Модель угроз ФСТЭК и реальные угрозы малого бизнеса: как одно ложится на другое
Как формальная модель угроз по методике ФСТЭК 2021 года практически соотносится с типичными угрозами малого бизнеса — фишингом, вредоносными вложениями, шифровальщиками и кражей денег через клиент-банк. Разбираем, кто на самом деле нарушитель для небольшой организации, какие угрозы для неё актуальны и почему грамотная, пропорциональная масштабу модель угроз обосновывает тот же практичный минимум мер, а не бюрократию ради галочки.
Небольшие организации часто воспринимают «модель угроз» как бумагу для галочки, оторванную от реальных проблем — фишинга, шифровальщиков, хищения денег через клиент-банк. На деле формальная методика ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. и практические угрозы малого бизнеса — это одно и то же, только на разном языке. Покажем, как элементы модели угроз ложатся на реальность и почему пропорциональная модель угроз обосновывает тот же практичный минимум мер.
Нужна ли малому бизнесу модель угроз
Если организация обрабатывает персональные данные в информационной системе, оператор обязан определить актуальные угрозы безопасности персональных данных, а меры защиты выбирают с учётом уровня защищённости и модели угроз (статья 19 152-ФЗ, постановление Правительства РФ №1119, приказ ФСТЭК России №21); на практике это оформляют моделью угроз или разделом в комплекте документов по защите ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств.. Объём должен быть пропорционален масштабу: у типовой ИСПДн небольшого оператора часто получается уровень защищённости УЗУровень защищённости персональных данных — Один из четырёх уровней (УЗ-1…УЗ-4) для ИСПДн по постановлению Правительства №1119; определяет состав мер.-3 или УЗ-4 (его рассчитывают по постановлению №1119 — по категории и числу субъектов и типу актуальных угроз, а не по размеру бизнеса), и модель угроз для неё компактна, без «300 страниц» с максимальным нарушителем. Её вполне можно разработать самостоятельно — порядок разбирали в статье «Модель угроз ФСТЭК пошагово».
Как элементы модели угроз ложатся на реальность
Методика ФСТЭК 2021 года описывает угрозу через несколько элементов. У каждого есть понятный практический аналог для малого бизнеса:
- Нарушитель (источник угрозы). В методике это виды нарушителей и их возможности (потенциал — базовый, базовый повышенный, средний, высокий). Для типичной небольшой организации актуальны прежде всего внешние нарушители с базовым или базовым повышенным потенциалом: массовый фишинг, типовые вредоносные вложения, подбор паролей, эксплуатация известных уязвимостей. Плюс внутренний нарушитель — чаще по ошибке (сотрудник открыл вложение), реже умышленно. Нарушителя высокого потенциала (например, спецслужбы; целевые группы с существенными ресурсами — в зависимости от сценария среднего или высокого потенциала) для типовой ИСПДн малого бизнеса без КИИКритическая информационная инфраструктура — Информационные системы и сети госорганов и организаций ключевых отраслей; режим защиты установлен 187-ФЗ., гостайны, оборонной тематики и особо ценных массивов данных часто можно признать неактуальным — при документированном обосновании в модели.
- Объекты воздействия. В методике — компоненты системы, на которые действует нарушитель. На практике это то, что реально атакуют: рабочее место бухгалтера и клиент-банк, корпоративная почта, учётные записи и пароли, токен электронной подписи, сервер или 1С с персональными данными, сайт, а также личные устройства сотрудников при удалённой работе.
- Способы реализации угроз. В методике — как именно нарушитель действует. Для малого бизнеса это фишинг и социальная инженерия, вредоносные вложения, эксплуатация уязвимостей непропатченного программного обеспечения, подбор и утечка паролей, кража носителя или устройства.
- Негативные последствия (ущерб). В методике оценивают возможный ущерб. На практике это хищение денег через клиент-банк, утечка персональных данных (штрафы и уведомление Роскомнадзора в течение 24 и 72 часов), остановка работы из-за шифровальщика, ущерб репутации.
- Актуальность угрозы. В методике угроза актуальна, если есть возможность её реализации и возможность наступления негативных последствий (для обладателя информации, оператора, субъектов персональных данных и иных лиц). Для малого бизнеса это как раз массовые угрозы базового потенциала — а значит, и меры против них совпадают с типовым набором.
Из модели угроз следует практичный минимум мер
Когда актуальные угрозы названы честно (фишинг, вредоносное ПО, подбор паролей, кража токена, потеря данных), из них прямо вытекает набор мер — тот же, что мы советуем в статье об угрозах для малого бизнеса:
- фишинг и социальная инженерия → обучение сотрудников и памятки, проверка платежей по второму каналу;
- вредоносное ПО и эксплуатация уязвимостей → антивирус, своевременные обновления и управление уязвимостями (снижают риск эксплуатации известных уязвимостей, в том числе учитываемых в банке данных угроз ФСТЭК);
- подбор и кража паролей → длинные уникальные пароли и двухфакторная аутентификация;
- шифровальщик и потеря данных → резервное копирование с офлайн-копией;
- кража ключа и хищение денег → защита ключа электронной подписи и выделенное рабочее место для клиент-банка.
То есть модель угроз здесь — не бюрократия, а обоснование практичного минимума: она объясняет, почему именно эти меры и именно в таком объёме.
Частая ошибка — «универсальная» модель с максимальным нарушителем
Соблазн взять готовую модель угроз с нарушителем высокого потенциала (спецслужбы, целевые атаки) кажется «безопаснее», но избыточное включение нарушителей и сценариев без обоснования приводит к выбору чрезмерных мер: под завышенного нарушителя формально требуются средства и решения, которые типичному малому бизнесу не нужны. Корректная модель угроз пропорциональна реальной системе, составу данных, возможным последствиям и актуальным способам реализации угроз; защищённость при этом зависит не от «занижения» нарушителя, а от корректности исходных данных. Это тот же принцип: платить за обоснованную защиту, а не за бумагу.
Главное
Формальная модель угроз ФСТЭК и практические угрозы малого бизнеса — про одно и то же. Нарушитель для типичной небольшой организации — внешний, базового или базового повышенного потенциала (массовые атаки, фишинг, шифровальщики); объекты воздействия — рабочее место, клиент-банк, почта, пароли, токен ЭПЭлектронная подпись — Информация в электронной форме, присоединённая к документу и подтверждающая подписанта (63-ФЗ)., 1С; способы — фишинг, вредоносные вложения, уязвимости, подбор паролей; последствия — хищение денег, утечка ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн)., остановка бизнеса. Из честно названных актуальных угроз вытекает практичный минимум мер: обучение, 2FA, антивирус и обновления, резервные копии, защита ключей. Модель угроз стоит делать пропорционально масштабу (уровень защищённости — по постановлению №1119): она обосновывает нужные меры, а избыточный, необоснованный нарушитель лишь раздувает затраты.