ФСТЭК России разработала методику оценки угроз информационной безопасности, которая позволяет организациям выявлять, анализировать и минимизировать киберриски.
Что такое актуальность угроз и почему она важна
Актуальность угрозы — это показатель ее опасности, который определяется:
распространенностью — как часто подобные угрозы встречаются в отрасли;
сложностью реализации — насколько легко злоумышленник может ее осуществить;
потенциальным ущербом — какие последствия может повлечь реализация угрозы (финансовые потери, репутационный ущерб, нарушения работы критической инфраструктуры).
Почему важно учитывать актуальность угроз:
ФСТЭК требует учитывать актуальность угроз при построении систем защиты.
Оптимизация затрат — защита фокусируется на наиболее опасных и вероятных угрозах, а не на маловероятных рисках.
Методика ФСТЭК обязательна для госструктур и компаний, которые работают с персональными данными или конфиденциальной информацией.
Для остальных организаций применение методики является рекомендацией, но ее использование помогает снизить риски и соответствовать требованиям регуляторов.
Как методика ФСТЭК помогает оценивать угрозы
Оценка актуальных угроз включает следующие этапы:
1. Определение возможных последствий — какой может быть ущерб в случае реализации угрозы, например, финансовые потери или нарушения функционирования критически важных систем.
2. Идентификация уязвимых объектов — какие системы и данные могут быть атакованы (серверы, базы данных, сети, рабочие станции).
3. Анализ источников угроз:
Внешние злоумышленники (хакеры, конкуренты).
Внутренние угрозы (инсайдеры, невнимательные сотрудники).
Техногенные и природные факторы (аварии, пожары).
4. Определение способов атак. Например, использование уязвимостей в ПО, социальная инженерия (фишинг, обман сотрудников), DDoS-атаки, вредоносное ПО.
5. Комплексная оценка угроз — расчет степени вероятности реализации каждой угрозы и оценка масштаба потенциального ущерба.
Анализ рисков должен быть постоянным и проводиться как на этапе разработки систем, так и в процессе их использования и обновления.
Банк данных угроз ФСТЭК
Это открытый ресурс, который содержит сведения о киберугрозах. Угрозы в нем классифицируются по двум основным критериям:
Нарушители — кто может использовать угрозу (внешние или внутренние злоумышленники, их уровень подготовки).
Последствия — к каким нарушениям может привести угроза (конфиденциальности, целостности или доступности информации).
Можно искать угрозы по запросам, например, «нарушение целостности данных внутренними злоумышленниками».
Перейдя по названию, можно получить подробности конкретной угрозы — описание, способы реализации, рекомендации по защите.
Кто использует Банк угроз:
Операторы информационных систем.
Разработчики средств защиты.
Органы сертификации и аудиторы.
Основные меры защиты по требованиям ФСТЭК
ФСТЭК разрабатывает и устанавливает правила и требования для обеспечения безопасности информации. Эти меры могут быть реализованы как организационно, так и технически.
Организационные меры — это правила и процедуры, которые определяют порядок работы сотрудников с данными и информационными. К ним относится:
Разработка нормативных документов — создание политик, регламентов и инструкций, определяющих порядок обработки и защиты информации. Документы должны четко прописывать, какие действия разрешены, а какие запрещены.
Управление доступом — разграничение прав пользователей: каждый сотрудник получает доступ только к тем данным, которые необходимы для работы.
Реагирование на инциденты — разрабатываются планы действий при утечках данных, атаках или сбоях. Определяются ответственные за расследование и устранение последствий.
Контроль изменений — любые изменения в ИТ-инфраструктуре (обновления, настройки, новые сервисы) должны проходить проверку на безопасность.
Обучение сотрудников — регулярное проведение инструктажей по информационной безопасности. Тестирование на знание правил работы с конфиденциальной информацией.
Технические меры — это инструменты и технологии для защиты информационных систем.
Брандмауэры контролируют весь входящий и исходящий трафик, блокируя нежелательные подключения. Они работают по заданным правилам — например, могут пропускать данные только с определенных IP-адресов или запрещать доступ к подозрительным портам.
Системы IDS/IPS анализируют сетевой трафик и выявляют атаки. IDS обнаруживает и предупреждает о потенциально опасной активности. IPS не только выявляет подозрительные действия, но и автоматически блокирует потенциально опасные активности.
Антивирусы проверяют файлы, почту и интернет-трафик в реальном времени. Они используют не только базы известных вирусов, но и поведенческий анализ, чтобы находить новые угрозы.
Шифрование данных — важная информация шифруются при передаче (например, через VPN или HTTPS) и на хранении (диски, флешки). Даже если злоумышленник получит доступ к данным, без ключа он не сможет ее прочитать.
DLP-системы следят, чтобы конфиденциальные данные не утекли из компании. Они блокируют отправку документов через почту, мессенджеры или запись на флешки, если в них есть, например, паспортные данные или коммерческая тайна.
Защита виртуальных серверов — виртуальные машины изолируют друг от друга, чтобы взлом одной не затронул остальные. Также важно защищать сам гипервизор — программу, которая управляет виртуальными серверами.
Проверка кода — перед выпуском программы ее код проверяют на уязвимости. Автоматические сканеры ищут ошибки, а тестировщики пытаются взломать приложение, чтобы найти слабые места до релиза.
Резервные копии — данные регулярно копируют на отдельные серверы или в облако. Важно проверять, что резервные копии работают — бывает, что файлы сохраняются, но восстановить их невозможно.
Менеджеры паролей — вместо простых паролей типа «12345» такие программы генерируют и хранят сложные комбинации. Пароли шифруются, а доступ к ним можно выдавать сотрудникам по необходимости.
Все эти меры работают вместе — если что-то одно даст сбой, остальные системы помогут избежать серьезных проблем.
Оценка соответствия требованиям ФСТЭК
Это процесс проверки, насколько реализованные меры защиты соответствуют нормативным требованиям. Он включает:
Аудит информационной безопасности — внутренняя или внешняя проверка.
Анализ документации — оценка ее актуальности и полноты.
Тестирование уязвимостей — выявление слабых мест в системе.
Разработка плана улучшений — устранение недостатков и повышение уровня защиты.
Формы подтверждения соответствия
Сертификация — добровольная проверка в аккредитованном органе (результат — сертификат соответствия).
Аттестация — обязательная для ГИС и ИСПДн (результат — аттестат соответствия).
Самооценка — самостоятельный анализ с использованием методик ФСТЭК.
Заключение
Методика ФСТЭК предоставляет системный подход к оценке и противодействию угрозам информационной безопасности. Ее применение позволяет организациям не только соответствовать регуляторным требованиям, но и эффективно защищать свои данные от современных киберрисков.