Потенциал нарушителя в Модели угроз - Форум по вопросам информационной безопасности

to Константин
Де юре связь не расписана. Де факто - можно поступать сообразно логике (и отсеивать тактики/техники по принципу актуализированных нарушителей предварительно). Да и нужно бы - иначе многомиллионные сценарии станут на пару порядков еще... мнэ... миллионнее. А русский лес как ни крути нужно беречь. Тем более сейчас, ага...

to Константин:

> А есть ли взаимосвязь в МУ между тактиками-техниками и возможностями нарушителя ? И какая ? ну например Т1 доступна для H1, а Т10 H1 уже не потянет. Или любая тактика-техника доступна любому нарушителю ?
> ошибься, спрашиваю про взаимосвязь в Методике..

Судя по ранее заданным вопросам с Методикой оценки УБИ (от 05.02.2021) Вы ознакомились и ответ для Вас очевиден, что в действующей редакции документа взаимосвязь между тактиками-техниками и уровнями возможностей нарушителя не прописана. Да и задачи такой в Методике не было.
Уровень возможностей нарушителя определяет возможность им реализации угрозы. Условная характеристика "совокупности уровня компетентности, оснащенности ресурсами, и мотивации для реализации УБИ". А тактики и техники используются при описании сценария, как некоего "набора действий" выполняемых нарушителем для проведения атак. В Методике определены "основные тактики" и "типовые техники", которые сами по себе могут быть присущи любому нарушителю.

*в сторону*
Представил, как группа лиц в "веселых поясах" напряженно изучает выхлоп Shodan.
А инсайдер-бухгалтер после отправки "мылом" украденных документов изо всех сил нагнетает трафик в канал связи. Изнутри, ага...

2 oko CM Спасибо!

Подскажите, пожалуйста, какие документы хочеть видеть ФСТЭК в разделе МУ для ГИС (не КИИ)-
"Нормативные правовые акты, методические документы, национальные стандарты, используемые для оценки угроз безопасности информации и разработки модели угроз"

https://bdu.fstec.ru/documents
На сайте БДУ в разделе документы под этот раздел подходят всего два документа:
1.Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка)
Утверждена Заместителем директора ФСТЭК России 15 февраля 2008 г.
2.Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных
Утверждена Заместителем директора ФСТЭК России 14 февраля 2008 г.

соотв. меняем второй документ на актуальный.

А что ещё?

ну наверное ТЗ на ГИС ещё можно указать

И еще вдогонку такой вопрос:

В 2018 году при согласовании модели угроз ФСТЭК выставлял следующие замечания исправления для ГИС находящейся в эксплуатации:
- отсутствует перечень ПО применяемого в системе (вендор, название, версия, тип и тд) с учетом которого производится описание возможных уязвимостей системы
- отсутствует перечень аппаратно-программных средств и тех устройств
- отсутствует описание возможных уязвимостей системы с использование БДУ на основании типа ПО, наименование ОС и типа аппаратной платформы, названия и версии ПО. В описании целесообразно отразить уровень опасности каждой уязвимости

Подскажите это актуально для составления МУ по нынешнему методическому документу ФСТЭК ? Я про наименования и версии используемого ПО и тех средств + их уязвимсоти согласно БДУ

to Константин:

> Подскажите, пожалуйста, какие документы хочеть видеть ФСТЭК в разделе МУ для ГИС (не КИИ)

Методика оценки УБИ от 11.02.2021 не предусматривает разработку разных моделей угроз для ГИС и КИИ. ГИС может быть и объектом КИИ, а может им и не быть. Модель угроз будет одна. Она может включать в себя моделирование/определение угроз при использовании СКЗИ (по Методическим рекомендациям, утв. 8 Центром ФСБ России от 31 марта 2015 года № 149/7/2/6-432) или такое моделирование/определение оформляется отдельным документов. Я на практике рекомендую оформлять раздельно.
Если Модель угроз оформляется только по требованиям ФСТЭК (без учета требований ФСБ), то основными документами для неё будут:
- Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119;
- Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2013 года № 17 (зарегистрировано в Минюсте России 31 мая 2013 года, регистрационный № 28608);
- Методика оценки угроз безопасности информации (методический документ, утвержденный ФСТЭК России 5 февраля 2021 года);
- Банк данных УБИ ФСТЭК России https://bdu.fstec.ru/;
- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (методический документ, утвержденный директором ФСТЭК России 15 февраля 2008 года);
- Акт классификации защищенности ГИС;
- Акт определения типа актуальных угроз безопасности персональных данных и установления уровня их защищенности при обработке в ГИС (при наличии обработки ПДн);
- Техническое задание на создание СЗИ ГИС (при наличии).
Если Модель угроз включает оценку требований при использовании СКЗИ, то в перечень можно добавить документы:
- Методические рекомендации по разработке правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности (утверждены руководством 8 Центра ФСБ России от 31 марта 2015 года № 149/7/2/6-432);
- Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденные Приказом ФСБ России от 10 июля 2014 года № 378 (рег. в Минюсте России от 18 августа 2014 года № 33620);
- Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденная приказом ФАПСИ от 13 июня 2001 года № 152 (зарегистрировано в Минюсте России от 31 мая 2013 года № 28608) - ЕСЛИ НА ЭТОТ ДОКУМЕНТ ПО ТЕКСТУ ЕСТЬ ОТСЫЛКА.
При наличии технической и эксплуатационной документации на ГИС можно указать Технический паспорт, схему функциональной структуры, структурную схему, схему организации криптографической защиты (к разделам оценке требований при использовании СКЗИ) и описания к этим схемам, а также соглашения и регламенты информационного взаимодействия с соответствующими схемами в случае функционирования ГИС на базе информационно-телекоммуникационной инфраструктуры ЦОДа.

> Подскажите это актуально для составления МУ по нынешнему методическому документу ФСТЭК ? Я про наименования и версии используемого ПО и тех средств + их уязвимсоти согласно БДУ
Актуально. Спрашивать будут, иначе как без схем, перечней и описаний ПО, технических средств и средств защиты, изложенное в Модели угроз проверить по существу?
Помните, что Модель угроз является документом формирования требований к защите информации его лучше не превращать в техническую документацию. Достаточное для проверки Модели угроз описание используемого ПО, технических средств и средств защиты приводится в Техническом паспорте. Если данный документ есть, то в Модели угроз достаточно на него и его реквизит сделать отсылку, а при отправке Модели угроз ОБЯЗАТЕЛЬНО приложить документ. Если данного документа нет, то описание ПО, технических средств и средств защиты лучше вынести в отдельное приложение к Модели угроз. Обязанность отправки копий паспортов ГИС при согласовании моделей нормативно не предусмотрено, но и не запрещена. Поэтому если документ Модель угроз отправляется в адрес ведомства на согласование, то другие копии документов можно приложить справочно, обеспечивая рассмотрение документа в ходе его согласования.
Аналогично можно поступать и со схемами, описаниями и т.д.

2 CM Большое спасибо!

2 CM
Я ни в коем случае не пытаюсь докопаться, но где в Методике оценки угроз 2021 написано про то, что в МУ должны быть отражены уязвимости используемого ПО и его характеристики ? Мы же всё опираемся на пункты методики при составлении МУ, вы ранее отвечая на мои вопросы тоже при ответе ссылались на пункты методики.