четверг, 6 ноября 2014 г.

СЗПДн. Анализ. Определение нарушителя для СКЗИ

В связи с выходом приказа ФСБ России по защите ПДн, а так-же в связи со сложностями реализации СКЗИ высоких классов криптографической защиты есть несколько мыслей…

Посмотрим какой порядок действий требуется в части СКЗИ:
Приказ ФСБ Р №378: “5. В соответствии с пунктом 13 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N11191 (далее - Требования к защите персональных данных), для обеспечения 4 уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
...
г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
9. Для выполнения требования, указанного в подпункте "г" пункта 5 настоящего документа, необходимо для каждого из уровней защищенности персональных данных применение СКЗИ соответствующего класса, позволяющих обеспечивать безопасность персональных данных при реализации целенаправленных действий с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемых СКЗИ персональных данных или создания условий для этого (далее - атака), которое достигается путем:
а) получения исходных данных для формирования совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак;
б) формирования и утверждения руководителем оператора совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, и определение на этой основе и с учетом типа актуальных угроз требуемого класса СКЗИ;
в) использования для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе СКЗИ класса КС1 и выше.”

Для выполнения требований ФСБ России мне необходимо (до внедрения и использования СКЗИ) определить перечень актуальных угроз (модель угроз), определить для нейтрализации каких из них требуются СЗКИ, определить возможности нарушителей (модель нарушителя).

В самом простом случае идут по пути реализации в одном документе (как правило, модель угроз) и требований ФСТЭК к определению угроз и требований ФСБ к определению угроз и нарушителей. Рассмотрим такой вариант.

При оценке рисков ИБ ИС наиболее опасными считаются угрозы от источников - внутренних пользователей ИС / сотрудников организации, так что скорее всего для ИС в целом будут актуальны внутренние нарушители (условно назовем Н3)


При таких актуальных типах нарушителей нам требуется использовать СКЗИ сертифицированные по классу не ниже КС3.
Приказ ФСБ Р №378: “10. СКЗИ класса КС1 применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа следующих:
в) проведение атаки, находясь вне пространства, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств (далее контролируемая зона);
д) проведение атак на этапе эксплуатации СКЗИ на:
персональные данные;
и) проведение на этапе эксплуатации атаки из информационно-телекоммуникационных сетей, доступ к которым не ограничен определенным кругом лиц, если информационные системы, в которых используются СКЗИ, имеют выход в эти сети;
к) использование на этапе эксплуатации находящихся за пределами контролируемой зоны АС и ПО из состава средств информационной системы, применяемых на местах эксплуатации СКЗИ (далее - штатные средства).
11. СКЗИ класса КС2 применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных в пункте 10 настоящего документа и не менее одной из следующих дополнительных возможностей:
а) проведение атаки при нахождении в пределах контролируемой зоны;
г) использование штатных средств, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.
12. СКЗИ класса КС3 применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных в пунктах 10 и 11 настоящего документа и не менее одной из следующих дополнительных возможностей:
а) физический доступ к СВТ, на которых реализованы СКЗИ и СФ;”



Если VPN криптошлюзы такого класса можно худо-бедно подобрать и реализовать, то с VPN клиентами – беда. При этом не надо забывать про часто встречаемые ситуации, когда VPN клиенты используются для создания выделенной подсети высокой критичности в рамках крупной корпоративной / ведомственной / отраслевой сети, а не только для доступа из сети Интернет.   

Сертифицированных по КС3 VPN клиентов  раз, два и обчелся плюс есть системные проблемы использования VPN клиентов классов выше КС1 (об этом я писал ранее в серии статей), если сократить до двух фраз, то:
·        сертифицированные по классу КС1 VPN клиенты вам обойдутся в совокупности в 10 раз дороже чем не сертифицированные и заработают на порядка 75% необходимых устройств
·        сертифицированные по классу КС3 VPN клиенты вам обойдутся в совокупности в 10 раз дороже чем сертифицированные по классу КС1 и заработают на порядка 25% необходимых устройств.


Если необходима оптимизация – нужно дробить модель нарушителя, а именно определять актуального нарушителя (возможности нарушителя) для отдельных угроз. Далее, пример анализа в котором оставил столбцы касающиеся данной статьи:

№ п/п
Наименование угрозы (способ реализации угрозы, объект воздействия, используемая уязвимость, деструктивное действие)
....
Актуальность
Нарушитель
Необходимость применения СКЗИ для нейтрализации угрозы
1
Перехват информации, передаваемой по каналам связи, между компонентами ИСПДн расположенными в пределах одной  контролируемой зоны, использующий недостатки протоколов сетевого взаимодействия, приводящий к нарушению конфиденциальности информации

Актуальна
Н2, Н3
Другие меры
2
Перехват информации, передаваемой по каналам связи, между компонентами ИСПДн расположенными в пределах разных  контролируемых зон, использующий недостатки протоколов сетевого взаимодействия, приводящий к нарушению конфиденциальности информации

Актуальна
Н1
СКЗИ, КС1
3
Перехват информации, передаваемой по каналам связи, между компонентом ИСПДн расположенным пределах разных  контролируемой зоны и компонентом ИСПДн, расположенным в неконтролируемой зоне, использующий недостатки протоколов сетевого взаимодействия, приводящий к нарушению конфиденциальности информации

Актуальна
Н1
СКЗИ, КС1
4
Подмена информации, передаваемой по каналам связи, между компонентом ИСПДн, использующий недостатки протоколов сетевого взаимодействия, приводящий к нарушению целостности или доступности информации

Неактуальна
Н1, Н2, Н3
-
5
Локальная загрузка операционной системы с нештатного машинного носителя, для получения доступа к информации хранящейся на жестком диске компонента ИСПДн, использующая недостатки контроля доступа к компонентам ИСПДн, приводящая к нарушению конфиденциальности, целостности и доступности

Актуальна
Н3
Возможно СКЗИ, КС3

 PS: уточняющие вопросы отправлены ФСТЭК и ФСБ. Если будут интересные ответы, напишу...


13 комментариев:

Михаил Новокрещенов комментирует...

Небольшое уточнение по таблице - модель нарушителя по ФСБ определяется только если сформировано решение об использовании СКЗИ. Т.о. в табличке для строки 1, в столбце нарушитель ничего не должно быть, раз принято решение об альтернативном способе противодействия угрозе.
А вообще для снижения класса СКЗИ единственный реальный способ ИМХО - это упор на низкую квалификацию внутренних пользователей (возможности моделей нарушителя) и на относительно низкую ценность информации по сравнению с затратами на взлом, тогда угрозы признаем неактуальными.
Хорошо бы, чтобы ФСБ на этот счет какие-то Методические рекомендации опубликовало. Хотя может и к лучше что их нет, а то совсем заревем ))

Сергей Борисов комментирует...

Михаил, согласен что столбец "нарушитель" для неСКЗИ не нужно заполнять, но во-первых я хотел показать разницу в актуальных нарушителях, во-вторых эту информацию так-же можно (но не обязательно) использовать для выбора мер защиты отличных от СКЗИ.

Ronin комментирует...

В целом все верно, но есть небольшое уточнение. Что в старой модели ФСБ, что в текущем приказе разница между Н2 и Н3 (КС2 и КС3) в сущности в том, что КС3 нужно, если у нас никак иначе не контролируется доступ к средствам СКЗИ, а если внутренние нарушители актуальны, но легитимного физического доступа они не имеют (атаки из КЗ, но без непосредственного доступа), то хватит КС2. на практике мы пишем в МУ в реализованные меры защиты контроль физического доступа, использование выделенных помещений, контроль со стороны пользователей СКЗИ, учет ключей и т.д. (это и так требуется ФСБ) и говорим, что актуальны нарушители со свойствами Н2. С этим КС2 достаточно.

Сергей Борисов комментирует...

to Ronin: не вижу в фразе
"а) физический доступ к СВТ, на которых реализованы СКЗИ и СФ;”"
какого либо уточнения про "Легитимный доступ" или "никак не контролируется доступ" - это ваши домыслы.

Тем не менее: мы оба сойдемся на том что легальный пользователь ИСПДн - это Н3.
В целом из модели нарушителя Н3 мы исключать не можем, так как 80% (50%) опасных инцидентов связано именно с внутренним нарушителем имеющим доступ к информации (по факту).

Моя идея была в том чтобы исключить Н3 из конкретных угроз, для нейтрализации которых мы будем применять СКЗИ

Ronin комментирует...

Сравните фразы:
"проведение атаки при нахождении в пределах контролируемой зоны" и
"имеет физический доступ к СВТ"
Неужели непонятна разница и нужно говорить о домыслах?
В первом случае в модели говорится, что нарушитель находится на территории КЗ (гости и работники), а во втором потенциальный нарушитель имеет доступ в помещения, где размещаются средства СКЗИ. В моделе можно ограничить второй вариант орг-мерами, приняв их достаточными (мы этим по сути и занимаемся в моделях). Иначе можно также красиво и до КА дойти. Кстати, в предыдущих документах ФСБ, где были те самые Н1, Н2,... и говорилось, что возможности нарушителя по физическому доступу зависят от принятых организационных мер. Все осталось, немного скорректировали формулировки. Требования на СКЗИ и меры не изменились. Но это, наверное, тоже все домыслы.

Про легального пользователя и Н3 этотоже интеерсный момент. Легальный пользователь ИСПДн. То есть человек имеет доступ к ПДн. Легально. И он рассматривается как нарушитель, который стремится нарушить конфиденциальность данных, проводя атаки на каналы передачи или средства СКЗИ. Чтобы получить доступ к информации, которая и так ему доступна как пользователю. Меня такой подход мягко говоря удивляет, если честно. Так что нет, оба мы не сойдемся на этом мнении, извините. Отчеты и статистика об опасности внутренних нарушителей - это прекрасно, но нужно понимать от кого и в каких случаях защищаться. Максимум тут - защита от нарушения целостности данных в момент их передачи. Но ведь пользователю проще их тогда изменить в процессе обработки. В общем, даже таким боком не пролазит. Ну разве что притянуть разные права доступа пользователей ИСПДн, но это так, если очень хочется упереться в саму идею - не более.

Игорь А. комментирует...

Отличный материал. Очень понравилось. Спасибо.

Сергей Борисов комментирует...

Коллеги, спасибо за отзывы.

To Ronin: Начну со второй половины.
Если вы внимательно читали статью, то поняли что мы разрабатываем общий документ по требованиям ФСТЭК и по требованиям ФСБ. (Можно делать 2 отдельных документа, но получается больше работы). По РД ФСТЭК нужно анализировать источники атак. По РД ФСБ нужно определять возможности нарушителей при проведении атак (и атак не на СКЗИ, а на ИСПДн).
Все это мы учитываем и составляем общую модель нарушителя.

Из этой основной модели нарушителя, мы например, исключаем спец.службы по определенным причинам, а пользователей и администраторов ИСПДн оставляем.
(к слову сказать, большинство мер из приказа №21 ФСТЭК направленны именно на контроль штатных пользователей)

Далее я предлагаю при рассмотрении каждой угрозы отдельно анализировать потенциальных нарушителей. Может оказаться что угроза ни от одного из них не будет актуальна. Может оказаться что актуальна только от определенного типа нарушителей.
А уже исходя из этого определять требуемый класс СКЗИ


Сергей Борисов комментирует...

To Ronin: По первой части замечания.
Если вы внимательно прочитали статью, то поняли, что для меня важный момент - это именно защита VPN клиентов.
Для шлюзов - можно и пережить КС3, можно и внедрить строгие орг. меры.
Но у нас планируются VPN клиенты. Предположим что они будут у 10% сотрудников. -> АРМы и ноутбуки с СКЗИ будут стоять в 50% помещений организации.
-> Возможность физического доступа к СВТ по факту есть у большого % персонала.
Далее нам уже надо анализировать, актуальны ли угрозы от него или нет.

Ronin комментирует...

Сергей, по ФСТЭК + ФСБ - все так, не вижу никаких разночтений и про анализ нарушители-возможности-угроза-уязвимость-вероятность все верно, такие МУ пишутся каждый месяц.

Про защиту VPN клиентов - понял, просто по контексту думал, что то уточнение просто, основной анализ шел в начале и без привязки предварительной. Но даже это не играет роли:
я так понимаю, рассматривается ситуация, когда с ПДн работает 10% работников и они сидят, скажем, в общих залах с остальными? А как тогда будут реализовываться остальные меры?:
- защита от визуального доступа с монитора, когда коллега без права доступа проходит по залу и смотрит в монитор?
- защита от альтернативной загрузки, включая ноуты. Ну ладно, на самом деле там есть средства, но это не самое удобное решение;
- определение помещений для обработки конф инфы и списки доступа работников - или так и пишутся общие залы и туда всех работников?
на самом деле так возникает куча проблем и вопросов, поэтому обычно пользователи ИСПДн сидят в отдельных комнатах.
Но даже если нет, то существуют разные орг меры, принимаемые регуляторами, которые позволяют скостить угрозы и класс нарушителя: видеонаблюдение, контроль со стороны других работников, опечатывание АРМ, блокировка разъемов, хранение ноутбуков в шкафах, хранение ключевых носителей и документации в сейфах и т.д. и т.п.
Со всем этим, VPN решения КС2 реализуются и модели угроз согласуются с регуляторами.

Но в целом все верно, документы и условия такие, что их можно использовать на свой вкус и если есть именно такое видение, то значит так тому и быть. Я стараюсь создавать меньше проблем себе и заказчикам (при условии легитимности решения разумеется).

ps небольшой вопрос: как так получается, что обычно при передаче данных внутри ЛВС организации никто не использует СКЗИ, так как связанные угрозы не считаются актуальными, а у вас получается, что при использовании СКЗИ (защита при передаче по недоверенным сетям) эти же самые внутренние работники считаются нарушителями класса Н3?

Сергей Борисов комментирует...

Ronin: Ещё раз.
Для конкретной угрозы - считаю что угроза от нарушителя H3 неактуальна.
Если мы строим общую модель нарушителя в целом для всех угроз, то я могу утверждать что хотябы для одной угрозы нарушитель Н3 будет актуален (слив базы на флешку, вход в ИС под чужой учетной записью, ...)

Сергей Борисов комментирует...

Ronin: Вы (чтобы создавать меньше проблем заказчику) всегда по-умолчанию пишете что у заказчика неактуальны нарушители - пользователи ИС и администраторы ИС?

Или только если реально уже принят хороший комплекс мер?

А пользователи ИС и администраторы ИС - неактуальны прямо всегда-всегда для любых систем?
или бывают ситуации?

Ronin комментирует...

Не стоит сразу брать все в штыки. я нигде не писал, что все пользователи и все админы неактуальны для всех угроз в принципе. Это не так, поэтому фактически все вопросы про мой подход не понимаю - это какие-то безотносительные домыслы.

СКЗИ используются для защиты от актуальных угроз нарушения конфиденциальности при передаче информации по незащищенным каналам (это из нормативных доков по ПДн), поэтому и рассматривается эта угроза. Так вот, для данной угрозы тип нарушителя "пользователь ИСПДн" (не ЛВС, а ИСПДн, кстати) сложно назвать актуальным - они и так имеют доступ, так что зачем им трафик перехватывать и взламывать? Вот этот вопрос почему-то остался без ответа
Средства VPN защищают от слива на флэшку или входа под чужим аккаунтом в локальную консоль? К чему эти примеры?
Посмотрите Приказ еще раз, там при определении классов СКЗИ относительно нарушителей везде такая фраза "СКЗИ класса ХХХ применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа следующих". То есть мы рассматриваем СКЗИ только относительно тех угроз/атак, которые они нейтрализуют. Подумайте что нейтрализует VPN и рассматривайте эти атаки и связанные с ними нарушители.

За сим откланиваюсь, потому как "2 аналитика - 3 мнения"

Сергей Борисов комментирует...

да просто нам захотелось поспорить :)
а мнение одно:
когда рассматриваем возможности нарушителей для ИС в целом - возможности одни (max).
когда рассматриваем для конкретных угроз - возможности другие (<max)