1. Построение модели
угроз
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 1/424

2. Цель: Понимание методов разработки модели угроз
как с практической точки зрения, так и для
выполнения требования регуляторов
На сегодняшний день модель угроз обязательно
требуется только по линии защиты персональных
данных
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 2/424

3. Служба ИБ
Юрист Регуляторы
Модель
угроз
Надзорный
Нарушитель
орган
Интегратор Вендор
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 3/424

4. Общий подход к
оценке угроз
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 4/424

5. “Анализ рисков, оценка их вероятности и
тяжести последствий похожа на
посещение игроками Лас-Вегаса – зал
общий, а система игры у каждого своя”
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 5/424

6. Совокупность условий и факторов, создающих
потенциальную или реально существующую
опасность, связанную с утечкой информации и(или)
несанкционированными и(или)
непреднамеренными воздействиями на нее
Рекомендации ФСТЭК по защите коммерческой тайны и
КСИИ
Потенциальная причина инцидента, который может
нанести ущерб системе или организации
ГОСТ Р ИСО/МЭК 13355-1:2006, ГОСТ Р ИСО/МЭК 27002
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 6/424

7. Угрозы безопасности персональных данных -
совокупность условий и факторов, создающих
опасность несанкционированного, в том числе
случайного, доступа к персональным данным,
результатом которого может стать уничтожение,
изменение, блокирование, копирование,
распространение персональных данных, а также
иных несанкционированных действий при их
обработке в информационной системе
персональных данных
Требования ФСТЭК по защите персональных данных
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 7/424

8. Совокупность условий и факторов, создающих
потенциальную или реально существующую
опасность нарушения безопасности информации
ГОСТ 50.1.056-2005
Возможная причина нежелательного инцидента,
который может закончиться ущербом для системы
или организации
ISOIEC 13355-1:2004, ГОСТ Р ИСО/МЭК 27002
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 8/424

9. Вероятная частота и вероятная величина будущих
потерь
Метод FAIR
Сочетание вероятности события и его последствий
ГОСТ Р 51901.1-2002
Комбинация вероятности события и его последствий
ГОСТ Р ИСО/МЭК 17799-2005
Вероятность причинения ущерба вследствие того, что
определенная угроза реализуется в результате
наличия определенной уязвимости
ГОСТ Р 52448-2005
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 9/424

10. Потенциальная опасность нанесения ущерба
организации в результате реализации некоторой
угрозы с использованием уязвимостей актива или
группы активов
ГОСТ Р ИСО/МЭК 13335-1-2006
ГОСТ Р ИСО/МЭК 13569 (проект)
Риск – сочетание вероятности нанесения ущерба и
тяжести этого ущерба
ГОСТ Р 51898-2002
Состояние неопределенности, в котором некоторые
возможности приводят к потерям, катастрофам или
иным нежелательным результатам
Даг Хаббард
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 10/424

11. Риск описывается комбинацией следующих
элементов:
Тяжесть возможного ущерба (последствия)
Вероятность нанесения ущерба
Частота и продолжительность воздействия угрозы
Вероятность возникновения угрозы
Возможность избежать угрозы или ограничить ущерб от нее
Эффективность управления рисками зависит от того,
сможем ли мы оценить эти элементы
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 11/424

12. Также надо учитывать и другие характеристики
(например, согласно ISO 13335)
Источник – внутренний или внешний;
Мотивация, например финансовая выгода, конкурентное
преимущество
Частота возникновения
Правдоподобие
Вредоносное воздействие
Нельзя забывать про длительность воздействия
угрозы
Разовая утечка информации vs. DDoS-атака в течение
квартала
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 12/424

13. Что такое модель
угроз?
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 13/424

14. Описание источников угроз ИБ; методов реализации
угроз ИБ; объектов, пригодных для реализации угроз
ИБ; уязвимостей, используемых источниками угроз
ИБ; типов возможных потерь (например, нарушение
доступности, целостности или конфиденциальности
информационных активов); масштабов
потенциального ущерба
РС БР ИББС-2.2-2009 «Обеспечение информационной
безопасности организаций банковской системы РФ. Методика
оценки рисков нарушения информационной безопасности»
Физическое, математическое, описательное
представление свойств и характеристик угроз
безопасности информации
ГОСТ 50922-2006 «Защита информации. Основные термины и
14/424
Threat Modeling
определения»
© 2008 Cisco Systems, Inc. All rights reserved.

15. Модель нарушителя - предположения о
возможностях нарушителя, которые он может
использовать для разработки и проведения атак, а
также об ограничениях на эти возможности
Модель угроз - перечень возможных угроз
Методические рекомендации ФСБ по обеспечению с
помощью криптосредств безопасности персональных
данных при их обработке в информационных системах
персональных данных с использованием средств
автоматизации
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 15/424

16. Зачем нужна
модель угроз?
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 16/424

17. Систематическая идентификация потенциальных
опасностей
Систематическая идентификация возможных видов
отказов
Количественные оценки или ранжирование рисков
Выявление факторов, обуславливающих риск, и
слабых звеньев в системе
Более глубокое понимание устройства и
функционирование системы
Сопоставление риска исследуемой системы с рисками
альтернативных систем или технологий
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 17/424

18. Идентификация и сопоставление рисков и
неопределенностей
Возможность выбора мер и приемов по обеспечению
снижения риска
ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ
риска технологических систем»
Основная задача моделирования угроз – обоснование
решений, касающихся рисков
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 18/424

19. Модель нарушителя должна ответить на
следующие вопросы
Какие угрозы могут быть реализованы?
Кем могут быть реализованы эти угрозы?
Модель нарушителя
С какой вероятностью могут быть реализованы эти угрозы?
Каков потенциальный ущерб от этих угроз?
Каким образом могут быть реализованы эти угрозы?
Средства и каналы реализации
Почему эти угрозы могут быть реализованы?
Уязвимости и мотивация
На что могут быть направлены эти угрозы?
Как можно отразить эти угрозы?
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 19/424

20. Согласно РС БР ИББС-2.2-2009 моделирование угроз
предшествует оценке рисков
Согласно другим стандартам и лучшим практикам
анализ угроз и анализ рисков очень тесно
переплетены
Анализ рисков позволяет ответить на 3 вопроса
(согласно ГОСТ Р 51901.1-2002 «Менеджмент риска.
Анализ риска технологических систем»)
Что может выйти из строя (идентификация опасности)
С какой вероятностью это может произойти (анализ частоты)
Каковы последствия этого события (анализ последствий)
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 20/424

21. Качественная или
количественная
оценка?
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 21/424

22. Качественная
оценка Количественная
оценка
Отсутствие количественной оценки не позволяет
Оценить адекватность затрат на снижение рисков
Оценить возможность перекладывания рисков
Продемонстрировать снижение рисков
Сравнить текущий уровень с предыдущими значениями
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 22/424

23. Количественная оценка не всегда возможна из-за
Недостатка информации о системе
Недостатка информации о деятельности, подвергающейся
оценке
Отсутствии или недостатке данных об инцидентах
Влияния человеческого фактора
Качественная оценка требует
Четкого разъяснения всех используемых терминов
Обоснования всех классификаций частот и последствий
Понимания всех плюсов и минусов качественной
(экспертной) оценки
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 23/424

24. Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 24/424

25. Основной принцип: если опросить людей,
обладающих компетенцией в интересующем нас
вопросе, их усредненная оценка обычно будет
точна более чем на 80%
Если провести второй раунд, предварительно ознакомив
экспертов с результатам первого, то результативность
становится еще выше
Модификация метода: брать среднюю оценку после
отбрасывания крайних значений
Данный метод рекомендуется применять, если эксперты не
могут подкрепить свое мнение серьезными аргументами
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 25/424

26. Эксперт 1 50 55
Эксперт 2 65 60
Эксперт 3 100 80
Эксперт 4 30 50
Эксперт 5 60 60
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 26/424

27. Психология
восприятия риска
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 27/424

28. Даже при наличии фактов и достаточного объема
информации об анализируемой системе у экспертов
существует сложность с восприятием риска
Безопасность основана не только на вероятности
различных рисков и эффективности различных
контрмер (реальность), но и на ощущениях
Ощущения зависят от психологических реакций на
риски и контрмеры
Чего вы больше опасаетесь – попасть в авиакатастрофу или
автоаварию?
Что вероятнее – пасть жертвой террористов или погибнуть на
дороге?
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 28/424

29. Реальность безопасности ≠ ощущения безопасности
Система может быть безопасной, даже если мы не
чувствуем и не понимаем этого
Мы можем думать, что система в безопасности, когда это не
так
Психология восприятия риска безопасности
Поведенческая экономика
Психология принятия решений
Психология риска
Неврология
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 29/424

30. Число погибших в Число жертв автоаварий в
авиакатастрофах в России – около 100
России в 2008 году – 139 человек ежедневно (!)
человек 1,2 млн. жертв в год, 20-50
1980 – 1989 гг. – в СССР 2624 млн. получают травмы
жертвы авиакатастроф
Трагедия 11 сентября в От отравления пищей в
США унесла жизни 2973 США ежегодно умирают
человек 5000 человек
Ощущение
Реальность
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 30/424

31. Мы преувеличиваем одни риски и преуменьшаем
другие
Наше восприятие риска чаще всего «хромает» в пяти
направлениях
Степень серьезности риска
Вероятность риска
Объем затрат
Эффективность контрмер
Возможность адекватного сопоставления рисков и затрат
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 31/424

32. Производят глубокое впечатление Не привлекают внимание
Случаются редко Являются обычными
Персонифицированы Анонимны
Неподконтрольны или навязаны Контролируются в большей
извне степени или принимаются
добровольно
Обсуждаются Не обсуждаются
Преднамеренные или Естественные
спровоцированные человеком
Угрожают непосредственно Угрожают в будущем, или границы
которых размыты
Внезапны Развиваются медленно, со
временем
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 32/424

33. Угрожают человеку лично Угрожают другим
Новые и незнакомые Знакомые
Неопределенные Понятные
Угрожающие их детям Угрожающие им самим
Оскорбительные с моральной Желательные с моральной точки
точки зрения зрения
Полностью лишенные выгод Связанные с дополнительными
выгодами
Выходят за рамки обычной Характерны для обычной ситуации
ситуации
Недоверенные источники Доверенные источники
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 33/424

34. Мобильные вирусы В моем антивирусе для
«Операторы сотовой связи смартфона всего 1000
готовятся к эпидемиями записей и ни одного
вирусов для мобильных предупреждения за 2 (!)
телефонов» года
«Мобильный апокалипсис
лишь вопрос времени»
Западные производители Отечественный
ПО специально вставляют разработчик несет
закладки, чтобы украсть большую угрозу
вашу информацию он пока не дорожит
репутацией
Более опасный
риски Реальность
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 34/424

35. В человеческом мозгу 2
системы отвечают за
анализ рисков
Примитивная интуитивная –
работает быстро
Продвинутая аналитическая –
принимает решения
медленно
Продвинутая система
появилась только у высших
приматов – еще не
отшлифована
Обе системы работают
одновременно и конфликтуют
между собой
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 35/424

36. Человек не анализирует
риски безопасности с
точки зрения математики
Мы не анализируем
вероятности событий
Люди не могут
анализировать каждое
свое решение
Это попросту невозможно
Человек использует
готовые рецепты, общие
установки, стереотипы,
предпочтения и привычки
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 36/424

37. «Предубеждение оптимизма» -
мы считаем, что «с нами это не
случится», даже если это
случилось с другими
Несмотря на эпидемии и атаки
других компаний, сами мы считаем,
что нас это никак не коснется – мы
игнорируем или преуменьшаем
риски сетевой безопасности
Человеческий мозг не умеет
работать с большими числами
1 шанс из 2-х против 1 шанса из 8-ми
гораздо понятнее, чем 1 шанс из
10000 против 1 шанса из 100000
Threat Modeling
1 шанс из 10000 = «почти никогда»
© 2008 Cisco Systems, Inc. All rights reserved. 37/424

38. «Эвристика доступности» –
события, которые легче
вспоминаются, имеют
больший риск
Или произошли недавно
Или имели более серьезные
последствия (для эксперта)
Или преподносятся ярко
Люди склонны игнорировать
действительные вероятности
в случаях, когда ситуация
эмоционально окрашена
Терроризм, авиакатастрофы
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 38/424

39. Риски, имевшие место когда-
либо в жизни эксперта, имеют
больший вес, чем те, с
которыми он никогда не
встречался
Мы будем бороться с атаками, уже
произошедшими в прошлом,
игнорируя будущие угрозы
Чем более выдающимся
кажется событие, тем выше
вероятность, что оно покажется
случайным
СМИ и вендоры часто вредят
адекватности восприятия эксперта
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 39/424

40. Моделирование
угроз на разных
этапах жизненного
цикла
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 40/424

41. Чем позже осуществляется моделирование угроз, тем
дороже обходится борьба с ними
Дизайн и Внедрение Тесты
архитектура • 5Х интеграции
• 1Х • 10Х
Боевой Бета-
запуск тестирование
• 30Х • 15Х
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 41/424

42. Стратегии анализа
рисков
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 42/424

43. Источник: ГОСТ Р ИСО/МЭК ТО 13335-3-2007
(ISOIEC TR 13335-3-1998)
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 43/424

44. Принятие усредненного значения риска для всех
систем
Выбор стандартных средств защиты (ISO/IEC TR
13335-4 или ISOIEC 27002)
Сложно применим в организациях с системами
разного уровня критичности, разными видами
конфиденциальной информации
Достоинства Недостатки
• Минимум ресурсов • Завышение или
• Унификация занижение уровня
защитных мер риска
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 44/424

45. Проведение анализа, основанного на практическом
опыте конкретного эксперта
Достоинства Недостатки
• Не требует значительных • Увеличивается
средств и времени вероятность пропуска
важных деталей
• Трудности при
обосновании защитных
мер
• Возможна низкая
квалификация эксперта
• Зависимость от
субъективности или
увольнения эксперта
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 45/424

46. Детальная идентификация и оценка активов, оценка
угроз, оценка уровня уязвимости активов и т.д.
Достоинства Недостатки
• Адекватный выбор • Значительные
защитных мер финансовые,
временные и
людские ресурсы
• Вероятность
опоздать с выбором
защитных мер из-за
глубокого анализа
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 46/424

47. Предварительный анализ высокого уровня для всех
систем с последующей детализацией для наиболее
критичных для бизнеса систем и использованием
базового подхода для менее критичных систем
Достоинства Недостатки
• Быстрая оперативная • Потенциальная
оценка систем с ошибочность отнесения
последующим выбором систем к некритичным
адекватного метода для бизнеса
анализа рисков
• Оптимизация и
эффективность
использования ресурсов
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 47/424

48. Процесс
моделирования
угроз
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 48/424

49. Существует различные
описанные процессы
моделирования угроз
Более детально
рассмотрим ГОСТ Р
51901.1-2002
Источник: Ford Motor Company
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 49/424

50. Определение области
применения
Идентификация опасности и
предварительная оценка
последствий
Оценка величины угрозы
Проверка результатов
анализа
Документальное обоснование
Корректировка результатов
анализа с учетом последних
данных
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 50/424

51. Область применения должна быть определена и
задокументирована
Документы ФСТЭК определяют такое понятие как
«контролируемая зона», но оно уже «области применения»
Этапы определения области применения
Описание оснований для и/или проблем, повлекших
моделирование угроз (анализ риска)
Описание исследуемой системы
Установление источников, содержащих информацию о всех
технических, правовых, человеческих, организационных
факторах, имеющих отношение к системе и проблемам
Описание предположения, ограничивающих анализ
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 51/424

52. В ГОСТ Р ИСО/МЭК ТО 13335-3-2007 вводится
понятие «границы рассмотрения»
Позволяет избежать ненужных операций и повысить качество
анализа рисков
Для конкретной системы необходимо учитывать
ИТ-активы
Персонал (включая субподрядчиков и персонал сторонних
организаций)
Необходимые условия для производственной деятельности
(помещения, банкоматы, CCTV и т.п.)
Бизнес-операции
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 52/424

53. Необходимо идентифицировать опасности
Известные опасности (происходившие ранее) должны быть
четко и точно описаны
Неучтенные ранее опасности должны быть идентифицированы
с помощью формальных методов анализа
Предварительная оценка должна основываться на анализе
последствий и изучении их основных причин
Предварительная оценка позволяет сделать
следующий шаг
Принятие немедленных мер с целью снижения или исключения
опасностей
Прекращение анализа из-за несущественности опасности
Переход к оценке рисков и угроз
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 53/424

54. Анализ последствий используется для оценки
вероятного воздействия, которое вызывается
нежелательным событием
Анализ последствий должен
Основываться на выбранных нежелательных событиях
Описывать любые последствия, являющиеся результатом
нежелательных событий
Учитывать меры, направленные на смягчение последствий,
наряду с условиями, оказывающими влияние на последствия
Устанавливать критерии, используемые для полной
идентификации последствий
Учитывать как немедленные последствия, так и те, которые
могут проявиться по прошествии определенного времени
Учитывать вторичные последствия на смежные системы
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 54/424

55. Для эффективной интерпретации значений риска и
угроз очень важно понимание неопределенностей и
вызывающих их причин
Анализ неопределенностей предусматривает
определение изменений и неточностей в результатах
моделирования, которые являются следствием
отклонения параметров и предположений,
применяемых при построении модели
С анализом неопределенностей тесно связан анализ
чувствительности
Анализ чувствительности подразумевает
определение изменений в реакции модели на
отклонения отдельных параметров модели
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 55/424

56. Проверка анализа позволяет убедиться, что анализ
проведен корректно и ничего не забыто
Для проверки анализа необходимо привлекать людей,
не участвующих в анализе
Проверка анализа включает
Проверка соответствия области применения поставленным
задачам
Проверка всех важных допущений
Подтверждение правильности использованных методов,
моделей и данных
Проверка результатов на повторяемость
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 56/424

57. Нарушитель Мотивация Источник Угрозы
Определение нарушителей, их мотивация и
источников угроз позволяет сузить спектр
возможных угроз, из которых формируется список
актуальных
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 57/424

58. Нарушители
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 58/424

59. ГОСТ Р 52448-2005 «Обеспечение безопасности
сетей электросвязи. Общие положения»
Террористы и террористические организации
Конкурирующие организации и структуры
Спецслужбы иностранных государств и блоков государств
Криминальные структуры
Взломщики программных продуктов ИТ
Бывшие сотрудники организаций связи
Недобросовестные сотрудники и партнеры
Пользователи услугами связи
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 59/424

60. ГОСТ Р 52448-2005 «Обеспечение безопасности
сетей электросвязи. Общие положения»
Месть
Достижение денежной выгоды
Хулиганство и любопытство
Профессиональное самоутверждение
Я бы еще добавил политику и идеологию
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 60/424

61. Источники угроз
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 61/424

62. ГОСТ Р 52448-2005 «Обеспечение безопасности
сетей электросвязи. Общие положения»
Субъект
Материальный объект
Физическое явление
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 62/424

63. РС БР ИББС-2.2-2009 «Обеспечение
информационной безопасности организаций
банковской системы Российской Федерации.
Методика оценки рисков нарушения информационной
безопасности»
Неблагоприятные события природного, техногенного и
социального характера
Террористы и криминальные элементы
Зависимость от поставщиков/провайдеров/партнеров/клиентов
Сбои, отказы, разрушения/повреждения ПО и техсредств
Внутренние нарушители ИБ
Внешние нарушители ИБ
Несоответствие требованиям надзорных и регулирующих
Threat Modeling
органов
© 2008 Cisco Systems, Inc. All rights reserved. 63/424

64. Факторы,
воздействующие
на информацию
Источники или
категории угроз?
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 64/424

65. Природные опасности
Наводнения, землетрясения, ураганы, молнии и т.п.
Технические опасности
Социальные опасности
Войны, вооруженные нападения, диверсии, эпидемии и т.п.
Опасности, связанные с укладом жизни
Злоупотребление наркотиками, алкоголь, сектантство и т.п.
ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ
риска технологических систем»
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 65/424

66. Национальности руководителей отдела ИБ и службы
внутреннего контроля банка – осетин и ингуш
Конфликт
Клиент банка (на Кавказе) – давний друг семьи, к
которой принадлежит руководитель отдела банка
Потенциальная проблема
Руководитель и подчиненный организации (в
Казахстане) из разных кланов (тейпов)
Конфликт
Не каждая служба ИБ рассматривает эти угрозы
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 66/424

67. ГОСТ Р 51275-2006 «Объект информатизации.
Факторы, воздействующие на информацию»
Стандарт устанавливает классификацию и перечень
факторов, воздействующих на безопасность защищаемой
информации, в целях обоснования угроз безопасности
информации и требований по защите информации на
объекте информатизации
Природа Источник
возникновения возникновения
Объективные Субъективные Внутренние Внешние
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 67/424

68. Внутренние
Передача сигналов
Излучение сигналов, функционально присущие тех.средствам
Побочные электромагнитные излучения
Паразитное электромагнитное излучение
Наводка
Наличие акустоэлектрических преобразователей в элементах
тех.средств
Дефекты, сбои и отказы, аварии тех.средств
Дефекты, сбои и отказы ПО
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 68/424

69. Внешние
Явления техногенного характера
Природные явления, стихийные бедствия
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 69/424

70. Внутренние
Разглашение защищаемой информации лицами, имеющими к
ней право доступа
Неправомерные действия со стороны лиц, имеющих право
доступа к защищаемой информации
Несанкционированный доступ к информации
Недостатки организационного обеспечения защиты
информации
Ошибки обслуживающего персонала
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 70/424

71. Внешние
Доступ к защищаемой информации с применением
тех.средств
Несанкционированный доступ к защищаемой информации
Блокирование доступа к защищаемой информации путем
перегрузки тех.средств обработки информации запросами на
ее обработку
Действия криминальных групп и отдельных преступных
субъектов
Искажение, уничтожение или блокирование информации с
применением тех.средств
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 71/424

72. Каталоги угроз
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 72/424

73. ГОСТы 51901 и 51275 позволяют сформировать
высокоуровневый список возможных угроз, который
может быть расширен за счет каталогов угроз
Каталоги угроз
ФСТЭК – «Методика определения актуальных угроз ПДн»
ФСТЭК – «Методика определения актуальных угроз КСИИ»
BSI – Threats Catalogue Force majeur
MAGERIT: Risk Analysis and Management Methodology for
Information Systems
ГОСТ Р ИСО/МЭК ТО 13335-3-2007
Учитывайте, что угрозы постоянно меняются и могут
отсутствовать в используемой версии каталога или
измениться по сравнению с описанными в ней
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 73/424

74. D – угрозы, обусловленные преднамеренными действиями
A – угрозы, обусловленные случайными действиями
E – угрозы, обусловленные естественными причинами
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 74/424

75. Методы анализа
рисков и
определения
опасностей
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 75/424

76. Существует множество различных методов анализа
рисков / угроз
Универсального метода не существует
При выборе метода надо учитывать, что должен быть
Научно обоснованным и соответствовать сложности и природе
анализируемой системы
Давать результаты в форме, обеспечивающей понимание
природы риска/угрозы и способов его контроля
Типовым и обладать свойствами, обеспечивающими
возможность прослеживаемости, повторяемости и
контролируемости
В документации необходимо представить
обоснование выбранного метода анализа /
Threat Modeling
моделирования
© 2008 Cisco Systems, Inc. All rights reserved. 76/424

77. Метод анализа риска и
угроз выбирается
исходя из
приемлемости целого
ряда факторов
Например, на ранней
стадии развития
системы могут
использоваться менее
детализированные
методы
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 77/424

78. Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 78/424

79. Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 79/424

80. Не стоит опираться только на один метод анализа
рисков / угроз – лучше их комбинировать
Важно помнить, что существенным фактором во
многих инцидентах является человеческий фактор и
организационные ошибки
Нельзя ограничиваться только технической стороной
анализируемой системы
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 80/424

81. Процесс
моделирования
угроз
(продолжение)
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 81/424

82. На практике идентификация опасностей может
приводить к очень большому числу сценариев
потенциальных инцидентов
Детальный количественный анализ частот и последствий в
таком случае не всегда возможен и осуществим
Необходимо качественно ранжировать сценарии,
поместив их в матрицы риска
Детальный количественный анализ осуществляется для
сценариев с более высокими уровнями рисков
Не существует универсальной формы и содержания
матрицы риска
Классификация частот и серьезности последствий (как и
количество их категорий) могут меняться в зависимости от
ситуации
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 82/424

83. : Источник: ГОСТ Р 51901.1-2002
• В – высокая величина риска
• С – средняя величина риска
• М – малая величина риска
• Н – незначительная величина риска
:
• Катастрофическое – практически полная потеря анализируемого объекта
• Значительное – крупный ущерб системе
• Серьезное – серьезный ущерб системе
• Незначительное – незначительное повреждение системы
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 83/424

84. Вероятность
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 84/424

85. Собственная Чужая
Считаем
самостоятельно
(экспертная
оценка) Используем готовую
статистику
Базовый Детальный
расчет расчет
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 85/424

86. У нас же есть отчеты CSI/FBI, E&Y, PwC, KPMG, МВД,
Infowatch, Perimetrix и т.п.!
Мы не знаем условий, при которых произошел инцидент
Мы не имеем деталей по каждому респонденту
Средняя температура по больнице
Пример: риски для АСУ ТП
Небольшое число внедрений
Публичной статистики нет (базы BCIT и INL не в счет)
Статистики вендоров нет – «закрытые» технологии
Собственной статистики нет – у ИБ/ИТ не доступа к АСУ ТП
Экспертных оценок в России нет
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 86/424

87. Собираемая статистика очень сильно зависит от
используемых методов опроса, аудитории, желания
респондентов делиться информацией, масштаба
опроса и даже от того, с какой ноги встал интервьюер
Не каждая компания приглашает социологов для
осуществления опросов
Proofpoint Infowatch IDC
• 43% утечек • 5% утечек • 56% утечек
через e- через e- через e-
mail mail mail
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 87/424

88. При отсутствии статистической/исторической
информации экспертная оценка является
единственным методов определения
частоты/вероятности реализации угроз
Эксперты ранжируют вероятность наступления
события исходя из своего опыта и знаний
анализируемой системы
Экспертная оценка является дополняет статистику и
зачастую подтверждает ее
Желательно использовать комбинацию всех методов
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 88/424

89. Сила
защитной
меры
Уязвимость
Возможности
нарушителя
Вероятность
Наличие
доступа
Угроза
Действие
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 89/424

90. Профиль (модель) нарушителя
Мотив (причина)
Цель
«Спонсор» (кто помогает ресурсами?)
Потенциальные возможности
Озабоченность косвенным ущербом
Приемлемый уровень риска
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 90/424

91. ГОСТ Р ИСО/МЭК 18045 «Методы и средства
обеспечения безопасности. Методология оценки
безопасности информационных технологий»
определяет в Приложении А (А.8.1) потенциал
нападения, зависящий от
Мотивации нарушителя
Компетентности нарушителя
Ресурсов нарушителя
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 91/424

92. 2 аспекта - идентификация и использование
Время, затрачиваемое на идентификацию уязвимости
Техническая компетентность специалиста
Знание проекта и функционирования атакуемой системы
Доступ к атакуемой системе
Аппаратное обеспечение/ПО или другое оборудование,
требуемое для анализа
Эти факторы не всегда независимы друг от друга и
могут время от времени заменять друг друга
Компетентность время, доступные ресурсы время
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 92/424

93. Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 93/424

94. Складываются 10 значений из предыдущей таблицы
Таблица – не догма, а руководство к действию
Если значение близко к границе, подумайте об усреднении
двух значений
ОО – объект оценки, СФБ – стойкость функции безопасности
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 94/424

95. Сравнение/сопоставление с аналогичным риском
ГОСТ Р 51344-99
Сравнение с риском на аналогичном решении с
учетом следующих факторов
Аналогичное оборудование безопасности
Предполагаемое использование и технологии на обоих
решениях сравнимы
Опасность и элементы риска сравнимы
Технические условия сравнимы
Условия использования сравнимы
Необходимо учитывать дополнительные факторы
Например, тип защищаемой информации или потенциал
нападения
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 95/424

96. Прогнозирование с использованием аналитических
методов
«Дерево неисправностей» (Fault Tree Analysis) – диаграмма
всех возможных последствий инцидента в системе (МЭК
61025)
«Дерево событий» (Event Tree Analysis) - диаграмма всех
возможных последствий данного события
Имитационное моделирование отказов/инцидентов
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 96/424

97. Вероятность принимается равной единице, если
угроза может быть осуществлена, и нулю – если нет
При отсутствии защитных мер
Этот подход имеет право на жизнь, но только для
небольшого количества систем и сценариев
В обычной жизни это слишком дорого
или для угроз, которые являются очень
распространенными
Данный метод применяется в неьольшом количестве
различных методик
Ключевые системы информационной инфраструктуры – ФСТЭК
Security Architecture for Enterprise (SAFE) – Cisco
Методика ФСБ по персданным
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 97/424

98. Существуют различные градации частот / вероятности
опасностей / угроз
Девять уровней – ГОСТ 13569
Шесть уровней – ГОСТ Р 51901.1-2002
Четыре уровня – «Методика определения актуальных угроз
ПДн»
Три уровня – ГОСТ Р 52448-2005
И т.п.
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 98/424

99. Последствия
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 99/424

100. ГОСТ Р ИСО/МЭК ТО 13335-4-2007 «Методы и
средства обеспечения безопасности. Выбор защитных
мер» выделает 6 свойств информации, для которых
описываются последствия
Конфиденциальность
Целостность
Доступность
Подотчетность
Аутентичность
Достоверность
Такая классификация позволяет систематизировать
последствия
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 100/424

101. Потеря общественного доверия
Снижение имиджа
Ответственность перед законом
Отрицательное влияние на политику организации
Создание угрозы безопасности персонала
Финансовые потери
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 101/424

102. Принятие неправильных решений
Обман
Прерывание коммерческих операций
Потеря общественного доверия
Снижение имиджа
Финансовые потери
Ответственность перед законом
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 102/424

103. Оценка потерь
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 103/424

104. Анализ риска не может быть осуществлен без оценки
потерь
Потеря в природе риска. Без потерь рисков не бывает
Оценка риска не имеет смысла, если мы не можем
определить ценность актива, подверженного рискам
Особенности оценки потерь
Точная оценка невозможна по своей природе. Многие ее и не
ждут, столкнувшись с потерями при инвестиционных,
рыночных рисках
Worst-case (самый худший случай) не имеет отношения к
анализу рисков, т.к. исчезает элемент вероятности
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 104/424

105. Информационный актив может иметь разную
ценность
В разное время, для разных аудиторий, в разных бизнес-
процессах
Потери могут принимать разные формы
Одно событие может быть причиной нескольких форм
потерь
Сложные взаимосвязи между разными формами
потерь
Объем потерь определяется множеством факторов
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 105/424

106. Ценность Стакан воды
стакана воды в пустыне
в городских бесценнен
условиях
Воды
равна нулю
практически
Вода есть нет
везде
Цена стакана воды одинакова в обоих условиях
(в худшем случае ценность = цене)
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 106/424

107. Ценность
потери Ценность
приобретения
Потери
Прямые – потеря доходов, штрафы за нарушение
договорных обязательств, штрафы надзорных органов, иски
Косвенные – упущенная выгода, потеря доли рынка,
снижение лояльности заказчиков/партнеров, репутация
Приобретение
Ускорение сделок, снижение времени вывода продукта на
рынок, рост продуктивности, рост числа клиентов и т.д.
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 107/424

108. • Простои
Продуктивность • Ухудшение психологического климата
• Расследование инцидента
Реагирование • PR-активность
• Замена оборудования
Замена • Повторный ввод информации
• Судебные издержки, досудебное урегулирование
Штрафы • Приостановление деятельности
• Ноу-хау, государственная, коммерческая тайна
Конкуренты • Отток клиентов, обгон со стороны конкурента
• Гудвил
Репутация • Снижение капитализации, курса акций
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 108/424

109. Цена «сбоя» складывается из множества параметров
Восстановление утерянной информации
«Процедурные» затраты
Стоимость времени восстановления
Взаимодействие с пострадавшими стейкхолдерами
Резервирование автоматизации ключевых процессов ручными
операциями
Снижение качества обслуживания
Извлечение уроков и т.п.
Необходимо учитывать динамику потерь
Ущерб может наступить мгновенно или спустя недели
Активность бизнес-процессов может зависеть от
квартала/сезона ущерб зависит от этого же
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 109/424

110. Степень влияния и составляющие цены «сбоя»
меняется с течением времени
RPO – Recovery Point Objectives, RTO – Recovery Time Objectives, MAD – Maximum Allowable Downtime
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 110/424

111. Активы бывают материальные и нематериальные
Материальные активы оцениваются обычно на
основе стоимости их замены или восстановления
Аналогичным образом часто оценивается и
программное обеспечение
Ценность информации и иных нематериальных
активов определяется либо экспертным способом
(метод Дельфи) или с помощью специальных
методик
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 111/424

112. Стоимость обмена Вероятная цена продажи, когда условия
обмена известны обеим сторонам и сделка
считается взаимовыгодной
Обоснованная рыночная Наиболее вероятная цена, по которой
стоимость объект оценки переходит из рук одного
продавца в руки другого на открытом рынке
и добровольно
Стоимость Стоимость объекта оценки в представлении
использования конкретного пользователя и с учетом его
ограничений
Ликвидационная Стоимость объекта оценки при вынужденной
стоимость продаже, банкротстве
Стоимость замещения Наименьшая стоимость эквивалентного
объекта оценки
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 112/424

113. У каждого метода есть своя область применения,
свои достоинства и недостатки
Рыночный Затратный Доходный
• Метод сравнения • Метод стоимости • Метод расчета
продаж замещения роялти
аналогичных • Метод • Метод исключения
объектов оценки восстановительной ставки роялти
стоимости • Метод DCF
• Метод исходных • Метод прямой
затрат капитализации
• Экспресс-оценка
• Метод избыточной
прибыли
• Метод по правилу
25%
• Экспертные методы
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 113/424

114. МСФО 38 «Нематериальные активы»
GAAP – для США
EVS 2000 – для Евросоюза
Стандарты оценки РФ
Утверждены ПП-519 от 6.07.2001
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 114/424

115. Методики
моделирования
угроз
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 115/424

116. AS/NZS 4360 ISO 31000
HB 167:200X NIST SP 800-3
EBIOS SOMAP
ISO 27005 (ISO/IEC IS Lanifex Risk Compass
13335-2)
Austrian IT Security
MAGERIT Handbook
MARION A&K Analysis
MEHARI ISF IRAM (включая
SARA, SPRINT)
CRISAM
OSSTMM RAV
OCTAVE
BSI 100-3
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 116/424

117. Trike
IT-Grundschutz Methodology от BSI (Германия)
AS/NZS 4360:2004 (Австралия)
MAGERIT: Risk Analysis and Management Methodology
for Information Systems (Испания)
EBIOS - Expression of Needs and Identification of
Security Objectives (Франция)
MEHARI (Франция)
OCTAVE
FRAP
NIST 800-30 (США)
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 117/424

118. MG-2, MG-3 (Канада)
SOMAP
IRAM
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 118/424

119. ISOIEC TR 13569
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 119/424

120. 5 зон уязвимостей
Персонал
Помещения и оборудование
Приложения
Системы связи
Программные средства и операционные системы
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 120/424

121. Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 121/424

122. Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 122/424

123. Оценка осуществляется с учетом наличия мер защиты
Наличие мер защиты обычно снижает вероятность события, но
не ущерб от него. Если мера направлена на снижение ущерба,
то обычно она не влияет на вероятность
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 123/424

124. ГОСТ Р 51344-99
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 124/424

125. «Безопасность машин. Принципы оценки и
распределения риска»
Является руководством для принятия решений при
конструировании машин
Но изложенные в нем подходы могут быть использованы и в
других областях безопасности
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 125/424