понедельник, 26 января 2015 г.

СЗПДн. Вопросы и ответы. Выбор мер обеспечения безопасности ПДн и проблема СЗИ

В конце прошлого года у меня подобралось несколько вопросов в рамках защиты ПДн, по которым не было однозначного ответа. При этом ряд знакомых экспертов (Артем Агеев, Николай Домуховский и д.р.) советовали не заниматься публичными рассуждениями, а писать письма регуляторам.

Письма были написаны, давайте посмотрим что получилось с вопросами к ФСТЭК России:

Вопрос 1. Возможно ли при выборе мер обеспечения безопасности ПДн в ИСПДн исключать меры защиты из базового набора, на том основании, что связанные с данной мерой угрозы безопасности ПДн – неактуальны?
а) Если да, то на каком этапе выполняется данное исключение (адаптации, уточнения, дополнения)?
(примечание автора – данный вопрос возник с связи с наличием различных трактовок приказа №21 ФСТЭК в части исключения мер защиты, так как в явном виде в приказе не указано, что исключение возможно исключение мер защиты, связанных с неактуальными угрозами. Так-же сторонники “возможности исключения” не могут назвать явно, на каком этапе выбора нужно делать такое исключение при поэтапном подходе)

Ответ 1. В соответствии с Содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным приказом ФСТЭК России от 18 февраля 2013 г. № 21, исключение мер по обеспечению безопасности персональных данных возможно на этапах адаптации базового набора мер и уточнения адаптированного базового набора мер по обеспечению безопасности персональных данных.

Вопрос 2. Можно ли при определении актуальности угрозы БПДн учитывать имеющиеся исходно не сертифицрованные СЗИ и на этом основании корректировать показатели опасности или вероятности угрозы?
(примечание автора – данный вопрос возник в связи с различием трактовок: с одной стороны существующие у оператора не сертифицированные СЗИ в реальности влияют на показатели опасности и вероятности угроз; с другой стороны есть требования что СЗИ, применяемые для защиты ПДн должны пройти оценку соответствия, а значит неоцененные СЗИ мы и рассматривать не должны)

Ответ 2. В соответствии с Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной ФСТЭК России 14 февраля 2008 г.,  наличие средств защиты информации влияет на определение вероятности  реализации угроз безопасности персональных данных.

Вопрос 3. Относятся ли следующее ПО к СЗИ:
a)      Средства резервного копирования и восстановления информации
b)      Средства защиты от DDoS-атак на уровне сети (DDoS Protection)
c)      Средства мониторинга и анализ действий пользователей (User Activity Monitoring)
d)      Средства фильтрации и контроля web-трафика (Web Security)
e)      Средства контроля доступа к web- приложениям на уровне сети (Web Application Firewall)
f)       Средства контроля доступа к базам данных на уровне сети (DataBase Firewall)
g)      Средства контроля доступа к файлам на уровне сети (File Activity Monitoring)
h)      Средства контроля доступа в сеть (Network Access Control – NAC)
i)       Средство обеспечения однократного входа (Single Sign-On – SSO)
j)       Средства централизованного управления учетными данными (Identity Management)
k)      Средства централизованного управления конфигурацией устройств, входящих в состав СЗПДн (Information Security Management)
l)       Средства централизованного сбора событий, в том числе событий ИБ (Log сервер)
m)    Средства централизованного мониторинга работоспособности устройств и их функций, входящих в состав СЗПДн
n)      Средства централизованного управление событиями ИБ (Security Information and Event Management – SIEM)
o)     Средства анализа защищенности (Vulnerability Management)
(примечание автора – данный вопрос возник в связи с различием трактовок средства защиты информации, которые неоднократно обсуждались в блогах тут и тут и имеют большое значение => отнесение ПО к СЗИ сразу же влечет необходимость его оценки соответствия / сертификации, что приводит к значительно большим затратам операторов, которые приняли за СЗИ все дополнительное ПО, перечисленное выше)


Ответ 3.  В соответствии с  постановлением Правительства Российской Федерации от 15 мая 2010 г. № 330, и национальным стандартом ГОСТ Р 50922-96 «Защита информации. Основные термины и определения» средствами защиты информации является продукция, предназначенная для защиты информации, средства, в которых она реализована, а также средства контроля эффективности защиты информации.
В соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17, и Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. № 21, в информационной системе персональных данных должны быть реализованы организационные и технические меры по защите информации, направленные на блокирование (нейтрализацию) угроз безопасности информации со стороны внешних и внутренних нарушителей.
Технические меры реализуются посредством применения программных или программно-технических средств защиты информации.
В случае, если используемое в информационной системе персональных данных программные или программно-технические средства имеют механизмы защиты и обеспечивают выполнение установленных требований о защите информации, то указанные средства являются средствами защиты информации и подлежат обязательной сертификации на соответствие требованиям по безопасности информации.

Вопрос 4. На соответствие чему должны быть сертифицированы СЗИ в составе СЗПДн, если для данного типа СЗИ не разработаны специальные требования или профили?
a) Если сертификация на соответствие требований ТУ или Задания по безопасности, то какие требования должны быть прописаны в данных документах

Ответ 4. В случае, если средство защиты информации не удовлетворяет требованиям, содержащимся в документах, утвержденных ФСТЭК России, оно может быть сертифицировано на соответствие требованиям безопасности информации, содержащихся в технических условиях на данную продукцию или в задании по безопасности на данную продукцию, разработанных и утвержденных заявителем на сертификацию указанного изделия.
Технические условия на средство защиты информации должны соответствовать положениям стандарта ГОСТ 2.114-95 «Единая система конструкторской документации. Технические условия».
При этом, в разделе «Технические требования» технических условий на средство защиты информации должны содержатся требования по безопасности информации, включающие в себя полный набор функциональных требований безопасности к продукции, сформулированных в соответствии с мерами по обеспечению безопасности персональных данных, содержащимися в приложении к Составу и содержанию организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденному приказом ФСТЭК России от 18 февраля 2013 г. № 21, в случае сертификации данного средства защиты информации для защиты персональных данных при их обработке в информационных системах персональных данных.
Задание по безопасности на средство защиты информации должно удовлетворять положениям национальных стандартов Российской Федерации ГОСТ Р ИСО/МЭК 15408.
В задании по безопасности на средство защиты информации должны быть указаны функциональные требования безопасности к продукции, соответствующие положениям национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-2-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности» и реализуемые посредством полного состава функций безопасности изделия, и требования доверия к безопасности к продукции, соответствующие положениям национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности».

Из ответов можно сделать следующие выводы:  
·        свободный подход к оценке соответствия из моей предыдущей статьи не подходит
·        нет смысла объявлять большое количество ПО и компонентов ИТ-инфраструктуры (коммутаторы, маршрутизаторы, СУБД, ОС, системные сервисы, прикладное ПО)  участвующим в обеспечении безопасности ПДн –> всё оно потом подлежит обязательной сертификации
·        при наличие несертифицированных СЗИ оптимальнее всего учитывать их при моделировании угроз -> определять угрозы неактуальными –> исключать меры связанные с данными угрозами и с данными СЗИ
·        не смотря на убедительные речи Алексея Лукацкого и Алексея Волкова, требования регуляторов у нас не на столько либеральны чтобы в одном проекте по СЗПДн достигать выполнение требований и Регуляторов и Бизнеса. Выгоднее разделать на два проекта – СЗПДн и СОИБ. СЗПДн – необходимый минимум мер и сертифицированные СЗИ. СОИБ – объективная оценка рисков, многоуровневая защита,   в том числе несертифицированными СЗИ и ПО.  



10 комментариев:

-)гоист комментирует...

Сергей, вместе с предыдущим постом по оценке соответствия, не совсем понял, почему подход из того поста в связи с указанными ответами регулятора уже не работает?

Сергей Борисов комментирует...

Посмотрите ответ 3.
"... подлежат обязательной сертификации на соответствие требованиям по безопасности информации"

Ronin комментирует...

Про обязательную сертификацию скорее всего описка или занесло уже в след 17 приказа. ФЗ выше уровнем и там действительно заявлены варианты оценки (подтверждения соответствия) и да, обязательная сертификация - не единственный вариант. Вот только, как и тут указано в 4 пункте, для любого другого подтверждения соответствия нужны ТУ, задания, определяющие требования, и регламенты проведения самого подтверждения соответствия.
Так что реалии где-то посередине между "только сертифицированное" и "можно все, проведем приемочные испытания и ок"

Пьянченко Андрей комментирует...

Сергей, данный подход в части определения (не)актуальности угроз не устроит коллег из ФСБ России. Коллеги из ФСБ считают, и считают обосновано, что первично "яйцо", а не "курица", т.е. СЗИ в ИСПДн появляются на этапе проектирования ПОИБ, чему предшествует классификация, моделирование угроз и нарушителя и формирования ЧТЗ на ПОИБ. Другими словами, наличие СЗИ не делает угрозы неактуальными. Данный подход работает только с угрозами НДВ.

Сергей Городилов комментирует...

Если говорить о корпоративном ПО, то СЗИ в том или ином виде содержатся практически во всех прикладных продуктах. Идентификация, Пароли, регистрация событий, ограничение доступа, обеспечение конфиденциальности, целостности, ЭП, отказоустойчивости, резервирование и т.п.
Таким образом, куда ни ткни, везде нужна сертификация. Куда ни ткни, везде пустующая ниша для инновации в области ИБ :)
Алексей Лукацкий и другие эксперты многократно и неустанно указывают на несоответствие данного порядка реалиям. Т.к. ниши эти некоммерциализуемы.
Вопрос ведь в чём: всё новое всегда в 10 раз дороже. Если этого нет, то будь готов заплатить в 10 раз дороже, чем если бы тиражируемый продукт-СЗИ-фича уже был на рынке. К примеру, если нет у ERP-системы сертификата, то будь готов раскошелиться на конкретное внедрение и билд, а правильнее - на поддержание жизненного цикла продукта в сертифицированном состоянии, включая обновления.
Уместно заметить, что ЖЦ корпоративных продуктов от задумки до снятия с эксплуатации равен минимум 10-15 годам, а по ключевым продуктам и технологиям - 20-25 годам. Уместно заметить о необходимости тесной кооперации процесса разработки между разработчиками ERP и ИБ-модулей для неё в течение всего жизненного цикла.
Какой такой Заказчик готов за это платить столько лет? А без заказчика производитель никто...
А коли такие требования и такая цена для их выполнения, то сфера применения их - весьма узкая.

Возьмем простой расчет: если средства ИБ стоят 10% от стоимости ИС (что близко к тому, на что могут быть готовы заказчики). Если мы хотим СЗИ для ИС, в которой СЗИ не сертифицированы, то, умножив это на 10, получаем 100% от стоимости ИС - вот та сумма, которую следует потратить на новое несуществующее доселе в терминологии ГОСТов СЗИ.

Т.е. если SAP с необходимым набором из десятка подсистем стоил до кризиса 50млнр, то следует потратить, грубо говоря, еще 50млн, чтобы её разово защитить по требованиям ФСТЭК. Т.к. СЗИ нету на рынке.
Разово, а если весь ЖЦ?
В общем, порядок цифр понятен.

В ответе 3 ФСТЭК говорит о приказе 17. Т.е. это для государственных систем. Не сказать, что узкоспециализированная сфера. Это сфера интенсивного развития в последние годы.

Алексей Волков комментирует...

> В случае, если используемое в информационной системе персональных данных программные или программно-технические средства имеют механизмы защиты и обеспечивают выполнение установленных требований о защите информации, то указанные средства являются средствами защиты информации и подлежат обязательной сертификации на соответствие требованиям по безопасности информации.

Это на основании чего?

Пьянченко Андрей комментирует...

Алексей,
Постановление Правительства Российской Федерации от 1 ноября 2012 года № 1119, п.13, г)- использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз

Сергей Борисов комментирует...

Ronin: в ответе 3 - упоминается и 17 и для 21 приказ и в конце для всех - сертификация.

Алексей Волков:
Видимо это на основании ПП 330, которое упоминается в том же 3-ем ответе.

Сергей Борисов комментирует...

Пьянченко Андрей: да, от ФСБ тоже есть ответ и чуть позже напишу про него.

Roman W комментирует...

Сергей посмотрите информационное сообщение фстэк от 25 июля 2014 года №240/22/2748 пункт 3.
Для 31 приказа, как и 21 нет обязательной сертификации. Информационное сообщение это подтверждает.
А вот в 17 требование сертификации явно есть.