четверг, 30 января 2014 г.

СЗПДн. Анализ. Меры защиты SAP

Продолжаю предыдущую статью, в корой была определена модель угроз SAP. Теперь можно выбирать меры защиты ИС.

Будем делать выбор с учетом требований законодательства и методического документа ФСТЭК Р, но для упрощения задачи предположим что у нас не ГИС, а только ИСПДн. Усиливать требования не буду.

Вариант 1. Консервативный. В данном варианте будем использовать известные, общеупотребимые и документированные методы создания СЗПДн. Если методика какой-либо оптимизации отсутствует, она не будет применяться.
Делай раз. Определение базового набора мер. Берем столбец в котором стоят плюсы для УЗ 3.
Делай два. Адаптируем базовый набор мер с учетом структурно-функциональных характеристик (которые я привел в предыдущей статье) или используемых ИТ. Так как у нас система типовая (распределенная, с подключением к сети Интернет , c применением удаленного доступа, с применением беспроводных технологий и мобильных средств, многопользовательская, с разными правами доступа и т.п.)  не вижу структурных характеристик, которые позволили бы обосновать исключение мер защиты. Базовый набор остается без изменений.
Делай три. Дополняем меры, если это требуется для нейтрализации актуальных угроз. В соответствии с моделью угроз, приведенной в предыдущей статье, дополняем мерами по аудиту доступа, обнаружению вторжений на компоненты СУБД, ограничению  доступа пользователей к наиболее ценной информации.
Делай четыре. Дополняем меры по требованиям других нормативных актов. В рамках данной статьи рассматривается универсальный вариант ИС на базе SAP, без привязки к отрасли, поэтому дополнительные нормативные акты не рассматриваю.
Получившийся перечень мер в виде SoA привожу по ссылке (так как большой документ) .
Делай пять. Выбираем способы реализации мер. Так как иного в методическом документе ФСТЭК Р не написано, то считаем, что меры защиты должны применятся для всех объектов защиты – компонентов ИС (операционных систем, прикладного ПО, СУБД, сервисов удаленного доступа, беспроводного доступа, сетевого оборудования). У нас нет официального варианта отказаться от защиты каких либо компонентов.

Варианты реализации мер защиты ПДн так-же включил в SoA. Кроме организационных мер получился большой перечень технических средств реализующих меры защиты: SS, SAST, FW, VPN, IPS или WAF, AV, OS, App, DB, Wireless, WAN, LAN, MDM, SIMS.

Все приведенные средства должны пройти оценку соответствия. Никаких официальных способов обоснования отсутствия необходимости оценки соответствия ФСТЭК Р не определил.

В консервативном варианте оценка соответствия = сертификация. Так как это единственный документально определенный способ оценки соответствия. В этом варианте можно сказать, что претензий средству защиты у регулятора точно не будет - он сам поставит свою печать на сертификате.

В общем – вариант хороший. Вот только сертификация всех приведенных выше средств займет время большее, чем срок эксплуатации ИС. А стоимость устремится в бесконечность. И вариантов частично облегчить себе жизнь – нет.


Вариант 2. Либеральный. В данном варианте будем пытаться оптимизировать СЗПДн и использовать для различные уловки или недокументированные регулятором способы. Привожу только этапы, на которых есть различие.

Делай два. Адаптируем базовый набор мер с учетом структурно-функциональных характеристик (которые я привел в предыдущей статье) или используемых ИТ.  Единственная лазейка по исключению из базового набора меры, которая не требуется для нейтрализации актуальных угроз – тут. Будем считать что есть такая особенность функционирования ИС  - “функционирование ИС при неактуальной угрозе X”. Тогда исходя из особенностей функционирования ИС, можно исключить некоторые меры. (Можно исключить все меры если все угрозы неактуальны).



Делай три. Дополняем меры, если это требуется для нейтрализации актуальных угроз. Учитывая предыдущий пункт можно сразу выкинуть все меры из базового набора, а потом добавить только те, которые необходимы для нейтрализации актуальных угроз .

Делай пять. При выборе способов реализации мер учитываем актуальность угроз для различных объектов защиты (они отображены в модели угроз из предыдущей статьи). Если угроза актуальная только для одного объекта защиты (например БД), то и меры защиты, связанные с этой угрозой, применяем только для этого объекта защиты.
Требований к форме документирования способов реализации мер у ФСТЭК Р - нет. Поэтому опять задокументируем в виде схемы технических мер защиты.



Как видно, обязательных средств защиты получилось существенно меньше = VPN, WAF, DBF, SS, SAST, SIEM; а значит сроки и затраты на сертификацию могут быть приемлемыми.
Если нет – то используем ещё одну лазейку способ оптимизации.

“4. Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.”

Можно трактовать это требование так, что оператор при моделировании угроз  определяет случаи, в которых для нейтрализации актуальных угроз необходимо использовать СЗИ, прошедшие оценку соответствия. Поэтому, если проблематично провести сертификацию – пишем, что сертифицированное СЗИ не требуется для нейтрализации данной угрозы. Как вариант, можно это сделать в SoA.




В либеральном варианте есть один подвох – надо быть готовым обосновывать отстаивать свое мнение и свои нестандартные подходы перед регулятором. В том числе надо быть готовым отстаивать свое мнение в суде. Службе ИБ лучше сразу обговаривать такие перспективы с юридической службой.


1 комментарий:

А.А. комментирует...

Читаем. Хорошая статья