Что делать?
Составляем модель нарушителей: на что обратить внимание
Оператору персональных данных для корректной работы в правовом поле необходимо выполнить ряд требований законодательства. Одно из них – составление моделей угроз и нарушителей информационной системы. В этой статье мы рассмотрим модели нарушителей, а в следующей поговорим о модели угроз.
Правильно построенные модели угроз позволяют построить эффективную систему обеспечения ИБ. Система информационной защиты строится с опорой на них. Модель нарушителя – составная часть модели угроз.
Что такое модель нарушителя?
Модель нарушителя – это перечень вариантов действий одного или нескольких возможных нарушителей ИБ, их квалификации, рабочей техники и пр.
Рекомендации по составлению модели нарушителя дают ФСТЭК и ФСБ. Каждое из ведомств контролирует свою область: ФСБ отвечает за правильное использование средств криптографической защиты, ФСТЭК описывает виды и возможности нарушителей и их мотивацию.
Учреждения разработали свои рекомендации:
— Федеральная служба безопасности России составила «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности»,
— Федеральная служба по техническому и экспортному контролю написала «Методику определения угроз безопасности информации в информационных системах»,
собрала банк данных угроз безопасности информации.
Также полезными для оставления модели нарушителей будут эти документы:
— базовая модель угроз безопасности ПДн при их обработке в ИСПДн;
— методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн
Учитывая, что подходы у ведомств различаются, разработчики моделей угроз обычно составляют два документа: под требования обеих служб.
Модель нарушителя по ФСБ
В соответствии с требованиями ведомства по контролю использования средств криптографической защиты и среде их использования, выделяются шесть категорий возможностей, которыми могут обладать нарушители. Согласно им нарушители могут атаковать:
- только за пределами криптографической защиты (КЗ);
- в пределах КЗ без доступа к вычислительной технике (СВТ);
- в пределах КЗ с доступом к СВТ;
- с привлечением специалистов в области анализа сигналов линейной передачи и ПЭМИН (Побочных ЭлектроМагнитных Излучений и Наводки);
- с привлечением специалистов в области использования недекларированных возможностей (НДВ) прикладного ПО;
- с привлечением специалистов в области использования НДВ аппаратного и программного компонентов среды функционирования средств криптографической защиты информации (СКЗИ).
Каждая возможность соответствует определенному классу СКЗИ. В приказе ФСБ №378 сказано, что средства криптозащиты необходимо выбирать и использовать, опираясь на актуальную для информационной системы возможность.
Модель нарушителя по ФСТЭК
Как было сказано выше, ФСТЭК рассматривает различные виды нарушителей, их возможности и потенциал. Потенциал может быть низким, средним и высоким.
Нарушители с высоким потенциалом вносят закладки в программно-техническое обеспечение системы, применяют особые средства проникновения в систему и проводят специальные исследования. Эта категория выделена под иностранные спецслужбы;
Нарушители со средним потенциалом могут проводить анализ кода прикладного ПО, сопоставлять данные, находить уязвимости и использовать их. В эту категорию попадают конкуренты, системные администраторы и разработчики программного обеспечения, криминальные и террористические группы;
Нарушители с низким потенциалом используют для осуществления атак только доступные источники. К ним причисляются рядовые сотрудники организации, пользователи системы и люди, не имеющие отношение к компании.
Отсеять лишнее
После анализа данных необходимо определить, какие нарушители представляют для информационной системы угрозу и как их нейтрализовать. Для этого необходимо хотя бы предварительно классифицировать ИС. (поставить ссылку на Что на счет защиты: определяем необходимый уровень защищенности персональных данных)
Если информационная система государственная (ГИС), ответ дает пункт 25 приказа ФСТЭК №17. Там сказано, что для:
— ИС 1 класса система защиты должна нейтрализовать угрозы нарушителей высокого потенциала;
— ИС 2 класса – угрозы от нарушителей среднего потенциала;
— ИС 3 и 4 классов – угрозы от нарушителей низкого потенциала.
Для систем, которые к ГИС не относятся, типы угроз регламентирует постановление правительства 1119. В нем указано, что:
— угрозы 1 типа связаны с наличием недекларированных возможностей в системно ПО;
— угрозы 2 типа связаны с наличием недекларированных возможностей в прикладном ПО;
— угрозы 3 типа не связаны с наличием недекларированных возможностей в ПО.
После определения ИС нужно составить описание нарушителей, подходящих под модель, исключив нарушителей с более высоким потенциалом.
Объединение нарушителей
Зачастую, как было сказано ранее, сотрудники безопасность создают две модели нарушителей, по ФСБ и ФСТЭК. Дело в том, что объединение чаще всего представляется сложным или невозможным. Но если есть желание составить общую модель, портал Securitylab.ru, опираясь на описания возможных нарушителей, предлагает объединить нарушителей по ФСТЭК и ФСБ по следующему принципу:
— Нарушители с низким потенциалом по классификации ФСТЭК – это нарушители 1, 2, 3 типов по ФСБ;
— Нарушители со средним потенциалом у ФСТЭК – это нарушители 4,5 типов по классификации ФСБ;
— Нарушители с высоким потенциалом по ФСТЭК – это нарушители 6 типа у ФСБ.
Создаем модель нарушителя информационной безопасности пример
Необходимость разработки модели нарушителя безопасности информации регламентирована :
- Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»: статья 19 часть 5);
- Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности. Утвержден руководством 8 центра ФСБ России от 31.03.2015 г.;
- Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности. Утвержден приказом ФСБ России № 378 от 10.07.2014 г.
Документ модели нарушителя можно сформировать в автоматизированном режиме с помощью продукта DocShell.ru 4.0 (Докшел)
Огромный плюс сервиса — это интуитивно понятный интерфейс. Идешь по порядку по всем пунктам, следуя подсказкам и получаешь на выходе готовую модель. Помимо модели угроз, в Докшел можно составить модель нарушителя, политику конфиденциальности сайта и другие документы по персональным данным, требуемые законом № 152-фз.
Для подготовки модели угроз необходимо сначала заполнить следующие сведения:
- реквизиты
- цели, субъекты и правовые основания обработки персональных данных в разделе
- список информационных систем.
Необходимость модели можно отметить и вручную: просто нажмите на переключатель в столбце «Модель необходима». Используйте этот способ, если вы хотите создать модель нарушителя для определения класса защиты СКЗИ.
Далее заполняем структурно-функциональные характеристики системы
Указываем цели и задачи, решаемые системой — заполняем информацию о процессах, составе защиты и правовых основаниях работы системы. Далее по списку указываем применяемые в информационной системе защитные меры и средства защиты информации.
Так же нужно заполнить раздел Нарушители информационной безопасности
На вкладке представлены типы нарушителей информационной безопасности. Определите наличие/отсутствие мотивации у нарушителей каждого типа, возможный ущерб от их действий и способы реализации угрозы. Эта информация напрямую влияет на определение возможностей нарушителей.
После сохранения внесенных данных будет доступна вкладка «Дополнительные сведения».
Дополнительные сведения
Отмечаем привлекаются ли сторонние лица (лицензиаты) для разработки данной модели нарушителя.
Результат расчета модели нарушителя
Эта вкладка доступна всегда, на ней отображаются вычисляемые характеристики информационной системы. Влияние других параметров на вычисляемые показатели можно проверить в таблице «Результат расчета», не скачивая сам документ модели нарушителя.
После заполнения всех вкладок статус модели изменится на «Заполнено».
Скачиваем готовую модель нарушителя для информационных систем
После внесения всех необходимых сведений об информационной системе можно выгрузить документ «Модель нарушителя»:
- Перейдите в раздел «Работа с документами» — «Подготовка документов».
- Выберите документ «Модель нарушителя безопасности информации».
- Нажмите «Скачать». В открывшемся окне выберите доступные (заполненные) ИС.