GlobalTrust Information Security Forum User Cp  |  Register  |  Members  |  Search  |  Help
- Обсуждение продуктов и услуг GlobalTrust (http://forum.globaltrust.ru/cgi-bin/cutecast/cutecast.pl#5)
-- Типовые документы по информационной безопасности (http://forum.globaltrust.ru/cgi-bin/cutecast/cutecast.pl?forum=19)
--- Вопросы по типовым документам GTS1036 и GTS1039. (http://forum.globaltrust.ru/cgi-bin/cutecast/cutecast.pl?forum=19&thread=290&page=)

Posted by Fester on Friday, October 1, 2010 @ 19:25:19:

Добрый день.
Добрались до документов, что мы купили у вас. Возник вопрос.
В модели нарушителя указан следующий список внутренних нарушителей:
10.4.1 обслуживающий персонал (системные администраторы, администраторы БД, администраторы приложений и т.п., отвечающие за эксплуатацию и сопровождение технических и программных средств);
10.4.2 программисты, отвечающие за разработку и сопровождение системного и прикладного ПО;
10.4.3 технический персонал (рабочие подсобных помещений, уборщицы и т. п.);
10.4.4 сотрудники подразделений Банка, которым предоставлен доступ в помещения, где расположено компьютерное или телекоммуникационное оборудование.
Далее идет
10.6 Предположения о квалификации внутреннего нарушителя формулируются следующим образом:
10.6.1 внутренний нарушитель является высококвалифицированным специалистом в области разработки и эксплуатации ПО и технических средств,
10.6.2 знает специфику задач, решаемых обслуживающими подразделениями ИС Банка,
10.6.3 является системным программистом, способным модифицировать работу операционных систем;
10.6.4 правильно представляет функциональные особенности работы системы и процессы, связанные с хранением, обработкой и передачей критичной информации;
10.6.5 может использовать как штатное оборудование и ПО, имеющиеся в составе системы, так и специализированные средства, предназначенные для анализа и взлома компьютерных систем.
Т.е. предполагается, что любой субъект из множества «внутренний нарушитель» обладает заданными свойствами? И даже технический персонал? Не могли бы вы объяснить данное допущение?
Так же в Модели угроз нет ничего о материальных носителях информации и о социальной инженерии. Рассмотрены только программно-аппаратные угрозы, тогда как те же носители неотрывно сопутствуют их работе. А социальная инженерия – прямая угроза для ИС.
Спасибо.

Posted by support on Sunday, October 3, 2010 @ 16:53:28:

Здесь можно сослаться на модель нарушителя, приведенную в РД Гостехкомиссии Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации, которая рекомендует всегда предполагать, что "нарушитель является специалистом высшей квалификации, знает все об АС и, в частности, о системе и средствах ее защиты".

Это предположение не означает, что любой субъект из рассматриваемого множества нарушителей обладает заданными свойствами. Оно означает следующее: мы предполагаем, что среди рассматриваемого множества внутренних нарушителей могут быть специалисты высшей квалификации, способные осуществлять, в том числе, и достаточно изощренные атаки на наши компьютерные системы. Один из фундаментальных принципов при обеспечении безопасности - лучше переоценить, нежели недооценить своего потенциального противника. Этот принцип и закладывается в основу различных моделей нарушителя. Если предполагать, что какая-то категория нарушителей не обладает достаточной квалификацией для реализации определенного класса угроз, то это позволит нам не защищаться от данных угроз (нарушителей), что крайне опасно, в случае, если наше предположение окажется неверным. Простой пользователь может вдруг неожиданно оказаться в прошлом квалифицированным сисадмином или программистом, а новый уборщик - опытным хакером или сотрудником спецслужб, специально внедренным в нашу организацию. Такие истории периодически происходят.

Концепция обеспечения информационной безопасности (GTS 1036) определяет лишь базовы модели нарушителя и угроз, на которые вы можете опереться при разработке своих собственных более детальных моделей. В настоящее время, в связи с повышенной активностью в области защиты персональных данных, регуляторами и операторами ПДн проводится большая работ по моделированию угроз и нарушителей безопасности ПДн. Эти наработки имеет смысл также использовать. В частности, GlobalTrust в ближайшее время выпускает комплект типовых документов для операторов ПДн, в состав которого, в том числе, будет входить расширенная модель угроз безопасности, построенная в соответствии с требованиями РД ФСТЭК "Методика определения актуальных угроз безопасности персональных данных (ПДн) при их обработке в информационных системах персональных данных (ИСПДн)" и "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных". В последнем документе в разделе 5.1. "Общая характеристика источников угроз несанкционированного доступа в информационной системе персональных данных" приведена базовая модель нарушителя безопасности ПДн, которую также можно использовать. Кроме этого, РД ФСБ "Методические рекомендации предназначены для операторов и разработчиков информационных систем персональных данных и охватывают вопросы защиты персональных данных с помощью криптосредств" дополнительно вводит свои классификацию нарушителей, которую также надо учитывать, по крайней мере, при использовании криптосредств.


Posted by support on Sunday, October 3, 2010 @ 17:09:51:

Quote:
Originally posted by Fester
Так же в Модели угроз нет ничего о материальных носителях информации и о социальной инженерии. Рассмотрены только программно-аппаратные угрозы, тогда как те же носители неотрывно сопутствуют их работе. А социальная инженерия – прямая угроза для ИС.

Эти угрозы входят в множество угроз, рассматриваемых в Коцепции обеспечения информационной безопасности (GTS 1036):

"11.16.4 хищение технических средств с хранящейся в них информацией или отдельных носителей информации;"

Угрозы социальной инженерии обычно используются для:

11.12.1 Внедрение вирусов и других разрушающих программных воздействий;
11.12.8 Выполнение одним пользователем несанкционированных действий от имени другого пользователя («маскарад»);
11.12.9 Раскрытие, перехват и хищение секретных кодов и паролей;
и т.д.

Более подробная модель угроз приводится в составе типового комплекта для управления рисками ИБ GTS 1056. Эта модель предназначется уже не для Концепции, а для высокоуровневого управления рисками ИБ.

Самая же подробная из используемых нами на сегодняшний день моделей угроз будет приведена в новом комплекте документов для операторов ПДн. Эта модель угроз построена на основе Базовой модели угроз безопасности ПДн, разработанной ФСТЭК.

[Edit by support on Sunday, October 3, 2010 @ 17:11:32]


Contact Us | GlobalTrust Solutions | Privacy Policy All times are GMT +4 Hours.
Powered by CuteCast v2.0 BETA 2
Copyright © 2001-2003 ArtsCore Studios