Comments 20
необходимо скомпрометировать открытые ключи шифрования банка-получателя


Как это выглядит?
Отвратительная подача материала — отечественный официозно-бюрократический стиль из ГОСТов и прочей нормативной документации во всей красе. Прямо дежавю — лет пять назад приходилось читывать дипломы по теме ИБ написанные вот таким же языком.
Данный документ как раз и претендует на официозно-бюрократический статус. Он сделан таким образом, чтобы на его основании можно было быстро составить свой внутренний документ.

Хабр — информационно /развлекательный проект. Этот материал информационный, он для работы, поэтому и выбран сухой бюрократический стиль.
Вот именно, что хабр информационно-развлекательный портал, а не госучреждение.
Проблема в том, что этот самый сухой бюрократический местами напоминает патологическое резонёрство.

Вот это — "Кража денежных средств в процессе функционирования системы безналичных переводов представляет собой кражу безналичных денежных средств с их последующим или одновременным выводом из банка-жертвы." просто фейспалм. Веревка есть вервие простое. (с)

Если в нашей отечественной ИБ-школе это считается признаком профессионализма…
Ради интереса давайте вместе посмотрим как формировалась фраза.

Итак, что такое кража денег у банка? Первое, что приходит на ум — врываются люди в масках и забирают наличные из кассы. Хорошо, но не то. Нас интересуют переводы (платежи), то есть деньги в безналичном виде.

Ок, что такое кража безналичных денег? Это когда злодеи крадут ключи электронной подписи и делают платежку на перевод денежных средств. То есть кража это несанкционированный перевод?

А вот здесь сложнее. В ходе нормальной работы банка у него хоть и редко, но происходят операции, в результате которых происходит некорректное зачисление / списание средств на счетах. Банк обычно их оперативно устраняет и они остаются без последствий как для него, так и для клиентов.

Таким образом мы получаем ситуацию, когда кража это с несанкционированный перевод, который банк в штатном режиме не может откатить, а это может быть только в том случае, когда деньги «вышли» из банка.

Вот так и родилось, то что на первый взгляд показалось (с) «Веревка есть вервие простое». Можете посоветовать более удачную формулировку?
затем, в случае необходимости, провести более детальную декомпозицию угроз.

Откуда она берется эта необходимиость или ненеобходимость?

В модели, когда говорим, например, про АБС, мы не указываем АБС какой фирмы и как используется. Мы просто приводим абстрактную систему, сочетающую в себе основные черты реальных систем и указываем к ней абстрагированные угрозы.

На реальных объектах, где используются конкретные системы, конкретных производителей начинают всплывать нюансы, которые в базовой модели отразить невозможно.

Например, серверов у АБС может быть значительно больше 1, они могут выполнять разные функции и т.д. Эти нюансы должны быть отражены в результирующей частной модели угроз.

Чтобы отразить эти нюансы, специалист, разрабатывающий частную модель должен обладать определенным опытом и знаниями. Если такие опыт и знания есть, он делает уточняющую декомпозицию, если его нет — оставляет описание угроз с текущим уровнем детализации.
Чтобы отразить эти нюансы, специалист, разрабатывающий частную модель должен обладать определенным опытом и знаниями. Если такие опыт и знания есть, он делает уточняющую декомпозицию, если его нет — оставляет описание угроз с текущим уровнем детализации.

А судья кто?
И что дает это "описание угроз с текущим уровнем детализации"?

На самом деле необходимость детализации возникает исходя из конкретики деятельности компании.

Есть типовая модель, характерная для отрасли и чуть уже — для определенного сектора. А дальше — есть сценарии и шаблоны деловых процессов, характерные уже для определенной компании. Их анализ уже позволяет решать — нужна здесь декомпозиция или можно обойтись, так сказать, наработанными отраслевыми стандартами.

Слова, слова, слова…
А нельзя просто сказать поставьме то-то и то-то, настройке так и так и получитк тото и тото.


Есть типовая модель, характерная для отрасли и чуть уже — для определенного сектора. А дальше — есть сценарии и шаблоны деловых процессов, характерные уже для определенной компании. Их анализ уже позволяет решать — нужна здесь декомпозиция или можно обойтись, так сказать, наработанными отраслевыми стандартами.

И вот таких же пустых слов полно во всяких РД, моделях и т.д. А может просто сказать как настроить правильно комп, А?

>А может просто сказать как настроить правильно комп, А?

На самом деле — да, именно это и было бы интересно, даже на примере сферической в вакууме компании, названно, скажем, N (во имя неразглашения, разумеется — тут как раз понятно).

Было бы интересно рассмотреть особенности организации взаимодействия собственно СБ и IT-отдела, конкретику по настройке сетей, сертификатов, допусков и т.п.

Но увы — я в комментарии выше не случайно упомянул про дипломы. Их просто так учат. И магистерские работы состоят из ~100500 глав воды с обильным цитированием из ФЗ, ГОСТов и, разумеется, учебника, написанного научным руководителем (примерно 90% тщательно систематизированной воды, мудрых мыслей Капитана Очевидность, ...), а только в конце, в приложениях, дай Бог, конкретика.

А мы рассуждаем о какой-то цифровой экономике. И никто не говорит, какой смысл они вкладывают в свои слова!

Этот пост часть из серии постов посвященных одной теме — обеспечению информационной безопасности платежей в банках.

Ранее в этом посте мы определили на базе каких требований и как будем строить систему защиты. После этого определили, что для обеспечения практической безопасности нам нужна модель угроз.

Затем, в этом посту, мы рассмотрели как вообще люди занимаются моделированием угроз ИБ. Узнали что есть kill chain, MTIRE ATT&CK Matrix и древовидные модели.

Теперь собственно сама работа. Мы отсюда и отсюда берем описание объекта защиты. Смотрим тут и тут что с реальными угрозами.

В результате данный и следующий пост, в которых в виде заготовок для внутренних документов изложена модель угроз с учетом всего выше перечисленного.
И что дает это «описание угроз с текущим уровнем детализации»?

Данное описание содержит в себе все угрозы, которые были реализованы в реальных банковских преступлениях последних лет. Его будет достаточно для обеспечения должного уровня безопасности большинства банков.
А судья кто?

Модель угроз — основная часть тех. задания на подсистему обеспечения информационной безопасности. Полнота и корректность модели напрямую влияет на качество создаваемой системы защиты. Соответственно «судьей» будет заказчик этой системы.

Но я думаю, что вы хотели спросить про другое.
Использованная методика моделирования не содержит ограничений на глубину декомпозиции. Начиная с абстрактного понятия электронный платежный документ мы в итоге можем прийти к XML-файлу, «invoice-20092018.xml», хранящемуся на файловом сервере «prod-fs27-internal.bank.local» с адресом 10.76.23.98. И здесь возникает вопрос как глубоко нужно капать и что считать требуемым уровнем детализации?

Для ответа на этот вопрос давайте рассмотрим конечных пользователей модели. Условно этих людей можно представить следующим образом:


Соответственно итоговым судьей будет человек, решающий свои задачи с помощью представленной модели. Если для его целей описания будет достаточно, то ок. Если чего-то не хватает то модель можно уточнить, не мешая при этом другим пользователям.

Классические «конечные» модели угроз, оперирующие защитой КДЦ (конфиденциальность, целостность, доступность) абсолютно не подходят для их обсуждения с не IT-специалистами.
Кто будет пользователем этого документа? Если для собственных нужд то это одно, если для внешнего аудита, то нужны как минимум ссылки на БДУ ФСТЭК, модель нарушителя и другие сопутствующие нормативке по КИИ.
Требования 552-П и 382-П не содержат ограничений на использование различных методик моделирования угроз.

Использование БДУ ФСТЭК в обязательном порядке требуется только при формировании угроз для ГИС / МИС и для объектов КИИ.
Банковская сфера как раз подпадает под 187ФЗ, так-что надо учитывать всю нормативку при создании МУ.
Банки исходя из 187-ФЗ субъекты КИИ. Будет ли «АРМ КБР» объектом КИИ в общем случае сказать нельзя, у кого-то будет, у кого-то нет.

Модель угроз ориентирована на практическую безопасность и банковскую нормативку.
Only those users with full accounts are able to leave comments. Log in, please.