Типовая форма модели угроз безопасности информации и модели нарушителя в органах исполнительной власти и их подведомственных учреждения

Модель вероятного нарушителя включает:

      описание возможных нарушителей;

      предположения об имеющейся у нарушителя информации об объектах атак;

      предположения об имеющихся у нарушителя средствах атак;

      описание объектов и целей атак;

      описание каналов атак.

Разработка модели угроз базируется на следующих принципах:

      безопасность информации АИТС обеспечивается СЗ АС «....», а также используемыми в АИТС информационными технологиями. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством РФ требованиям, обеспечивающим защиту информации (в т.ч. ПДн);

      СЗ АС «....» не предназначена для защиты информации от действий, выполняемых в рамках предоставленных субъекту действий полномочий;

      нарушитель может действовать на различных этапах жизненного цикла программных и технических средств АИТС, включая СЗ (разработка, производство, хранение, транспортировка, ввод в эксплуатацию, эксплуатация программных и технических средств АИТС).

На этапах разработки, производства, хранения, транспортировки, ввода в эксплуатацию программных и технических средств СЗ АС «....» не производится обработка защищаемой ИКХ. Поэтому объектами атак могут быть только сами эти средства и документация на них.

В связи с выше изложенным, на указанных этапах жизненного цикла возможны следующие атаки:

      внесение негативных (как правило, недекларированных) функциональных возможностей, в том числе с использованием вредоносного программного обеспечения;

      внесение несанкционированных изменений в документацию на компоненты АИТС и СЗ АС «....».

Более сложным для анализа возможностей нарушителя является этап эксплуатации СЗ АС «....». Именно этот этап жизненного цикла АИТС рассмотрен далее более подробно.

Модель угроз в СЗ АС «....» разработана на основе данных, полученных в ходе информационного обследования СЗ АС «....», проведенного в рамках работ по обеспечению информационной безопасности СЗ АС «....», в том числе обеспечению безопасности КИ при их обработке в СЗ АС «....».

3.1               Описание возможных нарушителей

По признаку принадлежности к СЗ АС «....» все нарушители делятся на две группы:

      внешние нарушители – физические лица, не имеющие права пребывания на территории контролируемой зоны, в пределах которой размещается оборудование СЗ АС «....»;

      внутренние нарушители – физические лица, имеющие право пребывания на территории контролируемой зоны, в пределах которой размещается оборудование СЗ АС «....».

Внешний нарушитель

В качестве внешнего нарушителя информационной безопасности, рассматривается нарушитель, который не имеет непосредственного доступа к техническим средствам и ресурсам системы, находящимся в пределах контролируемой зоны.

Установлены следующие условия функционирования АС «....»:

      автоматизированные рабочие места АС «....» функционируют на контролируемых и охраняемых объектах (зданиях, помещениях);

      серверная составляющая АС «....», консолидирующая информационные ресурсы (в том числе ПДн), расположена в серверных помещениях, где реализуется весь необходимый и достаточный комплекс программно-технических средств и поддерживающих их организационных мер, в том числе режимных мероприятий;

      подключения к системе АС «....» и доступ к информационным ресурсам осуществляется установленным в ________ порядком с обязательной процедурой согласования;

      информационные ресурсы АС «....»  не имеют подключений к сетям общего пользования.

Учитывая указанные условия функционирования АС «....», предполагается, что возможные действия внешнего нарушителя приемлемо нейтрализуются и в дальнейшем анализ их действий исключается из рассмотрения в настоящей модели.

Внутренний нарушитель

Возможности внутреннего нарушителя существенным образом зависят от действующих в пределах контролируемой зоны ограничительных факторов, из которых основным является реализация комплекса режимных и организационно-технических мер, в том числе по подбору, расстановке и обеспечению высокой профессиональной подготовки кадров, допуску физических лиц внутрь контролируемой зоны и контролю за порядком проведения работ, направленных на предотвращение и пресечение несанкционированных действий.

Исходя из особенностей функционирования АС «....», допущенные к ней физические лица, имеют разные полномочия на доступ к информационным, программным, аппаратным и другим ресурсам АИТС в соответствии с принятой политикой информационной безопасности (правилами). К внутренним нарушителям могут относиться:

      администраторы АС «....» (категория I);

      технический персонал АС «....» (сотрудники эксплуатационных подразделений, осуществляющие техническое сопровождение оборудования, программного обеспечения и средств защиты информации) (категория II);

      пользователи АС «....» (категория III);

      пользователи других АИТС, являющихся внешними по отношению к АС «....» (категория IV);

      сотрудники, имеющие санкционированный доступ в служебных целях в помещения, в которых размещаются активы АС «....», но не имеющие права доступа к активам (категория V);

      обслуживающий персонал (охрана, работники инженерно–технических служб и т.д.) (категория VI);

      уполномоченный персонал разработчиков АС «....», который на договорной основе имеет право на техническое обслуживание и модификацию компонентов АС «....» (категория VII).

На лиц категории I и II возложены задачи по администрированию и техническому сопровождению программно-аппаратных средств АС «....». Администраторы и технический персонал АС «....» потенциально могут проводить атаки, используя возможности по непосредственному доступу к защищаемой информации, обрабатываемой и хранимой в АС «....», а также к техническим и программным средствам АС «....», включая средства защиты, используемые в АС «....», в соответствии с установленными для них административными полномочиями.

Эти лица хорошо знакомы с основными алгоритмами, протоколами, реализуемыми и используемыми в АС «....», а также с применяемыми принципами и концепциями безопасности.

Предполагается, что они могли бы использовать стандартное оборудование либо для идентификации уязвимостей, либо для проведения атак. Данное оборудование может быть как частью штатных средств, так и может относиться к легко получаемому (например, программное обеспечение, полученное из общедоступных внешних источников).

Кроме того, предполагается, что эти лица могли бы располагать специализированным оборудованием.

К лицам категории I и II ввиду их исключительной роли в АС «....» должен применяться комплекс особых организационно-режимных мер по их подбору, принятию на работу, назначению на должность и контролю выполнения функциональных обязанностей.

Предполагается, что в число лиц категории I и II будут включаться только доверенные лица и поэтому указанные лица исключаются из числа вероятных нарушителей.

Предполагается, что лица категорий III-VII относятся к вероятным нарушителям.

Предполагается, что возможность сговора внутренних нарушителей исключается организационными и режимными мерами.

3.2               Предположения об имеющейся у нарушителя информации об объектах атак

В качестве основных уровней знаний нарушителей об АС «....»можно выделить следующие:

      общая информация – информация о назначения и общих характеристиках АИТС;

      эксплуатационная информация – информация, полученная из эксплуатационной документации;

      чувствительная информация – информация, дополняющая эксплуатационную информацию об АИТС (например, сведения из проектной документации АИТС).

В частности, нарушитель может иметь:

      данные об организации работы, структуре и используемых технических, программных и программно-технических средствах АС «....»;

      сведения об информационных ресурсах АС «....»: порядок и правила создания, хранения и передачи информации, структура и свойства информационных потоков;

      данные об уязвимостях, включая данные о недокументированных (недекларированных) возможностях технических, программных и программно-технических средств АС «....»;

      данные о реализованных в СЗ принципах и алгоритмах;

      исходные тексты программного обеспечения АС «....»;

      сведения о возможных каналах атак;

      информацию о способах атак.

Предполагается, что преимущественное большинство лиц категории III и все лица категории IV владеют только эксплуатационной информацией, что обеспечивается организационными мерами. При этом лица категории IV не владеют парольной, аутентифицирующей и ключевой информацией, используемой в АС «....», к которой они не имеют санкционированного доступа. Однако предполагается, что имеется возможность ознакомления незначительного круга лиц категории III с чувствительной информацией о АС «....».

Предполагается, что лица категории V владеют в той или иной части эксплуатационной и общей информацией об АС «....», что обеспечивается организационными мерами. При этом лица категории V не владеют парольной, аутентифицирующей и ключевой информацией, используемой в АС «....», использующих систему передачи информации.

Предполагается, что лица категории VI по уровню знаний не превосходят лица категории V.

Предполагается, что лица категории VII обладают чувствительной информацией об АС «....», включая информацию об уязвимостях технических и программных средств АС «....». Организационными мерами предполагается исключить доступ лиц категории VII к техническим и программным средствам АС «....» в период обработки защищаемой информации.

Таким образом, наиболее информированными об АС «....» являются лица категории III и лица категории VII.

Степень информированности нарушителя зависит от многих факторов, включая реализованные на объектах АС «....» конкретные организационные меры и компетенцию нарушителей. Поэтому объективно оценить объем знаний вероятного нарушителя в общем случае практически невозможно.

В связи с изложенным, с целью создания определенного запаса прочности предполагается, что вероятные нарушители обладают всей информацией, необходимой для подготовки и проведения атак, за исключением информации, доступ к которой со стороны нарушителя исключается системой защиты информации. К такой информации, например, относится парольная (аутентифицирующая) информация.

3.3               Предположения об имеющихся у нарушителя средствах атак

Предполагается, что внутренний нарушитель имеет:

      программные и аппаратные компоненты СЗИ и СФ СЗИ (штатные средства);

      доступные в свободной продаже технические средства и программное обеспечение;

      специально разработанные технические средства и программное обеспечение.

Состав имеющихся у нарушителя средств, которые он может использовать для проведения атак, а также возможности по их применению зависят от многих факторов, включая реализованные на объектах АС «....» конкретные организационные меры, финансовые возможности и компетенцию нарушителей. Поэтому объективно оценить состав имеющихся у нарушителя средств атак в общем случае практически невозможно.

В связи с изложенным, с целью создания определенного запаса прочности предполагается, что вероятный нарушитель имеет все необходимые для проведения атак средства, возможности которых не превосходят возможности аналогичных средств атак на информацию, содержащую сведения, составляющие государственную тайну и технические и программные средства, обрабатывающие эту информацию.

Вместе с тем (с учетом реализации на объектах функционирования АС «....» необходимых режимных мероприятий) предполагается, что нарушитель не имеет:

      средств перехвата в технических каналах утечки;

      средств воздействия через сигнальные цепи (информационные и управляющие интерфейсы СВТ);

      средств воздействия на источники и через цепи питания;

      средств воздействия через цепи заземления;

      средств активного воздействия на технические средства (средств облучения).

Предполагается, что наиболее совершенными средствами атак обладают лица категории III и лица категории VII.

3.4               Описание объектов и целей атак

Основными объектами атак являются:

      защищаемая информация (в том числе ПДн);

      документация на СЗИ и на технические и программные компоненты СФ СЗИ;