Работы по защите ПДн (часть 1)

Довольно часто бываю на различных форумах, связанных с защитой информации, в том числе, с защитой персональных данных. Довольно часто задают вопрос: как привести себя в соответствие. Действительно, это не простая задача, в условиях финансовых, временных и квалифицированных трудовых ресурсов. Но решать ее надо и ограничения на ресурсы ни кого не волнуют :).

Я хочу опубликовать свое представление о приведении ИСПДн в соответствии с 152-ФЗ требования регуляторов по защите ПДн. В настоящей публикации не будут рассматриваться вопросы связанные с согласием на обработку ПДн, с обработкой ПДн на бумажных материальных носителях, внесением изменений в договор с клиентом/работником и т.д.

Хочу подчеркнуть, что защита ПДн своими силами и силами интеграторов - разные вещи.

Какие же работы предстоит провести специалистам по ИБ и/или специалистам по ИТ в области защиты ПДн собственными силами? Самый верхний уровень перекрывают три основных вида работ:

1. Обследование ИСПДн.

2. Проектирование системы защиты ПДн (СЗПДн).

3. Внедрение СЗПДн.

Обследование ИСПДн - самый утомительный этап, так как на нем Вы занимаетесь рутиной работой, например, определение (описание) АРМ, Серверов и коммуникационного оборудования (маршрутизаторы, коммутаторы, межсетевые экраны и т.д.). Как происходит описание? Написать, что в состав ИСПДн входит 5 серверов и 300 станций - не получится (можно конечно, но такое описание сразу показывает небрежность специалиста, занимающегося предметной областью). Скорее всего процесс описания АРМ, Серверов...... должен заключаться в выявлении следующих характеристик объекта: "Тип объекта" (Системный блок марки IN-WIN) и "Заводской/Инвентарный номер" (зачастую на системных блоках нет заводского номера, а вот инвентарный всегда есть и должен быть наклеен на системный блок - ведь это активы организации, которые должны подвергаться периодической инвентаризации силами бухгалтерии и/или материально-ответственной группой :)). Далее рисуем топологию, определяем класс строим модель угроз, ТЗ и ........ все эти вопросы опишу в "части 2".

Проектирование СЗПДн - проектные работы связанные с большим количеством написанных по различным ГОСТ документам - это не правда. Прежде чем начинать озадачивать себя изучением не актуализированных ГОСТ РФ задумайтесь: а для чего это нужно? Ведь рамочки в документе, размер шрифта, отступы и т.д. не гарантируют Вам грамотно спроектированной СЗПДн, отвечающей бизнес целям организации. Выполнение работ по проектированию СЗПДн, я бы сопровождал короткими аналитическими обоснованиями и решениями разбитыми по подсистемам СЗИ в разрезе Приказа №58 или отраслевых документов. Например, аналитическое обоснование средств защиты НСД для ИСПДн. В аналитическое обоснование я бы включил раздел по анализу существующих средств. В качестве основных критериев выбрал бы цена/качество/требование к системным ресурсам. Такое обоснование направленно в первую очередь на топ-менеджеров организации :). В следующем пункте обозначил бы какие компоненты СЗИ куда ставятся и какие конкретные угрозы из модели угроз перекрывают.

Внедрение СЗПДн - это работы, связанные с закупкой и установкой СЗПДн. Думаю, что проблем по внедрению выбранных средств не должно вызывать трудностей у специалистов ИБ/ специалистов ИТ. Самое основное - не забывайте о актах ввода в эксплуатацию СЗПДн :).  

Угрозы для распределенной ИСПДн

Не публикую матрицу позиционирования угроз и нарушителей для локальных ИСПДн, так как считаю, что можно применять угрозы те же что и для ИСПДн типа АРМ.

А вот для распределенной ИСПДн, угрозы немного изменяются, точнее расширяются, но незначительно. Выкладываю документ - Угрозы и нарушители ИБ в распределенной ИСПДн.

Угрозы для ИСПДн типа АРМ

Как я и обещал, мои работы в помощь специалистам по ИБ в вопросах защиты ПДн в ИСПДн продолжаются. Очередную серию разработок я назвал "Позиционирование угроз и нарушителей ИБ". Почему так, а ни как иначе? Ответ довольно прост: Не все нарушители могут реализовывать одни и те же угрозы ИБ. Как же представить связь нарушитель - угроза? На этот вопрос я постараюсь ответить своей серией документов.

Структура каждого документа будет состоять из двух частей:

1. Описательная часть с расширенным списком угроз ИБ.

2. Матрица (таблица) позиционирования угроз и нарушителей ИБ.

Хочу подчеркнуть что документы написаны в соответствии с рекомендациями ФСТЭК "Базовая модель угроз". Без фанатизма и без составления огромных таблиц источник-уязвимость-угроза-способ НСД-метод НСД......-....... :).

Выкладываю первый документ в этой серии - Угрозы и нарушители безопасности ПДн в ИСПДн типа АРМ.

Новая колонка "Нормативка ИБ"

Начинаю вести колонку "Нормативка" ИБ в которую буду складывать, на мой взгляд, интересные стандарты российского и международного происхождения. Больше документов будет по аудиту и оценки рисков ИБ, но и другие интересные документы буду публиковать. Качество публикуемых документов может быть не очень хорошим, но читабельным.

Источники угроз для Распределенной ИСПДн

Закончил разработку сериии документов Источники угроз ПДн в ИСПДн.

Публикую заключительный документ - серии - Источники угроз безопасности персональных данных для Распределенной ИСПДн .  

Стандарты безопасности ПДн НАПФ

Решил изучить стандарты НАПФ в области обеспечения безопасности ПДн. Начал с Проведения аудита на соответствие требований. Не знаю кому как, но я сразу обратил внимание на то, чтио стандарт похож на СТО БР ИББС-1.1.2007. Чем дальше я читал, тем понятнее мне становилось, что рекомендации Р НАПФ 4.4-2010 - есть клон СТО БР ИББС-1.1.2007.

Например,

Р НАПФ 4.4-2010

"Привлеченная к проведению аудита организация несет ответственность за:

- достоверность заключения по результатам аудита;

- соблюдение конфиденциальности сведений и документов, получаемых и составляемых в ходе проверки пенсионного фонда (за исключением случаев, прямо предусмотренных действующим законодательством РФ)."

СТО БР ИББС-1.1.2007

"Аудиторская организация несет ответственность за:"

- достоверность заключения по результатам аудита ИБ;

- соблюдение конфиденциальности сведений и документов, получаемых и составляемых в ходе аудиторской проверки организации (за исключением случаев, прямо предусмотрен ных действующим законодательством РФ).

И еще много таких примеров :), исключение составляет только Приложение, которое озаглавлено "Методика оценки соответствия......".

Эта методика вызвала положительные впечатления, хоть и похожа на методику самооценки Банка России. Но речь в документе идет все-таки об аудите и критерии аудита выделены. Я бы рекомендовал назвать этот пункт по другому: "Методика оценки критериев аудита, регламентирущих деятельность НАПФ по обработке и защите ПДн".
И еще я не увидел как оценивается критерий "Общий", "Требования к обработке ПДн" и "требования к защите ПДн". Не подкритерии 1.1., 1.2 а именно критерий 1, 2 и 3. Может он не оценивается вообще, то тогда как мы узнаем на сколько выполняется критерий? Для меня это осталось за рамками данного документа.
Удобно ведь не растягивать отчет, а сформулирвоать его на 3-6 листов, а все остальное вынести в приложение. Сказать что Общие требования - выполняются так-то, Требования по обработке - так-то...... Ну а если необходимо посмотреть что конкретно не выполняется и/или выполяется частично, то милости просим в Приложение.

Источники угроз для Локальной ИСПДн

Продолжаю работу над серией документов "источники угроз".

Публикую очередной документ из этой серии - Источники угроз безопасности персональных данных для Локальной ИСПДн с возможностью выхода в сеть Интернет. 

Источники угроз для АРМ

Хочу помочь тем организациям, которые не успели разработать модель угроз в этом не легком деле. Начинаю разработку типовых моделей угроз для различных типов ИСПДн. Каждая модель угроз будет содержать источники угроз - матрицу позиционирования источников и угроз. Оценку актуальных угроз оставляю на конкретных специалистов, конкретных организаций, так как специфика организации оказывает основное влияние на итоговый перечень актуальных угроз.

Приглашаю специалистов и экспертов к активному обсуждению и конструктивной критике. Если будет желание, то могу открыть доступ на редактирование документов, для совместной их доработки.

Первый документ из этой серии - Источники угроз безопасности персональных данных для ИСПДн типа АРМ с возможностью выхода в сеть Интернет.

Information Security №1 2011

Вышел новый номер электронного журнала "Information Security №1 2011".

Наибольшее количество статей по направлению PCI DSS. Пару упоминаний о том, что требования по приведению ИСПДн в соответствие с 152-ФЗ отсрочили, но расслабляться не надо :). Есть статьи с яркими заголовками, например, "новые виды угроз требуют защиты в реальном времени", почитал статью, не увидел новых видов угроз, DDoS не ново, уязвимости сетевых протоколов и приложений тоже не ново, XSS, черви, руткиты - туда же :).

Понравилась статья "Страхование рисков ИБ как инструмент регулятора" - хлеб для интеграторов :).  

Модель угроз ПДн от ФСТЭК

Изучая "Базовую модель угроз безопасности ПДн" выделил основные направления формирования такой модели. На первый взгляд все понятно, но терзает чувство, что на практике большинство, даже сами разработчики не смогут применить такой подход. Все начинается с того, что в классификации "угроз ПДн" присутствуют такие угрозы как биологические, химические, термические :).

Структура модели угроз следующая:

1. Источники угроз

2. Угрозы утечки по различным техническим каналам связи.

3. Уязвимости программнного обеспечения.

4. Угрозы доступа в ОС.

5. Угрозы межсетевого взаимодействия.

6. Характеристика нетрадиционных информационных каналов.

7. Типовые модели угроз.

а) Источники угроз разделены на три основных класса: нарушители, носители и аппаратные закладки. Если с нарушителями и носителями все понятно, то вредоносными закладками занимается ФСБ России и естественно документ, который может пролить свет, является ДСП. У меня получить его не получилось :(, поэтому классифицировать закладки я не смог.

б) Возможность реализации угрозы утечки информации по техническим каналам создают впечатление, что нас окружают шпионы, которые хотят получить информацию о наших медецинских анализах, счетах в банке, страховке....... любыми способами. Давайте будем адекватны и четко понимать, что мы не гос тайну защищаем :). И маленькая ремарка: в документе прописано, что ПЭМИН исходит от мониторов, на самом деле ПЭМИН исходит от соеденительного кабеля Монитор-ПК.

в) раздел про нетрадиционные каналы (стеганографию), я вообще не понял в этом документе, какую цель он приследует? Информирование, что есть такой способы защиты?! Могли написать статью :).

г) Типовые модели угроз - раз уж вначале задали формат описания угроз: "угроза НСД в ИСПДн: = <источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (программа, протокол, данные и др.)>, <деструктивное действие>", то по такому формату и надо было описывать угрозы для типовых ИСПДн, а не списком :). Хотя типовые угрозы можно расширить и получить вполне адекватную модель угроз.

Как говорится рассуждать на тему можно долго, а от этого модель угроз не построится, в следующем посте изложу свое видение формирования источников угроз ПДн.

Оценка защищенности ИСПДн по ФСТЭК (часть 2)

Методика оценки актуальных угроз ИБ является классическим подходом к оценки рисков ИБ. Включает следующие основные этапы:

1. Оценка исходного уровня защищенности ИСПДн (мое мнение в части 1).

2. Оценка частоты (вероятности) реализации угроз для ИСПДн.

3. Оценка опасности каждой угрозы для ИСПДн.

4. Оценка актуальности угроз для ИСПДн.

5. Формирование требований по обеспечению безопасности ПДн в ИСПДн.

Подход типовой, комментировать особо нечего, за исключением некоторых тонкостей:

1. Частота и вероятность разные понятия и с этим сложно спорить, но раз уж ввели такую замену, то будем ее придерживаться, но я бы оставил "вероятность", так как частота - это количество угроз в интервале времени, т.е. 5 угроз за 1 месяц.

2. Извечный вопрос: "Как оценить ценность активов?/Как оценить опасность угроз?". На этот вопрос ответа в методике нет, так как вознакает сразу масса вопросов: Что означает негативное последствие для субъекта ПДн - это 100, 1000, 1000000 руб. или это репутация?!  Как рассчитать для субъекта ПДн такую величину!?

3. Две из четырех книжек ФСТЭк России были отменены, но ссылки на них в методике остались. Не успевают вносить изменения :(.

Оценка защищенности ИСПДн по ФСТЭК (часть 1)

В области оценки защищенности ИСПДн существует интересный подход ФСТЭК, который называется "Методика определения актуальных угроз безопасности ПДн........". Изучаю документ с конца. Сам подход к оценке актуальных угрох не вызвал протеворечивых ощущений (хотя об этом в части 2). В целом создавалась довольно полная картинка о предлагаемом подходе, пока я не дошел до оценки "уровня исходной защищенности ИСПДн" и тут, честно говоря, я был повергнут в легкий шок.

Что же я вижу!? Показатели защищенности: 1. Территориальное размещение; 2. Наличие соединения с сетью Интернет; 3. Операции с записями в БД. Честно говоря до сих пор не понимаю о чем идет речь!? О какой защищенности?!

Решил хоть как-то оправдать такой абсурд, извините не получилось :).

Думаю что логичнее было бы в качестве показателей защищенности определить степень выполнения требований из приказа № 58 ФСТЭК. Например, ИСПДн имеет выход в сеть интернет: далее в зависимости от класса ИСПДн идут требования к системе защиты межсетевого взаимодейстивя, систем обнаружения вторжений и т.д. Шкалу оценок можно оставить исходную.

А в исходном варианте получается что защищенность зависит от того какие операции пользователь может осуществлять в БД, а не от того как настроена и имеется ли вообще система разграничения прав доступа - класс. Это все равно, что производительность ПК определят по тому из какого материала сделан его корпус и какой он формы или по типу монитора, клавиатуры и мыши :).

Ну раз так считают в "государственном научно-исследовательском испытательном институте проблем технической защиты информации", то быть посему ;).

Почему так получилось? В результате не грамотности специалистов или ограниченности времени или нежелание заниматься вопросом - судите сами :).