пятница, 17 июня 2011 г.

Требования к СЗПДн регуляторов vs серия 13335

Свои впечатления о базовой модели угроз ПДн от ФСТЭК я уже писал тут. А вот какой цикл в построение СЗИ предлагает серия стандартов 13335 - я и хочу рассказать в сегодняшнем посте.
Всего существует пять частей стандарта 13335 - Методы и средства обеспечения безопасности.
Часть 1 - Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий.
Часть 2 - Управление и планирование защиты ИТ - отменен. На замену ему пришел 13335 Часть 1. Логика не понятна!? Ну да ладно.
Часть 3 - Методы менеджмента безопасности информационных технологий.
Часть 4 - Выбор мер защиты.
Часть 5 - Руководство по менеджменту безопасности сети.
Есть информация, что готовят еще несколько частей, но будем рассматривать то, что есть в наличии :).

Особое внимание хочу уделить Части 3 и части 4 этого стандарта.
Про оценку рисков, на основании Части 3, я писал в предыдущем посте. Но это только вариант "Детального анализа рисков", а еще стандарт регламентирует возможность использования следующих вариантов оценки рисков нарушения ИБ:
1. Базовый подход (организация осуществляет выбор защитных мер из предлагаемого списка в части 4 в соответствии с некими характеристиками, присущими системе).
2. Неформальный подход (организация выбирает защитные меры основываясь на суждениях некого эксперта).
3. Комбинированный подход (организация выбирает защитные меры основываясь на детальном анализе рисков с привлечением экспертов для систем с высоким уровнем критичности, и основываясь на базовом подходе с привлечением экспертов для систем с низким уровнем критичности).

Хочу заострить внимание на построении СЗИ с помощью базового подхода.
Что предлагается сделать:
1. Идентифицировать тип системы:
1.1. автономная рабочая станция;
1.2. автономная рабочая станция без возможности коллективного использования и выходом в сеть интернет и т.д.
2. Идентифицировать физические условия и условия окружающей среды:
2.1.  Параметры территории и здания (параметры характеризующие безопасность, в п.7.2. Части 4 расписаны подробные параметры).
2.2. Управление доступом в здание и помещения (в п.7.2. Части 4 расписаны подробные параметры).
и т.д.
3. Оценка существующих/планируемых мер обеспечения безопасности.
Вам такие действия ни чего не напоминают? А вот мне напоминают оценку исходного уровня защищенности из базовой модели угроз безопасности ПДн от ФСТЭК. Только в этом варианте все детали продуманы гораздо лучше и учтены реальны факторы, влияющие на безопасность. В нашем же случае сам факт наличия распределенной ИСПДн говорит о том, что уровень исходной защищенности - низкий. А то что там стоит сертифицированная криптография - это поровну. 
Идем дальше, по результатам оценки у нас должна сложиться картинка о существующих организационных и технических мерах защиты информации и о существовании возможных уязвимостей. Дальше необходимо выбрать комплекс средств защиты, который и составит СЗИ.

Весь комплекс защитных мер распределяется на две составляющие:
1. Организационные и физические защитные меры.
1.1. Политика и управление безопасностью ИТ.
1.2. Проверка соответствия безопасности установленным требованиям.
1.3. Обработка инцидентов.
1.4. Физическая безопасность и т.д.
2. Специальные защитные меры систем ИТ.
2.1. Идентификация и аутентификация.
2.2. Логическое управление и аудит доступа и т.д.
Алгоритм выбора специальных защитных мер заключается в наличии табличке позиционирования защитных мер и типа информационной системы, организационные и физические меры определяются на основании наличия/отсутствия необходимой защитной меры.

Вот такой подход нужно было брать за основу нашим регуляторам. Тогда бы и появился смысл понятий "типовая ИСПДн" и "специальная ИСПДн". Для типовых, вполне достаточно было бы базового подхода к построению СЗИ, а для специальных - либо детальный, либо комбинированный. И признак отнесения к типовой и специальной нужно сменить, например, ИСПДн 4 и 3 являются типовыми, а 2 и 1 - специальными или 4,3,2 - типовые, а 1 специальные.

Комментариев нет: