ТЕМА 4.

КАК СПАСТИСЬ ОТ КИБЕРУГРОЗ В НОВУЮ

ЭПОХУ? ВОПРОСЫ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ

4.5. Риски информационной безопасности

В работе технологического процесса или в информационной системе, которая подключена к

интернету в режиме реального времени, не существует пауз и пробелов. Каждый день, каждый час,
каждую минуту кто-то работает с этой системой или она в принципе доступна для любого
пользователя, который подключен к внешней сети Интернет. И здесь есть риск.

Что такое риск? Риск – это вероятность некоторой угрозы, которая наносит ущерб
информационному активу. И из всех угроз безопасности информации, про которые мы говорили в
ранее, мы выбираем самые актуальные угрозы. Это те угрозы, которые с большей вероятностью
могут быть реализованы в нашей информационной системе.

Помним, что даже в маленькой информационной системе, такой как домашняя сеть, уже
появляется нарушитель внешний и внутренний. Помним, что компьютер может и дальше работать
как обычно, не выдавая никаких признаков компрометации, но на самом деле нести в себе угрозу,
собирая информацию, выгружая ее в интернет. Или потом, неожиданно, в один момент может стать
участником скоординированной атаки на ресурсы другой организации. И кстати, за это
предусмотрено наказание.

Это необходимо учитывать в своей рисковой модели, когда мы строим систему информационной
безопасности. Возьмем среднестатистическую организацию, где есть бухгалтерия, хранящая
информацию о сотрудниках данной организации, которым выдается зарплата, и есть база
клиентов, где хранятся контракты, важная контактная информация для ключевых лиц,
принимающих решение в этих организациях. Стоимость контракта измеряется миллионами рублей.
Какой из активов будет более важен для нас с точки зрения ущерба, который будет нанесен нашей
организации, когда она будет взломана? И для нас как сотрудников организации, в первую очередь,
с точки зрения бизнес-процессов, более важным активом будет база данных клиентов, а не база
данных сотрудников.

У нас есть актив и есть возможный ущерб, который может быть нанесен этому активу, если он будет
скомпрометирован – будет нарушена его конфиденциальность, целостность или доступность. Для
разных активов эти угрозы могут быть разными. Если мы говорим про сайт интернет-магазина, то
конфиденциальностью обеспечивать этот сайт просто глупо. Он, наоборот, должен быть открыт.
Это то, на что тратят деньги организаторы, чтобы его продвигать, обеспечивать его доступность,
чтобы он был максимально широко представлен на информационном поле, а пользователи могли
к нему приходить. Но целостность и доступность этого сайта будут на первом месте. Таким
образом, из угроз для данной организации приоритеты будут в следующей последовательности:
доступность, целостность и конфиденциальность.

Обратная ситуация с базой клиентов. В первую очередь, она должна быть конфиденциальной.
Дальше целостной и доступной. Это приоритизация рисков, приоритизация тех векторов атак, от
которых надо защищаться средствами защиты. Но в данном случае обеспечение
конфиденциальности информации важнее, чем доступность, в плане именно активов клиентской
базы организации, обеспечивающей течение жизненных процессов внутри этой организации.

1
Таким образом, при построении модели защиты, а именно модели нарушителя, модели угроз, все
крутится вокруг риска организации некоторой угрозы.

Риск состоит из двух компонентов:

• Реализация угрозы
• Ущерб, который может быть нанесен активу в случае, если эта угроза будет реализована

Если мы не можем просчитать вероятность, у нас нет статистики для того, чтобы понять, насколько
часто та или иная угроза может быть реализована, то дальше эксперт, который привлекается для
реализации системы безопасности, оценивает сложность реализации данной угрозы внутри
организации, в конкретном заданном периметре, при конкретном текущем наборе средств систем
защиты.

Когда мы построим эту рисковую модель, определим актуальные угрозы информационной

безопасности, следующим этапом будет внесение предложения по усовершенствованию этой
системы защиты для того, чтобы закрыть уязвимости, обеспечить невозможность реализацию
угрозы или затруднить ее настолько, чтобы реализация этого риска была для злоумышленника
выше, чем ценность, которую он получает в результате кражи какой-то информации, т. е. в
результате реализации данной угрозы.

Пример из фондового рынка: мы не будем покупать актив, ценные бумаги некой компании, если ее
стоимость для нас незначительна. Мы тратим деньги на приобретение, вкладываемся в IPO таким
большим финансовым ресурсом, что потенциальная отдача, которая в будущем может принести
эта компания в виде дивидендов, либо в виде стоимости акций, для нас незначительна. Тогда
стоимость актива и точка входа не соответствуют друг другу. А, например, если на дороге стоит
сумка с деньгами, затраты на завладение содержимым этой сумки, завладением активами для
злоумышленника являются минимальными. А ценность содержимого сумки – огромной. Этот
пример противоположен первому. Какую из угроз злоумышленник будет реализовывать? Конечно
ту, которая проще и менее затратная для него в реализации.

Для того, чтобы наглядно представить для себя, какие же угрозы актуальны для нашей системы,
составляются различного рода таблицы, где прописывается уровень защищенности
информационного актива, прописывается потенциал нарушителя, какими навыками должен
обладать злоумышленник для того, чтобы скомпрометировать данный актив. И каким уровнем
защищенности в настоящее время обладает наш актив. Соответствуют они друг другу или нет.

Ранжируя угрозы и возможности нарушителя и защищенность наших активов по столбцу значений

от минимального до максимального, мы можем определить, насколько данный актив требует
реализации систем защиты.

Таблица 4. ФСТЭК России «Методика определения угроз безопасности информации

в информационных системах»

2
Защищать можно разным образом. Помним: конфиденциальность, целостность, доступность. И в
отношении каждого актива мы составляем матрицу возможности нарушения конфиденциальности,
целостности, доступности данного актива злоумышленником при реализации определенных угроз.
Рассуждаем, если злоумышленник заблокирует данную информацию, нанесет ли нам это какой-
либо ущерб или эта угроза не оказывает никакого воздействия на актив в плане доступности.
Естественно, это должно быть привязано к каждому вектору реализации атаки, к каждой возможной
угрозе. Т. е. мы заходим снаружи через наш маршрутизатор или мы заходим изнутри, рассматривая
как нарушителя нашего текущего сотрудника или бывшего сотрудника, но который так или иначе
имеет физически доступ в помещение. Все это должно учитываться в этой большой матрице,
которую мы составляем при формировании такого документа, как модель нарушителя.

Таблица 5. ФСТЭК России «Методика определения угроз безопасности информации

в информационных системах»

Ущерб тоже бывает разным. И то, что важно для одной организации, может быть не важно для
другой.

Виды ущерба:
• Экономический
• Социальный
• Политический
• Репутационный
• Технологический
• Ущерб субъекту персональных данных

И, соответственно, мы тоже смотрим и ранжируем вероятность реализации угрозы, от низкой до

высокой. И по степени возможного ущерба актива от низкого к высокому.

3
В результате появляется большой документ «Модель угроз безопасности информации», где есть
некоторый стандартный набор разделов, определение понятия «Информационная система»,
которую мы защищаем. Каким образом она функционирует? Какие бизнес-процессы в ней
работают? Что будет подвергаться защите? Дальше мы описываем нарушителя, ту самую модель
нарушителя. Какой тип нарушителя – внешний или внутренний? Какие угрозы могут быть
реализованы в отношении активов, в отношении информации, обрабатываемой в рамках нашей
информационной системы? И среди всего многообразия угроз, которые определяются в том числе
и уязвимостями, которые присутствуют в нашей системе, а также возможностями
злоумышленников, мы выбираем наиболее актуальные. Они отбираются по вероятности
реализации угрозы и наносимому ущербу в результате реализации данной угрозы. Если мы не
знаем вероятности, то тогда мы оцениваем сложность реализации угрозы плюс ущерб, который она
может принести в результате свое реализации. Исходя из этой модели угроз, у нас вырисовывается
четкий план действий. Какие активы, какие системы в первую очередь должны подвергаться
модернизации, где мы должны внедрять наши системы безопасности? И сколько это будет стоить?

А что делать с системой безопасности, когда она уже построена и нужно ли с ней что-либо делать,
мы поговорим в следующей лекции.