Главная Аренда квартир Технологии защиты информации модель нарушителя. Модель нарушителя информационной безопасности. Модель нарушителя информационной безопасности - превенция появления самого нарушителя

Технологии защиты информации модель нарушителя. Модель нарушителя информационной безопасности. Модель нарушителя информационной безопасности - превенция появления самого нарушителя


- Что будет если скрестить ежа и ужа ?

- Полтора метра колючей проволоки!

Те кто уже успел изучить новые методики регуляторов по моделированию угроз, наверное заметили, что большое внимание уделяется описанию потенциального нарушителя. Например, в проекте методики моделирования угроз от ФСТЭК подробно описаны виды нарушителей и их мотивация. В банке угроз ФСТЭК, для каждой угрозы задан тип и потенциал нарушителя, который может ее реализовать. В общем, модель нарушителя перестает быть простой формальностью и начинает оказывать большое влияние на перечень актуальных угроз.

Проблема в том, что подходы двух регуляторов (ФСБ и ФСТЭК) к формированию модели нарушителя, несколько отличаются. ФСБ отвечает за регулирование в области криптографии и ее методика в основном служит для выбора класса криптосредств. Соответственно, ФСБ при описании нарушителя делает упор на возможностях нарушителя по атакам на криптосредства и среду их функционирования (СФ). Методика ФСТЭК более широкая и описывает возможности нарушителя по атакам на систему в целом.

В результате перед разработчиком модели угроз стоит выбор: либо сделать две модели нарушителя по разным методикам, либо пытаться объединить подходы обоих регуляторов в едином документе.

Поэтому обычно разрабатывается два документа: модель угроз ФСТЭК (включающая свое описание нарушителей) и, отдельно, модель нарушителя ФСБ. По крайней мере так поступали безопасники в большинстве проектов, которые я видел. Две модели нарушителя в одном проекте - это то не очень логично.

В связи с выходом новых документов ФСТЭК и ФСБ, интересно насколько сблизились подходы регуляторов к к описанию потенциальных нарушителей. Стала модель нарушителя более логичной?

Модель нарушителя по ФСТЭК

В проекте методики ФСТЭК перечислены виды нарушителей и их потенциал. Потенциал нарушителя может быть высоким, средним или низким. Для каждого из вариантов задан свой набор возможностей:

Так, нарушители с низким потенциалом могут для реализации атак использовать информацию только из общедоступных источников. К нарушителям с низким потенциалом ФСТЭК относит любых "внешних" лиц, а также внутренний персонал и пользователей системы.

Нарушители со средним потенциалом имеют возможность проводить анализ кода прикладного программного обеспечения , самостоятельно находить в нем уязвимости и использовать их. К таким нарушителям ФСТЭК относит террористические и криминальные группы, конкурирующие организации, администраторов системы и разработчиков ПО.

Нарушители с высоким потенциалом имеют возможность вносить закладки в программно-техническое обеспечение системы , проводить специальные исследования и применять спец. средства проникновения и добывания информации. К таким нарушителям ФСТЭК относит только иностранные спецслужбы.

Возможности нарушителей по ФСБ

Как уже говорилось выше, у ФСБ своя методика угроз, с криптосредствами и СФ:) В недавно вышедших методических рекомендациях приводится 6 обобщенных возможностей нарушителей:
1) Возможность проводить атаки только за пределами КЗ;
2) Возможность проводить атаки в пределах КЗ, но без физического доступа к СВТ.
3) Возможность проводить атаки в пределах КЗ, с физическим доступом к СВТ.
4) Возможность привлекать специалистов, имеющих опыт в области анализа сигналов линейной передачи и ПЭМИН;
5) Возможность привлекать специалистов, имеющих опыт в области использования НДВ прикладного ПО ;
6) Возможность привлекать специалистов, имеющих опыт в области использования НДВ аппаратного и программного компонентов среды функционирования СКЗИ.

Эти возможности соответствуют классам криптосредств (СКЗИ). В зависимости от того, какую возможность мы признаем актуальной, необходимо использовать СКЗИ соответствующего класса. Подробнее это детализировано в другом документе - в приказе ФСБ №378.

Конкретных примеров нарушителей (террористы, конкуренты и т.д.) в своих новых документах ФСБ не дает. Но вспомним, что ранее были методические рекомендации ФСБ 2008 г.. В них то как раз рассказывалось о 6 типах нарушителей, которые обозначались как Н1- Н6. Возможности описанные в новых документах ФСБ соответствуют тем самым нарушителям Н1 - Н6 из старых методических рекомендаций.

Объединяем нарушителей ФСТЭК и ФСБ

Если прочесть описание возможностей нарушителя, то можно заметить, что оба регулятора уделяют внимание возможностям нарушителя по использованию НДВ. Сравнив описания нарушителей у ФСТЭК и ФСБ, получим примерно следующее:

  • Нарушители с низким потенциалом по ФСТЭК – это нарушители Н1-Н3 по классификации ФСБ;
  • Нарушитель со средним потенциалом по ФСТЭК – это нарушители Н4-Н5 по классификации ФСБ.;
  • Нарушитель с высоким потенциалом по ФСТЭК – это нарушитель Н6 по ФСБ (т.е. сотрудник иностранной технической разведки).

Таким образом, для каждого нарушителя из методики ФСТЭК можно взять вполне определенный набор свойств из методики ФСБ.

Выбираем подходящих нарушителей и избавляемся от остальных

Остается только определиться, каких нарушителей рассматривать для конкретной информационной системы. А это регулятор сам подсказывает нам, уже на этапе классификации системы.

В случае государственной информационной системы, приглядимся к п.25 приказа ФСТЭК №17. В нем сказано:

  • для информационных систем 1 класса защищенности, система защиты должна обеспечивать нейтрализацию угроз от нарушителя с высоким потенциалом;
  • для информационных систем 2 класса защищенности - нейтрализацию угроз от нарушителя со средним потенциалом;
  • для информационных систем 3 и 4 классов защищенности- нейтрализацию угроз от нарушителя с низким потенциалом.

То есть, хотя бы предварительно классифицировав систему, мы можем сделать вывод о том, какие виды нарушителей регулятор считает для нее актуальными.

Остается лишь описать данных нарушителей в модели нарушителя, а нарушителей с более высоким потенциалом исключить. Аргументы для исключения "лишних" нарушителей можно взять из приложения к методике моделирования угроз ФСБ.

В случае, если система не относится к ГИС, стоит взглянуть на три типа угроз из ПП 1119:

  • Угрозы 1-го типа - связаны с наличием НДВ в системном ПО.
  • Угрозы 2-го типа связаны с наличием НДВ в прикладном ПО.
  • Угрозы 3-го типа не связаны с наличием НДВ в ПО.

Угрозы 1 типа явно может использовать только нарушитель с высоким потенциалом. Угрозы 2 типа - нарушитель со средним потенциалом, а угрозы 3 типа - с низким. Поскольку большинство операторов рассматривают актуальными только угрозы 3 типа, то потенциал у нарушителей будет низкий.

Резюме

У новых методик ФСТЭК и ФСБ есть внятные точки соприкосновения. Грамотно комбинируя обе методики, можно разработать общую и непротиворечивую модель угроз. А заодно и снизить потенциал нарушителя и класс используемых средств защиты.

  1. Многое зависит и от класса (уровня защищенности) информационной системы. Нужно проявлять осторожность и не завышать класс без веских на то оснований. Иначе можно "попасть" на нарушителей со средним и высоким потенциалом (и получить повышенные требования к средствам защиты).
  2. Для каждого класса можно подобрать подходящих нарушителей из методики ФСТЭК (при этом обоснованно исключив остальных нарушителей).
  3. Каждый нарушитель из методики ФСТЭК соотносится с определенным типом нарушителей из методики ФСБ (а также с соответствующим классом криптосредств)
Получившаяся "картина мира" представлена в таблице.

ПП 1119

Приказ ФСТЭК №17

Проект методики определения угроз ФСТЭК

Метод. рек. ФСБ 2008

Приказ ФСБ 378


Тип

угроз

Класс ГИС и соотв. набор мер

Потенциал

нарушителя

Вид нарушителя

Обобщенные возможности нарушителя относительно СКЗИ

Тип нарушителя ФСБ

Класс

СКЗИ


3 тип

К3, К4

Попытка реализовать несанкционированный доступ к информационным сетям с целью что ли бо сделать с данными в сети есть компьютерное пиратство . Прослеживая это социальное явление есть тенденция к стремительному росту атак на информационные сети. Компьютерных злоумышленников не интересует как хорошо реализован контроль информационной системы, они ищут одну лазейку которая даст им нужную цель. Используя разные факторы они реализуют преступления, которые как считают они, легче чем ограбление банка в живую. При этом могут быть использованы методы вымогательства или взяточничества. Мало предприятий, где высшее руководство верит в то, что их предприятие может понести убытки из-за хакеров, а еще меньше которые интересовались вопросом и . Множество менеджеров под воздействием информационных волн считают, что нарушители это школьники, и против них нужно бороться. В зависимости от целей или мотивов, действия нарушителя делят на:

  • Идейные хакеры.
  • Искатели приключений.
  • Хакеры — профессионалы.
  • Ненадежные сотрудники.

Искатель приключений , он обычно молодой студент или школьник, без продуманного плана реализации атак. Выбирает случайную цель. Идейный хакер — Он выбирает конкретные цели. Свои достижения рассказывает широкой аудитории или размещает данные на веб ресурсах. Хакер-профессионал — человек с четким планом действий. Атаки продуманы в несколько этапов. Сбор информации и сам взлом. Обычно такие люди финансируются для целей, которые ему не свойственны, но ему платят. Ненадежный сотрудник — его действие могут иметь большие последствия, так как он доверенное лицо системы. Ему не нужно выдумывать сложные атаки для реализации своей цели. Еще одна модель нарушителя показана на рис.1.

Рисунок — 1

Также у служащих, можно выделить следующие мотивы для помощи злоумышленникам:

  • Реакция на замечание или выговор от руководителя.
  • Недовольство действиями руководства.

Руководитель как неудовлетворяющий сотрудника, одна из самых больших угроз в системе коллективного пользования.

Компьютерные атаки обычно сильно спланированы и реализуются со знанием сферы деятельности. Мотивом нарушения обычно есть деньги. Все злоумышленники пытаются свести свой риск к минимуму. В современных информационных системах, где очень сложные системы защиты и других методов совершения транспортировки информации, существует дополнительный риск, что с изменением одного элемента системы может привести к сбою работы других элементов. Многие года шпионаж реализуется как метод, которые вынуждает идти сотрудников за минимальное вознаграждение.

Модель

Модель вероятного нарушителя ИС нужна для систематизации данных о возможностях и типах субъектов, целях несанкционированных воздействиях и выработки адекватных организационных и технических методов противодействия. При разработке модели нарушителя ИС нужно учитывать:

  • Категории лиц, к которым можно отнести нарушителя.
  • Цели, градации по степени опасности и важности.
  • Анализ его технической мощности.
  • Предположения и ограничения о характере действий.

По наличию права разового или постоянного доступа нарушители делятся на два типа: нарушители которые используют внешние угрозы и нарушители которые имеют доступ к ИС и используют внутренние угрозы. В таблице 1 наведены категории лиц которые могут использовать или внешние угрозы.

На предприятиях с целью уменьшения вероятности в разные части предприятия, реализован метод создания рубежей защиты. Территория предприятия делится на несколько зон, которые ранжированные по степени секретности и уровня доступа. В итоге имеет возможность для разграничения доступа к важным информационным ресуарсам. Примером может быть рис. 2.

Рисунок — 2

В таблице наведены группы внутренних нарушителей относительно рубежей защиты предприятия и возможности доступа.

# Обозначение Рубеж Характеристика нарушителя Возможности
1 M 1 Территория объекта, телекоммуникации Лица которые имеют санкционированный доступ на территорию, но не имеют доступ в здания и помещения Разрешает несанкционированный доступ к каналам связи, которые уходят за пределы здания. Перехват данных по техническим каналам
2 M 2 Здания объекта, телекоммуникации Лица имеют санкционированный доступ на территорию, здания но не имеют доступ в служебные помещения -//-, иметь информацию о размещении поста охраны, системе видеонаблюдения и помещении для приема посетителей
3 M 3 Представительские помещения, ПЭВМ, коммуникации Лица имеют доступ в специальные помещения, но не имеют доступ в служебные помещения -//-
4 M 4 Кабинеты пользователей ИС, администраторов ИС 1. Зарегистрированные пользователи ИС, имеющие ограниченный доступ к ресурсам. 2. Зарегистрированные пользователи ИС которые имеют удаленный доступ к информационной системе. 3. Зарегистрированные пользователи ИС с правами админа безопасности сегмента. 4. Зарег. пользователи с правами сис. админа ИС. 5. Зарег. пользователи с правами админа безопасности ИС. 6. Программисты-разработчики ПО. 7. Лица реализующие обслуживание ИС 1. Иметь доступ к кускам конфиденциальным данным. Иметь куски данных о топологии ИС. Вносить программно-аппаратные закладки. 2. Имеет данные о топологии сегмента, имеет физический доступ к сегментам и элементам сети. 3. Имеет полную информации о ИС. 4. Имеет всю информацию о ИС, имеет полный доступ. 5. Имеет доступ к методам защиты ИС 6. Имеет данные о алгоритмах и ПО для обработки данных в ИС 7. Имеет доступ к внесению закладок в технические средства ИС
5 M 5 Серверные, комнаты конфиденциальных переговоров, ПЭВМ 1. Зарег. польз. с правами администратора безопасности. 2. Зарег. польз. с правами сис. админа. 3. Работники которые имеют право доступа в помещения конфиденциальных переговоров 1. Имеет доступ к настройке сегмента сети. 2. Имеет санкционированный доступ в помещение, имеет свое ипя пользователи и доступ к конфигурации ИС. 3. Имеет доступ в помещение
6 M 6 Методы защиты информации Зарег. польз. сервера с правами админа безопасности ИС Имеет доступ во все помещения, имеет доступ ко всей информации о ИС

Итоги

После систематизации знаний о потенциальных нарушителей для ИС, реализуется модель безопасности информации. После построения модели угроз, определяется частота возникновения угроз. Определяя частоту реализации угроз, нужно учитывать возможности нарушителя.

Утечка охраняемой информации обычно становится возможной вследствие совершения нарушений режима работы с конфиденциальной информацией. Каналы утечки информации в информационных системах обработки конфиденциальных данных разобьем на группы.

К первой группе относят каналы, образующиеся за счет дистанционного скрытого видеонаблюдения или фотографирования, применения подслушивающих устройств, перехвата электромагаитных излучений и наводок и так далее.

Во вторую группу включают наблюдение за информацией в процессе обработки с целью ее запоминания, хищение ее носителей, сбор производственных отходов, содержащих обрабатываемую информацию, преднамеренное считывание данных из файлов других пользователей, чтение остаточной информации, то есть данных, остающихся на магнитных носителях после выполнения заданий, и так далее.

К третьей группе относят незаконное подключение специальной регистрирующей аппаратуры к устройствам системы или линиям связи, злоумышленное изменение программ таким образом, чтобы эти программы наряду с основными функциями обработки информации осуществляли также несанкционированный сбор и регистрацию защищаемой информации, злоумышленный вывод из строя механизмов защиты.

К четвертой группе относят несанкционированное получение информации путем подкупа или шантажа должностных лиц соответствующих служб, сотрудников, знакомых, обслуживающего персона или родственников, знающих о роде деятельности.

Также необходимо отметить, что низкий уровень конфиденциальности в первую очередь связан с нарушениями в организации пропускного режима. Эти нарушения могут быть результатом реализации угрозы «Подкуп персонала», которая реализуется через уязвимость «Мотивированность персонала на совершение деструктивных действий». Уровень данной уязвимости может быть снижен путем соответствующей работы с персоналом и путем усиления контроля за работой сотрудников.

На уровень целостности и доступности наибольшее влияние оказывают также повреждения каналов передачи данных. К этим повреждениям может привести сбой, который, в свою очередь, может произойти из-за низкой надежности каналов. Повысить надежность можно путем усиления работы службы технической поддержки и путем заземления основного и вспомогательного оборудования, используемого при обработке информации.

Эти данные послужат основанием для разработки рекомендаций по усилению мер, направленных на обеспечение конфиденциальности, целостности и доступности информации. Необходимо усилить контроль над работой сотрудников, провести тренинги для сотрудников, посвященные ИБ; заземлить основное и вспомогательное оборудование, используемое при обработке информации; усилить специалистами службы технической поддержки и внести изменения в должностные инструкции работников данной службы.

Реализация указанных превентивных мер защиты, а также ликвидация существующих повреждений позволят повысить уровень конфиденциальности, целостности и доступности до состояния ВС.

Модель нарушителя информационной безопасности неразрывно связана с моделью угроз информационной безопасности, т.к. нарушитель информационной безопасности часто является как источником угроз, так и следствием.

1. Внутренний нарушитель

К данному типу нарушителя могут быть отнесены различные категории персонала самого объекта защиты, к ним можно отнести следующих сотрудников Чебанов А.С., Жук Р.В., Власенко А.В., Сазонов С.Ю. Модель нарушителя комплексной системы обеспечения информационной безопасности объектов защиты //Известия Юго-Западного государственного университета. Серия: Управление, вычислительная техника, информатика. Медицинское приборостроение. 2013. № 1. С. 171-173.:

  • - лица, имеющие санкционированный доступ к максимальному объему информации (уполномоченные сотрудники, такие как начальство, управляющий состав). Под данную категорию попадает практически весь персонал объекта защиты;
  • - лица, имеющие санкционированный доступ к определенному объему информации (сотрудники структурных подразделений);
  • - лица, имеющие санкционированные доступ к максимальному объему (администраторы автоматизированных систем) или определенному объему (сотрудники отделов информационных технологий, программисты) информации в процессе обеспечения работоспособности и функционирования информационных систем.

Необходимо понимать, что администратор информационной безопасности имеет различные права и возможности по сравнению с администратором информационной системы. Стоит учитывать тот факт, что, несмотря на тип нарушителя «Внутренний», все сотрудники, определенные в нем, могут иметь удаленный доступ к ресурсам объекта информатизации.

По способам воздействия внутренний нарушитель может быть разделен на две категории:

Случайный (непреднамеренный).

Данный нарушитель зачастую даже не предполагает о причинённом ущербе в случае своих действий. Под категорию случайного нарушителя может попадать одновременно весь персонал объекта защиты, независимо, имеет ли он прямой доступ к информации либо осуществляет косвенную деятельность, связанную с поддержанием функционирования информационных систем объекта защиты. Можно выделить несколько примеров, таких как:

  • -обслуживающий персонал помещений;
  • -сотрудники одного из структурных подразделений;
  • -персонал, обслуживающий информационные ресурсы объекта информатизации и т.д.
  • - Инсайдер (заинтересованное лицо).

Опасность, которую несет в себе данная категория нарушителя, в том, что ущерб от его действий может достигать достаточно внушительных размеров. В отличие от случайного нарушителя, он сложно идентифицируем и может осуществлять свою деятельность долгое время.

На сегодняшний момент существуют различные концепции по описанию инсайдеров на предприятии, по разбиению состава сотрудников на группы риска, но большинство инсайдеров делятся на сотрудников Ажмухамедов И.М. Системный анализ и оценка уровня угроз информационной безопасности //Вопросы защиты информации. 2013. № 2 (101). С. 81-87.:

  • - заинтересованных в оплате предоставляемой информации об объекте защиты;
  • - имеющих личные мотивы по отношению к компании - объекту защиты.

Наряду с данной классификацией имеется еще одна особенность, применимая как к внутреннему, так и к внешнему нарушителю, - наличие возможностей.

Возможности внутреннего нарушителя существенным образом зависят от действующих в пределах контролируемой зоны объекта защиты режимных и организационно-технических мер защиты, в том числе по допуску физических лиц с информационными ресурсами и контролю порядка проведения работ на объекте защиты.

2. Внешний нарушитель

Это наиболее распространенный вид нарушителя. На регламентирование построения комплексной системы защиты информации и применение средств защиты информации направлено большинство существующих нормативных документов Российской Федерации.

В основном к данному виду можно отнести следующих представителей:

  • -правоохранительные органы и органы исполнительной власти Российской Федерации;
  • -конкуренты;
  • -криминальные структуры;
  • -физические лица, непосредственно занимающиеся анализом информационной безопасности объекта защиты.

Основными критериями деления внешних нарушителей на категории являются:

  • - возможность доступа к каналам связи, выходящим за границы контролируемой зоны объекта защиты (всевозможные излучения, оптический канал, линии передачи информации);
  • - возможность доступа в пределы контролируемой зоны объекта защиты (санкционированный доступ, несанкционированный доступ путем маскировки и т.д.);
  • - наличие информации об объекте защиты;
  • - имеющиеся средства реализации атак на объект защиты (сканеры уязвимости, подавители сигнала и т.д.).

"Управление в кредитной организации", 2006, N 5

В 2006 г. был принят и введен в действие Стандарт Банка России СТО БР ИББС-1.0-2006 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения". Среди множества нужных, важных и востребованных положений в нем определены такие системные инструменты, как политика информационной безопасности, модель угроз и нарушителей информационной безопасности кредитных организаций. В данной статье автор подробно остановится на последнем инструменте - модели нарушителя, сделав основной упор на модели внутреннего нарушителя. Такой выбор обусловлен тем, что, как показывает практика, эта позиция вызывает наибольшее затруднение непосредственно у разработчиков подобных документов.

Мудрый и кроткий владыка

не в крепостных оградах, но в сердцах своих

подданных заключает свою безопасность.

Александр Суворов

Идея разработки модели нарушителя информационной безопасности родилась во второй половине 80-х годов прошлого века в Министерстве обороны США и получила путевку в жизнь в так называемой Оранжевой книге, а в начале 90-х годов плавно перекочевала в руководящие документы Гостехкомиссии России.

Введение модели нарушителя используется для определения возможных каналов несанкционированного доступа к информации, обрабатываемой с помощью банковских автоматизированных информационных систем. В рамках выбора модели нарушителя необходимо определить следующие параметры:

  • категории лиц, в числе которых может оказаться нарушитель;
  • возможные цели нарушителя и их градацию по степени важности;
  • предположения о квалификации нарушителя;
  • степень его технической вооруженности;
  • ограничения и предположения о характере возможных действий нарушителя.

При необходимости с учетом условий функционирования конкретной банковской информационной системы (БИС) модель нарушителя может быть расширена за счет привнесения в модель других категорий лиц, в числе которых может оказаться нарушитель, и, соответственно, его возможностей.

Уровень нарушителя определяется организационно-функциональной структурой БИС в конкретном банке. Необходимо помнить, что программные и организационные меры защиты нельзя рассматривать по отдельности, они всегда взаимодополняют друг друга.

Примечание. Проиллюстрируем этот тезис на примере. Предположим, что в вашем банке создана автоматизированная информационная система, реализованная в рамках локальной вычислительной сети, которая расположена в контролируемом помещении. Система обрабатывает конфиденциальную информацию, требующую защиты. На ней работают сотрудники, которые прошли кадровую проверку и контроль за работой которых достаточно осуществлять силами либо руководителя, либо системного администратора. Доступ в помещение посторонним лицам ограничен. Ведется физическая охрана технических средств и носителей информации. В этом случае достаточно использовать аутентификацию пользователей и обычный доступ к информации по паролю.

В ходе развития системы создается интегрированный банк данных кредитной организации с удаленными абонентскими пунктами, через которые в банк данных могут обращаться зарегистрированные, но неконтролируемые пользователи. Они имеют ограниченный доступ, но могут бесконтрольно пытаться осуществить несанкционированный доступ к данным. При этом они не могут иметь при себе дополнительных специальных технических средств, но, используя личный интеллектуальный потенциал, могут какое-то время пытаться взломать систему защиты. В этом случае необходимо предусмотреть дополнительные программные средства защиты, такие как аудит доступа к информационным ресурсам системы с использованием системного журнала с его периодическим анализом. Допустим, в дальнейшем потребуется организация работы интегрированного банка данных в режиме удаленного доступа с использованием открытых телекоммуникационных каналов связи. При этом в состав потенциальных нарушителей, особенно если конфиденциальная информация имеет особую притягательность, целесообразно включить отдельные структуры, которые могут применять специальные технические средства для съема интересующей их информации. В этом случае представляется необходимым использовать криптографические подсистемы шифрования информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах.

Какие же информационные ресурсы подлежат защите?

Во-первых, непосредственно бизнес-процессы. Это в первую очередь повестки, протоколы и отчеты правления и совета директоров банка, материалы кредитного комитета, информация, характеризующая дебиторов и кредиторов, сведения из кредитных историй клиентов банка, информация об имеющихся расчетных, текущих и личных счетах клиентов банка и размещенных на них денежных средствах, сведения о содержащейся на балансе банка недвижимости и других материальных ценностях и т.д. и т.п.

Во-вторых, платежная и учетно-операционная информация, хранящаяся и обрабатываемая в электронной форме. Сюда входят пластиковые платежные карты, платежные поручения, аккредитивные обязательства, чеки. Сюда же входят и сведения по ценным бумагам, учтенным или эмитированным банком.

В-третьих, данные информационных, аналитических и иных неплатежных систем банка. Здесь следует разделить фактографические данные, хранящиеся в структуризованном виде в различных базах данных, и документарные - имеющие бесструктурный характер. Как иллюстрационный пример можно привести стопку анкет сотрудников банка, представляющую собой прототип фактографической системы, и стопку автобиографий этих же сотрудников, по сути являющуюся аналогом документарной системы. В первом случае сведения заносятся в определенные графы в определенном порядке. Во втором случае сведения подаются в произвольном, то есть неструктуризованном, виде. Документарные массивы, в свою очередь, можно разделить на документы и проекты документов. Документы имеют соответствующие реквизиты (подпись, номер, дату), не подлежат корректировке и, как правило, хранятся и обрабатываются в хранилищах данных. Проекты документов, которые подлежат корректуре или используются для подготовки других документов, обрабатываются в основном в папках коллективного доступа, хранящихся на файл-серверах.

В-четвертых, процессы управления БИС и технологические процессы сбора, обработки, хранения и передачи информации. К подобного рода информации относится вся служебная информация, касающаяся деятельности БИС. Это и системные журналы администраторов, и данные мониторинга и аудита действий пользователей, и сведения по ключевой системе защиты, и многое другое. С одной стороны, это информация обеспечивающего характера, с другой - она несет особый притягательный характер, так как доступ к ней позволяет получить доступ ко всему массиву конфиденциальной информации банка, нацеленной на реализацию его конкретных бизнес-процессов.

В-пятых, аппаратно-программные и технические комплексы, обеспечивающие реализацию функций банка, здания и сооружения, где установлены указанные комплексы.

Следует отметить, что при разработке модели нарушителя информационной безопасности рассматриваются только электронные информационные ресурсы. Если включить в этот ресурс и иную конфиденциальную информацию (сведения, озвученные на совещаниях, заседаниях, переговорах; информацию на бумажных носителях; данные, полученные в ходе приватных встреч, и др.), то в таком случае и рассматриваться должна базовая модель потенциального нарушителя банка. Она формируется на основе модели нарушителя информационной безопасности путем включения в нее дополнительной категории сотрудников банка, работающих с конфиденциальной информацией (работники канцелярии, персонал, работающий с VIP-клиентами в формате "бутик-банкинг" и т.п.).

Особо хотелось бы отметить сотрудников, которые владеют интегрированными аналитическими сведениями, представляющими для банка стратегический характер. Это в первую очередь топ-менеджеры банка и приближенные к ним лица (секретари и обслуживающий персонал), по роду своей работы допущенные к эксклюзивным процессам банка. В отношении этой категории сотрудников службой безопасности банка должны быть разработаны дополнительные профилактические организационные меры защиты, желательно согласованные не только с руководителем исполнительного органа банка, но и с советом директоров.

Исходя из ценности электронных информационных ресурсов, можно определить и приоритеты безопасности:

  • доступность информации и сервисов, предоставляемых информационной системой;
  • целостность информации (данных) и программного обеспечения;
  • конфиденциальность информации.

Под нарушением доступности подразумеваются:

  • факторы природного или техногенного характера;
  • несанкционированная, нерегламентированная или преднамеренная деятельность персонала и пользователей БИС, приведшая к ошибочным результатам;
  • отказы оборудования.

Под нарушением целостности подразумеваются:

  • несанкционированное искажение;
  • уничтожение или ввод ложной информации.

Под нарушением конфиденциальности понимается инсайдерская деятельность, нарушение банковской тайны, несанкционированное чтение/копирование/публикация информации.

Для различного рода информации устанавливаются и различные приоритеты безопасности. Например , для открытой информации: целостность ---> доступность. Для внутренней банковской информации, предназначенной для использования исключительно сотрудниками банка: доступность ---> конфиденциальность ---> целостность. Для конфиденциальных сведений: конфиденциальность ---> целостность ---> доступность.

Обеспечение всего комплекса организационных мер и программно-технических средств по обеспечению информационной безопасности требует значительных финансовых и людских ресурсов. Вместе с тем новый Стандарт Банка России подсказывает и определяет основное направление этой работы. Учитывая специфику накапливаемой и обрабатываемой в банках информации, основная потенциальная угроза исходит от сотрудников банка, то есть от инсайдера. Поэтому при разработке модели нарушителя необходимо учитывать, что по сложившейся уже практике существующая сложность современных банковских технологий приводит к их меньшей привлекательности для злоумышленника, чем персонал банка. А такие экзотические для большинства граждан меры защиты, как, например, защита от побочных электромагнитных излучений и наводок, являются в первую очередь прерогативой структур, обрабатывающих информацию, подпадающую под категорию государственной тайны.

Поэтому внутренние нарушители информационной безопасности в БИС - это сотрудники самого банка, являющиеся легальными участниками процессов управления банка, в том числе обеспечения расчетов его клиентов, а также персонал, обслуживающий банковские аппаратно-программные комплексы или допущенный к ним в соответствии со своими служебными обязанностями. Внутренние нарушители являются наиболее значимыми источниками угроз информационной безопасности.

И это вполне объяснимо, так как кредитно-финансовые организации традиционно являются уязвимыми именно к внутренним угрозам. Например , инсайдеры (служащие банка) могут совершить финансовое мошенничество, украсть конфиденциальные отчеты банка или приватные данные его клиентов. Кстати, Стандарт Банка России по информационной безопасности (СТО БР ИББС-1.0-2006) явно указывает на то, что основная угроза для финансовых компаний исходит именно изнутри.

При подготовке модели нарушителя необходимо провести работу по определению грифа конфиденциальной информации. К строго конфиденциальной следует отнести финансовые документы, аналитические отчеты, документы о новых разработках и т.п., к конфиденциальной информации относятся документы, разглашение которых может привести к потерям в настоящее время, например аналитический отчет за месяц. В конце года он уже не будет так актуален для конкурентов, они будут охотиться за более новыми материалами. Эту работу не обязательно проводить силами своей службы безопасности. Можно привлечь специалистов со стороны, которые и проведут аудит безопасности. Конечно, необходимо придерживаться следующего правила: не привлекать к аудиту безопасности фирмы-производители средств защиты. Несложно догадаться, что они предложат для обеспечения защищенности вашей сети.

Вероятность нанесения ущерба тем выше, чем более высокой квалификацией обладает сотрудник, чем на более высоком уровне иерархии информационной инфраструктуры банка он находится и чем к большему объему электронных информационных ресурсов он имеет доступ.

Можно выделить следующие признаки классификации внутреннего нарушителя:

  • опыт и знания в профессиональной сфере;
  • доступные ресурсы, необходимые для выполнения служебных задач;
  • сфера функциональной деятельности;
  • наличие мотивации действий.

При отсутствии мотивации могут совершаться только непреднамеренные действия, ущерб от которых носит, как правило, разовый, несистемный характер.

Нарушители классифицируются по уровню возможностей, предоставляемых им штатными средствами БИС. Выделяется четыре уровня этих возможностей. Классификация является иерархической, то есть каждый следующий уровень включает в себя функциональные возможности предыдущего.

Первый уровень пользователя определяет самый низкий уровень возможностей ведения диалога в БИС - запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации.

Первый уровень нарушителя - это авторизованные пользователи информационных систем, представители менеджмента банка, реализующие угрозы путем нарушения регламентов работы с информацией, к которой они допущены в рамках их служебной деятельности на уровне бизнес-процессов. Наибольшая угроза при этом - инсайдерская деятельность и хищение денежных средств из систем расчетов. Эту категорию внутренних нарушителей можно разграничить на два подуровня:

  • руководящий и управленческий персонал банка:
  • пользователи БИС, то есть сотрудники, допущенные к информационным ресурсам в соответствии со своими служебными обязанностями и являющиеся потребителями сервисов автоматизированных информационных систем.

Второй уровень - уровень прикладного программиста - определяется возможностью создания и запуска собственных программ с новыми функциями по обработке информации.

Третий уровень - уровень администратора - определяется возможностью управления функционированием БИС, то есть воздействием на базовое программное обеспечение системы, на состав и конфигурацию ее оборудования. К этой категории относятся: персонал, имеющий право доступа к оборудованию, в том числе сетевому; администраторы сетевых приложений и т.п., реализующие угрозы в рамках своих полномочий (легальный доступ) и за их пределами (несанкционированный доступ).

Четвертый уровень - уровень системного программиста или разработчика БИС - определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств БИС, вплоть до включения в состав автоматизированных систем собственных технических средств с новыми функциями по обработке информации.

Главная цель, которую себе ставит внутренний нарушитель, - получение контроля над электронными информационными ресурсами банка, включая средства их обработки, хранения и предоставления, на самом высоком доступном для него уровне.

Для первого уровня нарушителей такими ресурсами являются банковские бизнес-процессы, для остальных - банковские технологические процессы, базы данных и операционные системы.

Естественно желание минимизировать число сотрудников, которые должны быть включены в модель нарушителя. Один из возможных путей - исключить из модели второй, третий и четвертый уровни нарушителей. Возможно это путем использования в банке на особо ответственных участках таких программных средств, которые не требуют участия программистов-разработчиков, а само создание и эксплуатацию базы данных осуществляют сотрудники первого уровня, то есть люди зачастую без базового технического образования. И ошибаются те, кто полагает, что это невозможно. Достаточно вспомнить, что подавляющее большинство "серых" нелегальных баз данных, продающихся на "черном" рынке информационных услуг, представлены в оболочке программных средств CRONOS PLUS, у которой настолько развит интуитивный интерфейс, что работать с ней может любой человек без соответствующего образования. А потратив на самообучение этих программных средств всего несколько часов, человек способен самостоятельно создавать собственные базы данных. Немудрено, что эти программные средства активно используются службами безопасности большого числа банков, так как ценность и важность обрабатываемых с их помощью данных исключают возможность допуска к ним штатных программистов.

Но, к сожалению, это не может являться универсальным выходом, ведь далеко не на всех участках работы можно установить подобные программные средства, взять хотя бы автоматизированные системы по обработке платежной информации. Какой может быть предложен выход из этой ситуации? Универсального выхода нет, но можно дать некоторые рекомендации из практики, которые не устраняют в полном объеме опасность, но минимизируют риски нарушения информационной безопасности. Предлагаемый список далеко не полный, а законченность ему может придать только учет специфики обработки конфиденциальной информации в конкретном банке. Итак, это:

  • определение, проведение и реализация политики и мер защиты безопасности;
  • недопущение разработчиков программных средств к участку эксплуатации созданных ими баз данных и соответствующих приложений;
  • блокировка всех устройств и разъемов соединения с внешними устройствами;
  • мониторинг, аудит и тестирование БИС и оборудования для обнаружения проблем с обеспечением информационной безопасности и самих программно-аппаратных и технических средств защиты;
  • обязательное разделение функций администраторов систем и администраторов информационной безопасности;
  • строгая регламентация работы администраторов систем и работа на наиболее ответственных участках только группой - не менее двух человек одновременно;
  • контроль за действиями сотрудников эксплуатации БИС с помощью визуальных средств наблюдения;
  • дополнительная надбавка к жалованию администраторов всех уровней с целью минимизации мотивации неправомочных действий;
  • ознакомление с новыми технологиями защиты и возможными угрозами информационной безопасности банка;
  • дополнительные организационные меры контроля, хорошо известные сотрудникам служб безопасности коммерческих банков, и т.д. и т.п.

Остановимся подробнее на первом уровне нарушителей, так как они составляют большую часть лиц, имеющих доступ к БИС, где обрабатывается конфиденциальная информация, тем более что соотношение IT-специалистов к остальным сотрудникам в среднем колеблется в банках от 1:30 до 1:50, поскольку они относятся к обеспечивающим подразделениям.

Этим и определяются отличия потенциальных нарушителей первого и последующих уровней в области нарушения конфиденциальности. Программист слабо разбирается в бизнес-процессах, но прекрасно ориентируется в программных средствах. Такие нарушители будут стараться похитить максимально для них возможный массив конфиденциальной информации и продать его конкурентам целиком. Менеджеру банка в силу его профессиональных способностей и служебных обязанностей намного сложнее сделать то, на что способен программист. Но он прекрасно разбирается в экономических вопросах и способен провести эффективную селекцию доступной для него информации с целью вычленения из нее наиболее значимой для дальнейшего использования конкурентами.

Примечание. Для иллюстрации сказанного приведем следующий пример. Допустим, в банке в электронном виде хранится информация о его клиентах с характеризующими их финансовое состояние данными. Нарушителю - IT-специалисту сподручнее сконцентрировать свои усилия на том, чтобы постараться похитить весь массив данных и продать его конкурентам коммерческого банка, где он работает. Для этого ему потребуется внешнее устройство накопления большой емкости: флэш-память; внешнее устройство записи на CD- или DVD-диски и, разумеется, доступ к самой базе данных на расширенных правах с возможностью копировать информацию. Поэтому и усилия по защите от такого рода потенциального нарушителя должны быть нацелены в первую очередь на ограничение его доступа к информации.

Легальный пользователь - экономист этой базы данных, скорее всего, опираясь на свои знания и опыт, с помощью запроса вычленит из общего массива наиболее притягательных с точки зрения их финансового состояния клиентов банка. Ему намного труднее скопировать весь массив данных, так как для пользователя, как правило, программными средствами накладываются ограничения на объем копируемой информации, а обойти это ограничение порой крайне затруднительно даже для "продвинутого пользователя". При этом у него нет нужды копировать весь массив, а достаточно визуально (с экрана) снять нужную ему информацию и попытаться сбыть ее конкурентам. К такого рода пользователям запретительные меры бесполезны, поскольку они и так являются авторизованными пользователями. В этом случае эффективны контроль и постоянный аудит действий этих сотрудников с последующим полным или выборочным отчетом о проделанной работе. И такую работу служба безопасности должна проводить совместно с руководством соответствующих структурных подразделений.

Сам аудит представляет собой специально разработанный программный комплекс, с помощью которого фиксируются все действия авторизованных пользователей информационных систем банка. Обработку этих данных должен вести специально выделенный сотрудник службы безопасности банка. Накопление и обработка подобного рода информации должны вестись на специальном сервере, доступ к которому имеет строго ограниченное число сотрудников из числа службы безопасности. По наиболее коммерчески ценной информации отчет по аудиту действий всех легальных пользователей представляется для визирования руководству соответствующих структурных подразделений банка.

Достаточно полезен аудит активности бюджетов пользователей, цель которого - обнаружить бездействующие, ошибочные или неправильно используемые бюджеты. Эти действия подразумевают, что бюджеты легальных пользователей должны регулярно проверяться на дату последнего доступа. Любой бюджет, к которому не обращались в течение N дней (например, 30, 60, 90), должен быть соответствующим образом помечен, и по нему нужно составить отчет. Неактивные бюджеты должны стать недоступными, и их следует заархивировать.

Сами руководители тоже не могут выступать в роли "жены Цезаря". В отношении их должен вестись такой же полноценный аудит, как и по отношению к рядовым сотрудникам. Только отчет об их действиях докладывается непосредственно руководству банка. Ему целесообразно также докладывать и о действиях остальных сотрудников банка, если их действия являлись исполнением личных поручений их прямых руководителей. При этом, чтобы не попадать постоянно впросак, руководству службы безопасности желательно хотя бы в общих чертах разбираться в бизнес-процессах банка.

Кроме вышесказанного, при подготовке модели нарушителя информационной безопасности целесообразно классифицировать рядовых сотрудников банка на две дополнительные категории.

Первая категория - это сотрудники, занятые на участках работы, где их деятельность строго регламентирована и упорядочена. Это могут быть работники учетно-операционного подразделения, бухгалтерии, отдела кадров, лица, осуществляющие массовый ввод информации в автоматизированные системы, и др. Контроль и аудит программно-аппаратными средствами за их действиями в рамках работы с БИС относительно прост, но накладывает дополнительные требования на организационные меры безопасности со стороны их непосредственного руководства.

Вторая категория - инновационный, креативный и эвристический менеджмент. К этой категории относятся сотрудники, занятые в большей степени аналитической работой, действия которых трудноформализуемы и которые имеют доступ к большому объему открытой и конфиденциальной информации. Это могут быть сотрудники управлений депозитных и кредитных операций, управлений планирования и развития банковских операций, а также посреднических и других операций и т.п. Организационные меры безопасности в отношении этой категории работников малоэффективны, поэтому их персональные автоматизированные рабочие места помимо защитного программного обеспечения целесообразно оборудовать дополнительными программно-аппаратными средствами защиты, к которым относятся: идентификация, проверка подлинности и контроль доступа пользователя к программам, файлам, записям и полям записей; регистрация и учет входа/выхода пользователя доступа в/из БИС (узла сети), а также выдачи печатных выходных документов и многие другие. Полный перечень этих программно-аппаратных средств защиты можно найти в руководящих и нормативных документах Федеральной службы по техническому и экспортному контролю.

Ранее мы говорили, что первый уровень нарушителя подразделяется на руководящий состав и рядовых сотрудников. Руководители в силу своих должностных обязанностей обладают наиболее агрегированной и ценной информацией, но поскольку эта категория лиц является высокооплачиваемой, то и мотивация их действий как потенциальных нарушителей минимальна. Вот здесь мы и подходим к банальному выводу, что корпоративная преданность сотрудников банка прямо пропорциональна их материальному уровню. Хотя нельзя забывать и о моральном климате в том или ином коллективе, и о том, что отсутствие перспектив роста для сотрудника также является отрицательным фактором.

Отсюда напрашивается вывод, что модель нарушителя информационной безопасности в коммерческом банке должна постоянно корректироваться. Для каждого уровня нарушителя должен быть определен список так называемых проблемных лиц. В него целесообразно внести сотрудников, имеющих те или иные проблемы, решение которых возможно только с использованием денежных средств.

Это могут быть личностные недостатки: наркозависимость, склонность к алкогольным напиткам, увлечение азартными играми, шантаж третьими лицами за какие-либо неблаговидные в прошлом поступки, склочность характера, зависть к успехам других людей и т.п.

Это также могут быть семейные проблемы: болезнь родных и близких, требующая дорогостоящего лечения; квартирная проблема; финансовые долги; необходимость дорогостоящего обучения детей и т.п.

На таких лиц служба безопасности должна обращать особое внимание. Информацию о них можно получить как в управлении персоналом, так и от руководства и сослуживцев. Поэтому сотрудники безопасности не должны выделять себя в отдельную касту, а "идти в народ", постоянно общаясь с работниками банка, в том числе в неформальной обстановке.

Сам список этих лиц является строго конфиденциальным. Неверно было бы и проведение с ними профилактических бесед, так как это может незаслуженно обидеть людей. Но в отношении этих лиц необходимо проводить дополнительные организационные меры и программные средства защиты. Что касается автоматизированных рабочих мест таких лиц, то службе безопасности целесообразно проводить так называемый активный аудит, а проще говоря, перлюстрацию информационных массивов, хранящихся на их персональных компьютерах, а также их электронной почты. Подобный активный аудит позволяют осуществлять имеющиеся на рынке программные средства защиты, такие как сетевой Real Secure. Такие средства защиты целесообразно устанавливать на все персональные компьютеры, где обрабатывается конфиденциальная информация. Разумеется, такой тотальный контроль всех работников банка крайне затруднителен для службы безопасности в силу ее ограниченных ресурсов, но выборочный мониторинг действий "проблемных лиц" вполне ей под силу.

Подобные действия ни в коей мере не ущемляют права и свободы работников этого банка, не являются нарушением Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" <*> и являются распространенной практикой крупнейших российских и зарубежных компаний. Для снятия всех вопросов внутрикорпоративным документом возможно либо запретить на персональных компьютерах работников хранить и обрабатывать личные данные, либо предупредить их о возможном доступе к этим данным третьих лиц.

<*> Документ вступает в силу с 26 января 2007 г. в соответствии с ч. 1 ст. 25 данного Закона - по истечении 180 дней после официального опубликования (опубликован в "Российской газете" 29.07.2006).

Сам перечень таких лиц необходимо постоянно корректировать. В него обязательно должны включаться лица, выразившие желание по тем или иным причинам уволиться из банка.

На основе классификации для конкретной банковской автоматизированной информационной системы (в зависимости от ее особенностей - технологии, программно-аппаратная платформа и т.д.) разрабатывается конкретная модель внутреннего нарушителя. Эта модель наряду с другими параметрами автоматизированной системы (уязвимость, уровень конфиденциальности информации и т.д.) ложится в основу построения подсистемы информационной безопасности (ПИБ) данной банковской автоматизированной информационной системы.

Разработка и внедрение ПИБ минимизируют операционные риски <**> деятельности кредитной организации, которые в конечном итоге сказываются и на самих бизнес-процессах данной кредитной организации.

<**> Операционные риски порождаются следующими эксплуатационными факторами: технические неполадки, ошибочные (случайные) и (или) преднамеренные злоумышленные действия персонала кредитной организации, ее клиентов при их непосредственном доступе к банковской автоматизированной системе и др.

По оценке экспертов, именно операционные риски сегодня являются серьезным препятствием на пути к созданию эффективной системы управления рисками. Между тем Соглашение Базель II (которое требует использовать управление, ориентированное на операционные риски) в отличие от Базеля I (которое требует использовать управление, ориентированное в первую очередь на рыночные и кредитные риски) предписывает учитывать этот вид угроз и резервировать под него капитал. Такое внимание к управлению рисками в целом и операционными рисками в частности продиктовано тем, что коммерческий банк, который будет в состоянии наиболее точно оценить свои операционные риски и продемонстрировать свою уверенность регулятору, сможет резервировать меньшие объемы капитала под эти риски. Это, в свою очередь, позволит данному банку существенно повысить свою конкурентоспособность относительно менее продвинутых коммерческих банков.

Кроме того, хотя в состав операционных рисков не входят те, что связаны с репутацией, тем не менее реализация многих угроз может привести к отрицательным последствиям в виде ущерба имиджу и потери репутации. Например , если инсайдеры ограбят клиентов банка (самая опасная операционная угроза), то об этом наверняка станет известно широкой общественности. В результате репутация банка может пострадать, что приведет к сокращению клиентской базы и снижению прибыли. Таким образом, риски, связанные с репутацией, могут быть прямым следствием реализации операционных угроз. Опасаясь этого, банки зачастую не оповещают общественность о реализации операционных угроз, благо в настоящее время закон им это и не вменяет в обязанность. Например , если коммерческий банк выявит инсайдера, пытавшегося совершить мошенничество или продававшего приватные данные клиентов, он не станет обращаться в суд и постарается уладить дело без лишнего шума. В результате таких действий инсайдеры часто уходят от ответственности, однако и банки спасают таким образом свою репутацию. Тем не менее развитие российской законодательной базы рано или поздно приведет к тому, что подобные инциденты станут полностью прозрачными как для правоохранительных органов, так и для прессы.

Россия планирует присоединиться к Соглашению Базель II в 2009 г. Но отдельные положения этого Соглашения банкам придется выполнять уже в 2008 г. Именно к этому времени банки должны внедрить ПИБы, позволяющие минимизировать наиболее опасные операционные угрозы - ущерб в результате действий персонала и внутренних процессов. Создание и внедрение ПИБов должно вестись в соответствии с политикой информационной безопасности кредитной организации, разрабатываемой в том числе на основе модели угроз и модели нарушителей информационной безопасности конкретного банка.

В.В.Бабкин

Заместитель начальника

Управления безопасности и защиты информации

Московского главного территориального

управления Банка России

Те кто уже успел изучить новые методики регуляторов по моделированию угроз, наверное заметили, что большое внимание уделяется описанию потенциального нарушителя. Например, в проекте методики моделирования угроз от ФСТЭК подробно описаны виды нарушителей и их мотивация. В банке угроз ФСТЭК, для каждой угрозы задан тип и потенциал нарушителя, который может ее реализовать. В общем, модель нарушителя перестает быть простой формальностью и начинает оказывать большое влияние на перечень актуальных угроз.

Проблема в том, что подходы двух регуляторов (ФСБ и ФСТЭК) к формированию модели нарушителя, несколько отличаются. ФСБ отвечает за регулирование в области криптографии и ее методика в основном служит для выбора класса криптосредств. Соответственно, ФСБ при описании нарушителя делает упор на возможностях нарушителя по атакам на криптосредства и среду их функционирования (СФ). Методика ФСТЭК более широкая и описывает возможности нарушителя по атакам на систему в целом.

В результате перед разработчиком модели угроз стоит выбор: либо сделать две модели нарушителя по разным методикам, либо пытаться объединить подходы обоих регуляторов в едином документе.

Поэтому обычно разрабатывается два документа: модель угроз ФСТЭК (включающая свое описание нарушителей) и, отдельно, модель нарушителя ФСБ. По крайней мере так поступали безопасники в большинстве проектов, которые я видел. Две модели нарушителя в одном проекте - это то не очень логично.

В связи с выходом новых документов ФСТЭК и ФСБ, интересно насколько сблизились подходы регуляторов к к описанию потенциальных нарушителей. Стала модель нарушителя более логичной?

Модель нарушителя по ФСТЭК

В проекте методики ФСТЭК перечислены виды нарушителей и их потенциал. Потенциал нарушителя может быть высоким, средним или низким. Для каждого из вариантов задан свой набор возможностей:

Так, нарушители с низким потенциалом могут для реализации атак использовать информацию только из общедоступных источников. К нарушителям с низким потенциалом ФСТЭК относит любых "внешних" лиц, а также внутренний персонал и пользователей системы.

Нарушители со средним потенциалом имеют возможность проводить анализ кода прикладного программного обеспечения , самостоятельно находить в нем уязвимости и использовать их. К таким нарушителям ФСТЭК относит террористические и криминальные группы, конкурирующие организации, администраторов системы и разработчиков ПО.

Нарушители с высоким потенциалом имеют возможность вносить закладки в программно-техническое обеспечение системы , проводить специальные исследования и применять спец. средства проникновения и добывания информации. К таким нарушителям ФСТЭК относит только иностранные спецслужбы.

Возможности нарушителей по ФСБ

Как уже говорилось выше, у ФСБ своя методика угроз, с криптосредствами и СФ:) В недавно вышедших методических рекомендациях приводится 6 обобщенных возможностей нарушителей:
1) Возможность проводить атаки только за пределами КЗ;
2) Возможность проводить атаки в пределах КЗ, но без физического доступа к СВТ.
3) Возможность проводить атаки в пределах КЗ, с физическим доступом к СВТ.
4) Возможность привлекать специалистов, имеющих опыт в области анализа сигналов линейной передачи и ПЭМИН;
5) Возможность привлекать специалистов, имеющих опыт в области использования НДВ прикладного ПО ;
6) Возможность привлекать специалистов, имеющих опыт в области использования НДВ аппаратного и программного компонентов среды функционирования СКЗИ.

Эти возможности соответствуют классам криптосредств (СКЗИ). В зависимости от того, какую возможность мы признаем актуальной, необходимо использовать СКЗИ соответствующего класса. Подробнее это детализировано в другом документе - в приказе ФСБ №378.

Конкретных примеров нарушителей (террористы, конкуренты и т.д.) в своих новых документах ФСБ не дает. Но вспомним, что ранее были методические рекомендации ФСБ 2008 г.. В них то как раз рассказывалось о 6 типах нарушителей, которые обозначались как Н1- Н6. Возможности описанные в новых документах ФСБ соответствуют тем самым нарушителям Н1 - Н6 из старых методических рекомендаций.

Объединяем нарушителей ФСТЭК и ФСБ



Рекомендуем статьи по теме
Оформление
Выращивание вешенок как бизнес Предприятия фирмы закупающие грибы вешенка
Выращивание вешенок как бизнес Предприятия фирмы закупающие грибы вешенка
Очень часто именно вопросы реализации своей продукции, в том числе ее сертификация, становятся камнем преткновения для начинающих...
Наследство и дарение
Открытие островка в торговом центре: правила и секреты оформления Что можно поставить в торговом центре
Открытие островка в торговом центре: правила и секреты оформления Что можно поставить в торговом центре
Открытие торгового острова – привлекательная идея для малого бизнеса. Это экономичный и не требующий высоких стартовых вложений вид...