Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
RSS
[ Закрыто ] Модель нарушителя
Добрый день уважаемые форумчане.
Подскажите, где в документах ФСТЭК можно почитать про категории-типы-модели нарушителей.

В отраслевой модели угроз и нарушителя Минкомсвязи:
С точки зрения наличия права постоянного или разового доступа в контролируемую зону объектов размещения ИСПДн все физические лица могут быть отнесены к следующим двум категориям:
· категория I – лица, не имеющие права доступа в контролируемую зону ИСПДн;
· категория II – лица, имеющие право доступа в контролируемую зону ИСПДн.
Все потенциальные нарушители подразделяются на:
· внешних нарушителей, осуществляющих атаки из-за пределов контролируемой зоны ИСПДн;
· внутренних нарушителей, осуществляющих атаки, находясь в пределах контролируемой зоны ИСПДн

В отношении ИСПДн в качестве внешнего нарушителями из числа лиц категории I могут выступать:
· бывшие сотрудники предприятий отрасли;
· посторонние лица, пытающиеся получить доступ к ПДн в инициативном порядке;
· представители преступных организаций.
Внешний нарушитель может осуществлять:
· перехват обрабатываемых техническими средствами ИСПДн ПДн за счет их утечки по ТКУИ, в том числе с использованием портативных, возимых, носимых, а также автономных автоматических средств разведки серийной разработки;
· деструктивные воздействия через элементы информационной инфраструктуры ИСПДн, которые в процессе своего жизненного цикла (модернизация, сопровождение, ремонт, утилизация) оказываются за пределами КЗ;
· несанкционированный доступ к информации с использованием специальных программных воздействий посредством программы вирусов, вредоносных программ, алгоритмических или программных закладок;
· перехват информации, передаваемой по сетям связи общего пользования или каналам связи, не защищенным от несанкционированного доступа (НСД) к информации организационно- техническими мерами;
· атаки на ИСПДн путем реализации угроз удаленного доступа.
Внутренний нарушитель (лица категории II) подразделяется на восемь групп в зависимости от способа и полномочий доступа к информационным ресурсам (ИР) ИСПДн…

С этим все ясно.

ФСБ выделяет 6 типов нарушителей:
Данный раздел модели нарушителя имеет следующее типовое содержание.
Сначала все физические лица, имеющие доступ к техническим и программным средствам информационной системы, разделяются на следующие категории:
· категория I - лица, не имеющие права доступа в контролируемую зону информационной системы;
· категория II - лица, имеющие право постоянного или разового доступа в контролируемую зону информационной системы.
Далее все потенциальные нарушители подразделяются на:
· внешних нарушителей, осуществляющих атаки из-за пределов контролируемой зоны информационной системы;
· внутренних нарушителей, осуществляющих атаки, находясь в пределах контролируемой зоны информационной системы.
Констатируется, что:
· внешними нарушителями могут быть как лица категория I, так и лица категория II;
· внутренними нарушителями могут быть только лица категории II.


В инете встречал вот такую табличку:
Н1 - внешний нарушитель, действующий без помощи изнутри организации
Н2 - внутренний нарушитель, не являющийся пользователем СКЗИКС3
Н3 - внутренний нарушитель, являющийся пользователем СКЗИ
Н4 - нарушитель, привлекающий специалистов в области разработки и анализа СКЗИ
Н5 - нарушитель, привлекающий НИИ в области разработки и анализа СКЗИ
Н6 - спецслужбы иностранных государств

В ней говорится про модель нарушителя, хотя в методических рекомендациях (149/54-144) упоминается про тип нарушителя. Откуда взялась МОДЕЛЬ нарушителя, ума не приложу.

Погуглив, я наткнулся на 3 категории Внутреннего нарушителя. (откуда это взято не знаю, лично я выдрал из модели угроз для какой-то организации)
По признаку наличия права доступа в контролируемую зону ИС все нарушители делятся на две группы:
· внешние нарушители – физические лица, не имеющие права доступа в контролируемую зону ИС.
· внутренние нарушители – физические лица различных категорий, имеющие право санкционированного доступа в контролируемую зону ИС.

Внутренних нарушителей можно разделить на несколько типовых категорий (ролей).
Категория I – Зарегистрированные пользователи ИС:
– пользователи ИС, осуществляющие доступ к ресурсам ИС и, находящиеся в пределах контролируемой зоны (внутренние пользователи).
Категория II – Технический персонал ИС:
– специалисты по обслуживанию технических средств, сопровождению общесистемного и прикладного программного обеспечения;
– системные администраторы (осуществляют конфигурирование и настройку технических и программных средств, используемых в системе);
– администраторы информационной безопасности (осуществляющие конфигурирование и настройку технических и программных средств защиты информации).
Категория III – Физические лица, имеющие доступ в помещения с установленными техническими средствами ИС, но не являющиеся зарегистрированными пользователями и техническим персоналом ИС:
– обслуживающий персонал, проводящий работы в помещениях, в которых размещается оборудование ИС;
– уполномоченный персонал сторонних организаций, с которыми заключен договор на выполнение каких-либо работ, выполняющий работы в помещениях, в которых размещается оборудование ИС (в том числе работники );
– посетители (физические лица, имеющие право разового доступа в помещения ИС).


Встречал я на просторах инета табличку соотношения МОДЕЛЕЙ нарушителя (ФСБ) и категорий нарушителя:

Категория 1___Н1-Н3___3 тип угроз
Категория 2___Н4-Н5___2 тип угроз
Категория 3_____Н6____1 тип угроз



Откуда это все? Как это все? Я не понимаю.


Подскажите, чем надо руководствоваться при написании модели нарушителя для ИС без использования СКЗИ.

МР 149/54-144 указывает что при использовании СКЗИ, наряду с документами ФСТЭК нужно использовать документы ФСБ. Модель нарушителя по ФСБ ясна. Она четко прописывает нарушителя позарившегося на криптосредство и СФК. Да и в 378 приказе четко прописаны возможности опять же при использовании СКЗИ. А вот классификацию нарушителя положившего свой глаз на ПДн я не встречал. Не в новых документах (пп1119, п21,п17) ни в старых методичках.
2 Симак
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных

этот пробовал?
Цитата
Константин пишет:
2 Симак
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных

этот пробовал?
В ней нет ни слова про модель нарушителя.

Сегодня звонил во ФСТЭК по вопросу: "Чем руководствоваться при написании модели нарушителя? В 17 приказе в п 14.3 упоминается что модель нарушителя должна быть, а вот как её делать...?"
На все это получил ответ: Модели нарушителя это компетенция ФСБ.
Позвольте. но есть пункт 5.1 документа " Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных "??
Немного подумав, голос в телефонной трубке сказал что вполне можно использовать её.

Остался вопрос: как сопоставить нарушителей ФСТЭК с нарушителями ФСБ когда у нас в ИСПДн есть СКЗИ?
Симак, да, всё так: модель нарушителя - это вотчина ФСБ. Разработка осуществляется в соответствии с "Методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (ФСБ России, №149/54-144, 2008 г.)

И да, этот документ до сих пор актуален, так как ФСБ ничего нового на этот счет не представила, старый никто не отменял.
Цитата
Xenobius пишет:
Симак, да, всё так: модель нарушителя - это вотчина ФСБ. Разработка осуществляется в соответствии с "Методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (ФСБ России, №149/54-144, 2008 г.)

И да, этот документ до сих пор актуален, так как ФСБ ничего нового на этот счет не представила, старый никто не отменял.
Гм, в общем, передо мной лежат три документа которые мне предстоит свести в один.
1. 149/54-144
2. Базовая модель угроз
3. Приказ 378 (Почему? Там представлено предположение об имеющихся у нарушителя информации, средствах и прочего барахля для проведения атаки)

Причем, как я уже писал, по 149/54-144 6 типов нарушителей. По Базовой модели угроз 8 категорий только внутренних. А по 378-му конкретное сопоставление класса с предположениями.

Как определяется класс СКЗИ мы знаем . Но это по 378-му. А вот По 149/54-144 класс СКЗИ зависит от Уровня криптографической защиты.

Если я все правильно понял, то сведение документов ФСТЭК и ФСБ в один -тот ещё геморой.
Можно сделать два отдельных документа: модель угроз (а основании документа ФСТЭК) и модель нарушителя (на основании документов ФСБ). С моделью угроз - тут всё понятно. А в модели нарушителя указать, нужно ли использовать СКЗИ, и если да - то какого класса.
Страницы: 1
Читают тему (гостей: 4, пользователей: 0, из них скрытых: 0)