ГОСТ Р55036—2012/ISO/TS 25237:2008
В данной модели три основные сущности:
a) обезличенная база данных2
Эта база данных содержит обезличенные записи. В ней хранятся данные о неизвестных субъектах. Она
является источником, содержащим потенциально чувствительную информацию, которая не должна быть рас
крыта:
b
) злоумышленник
Злоумышленником считается лицо, которое намеревается злоупотребить информацией, содержащейся в
обезличенной базе данных. Для этого ему нужно связать обезличенную информацию с реальными лицами, то
есть восстановить идентичность субъектов данных, хранящихся вэтой базе:
c) база данных наблюдений
База данных, собираемых злоумышленником, содержащая идентифицирующую информацию.
Предположения о характере умысла очень важны для анализа угроз. Злоумышленниками могут быть люди,
пользующиеся случаем ради забавы и любопытства, или тренированные профессионалы, принадлежащие к
группе, поставившей себе определенную цель в получении конфиденциальной информации и располагающей
значительными финансовыми и техническими ресурсами.
Злоумышленник наполняет свою базу данных «наблюдениями», релевантными для атаки. Эти наблюдения
могут иметь различные источники, например:
- информация, хранящаяся в существующих базах данных, содержащих идентифицирующую информацию:
- социальные контакты: сбор информации, на которую в обычных условиях злоумышленник не имеет права,
путем общения с другими людьми;
- фактические данные, то есть данные, собранные с помощью наблюдений в прямом смысле этого слова.
В настоящем контексте «релевантные» (для атаки) наблюдения означает, что собираемая информация
должна иметь отношение к содержанию обезличенной базы данных, то есть эта информация или имеет прямое
отношение к этому содержанию, или тесно связана с ним.
В.2 Модельугроз, цели и средства злоумышленника
Одно из достоинств понятия «база данных наблюдений» состоит в том. что оно позволяет определить
категории методов, которые мог бы использовать реальный злоумышленник. Действительно, анализ безопасно
сти и защиты обычно (неявно) основан на оценке угрозы воздействия на систему. Например, модель безопасно
сти современной криптографии открытых ключей основана на том факте, что злоумышленник может располагать
только ограниченными финансами (вычислительными ресурсами).
В основном уровень угрозы злоумышленника определяется двумя характеристиками: 1) цель атаки (что
будет делать злоумышление после атаки?) и 2) средства воздействия, которыми может располагать злоумыш
ленник (рисунок В.2). Последние связаны с «ценностью», которую информация, восстановленная из
обезличен ной базы данных, имеет для злоумышленника. Если чувствительная информация, скрытая в
обезличенных дан ных. может обеспечить злоумышленнику большой выигрыш (например, медицинсхие карты
для страховой ком пании). он будет готов вложить в процесс восстановления идентичности большие средства.
2Под обезличенностью здесь имеется в виду, что база данных не содержит непосредственно идентифици
рующую информацию (например, фамилию субъекта данных), то есть обезличенная база данных упоминается в
широком смысле. Достаточно очевидно, что модели угроз строятся только для таких баз данных.
Обезличенная
база данных
Средства
РИСУНОКВ.2 — Цель и средства злоумышленника
38