18 октября, четверг 11:15
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Разработка модели угроз и нарушителей!!!

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Разработка модели угроз и нарушителей!!!

    Доброго всем дня Коллеги!!! Меня интересует вопрос : разработки модели угроз!!! я сам только недавно начал работать в банке и не совсем понимаю в чем отличия между угрозами по ИБ для банков и просто угрозами ИБ???? И когда я начал формировать перечень угроз мне сказали что этот перечень не подходит для банковского сектора!!!!
    Есть ли у кого какие мысли, высказывания , как этот список разрабатывать ????? буду очень вам всем благодарен!!!!!

  • #2
    И когда я начал формировать перечень угроз - на основе чего (стандарты, методологии) начал формировать перечень?

    Комментарий


    • #3
      Сообщение от khusainov rustam Посмотреть сообщение
      ...в чем отличия между угрозами по ИБ для банков и просто угрозами ИБ????
      В том, что почти все угрозы банку можно измерить деньгами. Плюс риски связанные с нарушением конфиденциальности выше, чем в случае многих других отраслях. Но это все - риски, а угрозы всюду одинаковые.

      Если покажете "неподходящий" перечень, можно подумать, что именно в нем вашему руководству не подошло. а так - слишком общий вопрос.

      Комментарий


      • #4
        Все источники угроз безопасности информации, можно разделить на три основные группы

        I. Угрозы, обусловленные действиями субъекта (антропогенные угрозы)
        II. Угрозы, обусловленные техническими средствами (техногенные угрозы)
        III. Угрозы, обусловленные стихийными источниками
        Первая группа наиболее обширна и представляет наибольший интерес с точки зрения организации парирования этим угрозам, так как действия субъекта всегда можно оценить, спрогнозировать и принять адекватные меры. Методы противодействия этим угрозам управляемы и напрямую зависят от воли организаторов защиты информации.
        Субъекты, действия которых могут привести к нарушению безопасности информации могут быть как внешние:
        1. криминальные структуры;
        2. рецидивисты и потенциальные преступники;
        3. недобросовестные партнеры;
        4. конкуренты;
        5. политические противники;
        так и внутренние:
        1. персонал учреждения;
        2. персонал филиалов;
        3. специально внедренные агенты.
        Основываясь на результатах международного и российского опыта, действия субъектов могут привести к ряду нежелательных последствий, можно выделить следующие:
        1. Кража
        а) технических средств (винчестеров, ноутбуков, системных блоков);
        б) носителей информации (бумажных, магнитных, оптических и пр.);
        в) информации (чтение и несанкционированное копирование);
        г) средств доступа (ключи, пароли, ключевая документация и пр.).
        2. Подмена (модификация)
        а) операционных систем;
        б) систем управления базами данных;
        в) прикладных программ;
        г) информации (данных), отрицание факта отправки сообщений;
        д) паролей и правил доступа.
        3. Уничтожение (разрушение)
        а) технических средств (винчестеров, ноутбуков, системных блоков);
        б) носителей информации (бумажных, магнитных, оптических и пр.);
        в) программного обеспечения (ОС, СУБД, прикладного ПО)
        г) информации (файлов, данных)
        д) паролей и ключевой информации.
        4. Нарушение нормальной работы (прерывание)
        а) скорости обработки информации;
        б) пропускной способности каналов связи;
        в) объемов свободной оперативной памяти;
        г) объемов свободного дискового пространства;
        д) электропитания технических средств;
        5. Ошибки
        а) при инсталляции ПО, ОС, СУБД;
        б) при написании прикладного ПО;
        в) при эксплуатации ПО;
        г) при эксплуатации технических средств.
        6. Перехват информации (несанкционированный)
        а) за счет ПЭМИ от технических средств;
        б) за счет наводок по линиям электропитания;
        в) за счет наводок по посторонним проводникам;
        г) по акустическому каналу от средств вывода;
        д) по акустическому каналу при обсуждении вопросов;
        е) при подключении к каналам передачи информации;
        ж) за счет нарушения установленных правил доступа (взлом).
        Вторая группа содержит угрозы менее прогнозируемые, напрямую зависящие от свойств техники и поэтому требующие особого внимания. Технические средства, содержащими потенциальные угрозы безопасности информации так же могут быть внутренними:
        1. некачественные технические средства обработки информации;
        2. некачественные программные средства обработки информации;
        3. вспомогательные средства (охраны, сигнализации, телефонии);
        4. другие технические средства, применяемые в учреждении;
        и внешними:
        1. средства связи;
        2. близко расположенные опасные производства;
        3. сети инженерных коммуникации (энерго-, водоснабжения, канализации);
        4. транспорт.
        Последствиями применения таких технических средств, напрямую влияющими на безопасность информации могут быть:
        1. Нарушение нормальной работы
        а) нарушение работоспособности системы обработки информации;
        б) нарушение работоспособности связи и телекоммуникаций и АС;
        в) старение носителей информации и средств ее обработки;
        г) нарушение установленных правил доступа;
        д) электромагнитное воздействие на технические средства.
        2. Уничтожение (разрушение)
        а) программного обеспечения, ОС, СУБД;
        б) средств обработки информации (броски напряжений, протечки);
        в) помещений
        г) информации (размагничивание, радиация, протечки и пр.);
        д) персонала.
        3. Модификация (изменение)
        а) программного обеспечения. ОС, СУБД;
        б) информации при передаче по каналам связи и телекоммуникациям.
        Третью группу составляют угрозы, которые совершенно не поддаются прогнозированию и поэтому меры их парирования должны применяться всегда. Стихийные источники, составляющие потенциальные угрозы информационной безопасности, как правило, являются внешними по отношению к рассматриваемому объекту и под ними понимаются, прежде всего, природные катаклизмы:
        1. пожары;
        2. землетрясения;
        3. наводнения;
        4. ураганы;
        5. другие форс-мажорные обстоятельства;
        6. различные непредвиденные обстоятельства;
        7. необъяснимые явления.
        Эти природные и необъяснимые явления так же влияют на информационную безопасность, опасны для всех элементов корпоративной сети и могут привести к следующим последствиям:

        1. Уничтожение (разрушение)
        а) технических средств обработки информации;
        б) носителей информации;
        в) программного обеспечения (ОС, СУБД, прикладного ПО);
        г) информации (файлов, данных);
        д) помещений;
        е) персонала.
        2. Исчезновение (пропажа)
        а) информации в средствах обработки;
        б) информации при передаче по телекоммуникационным каналам;
        в) носителей информации;
        г) персонала.
        Даже первичный анализ приведенного перечня угроз безопасности информации по частоте проявления угрозы безопасности можно расставить так:
        1. кража (копирование) программного обеспечения
        2. подмена (несанкционированный ввод) информации
        3. уничтожение (разрушение) данных на носителях информации
        4. нарушение нормальной работы (прерывание) в результате вирусных атак
        5. модификация (изменение) данных на носителях информации
        6. перехват (несанкционированный съем) информации
        7. кража (несанкционированное копирование) ресурсов
        8. нарушение нормальной работы (перегрузка) каналов связи
        9. непредсказуемые потери.

        Комментарий


        • #5
          это скажем так общая методика!!!! может быть я совсем не то делаю!!!!!

          Комментарий


          • #6
            Вы в преамбуле документа ссылку на статью Соколова и Вихорева сделали? Без этого вы совершаете уголовное правонарушение, связанное с незаконным использованием чужой интеллектуальной собственности в целях исвдечения пирбыли

            Если вкратце, вы скопипастили кусок чужого документа, рассчитанного на все случаи жизни и не учитывающие специфику ни одной конкретной сферы. Продолжать?

            Комментарий


            • #7
              malotavr
              да ну что вы
              это же реферат воронежского студента Ларина А.В. за 2002 год http://2balla.ru/index.php?option=co...08&story=26778
              ...политические противники и необъяснимые явления.... сто пудов это Ларин

              Комментарий


              • #8
                Так-с, знатоки первоисточников , а теперь ближе к делу. Мне, в ближайшее время предстоит заняться созданием некоего документа Модели угроз и нарушителей. Хотелось бы ваших рекомендаций по порядку действий и нормативно-справочной литературе
                Чем больше связей, тем меньше степеней свободы.

                Комментарий


                • #9
                  Вот классическая схема, которую почему-то dsec себе приписали:
                  http://dsec.ru/products/grif/fulldes...ugroza_fin.jpg

                  Комментарий


                  • #10
                    Сообщение от box_roller Посмотреть сообщение
                    Вот классическая схема, которую почему-то dsec себе приписали:
                    http://dsec.ru/products/grif/fulldes...ugroza_fin.jpg
                    Угу)) я на этой же основе свою (для своего банка) модель разработал)) - уже утверждаем)))
                    Мы продолжаем делать то, что мы уже много наделали

                    Комментарий


                    • #11
                      box_roller, и что мне делать с этой схемой? Какова структура документа Модели угроз и нарушителей?
                      Чем больше связей, тем меньше степеней свободы.

                      Комментарий


                      • #12
                        2 Чернушка Какова структура документа Модели угроз и нарушителей?хотя пост адресован не мне)) -вставлю свои пять копеек)- я взял за основу пункт 7.11 СТО БР ИББС 1.0-2006 применительно предыдущей модели угроз))+ модель нарушителя+ и детализировал все исходя из реальных потребностей организации (согласно рекомендациям того же СТо БР ИББС)
                        Мы продолжаем делать то, что мы уже много наделали

                        Комментарий


                        • #13
                          Сообщение от Чернушка Посмотреть сообщение
                          Так-с, знатоки первоисточников , а теперь ближе к делу. Мне, в ближайшее время предстоит заняться созданием некоего документа Модели угроз и нарушителей. Хотелось бы ваших рекомендаций по порядку действий и нормативно-справочной литературе
                          Ладно, поглумились и хватит

                          Нормативно-справочнцую информацию не подскажу. Стандарты вы видели сами, они хороши для теоретика, а на практике применимы слабо. И вообще, к абстрактным моделям угроз питаю глубокое отвращение.

                          Я в итоге пришел к тому же меnоду, который описывал box_roller, и использую следующий порядок действий. Есть набор приложений. Выбираю самое главное.
                          1. Для выбранного приложения у меня есть полученный от разработчика набор объектов доступа (в терминах "видимого пользователю интерфейса" (ISO 15408)). В зависимости от приложения это экранная форма, документ (в широком понимании этого слова) или транзакция. С документом понятно - его можно посмотреть, изменить или удалить. Транзакция приводит к созданию, изменению или удалению документов (каких - я на этом шаге еще не знаю). Наконец, экранная форма позволяет просматривать или изменять документы и запускать транзакции. В итоге приложение для меня становится просто набором документов и транзакций.
                          2. Получаю спецификацию транзакций. По каждой транзакции я в итоге получаю список документов, к созданию, просмотру, изменению или удалению которых она приводит. В итоге у меня есть полный перечень документов (защищаемых объектов) и 4 угрозы - несанкционированное создание, изменение, модификация и уничтожение. И матрицу ущербов для каждого документа для каждой угрозы. Элементы матрицы с незначительным ущербом в дальнейшем не рассматриваю.
                          3. Смотрю, в каком виде документ представлен (файл, запись или совокупность записей в базах данных, и т.п.), между какими хранилищами он перемещается в течение своей жизни и т.п. Соответственно, для каждой тройки (документ, хранилище, значимая угроза) расписываю, как эту угрозу можно реализовать. Если угроза нереализуема, тройку из рассмотрения исключаю. Если реализуема - получаю уязвимость и примерное представление о человеке, который способен этой уязвимостью воспользоваться.
                          4. В итоге получаю перечень объектов, уязвимостей, угроз и ущербов. Объединяю сходные, оцениваю риски. Составляю модель угроз для данного приложения.
                          5. Повторяю для следующего по значимости приложения.


                          Вот. Можно ли из этого "модель угроз и нарушителей сделать" - не знаю. Я не собираюсь

                          Комментарий


                          • #14
                            Сообщение от box_roller Посмотреть сообщение
                            malotavr...политические противники и необъяснимые явления.... сто пудов это Ларин
                            Это смотря по каким ключевым словам гуглить
                            А вообще есть всего десяток первоисточников, которые кочуют из документа в документ. Рано или поздно начинаешь их по характерным словосочетаниям узнавать.

                            Комментарий


                            • #15
                              malotavr
                              Я автора не искал
                              Меня поразила широкая распространенность данного текста. Он стал как бы : "слова народные".

                              Комментарий


                              • #16
                                Сообщение от Чернушка Посмотреть сообщение
                                box_roller, и что мне делать с этой схемой? Какова структура документа Модели угроз и нарушителей?
                                А нужен ли такой отдельный документ?
                                Данную схему я подкорректировал под свою организацию и добавил как рекомендуемый справочный матерьял для формирования списка угроз в "Положение об оценке и управлении рисками".

                                Комментарий


                                • #17
                                  я конечно незнаю чье это творение, но мне его оставил сотрудник который уволился!!! вот поэтому я и хотел узнать что и как действовать дальше?

                                  Комментарий


                                  • #18
                                    http://www.jetinfo.ru/2005/6/1/article1.6.2005173.html
                                    http://daily.sec.ru/dailypblshow.cfm?rid=45&pid=6881 - больше про физическую безопасность, но есть интересные идеи

                                    еще был раздел про модель нарушителя в книгах:
                                    - Гайкович В.Ю., Ершов Д.В. "Основы безопасности информационных технологий" - http://kiev-security.org.ua/b/176.shtml
                                    - Гайкович В.Ю., Першин А.Ю. "Безопасность банковских электронных систем" - http://kiev-security.org.ua/b/188.shtml
                                    - А.П.Леонов, К.А.Леонов, Г.В.Фролов "БЕЗОПАСНОСТЬ АВТОМАТИЗИРОВАННЫХ БАНКОВСКИХ И ОФИСНЫХ СИСТЕМ" - этой в электронном виде не нашел, но она одна из лучших была по банковской безопасности на момент издания. Она не просто рассказывала про безопасность и где не попадя использовалось слова "банк", а действительно учитывала банковскую специфику

                                    Комментарий


                                    • #19
                                      box_roller для формирования списка угроз
                                      А этот список вы где формируете? В голове? Или фиксируете в каком-то документе?
                                      Чем больше связей, тем меньше степеней свободы.

                                      Комментарий


                                      • #20
                                        Сообщение от box_roller Посмотреть сообщение
                                        Вот классическая схема, которую почему-то dsec себе приписали:
                                        http://dsec.ru/products/grif/fulldes...ugroza_fin.jpg
                                        Уважаемый box-roller! Не могу не поинтересоваться по поводу DSECCT , что Вы подразумевается под "классической схемой" и почему Вы считаете, что она "была приписана dsec'ом себе", а не разработана самостоятельно специалистами Digital Security?

                                        Комментарий


                                        • #21
                                          Вот еще интересный ресурс (аглицкий) на тему создания модели угроз - http://www.threatmind.net/secwiki/ThreatModeling

                                          Комментарий


                                          • #22
                                            Сообщение от Leonid Krimsky Посмотреть сообщение
                                            Уважаемый box-roller! Не могу не поинтересоваться по поводу DSECCT , что Вы подразумевается под "классической схемой" и почему Вы считаете, что она "была приписана dsec'ом себе", а не разработана самостоятельно специалистами Digital Security?
                                            Можете.
                                            Под классикой я подразумеваю систему классификации, описанную в различных источниках (авторские статьи и печатные издания) и в разное время. Систему, которая уже долгое время успешно используется на практике. Систему, к которой самостоятельно пришли многие специалисты ИБ, на практике занимаясь управлением рисками.

                                            Сообщение от Leonid Krimsky Посмотреть сообщение
                                            ... почему Вы считаете, что она "была приписана dsec'ом себе", а не разработана самостоятельно специалистами Digital Security?
                                            На момент опубликования данной схемы на сайте dsec.ru эти источники уже существовали. Соответственно мне кажется странным, что одна конкретная компания запатентовала то, что её не принадлежит.
                                            Если это был не вопрос, а утверждение, то оформите его соответствующе. Кто и когда в Digital Security разработал этот эксклюзивный классификатор угроз? А я со своей стороны попытаюсь это опровергнуть. И если Ваши аргументы, перевесят мои, я опубликую опровержение.

                                            Комментарий


                                            • #23
                                              to Алексей ЛукацкийГайкович В.Ю., Першин А.Ю. "Безопасность банковских электронных систем" - http://kiev-security.org.ua/b/188.shtml
                                              скачались каракули. если у кого получится нормальный текст - прикрепите плиз файлик

                                              Комментарий


                                              • #24
                                                Сообщение от khusainov rustam Посмотреть сообщение
                                                я конечно незнаю чье это творение, но мне его оставил сотрудник который уволился!!! вот поэтому я и хотел узнать что и как действовать дальше?
                                                Извините за наезд - не хотел вас обидеть. Просто буквально на днях мне по такой же схеме пытались навязать внутренний нормативный документ.

                                                Комментарий


                                                • #25
                                                  Сообщение от malotavr Посмотреть сообщение
                                                  Извините за наезд - не хотел вас обидеть. Просто буквально на днях мне по такой же схеме пытались навязать внутренний нормативный документ.
                                                  )) 2 malotavr - а может это ваш же сотрудник помощи просит?
                                                  Мы продолжаем делать то, что мы уже много наделали

                                                  Комментарий


                                                  • #26
                                                    Сообщение от ajull Посмотреть сообщение
                                                    to Алексей ЛукацкийГайкович В.Ю., Першин А.Ю. "Безопасность банковских электронных систем" - http://kiev-security.org.ua/b/188.shtml
                                                    скачались каракули. если у кого получится нормальный текст - прикрепите плиз файлик
                                                    Они в dos-кодировке.
                                                    Открой через Word. Он её распознает.

                                                    Комментарий


                                                    • #27
                                                      Сообщение от box_roller Посмотреть сообщение
                                                      На момент опубликования данной схемы на сайте dsec.ru эти источники уже существовали. Соответственно мне кажется странным, что одна конкретная компания запатентовала то, что её не принадлежит.
                                                      Если это был не вопрос, а утверждение, то оформите его соответствующе. Кто и когда в Digital Security разработал этот эксклюзивный классификатор угроз? А я со своей стороны попытаюсь это опровергнуть. И если Ваши аргументы, перевесят мои, я опубликую опровержение.
                                                      Уважаемый box-rooller. Никто не утверждает, что классификация угроз DSECCT была первой в мире опубликованной классификацией угроз. Существует большое количество классификаций, которые, в том числе, были разработаны до опубликования DSECCT (классификация угроз и уязвимостей OCTAVE, классификация угроз BSI, классификация Microsoft и др.). В процессе использования существующих классификаций в различных проектах по аудиту защищенности аудиторы и аналитики Digital Security столкнулись с тем, что существующие классификации по тем или иным причинам были неудобны в работе, где-то не хватало полноты, гибкости и т.п.
                                                      Одной из основных причин было то, что использование существующих классификаций для описания по возможности большего количества угроз невозможно, т.к. реальные угрозы либо не подходили ни под один из классификационных признаков, либо, наоборот, удовлетворяли нескольким. Именно поэтому было решено разработать свою классификацию, которую мы в дальнейшем сделали доступной для всех специалистов, которые посчитают ее адекватной и подходящей для использования в своей работе.
                                                      Таким образом, классификация DSECCT является результатом собственного исследования сотрудников компании Digital Security. Поэтому Ваше предположение о том, что «одна конкретная компания запатентовала то, что ей не принадлежит» является безосновательным.

                                                      Комментарий


                                                      • #28
                                                        Сообщение от Leonid Krimsky Посмотреть сообщение
                                                        Существует большое количество классификаций, которые, в том числе, были разработаны до опубликования DSECCT (классификация угроз и уязвимостей OCTAVE, классификация угроз BSI, классификация Microsoft и др.). В процессе использования существующих классификаций в различных проектах по аудиту защищенности аудиторы и аналитики Digital Security столкнулись с тем, что существующие классификации по тем или иным причинам были неудобны в работе, где-то не хватало полноты, гибкости и т.п.
                                                        Одной из основных причин было то, что использование существующих классификаций для описания по возможности большего количества угроз невозможно, т.к. реальные угрозы либо не подходили ни под один из классификационных признаков, либо, наоборот, удовлетворяли нескольким. Именно поэтому было решено разработать свою классификацию, которую мы в дальнейшем сделали доступной для всех специалистов, которые посчитают ее адекватной и подходящей для использования в своей работе.
                                                        Я оставлю Ваш пост без ответа. Я на форуме общаюсь с людьми, а не с цитатами рекламных лозунгов Digital Security. Или Вы автор этих строк? Если нет – то ссылайтесь на первоисточник, а не пишите от своего имени. Если у меня возникнет желание почитать, как хвалит себя та или иная компания, то я это смогу сделать самостоятельно.

                                                        Если Вам лично (от себя) нечего добавить, то флуд предлагаю прекратить.

                                                        Комментарий


                                                        • #29
                                                          Друзья давайте не будем сориться!!! У кого какие еще мысли есть, как должна быть разработана эта модель?

                                                          Комментарий


                                                          • #30
                                                            khusainov rustam , да-да. И не только разработана, но и зафиксирована в документах Банка.
                                                            Чем больше связей, тем меньше степеней свободы.

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X