Потенциал нарушителя в Модели угроз - Форум по вопросам информационной безопасности

Добрый день!
Подскажите пожалуйста.
Допустим определили в Модели потенциал нарушителя. Например исходя из анализа возможностей внешнего и внутреннего нарушителя, анализа имеющихся у нарушителя информации об объектах атак и об имеющихся у нарушителей средствах атаки, нарушитель обладает средним потенциалом.
Что-то далее с этой информацией мы должны делать? Где-то используется факт того, что нарушитель имеет средний или иной потенциал? Или же это просто такой вывод Модели нарушителя и точка. Может это будет влиять на иные документы, которые будут ссылаться на Модель. Надеюсь вопрос я описал понятно.
А то получается потенциал определили и что с ним делать-то.

Спасибо

to Алексей
Ремарка: все нижесказанное относится к ФСТЭК-реализации Модели, поскольку именно там используется понятие "потенциал нарушителя". У ФСБ другой подход...

Нормативно ни на что не влияет, потому что адекватной Методики для разработки Модели с учетом "потенциала нарушителя" ФСТЭК пока так и не выдала...
В то же время де юре имеется отсылка к потенциалу в 17 Приказе ФСТЭК и в БДУ ФСТЭК, который (БДУ) регулятор настоятельно рекомендует использовать при разработке Модели. Однако и тут косяк: текущая редакция 17 Приказа говорит о каких-то "базовых", "усиленный базовых" и "высоких" потенциалах, в то время как в БДУ остались "низкий", "средний" и "высокий". Де юре это косяк, не позволяющий явно использовать формулировки 17 Приказа и БДУ совместно. Хотя все мы понимаем, что роза пахнет розой (и далее по тексту, ага)...
imho, общая рекомендация такая:
- если у вас ГИС, то вначале определяете ее класс и, исходя из требований 17 Приказа, противодействие необходимому "потенциалу нарушителя". При этом считайте, что "базовый" = "низкий", "усиленный базовый" = "средний", "высокий" = "высокий" из БДУ.
- если у вас не ГИС или ГИС, для которой хотите реализовать доп.меры защиты, то результирующий потенциал определяйте сами.
- берете Проект методики 2015 и смотрите, что понимается под "потенциалом нарушителя" относительно его возможностей и соотнесения с группами нарушителей (например, "высокий" - это корпорации и службы разведки).
- берете БДУ и выбираете из нее угрозы не выше вашего результирующего потенциала, а остальные отбрасываете. Либо не отбрасываете, если намеренно хотите их рассмотреть и в будущем нейтрализовать в вашей системе - разумеется, с обоснованием выбора.
- дальше действуете по Методике 2008 моделирования угроз для ИСПДн (единственной утвержденной на текущий момент), переложив ее на свою систему (если у вас не ИСПДн) или "в лоб" (если у вас ИСПДн).

ЗЫ Возможно, коллеги предложат другой подход. Но как по мне, приведенная выше схема наиболее аккуратная в нашем текущем дырявом поле нормативно-методической документации...

Такки да, тов. oko, как всегда прав.

Однако, кроме проекта проекта методики 2015 есть и проект 2020 г. В нем, правда, авторы перемудрили сами себя, зачем-то введя 4 потенциала нарушителя, но базовый и базовый повышенный мы можем отнести к "низкому".
Плюс в проекте своя типизация нарушителей с уже практически заданным для каждого вида нарушителя потенциалом.

Проект 2020 хорош тем, что в нем в явном виде задана структура МУ (6 разделов). Структуру менять точно не будут, а вот со "сценариями" пока лучше погодить.

Методика от 5 февраля 2021 г. содержит 4 потенциала нарушителя. Тема сведения потенциала БДУ ФСТЭК и новой методики.
Имеем 3 потенциала в БДУ ФСТЭК и 4 в Методике. (Спойлер, H1 H2 = нарушитель с низким потенциалом, Н3 = нарушитель со средним потенциалом, Н4 = нарушитель с высоким потенциалом)

1) Аргумент №1 (соответствие среднего потенциала методики и БДУ ФСТЭК)
Нарушители со средними возможностями имеют возможность реализовывать угрозы, в том числе на выявленные ими неизвестные уязвимости, с использованием САМОСТОЯТЕЛЬНО РАЗРАБОТАННЫХ для этого инструментов. Не имеют возможностей реализации угроз на физически изолированные сегменты систем и сетей

2) Аргумент №2 определение из БДУ ФСТЭК гласит: "Потенциал нарушителя (Attacker рotential) Средний потенциал подразумевает наличие возможностей уровня группы лиц/организации по разработке И использованию специальных средств эксплуатации уязвимостей." - при выполнении одновременно двух условий, данное выражение = истина. Иначе говоря, организация должна заниматься разработкой и использованием средств эксплуатации уязвимостей, а не чем-то одним. (Например, для модели угроз Организаций разрабатывающих такие СЗИ как Антивирусное ПО и Сканеры уязвимостей, для них может быть актуален средний потенциал из БДУ ФСТЭК и относиться к потенциалу Н2, т.к. есть Конкурирующие организации, для остального подавляющего большинства бизнес-процессов Внутренний нарушитель разрабатывающий какой-либо софт/код для организации может стать неактуальным на основании того, что данный субъект - доверенный, на основании обязанностей и ответственностей, предусмотренных договорными отношениями, а софт, типа "антивирус" который закупили - на основании имеющихся сертификаций, лицензионного договора и т.д. - доверенный разработчик)

*в сторону*
Вот это поток сознания...
imho, лучше найти юридически и фактически обоснованное объяснение факту пропажи Н2 из 31 Приказа (АСУ ТП) и Н3 из 17 Приказа (ГИС). Эдак де юре сейчас можно Н3 для К2 ГИС не рассматривать по умолчанию и аналогично с Н2 для К3 АСУ ТП...
А еще лучше найти вменяемое объяснение отсутствия ТКУИ для ИС(АС) при актуальности Н4 нарушителя. Дескать, возможности есть, но нарушитель их не использует и, следовательно, мы их не рассматриваем, потому что все вместе уважаем 77 приказ по аттестации , ага...
Нагородили новой несуразицы, а про текущую нормативку забыли (либо как всегда криво указали собственное мнение)...

"объяснение отсутствия ТКУИ для ИС(АС) при актуальности Н4 нарушителя"
особенно отсылки к невероятности каналов и сложности съема...

oko "лучше найти юридически и фактически обоснованное объяснение факту пропажи Н2 из 31 Приказа (АСУ ТП) и Н3 из 17 Приказа (ГИС). Эдак де юре сейчас можно Н3 для К2 ГИС не рассматривать"
Причем тут 31, зачем нам искать обоснование какой-то пропажи? Ничего не пропало, наоборот дополнилось по потенциалу вместо базовых, которые мы привыкли видеть: базовый, базовый усиленный (средний) и высокий - теперь градация на 4, где по факту разнесены возможности нарушителя.
Из пункта 25: Потенциал нарушителей определяется в ходе оценки их возможностей, проводимой при определении угроз безопасности информации в соответствии с пунктом 14.3 17 Приказа ФСТЭК.
Пункт 26 ссылается на Приложение №2 17 Приказа ФСТЭК при условии однозначного совпадения условий Уровня защищенности и потенциала нарушителя, который определяют в Моделях угроз.
Пункт 27 указывает на соответствие КЗ и УЗ при обработке ПДн. При этом
Итого: Потенциал нарушителя мы определяем не в 17 Приказе ФСТЭК, а по Методике, и основная задача соотнести потенциал методики и БДУ ФСТЭК.
Если отвечать на изначальный вопрос:

"Допустим определили в Модели потенциал нарушителя... Что-то далее с этой информацией мы должны делать? Где-то используется факт того, что нарушитель имеет средний или иной потенциал?"
Потенциал влияет на определение угроз безопасности (из БДУ ФСТЭК). Если по-простому - выкидываете лишнее, несоответствующее указанному потенциалом.


По ТКУИ, sekira, "невероятность..." канала быть не может, мы же не можем отменить законы физики..
А вот сложность съема уже ближе, переформулировать в "не соответствует уровню возможностей актуального нарушителя, отсутствии мотивации нарушителя (затраты на реализацию > стоимости информации/полученного эффекта/несоответствия информации уровню важности и т.д.), не обрабатывается информация составляющая гостайну и т.д." т.к. мы считаем, использование технических средств подобного уровня сопоставимо в основном Н4 потенциалу. В Н3 сказано, что Имеет возможность приобретать дорогостоящие средства и инструменты для реализации угроз, размещаемые на специализированных платных ресурсах (биржах уязвимостей), относительно какой угрозы БДУ собираетесь применить?

to поИБ
Primo, надеюсь, вы не представитель регулятора, тайно следящий за оным форумом. Испытываю легкое дежа вю: на днях в ЦА был пример аналогично невнятного обоснования позиции при экспертизе документов...
Secundo, откройте п. 23 Приказа 31 от 14.03.2014 (АСУ ТП) и найдите там "усиленный базовый" потенциал. Потом аналогичное проделайте со "средним" в п. 25 Приказа 17. И подумайте, к чему были мои комментарии и каковы возможные последствия в правовой части вопроса при моделировании, защите и аттестации подобных объектов...
Tertio, классная градация на 4 типа, ничего не скажешь. Еще круче, что она по формулировке "НN" до боли похожа на "другого регулятора", но при этом нихрена с оной не сходится. И особенно классно, что Модели на те же ГИС нужно одновременно согласовывать с обоими регуляторами. Вот что мешало сделать градацию "Н1 - Н6", или хотя бы обозначить "НБИ1 - НБИ4" (по аналогии с УБИ) и не плодить лишних сущностей, а?
Quatro, про Н4-нарушителей, ТКУИ и прочее. Главное, что для ГИС 1 класса (а это большинство федеральных инфосистем + минимум 1 инфосистема каждого, подчеркиваю, лицензиата ТЗКИ с пунктом "в" в стране) нарушитель Н4 обязателен к актуализации. Согласно тому же п. 25 Приказа 17 ФСТЭК России. А вы про мотивацию (для которой, к слову, никаких критериев формальной оценки в Методике-2021 нет, что тоже убивает любую логику и адекватность на корню)...
Last, про поток сознания в виде "Уровней защищенности" в п. 26 Приказа 17 и прочее промолчу...

ЗЫ Сменили бы вы никнейм, товарищ, а то обращаться к вам неудобно. Да и шутка про доп.буквы в сокращении дисциплины "Правовые Основы Информационной Безопасности" еще в университетские времена перешла в разряд бородатых (насколько знаю, не только в моей альма-матер), ага...

*в сторону*
Конец года, гонка, срываюсь на всех подряд...
С другой стороны, бывало ли в Рунете иначе? И не показатель ли это дурдома, который нормативка к нормативке, методика к методике все крепчает и крепчает? Эх, риторический вопрос, беспощадная ты...

Не знаю, на счет "правовых основ...", но остальная часть верна. Опустим этот нюанс..
oko, методика от 5 февраля 2021 года (возможно возможно) будет дорабатываться, сказать не могу сколько текущая будет действовать, но пока она есть, и в рамках этой методики будут определяться нарушители и угрозы.
По перечисленным п.25 Приказа ФСТЭК №17 и п.23 Приказа ФСТЭК №31:
Предлагаю читать как есть
п.25 17: Организационные меры и средства защиты информации, применяемые в информационной системе, должны обеспечивать: ...
п.23 31: Выбранные и реализованные ... меры защиты информации, ..., должны обеспечивать: ...
Требования к мерам защиты, которые должны обеспечивать для определенного КЗ при наличии соответствующего нарушителя.
Нарушители определяются по настоящей методике, а не по приказам ФСТЭК.
13.3. Для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы ФСТЭК России <*>.
14.3 - аналогично.
Таким образом, приказ ФСТЭК не может декларировать какие нарушители актуальны для ИС/ГИС/ОИ для этого есть методика.
В текущей методике формула следующая: УБИi = [нарушитель (источник угрозы); объекты
воздействия; способы реализации угроз; негативные последствия].
В соответствии с подпунктом в) п. 2.2. и п. 5.1.1.
Как я ранее говорил, если вдруг мы видим знакомое слово/фразу - не вырываем из контекста. Если для ГИС КЗ-1 будут актуальны нарушители, например, со средним и низким потенциалом (как мы определили по разработанной нами Модели угроз для целевой ГИС, в соответствии с Методикой от 5 февраля 2021 г.), то на этом рассмотрение потенциала нарушителя заканчиваются до момента очередной итерации пересмотра Модели угроз.

Кстати, по поводу Н1-Н6 ФСБ, на что ссылаетесь? Что имеем с тем и работаем..
МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ
по разработке нормативных правовых актов, определяющих угрозы
безопасности персональных данных, актуальные при обработке
персональных данных в информационных системах персональных
данных, эксплуатируемых при осуществлении соответствующих видов
деятельности