Недавно коллеги обращались ко мне с вопросом, а почему администраторов ИБ исключают из перечня потенциальных нарушителей.
Ниже приведу те обоснования, которые я встречал в документах и использовал сам.
А пока "теория":
Ниже приведу те обоснования, которые я встречал в документах и использовал сам.
А пока "теория":
- В базовой модели ФСТЭК (кто еще такую помнит) рассматриваются администраторы безопасности сегмента ИСПДн и всей ИСПДн: возможных рекомендаций по выводам об их "потенциальности" или хотя бы намеков в документе нет, поэтому оператор должен сам их рассмотреть и привести обоснование исключения таких администраторов из списка потенциальных нарушителей;
- Методические рекомендации ФСБ (опять же, кто помнит :). Есть "магический" абзац, позволяющий нам исключить администраторов из потенциальных нарушителей: "Как правило, привилегированные пользователи информационной системы исключаются из числа потенциальных нарушителей". Но при этом следует помнить, что документом можно руководствоваться при определении угроз, когда для защиты используются криптосредства (хотя сам статус документа
позволяетиспользовать его и в других областях).
Вот именно положение из Методических рекомнедаций ФСБ и легло в основу многих обоснований "непотенциальности" администраторов ИБ как нарушителей ИБ.
В конце приведу те обоснования исключения администраторов из списка нарушителей, которые я встречал:
В конце приведу те обоснования исключения администраторов из списка нарушителей, которые я встречал:
- назначаются из числа особо доверенных лиц;
- ссылка на документ ФСБ: "привилегированные пользователи информационной системы исключаются из числа потенциальных нарушителей";
- ознакомлены и следуют должностным инструкциям (и что?);
- ...
Перечень, скорее всего, дополню чуть позже и другими вариантами.
В идеальном варианте при дальнейшем рассматрении источников угроз, их возможностей, а также принимая во внимание имеющиеся контроли вероятны два варианта:
В идеальном варианте при дальнейшем рассматрении источников угроз, их возможностей, а также принимая во внимание имеющиеся контроли вероятны два варианта:
- Принятие риска угроз ИБ от администраторов ИБ приемлемым для организации.
- Попытка снижения риска за счет внедрения каких-либо мер (например, тестирование администраторов на полиграфах, анализ биографий и т.д. насколько хватит возможностей) и если дальнейшее принятие остаточного риска
Таким образом, для сокращения процесса анализа угроз и рисков ИБ, а также волокиты с согласованиями и экономии бумаги в большинстве случаев можно ограничиться дежурным "назначаются из числа особо доверенных лиц".
