- Что будет если скрестить ежа и ужа?
- Полтора метра
колючей проволоки!
Те кто уже успел изучить новые методики регуляторов по моделированию угроз, наверное заметили, что большое внимание уделяется описанию потенциального нарушителя. Например, в проекте методики моделирования угроз от ФСТЭК подробно описаны виды нарушителей и их мотивация. В банке угроз ФСТЭК, для каждой угрозы задан тип и потенциал нарушителя, который может ее реализовать. В общем, модель нарушителя перестает быть простой формальностью и начинает оказывать большое влияние на перечень актуальных угроз.
Проблема в том, что подходы двух регуляторов (ФСБ и ФСТЭК) к формированию модели нарушителя, несколько отличаются. ФСБ отвечает за регулирование в области криптографии и ее методика в основном служит для выбора класса криптосредств. Соответственно, ФСБ при описании нарушителя делает упор на возможностях нарушителя по атакам на криптосредства и среду их функционирования (СФ). Методика ФСТЭК более широкая и описывает возможности нарушителя по атакам на систему в целом.
В результате перед разработчиком модели угроз стоит выбор: либо сделать две модели нарушителя по разным методикам, либо пытаться объединить подходы обоих регуляторов в едином документе.
Поэтому обычно разрабатывается два документа: модель угроз ФСТЭК (включающая свое описание нарушителей) и, отдельно, модель нарушителя ФСБ. По крайней мере так поступали безопасники в большинстве проектов, которые я видел. Две модели нарушителя в одном проекте - это то не очень логично.
В связи с выходом новых документов ФСТЭК и ФСБ, интересно насколько сблизились подходы регуляторов к к описанию потенциальных нарушителей. Стала модель нарушителя более логичной?
Модель нарушителя по ФСТЭК
В проекте методики ФСТЭК перечислены виды нарушителей и их потенциал. Потенциал нарушителя может быть высоким, средним или низким. Для каждого из вариантов задан свой набор возможностей:
Так, нарушители с низким потенциалом могут для реализации атак использовать информацию только из общедоступных источников. К нарушителям с низким потенциалом ФСТЭК относит любых "внешних" лиц, а также внутренний персонал и пользователей системы.
Нарушители со средним потенциалом имеют возможность проводить анализ кода прикладного программного обеспечения, самостоятельно находить в нем уязвимости и использовать их. К таким нарушителям ФСТЭК относит террористические и криминальные группы, конкурирующие организации, администраторов системы и разработчиков ПО.
Нарушители с высоким потенциалом имеют возможность вносить закладки в программно-техническое обеспечение системы, проводить специальные исследования и применять спец. средства проникновения и добывания информации. К таким нарушителям ФСТЭК относит только иностранные спецслужбы.
Возможности нарушителей по ФСБ
Как уже говорилось выше, у ФСБ своя методика угроз, с криптосредствами и СФ :) В недавно вышедших методических рекомендациях приводится 6 обобщенных возможностей нарушителей:
1) Возможность проводить атаки только за пределами КЗ;
2) Возможность проводить атаки в пределах КЗ, но без физического доступа к СВТ.
3) Возможность проводить атаки в пределах КЗ, с физическим доступом к СВТ.
4) Возможность привлекать специалистов, имеющих опыт в области анализа сигналов линейной передачи и ПЭМИН;
5) Возможность привлекать специалистов, имеющих опыт в области использования НДВ прикладного ПО;
6) Возможность привлекать специалистов, имеющих опыт в области использования НДВ аппаратного и программного компонентов среды функционирования СКЗИ.
Эти возможности соответствуют классам криптосредств (СКЗИ). В зависимости от того, какую возможность мы признаем актуальной, необходимо использовать СКЗИ соответствующего класса. Подробнее это детализировано в другом документе - в приказе ФСБ №378.
Конкретных примеров нарушителей (террористы, конкуренты и т.д.) в своих новых документах ФСБ не дает. Но вспомним, что ранее были методические рекомендации ФСБ 2008 г.. В них то как раз рассказывалось о 6 типах нарушителей, которые обозначались как Н1- Н6. Возможности описанные в новых документах ФСБ соответствуют тем самым нарушителям Н1 - Н6 из старых методических рекомендаций.
Объединяем нарушителей ФСТЭК и ФСБ
Если прочесть описание возможностей нарушителя, то можно заметить, что оба регулятора уделяют внимание возможностям нарушителя по использованию НДВ. Сравнив описания нарушителей у ФСТЭК и ФСБ, получим примерно следующее:
- Нарушители с низким потенциалом по ФСТЭК – это нарушители Н1-Н3 по классификации ФСБ;
- Нарушитель со средним потенциалом по ФСТЭК – это нарушители Н4-Н5 по классификации ФСБ.;
- Нарушитель с высоким потенциалом по ФСТЭК – это нарушитель Н6 по ФСБ (т.е. сотрудник иностранной технической разведки).
Таким образом, для каждого нарушителя из методики ФСТЭК можно взять вполне определенный набор свойств из методики ФСБ.
Выбираем подходящих нарушителей и избавляемся от остальных
Остается только определиться, каких нарушителей рассматривать для конкретной информационной системы. А это регулятор сам подсказывает нам, уже на этапе классификации системы.
В случае государственной информационной системы, приглядимся к п.25 приказа ФСТЭК №17. В нем сказано:
Выбираем подходящих нарушителей и избавляемся от остальных
Остается только определиться, каких нарушителей рассматривать для конкретной информационной системы. А это регулятор сам подсказывает нам, уже на этапе классификации системы.
В случае государственной информационной системы, приглядимся к п.25 приказа ФСТЭК №17. В нем сказано:
- для информационных систем 1 класса защищенности, система защиты должна обеспечивать нейтрализацию угроз от нарушителя с высоким потенциалом;
- для информационных систем 2 класса защищенности - нейтрализацию угроз от нарушителя со средним потенциалом;
- для информационных систем 3 и 4 классов защищенности- нейтрализацию угроз от нарушителя с низким потенциалом.
То есть, хотя бы предварительно классифицировав систему, мы можем сделать вывод о том, какие виды нарушителей регулятор считает для нее актуальными.
Остается лишь описать данных нарушителей в модели нарушителя, а нарушителей с более высоким потенциалом исключить. Аргументы для исключения "лишних" нарушителей можно взять из приложения к методике моделирования угроз ФСБ.
Остается лишь описать данных нарушителей в модели нарушителя, а нарушителей с более высоким потенциалом исключить. Аргументы для исключения "лишних" нарушителей можно взять из приложения к методике моделирования угроз ФСБ.
В случае, если система не относится к ГИС, стоит взглянуть на три типа угроз из ПП 1119:
- Угрозы 1-го типа - связаны с наличием НДВ в системном ПО.
- Угрозы 2-го типа связаны с наличием НДВ в прикладном ПО.
- Угрозы 3-го типа не связаны с наличием НДВ в ПО.
Угрозы 1 типа явно может использовать только нарушитель с высоким потенциалом. Угрозы 2 типа - нарушитель со средним потенциалом, а угрозы 3 типа - с низким. Поскольку большинство операторов рассматривают актуальными только угрозы 3 типа, то потенциал у нарушителей будет низкий.
Резюме
У новых методик ФСТЭК и ФСБ есть внятные точки соприкосновения. Грамотно комбинируя обе методики, можно разработать общую и непротиворечивую модель угроз. А заодно и снизить потенциал нарушителя и класс используемых средств защиты.
- Многое зависит и от класса (уровня защищенности) информационной системы. Нужно проявлять осторожность и не завышать класс без веских на то оснований. Иначе можно "попасть" на нарушителей со средним и высоким потенциалом (и получить повышенные требования к средствам защиты).
- Для каждого класса можно подобрать подходящих нарушителей из методики ФСТЭК (при этом обоснованно исключив остальных нарушителей).
- Каждый нарушитель из методики ФСТЭК соотносится с определенным типом нарушителей из методики ФСБ (а также с соответствующим классом криптосредств)
ПП
1119
|
Приказ
ФСТЭК №17
|
Проект
методики определения угроз ФСТЭК
|
Методические
рекомендации ФСБ по моделированию угроз
|
Метод.
рек. ФСБ 2008
|
Приказ
ФСБ 378
|
||
Тип
угроз
|
Класс
ГИС и соотв. набор мер
|
Потенциал
нарушителя
|
Вид нарушителя
|
Обобщенные
возможности нарушителя относительно СКЗИ
|
Тип
нарушителя ФСБ
|
Класс
СКЗИ
|
|
3 тип
|
К3,
К4
|
Низкий
|
Внешние субъекты (физические лица)
|
Возможность
самостоятельно осуществлять создание способов атак, подготовку
и проведение атак
только за пределами контролируемой зоны
|
Н1
|
КС1
|
|
Бывшие
работники (пользователи)
|
|||||||
Лица,
обеспечивающие функционирование информационных систем или обслуживающих
инфраструктуру оператора
|
Возможность
самостоятельно осуществлять создание способов атак, подготовку
и проведение атак
в пределах контролируемой зоны,
но без физического
доступа к аппаратным средствам
(далее – АС), на которых реализованы СКЗИ и среда их
функционирования
|
Н2
|
КС2
|
||||
Лица,
привлекаемые для установки, наладки, монтажа, пуско-наладочных и иных работ
|
Возможность
самостоятельно осуществлять создание способов атак, подготовку
и проведение атак
в пределах контролируемой зоны
с физическим доступом
к АС, на которых реализованы СКЗИ и среда их
функционирования
|
Н3
|
КС3
|
||||
Пользователи
информационной системы
|
|||||||
2 тип
|
К2
|
Средний
|
Администраторы
информационной
системы
и администраторы безопасности
|
Возможность привлекать
специалистов, имеющих опыт
разработки
и анализа СКЗИ (включая специалистов в области
анализа сигналов
линейной передачи и
сигналов побочного
электромагнитного
излучения и наводок СКЗИ)
|
Н4
|
КВ
|
|
Террористические,
экстремистские группировки
|
|||||||
Возможность привлекать
специалистов, имеющих опыт
разработки
и анализа СКЗИ (включая специалистов в области
использования для
реализации атак недокументированных
возможностей
прикладного программного обеспечения)
|
Н5
|
||||||
Преступные
группы (криминальные структуры)
|
|||||||
Конкурирующие
организации
|
|||||||
Разработчики, производители,
поставщики программных, технических
и программно-технических средств
|
|||||||
3 тип
|
К1
|
Высокий
|
Специальные
службы иностранных государств (блоков государств)
|
Возможность привлекать
специалистов, имеющих опыт разработки и анализа СКЗИ (включая
специалистов в области
использования для
реализации атак недокументированных возможностей аппаратного
и программного компонентов среды функционирования СКЗИ)
|
Н6
|
КА
|
Булат, благодарю Вас за статью!
ОтветитьУдалитьПожалуй, единственная адекватная, на сегодняшний день, по объединенным актуальным методикам ОИВ!
Спасибо! Загляните еще на мой сайт www.threat-model.com. Там разработка модели нарушителя тоже частично автоматизирована.
УдалитьБулат, а на Вашем веб-ресурсе перечень угроз БИ актуальный(согласно БДУ)? Или с какой периодичностью пополняется реестр? Благодарю!
ОтветитьУдалить