Приложение А. Описание методологии формирования модели нарушителя. Приказ Федеральной налоговой службы от 21.12.2011 N ММВ-7-4/959@ "Об обеспечении безопасности персональных данных при их обработке в автоматизированных информационных системах налоговых органов"

Приложение А
К Модели нарушителя безопасности
информации для каналов обмена данными
между типовыми объектами АИС "Налог"

Описание методологии формирования модели нарушителя

Согласно определенным в Методических рекомендациях принципам, нарушитель может действовать на различных этапах жизненного цикла криптосредства и СФК (под этими этапами понимаются разработка, производство, хранение, транспортировка, ввод в эксплуатацию, эксплуатация программных и технических криптосредств и СФК)*(5).

А.1 Этапы разработки, производства, хранения, транспортировки, ввода в эксплуатацию технических и программных криптосредств и СФК

На этапах разработки, производства, хранения, транспортировки, ввода в эксплуатацию криптосредств и СФК обработка информации не производится. Поэтому объектами атак могут быть только сами эти средства и документация на них (см. Ошибка: источник перекрестной ссылки не найден).

На указанных этапах возможны следующие атаки:

внесение негативных функциональных возможностей в технические и программные компоненты криптосредства и СФК, в том числе с использованием вредоносных программ (компьютерные вирусы, "троянские кони" и т.д.);

внесение несанкционированных изменений в документацию на криптосредство и технические и программные компоненты СФК.

Таблица А.1

Этапы жизненного цикла	Вне зоны ответственности оператора (ФНС России)	В зоне ответственности оператора (ФНС России)
Разработка, производство и транспортировка	+	-
Хранение	+	+
Ввод в эксплуатацию	-	+

А.2 Этап эксплуатации технических и программных криптосредств и СФК

Модель нарушителя для этапа эксплуатации технических и программных криптосредств и СФК имеет следующую структуру:

описание нарушителей (субъектов атак);

предположения об имеющейся у нарушителя информации об объектах атак;

предположения об имеющихся у нарушителя средствах атак;

описание каналов атак.

При определении объектов атак рассматриваются как возможные объекты атак и при необходимости конкретизируются с учетом используемых в ИС информационных технологий и ТС следующие объекты:

документация на криптосредство и на технические и программные компоненты СФК;

защищаемые информации;

ключевая, аутентифицирующая и парольная информация;

криптографически опасная информация (КОИ);

криптосредство (программные и аппаратные компоненты криптосредства);

технические и программные компоненты СФК;

данные, передаваемые по каналам связи;

помещения, в которых находятся защищаемые ресурсы ИС.

Возможные объекты атак и цели атак были определены на этапе формирования модели угроз.

А.3 Описание нарушителей (субъектов атак)

Различают шесть основных типов нарушителей: Н1, Н2, ... , Н6. Возможности нарушителя типа Нi + 1 включают в себя возможности нарушителя типа Нi (). Если внешний нарушитель обладает возможностями по созданию способов и подготовки атак, аналогичными соответствующим возможностям нарушителя типа Нi (за исключением возможностей, предоставляемых пребыванием в момент атаки в КЗ), то этот нарушитель также обозначается как нарушитель типа Нi ().

Предполагается, что нарушители типа Н5 и Н6 могут ставить работы по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа криптосредств и СФК.

Описание нарушителей содержит:

перечень лиц, которые не рассматриваются в качестве потенциальных нарушителей, и обоснование этого перечня (при необходимости);

предположение о невозможности сговора нарушителей (для всех типов нарушителей) или предположения о возможном сговоре нарушителей и о характере сговора, включая перечисление дополнительных возможностей, которые могут использовать находящиеся в сговоре нарушители для подготовки и проведения атак (для нарушителей типа Н4 - Н6).

Все физические лица, имеющие доступ к техническим и программным средствам ИС, разделяются на следующие категории:

категория I - лица, не имеющие права доступа в КЗ ИС;

категория II - лица, имеющие право постоянного или разового доступа в КЗ ИС.

Все потенциальные нарушители подразделяются на:

внешних нарушителей, осуществляющих атаки из-за пределов КЗ ИС;

внутренних нарушителей, осуществляющих атаки, находясь в пределах КЗ ИС.

Внешними нарушителями могут быть как лица категории I, так и лица категории II, внутренними нарушителями могут быть только лица категории II.

Внутренний нарушитель может являться зарегистрированным пользователем системы и иметь доступ к работе со штатными средствами АС и СВТ. Внутренние нарушители классифицируются*(6) по уровню возможностей, предоставляемых им штатными средствами. В своем уровне нарушитель является специалистом высшей квалификации, знает все об АС и, в частности, о системе и средствах ее защиты. Выделяется четыре уровня этих возможностей (Ошибка: источник перекрестной ссылки не найден). Классификация является иерархической, т.е. каждый следующий уровень включает в себя функциональные возможности предыдущего.

Таблица А.2

Уровень	Описание возможностей
Первый	Запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации
Второй	Возможность создания и запуска собственных программ с новыми функциями по обработке информации
Третий	Возможность управления функционированием АС, т.е. воздействия на базовое программное обеспечение системы и на состав и конфигурацию ее оборудования
Четвертый	Весь объем возможностей лиц, осуществляющих проектирование, реализацию и ремонт ТС АИС, вплоть до включения в состав СВТ собственных ТС с новыми функциями по обработке информации

При описании нарушителей также дается описание привилегированных пользователей ИС (членов группы администраторов), которые назначаются из числа особо доверенных лиц и осуществляют техническое обслуживание технических и программных криптосредств и СФК, включая их настройку, конфигурирование и распределение ключевой документации между непривилегированными пользователями. Как правило, привилегированные пользователи ИС исключаются из числа потенциальных нарушителей.

В случае исключения тех или иных типов лиц категории II из числа потенциальных нарушителей указывается соответствующее обоснование.

А.4 Предположения об имеющейся у нарушителя информации об объектах атак

Данный раздел Модели нарушителя содержит:

предположение о том, что потенциальные нарушители обладают всей информацией, необходимой для подготовки и проведения атак, за исключением информации, доступ к которой со стороны нарушителя исключается системой защиты информации. К такой информации, например, относится парольная, аутентифицирующая и ключевая информация;

обоснованные ограничения на степень информированности нарушителя (перечень сведений, в отношении которых предполагается, что они нарушителю недоступны).

При определении ограничений на степень информированности нарушителя рассматриваются следующие сведения:

содержание технической документации на технические и программные компоненты СФК;

долговременные ключи криптосредства;

все возможные данные, передаваемые в открытом виде по каналам связи, не защищенным от НСД к информации организационно-техническими мерами (фазовые пуски, синхропосылки, незашифрованные адреса, команды управления и т.п.);

сведения о линиях связи, по которым передается защищаемая информация;

все сети связи, работающие на едином ключе;

все проявляющиеся в каналах связи, не защищенных от НСД к информации организационно-техническими мерами, нарушения правил эксплуатации криптосредства и СФК;

все проявляющиеся в каналах связи, не защищенных от НСД к информации организационно-техническими мерами, неисправности и сбои технических криптосредств и СФК;

сведения, получаемые в результате анализа любых сигналов от технических криптосредств и СФК, которые может перехватить нарушитель.

Исходя от выше изложенного, получаем следующие итоги, приведенные в Таблице А.3.

Таблица А.3

Тип нарушителей	Степень информированности
	Могут располагать информацией обо всех сетях связи, работающих на едином ключе
	Располагают наряду с доступной в свободной продаже документацией на криптосредство и СФК исходными текстами прикладного ПО
	Располагают всей документацией на криптосредство и СФК

А.5 Предположения об имеющихся у нарушителя средствах атак

Данный раздел Модели нарушителя содержит:

предположение о том, что нарушитель имеет все необходимые для проведения атак по доступным ему каналам атак средства, возможности которых не превосходят возможности аналогичных средств атак на информацию, содержащую сведения, составляющие государственную тайну;

обоснованные ограничения на имеющиеся у нарушителя средства атак.

При определении ограничений на имеющиеся у нарушителя средства атак, в частности, должны быть рассмотрены:

аппаратные компоненты криптосредства и СФК;

доступные в свободной продаже ТС и ПО;

специально разработанные ТС и ПО;

штатные средства.

Предположения о возможностях нарушителей по использованию средств атак приведены в Таблице А.4.

Таблица А.4

Тип нарушителя	Аппаратные компоненты криптосредства и СФК	Штатные средства	Лабораторные исследования
	Располагают только доступными в свободной продаже аппаратными компонентами криптосредства и СФК	Могут использовать штатные средства только в том случае, если они расположены за пределами КЗ	-
		Возможности по использованию штатных средств зависят от реализованных в ИС организационных мер
	Дополнительные возможности по получению аппаратных компонент криптосредства и СФК зависят от реализованных в ИС организационных мер
			Могут проводить лабораторные исследования криптосредств, используемых за пределами КЗ ИС
	Располагают любыми аппаратными компонентами криптосредства и СФК

А.6 Описание каналов атак

Основными каналами атак являются:

каналы связи (как внутри, так и вне КЗ), не защищенные от НСД к информации организационно-техническими мерами;

штатные средства.

Возможными каналами атак могут быть:

каналы непосредственного доступа к объекту атаки (акустический, визуальный, физический);

машинные носители информации;

носители информации, выведенные из употребления;

технические каналы утечки;

сигнальные цепи;

цепи электропитания;

цепи заземления;

канал утечки за счёт электронных устройств негласного получения информации;

информационные и управляющие интерфейсы СВТ.

А.7 Определение типа нарушителя

Нарушитель относится к типу Нi, если среди предположений о его возможностях есть предположение, относящееся к нарушителям типа Нi и нет предположений, относящихся только к нарушителям типа Нj (j > i).

Нарушитель относится к типу в ИС, в которых обрабатывается наиболее важная информация, нарушение характеристик безопасности которой может привести к особо тяжелым последствиям*(7).