среда, 19 ноября 2014 г.

СОИБ. Анализ. Оценка ущерба в ИБ

Важно и нужно проводить оценку ущерба активам от угроз ИБ. Она потребуется при:
·        анализе рисков (ИСО 2700x, Cobit и др.),
·        выполнении требований законодательства по ПДн
·        моделировании угроз безопасности ПДн, ГИС, АСУ
·        замене одних мер защиты ПДн, ГИС, АСУ на другие компенсирующие
·        внутреннего маркетинга ИБ, обосновании необходимости службы ИБ, обоснования любых инвестиций в ИБ и т.п.

Не обязательно дожидаться запуска какого либо крупного проекта (например, по ПДн, АСУ, ГИС).  

Провести высокоуровневую оценку ущерба нужно как можно раньше, а результаты использовать в следующих проектах / мероприятиях.

Хорошо если активы в компании уже оценены в общем. Тогда ущерб активу от угроз ИБ будет составлять некоторую часть от его цены (не превышать). Даже если нет – самое время оценивать. Конечно же, к оценке будем привлекать владельцев активов.  

Чтобы правильно оценить ущерб нужно кроме прямых финансовых потерь учесть другие возможные последствия реализации угроз (и перевести их в деньги). Если точная оценка какого либо значения вызовет затруднения (недавно Михаил Хромов жаловался на невозможность оценки) – берите экспертные мнения (от трех экспертов и более). Если согласовывать бюджет вам будут те же лица, которые давали экспертную оценку ущерба (владельцы систем) – то проблем возникнуть не должно. К тому же опыт показывает что точный расчет и экспертная оценка в итоге дают схожий результат.

Для каждого актива (детализацию выбирайте сами, но я бы взял крупно – однотипные группы ИС) нужно высокоуровнево оценить ущерб от нарушения свойств (конфиденциальности, целостности и доступности) от совокупности всех угроз ИБ. Для этого отвечаем на следующие вопросы:
·        прямой финансовый ущерб (сумма в руб.)
·        ущерб от потери клиентов (общее количество клиентов, % из них которые будут потеряны в течении следующего года, средний годовой доход от одного клиента)
·        потери от уменьшения стоимости ценных бумаг (общая стоимость ценных бумаг, % на который уменьшится стоимость в течении года)
·        потери от неполучения доходов по неклиентским договорам (общее сумма договоров, по которым получаем доходы, % договоров по которым будет не получен доход)
·        потери от невыполнения обязательств по договорам (общее количество договоров по которым возможно невыполнение обязательств, средняя стоимость санкций которые начисляются за невыполнение обязательств)
·        штрафы за нарушение законодательства
·        возможные потери от в результате отзыва лицензий (доход от лицензируемой деятельности в год, для лицензий связанных с ИБ)
·        стоимость судебных издержек на дела по нарушению законодательства и условий договоров
·        затраты персонала на устранение последствий реализации угроз (количество человекомесяцев, стоимость человекомесяца)
·        затраты на материалы/оборудования для устранения последствий реализации угроз
·        командировочные и представительские расходы для устранения последствий реализации угроз



четверг, 6 ноября 2014 г.

СЗПДн. Анализ. Определение нарушителя для СКЗИ

В связи с выходом приказа ФСБ России по защите ПДн, а так-же в связи со сложностями реализации СКЗИ высоких классов криптографической защиты есть несколько мыслей…

Посмотрим какой порядок действий требуется в части СКЗИ:
Приказ ФСБ Р №378: “5. В соответствии с пунктом 13 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N11191 (далее - Требования к защите персональных данных), для обеспечения 4 уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
...
г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
9. Для выполнения требования, указанного в подпункте "г" пункта 5 настоящего документа, необходимо для каждого из уровней защищенности персональных данных применение СКЗИ соответствующего класса, позволяющих обеспечивать безопасность персональных данных при реализации целенаправленных действий с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемых СКЗИ персональных данных или создания условий для этого (далее - атака), которое достигается путем:
а) получения исходных данных для формирования совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак;
б) формирования и утверждения руководителем оператора совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, и определение на этой основе и с учетом типа актуальных угроз требуемого класса СКЗИ;
в) использования для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе СКЗИ класса КС1 и выше.”

Для выполнения требований ФСБ России мне необходимо (до внедрения и использования СКЗИ) определить перечень актуальных угроз (модель угроз), определить для нейтрализации каких из них требуются СЗКИ, определить возможности нарушителей (модель нарушителя).

В самом простом случае идут по пути реализации в одном документе (как правило, модель угроз) и требований ФСТЭК к определению угроз и требований ФСБ к определению угроз и нарушителей. Рассмотрим такой вариант.

При оценке рисков ИБ ИС наиболее опасными считаются угрозы от источников - внутренних пользователей ИС / сотрудников организации, так что скорее всего для ИС в целом будут актуальны внутренние нарушители (условно назовем Н3)


При таких актуальных типах нарушителей нам требуется использовать СКЗИ сертифицированные по классу не ниже КС3.
Приказ ФСБ Р №378: “10. СКЗИ класса КС1 применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа следующих:
в) проведение атаки, находясь вне пространства, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств (далее контролируемая зона);
д) проведение атак на этапе эксплуатации СКЗИ на:
персональные данные;
и) проведение на этапе эксплуатации атаки из информационно-телекоммуникационных сетей, доступ к которым не ограничен определенным кругом лиц, если информационные системы, в которых используются СКЗИ, имеют выход в эти сети;
к) использование на этапе эксплуатации находящихся за пределами контролируемой зоны АС и ПО из состава средств информационной системы, применяемых на местах эксплуатации СКЗИ (далее - штатные средства).
11. СКЗИ класса КС2 применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных в пункте 10 настоящего документа и не менее одной из следующих дополнительных возможностей:
а) проведение атаки при нахождении в пределах контролируемой зоны;
г) использование штатных средств, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.
12. СКЗИ класса КС3 применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных в пунктах 10 и 11 настоящего документа и не менее одной из следующих дополнительных возможностей:
а) физический доступ к СВТ, на которых реализованы СКЗИ и СФ;”



Если VPN криптошлюзы такого класса можно худо-бедно подобрать и реализовать, то с VPN клиентами – беда. При этом не надо забывать про часто встречаемые ситуации, когда VPN клиенты используются для создания выделенной подсети высокой критичности в рамках крупной корпоративной / ведомственной / отраслевой сети, а не только для доступа из сети Интернет.   

Сертифицированных по КС3 VPN клиентов  раз, два и обчелся плюс есть системные проблемы использования VPN клиентов классов выше КС1 (об этом я писал ранее в серии статей), если сократить до двух фраз, то:
·        сертифицированные по классу КС1 VPN клиенты вам обойдутся в совокупности в 10 раз дороже чем не сертифицированные и заработают на порядка 75% необходимых устройств
·        сертифицированные по классу КС3 VPN клиенты вам обойдутся в совокупности в 10 раз дороже чем сертифицированные по классу КС1 и заработают на порядка 25% необходимых устройств.


Если необходима оптимизация – нужно дробить модель нарушителя, а именно определять актуального нарушителя (возможности нарушителя) для отдельных угроз. Далее, пример анализа в котором оставил столбцы касающиеся данной статьи:

№ п/п
Наименование угрозы (способ реализации угрозы, объект воздействия, используемая уязвимость, деструктивное действие)
....
Актуальность
Нарушитель
Необходимость применения СКЗИ для нейтрализации угрозы
1
Перехват информации, передаваемой по каналам связи, между компонентами ИСПДн расположенными в пределах одной  контролируемой зоны, использующий недостатки протоколов сетевого взаимодействия, приводящий к нарушению конфиденциальности информации

Актуальна
Н2, Н3
Другие меры
2
Перехват информации, передаваемой по каналам связи, между компонентами ИСПДн расположенными в пределах разных  контролируемых зон, использующий недостатки протоколов сетевого взаимодействия, приводящий к нарушению конфиденциальности информации

Актуальна
Н1
СКЗИ, КС1
3
Перехват информации, передаваемой по каналам связи, между компонентом ИСПДн расположенным пределах разных  контролируемой зоны и компонентом ИСПДн, расположенным в неконтролируемой зоне, использующий недостатки протоколов сетевого взаимодействия, приводящий к нарушению конфиденциальности информации

Актуальна
Н1
СКЗИ, КС1
4
Подмена информации, передаваемой по каналам связи, между компонентом ИСПДн, использующий недостатки протоколов сетевого взаимодействия, приводящий к нарушению целостности или доступности информации

Неактуальна
Н1, Н2, Н3
-
5
Локальная загрузка операционной системы с нештатного машинного носителя, для получения доступа к информации хранящейся на жестком диске компонента ИСПДн, использующая недостатки контроля доступа к компонентам ИСПДн, приводящая к нарушению конфиденциальности, целостности и доступности

Актуальна
Н3
Возможно СКЗИ, КС3

 PS: уточняющие вопросы отправлены ФСТЭК и ФСБ. Если будут интересные ответы, напишу...