Hola a todos, continuamos nuestra serie de artículos sobre "seguridad de papel". Hoy hablaremos sobre el desarrollo de un modelo de amenaza. Si el propósito de leer este artículo es adquirir habilidades prácticas, entonces es mejor descargar inmediatamente nuestras
plantillas de documentos , que también contienen una plantilla de modelo de amenaza. Pero incluso sin una plantilla a la mano, el artículo también se puede encontrar con fines educativos.
¿Por qué necesitamos un modelo de amenaza?
La necesidad de desarrollar un modelo de amenaza está regulada por una serie de documentos reglamentarios. Estas son algunas de ellas.
Parte 2 del artículo 19 de la Ley Nº 152-FZ "sobre datos personales":
2. Se logra la seguridad de los datos personales, en particular:
1) la determinación de amenazas a la seguridad de los datos personales durante su procesamiento en los sistemas de información de datos personales;
Composición y contenido de las medidas organizativas y técnicas para garantizar la seguridad de los datos personales durante su procesamiento en los sistemas de información de datos personales (aprobado por orden del FSTEC de Rusia con fecha 18 de febrero de 2013 No. 21):
4. Las medidas para garantizar la seguridad de los datos personales se implementan, entre otras cosas, mediante el uso de herramientas de protección de la información en el sistema de información que han aprobado el procedimiento de evaluación de la conformidad de la manera prescrita, en los casos en que el uso de dichas herramientas es necesario para neutralizar las amenazas actuales a la seguridad de los datos personales.
Requisitos para la protección de la información que no constituye secretos de estado contenidos en los sistemas de información del estado (aprobado por el FSTEC de Rusia con fecha 11 de febrero de 2013 No. 17)
Formación de requisitos de seguridad de la información ... que incluyen:
...
identificación de amenazas de seguridad de la información , cuya implementación puede conducir a una violación de la seguridad de la información en el sistema de información, y el desarrollo sobre la base de un modelo de amenazas de seguridad de la información;
...
Requisitos para la protección de la información en sistemas de control automatizado para procesos productivos y tecnológicos en instalaciones críticas, instalaciones potencialmente peligrosas, así como instalaciones que representan un mayor peligro para la vida humana, la salud y el medio ambiente (aprobado por orden del FSTEC de Rusia del 14 de marzo de 2014 No. 31):
La formación de requisitos para la seguridad de la información en un sistema de control automatizado ... que incluye incluye:
...
identificación de amenazas a la seguridad de la información, cuya implementación puede conducir a una violación del funcionamiento normal del sistema de control automatizado, y al desarrollo de un modelo de amenazas a la seguridad de la información sobre su base;
Requisitos para garantizar la seguridad de los objetos significativos de la infraestructura de información crítica de la Federación de Rusia (aprobado por orden del FSTEC de Rusia del 25 de diciembre de 2017 No. 239):
11. El desarrollo de medidas organizativas y técnicas para garantizar la seguridad de un objeto significativo se lleva a cabo por el tema de la infraestructura de información crítica ... y debe incluir:
a) análisis de las amenazas a la seguridad de la información y desarrollo de un modelo de amenazas a la seguridad de la información o su refinamiento (si existe);
Por lo tanto, la conclusión de esto es simple: para cualquier sistema de información que de alguna manera se proteja de acuerdo con la ley, es necesario desarrollar un modelo de amenaza.
Contenido del modelo de amenaza
Hemos descubierto la necesidad de crear un documento, veamos qué prescribe la legislación para su contenido. Aquí, por extraño que parezca, todo es bastante escaso.
Como ejemplo de libro de texto para describir el contenido de un modelo de amenaza, podemos citar 17 órdenes del FSTEC:
El modelo de amenazas de seguridad de la información debe contener una descripción del sistema de información y sus características estructurales y funcionales, así como una descripción de las amenazas de seguridad de la información, incluida una descripción de las capacidades de los infractores (modelo del infractor), posibles vulnerabilidades del sistema de información, formas de implementar amenazas de seguridad de la información y las consecuencias de la violación de las propiedades de seguridad de la información.
No lo creerás, pero eso es todo. Pero, por otro lado, aunque no hay mucho texto, es bastante informativo. Volvamos a leer y anote lo que debería estar en nuestro modelo de amenaza:
- descripción del sistema de información;
- características estructurales y funcionales;
- Descripción de las amenazas de seguridad.
- modelo de intrusos;
- posibles vulnerabilidades;
- formas de implementar amenazas;
- consecuencias de la violación de las propiedades de seguridad de la información.
Esto está bajo la ley, que requiere FSTEC. También hay requisitos adicionales del FSB (sobre ellos un poco más tarde) y algunos requisitos y deseos no oficiales del FSTEC que encontramos en el proceso de acordar modelos de amenaza de los sistemas de información estatales.
Parte introductoria del modelo de amenaza.
Bueno, vayamos al contenido del documento.
Pienso en la página de título, una lista de abreviaturas, términos y definiciones, todo está claro. Aunque, quizás, valga la pena profundizar en ... de repente la portada.
En la plantilla está firmada por el jefe del propietario del sistema de información. No es solo eso.
Decreto del gobierno de la Federación de Rusia del 11 de mayo de 2017 No 555:
4. Los términos de referencia para la creación del sistema y el modelo de amenazas a la seguridad de la información son aprobados por el funcionario de la autoridad ejecutiva, a quien se le confían los poderes correspondientes.
Naturalmente, si el sistema de información no es de propiedad estatal y el operador del sistema no es una autoridad ejecutiva, cualquiera puede firmar un modelo de amenaza. Es solo que nos hemos encontrado repetidamente cuando, sujeto a las condiciones anteriores (sistema de información estatal de la autoridad ejecutiva), el cliente nos pidió que cambiemos la portada para que solo los representantes de la compañía con licencia (es decir, la nuestra) firmen allí. Tenía que explicar por qué el FSTEC devolvería un modelo de amenazas para su revisión.
Sección "Apoyo normativo y metodológico"
Aquí me gustaría recordar que el modelo de amenaza se puede desarrollar para sistemas muy diferentes, desde ISDN hasta KII. Por lo tanto, la lista de documentos reglamentarios puede variar. Por ejemplo, si estamos desarrollando un modelo de amenaza para sistemas automatizados de control de procesos, entonces 21 y 17 órdenes del FSTEC deberían eliminarse de la plantilla y el 31 debería agregarse.
Los documentos marcados con la abreviatura "SKZI" son documentos reglamentarios del FSB que rigen el manejo de las herramientas de cifrado. Si las criptomonedas no se usan en el sistema de información (ahora es una rareza, pero aún así), entonces estos documentos reglamentarios deberían eliminarse de la lista.
Un error común aquí es la adición de varios GOST y otros documentos reglamentarios (les gusta mucho ingresar a STR-K aquí), que no tienen nada que ver con el modelado de amenazas. O documentos cancelados. Por ejemplo, a menudo en los modelos de amenazas, uno puede encontrar en la lista de documentos reglamentarios las llamadas "Recomendaciones metodológicas ..." y "Requisitos típicos ..." del FSB, que
no han
sido relevantes durante mucho tiempo.
Disposiciones generales
Aquí, la plantilla presenta el agua estándar: ¿por qué necesitamos un modelo de amenaza, etc.? En lo que debemos centrarnos aquí es en un comentario sobre el tipo de información en consideración. Por defecto, la opción más común se presenta en la plantilla: datos personales (PD). Pero el sistema puede no tener datos personales, pero puede haber otra información confidencial (CI), y la información puede no ser confidencial, sino protegida (CI) de acuerdo con otras características: integridad y disponibilidad.
Descripción del sistema de información
Aquí puede encontrar información general sobre el sistema de información: dónde se encuentra, cómo se llama, qué datos y qué clase (nivel de seguridad, categoría) se procesan. Aquí, por supuesto, muchos están interesados en cuán exhaustivamente es necesario describir el sistema de información.
En el proceso de aprobaciones múltiples de modelos de amenazas para sistemas de información estatales, hemos desarrollado una solución al respecto: debe haber un punto medio. Esto no debe ser una copia pegada del pasaporte técnico que indique los números de serie del equipo técnico. Pero, por otro lado, una persona que no está familiarizada con el sistema, que leyó su descripción en el modelo de amenaza, debería comprender aproximadamente cómo funciona este sistema.
Un ejemplo:
La parte del servidor del sistema de información de Nipel es un grupo de servidores físicos en los que se implementa el hipervisor ESXi 6.x. La parte del servidor de los principales servicios del sistema de información es proporcionada por servidores virtuales (nombres de servidor) bajo el control de los sistemas operativos (lista de SO). El software principal que implementa los procesos de procesamiento es (nombre del software). El software de aplicación es una aplicación cliente-servidor. La parte del cliente funciona como un cliente grueso en las estaciones de trabajo de los usuarios que ejecutan sistemas operativos (lista de SO). Los usuarios obtienen acceso al sistema de información, tanto desde la red local como a través de Internet utilizando canales de comunicación seguros. En general, el sistema de información funciona como se muestra en el diagrama.
Se aplica el esquema funcional (¡no topológico!) Del sistema de información.
Eso es lo que suele parecer. El estilo y otros detalles, por supuesto, pueden ser muy diferentes, lo principal es la información que se puede extraer de la descripción.
También hay una sección "Seguridad de los locales". Aquí describimos cómo se protegen las instalaciones durante el horario laboral y no laboral: video vigilancia, ACS, guardia de seguridad, vigilante, alarma y eso es todo.
Las secciones del FSB "Determinación de la relevancia del uso de la protección de la información criptográfica para garantizar la seguridad de los datos personales" y "Objetos de protección adicionales" también se incluyen en la plantilla del modelo de amenaza. Si no se usa la criptografía, estas secciones simplemente se eliminan; si se usa, no hay nada especial que cambiar, en general, y no es necesario que ingrese el nombre del sistema de información.
La sección "Principios del modelo de amenaza" tampoco puede modificarse. Solo tenga en cuenta que hay una opción para los casos en que se usan criptomonedas en el sistema, y cuando no. Elija el que necesita y siga adelante.
Modelo de intrusos
Aquí puedes dividir esta parte en clásica y nueva. Clásico es aquel donde se describen los posibles infractores de las categorías 1, 2 y más allá. De hecho, esta parte del modelo de intrusos se deja en la plantilla solo porque a los reguladores les gusta cuando es así. El valor práctico está representado por la sección "Violadores según el banco de datos de las amenazas del FSTEC de Rusia".
Esta sección es de valor práctico porque las propias amenazas del banco de datos de amenazas FSTEC (en lo sucesivo, la BDU) están vinculadas a los infractores con un potencial bajo, medio y alto. La sección en sí es una copia-pegado de descripciones de las características de los infractores con potencial bajo, medio y alto. La siguiente es la conclusión de nuestra forma "experta" favorita: qué delincuente es relevante para nosotros. Es decir, de hecho, el compilador selecciona al intruso "a simple vista", porque simplemente no hay métodos para elegir al delincuente.
No daremos estas descripciones completas aquí, trataremos de formular brevemente cómo difieren los potenciales de los infractores. Además de diferenciar en potencial, los infractores siguen siendo externos e internos.
El hacker más talentoso del mundo que utiliza perfectamente las herramientas existentes y puede crear sus propias herramientas es, de repente, un intruso con bajo potencial. Un intruso con las mismas capacidades, pero tener información privilegiada sobre el sistema ya es un potencial promedio. La frase principal que distingue el potencial medio del bajo: "Tienen acceso a la información sobre las características estructurales y funcionales y las características del funcionamiento del sistema de información". Aquí debe pensar detenidamente sobre la probabilidad de que se filtre dicha información. En resumen, los delincuentes con alto potencial son principalmente agencias de inteligencia. Aquí tenemos la oportunidad de atraer organizaciones científicas especializadas y obtener información de campos físicos, y eso es todo.
En situaciones realistas, el potencial del intruso es bajo o medio.
Secciones "FSB"
A continuación se encuentran las secciones "Capacidades generalizadas de las fuentes de ataque" e "Implementación de amenazas de seguridad de la información identificadas por las capacidades de las fuentes de ataque". Estas secciones no son necesarias si no se utilizan criptomonedas. Sin embargo, si se usan, entonces los datos iniciales, y generalmente las tablas para estas secciones no necesitan ser inventadas, se toman del documento normativo FSB "Recomendaciones metodológicas sobre el desarrollo de actos legales regulatorios que definen amenazas a la seguridad de los datos personales relevantes para el procesamiento de datos personales en la información sistemas de datos personales operados en el curso de las actividades respectivas ”(aprobado por la gerencia del 8º Centro del Servicio Federal de Seguridad de Rusia el 31 de marzo de 2015, No. 149/7/2 / 6-432).
Nuestra verdad en la plantilla, el resultado es algo diferente del predeterminado, dado en el documento FSB mencionado anteriormente.
El objetivo final de estas secciones es establecer una clase de medios de protección de la información criptográfica (CPSI), que se pueden utilizar en el sistema en consideración. Esta clase depende directamente de las capacidades del infractor y se establece de acuerdo con el orden 378 del FSB (para datos personales, pero para otros tipos de información simplemente no existen tales requisitos).
Muy a menudo, la clase aplicable de criptomonedas es KC3. Ahora te diremos por qué.
En general, en el documento "Composición y contenido de medidas organizativas y técnicas para garantizar la seguridad de los datos personales cuando se procesan en sistemas de información de datos personales utilizando la protección de la información criptográfica significa necesario para cumplir con los requisitos de protección de datos personales establecidos por el Gobierno de la Federación de Rusia para cada nivel de seguridad" ( aprobado por orden del Servicio Federal de Seguridad de Rusia con fecha del 10 de julio de 2014 No. 378) la clase de protección de información criptográfica para el sistema en cuestión se establece, en primer lugar, en base a y las amenazas, y en segundo lugar sobre la base de los posibles infractores.
No nos detendremos en los tipos de amenazas en detalle; hay mucha información en Internet. Detengámonos en el hecho de que hay 3 tipos de amenazas y por las buenas o por las malas, si planea usar criptografía, debe hacer el tercer tipo de amenaza (amenazas irrelevantes asociadas con capacidades no declaradas en aplicaciones y software de todo el sistema). Por qué
Porque el pedido del 378 FSB:
- CPS clase KA en los casos en que las amenazas de tipo 1 son relevantes para el sistema de información;
- CIPF de clase KV y superior en casos donde las amenazas de tipo 2 son relevantes para el sistema de información;
- CIPF de clase KS1 y superior en casos donde las amenazas de tipo 3 son relevantes para el sistema de información.
Parece claro, pero ¿cuál es el problema? El problema es que no puedes comprar CPS de las clases KA1, KV1 y KV2 así, incluso si tienes mucho dinero que cuestan.
Llevaremos a cabo una pequeña "investigación". Descargue el nuevo
registro de herramientas de protección de información criptográfica , estamos buscando la clase de protección de información criptográfica KA1. La primera búsqueda fue "Codificador de hardware y software M-543K". Vamos a Google, escribimos "Comprar codificador hardware-software M-543K" - un error. Intentando "comprar" la próxima criptomoneda - nuevamente, fracaso. Simplemente manejamos en "criptomoneda KA1 para comprar" - un fracaso. Solo obtenemos enlaces a otras clases de criptomonedas KS1-KC3 o a foros donde se discute la criptografía. Pero el hecho es que, como ya se mencionó, simplemente no se pueden comprar clases de naves espaciales y naves espaciales SCZI, solo a través de unidades militares especializadas. Todavía no está claro por qué estas criptomonedas se mencionaron generalmente en el documento sobre datos personales. Por lo tanto, en la RDSI ordinaria, es solo el tercer tipo de amenaza.
Con KA y KV resueltos, pero ¿por qué KC3, y no KS2 y KS1? Aquí la segunda condición ya tiene la culpa: el delincuente.
Orden de 378 FSB:
12. La clase de protección de información criptográfica KS3 se usa para neutralizar los ataques, al crear métodos, preparar y conducir que utilizan las capacidades del número que se enumera en los párrafos 10 y 11 de este documento y al menos una de las siguientes características adicionales:
a) acceso físico a la TCC, en la que se implementan CIPF y SF ;
b) la capacidad de localizar los componentes de hardware del sistema de protección de la información criptográfica y el SF, limitado por las medidas implementadas en el sistema de información en el que se utiliza el sistema de protección de la información criptográfica, y dirigido a prevenir y suprimir acciones no autorizadas.
Aquí la lógica es esta:
- herramientas de protección de información criptográfica comunes como, por ejemplo, ViPNet Client o CryptoPRO CSP se implementan en las estaciones de trabajo de los usuarios;
- los usuarios son potenciales infractores;
- Un intruso potencial tiene acceso físico a las instalaciones informáticas en las que se implementa su protección de la información criptográfica y el entorno operativo.
Por lo tanto, es posible justificar una clase más baja de sistemas de protección de información criptográfica que justifique que nuestros usuarios no sean infractores potenciales (difíciles), o usar solo puertas de enlace criptográficas ubicadas en salas de servidores, que, a su vez, son accesibles solo para usuarios privilegiados, a quienes excluimos de la lista de posibles infractores.
Vulnerabilidades
Como recordamos, el modelo de vulnerabilidad debe indicarse en el modelo de amenaza. El modelo descargable del modelo de amenaza aún no tiene esta sección, por lo que describiremos brevemente cómo lidiar con esto.
El compilador del modelo de amenaza debe hacer una pregunta de inmediato: ¿qué debe aplicarse al documento una lista directa de vulnerabilidades identificadas por el escáner? La pregunta es buena y la respuesta no es única. Conocemos colegas que hacen exactamente eso, pero creemos que este enfoque es incorrecto y es por eso.
Primero, el modelo de amenazas a la seguridad de la información es un documento, aunque sujeto a cambios, pero aún más o menos estático. Desarrollado una vez y se olvidó de los cambios significativos de infraestructura en el sistema.
La lista de vulnerabilidades que generan los escáneres es información muy dinámica. Hoy identificamos vulnerabilidades, mañana fueron reparadas y escaneadas nuevamente; recibimos un nuevo informe. Pasado mañana aparecieron nuevas firmas, el escáner se actualizó y encontró nuevas vulnerabilidades, y así sucesivamente en un círculo. ¿Cuál es el punto de aplicar un informe de escáner de vulnerabilidades hecho en el momento en que se desarrolló el modelo de amenaza? Nada
En segundo lugar, se puede crear un modelo de amenaza para un sistema de información físicamente inexistente (diseñado, pero no construido). En este caso, ni siquiera podemos escanear nada.
La salida de esta situación es simple. Especifique en el modelo de amenaza vulnerabilidades no específicas con el identificador CVE y la clasificación CVSS, pero enumere las posibles clases de vulnerabilidad para un sistema de información en particular. Y para dar solidez a esta lista, tomaremos esta lista no de la cabeza, sino de GOST R 56546-2015 "Protección de la información. Vulnerabilidades en los sistemas de información. Clasificación de vulnerabilidades en sistemas de información ". Lista debajo del spoiler. Lo tomamos y eliminamos los innecesarios que no son compatibles con las características estructurales y funcionales de nuestro sistema. ¡La sección está lista!
Clases de vulnerabilidad según GOSTVulnerabilidades de origen:
- vulnerabilidades de código;
- ;
- ;
- .
:
- , ;
- , ;
- , ;
- , ;
- , ( );
- , ;
- , ;
- , , / ;
- , ( );
- , , ;
- , ;
- , ;
- , ;
- , .
():
.
2008
. , – , . , , .
. 213 .
. – , , . – .
. . , , - . , , BIOS/UEFI - , . , , , , -.
, -, , 213 , , , .
– . , - . , , .
.
, – . , .
( Y1) , .
.
, . . – , . «» «» 70% , (Y1 = 5), , – (Y1 = 10).
« ( )». , , , , , , « » – .
, , , , .
— – . , . – , .
, . , - , – SQL- ( - !). « », , . , . , .
«»
, – .
:
:
, . , , « », . , .
– . « » « » — . « ...». – . , « ». .
. , 1, 2 3. , .
« » — .
« » — , , , – , .
– «» « ». – Y2, , .
() , , . :
– (, , , );
– , (, );
— , ;
— .
, :
0 – ;
2 – ;
5 – ;
10 – .
, . . , , , , .
, - . , . , , . - , .
, . , , , , .
:
. – .
« » — «» , (, — «», ). : ; , ; (+, +-, — ).
, (Y2), – .
– Y. Y = (Y1+Y2)/20.
– Y. :
– , . .
– . :
¡Hurra! .