Потенциал нарушителя в Модели угроз - Форум по вопросам информационной безопасности

to Константин:

> А есть ли способ проверить правильность выбора вида воздействия для объекта воздействия? Может на ресурсе можно найти каком-нибудь? На БДУ что-то я не увидел. И на сколько это критично при проверке регулятором?

Критерии "правильности" выбора вида воздействия для объекта воздействия не формализованы. Поэтому их выбор будет всегда субъективен. Поэтому здесь стоит руководствоваться законами логики и точности формулировок изложения.
БДУ не предназначен для проверки правильности такого выбора. Если уточните в каком именно качестве, то можем порассуждать на эту тему.
За регулятора говорить сложно. Сама проверка и ее критерии Моделей УБИ не формализованы, а практика проверки в регионах разница. Хоть субъективное мнение проверяющего эксперта и доминирует, но каких-то "завышенных" требований с их стороны на встречал.

2 CM благодарю!

Продолжают возникать вопросы. Прошу помощи.
1 - Все ли объекты воздействия, которые мы определили на примере Приложения 5 к Методике должны быть рассмотрены в определении способов реализации на примере Приложения 10 к Методике?
Например, определили объекты и виды воздействия, затем установили виды и категории нарушителя и поняли, что часть объектов воздействия не может быть реализуемо из-за низкого уровня возможностей нарушителя (базовые возможности).
Если допустимо рассматривать не все объекты воздействия, то это нужно как-то пояснять в МУ для проверяющих?
2 - Не критичный вопрос, но в Приложении 8 к Методике Физическое лицо (хакер) отнесено к H1, но далее в Приложениях 9 и 10 к Методике его уже относят к H2. В чём правда, брат?
3 - И пока последний вопрос. Может ли внутренний нарушитель согласно МУ являться внешним пользователем согласно Приказу 17?

to Константин
Primo, лучше ориентируйтесь на раздел 4 Приложения 3 (читай, форма Модели). А там в части связи "объекты воздействия - нарушители" указано: <описание видов воздействия на компоненты систем и сетей, реализация которых нарушителем может привести к негативным последствиям>. Хотите указать чистые выводы - пожалуйста - формируете связку только для актуальных "нарушитель - объект воздействия - вид воздействия - последствия". Хотите добавить аналитики - пожалуйста - распишите по той же связке, какие объекты/виды исключаются и почему. А можете вообще забить, потому что:
- раздел актуализации нарушителей идет ПОСЛЕ раздела с описанием указанной связки, т.е. явно нарушает логику (и описания в частности, и моделирования вообще, ага);
- результат Модели, используемый далее (и, в частности, нужный регулятору), это связь "УБИ - объект воздействия - нарушитель - последствия - сценарии = актуально/неактуально". При этом в текущей (до сих пор) версии БДУ и объекты, и нарушители уже гвоздями прибиты к перечню УБИ. Т.е. оный результат можно описать за раз, а не пошагово, юзая то или иное Приложение Методики при формировании Модели. И в целом, можно расшириться, за счет переопределения указанных связок, если это необходимо, но вовсе не обязательно (imho, был бы нарушитель и угроза, а объект найдется, ага)...
Secundo, на этот косяк уже обращали внимание (и регулятора в том числе). Логично считать, что Н1, а не Н2. Потому что Н1 - он для всех и всегда (кроме случаев полной автономности самого ОИ). А вот Н2 можно по-тихому и исключить. Что в наше неспокойное время попахивает подлогом или идиотизмом, ага...
Tertio, у ФСТЭК нарушители сформированы хуже, чем у "другого регулятора". Зато понятие КЗ лучше. imho, стоит добавить понятие "категория", а не только "тип" и "класс". Читай, 1 кат. - у нарушителя отсутствуют права доступа к ресурсам ОИ (читай, совершение атак из-за пределов КЗ), а 2 кат. - нарушитель имеет ограниченные или кратковременные права доступа к ресурсам ОИ (читай, совершает атаки, временно находясь в пределах КЗ). Нечто подобное сам в Моделях отражаю. В целом, никто подобного хода не запрещает. Но тогда появляется люфт, позволяющий отразить логику: сам по себе "внешний пользователь" однозначно "внешний нарушитель", но 2 кат., поскольку имеет определенные права по отношению к тем или иным ресурсам (интерфейсам, функциям и т.д.) ОИ. При этом "внутренний нарушитель" всегда будет 2 кат., а "внешний" уже может различаться...

to Константин:

По пункту 1:
Этапы оценки УБИ (п. 2.15), определение возможных объектов воздействия (раздел 4, приложение 5) и оценка способов реализации (воздействия) УБИ (раздел 5.2, приложение 10) в Методике от 05.02.2021 как раз и подразумевают сначала определение перечня объектов воздействия, чтобы потом оценить по нему способы реализации (воздействия) УБИ.
Пунктом 5.2.4 Методики сказано "Условием, позволяющим нарушителям использовать способы реализации угроз безопасности информации, является наличие у них возможности доступа к следующим типам интерфейсов объектов воздействия: ...". Т.е. способ реализации (воздействия) УБИ зависит не от уровня возможностей нарушителя, а от наличия у них возможности доступа к интерфейсам объекта. Полученная таблица по ГИСу (аналогичная Приложению 10 к Методике), скорее всего, покажет, что у каждого нарушителя имеется разный состав доступных ему интерфейсов у определенных объектов воздействия по реализуемым способам угроз.
Практика изложения Модели УБИ и ее согласования у регулятора разная. Если у регулятора будут дополнительные вопросы по Модели УБИ от их задаст. Если в Модель УБИ включать какие-то пояснения, но вопросы у регулятора могут возникнуть к ним.

По пункту 2:
Приложение 8 к Методике дополняет п. 5.1.5 Методики и в нем расписаны уровни возможностей нарушителей. В то время как в приложениях 9 и 10 регулятором приведены примеры. Из личного общения при разработке Модели УБИ, как правило, ориентируются на уровень Н1, указанный в Приложении 8 к Методике.

По пункту 3:
Предложенные объекты сравнения довольно разные. Не очень понятно практическое значение результатов сравнения между внутренним нарушителем в одном документе и внешним пользователем в другом?!
Признаки внутренних и внешних нарушителей указаны только в п. 5.1.6 Методике оценки УБИ от 05.02.2021 связаны они с наличием/отсутствием прав доступа в контролируемую зону и(или) полномочий по доступу к информационным ресурсам систем и сетей, требующих авторизации. В Требования, утвержденных приказом ФСТЭК России от 11.02.2013 № 17, отличия между этими видами нарушителей не формализованы.
Признаки внутренних и внешних пользователей можно найти в описании мер ИАФ.1 и ИАФ.6, изложенных регулятором в пункте 3.1 методического документа "Меры по защите информации в ГИС" от 11.02.2014 даже с примерами. А в Методике оценки УБИ различия между внутренними и внешними пользователя явно не прописаны. В приложении 3 к Методике есть формулировка про внутренних и внешних пользователей, но она не конкретная по этому поводу.

oko и CM Спасибо вам большое!
Если в итоге рассматривать в МУ угрозы из БДУ, выбрав их для актуального нарушителя, то должны ли совпадать объекты воздействия определенные в МУ и указанные для угроз в БДУ ?

to Константин:

> Если в итоге рассматривать в МУ угрозы из БДУ, выбрав их для актуального нарушителя, то должны ли совпадать объекты воздействия определенные в МУ и указанные для угроз в БДУ ?

Совпадать должны. Будет странным, если, например, для "УБИ.099: Угроза обнаружения хостов" в БДУ объектами воздействия определены "Сетевой узел, сетевое программное обеспечение, сетевой трафик", а в разработанной Модели УБИ объектами воздействия для данной угрозы будет значится "прикладное ПО" или "База данных". Другое дело, если в Вашей Модели УБИ объекты воздействия будут уточнены. Например, вместо "сетевого узла" будут указаны защищаемые серверы и АРМы с определенными сетевыми адресами.

2 CM спасибо!

А есть ли взаимосвязь в МУ между тактиками-техниками и возможностями нарушителя ? И какая ? ну например Т1 доступна для H1, а Т10 H1 уже не потянет. Или любая тактика-техника доступна любому нарушителю ?

ошибься, спрашиваю про взаимосвязь в Методике..