Оценка киберугроз по стандартам ФСТЭК: комплексный подход к защите данных

Федеральная служба по техническому и экспортному контролю (ФСТЭК России) разработала методику оценки угроз информационной безопасности, которая позволяет организациям выявлять, анализировать и минимизировать киберриски. Рассмотрим, как работает эта методика и почему её применение важно для защиты данных.

Что такое актуальность угроз и почему она важна?

Актуальность угрозы — это показатель её опасности, который определяется:

• распространённостью — как часто подобные угрозы встречаются в отрасли;
• сложностью реализации — насколько легко злоумышленник может её осуществить;
• потенциальным ущербом — какие последствия может повлечь реализация угрозы (финансовые потери, репутационный ущерб, нарушения работы критической инфраструктуры).

Почему важно учитывать актуальность угроз:

1. ФСТЭК требует учитывать актуальность угроз при построении систем защиты.
2. Оптимизация затрат — защита фокусируется на наиболее опасных и вероятных угрозах, а не на маловероятных рисках.

Методика ФСТЭК обязательна для госструктур и компаний, которые работают с персональными данными или конфиденциальной информацией.

Для остальных организаций применение методики является рекомендацией, но её использование помогает снизить риски и соответствовать требованиям регуляторов.

Как методика ФСТЭК помогает оценивать угрозы?

Оценка актуальных угроз включает следующие этапы:

1. Определение возможных последствий — какой может быть ущерб в случае реализации угрозы, например, финансовые потери или нарушения функционирования критически важных систем. 

2. Идентификация уязвимых объектов — какие системы и данные могут быть атакованы (серверы, базы данных, сети, рабочие станции).

3. Анализ источников угроз:

• Внешние злоумышленники (хакеры, конкуренты).
• Внутренние угрозы (инсайдеры, невнимательные сотрудники).
• Техногенные и природные факторы (аварии, пожары).

4. Определение способов атак. Например, использование уязвимостей в ПО, социальная инженерия (фишинг, обман сотрудников), DDoS-атаки, вредоносное ПО.

5. Комплексная оценка угроз — расчет степени вероятности реализации каждой угрозы и оценка масштаба потенциального ущерба. 

Анализ рисков должен быть постоянным и проводиться как на этапе разработки систем, так и в процессе их использования и обновления.

Банк данных угроз ФСТЭК

Это открытый ресурс, который содержит сведения о киберугрозах. Угрозы в нем классифицируются по двум основным критериям:

1. Нарушители — кто может использовать угрозу (внешние или внутренние злоумышленники, их уровень подготовки).
2. Последствия — к каким нарушениям может привести угроза (конфиденциальности, целостности или доступности информации).

Можно искать угрозы по запросам, например, «нарушение целостности данных внутренними злоумышленниками».

Перейдя по названию, можно получить подробности конкретной угрозы — описание, способы реализации, рекомендации по защите.

Кто использует Банк угроз:

1. Операторы информационных систем.
2. Разработчики средств защиты.
3. Органы сертификации и аудиторы.

Основные меры защиты по требованиям ФСТЭК

ФСТЭК разрабатывает и устанавливает правила и требования для обеспечения безопасности информации. Эти меры могут быть реализованы как организационно, так и технически.

Организационные меры — это правила и процедуры, которые определяют порядок работы сотрудников с данными и информационными. К ним относится:

1. Разработка нормативных документов — создание политик, регламентов и инструкций, определяющих порядок обработки и защиты информации. Документы должны четко прописывать, какие действия разрешены, а какие запрещены.
2. Управление доступом — разграничение прав пользователей: каждый сотрудник получает доступ только к тем данным, которые необходимы для работы.
3. Реагирование на инциденты — разрабатываются планы действий при утечках данных, атаках или сбоях. Определяются ответственные за расследование и устранение последствий.
4. Контроль изменений — любые изменения в ИТ-инфраструктуре (обновления, настройки, новые сервисы) должны проходить проверку на безопасность.
5. Обучение сотрудников — регулярное проведение инструктажей по информационной безопасности. Тестирование на знание правил работы с конфиденциальной информацией.

Технические меры — это инструменты и технологии для защиты информационных систем.

Брандмауэры контролируют весь входящий и исходящий трафик, блокируя нежелательные подключения. Они работают по заданным правилам — например, могут пропускать данные только с определенных IP-адресов или запрещать доступ к подозрительным портам.

Системы IDS/IPS анализируют сетевой трафик и выявляют атаки. IDS обнаруживает и предупреждает о потенциально опасной активности. IPS не только выявляет подозрительные действия, но и автоматически блокирует потенциально опасные активности. 

Антивирусы проверяют файлы, почту и интернет-трафик в реальном времени. Они используют не только базы известных вирусов, но и поведенческий анализ, чтобы находить новые угрозы.

Шифрование данных — важная информация шифруются при передаче (например, через VPN или HTTPS) и на хранении (диски, флешки). Даже если злоумышленник получит доступ к данным, без ключа он не сможет ее прочитать.

DLP-системы следят, чтобы конфиденциальные данные не утекли из компании. Они блокируют отправку документов через почту, мессенджеры или запись на флешки, если в них есть, например, паспортные данные или коммерческая тайна.

Защита виртуальных серверов — виртуальные машины изолируют друг от друга, чтобы взлом одной не затронул остальные. Также важно защищать сам гипервизор — программу, которая управляет виртуальными серверами.

Проверка кода — перед выпуском программы ее код проверяют на уязвимости. Автоматические сканеры ищут ошибки, а тестировщики пытаются взломать приложение, чтобы найти слабые места до релиза.

Резервные копии — данные регулярно копируют на отдельные серверы или в облако. Важно проверять, что резервные копии работают — бывает, что файлы сохраняются, но восстановить их невозможно.

Менеджеры паролей — вместо простых паролей типа "12345" такие программы генерируют и хранят сложные комбинации. Пароли шифруются, а доступ к ним можно выдавать сотрудникам по необходимости.

Все эти меры работают вместе — если что-то одно даст сбой, остальные системы помогут избежать серьезных проблем.

Оценка соответствия требованиям ФСТЭК

Это процесс проверки, насколько реализованные меры защиты соответствуют нормативным требованиям. Он включает:

1. Аудит информационной безопасности — внутренняя или внешняя проверка.
2. Анализ документации — оценка её актуальности и полноты.
3. Тестирование уязвимостей — выявление слабых мест в системе.
4. Разработка плана улучшений — устранение недостатков и повышение уровня защиты.

Формы подтверждения соответствия

1. Сертификация — добровольная проверка в аккредитованном органе (результат — сертификат соответствия).
2. Аттестация — обязательная для ГИС и ИСПДн (результат — аттестат соответствия).
3. Самооценка — самостоятельный анализ с использованием методик ФСТЭК.

Заключение

Методика ФСТЭК предоставляет системный подход к оценке и противодействию угрозам информационной безопасности. Её применение позволяет организациям не только соответствовать регуляторным требованиям, но и эффективно защищать свои данные от современных киберрисков. 

Если вам нужна будет помощь в оценке и выстраивании системы кибербезопасности в своём бизнесе, то смело связывайтесь с нашими специалистами.