Потенциал нарушителя в Модели угроз - Форум по вопросам информационной безопасности

2 CM Спасибо!

День добрый!
Вопрос по поводу сценариев, а точнее п.5.3.5 и последнего абзаца насчет ГИС на этапе эксплутации.
Там сказано, что для каждой возможной угрозы БИ определяется множество возможных сценариев ее реализации.
А во втором абзаце этого пункта 5.3.5 сказано, что при наличии хотя бы одного сценария угрозу считается актуальной.

Не понятно, как разделять возможные сценарии и сценарии изза которых угроза будет считаться актуальной? Или раз определяем возможные сценарии для всех возможных угроз, то все они будут актуальными? Где та грань между возможными сценариями и сценариями изза которых угроза становится актуальной и как это показать в МУ?

Спасибо!

to Константин:

Удивительно, что у Вас до сих пор появляются вопросы по Методике оценки УБИ. Был уверен, что Вы уже ведёте мастер-классы по моделированию угроз... ;-)

Что касается абзацев 2 и 3 в п. 5.3.5 методики: 2 является продолжением мысли в 1 абзац и посвящен ЭТАПУ СОЗДАНИЯ систем, а 3 абзац посвящен ЭТАПУ ЭКСПЛУАТАЦИИ систем.
В методике упоминается, что модель меняющейся документ "по ходу жизни системы": при создании и в ходе эксплуатации (см. п.п. 2.5, 4.4, 5.2.5 методики). Интересуемый п. 5.3.5 изложен в том же стиле.

> Не понятно, как разделять возможные сценарии и сценарии изза которых угроза будет считаться актуальной? Или раз определяем возможные сценарии для всех возможных угроз, то все они будут актуальными? Где та грань между возможными сценариями и сценариями изза которых угроза становится актуальной и как это показать в МУ?

Это Вы ещё не сравнивали определение актуальных УБИ в формулировке в п. 2.1 методики...
Интересуемая Вас "грань" проведена в пунктах 5.3.3 и 5.3.4. Актуальность может быть только у возможных УБИ и она определяется наличием сценариев их реализации. При дословном разборе "актуальность" это свойство у возможных УБИ. Но если делать поправку не "сырость" всей методики, то можно опустить этот нюанс.
Если УБИ возможные = [нарушитель (источник угрозы); объекты воздействия; способы реализации угроз; негативные последствия], то УБИ актуальные = [УБИ возможные] + [тактики и техники].

2 CM Спасибо, но я так, если честно, и не понял)
например, актуальные УБИ выбираются из списка возможных. И возможные, и актуальные, должны быть отражены в МУ. Вот и вопрос касательно сценариев... Получается для системы в эксплуатации нужно для всего списка возможных угроз, рисовать возможные сценарии..

меня просто отправили на устранение недостатков с указанием на п.5.3.1 и п. 5.3.5 указав и там и там на возможные сценарии.

Как я сделал у себя в МУ. Определил актуальных нарушителей и их потенциал. Взял из БДУ перечень. Написал, что это перечень возможных УБИ. Определил, какие из них актуальные и для них указал сценарии. Но видимо оказался не прав. И сценарии надо указать для всех возможных. Вот теперь сижу гадаю, потому что конкретики в ответе не было.

Просто тогда не работает условие методики о том, что наличие хотя бы одного сценария, признаёт угрозы актуальной. Потому что придется сценарии указывать для всех возможных угроз.
Как-то так. Надеюсь ясно изложил, что хотел сказать)

Или может так задать вопрос, что они хотят видеть в разделе 7 рекомендуемой структуры

"описание возможных сценариев реализации угроз безопасности информации; "

Достаточно ли будет привести список актуальных угроз и сценариев для них? Или это возможные сценарии это как возможные угрозы и их должны больше. И уже из этих возможных сценариев я должен выбирать те, которые сделают возможные УБИ актуальными.

to Константин:

Возможные и актуальные УБИ описаны в одном разделе методики (5.3). По сути это одни и те же угрозы, которые отличает между собой только наличие сценариев (тактики + техники). Посмотрите ещё раз п. 5.3.1: сначала определяются возможные УБИ (п. 5.3.3), а потоп оценивается их актуальность, которая определяется наличием сценария (п. 5.3.4).
В ходе действий до раздела 5.3 все полученные угрозы являются возможными. А когда их дополняешь тактиками и техниками (сценарием), то угрозы становятся актуальными.
Простота и незамысловатость формулировок тактик и техник составлены регулятором таким образом, что подобрать тактики и техники возможным УБИ позволяет всегда.
Использование в методике определений "возможные" и "актуальные" избыточно. Иначе можно "утонуть" в рассуждениях почему возможная угроза не может быть актуальной и т.п. Но пока исходим из того, что есть.

to Константин:

> Достаточно ли будет привести список актуальных угроз и сценариев для них?
Актуальные УБИ содержат в себе сценарии. Без сценариев нет актуальности (см. п. 5.3.4 методики).

> Или это возможные сценарии это как возможные угрозы и их должны больше.
Возможных сценариев в методике не предусмотрено. В методике возможными могут быть только угрозы.
Возможных УБИ может быть больше актуальных УБИ только в одном теоретическом случае: если Вам не удалось подобрать тактики и техники (сценарий) каким-то их возможных угроз.

2 CM большое спасибо за помощь!

Подскажите, пожалуйста, а как должно выглядеть рассмотрение уязвимостей БДУ для используемого ПО? Вот вижу уязвимость, которая подходит для указанного ПО, а дальше ? или достаточно написать, что такие уявзимости есть?

to Константин:

Не сочтите за "Капитана Очевидность", но с найденной уязвимостью всего 2 пути: если можем устранить - устраняем, если не можем устранить - не устраняем. Помним, что для устранения уязвимостей требуется время.
Риски по неустранимым уязвимостям, конечно, надо учитывать в дальнейшей работе и по возможности разрабатывать компенсирующие меры. Вариант с заменой ПО, как источника уязвимости, больше соответствует пословице: "Если проблема решается деньгами, то это не проблема, а расходы".