Лекция 4. Модель нарушителя¶
- Содержание
- Лекция 4. Модель нарушителя
- Введение
- Место модели нарушителя в методике ФСТЭК
- Виды нарушителей: 13 категорий по ФСТЭК
- Разделение нарушителей: внешние и внутренние
- Четыре уровня возможностей: Н1–Н4
- Цели нарушителей
- Порядок определения актуальных нарушителей
- Соответствие нарушителей уровням защищённости
- Пример: модель нарушителя для ИСПДн кадровой службы
- Документирование модели нарушителя
- Связь с другими элементами системы защиты
- Что дальше
- Список литературы и нормативных актов
Введение¶
На прошлой лекции мы разобрали угрозы — абстрактные опасности для активов объекта. Но угроза не существует сама по себе: за ней всегда стоит конкретный субъект, который её реализует. Этот субъект — нарушитель.
Ошибка, которую совершают при построении модели угроз — описывать угрозы без привязки к тому, кто и зачем их реализует. Получается документ в стиле «возможна атака типа SQL-инъекция», без ответа на вопросы: кто именно проводит эту атаку? Каков его уровень подготовки? Есть ли у него мотив именно для этой организации? Без ответов на эти вопросы невозможно правильно выбрать меры защиты.
Методика оценки угроз ФСТЭК России решает эту проблему через понятие модели нарушителя — обязательного элемента модели угроз, который формализует предположения о том, кто, с какими возможностями и с какими целями может атаковать конкретный объект.
Нарушитель — лицо или группа лиц, осуществляющих реализацию угроз безопасности информации путём несанкционированного доступа и (или) воздействия на информационные ресурсы и компоненты систем и сетей.
(Методика оценки угроз ФСТЭК России, 05.02.2021, Приложение 1)
Место модели нарушителя в методике ФСТЭК¶
Методика ФСТЭКструктурирует оценку угроз в три этапа. Модель нарушителя разрабатывается на третьем этапе — в подразделе 5.1 «Определение источников угроз безопасности информации».
Логика следующая: прежде чем определять, как угроза может быть реализована (подраздел 5.2), и признавать её актуальной (подраздел 5.3), необходимо понять, кто её реализует и способен ли этот нарушитель осуществить конкретные действия. Уровень возможностей нарушителя напрямую определяет перечень актуальных угроз: угрозы, требующие высокой квалификации, исключаются из модели, если для данного объекта нарушители такого уровня непоявлялись.
Важно: Методика ФСТЭК ориентирована на антропогенные угрозы — действия нарушителей. Угрозы, связанные с техническими каналами утечки и криптографической защитой, выходят за рамки методики (п. 1.4) и регулируются отдельными документами ФСБ России.
Виды нарушителей: 13 категорий по ФСТЭК¶
Методика (п. 5.1.3) определяет исчерпывающий перечень из 13 видов нарушителей, подлежащих оценке. Организация обязана рассмотреть каждую категорию и обосновать, является ли она актуальной для данного объекта.
| № | Вид нарушителя | Тип | Типовые цели |
|---|---|---|---|
| 1 | Специальные службы иностранных государств | Внешний | Шпионаж, дестабилизация, получение стратегической информации, саботаж КИИ |
| 2 | Террористические и экстремистские группировки | Внешний | Дестабилизация, нанесение ущерба государству или обществу |
| 3 | Преступные группы (криминальные структуры) | Внешний | Финансовая выгода: кража данных, вымогательство, мошенничество |
| 4 | Отдельные физические лица (хакеры) | Внешний | Финансовая выгода, самореализация, хактивизм, исследование |
| 5 | Конкурирующие организации | Внешний | Промышленный шпионаж, дискредитация, конкурентное преимущество |
| 6 | Разработчики программных и программно-аппаратных средств | Внешний / Внутренний | Внедрение недекларированных возможностей (закладок) в ПО |
| 7 | Лица, обеспечивающие поставку ПО и систем | Внешний | Компрометация цепочки поставок, внедрение закладок |
| 8 | Поставщики услуг связи и вычислительных услуг (ЦОД, облако) | Внешний | Несанкционированный доступ через инфраструктуру провайдера |
| 9 | Лица, привлекаемые для установки, настройки, испытания и пусконаладки | Внутренний (временный) | Намеренное или случайное создание уязвимостей при работах на объекте |
| 10 | Персонал, обеспечивающий функционирование систем (администраторы, охрана) | Внутренний | Злоупотребление правами, халатность, принуждение |
| 11 | Авторизованные пользователи систем | Внутренний | Несанкционированный доступ за пределами полномочий, кража данных |
| 12 | Системные администраторы и администраторы безопасности | Внутренний (привилегированный) | Злоупотребление расширенными правами, обход средств контроля |
| 13 | Бывшие (уволенные) работники | Внешний (ранее внутренний) | Месть, продажа доступа, использование сохранившихся учётных данных |
Перечень может быть дополнен с учётом отраслевой специфики. Например, для объектов КИИ топливно-энергетического комплекса добавляются категории, характерные для данной отрасли.
Разделение нарушителей: внешние и внутренние¶
Методика (п. 5.1.6) делит всех нарушителей на две принципиально разные группы по признаку наличия доступа к объекту.
| Параметр | Внешний нарушитель | Внутренний нарушитель |
|---|---|---|
| Доступ в контролируемую зону | Отсутствует | Имеется (постоянный или временный) |
| Права доступа к ресурсам | Отсутствуют | Имеются (в рамках полномочий) |
| Знание архитектуры | Ограниченное (разведка) | Детальное |
| Сложность обнаружения | Относительно выше (аномальная активность) | Ниже (маскируется под легитимную) |
| Типичные меры противодействия | МЭ, IDS/IPS, антивирус, DMZ | DLP, PAM, контроль привилегий, разделение обязанностей |
Четыре уровня возможностей: Н1–Н4¶
Ключевое нововведение Методики ФСТЭК 2021 по сравнению с устаревшими документами 2008 года — формализованная шкала уровней возможностей нарушителя (Приложение 8). Именно уровень возможностей определяет, какие сценарии атак нарушитель способен реализовать, а значит, какие угрозы признаются актуальными.
| Уровень | Название | Характеристика возможностей | Типичные нарушители |
|---|---|---|---|
| Н1 | Базовые | Использование общедоступных инструментов и эксплойтов без модификации. Атаки по инструкциям из открытых источников (Metasploit, публичные PoC). Цели выбираются случайно или по доступности. | Хакеры-одиночки без специальной подготовки, бывшие сотрудники с базовыми техническими знаниями |
| Н2 | Базовые повышенные | Умелое использование и самостоятельная модификация общедоступных инструментов. Владение фреймворками (Cobalt Strike, Burp Suite). Планирование сценариев атак, поиск уязвимостей в конкретной цели. | Преступные группы, конкурирующие организации, продвинутые хакеры |
| Н3 | Средние | Самостоятельная разработка инструментов и эксплойтов под конкретную цель. Доступ к исходным кодам ПО. Проведение сложных многоэтапных атак (APT-кампании начального уровня). Работа в составе организованной группы. | Террористические группировки с техническим потенциалом, разработчики ПО (при наличии умысла) |
| Н4 | Высокие | Разработка и внедрение закладок в программное и аппаратное обеспечение на этапе производства или поставки. Проведение атак на изолированные (air-gapped) сети. Ресурсы государственного уровня. | Специальные службы иностранных государств (APT государственного уровня) |
Принцип консерватизма: При определении уровня возможностей нарушителя методика (п. 5.1) предписывает исходить из повышенной мотивации нарушителей. Занижать уровень возможностей «потому что нас вряд ли будут атаковать» недопустимо — это прямая ошибка при разработке модели угроз, которую проверяющие ФСТЭК выявляют в первую очередь.
Цели нарушителей¶
Помимо категории и уровня возможностей, модель нарушителя включает описание целей — что именно нарушитель стремится получить или нарушить. Методика (Приложение 6) систематизирует возможные цели:
- Получение финансовой выгоды — кража данных для продажи, вымогательство, мошенничество с использованием похищенной информации.
- Получение конкурентных преимуществ — промышленный шпионаж, кража интеллектуальной собственности, планов развития.
- Реализация деструктивных воздействий — нарушение функционирования систем, уничтожение данных, саботаж бизнес-процессов.
- Получение сведений, составляющих государственную или коммерческую тайну — разведывательные цели.
- Достижение политических или идеологических целей — хактивизм, дестабилизация.
- Месть, личные мотивы — характерно для уволенных сотрудников и конфликтных внутренних нарушителей.
Связь «нарушитель → цель → негативные последствия» является обязательным элементом модели угроз согласно Приложению 7 Методики.
Порядок определения актуальных нарушителей¶
Нарушитель признаётся актуальным, если выполняются два условия (п. 5.1.4 Методики):
- Возможные цели реализации угроз данным нарушителем совпадают с возможными негативными последствиями для данного объекта (определёнными на первом этапе — см. Лекция 5).
- Нарушитель обладает необходимым уровнем возможностей для реализации угроз через имеющиеся у объекта интерфейсы взаимодействия.
Если хотя бы одно условие не выполняется — нарушитель признаётся неактуальным с соответствующим обоснованием в модели угроз.
Пример обоснования неактуальности: «Специальные службы иностранных государств (Н4) признаются неактуальным нарушителем, так как система является коммерческой ИСПДн кадрового учёта и не обрабатывает сведения, представляющие интерес для иностранной разведки; возможные негативные последствия не совпадают с целями нарушителей данной категории.»
Соответствие нарушителей уровням защищённости¶
В российской регуляторной практике уровень возможностей актуального нарушителя напрямую влияет на требуемый класс (уровень) защищённости объекта и, соответственно, на набор обязательных мер.
| Тип объекта | Нормативный документ | Связь с нарушителем |
|---|---|---|
| ИСПДн | Приказ ФСТЭК №21, ПП РФ №1119 | Тип угроз (1, 2, 3) и уровень защищённости (УЗ1–УЗ4) зависят от актуального нарушителя |
| ГИС | Приказ ФСТЭК №117 (с 01.03.2026 заменил №17) | Класс защищённости К1–К3 определяется с учётом модели угроз и нарушителя |
| Значимый объект КИИ | Приказ ФСТЭК №239 | Категория значимости (1–3) и меры защиты определяются с учётом актуальных нарушителей |
Актуально в 2025–2026 годах: Приказ ФСТЭК России №117 от 11.04.2025, вступивший в силу 1 марта 2026 года, заменил Приказ №17 от 2013 года. Для ГИС теперь используется обновлённая классификация и требования к составу мер защиты. При разработке модели нарушителя для ГИС необходимо руководствоваться именно новым приказом.
Пример: модель нарушителя для ИСПДн кадровой службы¶
Продолжим сквозной пример из предыдущих лекций.
Шаг 1. Рассматриваем все 13 видов нарушителей.
Шаг 2. Определяем актуальных — через совпадение целей и возможностей.
| Нарушитель | Актуален? | Уровень | Обоснование |
|---|---|---|---|
| Специальные службы иностранных государств | Нет | — | ИСПДн коммерческой организации не содержит сведений разведывательного интереса |
| Террористические группировки | Нет | — | Нет мотива; кадровые данные не являются целью |
| Преступные группы | Да | Н2 | Кража ПДн для продажи на чёрном рынке — устойчивый мотив; атаки на ИСПДн коммерческих организаций фиксируются регулярно |
| Хакеры-одиночки | Да | Н1 | Сканирование и эксплуатация типовых уязвимостей веб-приложений; доступность инструментов (Metasploit, SQLmap) |
| Конкурирующие организации | Да | Н2 | Кража данных о сотрудниках (переманивание кадров, знание зарплатной политики) |
| Разработчики ПО | Нет | — | Используемое ПО — тиражное; риск целенаправленных закладок под конкретную организацию минимален |
| Поставщики услуг (ЦОД, облако) | Нет | — | Система развёрнута на собственном оборудовании в контролируемой зоне |
| Подрядчики (настройка, ПНР) | Да | Н2 | Имели временный привилегированный доступ; риск намеренного или случайного создания backdoor |
| Персонал (администраторы, охрана) | Да | Н2 | Постоянный доступ к системе; риск злоупотребления; особенно актуален администратор СУБД |
| Авторизованные пользователи (HR) | Да | Н1 | Ошибочные действия, превышение полномочий, реакция на фишинг |
| Системные администраторы | Да | Н2 | Полный доступ к инфраструктуре; отсутствие контроля действий PAM |
| Бывшие сотрудники | Да | Н1 | Сохранившиеся учётные данные (если не деактивированы своевременно) |
Шаг 3. Итог — актуальные нарушители и их максимальный уровень возможностей.
Для данной ИСПДн актуальны нарушители уровней Н1 и Н2. Нарушители уровней Н3 и Н4 неактуальны. Это означает, что угрозы, требующие для реализации уровня Н3 или Н4 (например, внедрение аппаратных закладок), из модели угроз исключаются.
Документирование модели нарушителя¶
Модель нарушителя входит в раздел 5 («Источники угроз») документа «Модель угроз безопасности информации» согласно рекомендуемой структуре (Приложение 3 Методики). Для каждого актуального нарушителя фиксируются:
- вид нарушителя (из перечня п. 5.1.3);
- тип (внешний / внутренний);
- уровень возможностей (Н1–Н4);
- возможные цели;
- интерфейсы, доступные нарушителю (сеть, физический доступ, привилегированный доступ).
Связь с другими элементами системы защиты¶
Модель нарушителя — не изолированный документ. Её результаты являются входными данными для нескольких последующих процессов:
- Модель угроз (Лекция 5) — уровень возможностей нарушителя определяет, какие способы реализации угроз являются актуальными.
- Выбор мер защиты (Лекции 6–9) — против нарушителя уровня Н1 достаточно базовых мер; против Н2 нужны PAM-системы, DLP, расширенный мониторинг.
- Аттестация (Лекция 11) — аттестационная комиссия проверяет соответствие реализованных мер модели нарушителя.
Связь с курсом аудита: при проведении аудита ИБ модель нарушителя используется как критерий проверки — насколько реализованные меры соответствуют потенциалу актуальных нарушителей. Подробнее см. Риск-ориентированный подход и Требования ФСТЭК.
Что дальше¶
- Следующая тема: Методологии моделирования угроз — как на основе модели нарушителя строится полная модель угроз по методике ФСТЭК 2021, STRIDE и PASTA
- Связь с мерами защиты: нарушитель уровня Н2 с доступом к внутренней сети — прямое основание для внедрения PAM и DLP (Лекция 6, Лекция 9)
- Смежная тема в курсе менеджмента: Управление рисками — нарушитель как источник риска
Список литературы и нормативных актов¶
- Методика оценки угроз безопасности информации ФСТЭК России (утв. 05.02.2021) — основной документ; особенно Приложения 6, 7, 8, 9
- Приказ ФСТЭК России №117 от 11.04.2025 — требования по защите ГИС (с 01.03.2026 заменил №17)
- Приказ ФСТЭК России №21 от 18.02.2013 — требования по защите ИСПДн
- Приказ ФСТЭК России №239 от 25.12.2017 — требования по защите значимых объектов КИИ
- ПП РФ №1119 от 01.11.2012 — уровни защищённости ПДн и типы угроз
- MITRE ATT&CK — база тактик и техник, сопоставимая с Приложением 11 Методики: attack.mitre.org
- Методика анализа защищённости информационных систем ФСТЭК России (утв. 25.11.2025) — новый документ, применяемый совместно с Методикой оценки угроз
Обновлено С. Антошкин около 22 часа назад · 1 изменени(я, ий)