В связи с выходом приказа ФСБ России по защите ПДн, а так-же в связи со сложностями реализации СКЗИ высоких классов криптографической защиты есть несколько мыслей…
Посмотрим какой порядок действий требуется в части СКЗИ:
Приказ ФСБ Р №378: “5. В соответствии с пунктом 13 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N11191 (далее - Требования к защите персональных данных), для обеспечения 4 уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
...
г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
9. Для выполнения требования, указанного в подпункте "г" пункта 5 настоящего документа, необходимо для каждого из уровней защищенности персональных данных применение СКЗИ соответствующего класса, позволяющих обеспечивать безопасность персональных данных при реализации целенаправленных действий с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемых СКЗИ персональных данных или создания условий для этого (далее - атака), которое достигается путем:
а) получения исходных данных для формирования совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак;
б) формирования и утверждения руководителем оператора совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, и определение на этой основе и с учетом типа актуальных угроз требуемого класса СКЗИ;
в) использования для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе СКЗИ класса КС1 и выше.”
Для выполнения требований ФСБ России мне необходимо (до внедрения и использования СКЗИ) определить перечень актуальных угроз (модель угроз), определить для нейтрализации каких из них требуются СЗКИ, определить возможности нарушителей (модель нарушителя).
В самом простом случае идут по пути реализации в одном документе (как правило, модель угроз) и требований ФСТЭК к определению угроз и требований ФСБ к определению угроз и нарушителей. Рассмотрим такой вариант.
При оценке рисков ИБ ИС наиболее опасными считаются угрозы от источников - внутренних пользователей ИС / сотрудников организации, так что скорее всего для ИС в целом будут актуальны внутренние нарушители (условно назовем Н3)
При таких актуальных типах нарушителей нам требуется использовать СКЗИ сертифицированные по классу не ниже КС3.
Приказ ФСБ Р №378: “10. СКЗИ класса КС1 применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа следующих:
в) проведение атаки, находясь вне пространства, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств (далее контролируемая зона);
д) проведение атак на этапе эксплуатации СКЗИ на:
персональные данные;
и) проведение на этапе эксплуатации атаки из информационно-телекоммуникационных сетей, доступ к которым не ограничен определенным кругом лиц, если информационные системы, в которых используются СКЗИ, имеют выход в эти сети;
к) использование на этапе эксплуатации находящихся за пределами контролируемой зоны АС и ПО из состава средств информационной системы, применяемых на местах эксплуатации СКЗИ (далее - штатные средства).
11. СКЗИ класса КС2 применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных в пункте 10 настоящего документа и не менее одной из следующих дополнительных возможностей:
а) проведение атаки при нахождении в пределах контролируемой зоны;
г) использование штатных средств, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.
12. СКЗИ класса КС3 применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных в пунктах 10 и 11 настоящего документа и не менее одной из следующих дополнительных возможностей:
а) физический доступ к СВТ, на которых реализованы СКЗИ и СФ;”
Если VPNкриптошлюзы такого класса можно худо-бедно подобрать и реализовать, то с VPNклиентами – беда. При этом не надо забывать про часто встречаемые ситуации, когда VPNклиенты используются для создания выделенной подсети высокой критичности в рамках крупной корпоративной / ведомственной / отраслевой сети, а не только для доступа из сети Интернет.
Сертифицированных по КС3VPNклиентов раз, два и обчелся плюс есть системные проблемы использования VPNклиентов классов выше КС1 (об этом я писал ранее в серии статей), если сократить до двух фраз, то:
·
сертифицированные по классу КС1 VPNклиенты вам обойдутся в совокупности в 10 раз дороже чем не сертифицированные и заработают на порядка 75% необходимых устройств
·
сертифицированные по классу КС3 VPNклиенты вам обойдутся в совокупности в 10 раз дороже чем сертифицированные по классу КС1 и заработают на порядка 25% необходимых устройств.
Если необходима оптимизация – нужно дробить модель нарушителя, а именно определять актуального нарушителя (возможности нарушителя) для отдельных угроз. Далее, пример анализа в котором оставил столбцы касающиеся данной статьи:
|
№ п/п
|
Наименование угрозы (способ реализации угрозы, объект воздействия, используемая уязвимость, деструктивное действие)
|
....
|
Актуальность
|
Нарушитель
|
Необходимость применения СКЗИ для нейтрализации угрозы
|
|
1
|
Перехват информации, передаваемой по каналам связи, между компонентами ИСПДн расположенными в пределах одной контролируемой зоны, использующий недостатки протоколов сетевого взаимодействия, приводящий к нарушению конфиденциальности информации
|
|
Актуальна
|
Н2, Н3
|
Другие меры
|
|
2
|
Перехват информации, передаваемой по каналам связи, между компонентами ИСПДн расположенными в пределах разных контролируемых зон, использующий недостатки протоколов сетевого взаимодействия, приводящий к нарушению конфиденциальности информации
|
|
Актуальна
|
Н1
|
СКЗИ, КС1
|
|
3
|
Перехват информации, передаваемой по каналам связи, между компонентом ИСПДн расположенным пределах разных контролируемой зоны и компонентом ИСПДн, расположенным в неконтролируемой зоне, использующий недостатки протоколов сетевого взаимодействия, приводящий к нарушению конфиденциальности информации
|
|
Актуальна
|
Н1
|
СКЗИ, КС1
|
|
4
|
Подмена информации, передаваемой по каналам связи, между компонентом ИСПДн, использующий недостатки протоколов сетевого взаимодействия, приводящий к нарушению целостности информации
|
|
Неактуальна
|
Н1, Н2, Н3
|
-
|
|
5
|
Локальная загрузка операционной системы с нештатного машинного носителя, для получения доступа к информации хранящейся на жестком диске компонента ИСПДн, использующая недостатки контроля доступа к компонентам ИСПДн, приводящая к нарушению конфиденциальности, целостности и доступности
|
|
Актуальна
|
Н3
|
Возможно СКЗИ, КС3
|
