Материал: Приклад побудови моделі порушника
На даний час, на жаль, в Україні не існує затвердженої методики побудови моделі порушника та моделі загроз.
Я надаю приклад, як це можна зробити. Якщо хтось з вас зробить інакше, ніякої проблеми немає. Один момент: модель порушника має допомогти зрозуміти – атака по конкретному каналу ймовірна чи ні, і яка ступінь ймовірності.
І ще: Модель – це ОПИС ситуації, явища та інше.
Нижче приведений словесний опис. В більшості випадків так і діють.
Прикладом елементарного математичного опису є формула оцінки мотивації порушника:
Де D – загальна вартість затрат атакуючого на атаку.
g – його вигода, прибуток, який він отримує в результаті атаки.
Наприклад, порушник зняв базу даних і продав її за 10000 грн.
А затрати на атаку – 9000 грн.
Ймовірність атаки – 0,1 (атакуючий фактично нічого не заробляє).
Я рекомендую вам в ЛБ зробити по нижче вказаній моделі (вона не повна, так як я даю вам можливість її завершити).
1.1. Модель зовнішнього порушника.
№ з/п |
Тип порушника |
Ймовірність наявності даного типа порушника для організації «Медсервис» (наприклад) |
Потенціал порушника |
Мотивація порушника |
Узагальнені можливості порушника
|
|
Спеціальні служби іноземних держав
|
Низька |
Високий |
Завдання збитків державі, медичній сфері через отримання інформації про стан здоров’я VIP-персон з подальшим використанням для інформаційної агресії проти держави. |
Можливість самостійно створювати методи нападу, готувати та проводити атаки в контрольованій зоні з фізичним доступом до обладнання Можливість залучення професіоналів із досвідом розробки та аналізу інтегрованих систем захисту інформації (включаючи фахівців у галузі аналізу лінійних сигналів передачі та компрометації електромагнітних випромінювань та індукцій) Можливість залучення фахівців з досвідом розробки та аналізу інтегрованих систем захисту інформації (включаючи фахівців у галузі використання незадокументованих можливостей прикладного програмного забезпечення для здійснення атак); Можливість залучення фахівців із досвідом розробки та аналізу інтегрованих систем захисту інформації (включаючи фахівців у галузі використання незадокументованих можливостей апаратних та програмних компонентів для функціонування систем захисту для здійснення атак);
|
|
Терористичні, екстремістські угруповання |
Низька |
середній |
Завдання збитків державі, окремим його сферам діяльності або секторам економіки. Вчинення терористичних актів. Ідеологічні або політичні мотиви. |
Можливість самостійно здійснювати створення методів атаки, підготовку та проведення атак поза контрольованою зоною та у контрольованій зоні, але без фізичного доступу до обладнання. Можливість залучення професіоналів із досвідом розробки та аналізу інтегрованих систем захисту інформації (включаючи фахівців у галузі аналізу лінійних сигналів передачі та компрометації електромагнітних випромінювань та індукцій)
|
|
Злочинні групи (кримінальні структури) |
Висока |
низький |
Отримання інформації про стан здоров’я VIP-персон з подальшим використанням для злочинних дій (шантаж, дискредитація тощо) |
Здатність самостійно здійснювати створення методів нападу, підготовку та проведення атак лише за межами контрольованої зони (віддалені атаки через мережу з використанням доступних шкідливих програмних продуктів або злочинних сервісів)
|
|
Конкуруючі організації |
Висока |
середній |
Дискредитація медичної установи, Отримання інформації про стан здоров’я VIP-персон з подальшим використанням для переманювання |
Можливість самостійно здійснювати створення методів атаки, підготовку та проведення атак поза контрольованою зоною та у контрольованій зоні, але без фізичного доступу до обладнання. Можливість залучення професіоналів із досвідом розробки та аналізу інтегрованих систем захисту інформації (включаючи фахівців у галузі аналізу лінійних сигналів передачі та компрометації електромагнітних випромінювань та індукцій)
|
|
Розробники, виробники, постачальники програмних, технічних та програмно-технічних засобів |
Висока |
середній |
Заподіяння майнової шкоди шляхом обману або зловживання довірою. Ненавмисні, необережні або некваліфіковані дії |
Здатність впровадження додаткових функціональних можливостей в програмне забезпечення або програмно-технічні засоби на етапі розробки. |
|
Зовнішні суб'єкти (фізичні особи) |
Висока |
низький |
Ідеологічні або політичні мотиви. Заподіяння майнової шкоди шляхом шахрайства або іншим злочинним шляхом. Цікавість або бажання самореалізації (підтвердження статусу). Виявлення вразливостей з метою їх подальшого продажу і отримання фінансової вигоди |
Мають можливість отримати інформацію про уразливість інформаційної системи, яка опублікована в загальнодоступних джерелах. Здатність самостійно здійснювати створення методів нападу, підготовку та проведення атак лише за межами контрольованої зони (віддалені атаки через мережу з використанням доступних шкідливих програмних продуктів або злочинних сервісів)
|
|
Колишні працівники |
середня |
|
Дискредитація медичної установи внаслідок внутрішніх або зовнішніх мотивів. Отримання конфіденційної інформації для подальшого продажу. |
Знають інформаційну структуру та порядок захисту інформаційних ресурсів в організації. Здатність самостійно здійснювати створення методів нападу, підготовку та проведення атак лише за межами контрольованої зони (віддалені атаки через мережу з використанням доступних шкідливих програмних продуктів або злочинних сервісів)
|
|
Клієнти |
висока |
|
Дискредитація медичної установи внаслідок внутрішніх або зовнішніх мотивів. Отримання конфіденційної інформації для подальшого продажу. |
Можливість самостійно здійснювати створення методів атаки, підготовку та проведення атак поза контрольованою зоною та у контрольованій зоні, але без фізичного доступу до обладнання |
|
… |
|
|
|
|
|
|
|
|
|
|
1.2. Модель ненавмисних загроз компанії «Медсервіс»
№ з/п |
Тип загрози |
Потенційна можливість загрози |
1. |
Землетрус |
низька |
|
|
|
|
Втрата електроживлення 220В |
середня |
|
|
|
Тут ви просто перелічуєте усі потенційні ненавмисні загрози (природні, техногенні…) та за трьох рівневою шкалою оцінюєте їх можливість виникнення.
Користуйтеся додатком стандарту ИСО27005.
2. Модель внутрішнього порушника:
№ з/п |
Посади, працівники яких можуть бути потенційними порушниками |
Можливість порушення |
Потенціал порушника |
Тип (Мотивація) порушника |
Узагальнені можливості порушника
|
1. |
Директор |
низька |
високий |
Халатний |
Повний доступ до інформаційної системи |
2. |
Головний бухгалтер |
середня |
високий |
Халатний Маніпульований
|
Повний доступ до фінансових документів. Доступ до кабінету головного бухгалтера постійно в робочий час. Доступ до кабінету директора в його присутності. Повний доступ до комп’ютера головного бухгалтера |
3. |
Медичні працівники |
середня |
середній |
Халатний Маніпульований Ображений Нелояльний Підроблюючий Введений |
Доступ до інформації щодо стану здоров’я пацієнтів. Доступ до приміщень медичного призначення. Доступ до кабінету директора та головного бухгалтера в їх присутності. Доступ до комп’ютерів відсутній |
4. |
Прибиральниця |
Середня |
Низький |
Халатний Маніпульований Ображений Нелояльний Підроблюючий Введений |
Доступ до кабінету директора та головного бухгалтера до початку робочого дня для прибирання та в їх присутності. Доступ до комп’ютерів відсутній |
5. |
Охоронці |
Середня |
Низький |
Халатний Маніпульований Ображений Нелояльний Підроблюючий Введений |
Доступ до кабінету директора та головного бухгалтера до початку робочого дня для та в їх присутності. Доступ до комп’ютерів відсутній |