Журнал "Information Security/ Информационная безопасность" #4, 2023

Согласно Правилам категорирования (утв. постановлением Правительства РФ № 127) анализ угроз в определен- ном объеме проводится уже на этапе категорирования. Формирование моде- лей угроз должно выполняться при разработке мер по обеспечению без- опасности значимых ОКИИ по требо- ваниям, установленным приказами ФСТЭК России № 239 и № 235. С точки зрения практической значи- мости анализ угроз на стадии созда- ния ОКИИ позволяет еще на началь- ном этапе избежать архитектурных уязвимостей и адаптировать состав предъявляемых требований безопас- ности. На стадии эксплуатации ОКИИ ана- лиз позволяет принимать оперативные решения по модернизации системы безопасности для эффективной защи- ты от изменяющихся угроз. Оценка угроз осуществляется по методике, утвержденной ФСТЭК Рос- сии в 2021 г. Установленный процесс оценки на практике достаточно сложно и трудоемко выполнить буквально. Методика не является пошаговой инструкцией, описывая перечень основных этапов и операций модели- рования без подробной детализации. Способы выполнения операций отдаются на откуп экспертам. При этом определенные подходы позво- ляют оптимизировать выполнение ана- лиза на отдельных этапах, получив результат, который будет иметь прак- тическую ценность. Рассмотрим неко- торые этапы более детально. Определение негативных последствий Анализ начинается с определения негативных последствий, к которым может привести реализация угроз. С точки зрения формального выполне- ния достаточно определить их на уста- новленном в методике уровне детали- зации ("угроза жизни и здоровью", "нару- шение законодательства" и др.), но такой упрощенный подход непрактичен. В методике прослеживается риск-ори- ентированный подход: последствия определяются с учетом результатов оценки рисков. То есть оценка отдается на откуп субъекту КИИ: если отдельные события, по оценке экспертов органи- зации, не несут негативных последствий, то соответствующие угрозы могут исключаться. Важно, чтобы оценка про- водилась не только специалистами по безопасности, но к ней привлекались и профильные подразделения, обла- дающие более полной информацией о возможных рисках. Кроме того, целе- сообразно использовать уже существую- щие материалы по комплексной без- опасности (например, декларации про- мышленной безопасности, оценку опе- рационных рисков). Уже на текущем этапе необходимо детально подойти к анализу, что позво- лит исключить отдельные угрозы, кото- рые не приводят к негативным послед- ствиям, и снизить объем различных ком- бинаций для оценки во время дальней- ших действий. Если последствия связаны с ущербом физическим лицам или государству, то риск-ориентированный подход малопри- меним. Но на практике для большинства систем характерен только ущерб для самой организации, поэтому при оценке есть больше возможностей для маневра. Формирование перечня групп риска По результатам инвентаризации систем и сетей и определения возмож- ных объектов воздействия угроз фор- мируется перечень групп информацион- ных ресурсов и компонентов, которые могут являться объектами воздействия со стороны нарушителя. Отсутствие отдельных типов объектов позволяет исключить соответствующие угрозы из анализа (из характерных примеров: грид-системы, технологии больших дан- ных и др.). Определение источников угроз и оценка возможностей нарушителей Определение источников угроз и оцен- ка возможностей нарушителей осу- ществляются в связке с возможными негативными последствиями. Соответ- ствие последствий целям нарушителей определяется экспертами, и норматив- ных требований, обязывающих считать того или иного нарушителя актуальным, нет. Как правило, для многих систем часть нарушителей может быть исклю- чена, поскольку атаки на эти системы не приведут к реализации определенных для них целей, что опять же позволяет снизить количество рассматриваемых далее угроз (например, для систем, атаки на которые не приведут к ущербу государству, целесообразно признать неактуальными угрозы со стороны спец- служб). Способы реализации угроз При оценке способов реализации угроз часть из них могут быть исключены с учетом определенных ранее наруши- телей и особенностей ОКИИ, например использование недекларированных воз- можностей ПО или установка закладок, характерных только для нарушителей с высоким потенциалом. Исключение угроз из разряда актуальных и возможных В ходе оценки возможности реализа- ции угроз и определения их актуально- сти из общего перечня исключаются те, которые не являются актуальными, с учетом результатов анализа на пре- 4 • В ФОКУСЕ Подходы и проблематика моделирования угроз для объектов КИИ еобходимость анализа угроз для ОКИИ обусловлена как требованиями законодательства, так и практической значимостью для построения системы безопасности. Н Александр Пуха, начальник отдела аудита и консалтинга АМТ-ГРУП