СЗПДн. Анализ. Выбор мер обеспечения безопасности общедоступных ПДн

Уже достаточно давно обновился комплект подзаконных актов по защите ПДн (ПП 1119 и приказ ФСТЭК №21) а примеров выбора необходимых мер никто не решился опубликовать. Исправим этот недочет.

Возьмем  для примера ИС “корпоративный справочник сотрудников” в котором обрабатываются общедоступные контактные ПДн сотрудников.  

О проблеме защиты таких ИСПДн с учетом новых требований я уже писал ранее.

Такие ИС есть в каждой организации – внутренние web порталы, справочники сотрудников в Outlook, справочники сотрудников систем электронного документооборота, Microsoft AD и других корпоративных ИС, да просто справочник в Excel на общем сетевом диске.

Раньше мы защищали такие ИС используя стандартные меры ИБ, применяющиеся в Организации в целом, не связанные требованиями регулятора. Посмотрим как обстоит дело сейчас.

Первым делом мы определили и зафиксировали основные (не считая УЗ) и дополнительные характеристики ИС.  

Данные характеристики мы будем использовать при моделировании угроз и определении уровня защищенности ИС.

Возникает вопрос – при моделировании угроз мы должны использовать информацию о возможном ущербе субъекту ПДн или Организации-оператору?  Отвечу – законодательство требует учитывать ущерб субъекту ПДн, но по своему усмотрению мы можем учитывать и ущерб организации. В данном случае я рассматриваю только ущерб субъекту, чтобы определить минимально возможный набор мер.

Как видно из таблицы выше, ущерб субъекту нулевой. С сотрудника мы собираем согласие на общедоступность данных, приведенных в справочнике контактной информации. А ущерб субъекту ПДн от нарушения целостности или доступности данных отсутствует, так как ИС создается для обеспечения работы Организации и её производственных процессов.

Если делать экспертную модель угроз (не по РД ФСТЭК) то все угрозы ПДн в такой ИС будут неактуальными, ведь ущерб субъекту ПДн от реализации угроз отсутствует. К сожалению в ПП 1119 не предусмотрен вариант когда угрозы 1 и 2 и 3 типа неактуальны.

Если при определении актуальных угроз руководствоваться документом ФСТЭК «методика определения актуальности угроз…», то уровень исходной защищенности будет низкий. Y₁=10. Показатель опасности угрозы – низкий (нулевого не определено). Получаем что при вероятности угрозы средний или высокий ( = 5 или 10) – угрозу будет актуальна. Но как увидим далее, особой разницы нет.

Изучив ещё раз приказ ФСТЭК №21 подробно, приходим к выводу, что существует только 3 варианта исключения мер ОБПДн из базового набора:

·         В случае, если мера связана с не используемыми технологиями или характеристиками не свойственными ИС

·         В случае невозможности технической реализации меры 

·         Исходя из экономической целесообразности возможна заменена меры на другую меру

В нашем случае используемые технологии стандартны, а характеристики ИС, таковы, что большинство мер не может быть и исключено

С невозможностью технической реализации меры я не столкнулся.

Исходя из экономической целесообразности и с учетом того, что ущерб субъекту ПДн – нулевой, мы могли бы заменить все затратные меры на менее затратные. Но вопрос – на какие? Не заменишь же аутентификацию пользователей – регистрацией событий? Можно было бы заменить аутентификацию пользователей – контролем доступа сотрудников в здание и в помещение. Но у нас ведь ещё возможен удаленный доступ по сети. В общем, сходу подобрать существенно менее затратные альтернативы не удалось.

По ссылке привожу пример документа, в котором зафиксирован перечень мер (SoA) и определены варианты реализации данных мер.

Самый тонкий момент с оценкой соответствия СЗИ.

“4. Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.”

Эту фразу трактуют:

·          и как необходимость оценки соответствия всегда, когда мера используется для нейтрализации актуальных угроз

·         и как определение случаев когда оценка соответствия требуется в рамках моделирования угроз (например в первой части МУ организация фиксирует что СЗИ, прошедшие оценку соответствия необходимо использовать в случаях актуальности угроз, опасность которых = “высокая”)

В нашем случае, как ни крути, получается что СЗИ, прошедшие оценку соответствия не требуются.

СОИБ. Проектирование. Дизайн СОИБ

В тот момент, когда мы уже определили перечень требуемых мер обеспечения ИБ, определили (пока неокончательно) какие из них будут техническими мерами и будут использовать какие технологии, возникает важная и интересная задача проектирования / разработки дизайна СОИБ.

Разработка детального проекта имеет большое влияние на проектные риски при внедрении СОИБ, возможные задержки при внедрении СОИБ и общую стоимость внедрения СОИБ. Только правильный дизайн СОИБ позволит выполнить технические и бизнес требования и при этом повысить производительность, обеспечить высокую доступность, надежность, безопасность и масштабируемость.

Я уже писал статьи про документирование выбора СЗИ и состав хорошего проекта СОИБ. Сейчас хотелось бы обратить внимание на необходимость учесть существующие и планируемые в КИС организации технологические процессы, операции, приложения. Для того чтобы новые системы СОИБ успешно интегрировались в существующую КИС и не нарушили её работу ни на одной из стадий внедрения, мы обращаемся к:

·        опыту конкретных специалистов, проводящих проектирование и внедрение конкретных решений

·        опыту организации, проводящей проектирование и внедрение (интегратор)

·        опыту производителя решения

·        опыту отраслевого объединения в конкретной области

Опыт, полученный из успешных или неуспешных испытаний и внедрений, интеграций систем и документируется в виде руководства по проектированию (design guide). Именно такие документы  могут использоваться широким кругом лиц при проектировании СОИБ.

Документы, в которых учитывается интеграция разных типов решений по защите ИБ и их интеграция в разные типы существующей инфраструктуры, можно назвать лучшими практиками (best practices).

Приведу примеры вопросов, на которые мне хотелось бы получить ответы из таких руководств и лучших практик:

·        какую топологию VPN мне выбрать для организации star, full mesh, partial mesh

·        как взаимоувязать межсетевые экраны и средства построения VPN

·        где разместить публичные сервисы, относительно средств защиты и относительно основной сети

·        как безопаснее всего подключать к сети критические приложения

·        как безопаснее всего подключать к сети критические БД

·        какие меры безопасности реализовывать на уровне узла, а какие на уровне сети

·        в каких точках и на каких уровнях ЦОД разместить средства защиты

·        в каких точках и на каких уровнях распределенного ЦОД разместить средства защиты

·        в каких точках фильтровать почтовый трафик

·        в каких точках фильтровать web трафик

·        в каких точках фильтровать трафик БД

·        в каких точках фильтровать локальный трафик пользователей

·        как будет организована отказоустойчивость в каждой из точек

·        как размещать средства защиты виртуализации?

·        какие решения по защите можно виртуализировать без потери функциональных возможностей, а какие лучше использовать в варианте выделенных аплаенсов?

Фактически единственным производителем, выпускающим  руководства по проектированию в виде лучших практик является Cisco Systems.

К сожалению,  остальные производители выпускают design guide в лучшем случае с решениями, висящими в вакуме. Отраслевые организации тоже нас почти не балуют своими документами.

Ниже привожу краткое сравнение имеющихся в доступе best practices руководства по проектированию СОИБ (не старее 2010 года) от компаний, которые в принципе могли бы создать такие руководства и которыми я периодически пользуюсь при проектировании СОИБ. Прошу не путать с руководствами по установке, настройке и администрированию – они не рассматриваются в данной статье.

Чаще всего приходится использовать SAFE от Cisco Systems даже при проектировании решений другого вендора, так как другой альтернативы просто нет. Именно поэтому у меня за спиной на рабочем месте висят постеры SAFE NG, SAFE for Small Enterprise.

Вендор или отраслевая организация или объединение	Тема design guide	Интеграция решений разных классов	Интеграция еденичных решений в КИС
Cisco Systems	Архитектура комплексной СОИБ (SAFE)	v	v
	Управление сетевым доступом (TrustSec)	v	v
	Защищенная кампусная сесть (Secure Campus)	v	v
	ИБ в удаленном подразделении/дочерней компании (Enterprise Branch Security)	v	v
	ИБ КСПД (Security in WAN)	v	v
	ИБ ЦОД (Data Center Security)	v	v
	ИБ беспроводных сетей (Wireless Security)	v	v
	ИБ мобильных устройств (BYOD)	v	v
	Отраслевые решения ИБ (Industry Solutions Security)	v	v
Juniper	Блок подключения к сети интернет (Internet edge) с кусочками по ИБ		v
Check Point	-
IBM	Архитектура комплексной СОИБ (Security Solutions Architecture for Network, Server and Endpoint)	v	v
	Руководства по интеграции единичных продуктов (например IPS) в КИС		v
HP	ИБ КСПД (Dynamic VPN)	v	v
Fortinet	-
Palo Alto	-
Stonesoft	-
VmWare	ИБ при виртуализации (Virtualisation Security) смотреть Design Guide		v
Symantec	-
McAfee	-
Microsoft	Инфраструктура безопасности (security infrastructure) В основном руководства по интеграции единичных продуктов в КИС		v
Imperva	-
Код Безопасности	-
Инфотекс	-
C-терра СиЭсПи	-
NIST	ИБ технологических систем (Industrial Control Systems Security)	v	v
	ИБ беспроводных сетей (Securing  WLAN)		v
	Обнаружение и предотвращение вторжений (IPS)		v
CSA	ИБ облачных вычислений (Cloud Computing)
ISACA	ИБ мобильных устройств (Securing Mobile Devices)