среда, 8 июня 2011 г.

Идентификация угроз ИБ (о чем забыл написать)

Забыл написать о самом главном, что в результате идентификации угроз ИБ должна получиться модель угроз ИБ. Как ее сформировать и что в нее должно входить? Об этом мой сегодняшний пост.
Классически выделяют три основных угрозы ИБ: угроза нарушения конфиденциальности, целостности и доступности. Каждая из этих угроз может быть реализована определенным источником угроз, который применяет определенный способ несанкционированного доступа и совершает определенные несанкционированные действия с определенными активами.
Таким образом, модель угроз ИБ можно выстроить в виде совокупности следующих цепочек: "Источник угрозы"-"Способ НСД к активам"-"Уровень реализации угрозы ИБ"-"НСД с активами"-"Тип актива"-"Нарушение характеристики безопасности".
Никаких определений только примеры: 
Источники угроз - носители информации, нарушители и т.д.
Способ НСД к активам - взлом системы идентификации, внедрение вредоносного ПО, атака с использованием существующих привилегий пользователя и т.д.
Уровень реализации угрозы ИБ - уровень операционной системы, уровень СУБД, физический уровень и т.д.
НСД с активами - копирование, модификация, передача по каналам связи и т.д.
Тип актива - файл данных, база данных, программное обеспечение и т.д.
Нарушение характеристик безопасности - конфиденциальность, целостность и доступность.

Пример,
Внешний нарушитель (описание не привожу) - взлом системы идентификации и аутентификации - уровень ОС - копирование, изменение, удаление - файлы данных (планы стратегического развития организации) - конфиденциальность, целостность, доступность.
В этом описании содержится три угрозы ИБ, в частности внешний нарушитель, взломав систему идентификации и аутентификации получил доступ к файлам в операционной системе, что позволяет ему:
1 угроза: скопировать файл и тем самым нарушить их конфиденциальность;
2 угроза: внести изменения в файл и тем самым нарушить целостность;
3 угроза: удалить файл и тем самым нарушить его доступность.

Вот так и получается адекватная модель угроз :). На такие мысли меня натолкнули рекомендации Банка России "Методика оценки рисков нарушения информационной безопасности" РС БР ИББС-2.2-2009, который по законному праву появляется в моей колонке "Нормативка по ИБ".

12 комментариев:

Ригель комментирует...

Так получается модель угроз ЗИ ;)

Сергей комментирует...

Готов поучаствовать в дискуссии. Как я понимаю, Вы настаиваете на том, что защита свойств информации (конфи, целостность и доступность) не равно защите заинтересованных сторон от угроз связанных с обработкой такой информации.
Возьму ваш пример: Ущерб от публикации, что РКН нашел грубейшие нарушения. Как следствие - это угроза неисполнение требований законодательства.
Но эта угроза не ИБ-шная ;) (вообще ни какого отношения к ИБ не имеет), это угроза соответствия/несоответствия.
Не надо путать теплое с мягким :).

А вот реальная ИБ-шная угроза: Кража информации о планах развития бизнеса, которая может повлиять на сокращение доходов фирмы, что в свою очередь может негативно отразиться на настроениях инвесторов/акционеров, которое может привести к увольнению руководителя организации. Причем такая информация может быть в бумажном виде, в виде файлов, в виде информации в голове человека. В зависимости от формы ее представления нарушитель может либо взламывать ИС, либо подкупать сотрудников, либо угрожать сотрудникам и т.д..
И в каждом их этих исходов - происходит очевидное нарушение свойства информации (конфиденциальности), что неизбежно приводит к ущербу заинтересованных сторон (инвесторов/акционеров).

Ригель комментирует...

В том и проблема, что Вы при таком подходе только угрозы КДЦ информации берете, т.е. ЗИшные.

В ИС обрабатываются сведения о судимости, национальности и сексуальной ориентации до кучи. Обнаружение регулятором дает ожидаемый ущерб.
Для информационной безопасности организации эта обработка - риск.
А для того, чем Вы занимаетесь, непонятно что.

Сергей комментирует...

Что-то все слишком размыто. Регулятор что обнаруживает? Факт обработки ПДн, которые превышают необходимый набор ПДн? И что тут за угроза?! Это не угроза - это факт выявления несоответствия. Угроза - это дестабилизирующий фактор. И где этот дестабилизирующий фактор в Вашем примере.
Довольно странно считать, что сам факт обработки какой-либо информации априори является риском нарушения ИБ!?
Мне кажется, что Ваше мнение является игрой слов и попыткой подменить понятие ИБ - compliance. Такое мнение имеет место быть, но я его не разделяю.
Если подойти к вопросу формально и посмотреть доктрину ИБ РФ можно понять, что ИБ – это состояние защищенности национальных интересов…………. Далее идет описание источников угроз. Есть ли в этих источниках регуляторы? Вот оно правильное направление ИБ.
А то. что вы предлагаете - это защита от регуляторов, которая ни чего общего с ИБ и ЗИ не имеет.

Ригель комментирует...

Если защищать интересы, от обработки сексуальной ориентации надо отказываться - слишком уж велик риск.

Но можно защищать и информацию, скрывать сведения о факте обработки. Потому что опять же слишком велик риск.

Главное, не называть одно другим.

Ригель комментирует...

з.ы. Угроза ИБ в факте обработке, а не в факте выявления.
Угрозы ЗИ Вы не видите, и это логично.

Сергей комментирует...

Опять путаница!? Угроза в факте обработки информации или риск обработки такой информации!? С риском я могу согласиться, так как обрабатывая такую информацию нарушитель может ей заинтересоваться и осуществить различные попытки для ее получения, а получив ее использовать в своих коррыстных целях. Так вот попытки ее получения и есть угроза ИБ.

По поводу угрозы в факте обработки такой информации - не вижу аргументов "за". Если вы видите, то хотелось бы услышать какими параметрами характеризуется угроза ИБ - факт обработки информации.

ps
В каждой организации обрабатываются персональные данные сотрудника - это общеизвестный факт - отказаться нельзя - нарушение ТК.
В финансовом секоре обрабатывается банковская тайна (сведения о счетах клиента и о движении денежных средств) - известный факт - отказаться нельзя - нарушение ФЗ №395-1.
В медицине обрабатываются данные о болезнях - общеизвестный факт - отказаться нельзя - нарушение ФЗ №326.
и т.д.
А Вы мне говорите про ориентацию ;). Может это и исключение из правил, но я бы не стал строить свои предположения основываясь на одном примере.

Сергей комментирует...

И еще...

Попробуйте расширить три базовыз свойства безопасности информации. Например введите такое понятие как аутентичность информации, неотказуемость и т.д.

Ригель комментирует...

И будет еще одна защита информации

Сергей комментирует...

:)

Ригель комментирует...

В Доктрине до фига ошибок, но определение ИБ годное - защита интересов в информационной сфере.
Только ли с К/Д/Ц/.. информации связаны интересы (организации) в информационной сфере? Смею утверждать, что нет.
В таком случае угрозы К/Д/Ц/.. информации не покрывают тематику ИБ.
Это ЗИ, выдающая себя за.

Сергей комментирует...

На выходных было время подумать над вопросом ИБ - ЗИ. Есть что-то разумное в Ваших предложениях :).