четверг, 9 июля 2015 г.

Методика разработки модели нарушителя: как скрестить ежа и ужа





- Что будет если скрестить ежа и ужа?
- Полтора метра колючей проволоки!

Те кто уже успел изучить новые методики регуляторов по моделированию угроз, наверное заметили, что большое внимание уделяется описанию потенциального нарушителя. Например, в проекте методики моделирования угроз от ФСТЭК подробно описаны виды нарушителей и их мотивация. В банке угроз ФСТЭК, для каждой угрозы задан тип и потенциал нарушителя, который может ее реализовать. В общем, модель нарушителя перестает быть простой формальностью и начинает оказывать большое влияние на перечень актуальных угроз.

Проблема в том, что подходы двух регуляторов (ФСБ и ФСТЭК) к формированию модели нарушителя, несколько отличаются. ФСБ отвечает за регулирование в области криптографии и ее методика в основном служит для выбора класса криптосредств. Соответственно, ФСБ при описании нарушителя делает упор на возможностях нарушителя по атакам на криптосредства и среду их функционирования (СФ). Методика ФСТЭК более широкая и описывает возможности нарушителя по атакам на систему в целом.

В результате перед разработчиком модели угроз стоит выбор: либо сделать две модели нарушителя по разным методикам, либо пытаться объединить подходы обоих регуляторов в едином документе.

Поэтому обычно разрабатывается два документа: модель угроз ФСТЭК (включающая свое описание нарушителей) и, отдельно, модель нарушителя ФСБ. По крайней мере так поступали безопасники в большинстве проектов, которые я видел. Две модели нарушителя в одном проекте - это то не очень логично.

В связи с выходом новых документов ФСТЭК и ФСБ, интересно насколько сблизились подходы регуляторов к к описанию потенциальных нарушителей. Стала модель нарушителя более логичной?

Модель нарушителя по ФСТЭК

В проекте методики ФСТЭК перечислены виды нарушителей и их потенциал. Потенциал нарушителя может быть высоким, средним или низким. Для каждого из вариантов задан свой набор возможностей:

Так, нарушители с низким потенциалом могут для реализации атак использовать информацию только из общедоступных источников. К нарушителям с низким потенциалом ФСТЭК относит любых "внешних" лиц, а также внутренний персонал и пользователей системы.

Нарушители со средним потенциалом имеют возможность проводить анализ кода прикладного программного обеспечения, самостоятельно находить в нем уязвимости и использовать их. К таким нарушителям ФСТЭК относит террористические и криминальные группы, конкурирующие организации, администраторов системы и разработчиков ПО.

Нарушители с высоким потенциалом имеют возможность вносить закладки в программно-техническое обеспечение системы, проводить специальные исследования и применять спец. средства проникновения и добывания информации. К таким нарушителям ФСТЭК относит только иностранные спецслужбы.


Возможности нарушителей по ФСБ

Как уже говорилось выше, у ФСБ своя методика угроз, с криптосредствами и СФ :) В недавно вышедших методических рекомендациях приводится 6 обобщенных возможностей нарушителей:
1) Возможность проводить атаки только за пределами КЗ;
2) Возможность проводить атаки в пределах КЗ, но без физического доступа к СВТ.
3) Возможность проводить атаки в пределах КЗ, с физическим доступом к СВТ.
4) Возможность привлекать специалистов, имеющих опыт в области анализа сигналов линейной передачи и ПЭМИН;
5) Возможность привлекать специалистов, имеющих опыт в области использования НДВ прикладного ПО;
6) Возможность привлекать специалистов, имеющих опыт в области использования НДВ аппаратного и программного компонентов среды функционирования СКЗИ.

Эти возможности соответствуют классам криптосредств (СКЗИ). В зависимости от того, какую возможность мы признаем актуальной, необходимо использовать СКЗИ соответствующего класса. Подробнее это детализировано в другом документе - в приказе ФСБ №378.

Конкретных примеров нарушителей (террористы, конкуренты и т.д.) в своих новых документах ФСБ не дает. Но вспомним, что ранее были методические рекомендации ФСБ 2008 г.. В них то как раз рассказывалось о 6 типах нарушителей, которые обозначались как Н1- Н6. Возможности описанные в новых документах ФСБ соответствуют тем самым нарушителям Н1 - Н6 из старых методических рекомендаций.


Объединяем нарушителей ФСТЭК и ФСБ

Если прочесть описание возможностей нарушителя, то можно заметить, что оба регулятора уделяют внимание возможностям нарушителя по использованию НДВ. Сравнив описания нарушителей у ФСТЭК и ФСБ, получим примерно следующее:
  • Нарушители с низким потенциалом по ФСТЭК – это нарушители Н1-Н3 по классификации ФСБ;
  • Нарушитель со средним потенциалом по ФСТЭК – это нарушители Н4-Н5 по классификации ФСБ.;
  • Нарушитель с высоким потенциалом по ФСТЭК – это нарушитель Н6 по ФСБ (т.е. сотрудник иностранной технической разведки).
Таким образом, для каждого нарушителя из методики ФСТЭК можно взять вполне определенный набор свойств из методики ФСБ.


Выбираем подходящих нарушителей и избавляемся от остальных

Остается только определиться, каких нарушителей рассматривать для конкретной информационной системы. А это регулятор сам подсказывает нам, уже на этапе классификации системы.

В случае государственной информационной системы, приглядимся к п.25 приказа ФСТЭК №17. В нем сказано:
  • для информационных систем 1 класса защищенности, система защиты должна обеспечивать нейтрализацию угроз от нарушителя с высоким потенциалом;
  • для информационных систем 2 класса защищенности - нейтрализацию угроз от нарушителя со средним потенциалом;
  • для информационных систем 3 и 4 классов защищенности- нейтрализацию угроз от нарушителя с низким потенциалом.
То есть, хотя бы предварительно классифицировав систему, мы можем сделать вывод о том, какие виды нарушителей регулятор считает для нее актуальными.

Остается лишь описать данных нарушителей в модели нарушителя, а нарушителей с более высоким потенциалом исключить. Аргументы для исключения "лишних" нарушителей можно взять из приложения к методике моделирования угроз ФСБ. 

В случае, если система не относится к ГИС, стоит взглянуть на три типа угроз из ПП 1119:
  • Угрозы 1-го типа - связаны с наличием НДВ в системном ПО. 
  • Угрозы 2-го типа связаны с наличием НДВ в прикладном ПО. 
  • Угрозы 3-го типа не связаны с наличием НДВ в ПО.
Угрозы 1 типа явно может использовать только нарушитель с высоким потенциалом. Угрозы 2 типа - нарушитель со средним потенциалом, а угрозы 3 типа - с низким. Поскольку большинство операторов рассматривают актуальными только угрозы 3 типа, то потенциал у нарушителей будет низкий.

Резюме

У новых методик ФСТЭК и ФСБ есть внятные точки соприкосновения. Грамотно комбинируя обе методики, можно разработать общую и непротиворечивую модель угроз. А заодно и снизить потенциал нарушителя и класс используемых средств защиты. 
  1. Многое зависит и от класса (уровня защищенности) информационной системы. Нужно проявлять осторожность и не завышать класс без веских на то оснований. Иначе можно "попасть" на нарушителей со средним и высоким потенциалом (и получить повышенные требования к средствам защиты).
  2. Для каждого класса можно подобрать подходящих нарушителей из методики ФСТЭК (при этом обоснованно исключив остальных нарушителей).
  3. Каждый нарушитель из методики ФСТЭК соотносится с определенным типом нарушителей из методики ФСБ (а также с соответствующим классом криптосредств)
Получившаяся "картина мира" представлена в таблице.



ПП 1119
Приказ ФСТЭК №17
Проект методики определения угроз ФСТЭК
Методические рекомендации ФСБ по моделированию угроз
Метод. рек. ФСБ 2008
Приказ ФСБ 378

Тип
угроз

Класс ГИС и соотв. набор мер
Потенциал
нарушителя
Вид нарушителя
Обобщенные возможности нарушителя относительно СКЗИ
Тип нарушителя ФСБ
Класс
СКЗИ

3 тип
К3, К4
Низкий
Внешние субъекты (физические лица)
Возможность самостоятельно осуществлять создание способов атак,  подготовку  и  проведение  атак  только  за  пределами контролируемой зоны
Н1
КС1

Бывшие работники (пользователи)

Лица, обеспечивающие функционирование информационных систем или обслуживающих инфраструктуру оператора
Возможность самостоятельно осуществлять создание способов атак,  подготовку  и  проведение  атак  в  пределах контролируемой  зоны,  но  без  физического  доступа  к аппаратным средствам (далее    АС), на которых реализованы СКЗИ и среда их функционирования
Н2
КС2

Лица, привлекаемые для установки, наладки, монтажа, пуско-наладочных и иных работ
Возможность самостоятельно осуществлять создание способов атак,  подготовку  и  проведение  атак  в  пределах контролируемой  зоны  с  физическим  доступом  к  АС,  на которых реализованы СКЗИ и среда их функционирования
Н3
КС3

Пользователи информационной системы

2 тип
К2

Средний
Администраторы информационной
системы и администраторы безопасности
Возможность  привлекать  специалистов,  имеющих  опыт
разработки и анализа СКЗИ (включая специалистов в области
анализа  сигналов  линейной  передачи  и  сигналов  побочного
электромагнитного излучения и наводок СКЗИ)
Н4
КВ

Террористические, экстремистские группировки

Возможность  привлекать  специалистов,  имеющих  опыт
разработки и анализа СКЗИ (включая специалистов в области
использования  для  реализации  атак  недокументированных
возможностей прикладного программного обеспечения)
Н5

Преступные группы (криминальные структуры)

Конкурирующие организации

Разработчики, производители, поставщики  программных,  технических  и программно-технических средств

3 тип
К1
Высокий
Специальные службы иностранных государств (блоков государств)
Возможность  привлекать  специалистов,  имеющих  опыт разработки и анализа СКЗИ (включая специалистов в области
использования  для  реализации  атак  недокументированных возможностей  аппаратного  и  программного  компонентов среды функционирования СКЗИ)
Н6
КА




3 комментария:

  1. Булат, благодарю Вас за статью!
    Пожалуй, единственная адекватная, на сегодняшний день, по объединенным актуальным методикам ОИВ!

    ОтветитьУдалить
    Ответы
    1. Спасибо! Загляните еще на мой сайт www.threat-model.com. Там разработка модели нарушителя тоже частично автоматизирована.

      Удалить
  2. Булат, а на Вашем веб-ресурсе перечень угроз БИ актуальный(согласно БДУ)? Или с какой периодичностью пополняется реестр? Благодарю!

    ОтветитьУдалить