травмы жертвы авиакатастроф Трагедия 11 сентября в От отравления пищей в США унесла жизни 2973 США ежегодно умирают человек 5000 человек Ощущение РеальностьThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 30/424
  31. 31. Мы преувеличиваем одни риски и преуменьшаем другие Наше восприятие риска чаще всего «хромает» в пяти направлениях Степень серьезности риска Вероятность риска Объем затрат Эффективность контрмер Возможность адекватного сопоставления рисков и затратThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 31/424
  32. 32. Производят глубокое впечатление Не привлекают внимание Случаются редко Являются обычными Персонифицированы Анонимны Неподконтрольны или навязаны Контролируются в большей извне степени или принимаются добровольно Обсуждаются Не обсуждаются Преднамеренные или Естественные спровоцированные человеком Угрожают непосредственно Угрожают в будущем, или границы которых размыты Внезапны Развиваются медленно, со временемThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 32/424
  33. 33. Угрожают человеку лично Угрожают другим Новые и незнакомые Знакомые Неопределенные Понятные Угрожающие их детям Угрожающие им самим Оскорбительные с моральной Желательные с моральной точки точки зрения зрения Полностью лишенные выгод Связанные с дополнительными выгодами Выходят за рамки обычной Характерны для обычной ситуации ситуации Недоверенные источники Доверенные источникиThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 33/424
  34. 34. Мобильные вирусы В моем антивирусе для «Операторы сотовой связи смартфона всего 1000 готовятся к эпидемиями записей и ни одного вирусов для мобильных предупреждения за 2 (!) телефонов» года «Мобильный апокалипсис лишь вопрос времени» Западные производители Отечественный ПО специально вставляют разработчик несет закладки, чтобы украсть большую угрозу вашу информацию он пока не дорожит репутацией Более опасный риски РеальностьThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 34/424
  35. 35. В человеческом мозгу 2 системы отвечают за анализ рисков Примитивная интуитивная – работает быстро Продвинутая аналитическая – принимает решения медленно Продвинутая система появилась только у высших приматов – еще не отшлифована Обе системы работают одновременно и конфликтуют между собойThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 35/424
  36. 36. Человек не анализирует риски безопасности с точки зрения математики Мы не анализируем вероятности событий Люди не могут анализировать каждое свое решение Это попросту невозможно Человек использует готовые рецепты, общие установки, стереотипы, предпочтения и привычкиThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 36/424
  37. 37. «Предубеждение оптимизма» - мы считаем, что «с нами это не случится», даже если это случилось с другими Несмотря на эпидемии и атаки других компаний, сами мы считаем, что нас это никак не коснется – мы игнорируем или преуменьшаем риски сетевой безопасности Человеческий мозг не умеет работать с большими числами 1 шанс из 2-х против 1 шанса из 8-ми гораздо понятнее, чем 1 шанс из 10000 против 1 шанса из 100000Threat Modeling 1 шанс из 10000 = «почти никогда» © 2008 Cisco Systems, Inc. All rights reserved. 37/424
  38. 38. «Эвристика доступности» – события, которые легче вспоминаются, имеют больший риск Или произошли недавно Или имели более серьезные последствия (для эксперта) Или преподносятся ярко Люди склонны игнорировать действительные вероятности в случаях, когда ситуация эмоционально окрашена Терроризм, авиакатастрофыThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 38/424
  39. 39. Риски, имевшие место когда- либо в жизни эксперта, имеют больший вес, чем те, с которыми он никогда не встречался Мы будем бороться с атаками, уже произошедшими в прошлом, игнорируя будущие угрозы Чем более выдающимся кажется событие, тем выше вероятность, что оно покажется случайным СМИ и вендоры часто вредят адекватности восприятия экспертаThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 39/424
  40. 40. Моделирование угроз на разных этапах жизненного циклаThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 40/424
  41. 41. Чем позже осуществляется моделирование угроз, тем дороже обходится борьба с ними Дизайн и Внедрение Тесты архитектура • 5Х интеграции • 1Х • 10Х Боевой Бета- запуск тестирование • 30Х • 15ХThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 41/424
  42. 42. Стратегии анализа рисковThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 42/424
  43. 43. Источник: ГОСТ Р ИСО/МЭК ТО 13335-3-2007 (ISOIEC TR 13335-3-1998)Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 43/424
  44. 44. Принятие усредненного значения риска для всех систем Выбор стандартных средств защиты (ISO/IEC TR 13335-4 или ISOIEC 27002) Сложно применим в организациях с системами разного уровня критичности, разными видами конфиденциальной информации Достоинства Недостатки • Минимум ресурсов • Завышение или • Унификация занижение уровня защитных мер рискаThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 44/424
  45. 45. Проведение анализа, основанного на практическом опыте конкретного эксперта Достоинства Недостатки • Не требует значительных • Увеличивается средств и времени вероятность пропуска важных деталей • Трудности при обосновании защитных мер • Возможна низкая квалификация эксперта • Зависимость от субъективности или увольнения экспертаThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 45/424
  46. 46. Детальная идентификация и оценка активов, оценка угроз, оценка уровня уязвимости активов и т.д. Достоинства Недостатки • Адекватный выбор • Значительные защитных мер финансовые, временные и людские ресурсы • Вероятность опоздать с выбором защитных мер из-за глубокого анализаThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 46/424
  47. 47. Предварительный анализ высокого уровня для всех систем с последующей детализацией для наиболее критичных для бизнеса систем и использованием базового подхода для менее критичных систем Достоинства Недостатки • Быстрая оперативная • Потенциальная оценка систем с ошибочность отнесения последующим выбором систем к некритичным адекватного метода для бизнеса анализа рисков • Оптимизация и эффективность использования ресурсовThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 47/424
  48. 48. Процесс моделирования угрозThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 48/424
  49. 49. Существует различные описанные процессы моделирования угроз Более детально рассмотрим ГОСТ Р 51901.1-2002 Источник: Ford Motor CompanyThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 49/424
  50. 50. Определение области применения Идентификация опасности и предварительная оценка последствий Оценка величины угрозы Проверка результатов анализа Документальное обоснование Корректировка результатов анализа с учетом последних данныхThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 50/424
  51. 51. Область применения должна быть определена и задокументирована Документы ФСТЭК определяют такое понятие как «контролируемая зона», но оно уже «области применения» Этапы определения области применения Описание оснований для и/или проблем, повлекших моделирование угроз (анализ риска) Описание исследуемой системы Установление источников, содержащих информацию о всех технических, правовых, человеческих, организационных факторах, имеющих отношение к системе и проблемам Описание предположения, ограничивающих анализThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 51/424
  52. 52. В ГОСТ Р ИСО/МЭК ТО 13335-3-2007 вводится понятие «границы рассмотрения» Позволяет избежать ненужных операций и повысить качество анализа рисков Для конкретной системы необходимо учитывать ИТ-активы Персонал (включая субподрядчиков и персонал сторонних организаций) Необходимые условия для производственной деятельности (помещения, банкоматы, CCTV и т.п.) Бизнес-операцииThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 52/424
  53. 53. Необходимо идентифицировать опасности Известные опасности (происходившие ранее) должны быть четко и точно описаны Неучтенные ранее опасности должны быть идентифицированы с помощью формальных методов анализа Предварительная оценка должна основываться на анализе последствий и изучении их основных причин Предварительная оценка позволяет сделать следующий шаг Принятие немедленных мер с целью снижения или исключения опасностей Прекращение анализа из-за несущественности опасности Переход к оценке рисков и угрозThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 53/424
  54. 54. Анализ последствий используется для оценки вероятного воздействия, которое вызывается нежелательным событием Анализ последствий должен Основываться на выбранных нежелательных событиях Описывать любые последствия, являющиеся результатом нежелательных событий Учитывать меры, направленные на смягчение последствий, наряду с условиями, оказывающими влияние на последствия Устанавливать критерии, используемые для полной идентификации последствий Учитывать как немедленные последствия, так и те, которые могут проявиться по прошествии определенного времени Учитывать вторичные последствия на смежные системыThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 54/424
  55. 55. Для эффективной интерпретации значений риска и угроз очень важно понимание неопределенностей и вызывающих их причин Анализ неопределенностей предусматривает определение изменений и неточностей в результатах моделирования, которые являются следствием отклонения параметров и предположений, применяемых при построении модели С анализом неопределенностей тесно связан анализ чувствительности Анализ чувствительности подразумевает определение изменений в реакции модели на отклонения отдельных параметров моделиThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 55/424
  56. 56. Проверка анализа позволяет убедиться, что анализ проведен корректно и ничего не забыто Для проверки анализа необходимо привлекать людей, не участвующих в анализе Проверка анализа включает Проверка соответствия области применения поставленным задачам Проверка всех важных допущений Подтверждение правильности использованных методов, моделей и данных Проверка результатов на повторяемостьThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 56/424
  57. 57. Нарушитель Мотивация Источник Угрозы Определение нарушителей, их мотивация и источников угроз позволяет сузить спектр возможных угроз, из которых формируется список актуальныхThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 57/424
  58. 58. НарушителиThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 58/424
  59. 59. ГОСТ Р 52448-2005 «Обеспечение безопасности сетей электросвязи. Общие положения» Террористы и террористические организации Конкурирующие организации и структуры Спецслужбы иностранных государств и блоков государств Криминальные структуры Взломщики программных продуктов ИТ Бывшие сотрудники организаций связи Недобросовестные сотрудники и партнеры Пользователи услугами связиThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 59/424
  60. 60. ГОСТ Р 52448-2005 «Обеспечение безопасности сетей электросвязи. Общие положения» Месть Достижение денежной выгоды Хулиганство и любопытство Профессиональное самоутверждение Я бы еще добавил политику и идеологиюThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 60/424
  61. 61. Источники угрозThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 61/424
  62. 62. ГОСТ Р 52448-2005 «Обеспечение безопасности сетей электросвязи. Общие положения» Субъект Материальный объект Физическое явлениеThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 62/424
  63. 63. РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности» Неблагоприятные события природного, техногенного и социального характера Террористы и криминальные элементы Зависимость от поставщиков/провайдеров/партнеров/клиентов Сбои, отказы, разрушения/повреждения ПО и техсредств Внутренние нарушители ИБ Внешние нарушители ИБ Несоответствие требованиям надзорных и регулирующихThreat Modeling органов © 2008 Cisco Systems, Inc. All rights reserved. 63/424
  64. 64. Факторы, воздействующие на информацию Источники или категории угроз?Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 64/424
  65. 65. Природные опасности Наводнения, землетрясения, ураганы, молнии и т.п. Технические опасности Социальные опасности Войны, вооруженные нападения, диверсии, эпидемии и т.п. Опасности, связанные с укладом жизни Злоупотребление наркотиками, алкоголь, сектантство и т.п. ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ риска технологических систем»Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 65/424
  66. 66. Национальности руководителей отдела ИБ и службы внутреннего контроля банка – осетин и ингуш Конфликт Клиент банка (на Кавказе) – давний друг семьи, к которой принадлежит руководитель отдела банка Потенциальная проблема Руководитель и подчиненный организации (в Казахстане) из разных кланов (тейпов) Конфликт Не каждая служба ИБ рассматривает эти угрозыThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 66/424
  67. 67. ГОСТ Р 51275-2006 «Объект информатизации. Факторы, воздействующие на информацию» Стандарт устанавливает классификацию и перечень факторов, воздействующих на безопасность защищаемой информации, в целях обоснования угроз безопасности информации и требований по защите информации на объекте информатизации Природа Источник возникновения возникновения Объективные Субъективные Внутренние ВнешниеThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 67/424
  68. 68. Внутренние Передача сигналов Излучение сигналов, функционально присущие тех.средствам Побочные электромагнитные излучения Паразитное электромагнитное излучение Наводка Наличие акустоэлектрических преобразователей в элементах тех.средств Дефекты, сбои и отказы, аварии тех.средств Дефекты, сбои и отказы ПОThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 68/424
  69. 69. Внешние Явления техногенного характера Природные явления, стихийные бедствияThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 69/424
  70. 70. Внутренние Разглашение защищаемой информации лицами, имеющими к ней право доступа Неправомерные действия со стороны лиц, имеющих право доступа к защищаемой информации Несанкционированный доступ к информации Недостатки организационного обеспечения защиты информации Ошибки обслуживающего персоналаThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 70/424
  71. 71. Внешние Доступ к защищаемой информации с применением тех.средств Несанкционированный доступ к защищаемой информации Блокирование доступа к защищаемой информации путем перегрузки тех.средств обработки информации запросами на ее обработку Действия криминальных групп и отдельных преступных субъектов Искажение, уничтожение или блокирование информации с применением тех.средствThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 71/424
  72. 72. Каталоги угрозThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 72/424
  73. 73. ГОСТы 51901 и 51275 позволяют сформировать высокоуровневый список возможных угроз, который может быть расширен за счет каталогов угроз Каталоги угроз ФСТЭК – «Методика определения актуальных угроз ПДн» ФСТЭК – «Методика определения актуальных угроз КСИИ» BSI – Threats Catalogue Force majeur MAGERIT: Risk Analysis and Management Methodology for Information Systems ГОСТ Р ИСО/МЭК ТО 13335-3-2007 Учитывайте, что угрозы постоянно меняются и могут отсутствовать в используемой версии каталога или измениться по сравнению с описанными в нейThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 73/424
  74. 74. D – угрозы, обусловленные преднамеренными действиями A – угрозы, обусловленные случайными действиями E – угрозы, обусловленные естественными причинамиThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 74/424
  75. 75. Методы анализа рисков и определения опасностейThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 75/424
  76. 76. Существует множество различных методов анализа рисков / угроз Универсального метода не существует При выборе метода надо учитывать, что должен быть Научно обоснованным и соответствовать сложности и природе анализируемой системы Давать результаты в форме, обеспечивающей понимание природы риска/угрозы и способов его контроля Типовым и обладать свойствами, обеспечивающими возможность прослеживаемости, повторяемости и контролируемости В документации необходимо представить обоснование выбранного метода анализа /Threat Modeling моделирования © 2008 Cisco Systems, Inc. All rights reserved. 76/424
  77. 77. Метод анализа риска и угроз выбирается исходя из приемлемости целого ряда факторов Например, на ранней стадии развития системы могут использоваться менее детализированные методыThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 77/424
  78. 78. Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 78/424
  79. 79. Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 79/424
  80. 80. Не стоит опираться только на один метод анализа рисков / угроз – лучше их комбинировать Важно помнить, что существенным фактором во многих инцидентах является человеческий фактор и организационные ошибки Нельзя ограничиваться только технической стороной анализируемой системыThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 80/424
  81. 81. Процесс моделирования угроз (продолжение)Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 81/424
  82. 82. На практике идентификация опасностей может приводить к очень большому числу сценариев потенциальных инцидентов Детальный количественный анализ частот и последствий в таком случае не всегда возможен и осуществим Необходимо качественно ранжировать сценарии, поместив их в матрицы риска Детальный количественный анализ осуществляется для сценариев с более высокими уровнями рисков Не существует универсальной формы и содержания матрицы риска Классификация частот и серьезности последствий (как и количество их категорий) могут меняться в зависимости от ситуацииThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 82/424
  83. 83. : Источник: ГОСТ Р 51901.1-2002 • В – высокая величина риска • С – средняя величина риска • М – малая величина риска • Н – незначительная величина риска : • Катастрофическое – практически полная потеря анализируемого объекта • Значительное – крупный ущерб системе • Серьезное – серьезный ущерб системе • Незначительное – незначительное повреждение системыThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 83/424
  84. 84. ВероятностьThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 84/424
  85. 85. Собственная Чужая Считаем самостоятельно (экспертная оценка) Используем готовую статистику Базовый Детальный расчет расчетThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 85/424
  86. 86. У нас же есть отчеты CSI/FBI, E&Y, PwC, KPMG, МВД, Infowatch, Perimetrix и т.п.! Мы не знаем условий, при которых произошел инцидент Мы не имеем деталей по каждому респонденту Средняя температура по больнице Пример: риски для АСУ ТП Небольшое число внедрений Публичной статистики нет (базы BCIT и INL не в счет) Статистики вендоров нет – «закрытые» технологии Собственной статистики нет – у ИБ/ИТ не доступа к АСУ ТП Экспертных оценок в России нетThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 86/424
  87. 87. Собираемая статистика очень сильно зависит от используемых методов опроса, аудитории, желания респондентов делиться информацией, масштаба опроса и даже от того, с какой ноги встал интервьюер Не каждая компания приглашает социологов для осуществления опросов Proofpoint Infowatch IDC • 43% утечек • 5% утечек • 56% утечек через e- через e- через e- mail mail mailThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 87/424
  88. 88. При отсутствии статистической/исторической информации экспертная оценка является единственным методов определения частоты/вероятности реализации угроз Эксперты ранжируют вероятность наступления события исходя из своего опыта и знаний анализируемой системы Экспертная оценка является дополняет статистику и зачастую подтверждает ее Желательно использовать комбинацию всех методовThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 88/424
  89. 89. Сила защитной меры Уязвимость Возможности нарушителя Вероятность Наличие доступа Угроза ДействиеThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 89/424
  90. 90. Профиль (модель) нарушителя Мотив (причина) Цель «Спонсор» (кто помогает ресурсами?) Потенциальные возможности Озабоченность косвенным ущербом Приемлемый уровень рискаThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 90/424
  91. 91. ГОСТ Р ИСО/МЭК 18045 «Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий» определяет в Приложении А (А.8.1) потенциал нападения, зависящий от Мотивации нарушителя Компетентности нарушителя Ресурсов нарушителяThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 91/424
  92. 92. 2 аспекта - идентификация и использование Время, затрачиваемое на идентификацию уязвимости Техническая компетентность специалиста Знание проекта и функционирования атакуемой системы Доступ к атакуемой системе Аппаратное обеспечение/ПО или другое оборудование, требуемое для анализа Эти факторы не всегда независимы друг от друга и могут время от времени заменять друг друга Компетентность время, доступные ресурсы времяThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 92/424
  93. 93. Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 93/424
  94. 94. Складываются 10 значений из предыдущей таблицы Таблица – не догма, а руководство к действию Если значение близко к границе, подумайте об усреднении двух значений ОО – объект оценки, СФБ – стойкость функции безопасностиThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 94/424
  95. 95. Сравнение/сопоставление с аналогичным риском ГОСТ Р 51344-99 Сравнение с риском на аналогичном решении с учетом следующих факторов Аналогичное оборудование безопасности Предполагаемое использование и технологии на обоих решениях сравнимы Опасность и элементы риска сравнимы Технические условия сравнимы Условия использования сравнимы Необходимо учитывать дополнительные факторы Например, тип защищаемой информации или потенциал нападенияThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 95/424
  96. 96. Прогнозирование с использованием аналитических методов «Дерево неисправностей» (Fault Tree Analysis) – диаграмма всех возможных последствий инцидента в системе (МЭК 61025) «Дерево событий» (Event Tree Analysis) - диаграмма всех возможных последствий данного события Имитационное моделирование отказов/инцидентовThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 96/424
  97. 97. Вероятность принимается равной единице, если угроза может быть осуществлена, и нулю – если нет При отсутствии защитных мер Этот подход имеет право на жизнь, но только для небольшого количества систем и сценариев В обычной жизни это слишком дорого или для угроз, которые являются очень распространенными Данный метод применяется в неьольшом количестве различных методик Ключевые системы информационной инфраструктуры – ФСТЭК Security Architecture for Enterprise (SAFE) – Cisco Методика ФСБ по персданнымThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 97/424
  98. 98. Существуют различные градации частот / вероятности опасностей / угроз Девять уровней – ГОСТ 13569 Шесть уровней – ГОСТ Р 51901.1-2002 Четыре уровня – «Методика определения актуальных угроз ПДн» Три уровня – ГОСТ Р 52448-2005 И т.п.Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 98/424
  99. 99. ПоследствияThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 99/424
  100. 100. ГОСТ Р ИСО/МЭК ТО 13335-4-2007 «Методы и средства обеспечения безопасности. Выбор защитных мер» выделает 6 свойств информации, для которых описываются последствия Конфиденциальность Целостность Доступность Подотчетность Аутентичность Достоверность Такая классификация позволяет систематизировать последствияThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 100/424
  101. 101. Потеря общественного доверия Снижение имиджа Ответственность перед законом Отрицательное влияние на политику организации Создание угрозы безопасности персонала Финансовые потериThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 101/424
  102. 102. Принятие неправильных решений Обман Прерывание коммерческих операций Потеря общественного доверия Снижение имиджа Финансовые потери Ответственность перед закономThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 102/424
  103. 103. Оценка потерьThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 103/424
  104. 104. Анализ риска не может быть осуществлен без оценки потерь Потеря в природе риска. Без потерь рисков не бывает Оценка риска не имеет смысла, если мы не можем определить ценность актива, подверженного рискам Особенности оценки потерь Точная оценка невозможна по своей природе. Многие ее и не ждут, столкнувшись с потерями при инвестиционных, рыночных рисках Worst-case (самый худший случай) не имеет отношения к анализу рисков, т.к. исчезает элемент вероятностиThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 104/424
  105. 105. Информационный актив может иметь разную ценность В разное время, для разных аудиторий, в разных бизнес- процессах Потери могут принимать разные формы Одно событие может быть причиной нескольких форм потерь Сложные взаимосвязи между разными формами потерь Объем потерь определяется множеством факторовThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 105/424
  106. 106. Ценность Стакан воды стакана воды в пустыне в городских бесценнен условиях Воды равна нулю практически Вода есть нет везде Цена стакана воды одинакова в обоих условиях (в худшем случае ценность = цене)Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 106/424
  107. 107. Ценность потери Ценность приобретения Потери Прямые – потеря доходов, штрафы за нарушение договорных обязательств, штрафы надзорных органов, иски Косвенные – упущенная выгода, потеря доли рынка, снижение лояльности заказчиков/партнеров, репутация Приобретение Ускорение сделок, снижение времени вывода продукта на рынок, рост продуктивности, рост числа клиентов и т.д.Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 107/424
  108. 108. • Простои Продуктивность • Ухудшение психологического климата • Расследование инцидента Реагирование • PR-активность • Замена оборудования Замена • Повторный ввод информации • Судебные издержки, досудебное урегулирование Штрафы • Приостановление деятельности • Ноу-хау, государственная, коммерческая тайна Конкуренты • Отток клиентов, обгон со стороны конкурента • Гудвил Репутация • Снижение капитализации, курса акцийThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 108/424
  109. 109. Цена «сбоя» складывается из множества параметров Восстановление утерянной информации «Процедурные» затраты Стоимость времени восстановления Взаимодействие с пострадавшими стейкхолдерами Резервирование автоматизации ключевых процессов ручными операциями Снижение качества обслуживания Извлечение уроков и т.п. Необходимо учитывать динамику потерь Ущерб может наступить мгновенно или спустя недели Активность бизнес-процессов может зависеть от квартала/сезона ущерб зависит от этого жеThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 109/424
  110. 110. Степень влияния и составляющие цены «сбоя» меняется с течением времени RPO – Recovery Point Objectives, RTO – Recovery Time Objectives, MAD – Maximum Allowable DowntimeThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 110/424
  111. 111. Активы бывают материальные и нематериальные Материальные активы оцениваются обычно на основе стоимости их замены или восстановления Аналогичным образом часто оценивается и программное обеспечение Ценность информации и иных нематериальных активов определяется либо экспертным способом (метод Дельфи) или с помощью специальных методикThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 111/424
  112. 112. Стоимость обмена Вероятная цена продажи, когда условия обмена известны обеим сторонам и сделка считается взаимовыгодной Обоснованная рыночная Наиболее вероятная цена, по которой стоимость объект оценки переходит из рук одного продавца в руки другого на открытом рынке и добровольно Стоимость Стоимость объекта оценки в представлении использования конкретного пользователя и с учетом его ограничений Ликвидационная Стоимость объекта оценки при вынужденной стоимость продаже, банкротстве Стоимость замещения Наименьшая стоимость эквивалентного объекта оценкиThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 112/424
  113. 113. У каждого метода есть своя область применения, свои достоинства и недостатки Рыночный Затратный Доходный • Метод сравнения • Метод стоимости • Метод расчета продаж замещения роялти аналогичных • Метод • Метод исключения объектов оценки восстановительной ставки роялти стоимости • Метод DCF • Метод исходных • Метод прямой затрат капитализации • Экспресс-оценка • Метод избыточной прибыли • Метод по правилу 25% • Экспертные методыThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 113/424
  114. 114. МСФО 38 «Нематериальные активы» GAAP – для США EVS 2000 – для Евросоюза Стандарты оценки РФ Утверждены ПП-519 от 6.07.2001Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 114/424
  115. 115. Методики моделирования угрозThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 115/424
  116. 116. AS/NZS 4360 ISO 31000 HB 167:200X NIST SP 800-3 EBIOS SOMAP ISO 27005 (ISO/IEC IS Lanifex Risk Compass 13335-2) Austrian IT Security MAGERIT Handbook MARION A&K Analysis MEHARI ISF IRAM (включая SARA, SPRINT) CRISAM OSSTMM RAV OCTAVE BSI 100-3Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 116/424
  117. 117. Trike IT-Grundschutz Methodology от BSI (Германия) AS/NZS 4360:2004 (Австралия) MAGERIT: Risk Analysis and Management Methodology for Information Systems (Испания) EBIOS - Expression of Needs and Identification of Security Objectives (Франция) MEHARI (Франция) OCTAVE FRAP NIST 800-30 (США)Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 117/424
  118. 118. MG-2, MG-3 (Канада) SOMAP IRAMThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 118/424
  119. 119. ISOIEC TR 13569Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 119/424
  120. 120. 5 зон уязвимостей Персонал Помещения и оборудование Приложения Системы связи Программные средства и операционные системыThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 120/424
  121. 121. Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 121/424
  122. 122. Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 122/424

×