8-й Центр ФСБ опубликовал очень интересный, но уже и нечаянный документ, посвященный моделированию угроз персональным данным. Если быть точнее, это не методика моделирования угроз, а методика разработки нормативно-правовых актов, определяющих угрозы ПДн. Откуда такая странная формулировка?
Для этого надо вспомнить предысторию вопроса. Как сейчас помню, в июле 2011-го года мы собрались в АДЭ, в рабочей группе созданной 8-м Центром и посвященной разработке 1119-го Постановления Правительства. Правда, тогда это было 2 постановления. И вот обсуждали мы как раз 19-ю статью, во исполнение которой постановление об определении уровней защищенности и создавалось. И закономерно всплыл вопрос - как учесть угрозы для отдельных видов деятельности, о которых говорит ФЗ-152 и от которых должен был зависеть уровень защищенности? Участниками рабочей группы было предложено два варианта реализации - простой и не очень. “Не очень” заключался в том, что 8-й Центр выпустит под эгидой Правительства или самостоятельно набор типовых моделей угроз, которые будут применяться для разных отраслей. Для операторов связи эту тему захотела сразу подмять под себя АДЭ, что и произошло спустя 3 года, в конце 2014-го (правда, судьба этой инициативы покрыта мраком). Но представитель 8-го Центра тогда выступил против, заявив, что они не готовы для каждого вида деятельности писать свою модель угроз.
Второе предложение заключалось в том, чтобы разработать методику моделирования угроз, который бы уже пользовались отраслевые регуляторы и госорганы. Очевидно было, что без руководства, такие модели никто писать не будет - никто не захочет брать на себя ответственность за всю отрасль или целый госорган. Напишешь мало актуальных угроз - еще и накажут. Напишешь много - в бюджете денег на нейтралиацию не найдешь. В итоге за прошедшее с момента принятия летом 2011-го года последней серьзной редакции ФЗ-152 время, отраслевых моделей так и не появилось. Но идею с методикой 8-й Центр тоже проигнорировал, хотя эксперты предлагали свою помощь и в этом вопросе. Хотя, может быть я и не прав. Вспоминая, что 378-й приказ 8-й Центр тоже "рождал" около 3-х лет, то вполне возможно, что работа над методикой тоже была начата в июле 2012-го года и спустя 3 года мы увидели результат этой работы. Но это неподтвержденная версия.
После моей заметки летом 2013-го года о том, почему бы 8-му Центру не написать все-таки такой руководящий документ, на одном из мероприятий я услышал от первого заместителя директора 8-го Центра Кузьмина Алексея Сергеевича тезис о том, что я нифига не понимаю в действующем законодательстве и ФСБ не обязана писать никаких руководств по моделированию угроз. Правда, выпущенный сейчас методический документ опровергает этот тезис. А может просто ФСБ достали операторы ПДн вопросами о том, как моделировать угрозы...
Но финал закономерен - методичка появилась. Но повторюсь, что это не совсем методика моделирования угроз. Следуя преамбуле документа, он предназначен для тех, кто упомянут в части 5 19-й статьи 152-го закона, т.е. для
Для этого надо вспомнить предысторию вопроса. Как сейчас помню, в июле 2011-го года мы собрались в АДЭ, в рабочей группе созданной 8-м Центром и посвященной разработке 1119-го Постановления Правительства. Правда, тогда это было 2 постановления. И вот обсуждали мы как раз 19-ю статью, во исполнение которой постановление об определении уровней защищенности и создавалось. И закономерно всплыл вопрос - как учесть угрозы для отдельных видов деятельности, о которых говорит ФЗ-152 и от которых должен был зависеть уровень защищенности? Участниками рабочей группы было предложено два варианта реализации - простой и не очень. “Не очень” заключался в том, что 8-й Центр выпустит под эгидой Правительства или самостоятельно набор типовых моделей угроз, которые будут применяться для разных отраслей. Для операторов связи эту тему захотела сразу подмять под себя АДЭ, что и произошло спустя 3 года, в конце 2014-го (правда, судьба этой инициативы покрыта мраком). Но представитель 8-го Центра тогда выступил против, заявив, что они не готовы для каждого вида деятельности писать свою модель угроз.
Второе предложение заключалось в том, чтобы разработать методику моделирования угроз, который бы уже пользовались отраслевые регуляторы и госорганы. Очевидно было, что без руководства, такие модели никто писать не будет - никто не захочет брать на себя ответственность за всю отрасль или целый госорган. Напишешь мало актуальных угроз - еще и накажут. Напишешь много - в бюджете денег на нейтралиацию не найдешь. В итоге за прошедшее с момента принятия летом 2011-го года последней серьзной редакции ФЗ-152 время, отраслевых моделей так и не появилось. Но идею с методикой 8-й Центр тоже проигнорировал, хотя эксперты предлагали свою помощь и в этом вопросе. Хотя, может быть я и не прав. Вспоминая, что 378-й приказ 8-й Центр тоже "рождал" около 3-х лет, то вполне возможно, что работа над методикой тоже была начата в июле 2012-го года и спустя 3 года мы увидели результат этой работы. Но это неподтвержденная версия.
После моей заметки летом 2013-го года о том, почему бы 8-му Центру не написать все-таки такой руководящий документ, на одном из мероприятий я услышал от первого заместителя директора 8-го Центра Кузьмина Алексея Сергеевича тезис о том, что я нифига не понимаю в действующем законодательстве и ФСБ не обязана писать никаких руководств по моделированию угроз. Правда, выпущенный сейчас методический документ опровергает этот тезис. А может просто ФСБ достали операторы ПДн вопросами о том, как моделировать угрозы...
Но финал закономерен - методичка появилась. Но повторюсь, что это не совсем методика моделирования угроз. Следуя преамбуле документа, он предназначен для тех, кто упомянут в части 5 19-й статьи 152-го закона, т.е. для
- Федеральных органов исполнительной власти, осуществляющих функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности,
- Органов государственной власти субъектов Российской Федерации,
- Органов государственных внебюджетных фондов,
- Иных государственных органов в пределах своих полномочий.
Именно они, следуя методике, появившейся спустя 4 года с момента необходимости ее появления, смогут теперь разрабатывать свои отраслевые списки актуальных угроз ПДн. Остальным операторам ПДн "целесообразно руководствоваться" (как написано в документе), этой методикой.
Но насколько эта методика обязательна к применению? Как и предыдущие методические документы ФСБ 2008-го года, данная версия методики не имеет статуса юридически обязательного к исполнению документа. В Минюсте она не зарегистрирована, в источниках публикации официальных нормативно-правовых актов не опубликована, кем подписана - не понятно. На шапке красуется стандартная для методичек ФСБ фраза, что документ “Утвержден руководством 8-го Центра ФСБ”. С документами семилетней давности новую методичку роднит еще и номер, с которого они все начинаются - 149. Наверное это что-то значит, но фиг поймешь что. Возможно это число знаменует собой все необязательные документы 8-го Центра ФСБ по теме персональных данных. Иными словами, данный документ не является обязательным к применению, хотя ряд здравых мыслей и идей в нем присутствует, что позволяет не полностью его отвергать.
Из интересных моментов, на которые я обратил внимание:
- Документ описывает только те моменты, которые находятся в сфере компетенции ФСБ, т.е. применение средств криптографической защиты (СКЗИ) и атаки на них и их окружение. Ни на что другое методика не претендует.
- Методика в целом сочетается (как минимум, не противоречит) с проектом методики моделирования угроз ФСТЭК. Структуры итоговых документов (моделей угроз) по версии ФСТЭК и ФСБ схожи.
- Вопрос применения СКЗИ для защиты ПДн ничем не отличается от аналогичных подходов 2008-го года и от 378-го приказа. Если есть угрозы, которые могут быть нейтрализованы только СКЗИ, надо применять СКЗИ. Однако есть и определенные терминологические оговорки и послабления, которые также в последнее время представители 8-го Центра использовали в своих непубличных выступлениях. В частности перед выпуском 378-го приказа 8-й Центр заявлял в Совете Федерации о творческом подходе к формировании модели нарушителя и необязательности применения СКЗИ даже при передаче ПДн через Интернет. Вспомните один из предложенных Правительством вариантов ухода от применения сертифицированной криптографии.
- Пассаж о том, что СКЗИ обязательны в случае передачи ПДн по каналам связи, незащищенным от перехвата нарушителем передаваемой по ним информации, я бы не рассматривал в контексте, что в Интернет можно использовать только СКЗИ. Это не так. Например, MPLS защищает от перехвата ПДн, если не рассматривать оператора связи в качестве нарушителя. И архивирование защищает. И обезличивание тоже. Да и другие варианты тоже есть.
- Правда, 8-й Центр считает, что делать выводы о том, что MPLS, архивирование или иные механизмы защищают от несанкционированного доступа, может только некая уполномоченная на такие выводы организация. Но ни слова о том, кто ее может на это уполномочивать не сказано. Думаю, что эта фраза сделана в расчете на то, что она отпугнет тех, кто будет уходить от применения сертифицированных СКЗИ :-) Особенно учитывая статус рассматриваемой методички.
- Что касается сертификации СКЗИ, то в документе опять есть терминологическая тонкость, так похожая на фразы из 21-го приказа ФСТЭК. Постулируется, что СКЗИ должны быть... нет, не сертифицированными, а прошедшими оценку соответствия. А список сертифицированных СКЗИ можно найти на сайте ЦЛСЗ ФСБ. В 21-м приказе была заложена та же конструкция - СЗИ должны пройти оценку соответствия, а если будут применяться сертифицированные СЗИ (а обязательная сертификация - это одна из форм оценки соответствия, но не единственная), то они должны соответствия требованиям ФСТЭК. В рассматриваемом документе 8-го Центра, осознанно или нет, зафиксирована та же мысль. А вот если выбираются СКЗИ сертифицированные, то они должны уже соответствовать требованиям 378-го приказа.
- Зачем-то 8-й Центр ушел в документе от понятия "нарушителя", ранее активно используемого; как и от "модели нарушителя", заменив их "источниками атак" и "возможностями источников атак".
- Достаточно гибко 8-й Центр подошел к вопросу признания угроз неактуальными, дав возможность такого решения тем, кто будет писать свои отраслевые модели угроз. При этом в модели должно быть описано, почему та или иная угроза считается неактуальной и что позволяет ее нейтрализовать (в данном контексте нейтрализация угрозы и позволяет считать ее неактуальной).
- Согласование с ФСБ частных моделей угроз операторов ПДн не требуется.
В целом данная методичка ФСБ вызвала у меня скорее положительное, чем отрицательное отношение. Она сбалансирована и позволяет при правильном подходе (и чтении) создать гибкую модель угроз. Такое впечатление, что 8-й Центр устал уже заниматься этой темой, но явно признать возможность использования не только сертифицированных СКЗИ пока не готов. Поэтому появляются такие документы, в которым пытливый ум найдет все, что нужно, а непытливый пойдет по старинке - через сертифицированные СКЗИ. И все довольны :-)
