Мы пишем о методах поддержания информационной безопасности, но иногда нужно говорить и о более общих идеях.
Сегодня будет про методику построения модели угроз информационной безопасности в компании.
Моделирование угроз позволяет выявить и понять связанные с критической информацией угрозы и определить меры по их устранению. Критическая информация – это авторизационные данные, коммерческая тайна, документы, персональные данные и т. д. Заняться моделированием угроз может сам руководитель, глава СБ или специальный отдел.
При составлении простой модели расписывают следующее:
Описание объекта или над чем мы работаем. Как называется, где находится, какие данные и какого класса защищенности обрабатываются. Не слишком подробно, без копий техпаспортов, но и не слишком общо. Например, если арендуете виртуальный сервер, в модели нужно описать, оперативную память сервера, характеристики процессора, технологию виртуализации, ОС, какое ПО на нем используется, как сотрудники к нему подключаются, его задачи и т.д.
Угрозы для объекта или что может пойти не так. Угроза – это потенциальное или фактическое нежелательное событие, которое может быть злонамеренным, например, DoS-атака или случайным, скажем, поломка жесткого диска. Веб-сервер может отказать в обслуживании из-за малой мощности, его могут взломать, поставщик услуги может просматривать ваши действия на нем и т.д.
Что может быть предпринято для смягчения каждой угрозы или что мы собираемся делать. Какие упреждающие действия можно предпринять, чтобы минимизировать риск. Например, чтобы предотвратить отказ в обслуживании, нужно распределять нагрузку с запасом и делать бэкапы, от взлома частично помогут смена порта и подключение к серверу по SSH с использованием ключа шифрования вместо пароля, технология виртуализации должна быть KVM, чтобы хостер не мог прямо воздействовать на сервер и т. д.
Способы проверки модели и угроз и способ проверки успешности методов противодействия или хорошо ли мы поработали. Как модель соотносится с реальностью и отражает ли истинное положение дел; решает ли модель поставленные задачи в рамках контролируемых тестов? После составления модели можно провести серию обучающих мероприятий для сотрудников, которые работают с серверами, заказать контролируемый взлом или протестировать устойчивость сервера.
Моделирование угроз – это процесс, а не однократное мероприятие.
По мере добавления новых деталей в систему в ней появляются и выявляются новые векторы атак. Продолжающийся процесс моделирования помогает диагностировать и устранять новые угрозы. Оформить модель можно в виде отдельного электронного документа, таблицы, интеллект-карты или базы данных в Obsidian. Обновление модели угроз целесообразно после таких событий, как добавление новой технологии или метода работы, возникновение не рассмотренного ранее инцидента или изменение инфраструктуры.
Вместо этого нужно ограничить круг реальных угроз, которым вы в состоянии противостоять.
Процесс моделирования угроз хорошо описан в этих статьях: первая, вторая), третья.
Если работаете с персональными данными и вам нужно составить модель угроз для ФСТЭК, вам сюда и сюда.
При правильном подходе моделирование угроз даст четкий взгляд на весь бизнес. Имея информацию перед глазами, вы сможете принимать правильные и обоснованные решения по безопасности.
Не пренебрегайте этим и сэкономите много ресурсов на потенциальных форс-мажорах в будущем.
Сегодня будет про методику построения модели угроз информационной безопасности в компании.
Моделирование угроз позволяет выявить и понять связанные с критической информацией угрозы и определить меры по их устранению. Критическая информация – это авторизационные данные, коммерческая тайна, документы, персональные данные и т. д. Заняться моделированием угроз может сам руководитель, глава СБ или специальный отдел.
При составлении простой модели расписывают следующее:
Описание объекта или над чем мы работаем. Как называется, где находится, какие данные и какого класса защищенности обрабатываются. Не слишком подробно, без копий техпаспортов, но и не слишком общо. Например, если арендуете виртуальный сервер, в модели нужно описать, оперативную память сервера, характеристики процессора, технологию виртуализации, ОС, какое ПО на нем используется, как сотрудники к нему подключаются, его задачи и т.д. Угрозы для объекта или что может пойти не так. Угроза – это потенциальное или фактическое нежелательное событие, которое может быть злонамеренным, например, DoS-атака или случайным, скажем, поломка жесткого диска. Веб-сервер может отказать в обслуживании из-за малой мощности, его могут взломать, поставщик услуги может просматривать ваши действия на нем и т.д. Что может быть предпринято для смягчения каждой угрозы или что мы собираемся делать. Какие упреждающие действия можно предпринять, чтобы минимизировать риск. Например, чтобы предотвратить отказ в обслуживании, нужно распределять нагрузку с запасом и делать бэкапы, от взлома частично помогут смена порта и подключение к серверу по SSH с использованием ключа шифрования вместо пароля, технология виртуализации должна быть KVM, чтобы хостер не мог прямо воздействовать на сервер и т. д. Способы проверки модели и угроз и способ проверки успешности методов противодействия или хорошо ли мы поработали. Как модель соотносится с реальностью и отражает ли истинное положение дел; решает ли модель поставленные задачи в рамках контролируемых тестов? После составления модели можно провести серию обучающих мероприятий для сотрудников, которые работают с серверами, заказать контролируемый взлом или протестировать устойчивость сервера.Моделирование угроз – это процесс, а не однократное мероприятие.
По мере добавления новых деталей в систему в ней появляются и выявляются новые векторы атак. Продолжающийся процесс моделирования помогает диагностировать и устранять новые угрозы. Оформить модель можно в виде отдельного электронного документа, таблицы, интеллект-карты или базы данных в Obsidian. Обновление модели угроз целесообразно после таких событий, как добавление новой технологии или метода работы, возникновение не рассмотренного ранее инцидента или изменение инфраструктуры.
Вместо этого нужно ограничить круг реальных угроз, которым вы в состоянии противостоять.
Процесс моделирования угроз хорошо описан в этих статьях: первая, вторая), третья.
Если работаете с персональными данными и вам нужно составить модель угроз для ФСТЭК, вам сюда и сюда.
При правильном подходе моделирование угроз даст четкий взгляд на весь бизнес. Имея информацию перед глазами, вы сможете принимать правильные и обоснованные решения по безопасности.Не пренебрегайте этим и сэкономите много ресурсов на потенциальных форс-мажорах в будущем.
Последнее редактирование:
