Обзор четырех ключевых методологий моделирования угроз и оценки рисков
Детальное руководство по встроенным движкам анализа рисков и сценарного моделирования угроз в системе QR Consult.
Для надежного построения системы управления информационной безопасностью (СУИБ) и успешного прохождения проверок государственных регуляторов и аудиторов в системе QR Consult реализованы 4 расчетных движка моделирования угроз: ФСТЭК России (2021), NIST SP 800-30, ISO/IEC 27005 и БР ИБ НФО (Банк России / ГОСТ 57580). Они рассчитывают актуальность угроз, используя различные подходы, базы данных и математические модели.
qrconsult_threat_engine), что сокращает время обработки сложных корпоративных систем до миллисекунд.
1. Методология ФСТЭК России (Методика 2021 года)
Официальный российский государственный стандарт для оценки угроз безопасности информации. Является обязательным при создании моделей угроз для государственных информационных систем (ГИС), информационных систем персональных данных (ИСПДн) и объектов критической информационной инфраструктуры (КИИ).
На чем основана методология
Методология базируется на «Методике оценки угроз безопасности информации», утвержденной ФСТЭК России 5 февраля 2021 г. В качестве базы угроз используется государственный Банк данных угроз безопасности информации (БДУ ФСТЭК России), содержащий описание более 220 видов угроз безопасности информации (УБИ).
Как работает движок в системе
- Граф инфраструктуры: Система строит топологическую схему ваших ИТ-активов (серверы, базы данных, рабочие станции, каналы связи).
- Профилирование нарушителя: Определяется применимый тип нарушителя (внутренний / внешний) и его потенциал (выделяются 4 уровня возможностей (потенциала) нарушителя согласно Методике ФСТЭК 2021 года).
- Анализ уязвимых интерфейсов: Система сопоставляет ПО на активах с открытыми портами, внешними сетевыми интерфейсами и уязвимостями.
- Сценарное моделирование: Формируется цепочка (сценарий) реализации угрозы от точки входа нарушителя до целевого актива.
Алгоритм и математическая модель расчета
Актуальность угрозы (А) определяется как функция от возможности её реализации (В) и тяжести последствий (Т):
1. Возможность реализации (В) определяется на основе потенциала нарушителя (Н1-Н4) и уровня защищенности интерфейса:
| Потенциал нарушителя / Защищенность | Высокая | Средняя | Низкая |
|---|---|---|---|
| Н1 — Базовые возможности | Низкая | Низкая | Средняя |
| Н2 — Базовые повышенные | Низкая | Средняя | Высокая |
| Н3 — Средние возможности | Низкая | Средняя | Высокая |
| Н4 — Высокий потенциал | Средняя | Высокая | Высокая |
2. Итоговая актуальность угрозы (А) вычисляется по результирующей матрице ФСТЭК:
| В / Т | Низкая | Средняя | Высокая |
|---|---|---|---|
| Низкая | Неактуальная | Неактуальная | Актуальная |
| Средняя | Неактуальная | Актуальная | Актуальная |
| Высокая | Актуальная | Актуальная | Актуальная |
2. Методология NIST SP 800-30 Rev. 1
Ведущий международный стандарт оценки рисков информационной безопасности, разработанный Национальным институтом стандартов и технологий США (NIST).
На чем основана методология
NIST SP 800-30 Rev. 1 использует классификаторы уязвимостей ПО (базы CVE, CWE) и паттернов атак CAPEC.
Как работает движок в системе
- Идентификация источников угроз: делятся на антагонистические (Adversarial) и не-антагонистические (Non-Adversarial).
- Определение вероятности (Likelihood): вычисляется по шкале от 1 до 10.
- Определение уровня воздействия (Impact): оценивается ущерб для триады CIA (FIPS 199).
Алгоритм и математическая модель расчета
Likelihood = f(Initiation, Resulting Impact), где Initiation учитывает возможности, мотивацию и ресурсы нарушителя, а Resulting Impact = Vulnerability Severity - Existing Controls.
3. Методология ISO/IEC 27005:2022
Международная процессная методология управления рисками ИБ, интегрированная с ISO 27001 и каталогом мер ISO 27002.
- Инвентаризация и оценка активов: активам присваивается ценность (Asset Value).
- Идентификация рисков: сопоставление угроз с уязвимостями активов.
- Обработка рисков: Modify, Retain, Avoid, Share.
4. Методология БР ИБ НФО (ГОСТ Р 57580.1)
Специализированная методология Банка России для некредитных финансовых организаций.
Методология выделяет 8 процессов: УПД, ИАФ, УПС, АВЗ, АНЗ, РСБ, ЗТС, ЗНИ.
Формула оценки соответствия:
Практический пример: Оценка угроз для 1С:Документооборот
Ниже приведен пример оценки 10 типовых угроз безопасности для системы 1С:Документооборот по всем 4 методологиям.
Перечень анализируемых угроз
| № | Угроза | ФСТЭК | NIST | ISO 27005 | Целевой компонент |
|---|---|---|---|---|---|
| 1 | SQL-инъекция в API | УБИ.1.2.1 | CAPEC-66 | T.7.2 | REST API / СУБД |
| 2 | НСД к БД по компрометированным паролям | УБИ.2.2.17 | CAPEC-70 | T.8.2 | SQL Server |
| 3 | Внедрение ВПО через внешнюю обработку 1С | УБИ.1.2.4 | CAPEC-17 | T.7.1 | Сервер 1С |
| 4 | Перехват сессии (MITM) | УБИ.1.2.10 | CAPEC-384 | T.5.1 | Сеть |
| 5 | DDoS на веб-клиент | УБИ.5.2.14 | CVE-2026-009 | T.3.2 | Apache |
| 6 | Инсайдерская кража ПДн | УБИ.2.2.18 | CAPEC-122 | T.8.2 | SQL Server |
| 7 | Шифровальщик через фишинг | УБИ.1.1.4 | CAPEC-163 | T.7.1 | АРМ (Windows) |
| 8 | Уязвимость Hasp-драйвера | УБИ.1.2.2 | CAPEC-176 | T.6.2 | Сервер 1С |
| 9 | Утечка через мобильный клиент | УБИ.1.10.1 | CAPEC-625 | T.4.1 | Мобильное устройство |
| 10 | Подмена журналов аудита | УБИ.1.2.12 | CAPEC-268 | T.8.2 | SQL Server / Логи |
Сводная карта сравнения оценок по методологиям
| № | Сценарий | ФСТЭК | NIST | ISO 27005 | Приоритет |
|---|---|---|---|---|---|
| 1 | SQL-инъекция в API | Актуальная | 49 HIGH | 20/25 Critical | КРИТИЧЕСКИЙ |
| 2 | НСД к БД | Актуальная | 49 HIGH | 20/25 Critical | КРИТИЧЕСКИЙ |
| 3 | Внедрение ВПО | Актуальная | 35 MOD | 12/25 Medium | ВЫСОКИЙ |
| 4 | MITM | Актуальная | 25 MOD | 9/25 Medium | СРЕДНИЙ |
| 5 | DDoS | Актуальная | 25 MOD | 9/25 Medium | СРЕДНИЙ |
| 6 | Кража ПДн админом | Актуальная | 49 HIGH | 15/25 Critical | ВЫСОКИЙ |
| 7 | Шифровальщик | Актуальная | 49 HIGH | 20/25 Critical | КРИТИЧЕСКИЙ |
| 8 | Уязвимость Hasp | Неактуальная | 5 LOW | 3/25 Low | НИЗКИЙ |
| 9 | Утечка с мобильного | Актуальная | 25 MOD | 6/25 Low | НИЗКИЙ |
| 10 | Подмена журналов | Актуальная | 25 MOD | 8/25 Medium | СРЕДНИЙ |