1

Тема: Перечень нарушителей для совмещенной модели угроз

Коллеги!
Есть ли необходимость осветить данный вопрос?

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

2

Re: Перечень нарушителей для совмещенной модели угроз

а что, пусть тема будет. закрыть всегда успеете.

3

Re: Перечень нарушителей для совмещенной модели угроз

На банкире я давал описание нарушителя wink

внедренный агент входящий в число санкционированно допущенного персонала (инсайдер/секретоноситель).

Степень доверенности проверить не имею права на основании ТК и 152-ФЗ (сбор сведений о тайне личной жизни сотрудника, получение ПДн от третьих лиц, согласие на обработку ПДн, спецкатегории ПДн и т.д. и т.п.).

Данный нарушитель имеет высокую квалификацию и санкционированно предоставленные полномочия от пользователя до администратора (точное местоположение не определено).
Нарушитель может действовать как самостоятельно, так и в сговоре с другими лицами как внутри, так и вне периметра. Для связи с другими лицами может использовать как ТСПИ организации, так и личные средства коммуникации.

В АСЗИ обрабатываются сведения конфиденциального характера (определенные 188 Указом)

1. На какой класс необходимо аттестовать данную АСЗИ? Стоимость внедрения для организации от 100 человек в арендуемых помещениях?
2. Какие пункты РД позволят обеспечить защиту от данного нарушителя?
3. Какова периодичность переаттестации если АСЗИ имеет подключение к ССОП?

Есть желающие попробовать ответить на вопросы?

Примечание: АСЗИ - автоматизированная система в защищенном исполнении

4

Re: Перечень нарушителей для совмещенной модели угроз

Оформите ваш запрос с учетом ссылок на нормативные документы ФСТЭК и присылайте-))
не забудьте учесть ОБИ КСИИ и модель нарушителя ФСБ, а также документы СВР.
Напомню, что согласно 149-ФЗ перечень конфиденциальной информации определяется ФЗ, а не указом президента.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

5

Re: Перечень нарушителей для совмещенной модели угроз

внедренный агент входящий в число санкционированно допущенного персонала (инсайдер/секретоноситель).

Степень доверенности проверить не имею права на основании ТК и 152-ФЗ (сбор сведений о тайне личной жизни сотрудника, получение ПДн от третьих лиц, согласие на обработку ПДн, спецкатегории ПДн и т.д. и т.п.).

Данный нарушитель имеет высокую квалификацию и санкционированно предоставленные полномочия от пользователя до администратора (точное местоположение не определено).
Нарушитель может действовать как самостоятельно, так и в сговоре с другими лицами как внутри, так и вне периметра. Для связи с другими лицами может использовать как ТСПИ организации, так и личные средства коммуникации.

В АСЗИ обрабатываются сведения конфиденциального характера (определенные 188 Указом)

1. На какой класс необходимо аттестовать данную АСЗИ? Стоимость внедрения для организации от 100 человек в арендуемых помещениях?
2. Какие пункты РД позволят обеспечить защиту от данного нарушителя?
3. Какова периодичность переаттестации если АСЗИ имеет подключение к ССОП?

Попробуем ответить об исходным ошибках:
1. Если мы не можем определить степень доверия - значит мы считаем, что любой сотрудник может украсть. Нам необходимо либо принять риск либо принять меры защиты.
Согласно принятой практики любой бизнес - это риск, который принимается либо данный бизнес даже не начинают.
2. Если мы считаем, что риск принять не можем, значит нам не следует нанимать людей, но данный вопросы не входит в компетенцию ИБ, это вопрос владельца бизнеса.
Если мы принимаем риск с принятием определенных действий, а именно разрешенных законом, то встает второй вопрос, почему внутреннего нарушителя мы не рассматриваем как нам рекомендуется документами ФСТЭК России и ФСБ России. Здесь я вижу искусственно поставленную проблему.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

6

Re: Перечень нарушителей для совмещенной модели угроз

Dmitry Leviev пишет:

Оформите ваш запрос с учетом ссылок на нормативные документы ФСТЭК и присылайте-))
не забудьте учесть ОБИ КСИИ и модель нарушителя ФСБ, а также документы СВР.

Вот я и хотел бы "найти" эти ссылки по данной модели - банальная модель внутреннеего нарушителя ииз состава инсайдерова/секретносителей для коммерческой компании

Dmitry Leviev пишет:

Напомню, что согласно 149-ФЗ перечень конфиденциальной информации определяется ФЗ, а не указом президента.

По трехглавому закону к информации конфиденциального характера (ИКХ) относится и ГТ.
188 Указ не отменен и по нему к ИКХ ГТ не относится.

По существующим законодательным требованиям нет термина "конфиденциальная информация" wink

Dmitry Leviev пишет:

Попробуем ответить об исходным ошибках:
1. Если мы не можем определить степень доверия - значит мы считаем, что любой сотрудник может украсть. Нам необходимо либо принять риск либо принять меры защиты.

Риск критический т.ч. принять невозможно.

Предлагайте меры защиты. Желаетльно по "с учетом ссылок на нормативные документы ФСТЭК и присылайте-))
не забудьте учесть ОБИ КСИИ и модель нарушителя ФСБ, а также документы СВР"

Dmitry Leviev пишет:

Согласно принятой практики любой бизнес - это риск, который принимается либо данный бизнес даже не начинают.

Увы... Бизнес был начат до изменения "правил игры".
Вы предлагаете "свернуть бизнес" во всех коммерческих структурах РФ?!?

Dmitry Leviev пишет:

2. Если мы считаем, что риск принять не можем, значит нам не следует нанимать людей, но данный вопросы не входит в компетенцию ИБ, это вопрос владельца бизнеса.

<b>Первая критическая ошибка</b>

Этот вопрос входит в компетенцию ИБ.

Dmitry Leviev пишет:

Если мы принимаем риск с принятием определенных действий, а именно разрешенных законом, то встает второй вопрос, почему внутреннего нарушителя мы не рассматриваем как нам рекомендуется документами ФСТЭК России и ФСБ России. Здесь я вижу искусственно поставленную проблему.

В чем искусственность Вы видите? Как я написал выше это типовая модель внутреннего нарушителя для коммерческой компании и наиболее вероятный канал утечки информации конфиденциального характера.

7

Re: Перечень нарушителей для совмещенной модели угроз

to toparenko:
Почему не хотите рассмотреть нарушителя по документам регулятора? Вы ведь изначально отвергаете их классификацию. Да она не безупречна, хотя по сравнению с СТО-2004 учтен опыт реальных нарушений. Классификацию можно посмотреть на рисунке 3 Базовой модели угроз (классификация угроз НСД).
Насчет бизнеса - ведь игровые автоматы и казино свернули - тоже ведь не дали людям работать.
У меня все больше появляется ощущение, что больше всего про проблемы 152-ФЗ кричат те, кто не могут с ней справиться проверенными своими методами и даже не хотят развиваться.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

8

Re: Перечень нарушителей для совмещенной модели угроз

Dmitry Leviev пишет:

Почему не хотите рассмотреть нарушителя по документам регулятора? Вы ведь изначально отвергаете их классификацию.


Не отвергаю, но не могу выполнить "Как правило, привилегированные пользователи информационной системы исключаются из числа потенциальных нарушителей" - т.к. это наиболее вероятный канал утечки информации.

Dmitry Leviev пишет:

Классификацию можно посмотреть на рисунке 3 Базовой модели угроз (классификация угроз НСД).

Рис. 4

"Обобщенная классификация ... аппаратуры перехвата речевой информации по ТКУИ" здесь не причем

Dmitry Leviev пишет:

Насчет бизнеса - ведь игровые автоматы и казино свернули - тоже ведь не дали людям работать.

Там хоть "резервации" выделили wink

Dmitry Leviev пишет:

У меня все больше появляется ощущение, что больше всего про проблемы 152-ФЗ кричат те, кто не могут с ней справиться проверенными своими методами и даже не хотят развиваться.

Это проходит при более внимательном изучении проблем создаваемых 152-ФЗ

Парламентарии и Минкомсвязи уже планируют изменять 152-ФЗ

9 (2010-02-01 20:00:38 отредактировано VKamensky)

Re: Перечень нарушителей для совмещенной модели угроз

toparenko пишет:

Не отвергаю, но не могу выполнить "Как правило, привилегированные пользователи информационной системы исключаются из числа потенциальных нарушителей" - т.к. это наиболее вероятный канал утечки информации.

+1.  Но защищаться от них ой как непросто. ;-(
Поэтому все и делают вид в отраслевых стандартах по защите ПД, что админы - "белые и пушистые" (ну или почти белые ;-)).

А вы почитайте, что пишут практики борьбы с инсайдерами в штатах - например, "Insider Threat: Protecting the Enterprise from Sabotage, Spying, and Theft" (можно найти в электронном виде). Там психология такого закрывания глаз на эту проблему  очень хорошо описана...

10

Re: Перечень нарушителей для совмещенной модели угроз

я про рисунок 3 - классификация угроз НСД в Базовой модели угроз. не надо передергивать.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

11

Re: Перечень нарушителей для совмещенной модели угроз

Dmitry Leviev пишет:

to toparenko:
Почему не хотите рассмотреть нарушителя по документам регулятора? Вы ведь изначально отвергаете их классификацию. Да она не безупречна, хотя по сравнению с СТО-2004 учтен опыт реальных нарушений. .

А Вы посмотрите http://www.fstec.ru/_licen/prik_proekt.doc - там целый раздел про доп. меры защиты при подключении к Интернет появился (понятно, что для защиты от специфических угроз в Интернет) и предлагаемые там меры выходят далеко за рамки того, что изначально было описано в требованиях к К1-К3.  А почему? Да потому что модель нарушителя, предлагаемая регулятором, неадекватна. Сравните, например, требование парольной аутентификации даже в К1 и требование использовать усиленную аутентификацию при работе в Интернет в п.2.4 нового документа ;-)

12

Re: Перечень нарушителей для совмещенной модели угроз

Dmitry Leviev пишет:

я про рисунок 3 - классификация угроз НСД в Базовой модели угроз. не надо передергивать.

Понял wink
Я говорю про полную версию Базовой модели, а Вы про выписку, опубликованную в открытом доступе на сайте ФСТЭК.

Увы... В данном случае следует уточнять источник - в полной версии это рис.4, в выписке это рис.3.

13

Re: Перечень нарушителей для совмещенной модели угроз

Естественно ссылаюсь на открытый источник - тема ведь открытая. При указании закрытых документов ссылаемся на соотв. документы-)

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС