Écrire un modèle de menace

Bonjour à tous, nous continuons notre série d'articles sur la «sécurité du papier». Aujourd'hui, nous allons parler du développement d'un modèle de menace. Si le but de la lecture de cet article est d'acquérir des compétences pratiques, il est préférable de télécharger immédiatement nos modèles de documents , qui contiennent également un modèle de modèle de menace. Mais même sans modèle à disposition, l'article peut également être trouvé à des fins éducatives.

Pourquoi avons-nous besoin d'un modèle de menace?

La nécessité de développer un modèle de menace est régie par un certain nombre de documents réglementaires. En voici quelques uns.

Partie 2 de l'article 19 de la loi n ° 152-FZ «sur les données personnelles»:

2. La sécurité des données personnelles est atteinte, en particulier:

1) la détermination des menaces à la sécurité des données personnelles lors de leur traitement dans les systèmes d'information sur les données personnelles;

Composition et contenu des mesures organisationnelles et techniques pour assurer la sécurité des données personnelles lors de leur traitement dans les systèmes d'information sur les données personnelles (approuvé par arrêté du FSTEC de Russie du 18 février 2013 n ° 21):

4. Des mesures visant à garantir la sécurité des données à caractère personnel sont mises en œuvre, notamment grâce à l'utilisation d'outils de protection des informations dans le système d'information qui ont passé la procédure d'évaluation de la conformité de la manière prescrite, dans les cas où l'utilisation de ces outils est nécessaire pour neutraliser les menaces actuelles à la sécurité des données à caractère personnel.

Exigences pour la protection des informations ne constituant pas des secrets d'État contenus dans les systèmes d'information d'État (approuvées par le FSTEC de Russie en date du 11 février 2013 n ° 17)

Formation d'exigences de sécurité de l'information ... y compris:
...
identification des menaces à la sécurité de l'information , dont la mise en œuvre peut entraîner une violation de la sécurité de l'information dans le système d'information, et élaboration sur leur base d'un modèle de menaces à la sécurité de l'information;
...

Exigences pour la protection des informations dans les systèmes de contrôle automatisés pour la production et les processus technologiques dans les installations critiques, les installations potentiellement dangereuses, ainsi que les installations qui présentent un danger accru pour la vie et la santé humaines et l'environnement (approuvées par arrêté du FSTEC de Russie du 14 mars 2014 n ° 31):

Formation d'exigences pour la sécurité de l'information dans un système de contrôle automatisé ... comprenant:
...
identification des menaces à la sécurité de l'information, dont la mise en œuvre peut entraîner une violation du fonctionnement normal du système de contrôle automatisé et élaboration d' un modèle de menaces à la sécurité de l'information sur leur base;

Exigences pour assurer la sécurité des objets importants de l'infrastructure d'information critique de la Fédération de Russie (approuvé par arrêté du FSTEC de Russie du 25 décembre 2017 n ° 239):

11. L'élaboration de mesures organisationnelles et techniques pour assurer la sécurité d'un objet significatif est effectuée par le sujet de l'infrastructure d'information critique ... et devrait comprendre:

a) analyse des menaces à la sécurité de l'information et élaboration d'un modèle de menaces à la sécurité de l'information ou à son perfectionnement (le cas échéant);

La conclusion est donc simple: pour tout système d'information devant être protégé d'une manière ou d'une autre conformément à la loi, il est nécessaire de développer un modèle de menace.

Contenu du modèle de menace

Nous avons compris la nécessité de créer un document, voyons ce que la législation prescrit pour son contenu. Ici, curieusement, tout est plutôt rare.

Comme exemple de manuel décrivant le contenu d'un modèle de menace, nous pouvons citer 17 ordres du FSTEC:

Le modèle des menaces à la sécurité de l'information doit contenir une description du système d'information et de ses caractéristiques structurelles et fonctionnelles, ainsi qu'une description des menaces à la sécurité de l'information, y compris une description des capacités des contrevenants (modèle du contrevenant), les vulnérabilités possibles du système d'information, les moyens de mettre en œuvre les menaces à la sécurité de l'information et les conséquences de la violation des propriétés de sécurité de l'information.

Vous n'y croirez pas, mais c'est tout. Mais d'un autre côté, bien qu'il n'y ait pas beaucoup de texte, il est assez informatif. Relisons et notons ce qui devrait figurer dans notre modèle de menace:

• description du système d'information;
• caractéristiques structurelles et fonctionnelles;
• Description des menaces de sécurité
• modèle d'intrus;
• vulnérabilités possibles;
• les moyens de mettre en œuvre les menaces;
• conséquences de la violation des propriétés de sécurité de l'information.

C'est en vertu de la loi, qui exige FSTEC. Il y a aussi des exigences supplémentaires du FSB (à leur sujet un peu plus tard) et quelques exigences non officielles-souhaits du FSTEC, que nous avons rencontrées dans le processus de coordination des modèles de menace des systèmes d'information de l'État.

Partie introductive du modèle de menace

Eh bien, passons au contenu du document.

Je pense à la page de titre, à une liste d'abréviations, de termes et de définitions, tout est clair. Bien que, peut-être, il soit utile de développer ... soudain la page de titre.

Dans le modèle, il est signé par le chef du propriétaire du système d'information. Ce n'est pas seulement ça.

Décret du gouvernement de la Fédération de Russie du 11 mai 2017 N ° 555:

4. Les termes de référence pour la création du système et le modèle des menaces à la sécurité de l'information sont approuvés par le fonctionnaire de l'autorité exécutive, qui est investi des pouvoirs correspondants.

Naturellement, si le système d'information n'appartient pas à l'État et que l'opérateur du système n'est pas une autorité exécutive, n'importe qui peut signer un modèle de menace. C'est juste que nous avons été confrontés à plusieurs reprises lorsque, sous réserve des conditions ci-dessus (système d'information de l'État de l'autorité exécutive), le client nous a demandé de modifier la page de titre afin que seuls les représentants de la société agréée (c'est-à-dire la nôtre) y signent. J'ai dû expliquer pourquoi le FSTEC retournerait un tel modèle de menaces pour révision.

Section "Support normatif et méthodologique"

Ici, je voudrais rappeler que le modèle de menace peut être développé pour des systèmes très différents - du RNIS au KII. Par conséquent, la liste des documents réglementaires peut varier. Par exemple, si nous développons un modèle de menace pour les systèmes de contrôle de processus automatisés, les ordres 21 et 17 du FSTEC devraient être supprimés du modèle et le 31 devrait être ajouté.

Les documents marqués de l'abréviation «SKZI» sont des documents réglementaires du FSB régissant la manipulation des outils de chiffrement. Si les crypto-monnaies ne sont pas utilisées dans le système d'information (c'est maintenant une rareté, mais quand même), alors ces documents réglementaires devraient être supprimés de la liste.

Une erreur courante ici est l'ajout de divers GOST et d'autres documents réglementaires (ils aiment entrer STR-K ici beaucoup), qui n'ont rien à voir avec la modélisation des menaces. Ou des documents annulés. Par exemple, souvent dans les modèles de menace, on peut trouver dans la liste des documents réglementaires les FSB dits «Recommandations méthodologiques ...» et «Exigences typiques ...» qui ne sont plus pertinentes depuis longtemps.

Dispositions générales

Ici, le modèle présente de l'eau standard - pourquoi avons-nous besoin d'un modèle de menace, etc. Ce sur quoi nous devons nous concentrer ici est un commentaire sur le type d'information considéré. Par défaut, l'option la plus courante est présentée dans le modèle - données personnelles (PD). Mais le système peut ne pas contenir de données personnelles, mais il peut y avoir d'autres informations confidentielles (CI), et les informations peuvent ne pas être confidentielles, mais protégées (CI) selon d'autres caractéristiques - l'intégrité et l'accessibilité.

Description du système d'information

Ici vous pouvez trouver des informations générales sur le système d'information - où il se trouve, comme on l'appelle, quelles données et quelle classe (niveau de sécurité, catégorie) sont traitées. Ici, bien sûr, beaucoup s'intéressent à la façon dont il est nécessaire de décrire le système d'information.

Au cours des approbations multiples des modèles de menace pour les systèmes d'information de l'État, nous avons développé une solution à ce sujet - il doit y avoir un terrain d'entente. Il ne doit pas s'agir d'une copie copiée du passeport technique indiquant les numéros de série de l'équipement technique. Mais d'un autre côté, une personne qui n'est pas familière avec le système, qui a lu sa description dans le modèle de menace, devrait à peu près comprendre comment ce système fonctionne.

Un exemple:

La partie serveur du système d'information Nipel est un cluster de serveurs physiques sur lequel l'hyperviseur ESXi 6.x est déployé. La partie serveur des principaux services du système d'information est fournie par des serveurs virtuels (noms de serveurs) sous le contrôle des systèmes d'exploitation (liste OS). Le logiciel principal qui met en œuvre les processus de traitement est (nom du logiciel). Le logiciel d'application est une application client-serveur. La partie client fonctionne comme un client lourd sur les postes de travail des utilisateurs exécutant des systèmes d'exploitation (liste OS). Les utilisateurs ont accès au système d'information, à la fois depuis le réseau local et via Internet en utilisant des canaux de communication sécurisés. En général, le système d'information fonctionne comme indiqué sur le schéma.

Le schéma fonctionnel (non topologique!) Du système d'information est appliqué.

Voilà à quoi il ressemble habituellement. Le style et d'autres détails, bien sûr, peuvent être très différents, l'essentiel est l'information qui peut être tirée de la description.

Il y a également une section «Sécurité des locaux». Nous décrivons ici comment les locaux sont protégés pendant les heures de travail et les heures non travaillées - vidéosurveillance, ACS, gardien de sécurité, gardien, alarme et c'est tout.

Les sections du FSB «Déterminer la pertinence de l'utilisation de la protection des informations cryptographiques pour garantir la sécurité des données personnelles» et «Objets de protection supplémentaires» sont également incluses dans le modèle de modèle de menace. Si la cryptographie n'est pas utilisée, ces sections sont simplement supprimées, si elles sont utilisées, il n'y a rien de spécial à changer, en général, et vous n'avez pas besoin d'entrer le nom du système d'information.

La section "Principes du modèle de menace" ne peut pas non plus être modifiée. Notez simplement qu'il existe une option pour les cas où des crypto-monnaies sont utilisées dans le système, et dans le cas contraire. Choisissez celui dont vous avez besoin et continuez.

Modèle d'intrus

Ici, vous pouvez diviser cette partie en classique et en nouvelle. Le classique est celui où les contrevenants potentiels des catégories 1, 2 et au-delà sont décrits. En fait, cette partie du modèle d'intrus n'est laissée dans le modèle que parce que les régulateurs l'aiment quand il l'est. La valeur pratique est représentée par la section «Violateurs selon la banque de données des menaces du FSTEC de Russie».

Cette section a une valeur pratique car les menaces elles-mêmes provenant de la banque de données sur les menaces du FSTEC (ci-après dénommée EDR) sont liées à des contrevenants à potentiel faible, moyen et élevé. La section elle-même est un copier-coller des descriptions des caractéristiques des contrevenants à potentiel faible, moyen et élevé. Ce qui suit est la conclusion de notre méthode "d'expert" préférée - quel délinquant nous concerne. Autrement dit, le compilateur sélectionne l'intrus «à l'œil nu», car il n'existe tout simplement aucune méthode pour choisir le délinquant.
Nous ne donnerons pas ces descriptions dans leur intégralité ici, nous essaierons de formuler brièvement en quoi les potentiels des contrevenants diffèrent. En plus de différencier le potentiel, les contrevenants sont toujours externes et internes.

Le hacker le plus talentueux du monde qui utilise parfaitement les outils existants et peut créer ses propres outils est soudainement un intrus à faible potentiel. Un intrus avec les mêmes capacités, mais ayant des informations privilégiées sur le système est déjà un potentiel moyen. La phrase principale qui distingue le potentiel moyen du faible: "Ils ont accès à des informations sur les caractéristiques structurelles et fonctionnelles et les caractéristiques du fonctionnement du système d'information." Ici, vous devez réfléchir soigneusement à la probabilité de fuite de ces informations. En bref, les délinquants à fort potentiel sont principalement des agences de renseignement. Ici, nous avons la possibilité d'attirer des organisations scientifiques spécialisées et d'obtenir des informations dans des domaines physiques, et c'est tout.

Dans des situations réalistes, le potentiel de l'intrus est faible ou moyen.

Rubriques "FSB"

Viennent ensuite les sections «Capacités généralisées des sources d'attaque» et «Mise en œuvre des menaces à la sécurité de l'information identifiées par les capacités des sources d'attaque». Ces sections ne sont pas nécessaires si les crypto-monnaies ne sont pas utilisées. S'ils sont encore utilisés, les données initiales, et généralement les tableaux de ces sections, n'ont pas besoin d'être inventés, ils sont extraits du document normatif du FSB «Recommandations méthodologiques pour l'élaboration d'actes juridiques réglementaires qui déterminent les menaces à la sécurité des données personnelles pertinentes pour le traitement des données personnelles dans les informations systèmes de données personnelles exploités dans le cadre de leurs activités respectives »(approuvé par la direction du 8e Centre du Service fédéral de sécurité de Russie le 31 mars 2015, n ° 149/7/2 / 6-432).

Notre vérité dans le modèle, le résultat est quelque peu différent de la valeur par défaut, donnée dans le document FSB susmentionné.

Le but ultime de ces sections est d'établir une classe de moyens de protection des informations cryptographiques (CPSI), qui peuvent être utilisées dans le système considéré. Cette classe dépend directement des capacités du contrevenant et est définie conformément à l'ordre 378 du FSB (pour les données personnelles, mais pour d'autres types d'informations, il n'y a tout simplement pas de telles exigences).

La classe de crypto-monnaies la plus couramment applicable est KC3. Voyons maintenant pourquoi.

En général, dans le document «Composition et contenu des mesures organisationnelles et techniques visant à garantir la sécurité des données personnelles lorsqu'elles sont traitées dans des systèmes d'information sur les données personnelles utilisant des moyens de protection des informations cryptographiques nécessaires pour satisfaire aux exigences de protection des données personnelles établies par le gouvernement de la Fédération de Russie pour chacun des niveaux de sécurité» ( approuvé par ordonnance du Service fédéral de sécurité de la Russie du 10 juillet 2014 n ° 378), la classe de protection des informations cryptographiques pour le système en question est établie, d'une part, sur la base de et les menaces, et d'autre part sur la base des contrefacteurs possibles.

Nous ne nous attarderons pas sur les types de menaces en détail, il y a beaucoup d'informations sur Internet. Laissez-nous insister sur le fait qu'il existe 3 types de menaces et par crochet ou par escroc, si vous prévoyez d'utiliser la cryptographie, vous devez faire le 3ème type de menace (menaces non pertinentes associées aux capacités non déclarées dans les applications et les logiciels à l'échelle du système). Pourquoi?

Parce que la commande 378 FSB:

• CPS classe KA dans les cas où les menaces de type 1 sont pertinentes pour le système d'information;
• CIPF de classe KV et plus dans les cas où les menaces de type 2 sont pertinentes pour le système d'information;
• CIPF de classe KS1 et plus dans les cas où les menaces de type 3 sont pertinentes pour le système d'information.

Cela semble clair, mais quel est le problème? Le problème est que vous ne pouvez pas acheter des CPS des classes KA1, KV1 et KV2 comme ça, même si vous avez beaucoup d'argent qu'ils coûtent.

Nous allons mener une petite «enquête». Téléchargez le nouveau registre des outils de protection des informations cryptographiques , nous recherchons la classe de protection des informations cryptographiques KA1. La première recherche est tombée sur "Encodeur matériel-logiciel M-543K." Nous allons à Google, nous écrivons "Acheter l'encodeur matériel-logiciel M-543K" - un échec. Essayer «d'acheter» la prochaine crypto-monnaie - encore une fois, échec. Nous conduisons simplement dans «la crypto-monnaie KA1 pour acheter» - un échec. Nous obtenons uniquement des liens vers d'autres classes de crypto-monnaie KS1-KC3 ou vers des forums où la cryptographie est discutée. Mais le fait est que, comme déjà mentionné, vous ne pouvez tout simplement pas acheter des classes d'engins spatiaux et d'engins spatiaux SCZI, uniquement par le biais d'unités militaires spécialisées. La raison pour laquelle ces crypto-monnaies étaient généralement mentionnées dans le document sur les données personnelles n'est toujours pas claire. Par conséquent, dans le RNIS ordinaire, ce n'est que le troisième type de menace.

Avec KA et KV compris, mais pourquoi KC3, et non KS2 et KS1? Ici, la deuxième condition est déjà à blâmer - le délinquant.

378 Ordonnance du FSB:

12. La classe de protection des informations cryptographiques KS3 est utilisée pour neutraliser les attaques, lors de la création de méthodes, de la préparation et de la conduite qui utilisent les capacités du nombre indiqué aux paragraphes 10 et 11 du présent document et d'au moins une des fonctionnalités supplémentaires suivantes:

a) l'accès physique au CBT, sur lequel le CIPF et le SF sont mis en œuvre ;
b) la capacité de localiser les composants matériels du système de protection des informations cryptographiques et du SF, limitée par les mesures mises en œuvre dans le système d'information dans lequel le système de protection des informations cryptographiques est utilisé, et visant à prévenir et à supprimer les actions non autorisées.

Ici, la logique est la suivante:

• des outils de protection des informations cryptographiques courants tels que, par exemple, ViPNet Client ou CryptoPRO CSP sont mis en œuvre sur les postes de travail des utilisateurs;
• les utilisateurs sont des contrevenants potentiels;
• un intrus potentiel a un accès physique aux installations informatiques sur lesquelles sa protection des informations cryptographiques et son environnement d'exploitation sont mis en œuvre.

Ainsi, il est possible de justifier une classe inférieure de systèmes de protection des informations cryptographiques uniquement en démontrant que nos utilisateurs ne sont pas des contrevenants potentiels (difficile), ou en utilisant uniquement des passerelles cryptographiques situées dans des salles de serveurs, qui, à leur tour, ne sont accessibles qu'aux utilisateurs privilégiés, que nous avons exclus de la liste des contrevenants potentiels.

Vulnérabilités

Comme nous nous en souvenons, le modèle de vulnérabilité devrait être indiqué dans le modèle de menace. Le modèle téléchargeable du modèle de menace n'a pas encore cette section, nous allons donc décrire brièvement comment y faire face.

Le compilateur du modèle de menace doit immédiatement poser une question: que faut-il appliquer au document une liste directe des vulnérabilités identifiées par le scanner? La question est bonne et la réponse n'est pas unique. Nous connaissons des collègues qui font exactement cela, mais nous pensons que cette approche est fausse et c'est pourquoi.

Premièrement, le modèle des menaces à la sécurité de l'information est un document, bien que sujet à changement, mais toujours plus ou moins statique. Développé une fois et a oublié d'importants changements d'infrastructure dans le système.

La liste des vulnérabilités générées par les scanners est une information très dynamique. Aujourd'hui, nous avons identifié des vulnérabilités, demain elles ont été corrigées et analysées à nouveau - nous avons reçu un nouveau rapport. Après-demain, de nouvelles signatures sont apparues, le scanner a été mis à jour et a trouvé de nouvelles vulnérabilités, et ainsi de suite en cercle. Quel est l'intérêt d'appliquer un rapport de scanner de vulnérabilité réalisé au moment du développement du modèle de menace? Rien.

Deuxièmement, un modèle de menace peut être créé pour un système d'information physiquement inexistant (conçu, mais non construit). Dans ce cas, nous ne pouvons même pas numériser quoi que ce soit.

La sortie de cette situation est simple. Spécifiez dans le modèle de menace des vulnérabilités non spécifiques avec l'identifiant CVE et la notation CVSS, mais répertoriez les classes de vulnérabilité possibles pour un système d'information particulier. Et pour donner de la solidité à cette liste, nous prendrons cette liste non pas de la tête, mais de GOST R 56546-2015 «Protection de l'information. Vulnérabilités dans les systèmes d'information. Classification des vulnérabilités des systèmes d'information. " Liste sous le spoiler. Nous le prenons et supprimons ceux qui ne sont pas compatibles avec les caractéristiques structurelles et fonctionnelles de notre système. La section est prête!

Modèle de menace pour la sécurité privée

Et ce n'est qu'ici que nous procédons directement à l'identification des menaces actuelles.
La méthodologie pour déterminer les menaces actuelles du FSTEC en 2008 est un peu fessée, et nous avons déjà écrit à ce sujet ici . Mais il n'y a rien à faire, comme indiqué dans le même article - c'est-à-dire avec lequel nous travaillons. Voyons ce que nous devons faire exactement pour obtenir une liste des menaces actuelles.

De nouveaux documents du FSTEC prescrivent l'utilisation d'un NDU comme source de menaces pour la sécurité de l'information. Maintenant, il y a 213 menaces et la liste peut être reconstituée.

Ici, j'aimerais tout de suite parler des avantages et des inconvénients des EDR. Un avantage certain est qu'il n'est désormais plus nécessaire d'élaborer et de formuler des menaces par vous-même, bien que le fait de compléter le modèle de menace par vos propres menaces n'interdise également rien. Un autre avantage est le potentiel enregistré du contrevenant et certaines caractéristiques de sécurité des informations violées pour chaque menace - vous n'avez rien à inventer.

Inconvénients Le premier inconvénient est la capacité terriblement maigre de trier les menaces. Lorsque vous commencez à créer un modèle de menace à l'aide d'une NLD, le désir naturel est d'éliminer les menaces qui peuvent ne pas être pertinentes dans votre système en fonction des caractéristiques structurelles et fonctionnelles. Par exemple, supprimez les menaces pour les conteneurs virtuels et les hyperviseurs, car le système n'utilise pas la virtualisation ou sélectionne les menaces pour le BIOS / UEFI pour une raison quelconque, mais il n'y a pas une telle possibilité. Sans parler du fait que dans l'EDR, il existe un certain nombre de menaces assez exotiques associées, par exemple, aux superordinateurs ou aux réseaux.

Étant donné que nous, en tant qu'organisation titulaire de licence, développons de nombreux modèles de menaces pour différents systèmes, nous avons dû regrouper manuellement 213 menaces, sinon le travail est très difficile, d'autant plus que les menaces ne sont même pas regroupées de quelque manière que ce soit.

Le deuxième inconvénient est une description des menaces elles-mêmes. Non, quelque part, tout est clair et compréhensible. Mais parfois, une menace est formulée de sorte que vous devez vous casser la tête afin de comprendre de quoi il s'agit.

Revenons à la définition de la liste des menaces réelles.

Niveau de sécurité initial

La première chose à déterminer est un paramètre global - le niveau de sécurité initial. Il est mondial car il est déterminé une fois et ne change pas de menace en menace.

Pour déterminer le niveau de sécurité initial (il s'agit du facteur de sécurité initial Y1), vous devez sélectionner l'une des valeurs qui convient le mieux à votre système pour sept indicateurs.

Liste des fonctionnalités sous le spoiler.



Chaque valeur correspond à un niveau de sécurité élevé, moyen ou faible. Nous considérons quel pourcentage nous avons obtenu pour des indicateurs avec des valeurs différentes. À propos du niveau élevé de sécurité initiale - oubliez que cela ne se produit pas. Si «élevé» et «moyen» ont obtenu 70% et plus, nous déterminons alors le niveau moyen de sécurité initiale (Y1 = 5), sinon, faible (Y1 = 10).

Danger de menaces

Cette section du modèle est intitulée «Détermination des conséquences de la violation des propriétés de sécurité des informations (danger de menaces)». Ils l'ont appelé ainsi parce que, essentiellement, par définition du danger des menaces, il s'agit d'une définition des conséquences, mais lorsqu'ils approuvent un modèle de menace, les inspecteurs peuvent ne pas faire ce parallèle, et puisque la "définition des conséquences" devrait figurer dans le modèle de menace, ils écrivent un commentaire.

Ainsi, le danger des menaces peut être faible, moyen ou élevé, selon que des conséquences négatives mineures, simplement négatives ou négatives significatives se produisent lorsque la menace est réalisée, respectivement.

Les experts ici se demandent souvent si le danger des menaces doit être déterminé une fois et être constant pour toutes les menaces - ou non. Ceci n'est pas spécifié par la méthodologie, donc c'est possible et ainsi de suite. Notre approche est intermédiaire - nous déterminons le danger des menaces en fonction de la violation de la confidentialité, de l'intégrité ou de la disponibilité lors de la mise en œuvre d'une menace spécifique.

Selon notre logique, les conséquences négatives ne dépendent pas de la méthode de violation de la confidentialité, de l'intégrité et de l'accessibilité. Par exemple, si vos données personnelles sont transférées dans une sorte de base de données, cela ne vous importera probablement pas comment cela s'est produit - à l'aide de l'injection SQL ou de l'accès physique de l'intrus au serveur (l'intérêt professionnel du responsable de la sécurité ne compte pas!). Par conséquent, nous définissons pour ainsi dire trois «menaces de danger» pour violation de la confidentialité, de l'intégrité et de l'accessibilité. Souvent, elles peuvent coïncider, mais il vaut mieux analyser séparément dans le modèle de menace. Heureusement, dans le NOS pour chaque menace, les caractéristiques violées sont également enregistrées.

Élimination des menaces "inutiles"

De plus, afin de supprimer immédiatement les menaces inutiles, nous faisons une plaque avec une liste des menaces exclues et une justification - pourquoi nous les jetons.

Le modèle montre à titre d'exemple:

• élimination des menaces associées aux systèmes de grille, aux superordinateurs et aux mégadonnées;
• élimination des menaces liées à la virtualisation;
• élimination des menaces associées à l'utilisation des réseaux de communication sans fil;
• élimination des menaces associées à l'utilisation des services cloud;
• élimination des menaces pesant sur le SCI;
• élimination des menaces associées à l'utilisation d'appareils mobiles;
• élimination des menaces dont la mise en œuvre n'est possible que par un intrus à fort potentiel.

Sur le dernier point, vous devez clarifier quelques points:

• si vous avez identifié un intrus à faible potentiel, les menaces pouvant être mises en œuvre par des contrevenants à potentiel moyen et élevé sont exclues ici;
• , ;
• , .

Voici un tableau décrivant les menaces qui n'ont pas été exclues. Oui, il vous suffit ici de copier-coller le texte de l'EDR, car le modèle de menace doit avoir une «description des menaces», il ne fonctionnera pas avec des identificateurs. Voyons ce que nous avons dans ce tableau.

Le numéro dans l'ordre et l'identifiant de menace de l'EDR - tout est clair ici. Les colonnes «description de la menace» et «méthode de mise en œuvre de la menace» sont un bloc de texte du NOS. Dans la première colonne, nous insérons le texte avant les mots "La réalisation de la menace est possible ...". Dans le second - tout le reste. La séparation est à nouveau liée à l'exigence des documents réglementaires que les «méthodes de mise en œuvre des menaces» soient décrites dans le modèle de menace. Une fois convenu, cela permettra d'éviter des questions inutiles.



Les colonnes du tableau suivantes sont les potentiels des intrus internes et externes. Afin de rendre le tableau plus compact et de donner plus d'espace aux blocs de texte, nous avons précédemment mappé les potentiels haut, moyen et bas aux nombres 1, 2 et 3, respectivement. Si le potentiel n'est pas spécifié dans l'EDR, mettez un tiret.

Colonne «Impacts» - nous prenons également les données de l'unité de contrôle.

La colonne «Propriétés perturbées» - K, C et D, confidentialité, intégrité et accessibilité - a été remplacée par des lettres aux mêmes fins que dans le cas des contrevenants.

Et les dernières colonnes sont «Prérequis» et «Justification de l'absence de prérequis». Le premier est le début de la détermination du coefficient Y2, c'est aussi la probabilité de la menace, qui à son tour est déterminée par la présence de conditions préalables à la réalisation de la menace et à l'adoption de mesures pour neutraliser la menace.



Il est important de dire ici que la dernière colonne est purement notre initiative et n'est pas prévue par la loi. Par conséquent, vous pouvez le retirer en toute sécurité. Mais nous considérons qu'il est important que si un spécialiste élimine davantage les menaces, car il n'y a pas de conditions préalables à leur mise en œuvre, il est important qu'il explique pourquoi il en a décidé ainsi.

Ce point est également lié au fait que nous sommes ici en quelque sorte en train de nous éloigner de la technique de modélisation des menaces. Selon la méthodologie pour les menaces qui n'ont pas de prérequis, il est nécessaire de calculer plus avant leur pertinence. Et dans certains cas, des menaces qui n'ont pas de conditions préalables peuvent devenir pertinentes. Nous considérons qu'il s'agit d'un défaut dans la législation et de la table finale, nous excluons les menaces qui n'ont pas de conditions préalables.

Liste des menaces actuelles

Plus précisément, le dernier tableau est une liste des menaces actuelles et non pertinentes et un ensemble de paramètres restants pour déterminer leur pertinence. Il n'y a déjà aucune menace pour laquelle il n'y a pas de conditions préalables, mais parmi les menaces restantes, sur la base du calcul des coefficients, certaines menaces peuvent être considérées comme non pertinentes.

Dans le dernier tableau, nous n'avons délibérément pas inclus certains paramètres:

• Y1 - ce paramètre est global, alors gardez-le à l'esprit;
• prérequis - dans le tableau final, nous n'avons que des menaces qui ont des prérequis, donc cela n'a aucun sens dans cette colonne.

Passons brièvement en revue les colonnes. Le nombre en ordre et la menace ne se présentent que sous la forme d'un identifiant - tout est clair ici.

«Mesures prises» - par «expert» signifie que nous déterminons si des mesures ont été prises pour neutraliser cette menace (au fait, une autre astuce de la méthode est que si les mesures sont «prises», la menace peut toujours rester pertinente). Il peut y avoir trois options: acceptée; acceptée mais insuffisante; non accepté (+, + -, - respectivement).

Sur la base des mesures prises et en tenant compte de l'existence de conditions préalables à la menace, le coefficient de probabilité (Y2) est déterminé, comment le déterminer est plus élevé sous le spoiler.

La colonne suivante est le coefficient de réalisation de la menace Y. Il est calculé à l'aide de la formule simple Y = (Y1 + Y2) / 20.

La possibilité de mise en œuvre est un analogue verbal du coefficient Y. Il est déterminé en fonction de la valeur numérique comme suit:



Danger - ci-dessus, nous avons déterminé le danger d'une menace en fonction des biens de sécurité violés. Ici, nous saisissons déjà la valeur nécessaire du danger en fonction des caractéristiques de sécurité que cette menace particulière viole.

Eh bien, le dernier est la pertinence de la menace. Elle est déterminée par le tableau:



Hourra! Notre modèle de menace est prêt.