Выявление актуальности угрозы - Форум по вопросам информационной безопасности

Доброго времени суток.
Помогите разобраться в методологии.
Пролистал много веток форума, что добавило множество вопросов.

1. СКУД. Защищаю ПД.
2. В качестве списка угроз выбираю угрозы из БД фстэка.
3. Составляю таблицу угроз и определяю их актуальность.

Возникла куча вопросов, об определении двух параметров - вероятность реализации и опасность.
Для начала - Пусть у меня серверная с БД СКУДа за 7 замками и охраной.
Возьмем к примеру угрозу Загрузка нештатной ОС.

Я с учетом ИМЕЮЩИХСЯ средств защиты (Двери, замки, охрана) считаю эту угрозу маловероятной. Но в методике, при оценке опасности дают условие - оценить опасность при РЕАЛИЗАЦИИ этой угрозы.
Предположим, угроза реализована и нештатная ОС загружена, и вся информация на лицо.

Если вероятность маловероятна, а опасность высока, то и угроза останется актуальной.

Нашел в форуме следующее: "Во первых - методика нужна для оценки актуальных угроз до выбора средств защиты и обоснования их нужности..."

Стало быть мне необходимо представить сферического коня в вакууме и сказать, что все угрозы будут актуальны ввиду того, что ограничений нет?????

Ткните носом в логику.

>Пусть у меня серверная с БД СКУДа за 7 замками и охраной. Возьмем к примеру угрозу Загрузка нештатной ОС

я бы начал с определения, от кого мы защищаемся (внутренний или внешний нарушитель и его возможности). далее, исходя из внутреннего нарушителя:
в наличии: отдельное помещение без окон, с стенами из кирпича; стены расположены таким образом, что не выходят на улицы и т.п., где ходят праздные люди; помещение под скуд; внутри помещения видеонаблюдение; помещение кондиционировано, обеспечено электропитанием и системой пожаротушения; персонал проверен при приёме на работу, отнесён к доверенным лицам, имеет персональные учётки, контролируется системой логирования; оборудование (сервер БД СКУД) настроен; ведётся журнал работ (тикетов); логический доступ с использованием МЭ, криптомаршрутизаторов.
с данными условиями угроза "Загрузка нештатной ОС" не может быть реализована, ergo угроза неактуальна.

Спасибо за развернутый ответ!
Я полностью с Вами соглашаюсь в реалиях нашей жизни, но...
Но ведь это протеворечит методике... Почему вы исключили из актуальности таким способом?
А как же опасность, а как же вероятность?

to Артем
Вы правильно задаете эти вопросы. Потому что Методика2008 откровенно противоречива и на сегодняшний день ей место разве что в архивах. Но...
Короче, существует 2 подхода (об этом на форуме уже писал более развернуто, поищите):
1. Либо берете свою ИС "без средств защиты кроме базовых" (базовые орг.меры без спец.режимных требований; встроенные политики защиты ОС, например и т.д.). Тогда далее четко по Методике.
2. Либо берете свою ИС как АСЗИ - все каналы учтены, все УБИ перекрыты. Тогда не совсем по Методике, потому что парадокс "вероятность + опасность" вы не обойдете, это правда. Придется вам дописывать доп. таблицу или доп. раздел, где по каждой УБИ будете приводить нечто вроде "такие-то меры защиты полностью нейтрализуют УБИ, поэтому ее опасность не имеет значения".
Увы, вопросы внутренних/внешних нарушителей Методика2008 не рассматривает, поэтому подход тов. Alex не уместен. Впрочем, "плясать от нарушителей" (типа, не актуальна для нас ИТР, поэтому и ПЭМИН не рассматриваем) можно, но это будет такая же самодеятельность, как в п. 2.

Что до парадокса "вероятность + опасность", рекомендую действовать следующим образом (да оно и предполагалось Методикой, в идеале так быть и должно, но в реали это недостижимо): доказывать, что самостоятельная "опасность" УБИ применительно к конкретному объекту (например, загрузка нештатной ОС на одном из АРМ) "низкая", потому что в масштабах ИСПДн это ничего не даст нарушителю или будет оперативно выявлено/нейтрализовано службой безопасности (например, штатная ОС снабжена спец.логгерами => нештатная ОС ими не снабжена => ее загрузка на АРМ будет сразу выявлена). Т.е. УБИ в масштабах АРМ весьма опасна, но в масштабах ИСПДн (а мы защищаем ее в целом) - "низкая". И угроза сразу становится "неактуальной"...
Короче, комплексный анализ, сценарии реализации УБИ (атак нарушителей) в масштабах всей ИС. Как-то так...

>Но ведь это протеворечит методике... Почему вы исключили из актуальности таким способом?

смотрим "Методику определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных":

Под угрозами безопасности ПДн при их обработке в ИСПДн понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
...
Угрозы безопасности ПДн могут быть реализованы за счет ... несанкционированного доступа с использованием соответствующего программного обеспечения.
Источниками угроз ... являются субъекты, действия которых нарушают регламентируемые в ИСПДн правила разграничения доступа к информации. Этими субъектами могут быть: нарушитель...

Под нарушителем здесь и далее понимается физическое лицо (лица), случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности ПДн при их обработке техническими средствами в информационных системах. С точки зрения наличия права легального доступа в помещения, в которых размещены аппаратные средства, обеспечивающие доступ к ресурсам ИСПДн, нарушители подразделяются на два типа:
1. нарушители, не имеющие доступа к ИСПДн, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена, – внешние нарушители;
2. нарушители, имеющие доступ к ИСПДн, включая пользователей ИСПДн, реализующие угрозы непосредственно в ИСПДн, – внутренние нарушители.

Для ИСПДн, предоставляющих информационные услуги удаленным пользователям, внешними нарушителями могут являться лица, имеющие возможность осуществлять несанкционированный доступ к информации с использованием специальных программных воздействий, алгоритмических или программных закладок через автоматизированные рабочие места, терминальные устройства ИСПДн, подключенные к сетям общего пользования.

Возможности внутреннего нарушителя существенным образом зависят
от установленного порядка допуска физических лиц к информационным ресурсам ИСПДн и мер по контролю порядка проведения работ....

и далее по тексту между таблицами 1 и 2. в качестве вспомогательного материала подойдёт неактуальная сейчас http://pharmcol.ru/vodugr.pdf

2 oko

>Увы, вопросы внутренних/внешних нарушителей Методика2008 не рассматривает

товарищ, вы о "Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 2008 год"?

to ALEX
Позвольте с Вами поспорить :) , предложенный вами вариант (выдержка из методики) это скорей всего ЛИБО исключения из рассмотрения угрозы вообще, и не оценивание ее вероятности и опасности ввиду отсутсвия факторов, ЛИБО, как пишут в 21 приказе - это все таки должна быть актуализация угрозы и применение к ней компенсационных мер, которые как бы защищают.

Вы в первом посте по факту снижаете ВЕРОЯТНОСТЬ реализации до предела (и я с Вами согласен, что это в жизни работает на 123% :))) ), но простите опять за требования методики, куда вы деваете оценку опасности? вы описанными орг мерами снизили вероятность, но методика вашу угрозу оставит актуальной.

Даже если взять меры, которые описываются в 21 приказе, я дабы защитить данные от нештатной ОС, могу применить средство доверенной загрузки, НО я этим всем просто напросто опять снижу вероятность реализации угрозы! Даже после примененных мер я не уйду от актуальности - я снижаю из без того мизерную вероятность.


В тоже время я с Вами соглашаюсь на предмет того, что необходимо учитывать, а кто же мой враг? Если это спецслужбы то и эти все меры - смешно. А если это физлицо... то это детский сад, и никогда не будет "совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа "


А может надо как то по другому смотреть на опасность? Может ее снижать надо? Чем вы руководствуетесь при выборе опасности?

*в сторону* Черт побери, уже который раз все это на форуме пишу...

to Alex
Про нее родимую. Цимес в том, что за вычетом приведенных вами выжимок из Методики, в ней про нарушителя более ничего конкретного не сказано. Т.е. не указано ни детальных способов оценки его возможностей, ни систематики, ничего, что бы коррелировало с УБИ. Нарушителя в Методику2008 вписали из принципа "чтобы было", потому что рассмотрение "атак нарушителя" - прерогатива "другого регулятора", а ФСТЭК работает не с "нарушителем", а с УБИ.
Так что "де юре" игра с нарушителем (актуализация УБИ через нарушителя) - это самодеятельность. Равно как и через уязвимости (которые, кстати, введены в 21 Приказе, но оной Методикой2008 тоже не покрываются)...
Ради интереса, сравните Методику2008 с Проектом Методики2015 - вот там должное внимание нарушителю уже уделено. Там вообще принцип правильный был предложен: УБИ = объект + возможности нарушителя + его заинтересованность + уязвимости объекта + исходные меры защиты. Никаких тебе сферических "вероятностей" и "опасностей" (в общем смысле, конечно). Но, увы, к ИСПДн она де юре не применима (да и к другим ИС тоже, поскольку не утверждена), поэтому у нас все так тупо с моделированием угроз на текущий момент...

to Артем
Еще раз повторюсь. "Опасность" по Методике2008 это и "опасность к нарушению конкретного элемента ИСПДн" непосредственно, и "опасность к ИСПДн" в целом. Рассматривайте "опасность" по приведенному мною выше принципу, анализируя не "факторы, определяющие опасность" применительно к элементу ИСПДн, вырванному из контекста (аля угроза загрузки нештатной ОС опасна для АРМ сама по себе), а в контексте всей ИСПДн (загрузка нештатной ОС на одном АРМ никак негативно не скажется на безопасности всей ИСПДн). Конечно, нужна конкретика (иногда нарушение ИБ на одной ноде позволяет дискредитировать всю ИС), но принцип, думаю, понятен...

ЗЫ И, ради интереса, подумайте, как сейчас связана разработка ЧМУ по Методике2008 с требованиями 21 и 17 Приказов. Детально. С пресловутыми компенсирующими мерами. Поймете, что Требования Приказов сами по себе, а требования ЧМУ сами по себе. И задача "моделирующего" не только оценить фактический набор УБИ, но и как-то (не утвержденным регулятором способом) связать этот набор с мерами, предложенными Приказами. Увы и ах, но это так...

2 oko

>за вычетом приведенных вами выжимок из Методики, в ней про нарушителя более ничего конкретного не сказано

не будьте столь категоричны, либо формулируйте тщательнее. и, если уж моделируем угрозы, то не упомянуть нарушителей не получится:

--cut here---
1. нарушители, не имеющие доступа к ИСПДн, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена, – внешние нарушители;
2. нарушители, имеющие доступ к ИСПДн, включая пользователей ИСПДн, реализующие угрозы непосредственно в ИСПДн, – внутренние нарушители
---cut here---

>рассмотрение "атак нарушителя" - прерогатива "другого регулятора"

это очевидно, но итогом построения МН будет выбор криптосредства, а не угрозы БИ

>Методика 2015 ... к ИСПДн она де юре не применима

никто не мешает её использовать. более того, я бы настаивал на этом

>Так что "де юре" игра с нарушителем (актуализация УБИ через нарушителя) - это самодеятельность

полагаю, вам не приходилось согласовывать МУ с ФСТЭК России. позволю себе ещё раз обратить ваше внимание на файл, приложенный выше http://pharmcol.ru/vodugr.pdf

2 Артем

>Позвольте с Вами поспорить

если это будет спор методик ФСТЭК и мнения, подчерпнутого из сообщений на форуме, то я пас.
собственно, подход №2 тов. oko (сообщение № 88529) дублирует моё объяснение