Приложение. Модель нарушителя информационной безопасности действующего на этапе эксплуатации технических и программных средств криптосредства и СФК для администрации Инсарского муниципального района Республики Мордовия. Постановление Администрации Инсарского муниципального района Республики Мордовия от 14.12.2018 N 481 "Об утверждении Модели нарушителя информационной безопасности действующего на этапе эксплуатации технических и программных средств криптосредства и СФК для Администрации Инсарского муниципального района Республики Мордовия"

Приложение
к постановлению администрации
Инсарского муниципального района
от 14 декабря 2018 г. N 481

Модель
нарушителя информационной безопасности действующего на этапе эксплуатации технических и программных средств криптосредства и СФК для администрации Инсарского муниципального района Республики Мордовия

1. Общие положения

1.1. Настоящая Модель нарушителя, действующего на этапе эксплуатации технических и программных средств криптосредства и среды функционирования криптосредства (СФК) (далее - Модель нарушителя) разработана для информационных систем (далее - ИС) администрации Инсарского муниципального района Республики Мордовия (далее - Администрация).

1.2. Модель нарушителя представляет собой абстрактное описание нарушителей информационной безопасности как источников угроз безопасности, а также предположения об их возможностях, которые могут использоваться для разработки и проведения атак, и ограничениях на эти возможности.

1.3. При разработке Модели нарушителя учитывались действующее законодательство, нормативные и методические документы уполномоченных федеральных органов исполнительной власти, в которых регламентируются вопросы разработки модели нарушителя и модели угроз безопасности информации, применимые положения национальных стандартов. Основу разработки настоящей Модели угроз составили положения и требования следующих документов:

- Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"

- Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных"

- Приказ ФАПСИ от 13 июня 2001 г. N 152 "Об утверждении инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну"

- Приказ ФСБ Российской Федерации от 10 июля 2014 г. N 378 г. Москва "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности"

- Общая модель угроз верхнего уровня администрации Инсарского муниципального района Республики Мордовия, утвержденная постановлением администрации Инсарского муниципального района от "13" декабря 2018 г. N 470.

1.4. Нарушитель может действовать на различных этапах жизненного цикла криптосредства и СФК. Под этими этапами понимаются:

- разработка;

- производство;

- хранение;

- транспортировка;

- ввод в эксплуатацию;

- эксплуатация программных и технических средств криптосредств и СФК.

1.5. При разработке настоящей модели нарушителя учитывались следующие принципы реализации ИС и возможности различных категорий физических лиц по доступу к элементам ИС:

- пользователи ИС имеют различные права по доступу как к обрабатываемой информации, так и к программно-техническим средствам ИС;

- в ИС используются только сертифицированные в системе сертификации ФСБ России криптосредства;

- криптосредство штатно функционирует совместно с техническими и программными средствами, которые способны повлиять на выполнение предъявляемых к криптосредству требований и которые образуют среду функционирования криптосредства (СФК);

- криптосредство не может обеспечить защиту информации от раскрытия лицами, которым предоставлено право на доступ к этой информации.

2. Описание нарушителя

2.1. Под нарушителем информационной безопасности в ИС понимается лицо или группа лиц, в результате действий которых может быть нанесен ущерб безопасности обрабатываемой в ИС информации, то есть могут быть нарушены ее свойства безопасности, такие как конфиденциальность, целостность и доступность.

Все физические лица, имеющие доступ к техническим и программным средствам информационной системы, разделяются на следующие категории:

- категория I лица, не имеющие права доступа в контролируемую зону информационной системы;

- категория II лица, имеющие право постоянного или разового доступа в контролируемую зону информационной системы.

По признаку наличия права доступа в контролируемую зону ИС все потенциальные нарушители делятся на:

- внешних нарушителей, осуществляющих атаки из-за пределов контролируемой зоны информационной системы;

- внутренних нарушителей, осуществляющих атаки, находясь в пределах контролируемой зоны информационной системы.

Внешними нарушителями могут быть как лица категории I, так и лица категории II.

Внутренними нарушителями могут быть только лица категории II.

2.2. Различают шесть основных типов нарушителей, действующих на этапе эксплуатации технических и программных средств криптосредства и СФК:

- Н1 - внешний нарушитель, действующий без помощи изнутри организации;

- Н2 - внутренний нарушитель, не являющийся пользователем СКЗИ;

- Н3 - внутренний нарушитель, являющийся пользователем СКЗИ;

- Н4 - нарушитель, привлекающий специалистов в области разработки и анализа СКЗИ;

- Н5 - нарушитель, привлекающий НИИ в области разработки и анализа СКЗИ;

- Н6 - спецслужбы иностранных государств.

2.3. Исходя из того, что в информационной системе Администрации не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для разведывательных служб иностранных государств, потенциальные нарушители типа Н6 в дальнейшем не рассматриваются.

К нарушителям типа Н5 следует отнести конкурентов. Незначительность негативных последствий в социальной, политической, международной, экономической, финансовой или иных областях деятельности при возникновении в каналах связи инцидентов с защищаемой информацией, низкая потенциальная выгода от реализации угроз безопасности информации, обрабатываемой в ИС, высокая стоимость и сложность подготовки атаки на канал связи, защищенный криптографическими методами, реализация процедур управления доступом в контролируемую зону, к аппаратным и программным средствам обработки и защиты информации позволяет исключить нарушителя типа Н5 из числа потенциальных нарушителей.

К нарушителям типа Н5 следует отнести криминальные структуры. Потенциальные нарушители типа Н5 и Н6 в данной Модели угроз не рассматриваются, по причине отсутствия мотивации осуществления деятельности, по реализации атак на криптосредство и СФК ИС.

Таким образом, нарушители типа Н5 и Н6 могут быть исключены из числа потенциальных нарушителей.

К нарушителям типа Н4 следует отнести, профессиональных хакеров, уволенных сотрудников ИС Администрации и уволенных сотрудников организаций, обеспечивающих техническое обслуживание и эксплуатацию ИС.

Для потенциальных нарушителей типа Н4 существует потенциальная возможность сговора с нарушителями типа Н1-Н3 с целью реализации атаки на криптосредство и СФК ИС.

В ИС Администрации криптографической защите подлежит информация (в том числе персональные данные), передаваемая по каналам связи между АРМ и серверами ИС, а также между ИС и смежными системами. Незначительность негативных последствий в социальной, политической, международной, экономической, финансовой или иных областях деятельности при возникновении в каналах связи инцидентов с защищаемой информацией, низкая потенциальная выгода от реализации угроз безопасности информации, обрабатываемой в ИС, высокая стоимость и сложность подготовки атаки на канал связи, защищенный криптографическими методами, реализация процедур управления доступом в контролируемую зону, к аппаратным и программным средствам обработки и защиты информации позволяет исключить нарушителя типа Н4 из числа потенциальных нарушителей.

К нарушителям типа Н4 следует отнести операторов связи, предоставляющих в аренду каналы связи.

Потенциальные нарушители информационной безопасности Администрации не в состоянии располагать либо получать любые аппаратные компоненты криптосредств и СФК. Договоры с операторами связи на аренду используемых каналов связи включают в себя требования по обеспечению конфиденциальности сведений, ставших известных оператору при оказании услуг связи, а также меру ответственности оператора при нарушении этих требований. Принятие оператором связи этих обязательств позволяет исключить его из числа потенциальных нарушителей.

Потенциальным нарушителям типа Н3 могут быть известны все сети связи, работающие на едином ключе.

К нарушителям типа Н3 следует отнести сотрудников Администрации, являющихся зарегистрированными пользователями криптосредств ИС.

2.4. На основании приведенных выше характеристик потенциальных нарушителей нарушителями информационной безопасности ИС являются:

- зарегистрированные пользователи, не имеющие удаленного доступа к ИС Администрации при этом использующие сервисы ИС;

- зарегистрированные пользователи ИС Администрации, имеющие удаленный доступ (из-за пределов контролируемой зоны);

- внешние нарушители, осуществляющие атаки из-за пределов контролируемой зоны, располагающие только доступными в свободной продаже аппаратными компонентами криптосредства и СФК, которые могут использовать средства, входящие в состав ИС, только в том случае, если они расположены за пределами контролируемой зоны.

2.5. Таким образом, в качестве нарушителей информационной безопасности ИС, действующих на этапе эксплуатации технических и программных средств криптосредства и СФК, имеет смысл рассматривать нарушителей типа Н1, Н2.

2.6. Возможности типов нарушителей, действующих на этапе эксплуатации технических и программных средств криптосредства и СФК, используемые для создания способов, подготовке и проведения атак представлены в таблице 1

Таблица 1

Возможности нарушителя

Тип Н1

создание способов, подготовка и проведение атак без привлечения специалистов в области разработки и анализа СКЗИ

создание способов, подготовка и проведение атак на различных этапах жизненного цикла СКЗИ

проведение атаки, находясь вне пространства, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств (КЗ)

проведение на этапах разработки (модернизации), производства, хранения, транспортировки СКЗИ и этапе ввода в эксплуатацию СКЗИ (пусконаладочные работы) следующих атак: - внесение несанкционированных изменений в СКЗИ и (или) в компоненты аппаратных и программных средств, совместно с которыми штатно функционируют СКЗИ и в совокупности представляющие среду функционирования СКЗИ (далее - СФ), которые способны повлиять на выполнение предъявляемых к СКЗИ требований, в том числе с использованием вредоносных программ; - внесение несанкционированных изменений в документацию на СКЗИ и компоненты СФ;

проведение атак на этапе эксплуатации СКЗИ на: - информацию ограниченного распространения, в т.ч. персональные данные, служебная информация, коммерческая тайна; - ключевую, аутентифицирующую и парольную информацию СКЗИ; - программные компоненты СКЗИ; - аппаратные компоненты СКЗИ; - программные компоненты СФ, включая программное обеспечение BIOS; - аппаратные компоненты СФ; - данные, передаваемые по каналам связи; - иные объекты, которые установлены при формировании совокупности предложений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак с учетом применяемых в информационной системе информационных технологий, аппаратных средств (далее - АС) и программного обеспечения (далее - ПО);

получение из находящихся в свободном доступе источников (включая информационно-телекоммуникационные сети, доступ к которым не ограничен определенным кругом лиц, в том числе информационно-телекоммуникационную сеть "Интернет") информации об информационной системе, в которой используется СКЗИ. При этом может быть получена следующая информация: - общие сведения об информационной системе, в которой используется СКЗИ (назначение, состав, оператор, объекты, в которых размещены ресурсы информационной системы); - сведения об информационных технологиях, базах данных, АС, ПО, используемых в информационной системе совместно с СКЗИ, за исключением сведений, содержащихся только в конструкторской документации на информационные технологии, базы данных, АС, ПО, используемые в информационной системе совместно с СКЗИ; - содержание конструкторской документации на СКЗИ; - содержание находящейся в свободном доступе документации на аппаратные и программные компоненты СКЗИ и СФ; - общие сведения о защищаемой информации, используемой в процессе эксплуатации СКЗИ; - сведения о каналах связи, по которым передается защищаемая СКЗИ информация, в т. ч. персональные данные (далее - канал связи); - все возможные данные, передаваемые в открытом виде по каналам связи, не защищенным от несанкционированного доступа к информации организационными и техническими мерами; - сведения обо всех проявляющихся в каналах связи, не защищенных от несанкционированного доступа к информации организационными и техническими мерами, нарушениях правил эксплуатации СКЗИ и СФ; - сведения обо всех проявляющихся в каналах связи, не защищенных от несанкционированного доступа к информации организационными и техническими мерами, неисправностях и сбоях аппаратных компонентов СКЗИ и СФ; - сведения, получаемые в результате анализа любых сигналов от аппаратных компонентов СКЗИ и СФ;

применение: - находящихся в свободном доступе или используемых за пределами контролируемой зоны АС и ПО, включая аппаратные и программные компоненты СКЗИ и СФ; - специально разработанных АС и ПО;

использование на этапе эксплуатации в качестве среды переноса от субъекта к объекту (от объекта к субъекту) атаки действий, осуществляемых при подготовке и (или) проведении атаки: - каналов связи, не защищенных от несанкционированного доступа к информации организационными и техническими мерами; - каналов распространения сигналов, сопровождающих функционирование СКЗИ и СФ;

проведение на этапе эксплуатации атаки из информационно-телекоммуникационных сетей, доступ к которым не ограничен определенным кругом лиц, если информационные системы, в которых используются СКЗИ, имеют выход в эти сети;

использование на этапе эксплуатации находящихся за пределами контролируемой зоны АС и ПО из состава средств информационной системы, применяемых на местах эксплуатации СКЗИ (далее - штатные средства)

Тип Н2

проведение атаки при нахождении в пределах контролируемой зоны;

проведение атак на этапе эксплуатации СКЗИ на следующие объекты: - документацию на СКЗИ и компоненты СФ. - помещения, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем (далее - СВТ), на которых реализованы СКЗИ и СФ;

получение в рамках предоставленных полномочий, а также в результате наблюдений следующей информации: - сведений о физических мерах защиты объектов, в которых размещены ресурсы информационной системы; - сведений о мерах по обеспечению контролируемой зоны объектов, в которых размещены ресурсы информационной системы; - сведений о мерах по разграничению доступа в Помещения, в которых находятся СВТ, на которых реализованы СКЗИ и СФ;

использование штатных средств, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.

Возможности нарушителя типа Нi+1 включают в себя возможности нарушителя типа Нi.

3. Описание объектов и целей атак

3.1. Объектами атак в ИС являются объекты защиты ИС:

3.1.1. Персональные данные:

- персональные данные работников Администрации;

- персональные данные субъектов ПДн.

3.1.2. Информация, составляющая коммерческую тайну:

- Конфиденциальная информация, предоставленная Администрации юридическими лицами или индивидуальными предпринимателями;

3.1.3. Служебная информация ограниченного доступа:

- техническая информация;

- сведения о разработке и производстве;

- сведения о безопасности и защите информации;

- сведения о криптографии.

3.1.4. Программно-технические средства обработки.

3.1.5. Средства защиты информации.

3.1.6. Каналы информационного обмена и телекоммуникации.

3.1.7. Объекты и помещения, в которых размещены компоненты ИС и криптосредства.

3.2. Атаки реализуются с целью нарушения:

- конфиденциальности (защищенности от несанкционированного раскрытия информации об объекте защиты);

- целостности (защищенности от несанкционированной модификации объекта защиты);

- доступности (обеспечения своевременного санкционированного получения доступа к объекту защиты).

4. Предположение об имеющейся у нарушителя информации об объекте атак

4.1. Степень информированности нарушителя зависит от многих факторов, включая реализованные в Администрации конкретные организационные меры и компетенцию нарушителей. Поэтому объективно оценить объем знаний вероятного нарушителя в общем случае практически невозможно.

4.2. В связи с изложенным, с целью создания определенного запаса прочности предполагается, что вероятные нарушители обладают возможностью получения из находящихся в свободном доступе источников (включая информационно-телекоммуникационные сети, доступ к которым не ограничен определенным кругом лиц, в том числе информационно-телекоммуникационную сеть "Интернет") информации об информационной системе, в которой используется СКЗИ. При этом может быть получена следующая информация:

- общие сведения об информационной системе, в которой используется СКЗИ (назначение, состав, оператор, объекты, в которых размещены ресурсы информационной системы);

- сведения об информационных технологиях, базах данных, АС, ПО, используемых в информационной системе совместно с СКЗИ, за исключением сведений, содержащихся только в конструкторской документации на информационные технологии, базы данных, АС, ПО, используемые в информационной системе совместно с СКЗИ;

- содержание конструкторской документации на СКЗИ;

- содержание находящейся в свободном доступе документации на аппаратные и программные компоненты СКЗИ и СФ;

- общие сведения о защищаемой информации, используемой в процессе эксплуатации СКЗИ;

- сведения о каналах связи, по которым передаются защищаемые СКЗИ персональные данные (далее - канал связи);

- все возможные данные, передаваемые в открытом виде по каналам связи, не защищенным от несанкционированного доступа к информации организационными и техническими мерами;

- сведения обо всех проявляющихся в каналах связи, не защищенных от несанкционированного доступа к информации организационными и техническими мерами, нарушениях правил эксплуатации СКЗИ и СФ;

- сведения обо всех проявляющихся в каналах связи, не защищенных от несанкционированного доступа к информации организационными и техническими мерами, неисправностях и сбоях аппаратных компонентов СКЗИ и СФ;

- сведения, получаемые в результате анализа любых сигналов от аппаратных компонентов СКЗИ и СФ;

4.3. Предполагается, что нарушитель имеет возможность получения в рамках предоставленных полномочий, а также в результате наблюдений следующей информации:

- сведений о физических мерах защиты объектов, в которых размещены ресурсы информационной системы;

- сведений о мерах по обеспечению контролируемой зоны объектов, в которых размещены ресурсы информационной системы;

- сведений о мерах по разграничению доступа в помещения, в которых находятся СВТ, на которых реализованы СКЗИ и СФ;

4.4. Предполагается, что нарушителю могут быть известны сети связи, работающие на едином ключе.

4.5. Предполагается, что нарушитель не обладает техническими средствами и квалификацией достаточными для проведения работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа СКЗИ и СФ, в том числе с использованием исходных текстов входящего в СФ прикладного ПО, непосредственно использующего вызовы программных функций СКЗИ.

4.6. Предполагается, что нарушитель не располагает сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты СФ.

5. Описание каналов атак

5.1. Предполагается, что нарушитель применяет на этапе эксплуатации в качестве среды переноса от субъекта к объекту (от объекта к субъекту) атаки действий, осуществляемых при подготовке и (или) проведении атаки:

- каналы связи, не защищенные от несанкционированного доступа к информации организационными и техническими мерами;

- каналы распространения сигналов, сопровождающих функционирование СКЗИ и СФ;

5.2. Предполагается, что нарушитель на этапе эксплуатации СКЗИ проводит атаки из информационно-телекоммуникационных сетей, доступ к которым не ограничен определенным кругом лиц.

6. Основные способы реализации атак

6.1. Предполагается, что нарушитель обладает возможностью по созданию способов, подготовке и проведения атак без привлечения специалистов в области разработки и анализа СКЗИ.

Предполагается, что нарушитель обладает возможностью по созданию способов, подготовке и проведения атак на различных этапах жизненного цикла СКЗИ.

Предполагается, что нарушитель обладает возможностью по проведению атаки, находясь вне пространства, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств (КЗ).

6.2. Предполагается, что нарушитель не обладает следующими возможностями

- возможностью проведения атак на этапах разработки (модернизации), производства, хранения, транспортировки СКЗИ и этапе ввода в эксплуатацию СКЗИ (пусконаладочные работы).

- возможностью внесения несанкционированных изменений в СКЗИ и (или) в компоненты аппаратных и программных средств, совместно с которыми штатно функционируют СКЗИ и в совокупности представляющие среду функционирования СКЗИ (далее - СФ), которые способны повлиять на выполнение предъявляемых к СКЗИ требований, в том числе с использованием вредоносных программ по причине принятия мер по организации физической защиты помещений и технических средств.

- возможностью внесения несанкционированных изменений в документацию на СКЗИ и компоненты СФ.

- возможностью проведение атаки при нахождении в пределах контролируемой зоны по причине принятия мер по организации физической защиты помещений и технических средств.

- физическим доступом к СВТ, на которых реализованы СКЗИ и СФ.

7. Предположение об имеющихся у нарушителя средствах атак

7.1. Предполагается, что нарушитель не имеет возможность использования на этапе эксплуатации находящихся за пределами контролируемой зоны АС и ПО из состава средств информационной системы, применяемых на местах эксплуатации СКЗИ (далее - штатные средства) по причине принятия мер по организации физической защиты помещений и технических средств.

Кроме того, аппаратные средства, с которыми осуществляется штатное функционирование СКЗИ, а также аппаратные и аппаратно-программные СКЗИ оборудованы средствами контроля за их вскрытием (опечатаны, опломбированы).

АС и ПО из состава средств информационной системы, применяемых на местах эксплуатации СКЗИ, штатно функционируют в пределах контролируемой зоны. Перемещение за пределы контролируемой зоны с целью ремонтных работ регламентируется согласно приказу ФАПСИ от 13 июня 2001 г. N 152 "Об утверждении инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну"

Эти факторы позволяют сделать вывод, что вероятность использования на этапе эксплуатации находящихся за пределами контролируемой зоны АС и ПО из состава средств информационной системы, ничтожна мала.

Предполагается, что нарушитель имеет возможность применения:

- находящихся в свободном доступе или используемых за пределами контролируемой зоны АС и ПО, включая аппаратные и программные компоненты СКЗИ и СФ.

- специально разработанных АС и ПО.

8. Заключение

Настоящая Модель нарушителя определяет тип нарушителя и дает описание предположений о возможностях, которые могут использоваться для разработки и проведения атак на технические и программные средства криптосредства и СФК.

Методологически при построении настоящей Модели нарушителя исследуется проблема возможности или невозможности нарушителя скомпрометировать СКЗИ, но не проблема возможности получения защищаемой информации тем или иным лицом (в том числе и внутренним нарушителем). Таким образом, данная Модель нарушителя, направлена на выявление субъектов (нарушителей) именно способных скомпрометировать СКЗИ, а не способных получить доступ к информации.

Исходя из вышеописанного, данная Модель нарушителя предназначена для определения класса защиты СКЗИ и выбора СКЗИ, которые будут использоваться в той или иной потенциально опасной среде.