Оценка киберугроз по стандартам ФСТЭК: комплексный подход к защите данных

Федеральная служба по техническому и экспортному контролю (ФСТЭК России) разработала методику оценки угроз информационной безопасности, которая позволяет организациям выявлять, анализировать и минимизировать киберриски. Рассмотрим, как работает эта методика и почему её применение важно для защиты данных.

 

Что такое актуальность угроз и почему она важна?

Актуальность угрозы — это показатель её опасности, который определяется:

  • распространённостью — как часто подобные угрозы встречаются в отрасли;
  • сложностью реализации — насколько легко злоумышленник может её осуществить;
  • потенциальным ущербом — какие последствия может повлечь реализация угрозы (финансовые потери, репутационный ущерб, нарушения работы критической инфраструктуры).

Почему важно учитывать актуальность угроз:

  1. ФСТЭК требует учитывать актуальность угроз при построении систем защиты.
  2. Оптимизация затрат — защита фокусируется на наиболее опасных и вероятных угрозах, а не на маловероятных рисках.

Методика ФСТЭК обязательна для госструктур и компаний, которые работают с персональными данными или конфиденциальной информацией.

Для остальных организаций применение методики является рекомендацией, но её использование помогает снизить риски и соответствовать требованиям регуляторов.

 

Как методика ФСТЭК помогает оценивать угрозы?

Оценка актуальных угроз включает следующие этапы:

1. Определение возможных последствий — какой может быть ущерб в случае реализации угрозы, например, финансовые потери или нарушения функционирования критически важных систем. 

2. Идентификация уязвимых объектов — какие системы и данные могут быть атакованы (серверы, базы данных, сети, рабочие станции).

3. Анализ источников угроз:

  • Внешние злоумышленники (хакеры, конкуренты).
  • Внутренние угрозы (инсайдеры, невнимательные сотрудники).
  • Техногенные и природные факторы (аварии, пожары).

4. Определение способов атак. Например, использование уязвимостей в ПО, социальная инженерия (фишинг, обман сотрудников), DDoS-атаки, вредоносное ПО.

5. Комплексная оценка угроз — расчет степени вероятности реализации каждой угрозы и оценка масштаба потенциального ущерба. 

Анализ рисков должен быть постоянным и проводиться как на этапе разработки систем, так и в процессе их использования и обновления.

 

Банк данных угроз ФСТЭК

Это открытый ресурс, который содержит сведения о киберугрозах. Угрозы в нем классифицируются по двум основным критериям:

  1. Нарушители — кто может использовать угрозу (внешние или внутренние злоумышленники, их уровень подготовки).
  2. Последствия — к каким нарушениям может привести угроза (конфиденциальности, целостности или доступности информации).

Можно искать угрозы по запросам, например, «нарушение целостности данных внутренними злоумышленниками».

Перейдя по названию, можно получить подробности конкретной угрозы — описание, способы реализации, рекомендации по защите.

 

Кто использует Банк угроз:

  1. Операторы информационных систем.
  2. Разработчики средств защиты.
  3. Органы сертификации и аудиторы.

 

Основные меры защиты по требованиям ФСТЭК

ФСТЭК разрабатывает и устанавливает правила и требования для обеспечения безопасности информации. Эти меры могут быть реализованы как организационно, так и технически.

Организационные меры — это правила и процедуры, которые определяют порядок работы сотрудников с данными и информационными. К ним относится:

  1. Разработка нормативных документов — создание политик, регламентов и инструкций, определяющих порядок обработки и защиты информации. Документы должны четко прописывать, какие действия разрешены, а какие запрещены.
  2. Управление доступом — разграничение прав пользователей: каждый сотрудник получает доступ только к тем данным, которые необходимы для работы.
  3. Реагирование на инциденты — разрабатываются планы действий при утечках данных, атаках или сбоях. Определяются ответственные за расследование и устранение последствий.
  4. Контроль изменений — любые изменения в ИТ-инфраструктуре (обновления, настройки, новые сервисы) должны проходить проверку на безопасность.
  5. Обучение сотрудников — регулярное проведение инструктажей по информационной безопасности. Тестирование на знание правил работы с конфиденциальной информацией.

Технические меры — это инструменты и технологии для защиты информационных систем.

Брандмауэры контролируют весь входящий и исходящий трафик, блокируя нежелательные подключения. Они работают по заданным правилам — например, могут пропускать данные только с определенных IP-адресов или запрещать доступ к подозрительным портам.

Системы IDS/IPS анализируют сетевой трафик и выявляют атаки. IDS обнаруживает и предупреждает о потенциально опасной активности. IPS не только выявляет подозрительные действия, но и автоматически блокирует потенциально опасные активности. 

Антивирусы проверяют файлы, почту и интернет-трафик в реальном времени. Они используют не только базы известных вирусов, но и поведенческий анализ, чтобы находить новые угрозы.

Шифрование данных — важная информация шифруются при передаче (например, через VPN или HTTPS) и на хранении (диски, флешки). Даже если злоумышленник получит доступ к данным, без ключа он не сможет ее прочитать.

DLP-системы следят, чтобы конфиденциальные данные не утекли из компании. Они блокируют отправку документов через почту, мессенджеры или запись на флешки, если в них есть, например, паспортные данные или коммерческая тайна.

Защита виртуальных серверов — виртуальные машины изолируют друг от друга, чтобы взлом одной не затронул остальные. Также важно защищать сам гипервизор — программу, которая управляет виртуальными серверами.

Проверка кода — перед выпуском программы ее код проверяют на уязвимости. Автоматические сканеры ищут ошибки, а тестировщики пытаются взломать приложение, чтобы найти слабые места до релиза.

Резервные копии — данные регулярно копируют на отдельные серверы или в облако. Важно проверять, что резервные копии работают — бывает, что файлы сохраняются, но восстановить их невозможно.

Менеджеры паролей — вместо простых паролей типа "12345" такие программы генерируют и хранят сложные комбинации. Пароли шифруются, а доступ к ним можно выдавать сотрудникам по необходимости.

Все эти меры работают вместе — если что-то одно даст сбой, остальные системы помогут избежать серьезных проблем.

 

Оценка соответствия требованиям ФСТЭК

Это процесс проверки, насколько реализованные меры защиты соответствуют нормативным требованиям. Он включает:

  1. Аудит информационной безопасности — внутренняя или внешняя проверка.
  2. Анализ документации — оценка её актуальности и полноты.
  3. Тестирование уязвимостей — выявление слабых мест в системе.
  4. Разработка плана улучшений — устранение недостатков и повышение уровня защиты.

 

Формы подтверждения соответствия

  1. Сертификация — добровольная проверка в аккредитованном органе (результат — сертификат соответствия).
  2. Аттестация — обязательная для ГИС и ИСПДн (результат — аттестат соответствия).
  3. Самооценка — самостоятельный анализ с использованием методик ФСТЭК.

 

Заключение

Методика ФСТЭК предоставляет системный подход к оценке и противодействию угрозам информационной безопасности. Её применение позволяет организациям не только соответствовать регуляторным требованиям, но и эффективно защищать свои данные от современных киберрисков. 

Если вам нужна будет помощь в оценке и выстраивании системы кибербезопасности в своём бизнесе, то смело связывайтесь с нашими специалистами. 

30 мая, 2025

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

19.06.2025
Осеевский: Видимо, нас ждёт экспансия китайских компаний
19.06.2025
Android — на втором месте по числу успешно проведённых атак
19.06.2025
Max выходит один на один с «дубайским месседжером»?
19.06.2025
Платформа X метит в «супераппы»
19.06.2025
Только треть россиян игнорирует вызовы с незнакомых номеров
18.06.2025
Половина пользователей мобильных устройств ежедневно страдает от скама
18.06.2025
Роскомнадзор анонсировал усиленные проверки операторов связи
18.06.2025
«Уже 60% россиян считает, что биометрия скоро станет использоваться повсеместно»
18.06.2025
Российские инновации и лучшие практики ИТ и ИБ представят в Москве на FIS-2025
18.06.2025
Кузнецов: Число скам-звонков через мессенджеры выросло в 3,5 раза

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных