Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

В России хотят создать мегарегулятора информационной безопасности, взяв пример с США

18/11/2017

В рамках реализации программы «Цифровая экономика» предлагается определить единый госорган, ответственный за требования к средствам информационной безопасности.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
Ответить
RSS
Модель нарушителя
Добрый день уважаемые форумчане.
Подскажите, где в документах ФСТЭК можно почитать про категории-типы-модели нарушителей.

В отраслевой модели угроз и нарушителя Минкомсвязи:
С точки зрения наличия права постоянного или разового доступа в контролируемую зону объектов размещения ИСПДн все физические лица могут быть отнесены к следующим двум категориям:
· категория I – лица, не имеющие права доступа в контролируемую зону ИСПДн;
· категория II – лица, имеющие право доступа в контролируемую зону ИСПДн.
Все потенциальные нарушители подразделяются на:
· внешних нарушителей, осуществляющих атаки из-за пределов контролируемой зоны ИСПДн;
· внутренних нарушителей, осуществляющих атаки, находясь в пределах контролируемой зоны ИСПДн

В отношении ИСПДн в качестве внешнего нарушителями из числа лиц категории I могут выступать:
· бывшие сотрудники предприятий отрасли;
· посторонние лица, пытающиеся получить доступ к ПДн в инициативном порядке;
· представители преступных организаций.
Внешний нарушитель может осуществлять:
· перехват обрабатываемых техническими средствами ИСПДн ПДн за счет их утечки по ТКУИ, в том числе с использованием портативных, возимых, носимых, а также автономных автоматических средств разведки серийной разработки;
· деструктивные воздействия через элементы информационной инфраструктуры ИСПДн, которые в процессе своего жизненного цикла (модернизация, сопровождение, ремонт, утилизация) оказываются за пределами КЗ;
· несанкционированный доступ к информации с использованием специальных программных воздействий посредством программы вирусов, вредоносных программ, алгоритмических или программных закладок;
· перехват информации, передаваемой по сетям связи общего пользования или каналам связи, не защищенным от несанкционированного доступа (НСД) к информации организационно- техническими мерами;
· атаки на ИСПДн путем реализации угроз удаленного доступа.
Внутренний нарушитель (лица категории II) подразделяется на восемь групп в зависимости от способа и полномочий доступа к информационным ресурсам (ИР) ИСПДн…

С этим все ясно.

ФСБ выделяет 6 типов нарушителей:
Данный раздел модели нарушителя имеет следующее типовое содержание.
Сначала все физические лица, имеющие доступ к техническим и программным средствам информационной системы, разделяются на следующие категории:
· категория I - лица, не имеющие права доступа в контролируемую зону информационной системы;
· категория II - лица, имеющие право постоянного или разового доступа в контролируемую зону информационной системы.
Далее все потенциальные нарушители подразделяются на:
· внешних нарушителей, осуществляющих атаки из-за пределов контролируемой зоны информационной системы;
· внутренних нарушителей, осуществляющих атаки, находясь в пределах контролируемой зоны информационной системы.
Констатируется, что:
· внешними нарушителями могут быть как лица категория I, так и лица категория II;
· внутренними нарушителями могут быть только лица категории II.


В инете встречал вот такую табличку:
Н1 - внешний нарушитель, действующий без помощи изнутри организации
Н2 - внутренний нарушитель, не являющийся пользователем СКЗИКС3
Н3 - внутренний нарушитель, являющийся пользователем СКЗИ
Н4 - нарушитель, привлекающий специалистов в области разработки и анализа СКЗИ
Н5 - нарушитель, привлекающий НИИ в области разработки и анализа СКЗИ
Н6 - спецслужбы иностранных государств

В ней говорится про модель нарушителя, хотя в методических рекомендациях (149/54-144) упоминается про тип нарушителя. Откуда взялась МОДЕЛЬ нарушителя, ума не приложу.

Погуглив, я наткнулся на 3 категории Внутреннего нарушителя. (откуда это взято не знаю, лично я выдрал из модели угроз для какой-то организации)
По признаку наличия права доступа в контролируемую зону ИС все нарушители делятся на две группы:
· внешние нарушители – физические лица, не имеющие права доступа в контролируемую зону ИС.
· внутренние нарушители – физические лица различных категорий, имеющие право санкционированного доступа в контролируемую зону ИС.

Внутренних нарушителей можно разделить на несколько типовых категорий (ролей).
Категория I – Зарегистрированные пользователи ИС:
– пользователи ИС, осуществляющие доступ к ресурсам ИС и, находящиеся в пределах контролируемой зоны (внутренние пользователи).
Категория II – Технический персонал ИС:
– специалисты по обслуживанию технических средств, сопровождению общесистемного и прикладного программного обеспечения;
– системные администраторы (осуществляют конфигурирование и настройку технических и программных средств, используемых в системе);
– администраторы информационной безопасности (осуществляющие конфигурирование и настройку технических и программных средств защиты информации).
Категория III – Физические лица, имеющие доступ в помещения с установленными техническими средствами ИС, но не являющиеся зарегистрированными пользователями и техническим персоналом ИС:
– обслуживающий персонал, проводящий работы в помещениях, в которых размещается оборудование ИС;
– уполномоченный персонал сторонних организаций, с которыми заключен договор на выполнение каких-либо работ, выполняющий работы в помещениях, в которых размещается оборудование ИС (в том числе работники );
– посетители (физические лица, имеющие право разового доступа в помещения ИС).


Встречал я на просторах инета табличку соотношения МОДЕЛЕЙ нарушителя (ФСБ) и категорий нарушителя:

Категория 1___Н1-Н3___3 тип угроз
Категория 2___Н4-Н5___2 тип угроз
Категория 3_____Н6____1 тип угроз



Откуда это все? Как это все? Я не понимаю.


Подскажите, чем надо руководствоваться при написании модели нарушителя для ИС без использования СКЗИ.

МР 149/54-144 указывает что при использовании СКЗИ, наряду с документами ФСТЭК нужно использовать документы ФСБ. Модель нарушителя по ФСБ ясна. Она четко прописывает нарушителя позарившегося на криптосредство и СФК. Да и в 378 приказе четко прописаны возможности опять же при использовании СКЗИ. А вот классификацию нарушителя положившего свой глаз на ПДн я не встречал. Не в новых документах (пп1119, п21,п17) ни в старых методичках.
2 Симак
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных

этот пробовал?
Цитата
Константин пишет:
2 Симак
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных

этот пробовал?
В ней нет ни слова про модель нарушителя.

Сегодня звонил во ФСТЭК по вопросу: "Чем руководствоваться при написании модели нарушителя? В 17 приказе в п 14.3 упоминается что модель нарушителя должна быть, а вот как её делать...?"
На все это получил ответ: Модели нарушителя это компетенция ФСБ.
Позвольте. но есть пункт 5.1 документа " Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных "??
Немного подумав, голос в телефонной трубке сказал что вполне можно использовать её.

Остался вопрос: как сопоставить нарушителей ФСТЭК с нарушителями ФСБ когда у нас в ИСПДн есть СКЗИ?
Симак, да, всё так: модель нарушителя - это вотчина ФСБ. Разработка осуществляется в соответствии с "Методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (ФСБ России, №149/54-144, 2008 г.)

И да, этот документ до сих пор актуален, так как ФСБ ничего нового на этот счет не представила, старый никто не отменял.
Цитата
Xenobius пишет:
Симак, да, всё так: модель нарушителя - это вотчина ФСБ. Разработка осуществляется в соответствии с "Методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (ФСБ России, №149/54-144, 2008 г.)

И да, этот документ до сих пор актуален, так как ФСБ ничего нового на этот счет не представила, старый никто не отменял.
Гм, в общем, передо мной лежат три документа которые мне предстоит свести в один.
1. 149/54-144
2. Базовая модель угроз
3. Приказ 378 (Почему? Там представлено предположение об имеющихся у нарушителя информации, средствах и прочего барахля для проведения атаки)

Причем, как я уже писал, по 149/54-144 6 типов нарушителей. По Базовой модели угроз 8 категорий только внутренних. А по 378-му конкретное сопоставление класса с предположениями.

Как определяется класс СКЗИ мы знаем . Но это по 378-му. А вот По 149/54-144 класс СКЗИ зависит от Уровня криптографической защиты.

Если я все правильно понял, то сведение документов ФСТЭК и ФСБ в один -тот ещё геморой.
Можно сделать два отдельных документа: модель угроз (а основании документа ФСТЭК) и модель нарушителя (на основании документов ФСБ). С моделью угроз - тут всё понятно. А в модели нарушителя указать, нужно ли использовать СКЗИ, и если да - то какого класса.
Страницы: 1
Ответить
Читают тему (гостей: 4, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку