Что делать?
Составляем модель нарушителей: на что обратить внимание
Оператору персональных данных для корректной работы в правовом поле необходимо выполнить ряд требований законодательства. Одно из них – составление моделей угроз и нарушителей информационной системы. В этой статье мы рассмотрим модели нарушителей, а в следующей поговорим о модели угроз. (ВСТАВИТЬ ССЫЛКУ НА ТЕКСТ ПРО МОДЕЛЬ УГРОЗ).
Правильно построенные модели угроз позволяют построить эффективную систему обеспечения ИБ. Система информационной защиты строится с опорой на них. Модель нарушителя – составная часть модели угроз.
Что такое модель нарушителя?
Модель нарушителя – это перечень вариантов действий одного или нескольких возможных нарушителей ИБ, их квалификации, рабочей техники и пр.
Рекомендации по составлению модели нарушителя дают ФСТЭК и ФСБ. Каждое из ведомств контролирует свою область: ФСБ отвечает за правильное использование средств криптографической защиты, ФСТЭК описывает виды и возможности нарушителей и их мотивацию.
Учреждения разработали свои рекомендации:
— Федеральная служба безопасности России составила «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности»,
— Федеральная служба по техническому и экспортному контролю написала «Методику определения угроз безопасности информации в информационных системах»,
собрала банк данных угроз безопасности информации.
Также полезными для оставления модели нарушителей будут эти документы:
— базовая модель угроз безопасности ПДн при их обработке в ИСПДн;
— методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн
Учитывая, что подходы у ведомств различаются, разработчики моделей угроз обычно составляют два документа: под требования обеих служб.
Модель нарушителя по ФСБ
В соответствии с требованиями ведомства по контролю использования средств криптографической защиты и среде их использования, выделяются шесть категорий возможностей, которыми могут обладать нарушители. Согласно им нарушители могут атаковать:
- только за пределами криптографической защиты (КЗ);
- в пределах КЗ без доступа к вычислительной технике (СВТ);
- в пределах КЗ с доступом к СВТ;
- с привлечением специалистов в области анализа сигналов линейной передачи и ПЭМИН (Побочных ЭлектроМагнитных Излучений и Наводки);
- с привлечением специалистов в области использования недекларированных возможностей (НДВ) прикладного ПО;
- с привлечением специалистов в области использования НДВ аппаратного и программного компонентов среды функционирования средств криптографической защиты информации (СКЗИ).
Каждая возможность соответствует определенному классу СКЗИ. В приказе ФСБ №378 сказано, что средства криптозащиты необходимо выбирать и использовать, опираясь на актуальную для информационной системы возможность.
Модель нарушителя по ФСТЭК
Как было сказано выше, ФСТЭК рассматривает различные виды нарушителей, их возможности и потенциал. Потенциал может быть низким, средним и высоким.
Нарушители с высоким потенциалом вносят закладки в программно-техническое обеспечение системы, применяют особые средства проникновения в систему и проводят специальные исследования. Эта категория выделена под иностранные спецслужбы;
Нарушители со средним потенциалом могут проводить анализ кода прикладного ПО, сопоставлять данные, находить уязвимости и использовать их. В эту категорию попадают конкуренты, системные администраторы и разработчики программного обеспечения, криминальные и террористические группы;
Нарушители с низким потенциалом используют для осуществления атак только доступные источники. К ним причисляются рядовые сотрудники организации, пользователи системы и люди, не имеющие отношение к компании.
Отсеять лишнее
После анализа данных необходимо определить, какие нарушители представляют для информационной системы угрозу и как их нейтрализовать. Для этого необходимо хотя бы предварительно классифицировать ИС. (поставить ссылку на Что на счет защиты: определяем необходимый уровень защищенности персональных данных)
Если информационная система государственная (ГИС), ответ дает пункт 25 приказа ФСТЭК №17. Там сказано, что для:
— ИС 1 класса система защиты должна нейтрализовать угрозы нарушителей высокого потенциала;
— ИС 2 класса – угрозы от нарушителей среднего потенциала;
— ИС 3 и 4 классов – угрозы от нарушителей низкого потенциала.
Для систем, которые к ГИС не относятся, типы угроз регламентирует постановление правительства 1119. В нем указано, что:
— угрозы 1 типа связаны с наличием недекларированных возможностей в системно ПО;
— угрозы 2 типа связаны с наличием недекларированных возможностей в прикладном ПО;
— угрозы 3 типа не связаны с наличием недекларированных возможностей в ПО.
После определения ИС нужно составить описание нарушителей, подходящих под модель, исключив нарушителей с более высоким потенциалом.
Объединение нарушителей
Зачастую, как было сказано ранее, сотрудники безопасность создают две модели нарушителей, по ФСБ и ФСТЭК. Дело в том, что объединение чаще всего представляется сложным или невозможным. Но если есть желание составить общую модель, портал Securitylab.ru, опираясь на описания возможных нарушителей, предлагает объединить нарушителей по ФСТЭК и ФСБ по следующему принципу:
— Нарушители с низким потенциалом по классификации ФСТЭК – это нарушители 1, 2, 3 типов по ФСБ;
— Нарушители со средним потенциалом у ФСТЭК – это нарушители 4,5 типов по классификации ФСБ;
— Нарушители с высоким потенциалом по ФСТЭК – это нарушители 6 типа у ФСБ.