четверг, 21 мая 2015 г.

СОИБ. Анализ. Определение угроз безопасности. Часть 2

Продолжаем разбирать «Методику определения угроз безопасности информации в информационных системах» (далее – новая методика).

1. По сравнению с методикой определения актуальных угроз безопасности ПДн (старая методика) были существенно обновлены Структурно-функциональные характеристики информационной системы характеризующие проектную защищенность информационной системы. Учтены современные технологии, которые уже  всплывали в приказах ФСТЭК 17, 21, 31 – виртуализация, беспроводные технологии, мобильные клиенты. В проекте новой методики пошли ещё дальше – облачные вычисления, суперкомпьютеры, тонкие клиенты, выделенные каналы, ЦОДы, выделенные сети управления и другое. Всё это влияет на уровень защищенности системы (как правило понижает до низкого).



Сразу возник вопрос, как проводить расчет. В старой методике показатели для структурных характеристик были составлены так, что мы однозначно выбирали только один из пунктов для каждой из 7 характеристик. В новой методике по одному пункту характеристик для данной ГИС могут быть справедливы одновременно характеристики разных уровней защищенности. Например, суперкомпьютеры с виртуализацией или тонкие клиенты + ЦОД. Что делать в таком случае? Суммировать все плюсы / брать максимальный / брать минимальный? Методика требует уточнения.

2.       После определения показателя проектной защищенности ИС но до абзаца с определением уровня защищенности информационной системы при эксплуатации есть такой абзац
“В соответствии с требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, до ввода в эксплуатацию информационной системы должны быть реализованы меры защиты информации, направленные на блокирование (нейтрализацию) актуальных угроз безопасности информации. Таким образом, ввод в эксплуатацию информационной системы осуществляется при условии достижения высокого уровня исходной защищенности информационной системы от  нарушителя с заданным потенциалом.”
 Что это за уровень исходной защищенности информационной системы на этапе ввода в эксплуатацию? Далее никак не разъясняется как его посчитать, но есть требование чтобы он был высоким. Если речь про проектный уровень защищенности, то для ряда систем он никогда не будет высоким (такие уж введены формулы).

3.       Всплыла ещё одна проблема связанная с актуальностью угроз.
Давайте пойдем “от противного” и посмотрим, в каких случаях угроза может быть неактуальной?

В соответствии с таблицей 8, при высокой возможности реализации угрозы, угроза будет актуальна. Следовательно нас интересуют случаи со средней и низкой возможностью. -> Посмотрим на таблицу 4. Средний уровень  возможности реализации угрозы достижим уровне проектной защищенности не ниже среднего (и при этом при низком потенциале нарушителя). -> Средний уровень проектной защищенности получается если не менее 90% характеристик информационной системы соответствуют уровню не ниже «средний». Всего 10 характеристик. А значит должно быть не более 1 характеристики оцененной по низкому уровню защищенности.

Давайте посмотрим что за системы не попадают в средний уровень проектной защищенности:
·         Пункт 7 таблицы 3. “7. По режимам обработки информации в информационной системе”.   95 % из встреченных мной ГИС были многопользовательскими. Следовательно это дает нам одно гарантированный пункт низкого уровня защищенности
·         Кроме этого достаточно попадания хотя бы одной характеристики из перечня ниже чтобы заработать ещё один пункт низкого уровня защищенности:
o   подключена к сети Интернет,
o   взаимодействует с другими ИС,
o   применяется ЦОД,
o   применяется виртуализация,
o   распределенная система

Опять же, все ГИС, кроме небольших муниципальных ИС и подавляющее большинство ИСПДн попадают на как минимум 2 пункта низкого уровня защищенности и получают в итоге низкий уровень проектной защищенности что автоматически влечет расчет ВСЕХ угроз как актуальных.

По сути, нам достаточно в начале анализа посмотреть относится ли ИС к автономным и однопользовательским и только для них рассчитывать актуальность угроз. Для всех остальных ИС можно не заниматься расчетами, все угрозы и так будут актуальными.


1 комментарий:

-)гоист комментирует...

Да, по таблице со структурными характеристиками несколько моментов: например, в п. 2 и п. 3 можно вообще ничего не выбрать (то же автономное АРМ)