Результаты работы межбанковской рабочей группы по моделированию угроз - Алексей Ермаченков, КТН
←
→
Транскрипция содержимого страницы
Если ваш браузер не отображает страницу правильно, пожалуйста, читайте содержимое страницы ниже
Результаты работы межбанковской рабочей группы по моделированию угроз Алексей Ермаченков, КТН ermachenkov@kmbank.ru
Случай из жизни На мою жену без ее ведома в одном банке открыли банковскую карту. Наши действия: 1. 2 звонка в банк с идентификацией по ключевому слову. 2. 3 e-mail в ИБ банка с помощью разобраться в ситуации. 3. 3 разных письменных заявления в банк. 4. Письмо в МГТУ ЦБ. 5. Письмо в Роскомнадзор. 6. 2 отзыва на banki.ru. Результат: 0. Банк хочет, чтобы жена пришла и написала заявление на закрытие карты. Сам он ничего делать не собирается, и никто на него влиять не будет. PS. У меня теперь есть коллекция отписок с помощью которых можно 99% клиентов отшить.
Случай из жизни Особенности: 1.Конфиденциальность ПДн не нарушалась. Жена сама предоставила паспорт для получения посылки на Почте России. 2.Мотивация злоумышленника: выполнить требования KPI и получить премию в размере 70 рублей. Выводы: 1.Субъектам ПДн после каждого предъявления своего паспорта рекомендуется связаться с каждым из существующих банков на предмет оформления на их имя банковской услуги. 2.Банки могут быть уверены, что в случае претензий к ним со стороны субъектов ПДн, регуляторы, как минимум, не будут вмешиваться.
Взгляд руководства
Операционный риск
Справка (по анализу периода с ноября 2011 по март 2014 ).
Средний прирост капитала составляет 1,2% в месяц,
среднеквадратическое отклонение капитала составляет 5,8% в
месяц.
Средний реализовавшийся операционный квартальный риск за
последний год: 8,21% капитала банка (134 форма на 01.06.2014).
Средний реализовавшийся операционный квартальный риск за
предпоследний год: 8,24% капитала банка (134 форма на
01.06.2013).
Средний реализовавшийся операционный квартальный риск
очищенный от сезонной составляющей (т.е. рассчитанный по
двум годам), составляет 1,98% капитала банка.Взгляд руководства
Операционный риск
Операционный риск (135 Средний, реализовавшийся в
форма) на 01.06.2014 течении квартала операционный
70,00% риск
80,00%
60,00%
70,00%
50,00% 60,00%
40,00% 50,00%
40,00%
30,00%
30,00%
20,00%
20,00%
10,00% 10,00%
0,00% 0,00%
0,00% 20,00% 40,00% 60,00% 80,00% 100,00% 0,00% 20,00% 40,00% 60,00% 80,00% 100,00%
Средний операционный риск: 5,17% Средний операционный риск: 8,21%
капитала банка (134 форма на капитала банка (134 форма на
01.06.2014). 01.06.2014).
Данные 102 форма ЦБ за 1 год.
Коэффициент корреляции между Риск оценивается по величине СКО
оценками 0,9911. (суммы значений статей 26000 и 27000).Взгляд руководства
Варианты построения модели рисков
1. Модель критичности свойств активов.
2. Модель на основе прямой экспертной оценке рисков.
3. Модель на основе анализа 102 формы отчетности.
собственные
СИ
СД
Собственные средства Банка,
Банковская информация, не
размещенные у контрагентов (средства
участвующая в банковском платежном
управления счетами в ЦБ, на ММВБ, у
процессе.
банков-корреспондентов, лимиты по
пластиковым картам, SWIFT)
информация
средства (деньги)
КД КИ
Средства клиентов, размещенные в Клиентская информация (дело клиента,
клиентские
Банке (ДБО, процессинг, АБС, информация о движении денежных
терминалы, банкоматы с кэшин и т.д.) средств, информация о подключении к
ДБО и т.д.)Взгляд руководства
Диаграмма критичности свойств активов
(теоретическая).
Доля рисков, приходящихся на КИ: 27,5%,
из них на Конфиденциальность: 10,3%.Взгляд руководства
Диаграмма критичности свойств активов
(реальный банк).
Доля рисков, приходящихся на КИ: 24,3%,
из них на Конфиденциальность: 8,8%.Взгляд руководства
Распределение ОР по активам Банков (102 форма).
собственные
СД (13,76%) СИ (50,90%)
90,00%
100,00%
80,00%
70,00% 80,00%
60,00%
50,00% 60,00%
40,00%
40,00%
30,00%
20,00% 20,00%
10,00%
0,00% 0,00%
0,00% 25,00% 50,00% 75,00% 100,00% 0,00% 25,00% 50,00% 75,00% 100,00%
информация
средства (деньги)
КД (34,65%) КИ (0,69%)
90,00% 12,00%
80,00%
10,00%
70,00%
60,00% 8,00%
50,00%
6,00%
клиентские
40,00%
30,00% 4,00%
20,00%
2,00%
10,00%
0,00% 0,00%
0,00% 25,00% 50,00% 75,00% 100,00% 0,00% 25,00% 50,00% 75,00% 100,00%Взгляд руководства Выводы: 1. Руководство банка обрабатывает в месяц рисков на 5,8% от капитала. 2. Ожидаемые руководством риски от нарушения конфиденциальности ПДн составляют менее 0,2% от капитала в квартал (соотношение 1 к 87). 3.Реализовавшиеся риски от нарушения свойств актива клиентская информация составляют менее 0,014% от капитала в квартал (соотношение 1 к 1243).
Математика рисков.
Р р i
2
i
С точки зрения отдельного
банка, риски представляют
собой независимые
случайные события (ошибка
3,6% против 42%).
Р рi С точки зрения банковской
системы в целом, риски более
i похожи на регулярные
процессы (ошибка 16% против
25%).Взгляд экспертов
Межбанковская рабочая группа
ЦЕЛЬ:
Разработать и поддерживать в актуальном состоянии
модель угроз, ориентированную на бизнес-процессы,
понятную бизнесу и применимую в практической
деятельности служб информационной безопасности.
КОНЦЕПЦИЯ (MITRE):
Риск не разделяется на составляющие части (угрозы и
уязвимости). Применяется прямая экспертная оценка
рисков.
ЭКСПЕРТЫ:
Руководители служб информационной безопасности
банков.Взгляд экспертов
Модель классов актуальных угроз ПДн
Эксперты:
Группа экспертов ОАО УРАЛСИБ (4 человека)
Группа экспертов Сбербанка (7 человек)
Беляков Николай Витальевич Головлев Павел Михайлович
Дмитриев Александр Павлович Ермаченков Алексей Владимирович к.т.н.
Ерохин Сергей Сергеевич к.т.н. Закиров Марат Раисович
Камзеев Денис Александрович Канивец Сергей Витальевич
Клевакин Владимир Николаевич к.т.н. Конеев Искандер Рустамович CISSP, AMBCI
Кузнецов Евгений Александрович Левашов Михаил Васильевич к.ф-м.н.
Марков Антон Александрович Михеев Константин Михайлович
Муравьёв Сергей Владимирович Окулесский Василий Андреевич к.т.н.
Орлов Дмитрий Александрович Петрова Елена Эрнестовна
Пинчук Валентин Васильевич Писаренко Игорь Викторович к.т.н., доц.
Плешков Алексей Константинович Русаков Василий Павлович
Самохин Алексей Юрьевич Середницкий Виктор Сергеевич
Симаков Михаил Николаевич Сушков Дмитрий Валериевич
Терентьев Иван Георгиевич Федоров Алексей Анатольевич
Хурамов Алексей Михайлович Цветов Виктор Петрович к.ф-м.н.
Цымбаленко Максим Сергеевич Шлегель Владимир Арнольдович
Якушев Дмитрий Владимирович
Совокупные защищаемые активы: 22,8 трлн. рублейВзгляд экспертов Модель классов актуальных угроз ПДн
Взгляд экспертов
Модель угроз 2013-2014
Нормированный риск
№ Класс угроз
средний мин макс
1. У3.39. Социальный инжиниринг (НСД).
5.30% 0% 17.86%
2. У3.13. Злоупотребления из-за недостаточного контроля
(НСД). 4.76% 0% 19.41%
3. У3.46. Вирусы (НСД).
4.71% 0% 35.28%
4. У3.7. Утеря носителя ПДн.
4.49% 0% 16.24%
5. У3.3. Уязвимости ПО (НСД).
4.44% 0% 20.57%
6. У3.4. Утеря данных при сопровождении (НСД).
4.28% 0% 19.21%
7-48 …
Прочие угрозы 3.04% 0% 30.61%Взгляд регуляторов
ПРОЕКТ ЦБ: АКТУАЛЬНЫЕ УГРОЗЫ ПДн.
Методика определения актуальных угроз безопасности персональных данных (ПДн) при их
обработке в информационных системах персональных данных (ИСПДн):
Актуальной считается угроза, которая может быть реализована в
ИСПДн и представляет опасность для ПДн.
Рабочая группа выявила 6 актуальных угроз ПДн.
Проект ЦБ предполагает 19 актуальных угроз ПДн, из которых у ЦБ
вызывают сомнение 5 угроз.
У1. Осуществление несанкционированного доступа к персональным
данным с использованием ошибок и недостатков в ПО
информационной системы персональных данных.
У2. Осуществление несанкционированного доступа к персональным
данным с использованием уязвимостей, вызванных недостатками в
обеспечении защиты от воздействия вредоносного кода, внешнего
по отношению к информационной системе персональных данных.Взгляд регуляторов
ПРОЕКТ ЦБ: АКТУАЛЬНЫЕ УГРОЗЫ ПДн.
У3. Осуществление несанкционированного доступа к
персональным данным с использованием уязвимостей,
вызванных недостатками в обеспечении защиты персональных
данных при информационном взаимодействии со смежными
информационными системами и информационно-
телекоммуникационной сетью Интернет.
У4. Осуществление несанкционированного доступа к
персональным данным с использованием уязвимостей защиты
сетевого взаимодействия и каналов передачи данных.
У5. Осуществление несанкционированного доступа к
персональным данным путем реализации атаки типа «Отказ в
обслуживании».
Пожар ММТС 10.
Пожар в Капотне 2005 год - нет электричества в большей части районов Москвы и 25
городах подмосковья, в лифтах заблокированы 1500 человек, в метро только на
участке от «Бульвар Дмитрия Донского» до «Серпуховская» встали составы с 20 000
пассажиров, ММТС 9 осталась без электричества.Взгляд регуляторов
ПРОЕКТ ЦБ: АКТУАЛЬНЫЕ УГРОЗЫ ПДн.
Угрозы, коррелирующие с угрозами, выявленными РГ:
1. Осуществление несанкционированного доступа к
персональным данным путем использования методов
социального инжиниринга к лицам, имеющим доступ к
информационной системе персональных данных.
2. Осуществление несанкционированного доступа к
персональным данным с использованием уязвимостей,
вызванных недостатками в организации, регистрации и
контроле доступа к информационной системе персональных
данных.
3. Осуществление несанкционированного доступа к
персональным данным с использованием уязвимостей,
вызванных недостатками в обеспечении защиты от
воздействия вредоносного кода, внешнего по отношению к
информационной системе персональных данных.Взгляд регуляторов
ПРОЕКТ ЦБ: АКТУАЛЬНЫЕ УГРОЗЫ ПДн.
Угрозы, коррелирующие с угрозами, выявленными РГ:
4. Утрата (потеря) носителей персональных данных, включая
переносные персональные компьютеры пользователей
информационной системы персональных данных.
5. Осуществление несанкционированного доступа к
персональным данным с использованием ошибок и
недостатков в программном обеспечении информационной
системы персональных данных.
6. Осуществление несанкционированного доступа к
персональным данным с использованием уязвимостей,
вызванных недостатками в обеспечении защиты
персональных данных на стадиях создания, эксплуатации
(использовании по назначению, технического обслуживания
и ремонта), модернизации, снятия с эксплуатации
информационной системы персональных данных.Взгляд регуляторов
РС БР ИББС-2.2-2009
СВР: степень возможности реализации угроз ИБ выявленными и (или)
предполагаемыми источниками угроз ИБ в результате их воздействия на объекты среды
рассматриваемых типов информационных активов;
СТП: степени тяжести последствий от потери свойств ИБ для рассматриваемых типов
информационных активов.Взгляд регуляторов
ПРОЕКТ ЦБ: АКТУАЛЬНЫЕ УГРОЗЫ ПДн.
Новые угрозы, включенные ЦБ:
Осуществление несанкционированного доступа к персональным
данным с использованием уязвимостей, вызванных недостатками в
обеспечении защиты персональных данных…
- при назначении и распределении функциональных прав и
обязанностей (СТО БР ИББС раздел 7.2);
- защиты информации, используемой для осуществления доступа (СТО
БР ИББС раздел 7.4);
- при информационном взаимодействии со смежными
информационными системами и информационно-
телекоммуникационной сетью Интернет (СТО БР ИББС раздел 7.6);
- в организации обеспечения защиты вычислительных сетей;
- в обеспечении защиты носителей персональных данных;
- вызванных недостатками в эксплуатации СКЗИ (СТО БР ИББС раздел
7.7);
Актуальной считается угроза, которая может быть реализована в ИСПДн и представляет
опасность для ПДн.Взгляд регуляторов
ПРОЕКТ ЦБ: АКТУАЛЬНЫЕ УГРОЗЫ ПДн.
Новые угрозы, включенные ЦБ:
Осуществление несанкционированного доступа к персональным
данным с использованием уязвимостей, вызванных недостатками в
обеспечении защиты персональных данных…
-в организации и функционировании подразделения (работников),
ответственного (ответственных) за организацию и контроль
обеспечения защиты информации (СТО БР ИББС раздел 8.2);
-вызванных недостатками в организации документационного
обеспечения эксплуатации информационной системы персональных
данных (СТО БР ИББС раздел 8.6);
- вызванных недостатками в организации контроля обеспечения
защиты (СТО БР ИББС раздел 8.15);
- вызванных недостатком в организации повышения осведомленности
пользователей (СТО БР ИББС раздел 8.9);
- вызванных недостатками в организации деятельности по выявлению
инцидентов (СТО БР ИББС раздел 8.10).
Актуальной считается угроза, которая может быть реализована в ИСПДн и представляет
опасность для ПДн.Взгляд регуляторов Выводы: 1. Регуляторы пытаются внедрить свое видение построение системы защиты. 2. Проект Модели угроз ПДн, разработанный ЦБ, делает обязательным применение СТО БР ИББС. 3. Не согласиться с мотивированным заключением Департамента надзора на основании «добровольности» СТО БР ИББС больше не получится. 4. Всем банкам придётся достигнуть 5 уровня соответствия СТО БР ИББС.
Продолжаем…
Сходимость экспертного мнения
0,8
0,7
0,6
0,5
0,4
0,3
0,2
0,1
0
1 2 3 4 5 6 7 8 9 10 11 12
Алексей Ермаченков, КТН
ermachenkov@kmbank.ruМодель активов Банка. Оценка опасности потери свойства актива для Банка (критичность свойства актива). А. Может нанести финансовый ущерб Банку? Б. Может нанести юридический ущерб Банку (например, отзыв лицензии из-за несоблюдения 115-ФЗ)? В. Может нанести ущерб деловой репутации Банку? Г. Может являться прямой целью злоумышленника, который рассчитывает получить финансовую выгоду? Д. Ущерб свойству актива возможен только через Банк?
Модель активов Банка. СД. Собственные средства Банка, размещенные у контрагентов. С точки зрения Банка: данные активы это средства доступа к его счёту. Меры защиты: обычно диктуются контрагентом, Банк может внедрять дополнительные средства защиты, которые компенсируют особенности его бизнес процессов. Среда эксплуатации активов: внутри периметра Банка. Пользователи: известны, список пользователей сильно ограничен, обычно это доверенные сотрудники. Конфиденциальность Доступность Целостность Обеспечивают: контрагент, Банк контрагент, провайдеры, Банк Банк Раскрытие информации о состоянии собственной позиции у одного из контрагентов не может нанести значимый ущерб для Банка. Оценка опасности потери свойства актива для Банка (1): А-, Б-, В+, Г-, Д-. (2): А+, Б-, В+, Г-, Д-. (4): А+, Б+, В-, Г+, Д+.
Модель активов Банка. КД. Средства клиентов, размещенные в Банке. С точки зрения Банка: данные активы это средства доступа к клиентским счетам, поэтому угрозами являются, в том числе, поддельные платёжки, переданные через операционные отделения. Сюда же имеет смысл отнести угрозы, связанные с использованием фальшивых денег, переданных через банкоматы или терминалы. Меры защиты: определяются Банком на основе требований регуляторов. Среда эксплуатации активов: вне периметра Банка. Пользователи: не известны. Конфиденциальность Доступность Целостность Обеспечивают: клиент, Банк, клиент, провайдеры, Банк клиент, Банк правоохранительные и регулирующие органы Оценка опасности потери свойства актива для Банка (2): А-, Б-, В+, Г+, Д-. (2): А-, Б+, В+, Г-, Д-. (3): А+, Б-, В+, Г+, Д-.
Модель активов Банка. СИ. Банковская информация, не участвующая в платёжном процессе. Банковская информация, которая попадая к злоумышленникам, может привести к финансовым потерям из-за участия Банка в убыточных сделках. Данная банковская информация может быть как формально определенной банковской тайной, так и не быть таковой (например, информация о болезнях, отпусках сотрудников кредитного комитета и т.д.). С точки зрения Банка: основной актив – лояльность персонала. Меры защиты: определяются Банком. Среда эксплуатации активов: как внутри периметра Банка, так и за его пределами. Пользователи: известны; обычно это бизнес-подразделения, риск-подразделения, Top-менеджмент, подразделения безопасности, часто ИТ-подразделения. Конфиденциальность Доступность Целостность Обеспечивают: Банк Банк Банк Нарушение данного свойства может привести как к смене собственников бизнеса, менеджмента, так и уголовному преследованию сотрудников Банка. Оценка опасности потери свойства актива для Банка (5): А+, Б+, В+, Г+, Д+. (1): А-, Б-, В-,Г -, Д+. (1): А-, Б-, В-, Г-, Д+.
Модель активов Банка. КИ. Клиентская информация. Хранение данной информации необходимо Банку для выполнения требований регуляторов. Меры защиты: определяются Банком на основе требований регуляторов. Среда эксплуатации активов: внутри периметра Банка. Пользователи: практически все сотрудники Банка. Конфиденциальность Доступность Целостность Обеспечивают: клиент, Банк, правоохранительные Банк клиент, Банк и регулирующие органы На практике нарушение Несвоевременное предоставление Во многих случаях единственным конфиденциальности единичной информации в настоящее время источником информации является клиентской информации не наказывается штрафами. На клиент. приводит ни к каким практике, недоступность актива последствиям для Банка, но обычно вызывается случайными потеря какого-то массива данных факторами и непреднамеренными может привести к неприятным действиями. последствиям. Оценка опасности потери свойства актива для Банка Для единицы актива (0): А-, Б-, В-, (3): А+, Б+, В-, Г-, Д+. (2): А-, Б+, В+, Г-,Д-. Г-, Д-. Для массива данных (3): А-, Б-, В+, Г+,Д+.
Упрощенная классификация актива.
Вопрос Актив
Наносит прямой финансовый ущерб банку. СД
Атака всегда наносит ущерб деловой репутации. СИ
Атака обязательно реализуется через банк. КД
Приводит к санкциям от регуляторов. КИВы также можете почитать
