СЗПДн. Анализ. Определение нарушителя для СКЗИ
В связи с выходом приказа ФСБ России по защите ПДн, а так-же в связи со сложностями реализации СКЗИ высоких классов криптографической защиты есть несколько мыслей…
Посмотрим какой порядок действий
требуется в части СКЗИ:
Приказ ФСБ Р №378: “5.
В соответствии с пунктом 13 Требований к защите персональных данных при их
обработке в информационных системах персональных данных, утвержденных
постановлением Правительства Российской Федерации от 1 ноября 2012 г. N11191
(далее - Требования к защите персональных данных), для обеспечения 4 уровня
защищенности персональных данных при их обработке в информационных системах
необходимо выполнение следующих требований:
...
г) использование
средств защиты информации, прошедших процедуру оценки соответствия требованиям
законодательства Российской Федерации в области обеспечения безопасности
информации, в случае, когда применение таких средств необходимо для
нейтрализации актуальных угроз.
9. Для выполнения
требования, указанного в подпункте "г" пункта 5 настоящего документа,
необходимо для каждого из уровней защищенности персональных данных применение
СКЗИ соответствующего класса, позволяющих обеспечивать безопасность
персональных данных при реализации целенаправленных действий с использованием
аппаратных и (или) программных средств с целью нарушения безопасности
защищаемых СКЗИ персональных данных или создания условий для этого (далее -
атака), которое достигается путем:
а) получения исходных
данных для формирования совокупности предположений о возможностях, которые
могут использоваться при создании способов, подготовке и проведении атак;
б) формирования и
утверждения руководителем оператора совокупности предположений о возможностях,
которые могут использоваться при создании способов, подготовке и проведении
атак, и определение на этой основе и с учетом типа актуальных угроз требуемого
класса СКЗИ;
в) использования для
обеспечения требуемого уровня защищенности персональных данных при их обработке
в информационной системе СКЗИ класса КС1 и выше.”
Для выполнения требований ФСБ
России мне необходимо (до внедрения и использования СКЗИ) определить перечень
актуальных угроз (модель угроз), определить для нейтрализации каких из них
требуются СЗКИ, определить возможности нарушителей (модель нарушителя).
В самом простом случае идут по
пути реализации в одном документе (как правило, модель угроз) и требований
ФСТЭК к определению угроз и требований ФСБ к определению угроз и нарушителей.
Рассмотрим такой вариант.
При оценке рисков ИБ ИС наиболее
опасными считаются угрозы от источников - внутренних пользователей ИС / сотрудников
организации, так что скорее всего для ИС в целом будут актуальны внутренние
нарушители (условно назовем Н3)
При таких актуальных типах
нарушителей нам требуется использовать СКЗИ сертифицированные по классу не ниже
КС3.
Приказ ФСБ Р №378: “10.
СКЗИ класса КС1 применяются для нейтрализации атак, при создании способов,
подготовке и проведении которых используются возможности из числа следующих:
в) проведение атаки,
находясь вне пространства, в пределах которого осуществляется контроль за
пребыванием и действиями лиц и (или) транспортных средств (далее контролируемая
зона);
д) проведение атак на
этапе эксплуатации СКЗИ на:
персональные данные;
и) проведение на этапе
эксплуатации атаки из информационно-телекоммуникационных сетей, доступ к
которым не ограничен определенным кругом лиц, если информационные системы, в
которых используются СКЗИ, имеют выход в эти сети;
к) использование на
этапе эксплуатации находящихся за пределами контролируемой зоны АС и ПО из
состава средств информационной системы, применяемых на местах эксплуатации СКЗИ
(далее - штатные средства).
11. СКЗИ класса КС2
применяются для нейтрализации атак, при создании способов, подготовке и проведении
которых используются возможности из числа перечисленных в пункте 10 настоящего
документа и не менее одной из следующих дополнительных возможностей:
а) проведение атаки
при нахождении в пределах контролируемой зоны;
г) использование
штатных средств, ограниченное мерами, реализованными в информационной системе,
в которой используется СКЗИ, и направленными на предотвращение и пресечение
несанкционированных действий.
12. СКЗИ класса КС3
применяются для нейтрализации атак, при создании способов, подготовке и
проведении которых используются возможности из числа перечисленных в пунктах 10
и 11 настоящего документа и не менее одной из следующих дополнительных
возможностей:
а) физический доступ к
СВТ, на которых реализованы СКЗИ и СФ;”
Если VPN криптошлюзы такого
класса можно худо-бедно подобрать и реализовать, то с VPN клиентами –
беда. При этом не надо забывать про часто встречаемые ситуации, когда VPN клиенты используются для
создания выделенной подсети высокой критичности в рамках крупной корпоративной /
ведомственной / отраслевой сети, а не только для доступа из сети Интернет.
Сертифицированных по КС3 VPN клиентов
раз, два и обчелся плюс есть системные проблемы
использования VPN клиентов классов выше КС1 (об этом я писал ранее в серии статей), если сократить до двух фраз, то:
·
сертифицированные по классу КС1 VPN клиенты
вам обойдутся в совокупности в 10 раз дороже чем не сертифицированные и
заработают на порядка 75% необходимых устройств
·
сертифицированные по классу КС3 VPN клиенты
вам обойдутся в совокупности в 10 раз дороже чем сертифицированные по классу КС1
и заработают на порядка 25% необходимых устройств.
Если необходима оптимизация –
нужно дробить модель нарушителя, а именно определять актуального нарушителя (возможности
нарушителя) для отдельных угроз. Далее, пример анализа в котором оставил
столбцы касающиеся данной статьи:
№ п/п
|
Наименование угрозы (способ реализации угрозы, объект
воздействия, используемая уязвимость, деструктивное действие)
|
....
|
Актуальность
|
Нарушитель
|
Необходимость применения СКЗИ для нейтрализации угрозы
|
1
|
Перехват информации, передаваемой по каналам связи, между компонентами
ИСПДн расположенными в пределах одной контролируемой зоны, использующий недостатки
протоколов сетевого взаимодействия, приводящий к нарушению конфиденциальности
информации
|
Актуальна
|
Н2, Н3
|
Другие меры
|
|
2
|
Перехват информации, передаваемой по каналам связи, между компонентами
ИСПДн расположенными в пределах разных контролируемых зон, использующий недостатки протоколов
сетевого взаимодействия, приводящий к нарушению конфиденциальности информации
|
Актуальна
|
Н1
|
СКЗИ, КС1
|
|
3
|
Перехват информации, передаваемой по каналам связи, между компонентом
ИСПДн расположенным пределах разных контролируемой зоны и компонентом ИСПДн,
расположенным в неконтролируемой зоне, использующий недостатки протоколов
сетевого взаимодействия, приводящий к нарушению конфиденциальности информации
|
Актуальна
|
Н1
|
СКЗИ, КС1
|
|
4
|
Подмена информации, передаваемой по каналам связи, между компонентом
ИСПДн, использующий недостатки протоколов сетевого взаимодействия, приводящий
к нарушению целостности или доступности информации
|
Неактуальна
|
Н1, Н2, Н3
|
-
|
|
5
|
Локальная загрузка операционной системы с нештатного машинного
носителя, для получения доступа к информации хранящейся на жестком диске
компонента ИСПДн, использующая недостатки контроля доступа к компонентам
ИСПДн, приводящая к нарушению конфиденциальности, целостности и доступности
|
Актуальна
|
Н3
|
Возможно СКЗИ, КС3
|
Комментарии
А вообще для снижения класса СКЗИ единственный реальный способ ИМХО - это упор на низкую квалификацию внутренних пользователей (возможности моделей нарушителя) и на относительно низкую ценность информации по сравнению с затратами на взлом, тогда угрозы признаем неактуальными.
Хорошо бы, чтобы ФСБ на этот счет какие-то Методические рекомендации опубликовало. Хотя может и к лучше что их нет, а то совсем заревем ))
"а) физический доступ к СВТ, на которых реализованы СКЗИ и СФ;”"
какого либо уточнения про "Легитимный доступ" или "никак не контролируется доступ" - это ваши домыслы.
Тем не менее: мы оба сойдемся на том что легальный пользователь ИСПДн - это Н3.
В целом из модели нарушителя Н3 мы исключать не можем, так как 80% (50%) опасных инцидентов связано именно с внутренним нарушителем имеющим доступ к информации (по факту).
Моя идея была в том чтобы исключить Н3 из конкретных угроз, для нейтрализации которых мы будем применять СКЗИ
"проведение атаки при нахождении в пределах контролируемой зоны" и
"имеет физический доступ к СВТ"
Неужели непонятна разница и нужно говорить о домыслах?
В первом случае в модели говорится, что нарушитель находится на территории КЗ (гости и работники), а во втором потенциальный нарушитель имеет доступ в помещения, где размещаются средства СКЗИ. В моделе можно ограничить второй вариант орг-мерами, приняв их достаточными (мы этим по сути и занимаемся в моделях). Иначе можно также красиво и до КА дойти. Кстати, в предыдущих документах ФСБ, где были те самые Н1, Н2,... и говорилось, что возможности нарушителя по физическому доступу зависят от принятых организационных мер. Все осталось, немного скорректировали формулировки. Требования на СКЗИ и меры не изменились. Но это, наверное, тоже все домыслы.
Про легального пользователя и Н3 этотоже интеерсный момент. Легальный пользователь ИСПДн. То есть человек имеет доступ к ПДн. Легально. И он рассматривается как нарушитель, который стремится нарушить конфиденциальность данных, проводя атаки на каналы передачи или средства СКЗИ. Чтобы получить доступ к информации, которая и так ему доступна как пользователю. Меня такой подход мягко говоря удивляет, если честно. Так что нет, оба мы не сойдемся на этом мнении, извините. Отчеты и статистика об опасности внутренних нарушителей - это прекрасно, но нужно понимать от кого и в каких случаях защищаться. Максимум тут - защита от нарушения целостности данных в момент их передачи. Но ведь пользователю проще их тогда изменить в процессе обработки. В общем, даже таким боком не пролазит. Ну разве что притянуть разные права доступа пользователей ИСПДн, но это так, если очень хочется упереться в саму идею - не более.
To Ronin: Начну со второй половины.
Если вы внимательно читали статью, то поняли что мы разрабатываем общий документ по требованиям ФСТЭК и по требованиям ФСБ. (Можно делать 2 отдельных документа, но получается больше работы). По РД ФСТЭК нужно анализировать источники атак. По РД ФСБ нужно определять возможности нарушителей при проведении атак (и атак не на СКЗИ, а на ИСПДн).
Все это мы учитываем и составляем общую модель нарушителя.
Из этой основной модели нарушителя, мы например, исключаем спец.службы по определенным причинам, а пользователей и администраторов ИСПДн оставляем.
(к слову сказать, большинство мер из приказа №21 ФСТЭК направленны именно на контроль штатных пользователей)
Далее я предлагаю при рассмотрении каждой угрозы отдельно анализировать потенциальных нарушителей. Может оказаться что угроза ни от одного из них не будет актуальна. Может оказаться что актуальна только от определенного типа нарушителей.
А уже исходя из этого определять требуемый класс СКЗИ
Если вы внимательно прочитали статью, то поняли, что для меня важный момент - это именно защита VPN клиентов.
Для шлюзов - можно и пережить КС3, можно и внедрить строгие орг. меры.
Но у нас планируются VPN клиенты. Предположим что они будут у 10% сотрудников. -> АРМы и ноутбуки с СКЗИ будут стоять в 50% помещений организации.
-> Возможность физического доступа к СВТ по факту есть у большого % персонала.
Далее нам уже надо анализировать, актуальны ли угрозы от него или нет.
Про защиту VPN клиентов - понял, просто по контексту думал, что то уточнение просто, основной анализ шел в начале и без привязки предварительной. Но даже это не играет роли:
я так понимаю, рассматривается ситуация, когда с ПДн работает 10% работников и они сидят, скажем, в общих залах с остальными? А как тогда будут реализовываться остальные меры?:
- защита от визуального доступа с монитора, когда коллега без права доступа проходит по залу и смотрит в монитор?
- защита от альтернативной загрузки, включая ноуты. Ну ладно, на самом деле там есть средства, но это не самое удобное решение;
- определение помещений для обработки конф инфы и списки доступа работников - или так и пишутся общие залы и туда всех работников?
на самом деле так возникает куча проблем и вопросов, поэтому обычно пользователи ИСПДн сидят в отдельных комнатах.
Но даже если нет, то существуют разные орг меры, принимаемые регуляторами, которые позволяют скостить угрозы и класс нарушителя: видеонаблюдение, контроль со стороны других работников, опечатывание АРМ, блокировка разъемов, хранение ноутбуков в шкафах, хранение ключевых носителей и документации в сейфах и т.д. и т.п.
Со всем этим, VPN решения КС2 реализуются и модели угроз согласуются с регуляторами.
Но в целом все верно, документы и условия такие, что их можно использовать на свой вкус и если есть именно такое видение, то значит так тому и быть. Я стараюсь создавать меньше проблем себе и заказчикам (при условии легитимности решения разумеется).
ps небольшой вопрос: как так получается, что обычно при передаче данных внутри ЛВС организации никто не использует СКЗИ, так как связанные угрозы не считаются актуальными, а у вас получается, что при использовании СКЗИ (защита при передаче по недоверенным сетям) эти же самые внутренние работники считаются нарушителями класса Н3?
Для конкретной угрозы - считаю что угроза от нарушителя H3 неактуальна.
Если мы строим общую модель нарушителя в целом для всех угроз, то я могу утверждать что хотябы для одной угрозы нарушитель Н3 будет актуален (слив базы на флешку, вход в ИС под чужой учетной записью, ...)
Или только если реально уже принят хороший комплекс мер?
А пользователи ИС и администраторы ИС - неактуальны прямо всегда-всегда для любых систем?
или бывают ситуации?
СКЗИ используются для защиты от актуальных угроз нарушения конфиденциальности при передаче информации по незащищенным каналам (это из нормативных доков по ПДн), поэтому и рассматривается эта угроза. Так вот, для данной угрозы тип нарушителя "пользователь ИСПДн" (не ЛВС, а ИСПДн, кстати) сложно назвать актуальным - они и так имеют доступ, так что зачем им трафик перехватывать и взламывать? Вот этот вопрос почему-то остался без ответа
Средства VPN защищают от слива на флэшку или входа под чужим аккаунтом в локальную консоль? К чему эти примеры?
Посмотрите Приказ еще раз, там при определении классов СКЗИ относительно нарушителей везде такая фраза "СКЗИ класса ХХХ применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа следующих". То есть мы рассматриваем СКЗИ только относительно тех угроз/атак, которые они нейтрализуют. Подумайте что нейтрализует VPN и рассматривайте эти атаки и связанные с ними нарушители.
За сим откланиваюсь, потому как "2 аналитика - 3 мнения"
а мнение одно:
когда рассматриваем возможности нарушителей для ИС в целом - возможности одни (max).
когда рассматриваем для конкретных угроз - возможности другие (<max)