Документ описывает модель нарушителя безопасности информации, представленную Сергеем Борисовым, которая включает применение криптографических средств защиты персональных данных. Упоминаются нормативные документы, включая приказ ФСБ России, определяющие организационные и технические меры безопасности при обработке персональных данных. Также рассматриваются возможности проведения атак и подготовка к ним, включая внутренние и внешние угрозы.

1. Модель нарушителя
безопасности информации

2. Докладчик
Сергей Борисов
Блогер по ИБ
Заместитель генерального директора по ИБ,
ООО Информационные системы и аутсорсинг
ГК РосИнтеграция
https://sborisov.blogspot.ru/
s.borisov@krasnodar.pro
Модель нарушителя

3. Приказ ФСБ России от 10.07.2014 № 378
9. …необходимо для каждого из уровней защищенности персональных
данных применение СКЗИ соответствующего класса, позволяющих
обеспечивать безопасность персональных данных при реализации
целенаправленных действий с использованием аппаратных и (или)
программных средств с целью нарушения безопасности защищаемых
СКЗИ персональных данных или создания условий для этого (далее -
атака), которое достигается путем:
а) получения исходных данных для формирования совокупности
предположений о возможностях, которые могут использоваться при
создании способов, подготовке и проведении атак;
б) формирования и утверждения руководителем оператора
совокупности предположений о возможностях, которые могут
использоваться при создании способов, подготовке и проведении атак, и
определение на этой основе и с учетом типа актуальных угроз требуемого
класса СКЗИ
Модель нарушителя

4. Нормативно-методические документы
в части моделирования нарушителя
1) Приказ ФСБ от 10 июля 2014 года № 378 «Об утверждении состава и содержания
организационных и технических мер по обеспечению безопасности персональных данных при их
обработке в информационных системах персональных данных с использованием средств
криптографической защиты информации, необходимых для выполнения установленных
Правительством Российской Федерации требований к защите персональных данных для каждого из
уровней защищенности»
2) «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы
безопасности персональных данных, актуальные при обработке персональных данных в
информационных системах персональных данных, эксплуатируемых при осуществлении
соответствующих видов деятельности», утвержденные руководством 8 Центра ФСБ России (№
149/7/2/6-432 от 31.03.2015)
3) Банк данных угроз безопасности информации ФСТЭК России
4) Методика определения актуальных угроз безопасности персональных данных при их обработке в
информационных системах персональных данных. ФСТЭК России, 2008 год
Модель нарушителя

5. Приказ ФСБ № 378
Возможности для
подготовки и
проведения атак
Возможны ли
атаки извне или внутри
контролируемой зоны?
На какие
объекты?
Какие компоненты
может использовать
нарушитель?
Какие каналы
связи могут
использоваться?
Возможны ли
атаки из сети
Интернет?
Модель нарушителя

6. Приказ ФСБ № 378
Возможности для
подготовки и
проведения атак
К каким компонентам
возможен физический
доступ нарушителя ?
Каких экспертов
может привлечь
нарушитель к
проведению атаки?
Какая информация
об ИС и системе
защиты доступна
нарушителю?
На каких этапах
эксплуатации?
Модель нарушителя

7. Методические рекомендации ФСБ
России по моделированию угроз
Моделирование
угроз
Описание ИС
Меры защиты каналов
связи
Меры разграничения
доступа в помещения
Объекты защиты
Классификация и
характеристики
нарушителей
Источники
атак
Модель нарушителя

8. Методические рекомендации ФСБ
России по моделированию угроз
Как описывать
источники атак
Имеют право доступа в
контролируемую зону?
Имеют возможность
доступа к объектам
защиты?
Кого мы можем
исключить из числа
потенциальных
нарушителей?
Какие обобщенные
возможности могут
быть у нарушителей?
Какие возможности
нарушителей нейтрализуются
принятыми мерами защиты
Модель нарушителя

9. БДУ ФСТЭК России
Источник
угрозы безопасности
информации
Внутренний или
внешний нарушитель
Низкий, средний или
высокий потенциал?
Модель нарушителя

10. Моделирование нарушителя Модель нарушителя

11. В документах есть примеры Модель нарушителя

12. Моделирование нарушителя Модель нарушителя
Поможет быстро и легко смоделировать нарушителя
безопасности информации

13. Вопросы
https://sborisov.blogspot.ru/
https://twitter.com/sb0risov
s.borisov@krasnodar.pro
Модель нарушителя