Любой современный бизнес сталкивается с киберугрозами, которые не так очевидны, как финансовые угрозы и угрозы физической безопасности бизнеса, но потенциально могут нанести гораздо больший вред.
Столкнувшись с инцидентами информационной безопасности или требованиями регуляторов, первый вопрос, который встает перед любой компанией: «На чём основываться при создании системы защиты информации?». И тут на помощь приходит процедура моделирования угроз, которая позволяет определить актуальные угрозы безопасности, от которых и необходимо защищать бизнес.
Без моделирования угроз либо будет построена избыточная система защиты, защищающая в том числе от угроз, которых нет. Либо неэффективная система защиты, не охватывающая все актуальные угрозы.
Что такое модель угроз и кому необходимо ее разрабатывать
Модель угроз является фундаментом для создания системы защиты информации. При создании любой системы защиты в первую очередь нужно ответить на следующие вопросы:
- Что защищаем?
- От чего защищаем?
- Какой ущерб может быть нанесен?
Первый и третий вопрос относится к оценке рисков. Оценка и анализ рисков позволит определить все активы в компании, которые необходимо защитить, определить их стоимость, критичность и какой ущерб может быть нанесён этим активам.
Шмид А.В. Цифровая экономика: экспертные системы как инструмент обеспечения безопасности бизнеса
Как результат оценки рисков будет понимание, сколько обосновано компания может потратить на создание системы защиты информации. Так как информационная безопасность — это почти неосязаемая сфера, пока не случится инцидент, крайне важно руководству иметь какие-то ориентиры для определения объёма финансирования этой составляющей.
Но если смотреть с точки зрения построения системы защиты, даже при отчетливо понятных границах бюджета всё равно остаётся вопрос: «А от чего защищать?». И ответ на этот вопрос предоставляет модель угроз. Она позволяет понять, какие угрозы для компании актуальны, а какие нет, и что даёт возможность построить действительно эффективную систему защиты.
Моделирование угроз является обязательным для компаний, которые создают систему защиты в соответствии с требованиями регуляторов. То есть если у вас обрабатываются персональные данные или есть государственная информационная система либо даже критическая информационная инфраструктура, то вам это точно нужно. В остальных случаях — не обязательно. Но чем вы будете руководствоваться при выборе мер защиты? Можно, конечно, придерживаться лучших практик, но где гарантия, что созданная вами система будет не избыточно и при этом достаточна.
О том, как разработать модель угроз и на что обратить внимание, мы писали в статье.
Что нового в моделировании угроз
5 февраля 2021 года вышла новая методика ФСТЭК России по определению актуальных угроз. В этой методике нет ни одной формулы, она вся основывается на экспертном подходе и сочетает в себе определение актуальных угроз с риск ориентированным подходом. Это весьма современный документ, который учитывает в том числе вариант размещения защищаемых систем в облаках.
Вебинар «Создание модели службы экономической безопасности»
С 2015 года существует ресурс bdu.fstec.ru, который крайне полезен при моделировании угроз, а для некоторых типов систем даже обязателен.
Чего пока нет, так это новых базовых моделей угроз. Есть базовая модель угроз КСИИ от 2007 года (которая, в дальнейшем заменила документы по КИИ, кроме как раз базовой модели угроз) и базовая модель угроз персональных данных от 2008 года.
Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры (утв. ФСТЭК России 18.05.2007) имеет гриф ДСП (для служебного пользования и не распространяется свободно).
Основные сложности при моделировании угроз
Самое сложное при моделировании угроз по новой методике — это разработка реалистичных сценариев. В методике приводятся только графические примеры таких сценариев. Но что, если актуальных угроз, например, штук 10, и на каждую есть по 10 разных сценариев. Трудоёмкость рисования этих сценариев становится крайне высока.
В конце данной статьи приводится более простой способ составления сценариев реализации угроз в табличном виде.
Кроме того, не имея опыта попытки эксплуатации уязвимостей как можно определить, реалистичный сценарий или нет. В идеале в команде экспертов должен быть пентестер, который точно может на основе своего опыта сказать, будет сценарий реалистичным или нет.
Используемые методики, иные документы и ресурсы
Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры, утвержденная ФСТЭК России 18 мая 2007 г.
Отраслевые базовые модели угроз.
Сайт Банка данных угроз ФСТЭК России.
Разработать модель угроз
Основные этапы моделирования угроз
В соответствии с новой методикой определение актуальных угроз проводится в три этапа:
Этап 1. Определение негативных последствий
Это как раз интеграция риск ориентированного подхода в процесс моделирования угроз. Но есть отличия. В риск ориентированном подходе сначала определяются активы, которым может быть нанесён ущерб, а уже потом определяются негативные последствия для этих активов.
В данном же случае негативные последствия определяются в отношении физических, юридических лиц и государства. То есть суммарный риск по всем активам.
Этап 2. Определение возможных объектов воздействия угроз безопасности информации
На данном этапе определяются конкретные активы, которым может быть нанесён вред. Начиная с информации, циркулирующей в информационной системе, заканчивая ПО и машинными носителями.
Этап 3. Оценка возможности реализации (возникновения) угроз безопасности информации и определение их актуальности.
Определяются источники угроз безопасности. В новой методике рассматриваются только антропогенные источники, иначе говоря, злоумышленники. Техногенные и природные факторы в расчёт не берутся. Как результат, должен быть определен список актуальных нарушителей.
Актуальные нарушители бывают как внешние, так и внутренние. Кроме того, они обладают разным потенциалом воздействия. Например, администратор будет иметь гораздо больше возможностей по взлому и нанесению негативных последствий, чем рядовой пользователь. Так же возможности спецслужб и опытных хакерских групп гораздо выше, чем возможности хакеров одиночек.
В новой методике определены четыре уровня возможностей нарушителей:
- базовые возможности по реализации угроз безопасности информации (Н1);
- базовые повышенные возможности по реализации угроз безопасности информации (Н2);
- средние возможности по реализации угроз безопасности информации (Н3);
- высокие возможности по реализации угроз безопасности информации (Н4).
Здесь есть отличия от того, как возможности классифицируются в Банке данных угроз (БДУ) ФСТЭК России, которые делятся на:
- нарушитель с низким потенциалом;
- нарушитель со средним потенциалом;
- нарушитель с высоким потенциалом.
Возможно, в БДУ приведут классификацию нарушителей к формату новой методики. Но на данный момент принято считать, что нарушителям с базовыми, повышенными и средними возможностями соответствуют нарушителям со средним потенциалом.
Оценка актуальности угроз безопасности информации
Угроза является актуальной, если от реализации угрозы может быть нанесён ущерб, есть актуальный нарушитель и сценарий реализации угрозы.
В качестве исходных данных используются данные, собранные и систематизированные на предыдущих этапах. Явным образом не рассматривается мотивация нарушителя, но понятно, что немотивированного нарушителя вы при моделировании угроз навряд ли отнесете к актуальным.
Самое сложное — это определение сценариев реализации угроз.
В методике приведены примеры таких сценариев, например:
101352 (Основные модели обеспечения безопасности предприятий на макроуровне), страница 2
Документ из архива «Основные модели обеспечения безопасности предприятий на макроуровне», который расположен в категории » «. Всё это находится в предмете «менеджмент» из , которые можно найти в файловом архиве . Не смотря на прямую связь этого архива с , его также можно найти и в других разделах. Архив можно найти в разделе «рефераты, доклады и презентации», в предмете «менеджмент» в общих файлах.
Онлайн просмотр документа «101352»
Текст 2 страницы из документа «101352»
- недопущение незаконного использования бюджетных средств и государственных ресурсов, их перехода в теневую экономику;
- контроль над экспортно-импортною деятельностью, направленной на поддержку важных для Украины приоритетов и защита отечественного производителя;
- борьба с противоправною экономической деятельностью, противодействие неконтролированному оттоку национальных материальных, финансовых, интеллектуальных, информационных и др. ресурсов.
Существует огромное количество законов и подзаконных актов, регулирующих отдельные аспекты безопасности (информационные, хозяйственные, корпоративные и др.).
На уровне предприятий — основной локально-правовой документ, регулирующий вопросы безопасности является устав предприятия.
- Гусев В.С., Демин В.А., Кузин Б.І. и др. Экономика и организация безопасности хозяйствующих субъектов, 2-е изд. – СПб.: Питер, 2008. – 288 с.
- Одинцов А.А. Экономическая и информационная безопасность предпринимательства: учеб.пособие для вузов. – М.:академия, 2008. – 336 с.
- Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб. Пособие для вузов . –М.: Горячая линия –Телеком, 2004 . – 280с.
- Курочкин А.С. Управление предприятием: Уч.пособие. – Киев, 2009.
- Амитан В.Н. Экономическая безопасность: концепция и основные модели // Економічна кібернетика. — 2009. – №3-4. – С.13-20.
Источник: studizba.com
2.3 Разработка системы обеспечения экономической безопасности предприятия
Экономическая безопасность предприятия, его независимость и недопущение скатывания в зону критического риска могут быть обеспечены, если будут определены важнейшие стратегические направления обеспечения безопасности бизнеса, построена четкая логическая схема своевременного обнаружения и ликвидации возможных опасностей и угроз, уменьшения последствий хозяйственного риска. Для создания надежной системы безопасности предприятия необходимо провести комплекс подготовительных мероприятий. От этой работы во многом зависит то, какие решения будут приняты в этой области, каким образом будут сформированы органы безопасности, какие будут выделены финансовые, материальные и людские ресурсы, а, в конечном счете – эффективность обеспечения безопасности бизнеса. Прежде чем принимать решения, разрабатывать концепцию, составлять систему планов и т.д., необходимо объективно оценить ситуацию, в которой находится предприятие. [16, c.143].
Прежде всего необходимо изучить окружающую среду на макро- и региональном уровнях, а также на уровне партнеров и конкурентов. Состояние окружающей среды может или создать благоприятную ситуацию для безопасности бизнеса, или, наоборот, постоянно инициировать возникновение труднопрогнозируемых опасностей и угроз. При оценке окружающей среды должны учитываться многие моменты. Это политическая и социально-экономическая ситуации в стране и регионе, предсказуемость поведения властных структур и направления проводимой ими политики, состояние правовой базы, наличие материально-сырьевых, энергетических и трудовых ресурсов, криминогенная ситуация, состояние рыночной среды: наличие необходимых ресурсов, рынков сбыта, приемлемого уровня цен, конкурентоспособности продукции, возможностей по установлению деловых контактов, наличия реальных и потенциальных конкурентов, состояние инфраструктуры рынка и многие другие. [27, c.72].
Особое внимание должно уделяться изучению партнеров по деловым связям, их платежеспособности, деловому реноме. Опыт свидетельствует, что в условиях формирующейся рыночной экономики в случаях установления деловых связей с недобросовестными контрагентами из-за нарушения ими договорных обязательств предприятию может быть нанесен значительный экономический ущерб. Серьезное внимание также должно быть уделено конкурентам, так как в случае применения ими методов недобросовестной конкуренции для предприятия могут возникнуть серьезные опасности и угрозы с тяжелыми экономическими последствиями.
На подготовительном этапе изучается не только окружающая среда, но и состояние самого предприятия. Причем чем полнее и подробнее будет информация, тем больше возможностей для объективно обоснованного управленческого решения по созданию надежной системы безопасности. С этой целью необходимо оценить состояние обеспечения предприятия различного рода ресурсами, степень защищенности объектов безопасности, надежность кадрового потенциала и прежде всего тех, кто имеет доступ к коммерческой тайне и принимает ответственные рисковые управленческие решения; состояние финансовой, информационной, кадровой, технико-технологической, экологической, интеллектуальной, политико-правовой и силовой составляющих экономической безопасности; возможности предприятия по созданию, содержанию и оснащению собственной службы безопасности и т.д. [20, c.36].
На основе полученной обширной информации разрабатывается концепция экономической безопасности предприятия. Концепция экономической безопасности предприятия представляет собой систему взглядов, идей, целевых установок, пронизанных единым замыслом, на проблему безопасности основных объектов безопасности предприятия, а также систему мер, путей, направлений достижения поставленных целей и создания благоприятных условий для достижения целей бизнеса в условиях неопределенности, а также существования внутренних и внешних угроз.
Концепция – это не какая-то подробная программа или план обеспечения безопасности, а принципиальная позиция, замысел, система взглядов, требований и условий организации мер безопасности на различных этапах и уровнях производственной деятельности, логическая схема (программа) функционирования системы безопасности предприятия. [18, c.62].
Концепция безопасности предприятия – это официально утвержденный документ. Концепция экономической безопасности предприятия может включать следующие блоки.
1. Описание проблемной ситуации в области безопасности предприятия:
а) определение состояния окружающей среды;
б) анализ состояния предприятия, его ресурсного потенциала, степени защищенности объектов безопасности, надежности кадрового потенциала, состояния его функциональных составляющих: финансовой, кадровой и интеллектуальной, правовой, информационной, технико-технологической, экологической, силовой и т.д.;
в) выявление потенциальных и реальных опасностей и угроз, их ранжирование по степени значимости или опасности по времени наступления или величине возможно нанесенного ущерба;
г) определение причин и факторов зарождения опасностей и угроз;
д) прогнозирование возможных негативных последствий отдельных опасностей и угроз, расчет возможного ущерба;
е) формулировка проблемной ситуации. [28, c.87].
2. Определение целевой установки обеспечения безопасности:
а) формулирование политики и стратегии безопасности;
б) определение цели безопасности;
в) постановка задач, способствующих достижению цели и реализации сформулированной политики и выбранного типа стратегии.
3. Построение системы экономической безопасности предприятия:
а) формулирование функций системы безопасности предприятия и выбор тех принципов, на которых она строится;
б) определение объектов безопасности и анализ состояния их защищенности;
в) создание органов (субъектов) обеспечения безопасности;
г) разработка механизмов обеспечения безопасности;
д) создание организационной структуры управления системой безопасности предприятия.
4. Разработка методологического инструментария оценки состояния экономической безопасности предприятия:
а) определение основополагающих критериев и показателей состояния экономической безопасности;
б) выбор методов оценки состояния экономической безопасности предприятия;
в) формирование системы методов анализа хозяйственного риска.
5. Расчет сил и средств, необходимых для обеспечения безопасности:
а) расчет необходимого количества материально-технических, энергетических и других ресурсов, средств защиты и охраны объектов безопасности;
в) определение финансовых затрат, необходимых для обеспечения безопасности предприятия;
г) сопоставление необходимых затрат с возможным ущербом от воздействия опасностей и угроз.
6. Разработка мер по реализации основных положений концепции безопасности предприятия:
а) определение условий, необходимых и достаточных для реализации концепции;
б) нахождение источников ресурсного обеспечения концепции;
в) выделение финансовых средств для реализации концепции;
г) разработка стратегического плана (или программы), а также планов работы структурных подразделений службы безопасности по решению задач, определенных концепцией;
д) подготовка профессиональных кадров для службы безопасности, а также обучение сотрудников фирмы (в части, их касающейся) вопросам соблюдения правил безопасности, действиям в чрезвычайных ситуациях, правилам пропускного режима, работы с документами, соблюдению коммерческой тайны и т.д.;
е) создание определенного типа службы безопасности и организация управления ею;
ж) установление технических средств защиты и др.;
з) контроль за эффективностью вьполнения основных положений концепции экономической безопасности;
и) развитие системы безопасности предприятия, постоянная адаптация ее к изменяющимся условиям, совершенствование форм и методов ее работы.
7. Выводы о необходимости разработки и реализации концепции экономической безопасности предприятия и эффективности ее применения:
а) соответствие концепции, сформулированных в ней целей и задач созданной системы безопасности реальным и потенциальным угрозам и опасностям;
б) степень достаточности выделяемых ресурсов для реализации концепции;
в) способность службы безопасности решить стоящие перед ней задачи;
г) эффективность (экономическая, производственно-техническая, экологическая и др.) реализации концепции экономической безопасности предприятия. [25, c.79].
Важнейшим стратегическим направлением обеспечения экономической безопасности предприятия является планирование, которое осуществляется на основе выработанной концепции. Именно план вносит организующее начало в процесс решения тех или иных задач. В нем должны быть не только сформулированы мероприятия, но и определена последовательность и сроки их вьполнения, указаны исполнители и, что очень важно, определены силы и средства их вьполнения.
Все планирование начинается с разработки стратегического плана обеспечения экономической безопасности предприятия. Это наиболее общий план, в котором задаются некоторые количественные ориентиры обеспечения функциональных составляющих и в целом состояния экономической безопасности предприятия, предусматривается наиболее оптимальная схема использования в этих целях ресурсов, разрабатываются организационные мероприятия и взаимодействие структурных подразделений. Обеспечению экономической безопасности предприятия способствуют и другие планы: финансовый, производственный, поставок, планирование персонала и т.д., а также планы работы отдельных структурных подразделений. Хотя они и не являются специальными планами по обеспечению безопасности, они вносят стройность, организованность в действия подразделений и способствуют наиболее эффективному достижению целей бизнеса.
Кроме специального стратегического плана обеспечения экономической безопасности на предприятии может разрабатываться целая гамма других текущих планов. К примеру планы обеспечения безопасности функциональных составляющих (финансовой, интеллектуальной и кадровой, технико-технологической, политико-правовой, экологической, информационной, силовой); конкретные планы работы структурных подразделений службы безопасности (охранного, режима, по работе с кадрами, обработки документов с грифом «КТ», инженерно-технической защиты, разведки, контрразведки, информационно-аналитической группы, штабного); планы действий по отражению отдельных угроз и в кризисных ситуациях (при угрозе взрыва, при захвате заложников или похищении сотрудников, при нападении на объекты предприятия, при вымогательстве или шантаже, при нападении на инкассаторов и др.). Как правило, информация, содержащаяся в данных конкретных планах, является строго конфиденциальной. Она доводится до специалистов и соответствующих руководителей. [26, c.51].
В случае необходимости на основе планов могут вырабатываться конкретные рекомендации, инструкции и т.д., затем производится практическая реализация разработанных планов. Одним из важнейших стратегических направлений обеспечения экономической безопасности предприятия является выявление, предотвращение, нейтрализация, пресечение, локализация, отражение опасностей и угроз, а в случае необходимости – возмещение ущерба, восстановление объектов защиты, пострадавших в результате противоправных действий, халатности, форс-мажорных обстоятельств и др.
Реализация данного стратегического направления требует высокого мастерства и профессионализма сотрудников фирмы, значительных затрат корпоративных ресурсов, хорошей организации, четкости, дисциплинированности и т.д. По сути дела, практическое решение данной задачи является воплощением в жизнь важнейших положений концепции, политики и стратегии безопасности; система экономической безопасности предприятия проявляет себя в действии. [27, c.92]. Для реализации столь важного стратегического направления безопасности для каждого объекта безопасности (материальные ценности, продукция, персонал, информация и т.д.) должна быть разработана принципиальная, концептуальная модель (алгоритм) безопасности. Данные модели могут иметь как общие элементы, так и свою специфику, вытекающую из особенностей, свойств объекта безопасности.
Такая модель позволяет рассмотреть проблему во взаимосвязи как объекта угрозы или посягательства, самих угроз, так и средств обеспечения безопасности. Несомненно, что на каждом предприятии может быть свой подход, свои угрозы и их источники, свои средства обеспечения безопасности и т.д. В данном случае важен сам принципиальный подход (алгоритм), который является методологической основой детализации конкретных мер защиты того или иного объекта безопасности.
Источник: studfile.net