6 Ноября, 2014

СЗПДн. Анализ. Определение нарушителя для СКЗИ

Сергей Борисов
В связи с выходом приказа ФСБ России  по защите ПДн, а так-же в связи со сложностями реализации СКЗИ высоких классов  криптографической защиты есть несколько мыслей…

Посмотрим какой порядок действий требуется в части СКЗИ:
Приказ ФСБ Р №378: “5. В соответствии с пунктом 13 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N11191 (далее - Требования к защите персональных данных), для обеспечения 4 уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
...
г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
9. Для выполнения требования, указанного в подпункте "г" пункта 5 настоящего документа, необходимо для каждого из уровней защищенности персональных данных применение СКЗИ соответствующего класса, позволяющих обеспечивать безопасность персональных данных при реализации целенаправленных действий с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемых СКЗИ персональных данных или создания условий для этого (далее - атака), которое достигается путем:
а) получения исходных данных для формирования совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак;
б) формирования и утверждения руководителем оператора совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, и определение на этой основе и с учетом типа актуальных угроз требуемого класса СКЗИ;
в) использования для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе СКЗИ класса КС1 и выше.”

Для выполнения требований ФСБ России мне необходимо (до внедрения и использования СКЗИ) определить перечень актуальных угроз (модель угроз), определить для нейтрализации каких из них требуются СЗКИ, определить возможности нарушителей (модель нарушителя).

В самом простом случае идут по пути реализации в одном документе (как правило, модель угроз) и требований ФСТЭК к определению угроз и требований ФСБ к определению угроз и нарушителей. Рассмотрим такой вариант.

При оценке рисков ИБ ИС наиболее опасными считаются угрозы от источников - внутренних пользователей ИС / сотрудников организации, так что скорее всего для ИС в целом будут актуальны внутренние нарушители (условно назовем Н3)


При таких актуальных типах нарушителей нам требуется использовать СКЗИ сертифицированные по классу не ниже КС3.
Приказ ФСБ Р №378: “10. СКЗИ класса КС1 применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа следующих:
в) проведение атаки, находясь вне пространства, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств (далее контролируемая зона);
д) проведение атак на этапе эксплуатации СКЗИ на:
персональные данные;
и) проведение на этапе эксплуатации атаки из информационно-телекоммуникационных сетей, доступ к которым не ограничен определенным кругом лиц, если информационные системы, в которых используются СКЗИ, имеют выход в эти сети;
к) использование на этапе эксплуатации находящихся за пределами контролируемой зоны АС и ПО из состава средств информационной системы, применяемых на местах эксплуатации СКЗИ (далее - штатные средства).
11. СКЗИ класса КС2 применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных в пункте 10 настоящего документа и не менее одной из следующих дополнительных возможностей:
а) проведение атаки при нахождении в пределах контролируемой зоны;
г) использование штатных средств, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.
12. СКЗИ класса КС3 применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных в пунктах 10 и 11 настоящего документа и не менее одной из следующих дополнительных возможностей:
а) физический доступ к СВТ, на которых реализованы СКЗИ и СФ;”



Если VPNкриптошлюзы такого класса можно худо-бедно подобрать и реализовать, то с VPNклиентами – беда. При этом не надо забывать про часто встречаемые ситуации, когда VPNклиенты используются для создания выделенной подсети высокой критичности в рамках крупной корпоративной / ведомственной / отраслевой сети, а не только для доступа из сети Интернет.   

Сертифицированных по КС3 VPNклиентов  раз, два и обчелся плюс есть системные проблемы использования VPNклиентов классов выше КС1 (об этом я писал ранее в серии статей ), если сократить до двух фраз, то:
·        сертифицированные по классу КС1 VPNклиенты вам обойдутся в совокупности в 10 раз дороже чем не сертифицированные и заработают на порядка 75% необходимых устройств
·        сертифицированные по классу КС3 VPNклиенты вам обойдутся в совокупности в 10 раз дороже чем сертифицированные по классу КС1 и заработают на порядка 25% необходимых устройств.


Если необходима оптимизация – нужно дробить модель нарушителя, а именно определять актуального нарушителя (возможности нарушителя) для отдельных угроз. Далее, пример анализа в котором оставил столбцы касающиеся данной статьи:

№ п/п
Наименование угрозы (способ реализации угрозы, объект воздействия, используемая уязвимость, деструктивное действие)
....
Актуальность
Нарушитель
Необходимость применения СКЗИ для нейтрализации угрозы
1
Перехват информации, передаваемой по каналам связи, между компонентами ИСПДн расположенными в пределах одной  контролируемой зоны, использующий недостатки протоколов сетевого взаимодействия, приводящий к нарушению конфиденциальности информации

Актуальна
Н2, Н3
Другие меры
2
Перехват информации, передаваемой по каналам связи, между компонентами ИСПДн расположенными в пределах разных  контролируемых зон, использующий недостатки протоколов сетевого взаимодействия, приводящий к нарушению конфиденциальности информации

Актуальна
Н1
СКЗИ, КС1
3
Перехват информации, передаваемой по каналам связи, между компонентом ИСПДн расположенным пределах разных  контролируемой зоны и компонентом ИСПДн, расположенным в неконтролируемой зоне, использующий недостатки протоколов сетевого взаимодействия, приводящий к нарушению конфиденциальности информации

Актуальна
Н1
СКЗИ, КС1
4
Подмена информации, передаваемой по каналам связи, между компонентом ИСПДн, использующий недостатки протоколов сетевого взаимодействия, приводящий к нарушению целостности информации

Неактуальна
Н1, Н2, Н3
-
5
Локальная загрузка операционной системы с нештатного машинного носителя, для получения доступа к информации хранящейся на жестком диске компонента ИСПДн, использующая недостатки контроля доступа к компонентам ИСПДн, приводящая к нарушению конфиденциальности, целостности и доступности

Актуальна
Н3
Возможно СКЗИ, КС3

 PS: уточняющие вопросы отправлены ФСТЭК и ФСБ. Если будут интересные ответы, напишу...