Для идентификации угроз необходима:
– информация об угрозах, полученная результате анализа выявленных инцидентов;
– информация об угрозах, полученная из любых источников, включая внешние доступные реестры угроз.
Любые сведения об угрозах относятся к области знаний, постоянной пополняемой и развивающейся.
То, что Вы не осведомлены о какой-либо угрозе, вовсе не означает, что её нет или она не является для Вас актуальной, а означает лишь то, что в случае её реализации Вы будете к ней не готовы.
Поэтому сведения по угрозам, используемые в практической деятельности, должны постоянно и на регулярной основе пополняться, что позволит принимать наиболее рациональные и эффективные решения.
Угроза может проистекать из организации, или находиться вне ее пределов.
Угрозы необходимо идентифицировать, как в общем, так и по виду (например, неавторизованные действия, физический ущерб, технические сбои), а затем, где это необходимо, отдельные угрозы необходимо идентифицировать внутри родового класса. Это позволит не упустить из рассмотрения ни одну угрозу, включая неожиданные.
Некоторые угрозы могут воздействовать более чем на один актив. В таких случаях они могут являться причиной различных влияний, в зависимости от того, на какие активы оказывается воздействие.
В соответствии с методологией ФСТЭК России угрозы классифицируются в соответствии со следующими признаками:
– по виду защищаемой от воздействия угроз информации;
– по видам возможных источников угроз;
– по типу информационной системы, на которые направлена реализация угроз;
– по способу реализации угроз;
– по виду нарушаемого свойства информации (виду несанкционированных действий, осуществляемых с информацией);
– по используемой уязвимости;
– по объекту воздействия.
При идентификации и оценке угроз должны быть учтены опыт, полученный в результате работы с инцидентами в рамках организации, и ранее полученные результаты идентификации и оценки угроз.
Целесообразно применять любые доступные каталоги угроз (имеющие отношение к сфере деятельности организации), чтобы сформировать перечень общих угроз.
Используя каталоги угроз или результаты прежних оценок угроз, не следует забывать о том, что происходит постоянная смена значимых угроз, особенно, если изменяются среда деятельности и (или) применяемые средства.
Каталог угроз является информационной базой, содержащей описания всех известных на текущий момент времени угроз.
В Российской Федерации Банк данных угроз безопасности информации поддерживается ФСТЭК России на своем сайте в сети Интернет.
За рубежом свои банки угроз поддерживают различные профильные институты, общественные организации, международные организации, а также производители программных продуктов в области защиты информации.
Отдельные каталоги угроз включены в международные стандарты, например, ISO/IEC 27005:2011 Information technology — Security techniques — Information security risk management (его редакция от 2005г. Гармонизирована в России как ГОСТ Р ИСО/МЭК 27005 2010 Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности).
Банк данных угроз безопасности информации сформирован в соответствии с подпунктом 21 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, Федеральной службой по техническому и экспортному контролю (ФСТЭК России) совместно с заинтересованными федеральными органами исполнительной власти и организациями.
Доступ к банку данных осуществляется через сеть «Интернет» (адрес: www.bdu.fstec.ru).
Хотя Банк данных угроз безопасности информации включает информацию об угрозах и уязвимостях наиболее характерных для государственных информационных систем, информационных систем персональных данных и автоматизированных систем управления производственными и технологическими процессами на критически важных объектах, тем не менее, вполне может браться за основу финансовыми организациями для целей моделирования угроз.
Информация, размещенная в Банке данных угроз безопасности информации, является общедоступной и может распространяться на безвозмездной основе с указанием источника информации. Использование информации, размещенной в Банке данных угроз безопасности информации, в автоматизированных средствах контроля защищенности информации (сканерах безопасности), создаваемых и распространяемых в коммерческих целях, осуществляется по согласованию с ФСТЭК России.
