Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 20
необходимо скомпрометировать открытые ключи шифрования банка-получателя
Как это выглядит?
Об этом будет в типовой модели угроз СКЗИ.
Отвратительная подача материала — отечественный официозно-бюрократический стиль из ГОСТов и прочей нормативной документации во всей красе. Прямо дежавю — лет пять назад приходилось читывать дипломы по теме ИБ написанные вот таким же языком.
Данный документ как раз и претендует на официозно-бюрократический статус. Он сделан таким образом, чтобы на его основании можно было быстро составить свой внутренний документ.
Хабр — информационно /развлекательный проект. Этот материал информационный, он для работы, поэтому и выбран сухой бюрократический стиль.
Хабр — информационно /развлекательный проект. Этот материал информационный, он для работы, поэтому и выбран сухой бюрократический стиль.
Вот именно, что хабр информационно-развлекательный портал, а не госучреждение.
Проблема в том, что этот самый сухой бюрократический местами напоминает патологическое резонёрство.
Вот это — "Кража денежных средств в процессе функционирования системы безналичных переводов представляет собой кражу безналичных денежных средств с их последующим или одновременным выводом из банка-жертвы." просто фейспалм. Веревка есть вервие простое. (с)
Если в нашей отечественной ИБ-школе это считается признаком профессионализма…
Вот это — "Кража денежных средств в процессе функционирования системы безналичных переводов представляет собой кражу безналичных денежных средств с их последующим или одновременным выводом из банка-жертвы." просто фейспалм. Веревка есть вервие простое. (с)
Если в нашей отечественной ИБ-школе это считается признаком профессионализма…
Ради интереса давайте вместе посмотрим как формировалась фраза.
Итак, что такое кража денег у банка? Первое, что приходит на ум — врываются люди в масках и забирают наличные из кассы. Хорошо, но не то. Нас интересуют переводы (платежи), то есть деньги в безналичном виде.
Ок, что такое кража безналичных денег? Это когда злодеи крадут ключи электронной подписи и делают платежку на перевод денежных средств. То есть кража это несанкционированный перевод?
А вот здесь сложнее. В ходе нормальной работы банка у него хоть и редко, но происходят операции, в результате которых происходит некорректное зачисление / списание средств на счетах. Банк обычно их оперативно устраняет и они остаются без последствий как для него, так и для клиентов.
Таким образом мы получаем ситуацию, когда кража это с несанкционированный перевод, который банк в штатном режиме не может откатить, а это может быть только в том случае, когда деньги «вышли» из банка.
Вот так и родилось, то что на первый взгляд показалось (с) «Веревка есть вервие простое». Можете посоветовать более удачную формулировку?
Итак, что такое кража денег у банка? Первое, что приходит на ум — врываются люди в масках и забирают наличные из кассы. Хорошо, но не то. Нас интересуют переводы (платежи), то есть деньги в безналичном виде.
Ок, что такое кража безналичных денег? Это когда злодеи крадут ключи электронной подписи и делают платежку на перевод денежных средств. То есть кража это несанкционированный перевод?
А вот здесь сложнее. В ходе нормальной работы банка у него хоть и редко, но происходят операции, в результате которых происходит некорректное зачисление / списание средств на счетах. Банк обычно их оперативно устраняет и они остаются без последствий как для него, так и для клиентов.
Таким образом мы получаем ситуацию, когда кража это с несанкционированный перевод, который банк в штатном режиме не может откатить, а это может быть только в том случае, когда деньги «вышли» из банка.
Вот так и родилось, то что на первый взгляд показалось (с) «Веревка есть вервие простое». Можете посоветовать более удачную формулировку?
затем, в случае необходимости, провести более детальную декомпозицию угроз.
Откуда она берется эта необходимиость или ненеобходимость?
В модели, когда говорим, например, про АБС, мы не указываем АБС какой фирмы и как используется. Мы просто приводим абстрактную систему, сочетающую в себе основные черты реальных систем и указываем к ней абстрагированные угрозы.
На реальных объектах, где используются конкретные системы, конкретных производителей начинают всплывать нюансы, которые в базовой модели отразить невозможно.
Например, серверов у АБС может быть значительно больше 1, они могут выполнять разные функции и т.д. Эти нюансы должны быть отражены в результирующей частной модели угроз.
Чтобы отразить эти нюансы, специалист, разрабатывающий частную модель должен обладать определенным опытом и знаниями. Если такие опыт и знания есть, он делает уточняющую декомпозицию, если его нет — оставляет описание угроз с текущим уровнем детализации.
На реальных объектах, где используются конкретные системы, конкретных производителей начинают всплывать нюансы, которые в базовой модели отразить невозможно.
Например, серверов у АБС может быть значительно больше 1, они могут выполнять разные функции и т.д. Эти нюансы должны быть отражены в результирующей частной модели угроз.
Чтобы отразить эти нюансы, специалист, разрабатывающий частную модель должен обладать определенным опытом и знаниями. Если такие опыт и знания есть, он делает уточняющую декомпозицию, если его нет — оставляет описание угроз с текущим уровнем детализации.
Чтобы отразить эти нюансы, специалист, разрабатывающий частную модель должен обладать определенным опытом и знаниями. Если такие опыт и знания есть, он делает уточняющую декомпозицию, если его нет — оставляет описание угроз с текущим уровнем детализации.
А судья кто?
И что дает это "описание угроз с текущим уровнем детализации"?
На самом деле необходимость детализации возникает исходя из конкретики деятельности компании.
Есть типовая модель, характерная для отрасли и чуть уже — для определенного сектора. А дальше — есть сценарии и шаблоны деловых процессов, характерные уже для определенной компании. Их анализ уже позволяет решать — нужна здесь декомпозиция или можно обойтись, так сказать, наработанными отраслевыми стандартами.
Есть типовая модель, характерная для отрасли и чуть уже — для определенного сектора. А дальше — есть сценарии и шаблоны деловых процессов, характерные уже для определенной компании. Их анализ уже позволяет решать — нужна здесь декомпозиция или можно обойтись, так сказать, наработанными отраслевыми стандартами.
Слова, слова, слова…
А нельзя просто сказать поставьме то-то и то-то, настройке так и так и получитк тото и тото.
Есть типовая модель, характерная для отрасли и чуть уже — для определенного сектора. А дальше — есть сценарии и шаблоны деловых процессов, характерные уже для определенной компании. Их анализ уже позволяет решать — нужна здесь декомпозиция или можно обойтись, так сказать, наработанными отраслевыми стандартами.
И вот таких же пустых слов полно во всяких РД, моделях и т.д. А может просто сказать как настроить правильно комп, А?
>А может просто сказать как настроить правильно комп, А?
На самом деле — да, именно это и было бы интересно, даже на примере сферической в вакууме компании, названно, скажем, N (во имя неразглашения, разумеется — тут как раз понятно).
Было бы интересно рассмотреть особенности организации взаимодействия собственно СБ и IT-отдела, конкретику по настройке сетей, сертификатов, допусков и т.п.
Но увы — я в комментарии выше не случайно упомянул про дипломы. Их просто так учат. И магистерские работы состоят из ~100500 глав воды с обильным цитированием из ФЗ, ГОСТов и, разумеется, учебника, написанного научным руководителем (примерно 90% тщательно систематизированной воды, мудрых мыслей Капитана Очевидность, ...), а только в конце, в приложениях, дай Бог, конкретика.
На самом деле — да, именно это и было бы интересно, даже на примере сферической в вакууме компании, названно, скажем, N (во имя неразглашения, разумеется — тут как раз понятно).
Было бы интересно рассмотреть особенности организации взаимодействия собственно СБ и IT-отдела, конкретику по настройке сетей, сертификатов, допусков и т.п.
Но увы — я в комментарии выше не случайно упомянул про дипломы. Их просто так учат. И магистерские работы состоят из ~100500 глав воды с обильным цитированием из ФЗ, ГОСТов и, разумеется, учебника, написанного научным руководителем (примерно 90% тщательно систематизированной воды, мудрых мыслей Капитана Очевидность, ...), а только в конце, в приложениях, дай Бог, конкретика.
А мы рассуждаем о какой-то цифровой экономике. И никто не говорит, какой смысл они вкладывают в свои слова!
Этот пост часть из серии постов посвященных одной теме — обеспечению информационной безопасности платежей в банках.
Ранее в этом посте мы определили на базе каких требований и как будем строить систему защиты. После этого определили, что для обеспечения практической безопасности нам нужна модель угроз.
Затем, в этом посту, мы рассмотрели как вообще люди занимаются моделированием угроз ИБ. Узнали что есть kill chain, MTIRE ATT&CK Matrix и древовидные модели.
Теперь собственно сама работа. Мы отсюда и отсюда берем описание объекта защиты. Смотрим тут и тут что с реальными угрозами.
В результате данный и следующий пост, в которых в виде заготовок для внутренних документов изложена модель угроз с учетом всего выше перечисленного.
Ранее в этом посте мы определили на базе каких требований и как будем строить систему защиты. После этого определили, что для обеспечения практической безопасности нам нужна модель угроз.
Затем, в этом посту, мы рассмотрели как вообще люди занимаются моделированием угроз ИБ. Узнали что есть kill chain, MTIRE ATT&CK Matrix и древовидные модели.
Теперь собственно сама работа. Мы отсюда и отсюда берем описание объекта защиты. Смотрим тут и тут что с реальными угрозами.
В результате данный и следующий пост, в которых в виде заготовок для внутренних документов изложена модель угроз с учетом всего выше перечисленного.
И что дает это «описание угроз с текущим уровнем детализации»?
Данное описание содержит в себе все угрозы, которые были реализованы в реальных банковских преступлениях последних лет. Его будет достаточно для обеспечения должного уровня безопасности большинства банков.
А судья кто?
Модель угроз — основная часть тех. задания на подсистему обеспечения информационной безопасности. Полнота и корректность модели напрямую влияет на качество создаваемой системы защиты. Соответственно «судьей» будет заказчик этой системы.
Но я думаю, что вы хотели спросить про другое.
Использованная методика моделирования не содержит ограничений на глубину декомпозиции. Начиная с абстрактного понятия электронный платежный документ мы в итоге можем прийти к XML-файлу, «invoice-20092018.xml», хранящемуся на файловом сервере «prod-fs27-internal.bank.local» с адресом 10.76.23.98. И здесь возникает вопрос как глубоко нужно капать и что считать требуемым уровнем детализации?
Для ответа на этот вопрос давайте рассмотрим конечных пользователей модели. Условно этих людей можно представить следующим образом:
Соответственно итоговым судьей будет человек, решающий свои задачи с помощью представленной модели. Если для его целей описания будет достаточно, то ок. Если чего-то не хватает то модель можно уточнить, не мешая при этом другим пользователям.
Классические «конечные» модели угроз, оперирующие защитой КДЦ (конфиденциальность, целостность, доступность) абсолютно не подходят для их обсуждения с не IT-специалистами.
Кто будет пользователем этого документа? Если для собственных нужд то это одно, если для внешнего аудита, то нужны как минимум ссылки на БДУ ФСТЭК, модель нарушителя и другие сопутствующие нормативке по КИИ.
Требования 552-П и 382-П не содержат ограничений на использование различных методик моделирования угроз.
Использование БДУ ФСТЭК в обязательном порядке требуется только при формировании угроз для ГИС / МИС и для объектов КИИ.
Использование БДУ ФСТЭК в обязательном порядке требуется только при формировании угроз для ГИС / МИС и для объектов КИИ.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Информационная безопасность банковских безналичных платежей. Часть 7 — Базовая модель угроз