|
|
@@ -0,0 +1,121 @@
|
|
|
+# Составляем модель нарушителей:
|
|
|
+
|
|
|
+Оператору персональных данных для корректной работы в правовом поле необходимо выполнить ряд требований законодательства. Одно из них – составление моделей угроз и нарушителей информационной системы. В этой статье мы рассмотрим модели нарушителей, а в следующей поговорим о модели угроз. (ВСТАВИТЬ ССЫЛКУ НА ТЕКСТ ПРО МОДЕЛЬ УГРОЗ).
|
|
|
+
|
|
|
+Правильно построенные модели угроз позволяют построить эффективную систему обеспечения ИБ. Система информационной защиты строится с опорой на них. Модель нарушителя – составная часть модели угроз.
|
|
|
+
|
|
|
+# Что такое модель нарушителя?
|
|
|
+
|
|
|
+Модель нарушителя – это перечень вариантов действий одного или нескольких возможных нарушителей ИБ, их квалификации, рабочей техники и пр.
|
|
|
+
|
|
|
+Рекомендации по составлению модели нарушителя дают ФСТЭК и ФСБ. Каждое из ведомств контролирует свою область: ФСБ отвечает за правильное использование средств криптографической защиты, ФСТЭК описывает виды и возможности нарушителей и их мотивацию.
|
|
|
+
|
|
|
+Учреждения разработали свои рекомендации:
|
|
|
+
|
|
|
+— Федеральная служба безопасности России составила «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности»,
|
|
|
+
|
|
|
+— Федеральная служба по техническому и экспортному контролю написала «Методику определения угроз безопасности информации в информационных системах»,
|
|
|
+
|
|
|
+собрала банк данных угроз безопасности информации.
|
|
|
+
|
|
|
+Также полезными для оставления модели нарушителей будут эти документы:
|
|
|
+
|
|
|
+— базовая модель угроз безопасности ПДн при их обработке в ИСПДн;
|
|
|
+
|
|
|
+— методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн
|
|
|
+
|
|
|
+Учитывая, что подходы у ведомств различаются, разработчики моделей угроз обычно составляют два документа: под требования обеих служб.
|
|
|
+
|
|
|
+# Модель нарушителя по ФСБ
|
|
|
+
|
|
|
+В соответствии с требованиями ведомства по контролю использования средств криптографической защиты и среде их использования, выделяются шесть категорий возможностей, которыми могут обладать нарушители. Согласно им нарушители могут атаковать:
|
|
|
+
|
|
|
+1. только за пределами криптографической защиты (КЗ);
|
|
|
+1. в пределах КЗ без доступа к вычислительной технике (СВТ);
|
|
|
+1. в пределах КЗ с доступом к СВТ
|
|
|
+1. с привлечением специалистов в области анализа сигналов линейной передачи и ПЭМИН (Побочных ЭлектроМагнитных Излучений и Наводки);
|
|
|
+1. с привлечением специалистов в области использования недекларированных возможностей (НДВ) прикладного ПО;
|
|
|
+1. с привлечением специалистов в области использования НДВ аппаратного и программного компонентов среды функционирования средств криптографической защиты информации (СКЗИ).
|
|
|
+
|
|
|
+Каждая возможность соответствует определенному классу СКЗИ. В приказе ФСБ №378 сказано, что средства криптозащиты необходимо выбирать и использовать, опираясь на актуальную для информационной системы возможность.
|
|
|
+
|
|
|
+# Модель нарушителя по ФСТЭК
|
|
|
+
|
|
|
+Как было сказано выше, ФСТЭК рассматривает различные виды нарушителей, их возможности и потенциал. Потенциал может быть низким, средним и высоким.
|
|
|
+
|
|
|
+Нарушители с высоким потенциалом вносят закладки в программно-техническое обеспечение системы, применяют особые средства проникновения в систему и проводят специальные исследования. Эта категория выделена под иностранные спецслужбы;
|
|
|
+
|
|
|
+Нарушители со средним потенциалом могут проводить анализ кода прикладного ПО, сопоставлять данные, находить уязвимости и использовать их. В эту категорию попадают конкуренты, системные администраторы и разработчики программного обеспечения, криминальные и террористические группы;
|
|
|
+
|
|
|
+Нарушители с низким потенциалом используют для осуществления атак только доступные источники. К ним причисляются рядовые сотрудники организации, пользователи системы и люди, не имеющие отношение к компании.
|
|
|
+
|
|
|
+# Отсеять лишнее
|
|
|
+
|
|
|
+После анализа данных необходимо определить, какие нарушители представляют для информационной системы угрозу и как их нейтрализовать. Для этого необходимо хотя бы предварительно классифицировать ИС. (поставить ссылку на Что на счет защиты: определяем необходимый уровень защищенности персональных данных)
|
|
|
+
|
|
|
+Если информационная система государственная (ГИС), ответ дает пункт 25 приказа ФСТЭК №17. Там сказано, что для:
|
|
|
+
|
|
|
+— ИС 1 класса система защиты должна нейтрализовать угрозы нарушителей высокого потенциала;
|
|
|
+
|
|
|
+— ИС 2 класса – угрозы от нарушителей среднего потенциала;
|
|
|
+
|
|
|
+— ИС 3 и 4 классов – угрозы от нарушителей низкого потенциала.
|
|
|
+
|
|
|
+Для систем, которые к ГИС не относятся, типы угроз регламентирует постановление правительства 1119. В нем указано, что:
|
|
|
+
|
|
|
+— угрозы 1 типа связаны с наличием недекларированных возможностей в системно ПО;
|
|
|
+
|
|
|
+— угрозы 2 типа связаны с наличием недекларированных возможностей в прикладном ПО;
|
|
|
+
|
|
|
+— угрозы 3 типа не связаны с наличием недекларированных возможностей в ПО.
|
|
|
+
|
|
|
+После определения ИС нужно составить описание нарушителей, подходящих под модель, исключив нарушителей с более высоким потенциалом.
|
|
|
+
|
|
|
+# Объединение нарушителей
|
|
|
+
|
|
|
+Зачастую, как было сказано ранее, сотрудники безопасность создают две модели нарушителей, по ФСБ и ФСТЭК. Дело в том, что объединение чаще всего представляется сложным или невозможным. Но если есть желание составить общую модель, портал Securitylab.ru, опираясь на описания возможных нарушителей, предлагает объединить нарушителей по ФСТЭК и ФСБ по следующему принципу:
|
|
|
+
|
|
|
+— Нарушители с низким потенциалом по классификации ФСТЭК – это нарушители 1, 2, 3 типов по ФСБ;
|
|
|
+
|
|
|
+— Нарушители со средним потенциалом у ФСТЭК – это нарушители 4,5 типов по классификации ФСБ;
|
|
|
+
|
|
|
+— Нарушители с высоким потенциалом по ФСТЭК – это нарушители 6 типа у ФСБ.
|
|
|
+
|
|
|
+# Вопросы
|
|
|
+
|
|
|
+1. Модель нарушителя это?
|
|
|
+
|
|
|
+- **это перечень вариантов действий одного или нескольких возможных нарушителей ИБ, их квалификации, рабочей техники и пр.**
|
|
|
+
|
|
|
+- методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн
|
|
|
+
|
|
|
+- использование недекларированных возможностей (НДВ) прикладного ПО;
|
|
|
+
|
|
|
+2.Нарушители с высоким потенциалом
|
|
|
+
|
|
|
+- **вносят закладки в программно-техническое обеспечение системы, применяют особые средства проникновения в систему и проводят специальные исследования. Эта категория выделена под иностранные спецслужбы;**
|
|
|
+
|
|
|
+- используют для осуществления атак только доступные источники. К ним причисляются рядовые сотрудники организации, пользователи системы и люди, не имеющие отношение к компании.
|
|
|
+
|
|
|
+- анализ кода прикладного ПО, сопоставлять данные, находить уязвимости и использовать их. В эту категорию попадают конкуренты, системные администраторы и разработчики программного обеспечения, криминальные и террористические группы;
|
|
|
+
|
|
|
+3.Нарушители со средним потенциалом
|
|
|
+
|
|
|
+- вносят закладки в программно-техническое обеспечение системы, применяют особые средства проникновения в систему и проводят специальные исследования. Эта категория выделена под иностранные спецслужбы
|
|
|
+
|
|
|
+- ** могут проводить анализ кода прикладного ПО, сопоставлять данные, находить уязвимости и использовать их. В эту категорию попадают конкуренты, системные администраторы и разработчики программного обеспечения, криминальные и террористические группы;**
|
|
|
+
|
|
|
+
|
|
|
+- используют для осуществления атак только доступные источники. К ним причисляются рядовые сотрудники организации, пользователи системы и люди, не имеющие отношение к компании.
|
|
|
+
|
|
|
+4.Нарушители с низким потенциалом
|
|
|
+
|
|
|
+- могут проводить анализ кода прикладного ПО, сопоставлять данные, находить уязвимости и использовать их. В эту категорию попадают конкуренты, системные администраторы и разработчики программного обеспечения, криминальные и террористические группы
|
|
|
+
|
|
|
+- могут проводить анализ кода прикладного ПО, сопоставлять данные, находить уязвимости и использовать их. В эту категорию попадают конкуренты, системные администраторы и разработчики программного обеспечения, криминальные и террористические группы
|
|
|
+
|
|
|
+- **используют для осуществления атак только доступные источники. К ним причисляются рядовые сотрудники организации, пользователи системы и люди, не имеющие отношение к компании.**
|
|
|
+
|
|
|
+# Список литературы
|
|
|
+
|
|
|
+- https://zakon152.ru/2020/01/09/sostavlyaem-model-narushitelej-na-chto-obratit-vnimanie/
|
sindzi