- Что будет если скрестить ежа и ужа?
- Полтора метра колючей проволоки!
Те кто уже успел изучить новые методики регуляторов по моделированию угроз, наверное заметили, что большое внимание уделяется описанию потенциального нарушителя. Например, в проекте методики моделирования угроз от ФСТЭК подробно описаны виды нарушителей и их мотивация. В банке угроз ФСТЭК, для каждой угрозы задан тип и потенциал нарушителя, который может ее реализовать. В общем, модель нарушителя перестает быть простой формальностью и начинает оказывать большое влияние на перечень актуальных угроз.
Проблема в том, что подходы двух регуляторов (ФСБ и ФСТЭК) к формированию модели нарушителя, несколько отличаются. ФСБ отвечает за регулирование в области криптографии и ее методика в основном служит для выбора класса криптосредств. Соответственно, ФСБ при описании нарушителя делает упор на возможностях нарушителя по атакам на криптосредства и среду их функционирования (СФ). Методика ФСТЭК более широкая и описывает возможности нарушителя по атакам на систему в целом.
В результате перед разработчиком модели угроз стоит выбор: либо сделать две модели нарушителя по разным методикам, либо пытаться объединить подходы обоих регуляторов в едином документе.
Поэтому обычно разрабатывается два документа: модель угроз ФСТЭК (включающая свое описание нарушителей) и, отдельно, модель нарушителя ФСБ. По крайней мере так поступали безопасники в большинстве проектов, которые я видел. Две модели нарушителя в одном проекте - это то не очень логично.
В связи с выходом новых документов ФСТЭК и ФСБ, интересно насколько сблизились подходы регуляторов к к описанию потенциальных нарушителей. Стала модель нарушителя более логичной?
Модель нарушителя по ФСТЭК
В проекте методики ФСТЭК перечислены виды нарушителей и их потенциал. Потенциал нарушителя может быть высоким, средним или низким. Для каждого из вариантов задан свой набор возможностей:
Так, нарушители с низким потенциаломмогут для реализации атак использовать информацию только из общедоступных источников. К нарушителям с низким потенциалом ФСТЭК относит любых "внешних" лиц, а также внутренний персонал и пользователей системы.
Нарушители со средним потенциаломимеют возможность проводить анализ кода прикладного программного обеспечения, самостоятельно находить в нем уязвимости и использовать их. К таким нарушителям ФСТЭК относит террористические и криминальные группы, конкурирующие организации, администраторов системы и разработчиков ПО.
Нарушители с высоким потенциаломимеют возможность вносить закладки в программно-техническое обеспечение системы, проводить специальные исследования и применять спец. средства проникновения и добывания информации. К таким нарушителям ФСТЭК относит только иностранные спецслужбы.
Возможности нарушителей по ФСБ
Как уже говорилось выше, у ФСБ своя методика угроз, с криптосредствами и СФ :) В недавно вышедших методических рекомендациях приводится 6 обобщенных возможностей нарушителей:
1) Возможность проводить атаки только за пределами КЗ;
2) Возможность проводить атаки в пределах КЗ, но без физического доступа к СВТ.
3) Возможность проводить атаки в пределах КЗ, с физическим доступом к СВТ.
4) Возможность привлекать специалистов, имеющих опыт в области анализа сигналов линейной передачи и ПЭМИН;
5) Возможность привлекать специалистов, имеющих опыт в области использования НДВ прикладного ПО;
6) Возможность привлекать специалистов, имеющих опыт в области использования НДВ аппаратного и программного компонентовсреды функционирования СКЗИ.
Эти возможности соответствуют классам криптосредств (СКЗИ). В зависимости от того, какую возможность мы признаем актуальной, необходимо использовать СКЗИ соответствующего класса. Подробнее это детализировано в другом документе - в приказе ФСБ №378.
Конкретных примеров нарушителей (террористы, конкуренты и т.д.) в своих новых документах ФСБ не дает. Но вспомним, что ранее были методические рекомендации ФСБ 2008 г.. В них то как раз рассказывалось о 6 типах нарушителей, которые обозначались как Н1- Н6. Возможности описанные в новых документах ФСБ соответствуют тем самым нарушителям Н1 - Н6 из старых методических рекомендаций.
Объединяем нарушителей ФСТЭК и ФСБ
Если прочесть описание возможностей нарушителя, то можно заметить, что оба регулятора уделяют внимание возможностям нарушителя по использованию НДВ. Сравнив описания нарушителей у ФСТЭК и ФСБ, получим примерно следующее:
- Нарушители с низким потенциалом по ФСТЭК – это нарушители Н1-Н3 по классификации ФСБ;
- Нарушитель со средним потенциалом по ФСТЭК – это нарушители Н4-Н5 по классификации ФСБ.;
- Нарушитель с высоким потенциалом по ФСТЭК – это нарушитель Н6 по ФСБ (т.е. сотрудник иностранной технической разведки).
Таким образом, для каждого нарушителя из методики ФСТЭК можно взять вполне определенный набор свойств из методики ФСБ.
Выбираем подходящих нарушителей и избавляемся от остальных
Остается только определиться, каких нарушителей рассматривать для конкретной информационной системы. А это регулятор сам подсказывает нам, уже на этапе классификации системы.
В случае государственной информационной системы, приглядимся к п.25 приказа ФСТЭК №17. В нем сказано:
Выбираем подходящих нарушителей и избавляемся от остальных
Остается только определиться, каких нарушителей рассматривать для конкретной информационной системы. А это регулятор сам подсказывает нам, уже на этапе классификации системы.
В случае государственной информационной системы, приглядимся к п.25 приказа ФСТЭК №17. В нем сказано:
- для информационных систем 1 класса защищенности, система защиты должна обеспечивать нейтрализацию угроз от нарушителя с высоким потенциалом;
- для информационных систем 2 класса защищенности - нейтрализацию угроз от нарушителя со средним потенциалом;
- для информационных систем 3 и 4 классов защищенности- нейтрализацию угроз от нарушителя с низким потенциалом.
То есть, хотя бы предварительно классифицировав систему, мы можем сделать вывод о том, какие виды нарушителей регулятор считает для нее актуальными.
Остается лишь описать данных нарушителей в модели нарушителя, а нарушителей с более высоким потенциалом исключить. Аргументы для исключения "лишних" нарушителей можно взять из приложения к методике моделирования угроз ФСБ.
Остается лишь описать данных нарушителей в модели нарушителя, а нарушителей с более высоким потенциалом исключить. Аргументы для исключения "лишних" нарушителей можно взять из приложения к методике моделирования угроз ФСБ.
В случае, если система не относится к ГИС, стоит взглянуть на три типа угроз из ПП 1119:
- Угрозы 1-го типа - связаны с наличием НДВ в системном ПО.
- Угрозы 2-го типа связаны с наличием НДВ в прикладном ПО.
- Угрозы 3-го типа не связаны с наличием НДВ в ПО.
Угрозы 1 типа явно может использовать только нарушитель с высоким потенциалом. Угрозы 2 типа - нарушитель со средним потенциалом, а угрозы 3 типа - с низким. Поскольку большинство операторов рассматривают актуальными только угрозы 3 типа, то потенциал у нарушителей будет низкий.
Резюме
У новых методик ФСТЭК и ФСБ есть внятные точки соприкосновения. Грамотно комбинируя обе методики, можно разработать общую и непротиворечивую модель угроз. А заодно и снизить потенциал нарушителя и класс используемых средств защиты.
- Многое зависит и от класса (уровня защищенности) информационной системы. Нужно проявлять осторожность и не завышать класс без веских на то оснований. Иначе можно "попасть" на нарушителей со средним и высоким потенциалом (и получить повышенные требования к средствам защиты).
- Для каждого класса можно подобрать подходящих нарушителей из методики ФСТЭК (при этом обоснованно исключив остальных нарушителей).
- Каждый нарушитель из методики ФСТЭК соотносится с определенным типом нарушителей из методики ФСБ (а также с соответствующим классом криптосредств)
ПП 1119 | Приказ ФСТЭК №17 | Проект методики определения угроз ФСТЭК | Методические рекомендации ФСБ по моделированию угроз | Метод. рек. ФСБ 2008 | Приказ ФСБ 378 | ||
Тип угроз | Класс ГИС и соотв. набор мер | Потенциал нарушителя | Вид нарушителя | Обобщенные возможности нарушителя относительно СКЗИ | Тип нарушителя ФСБ | Класс СКЗИ | |
3 тип | К3, К4 | Низкий | Внешние субъекты (физические лица) | Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак только за пределами контролируемой зоны | Н1 | КС1 | |
Бывшие работники (пользователи) | |||||||
Лица, обеспечивающие функционирование информационных систем или обслуживающих инфраструктуру оператора | Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение
Булат ШамсутдиновЖурнал информационной безопасности | ||||||