Методика моделирования угроз для объектов КИИ
Согласно «Требованиям по обеспечению безопасности КИИ» (Приказ ФСТЭК России от 25.12.2017 № 239), при разработке системы обеспечения информационной безопасности каждый субъект КИИ должен выполнять моделирование угроз. За нарушение требований может грозить административная или уголовная ответственность. Расскажем об основных этапах моделирования угроз при обеспечении информационной безопасности организации.
Описание объекта
Данный этап включает тщательное изучение объекта в соответствии с утвержденной категорией значимости и определение функций каждого компонента системы. Например, при декомпозиции объекта теплоэлектростанции одной из подсистем АСУ ТП может быть химическая водоочистка, обеспечивающая процесс подготовки подачи воды к котлам для снижения риска появления коррозии. После выявления всех систем и подсистем производится определение технических средств для каждой из них согласно типовым уровням: SCADA, ПЛК и полевые устройства.
Определение источников вероятных угроз
Источниками могут быть как физические лица (использующие свое служебное положение для правонарушения, не выполняющие предписания локальных актов по ИБ или получившие доступ извне), так и вредоносные программы, уязвимости в программных кодах, технические средства для перехвата сведений и т. п.
Формирование списка уязвимостей
Анализируются используемые программно-аппаратные комплексы и имеющаяся система информационной безопасности компании (при наличии). В процессе анализа и моделирования угроз могут быть выявлены уязвимости:
- программного или аппаратного обеспечения (в инженерном ПО, SCADA и т. п.);
- используемых протоколов передачи данных внутри АСУ ТП и для обмена сведениями с другими объектами КИИ (например, отсутствие процесса идентификации и проверки подлинности);
- самой системы ИБ (включая устаревшее программное обеспечение).
Определение перечня угроз безопасности
В первую очередь анализируется список угроз в соответствии с Банком данных угроз безопасности информации ФСТЭК России. После составления предварительного списка производится опрос представителей компании для выявления уже имевшихся инцидентов и добавления соответствующих им угроз в перечень.
Определение основных атрибутов угроз
Составляется на основе собранной на предыдущих этапах информации, а также сведений из Банка данных угроз. Позволяет проработать вероятный сценарий атаки, понять, какими уязвимостями может воспользоваться нарушитель и откуда может идти угроза (извне или изнутри). В зависимости от объекта КИИ часть потенциальных рисковых ситуаций может быть удалена из списка за маловероятностью совершения такого преступления на конкретном объекте.
Формирование предположений о возможных последствиях
При составлении заключения за основу может быть также взята информация из Банка данных угроз, но она в обязательном порядке адаптируется с учетом деятельности конкретного объекта и значимости конкретной подсистемы, для которой выполняется описание последствий. Например, для уже упоминавшейся химической водоочистки следствием реализации угрозы может быть лишь сокращение срока службы оборудования, а при нарушении работы топливоподачи может возникнуть аварийная ситуация опасная для жизни.
Корректное и полное моделирование угроз объекта КИИ позволяет снизить риски финансовых и репутационных потерь, наступления аварийной ситуации, причинения ущерба имуществу компании и здоровью людей.