понедельник, 9 декабря 2013 г.

СОИБ. Анализ. Серия 2. предложения к Методическим рекомендациям ФСТЭК по защите ГИС

Проект методического документа ФСТЭК России “Меры защиты информации в государственных информационных системах”.
Продолжаю замечания и предложения:

1.      Опять СЗИ или не СЗИ?
Приказ 17 ФСТЭК требует:
"11. Для обеспечения защиты информации, содержащейся в информационной системе, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации"

В очередной раз Регулятор не воспользовался возможностью чтобы объяснить:  что же такое средство защиты информации при принятии решения о необходимости сертификации.

Это не было сделано в постановлении правительства 1119. Не было сделано в приказе 17 и 21 ФСТЭК. Казалось бы,  если не в методическом документе, то где?

Посмотрим на проблему в конкретной ситуации:

Например, в ИАФ.1 есть требование
"Пользователи информационной системы должны однозначно идентифицироваться и аутентифицироваться для всех видов доступа..."

Мне не повезло, у меня в организации нет SSO.

В начале работы с ИС я включаю АРМ, прохожу аутентификацию в Электронном замке (прикладываю таблетку), потом в ОС Linux (ввожу пароль), потом в службе каталогов LDAP (пароль), потом захожу в службу терминалов Citrix (пароль), там запускаю приложение  SAP (пароль), в ходе работы с ИС периодически захожу ещё в различные сервисы (например, выкладываю файлы на FTP и т.п.)
Даже для пользователя 1 ИС у нас набирается  порядка 10 доступов.

Во всех доступах я должен применить меру защиты информации "ИАФ.1".
В соответствии с приказом 17 я буду обязан сертифицировать все эти 10 сервисов доступа (только для одной ИАФ.1 десять сертификаций !!!)

Ведь ни где не указывается что достаточно одного сертифицированного средства защиты информации.

Придется сертифицировать всё. В том числе SAP.

А если у меня ИС 1 и 2 класса, то придется этот SAP ещё и по 4 уровню НДВ сертифицировать. А это астрономические суммы и сроки.

Я не верю что регулятор так и планировал. Скорее просто недодумал с какими проблемами столкнутся операторы.

Предложение (Вариант 1):  Ввести определение, которое бы ограничивало множество “средства защиты информации”

Предложение (Вариант 2):  Совместно с группой экспертов подготовить перечень типов средств защиты информации, которые сертифицированы или могут быть сертифицированы в ближайший год. Явно написать, что требуется сертификация для средств защиты информации  приведенных типов. Можно так-же привести в подразделах “требования к реализации мер защиты информации”, что если применяются средства защиты информации таких то типов, то требуется их сертификация.

Предложение (Вариант 3):  Уточнить что при дублировании мер безопасности различными средствами защиты, обязательна сертификация одного из них.

2.      Используемые термины.

Цитирую ИАФ.1
“3) в информационной системе должна обеспечиваться многофакторная (двухфакторная) аутентификация для сетевого (с использованием сети связи общего пользования, в том числе сеть Интернет) доступа в систему с правами непривилегированных учетных записей (пользователей);
5) в информационной системе должна обеспечиваться многофакторная (двухфакторная) аутентификация для локального (без использования информационно-телекоммуникационной сети) доступа в систему с правами непривилегированных учетных записей (пользователей);”

Первый раз вижу чтобы “удаленный доступ” обозвали “сетевым доступом”.
Позвольте, а куда попадает доступ к ИС через локальную вычислительную сеть (ЛВС)?

ЛВС – это информационно-телекоммуникационная сеть; смотрим 149-ФЗ.

Но ЛВС – это не сеть связи общего пользования; смотрим  126-ФЗ.

Разработчики забыли про ЛВС? В этом же документе есть мера “УПД.13 Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети”

Похоже дело в другом -  разработчики перечня базовых мер и разработчики описаний конкретных мер не согласовали терминологию между собой.

Предложение 2:  определить корректный, не противоречащие законодательству РФ базовый набор структурно-функциональных  характеристик ИС (как я предлагал в предыдущей серии). Далее, в описании всех мер, использовать единые наименования характеристик ИС.

11 комментариев:

Михаил Новокрещенов комментирует...

Я боюсь, что если попросить регулятора определить состав СЗИ, или описать что из программно-технических мер может (должно) с его точки зрения реализовываться именно средствами защиты, то ответ от него будет очень коротким - все.
Вопрос очень тонкий и требует серьезной проработки, поэтому лучше бы (с точки зрения реализации) его вынести в отдельный документ. А пока факт отсутствия четкой терминологии по средствам защиты я считаю однозначным основанием для облегчения жизни оператора в плане реализации мер (мы же как интеграторы как бы в его интересах должны действовать)

Сергей Борисов комментирует...

Я считаю что отсутствие четкости или несогласованность одних пунктов с другими не дает нам права поступать как угодно.

Мы, честны с заказчиком, поэтому будем ему говорить что документы написаны нечетко, позволяют различные трактовки, и вы должны учитывать риски что во время проверки вам могут ткнуть в любое устройство и потребовать его сертификации (так как хоть какие-то меры безопасности оно выполняет), выписать штрафы, потребовать увольнения ответственного.

В такой ситуации именно Оператору придется думать - или ввязываться в бесконечную многомилионную сертификацию всего что может быть или сертифицировать часть и быть готовым в любой момент понести наказание.

Михаил Новокрещенов комментирует...

Ставить оператора в известность - это безусловно обязательное условие. Но лично я (как и принципы правоприменения) для своих заказчиков подобное положение дел трактую в их пользу - все, что не запрещено, то разрешено. Правовой консалтинг и защита от регулятора - отличный бонус к любому проекту по ИБ.

Сергей Борисов комментирует...

Трактуешь ты, а ответственность несет оператор

Сергей Борисов комментирует...

Я всего лишь хочу большей четкости от Регулятора. Это не так и сложно. Написать что в 2014-2015 году сертифицировать надо такой то перечень. Далее разработать больше профилей и добавить требования

Ronin комментирует...

Пара комментариев по предложениям и замечаниям.
Сразу скажу, что ни в коей мере не оправдываю регуляторов - документы действительно имеют недостатки и приведенные примеры не самые страшные. Но речь скорее о том, что и в данной ситуации все вполне решаемо.

1. По поводу что есть СЗИ, а что нет. "средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации" - из формулировки уже следует косвенно, что на СЗИ должны существовать РД и соответствующие методики для проведения сертификации. У нас же их нет для SSO или DLP. Но это косвенно, да и новые РД появляются и ожидаются далее. Основная точка отсчета - что Оператор сам считает СЗИ, на чем реализует меры защиты. МУ же он сам разрабатывает и определяет угрозы, а соответственно, рассматривает СЗИ, направленные на закрытие данных угроз. Соответственно что Оператор объявит средством разграничения доступа, направленным на закрытие угрозы несанкционированного доступа - то и сертифицируйте. Думаю очевидно, что в МУ прописываются каналы реализации угроз и можно определить достаточные и основные точки разграничения доступа в каждом отдельном случае. Если доступ в SAP, ftp и т.д. дает равные права доступа к защищаемым сведениям, то можно защитить только АРМ каким-нибудь SN или DL. Если разграничение на разные права доступа на уровне SAP - сертифицируйте его, если не можете придумать альтернативное решение. Они есть.
По определению типов средств или планов на год - это не серьезные предложения. РД, как было сказано, развиваются, появляются новые. Вгонять себя в рамки и каждый год издавать новый приказ никто не будет.

2. По сетям связи. В том же 126-ФЗ в определении выделенной сети связи (к которой, очевидно, есть желание отнести ЛВС) явно указано "Выделенная сеть связи может быть присоединена к сети связи общего пользования с переводом в категорию сети связи общего пользования, если выделенная сеть связи соответствует требованиям, установленным для сети связи общего пользования." Чисто выделенные сети не имеют присоединения к сети связи общего пользования, что обычно не подходит для типовой ЛВС. Таким образом, стандартны ЛВС обычно классифицируются регуляторами как сети общего пользования (на конференциях по перс данным, кстати, этот вопрос освещался как-то представителями ФСБ).

Сергей Борисов комментирует...

Ronin:
2. не могу согласится.
"1. Сеть связи общего пользования предназначена для возмездного оказания услуг электросвязи любому пользователю услугами связи на территории Российской Федерации и включает в себя ..."
ЛВС для этого не предназначена.

1. У нас есть РД - 17 приказ ФСТЭК. Там куча требования к перечню мер защиты информации.
Всё что входит в перечень базовых мер - мы обязаны реализовать. Ничего тут убрать нельзя. Можно выбрать только дополнительные меры.
Всё что реализует эти меры (все что выполняет идентификацию пользователя) - СЗИ.
Значит должно быть сертифицировано.

Кто сказал что можно выбирать то что мы назовем СЗИ? Этого нигде не написано.
А чего я добиваюсь? Чтобы это явно написали.

Ronin комментирует...

2. А к чему тогда относится ЛВС по ФЗ? :) Все верно, не предназначена для возмездного оказания услуг изначально, но может быть переведена в данную категорию. В общем все по ст. 14. ЛВС по логике только туда может вписаться.

1. По порядку:
17 приказ, пункт 15.1:
•выбираются меры защиты информации, подлежащие реализации в системе защиты информации информационной системы
•определяются виды и типы средств защиты информации, обеспечивающие реализацию технических мер защиты информации
То есть мы сами определяем какие из мер чем мы будем реализовывать. Решим, что разраничение доступа нужно на всех уровнях и всех элементах ИС - значит нужно делать так. Решим, что нужно только на АРМ - значит так. Для того и нужна МУ.
Кстати, еще стоит помнить, что меры защиты (а именно они определены в приказе) != техническим средствам защиты и только часть из них реализуется именно техническими средствами, которые должны быть сертифицированы.
Далее, пункт 21, второй шаг - "• адаптацию базового набора мер защиты информации применительно к структурно-функциональным характеристикам информационной системы, информационным технологиям, особенностям функционирования информационной системы (в том числе предусматривающую исключение из базового набора мер защиты информации мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе)" - это ответ на тему того, что мы ничего из базового набора не исключаем.
Ну и сюда же можно отнести пункт 23: "При невозможности реализации в информационной системе в рамках ее системы защиты информации отдельных выбранных мер защиты информации на этапах адаптации базового набора мер защиты информации или уточнения адаптированного базового набора мер защиты информации могут разрабатываться иные (компенсирующие) меры защиты информации, обеспечивающие адекватное блокирование (нейтрализацию) угроз безопасности информации" - тут, кстати, явно сделан упор именно на блокирование актуальных угроз, то есть МУ у нас не просто необходимая бумажка, а мы ей непосредственно руководствуемся.
Ну и, наконец, 24 пункт: "Меры защиты информации выбираются и реализуются в информационной системе в рамках ее системы защиты информации с учетом угроз безопасности информации применительно ко всем объектам и субъектам доступа на аппаратном, системном, прикладном и сетевом уровнях, в том числе в среде виртуализации и облачных вычислений"
То есть, опять же, исходя из МУ, Оператор сам выбирает где и как ему реализовать меры защиты (и использовать технические средства защиты в частности).

Ronin комментирует...

Да, кстати, касательно 126-ФЗ. А по нему выходит, что оператор ЛВС (то есть почти любое юр. лицо) предоставляет услуги связи, являясь оператором данной ЛВС? И все должны получать лицензию на деятельность по предоставлению услуг связи. Что-то нестыковка выходит.

Сергей Борисов комментирует...

Ronin: почитайте обсуждаемый методический документ (2.3 пункт в) . Там модель угроз только для одного - для того чтобы определить дополнительные меры защиты (если базовых недостаточно).

На этапе адаптации мы ничего "выбирать" не можем. Просто учитывать структурно-функциональные характеристики у нашей системы.

Всё остальное по поводу выбора, это так-же ваши домыслы. Потому что таких слов в Методическом документе не написано.

А написано следующее
"ИАФ.1 Пользователи информационной системы должны однозначно идентифицироваться и аутентифицироваться для всех видов доступа..."
Значит я ОБЯЗАН во всех видах доступа (которые я привел) использовать меры защиты (а они и используются в данный момент. не выключать же идентификацию и авторизацию в приложении SAP или в терминальном доступе Citrix или в остальных)

Или возьмем
"ИАФ.7: В информационной системе должна осуществляться идентификация и аутентификация объектов файловой системы, запускаемых и исполняемых модулей, объектов систем управления базами данных, объектов, создаваемых прикладным и специальным программным обеспечением, иных объектов доступа."
Тут не указано что мы можем чтото выбирать. Должны и точка.
Объекты доступа в Прикладном ПО как правило можно идентифицировать и аутентифицировать только самим прикладным ПО. То есть сертификация прикладного и специального ПО - гарантировано нужна.

Если мы таким образом будем идти по всем требованиям то в выполнении тех или иных мер у нас обязательно будет участвовать вся ИТ-инфраструктура: СПО, ППО, СУБД, web-сервисы, другие сетевые сервисы, коммутаторы, маршрутизаторы, точки беспроводного доступа, хранилища, средства резервного копирования, мониторинга.

Я хотел бы четко услышать от регулятора - всё ли это нужно сертифицировать?
И если одни и те же меры выполняются несколькими средствами - то хотел бы увидеть положение, разрешающее выбирать только одно средство для сертификации.

Сергей Борисов комментирует...

По 126-ФЗ, оператор связи - это только тот, кто оказывает возмездные услуги. Таким нужна лицезия