17.06.2008

4 документа ФСТЭК: краткий анализ. "Методика определения актуальных угроз"

Итак, не без помощи добрых людей, удалось раздобыть 4 документа ФСТЭК, которые расширяют уже неоднократно упоминаемый мной "приказ трех". Прочтя их, решил поделиться кратким анализом. Итак, документ первый - "Методика определения актуальных угроз".

Начну с того, что методика ориентирована в т.ч. и на физлиц, исключая случаи создания информационных систем персональных данных (ИСПДн) для личных и семейных нужд.

Угрозой безопасности ПДн называется не только их утечка, но и иные несанкционированные или непреднамеренные воздействия на информацию. С одной стороны у нас достаточно широкий спектр угроз подпадает под понятие, данное ФСТЭК. С другой - мы сталкиваемся с проблемой терминологии. К чему, например, относится доступность? К информации или к информационной системе? Ведь блокируя работу той или иной ИС, с информацией мы ничего не делаем и вообще на нее никак не воздействуем, концентриясь на системе ее обработки, передачи и хранения. Т.е. доступность скорее относится к понятию "информационная система". А раз так, то угрозы доступности не относятся в сферу компетенции рассматриваемой методики ФСТЭК.

Интересно, что среди каналов реализации угроз ФСТЭК явно упоминает про электромагнитные излучения и наводки, а также акустику, что делает задачу защиты ПДн явно нетривиальной (но об этом позже).

Среди нарушителей не забыты операторы связи, которые могут получить доступ к ПДн в процессе их передачи по сетям общего пользования. Вот еще одна терминологическая неувязка. У Минсвязи нет термина "сеть общего пользования", зато есть "сеть связи общего пользования" (ССОП). Видимо сотрудничество Минсвязи и ФСТЭК ограничилось только первыми документами - все остальное делалось самостоятельно с вытекающими отсюда последствиями.

Выявление угроз осуществляется путем опросов! При опросах можно использовать сканеры уязвимостей. Про режимы обучения в ряде автоматизированных защитных средств во ФСТЭК, видимо, не слышали.

Очень меня смутила фраза "Наличие источника угрозы и уязвимого звена, которое может быть использовано для реализации угрозы, свидетельствует о наличии данной угрозы". Т.е. наличие сотрудников, которые называются в методике "внутренними нарушителями", автоматически влечет за собой наличие целого класса внутренних угроз (хотя они могут на практике вообще никогда не реализоваться). Теоретическое наличие уязвимого ПО или информации приводит к тому, что мы должны учитывать и эти угрозы. Иными словами, упомянутая фраза приводит к тому, что мы должны учесть ВСЕ возможные в природе угрозы. Зачем это делать для каждой ИСПДн непонятно - проще было сделать единый список всех угроз, от которого отталкиваться в последующей работе.

После составления перечня всех угроз мы приступаем к составлению списка актуальных угроз. Актуальной считается угроза, которую можно реализовать и которая опасна для ПДн. Для оценки возможности реализации угрозы применяются два показателя: уровень исходной защищенности ИСПДн и частота (вероятность) реализации рассматриваемой угрозы.

Под уровнем исходной защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн, перечисленных в методике. Например, территориальная распределенность ИСПДн, наличие подключения к Интернет, наличие встроенных механизмов регистрации событий, уровень обезличивания ПДн, объем ПДн, передаваемых наружу без обработки и т.д. У каждого из таких параметров есть три степени защищенности - высокий, средний и низкий, оценка которых осуществляется экспертом. Суммирование таких показателей и дает нам совокупный уровень исходной защищенности. Например, ИСПДн имеет высокий уровень исходной защищенности, если не менее 70% характеристик ИСПДн соответствуют уровню "высокий" и т.д.

С вероятностью все более или менее понятно. Оценка экспертная. Градация по четырехбалльной шкале - маловероятно, низкая вероятность, средняя вероятность и высокая.

После определения для каждой угрозы вероятности ее реализации и исходного уровня защищенности мы вычисляем коэффициент реализуемости угрозы по приведенной в Методике формуле.

Затем мы переходим к опасности. Здесь тоже все "просто". Тоже экспертная оценка специалистов по защите информации данной ИСПДн. Правда, что делать, если для данной ИСПДн нет специалистов, которые могли бы оценить опасность угрозы и вероятность ее реализации, Методика не отвечает.

После определения опасности и реализуемости угроз мы обращаемся к матрице соотнесения угроз к классу актуальных. Согласно Методике почти все угрозы являются актуальными, исключая:
- с низкой опасностью и низкой и средней возможностью реализации
- со средней опасностью и низкой возможностью реализации.

Судя по описанию ФСТЭК попробовал применить оценку рисков, однако вышло это, на мой взгляд, не очень удачно. Очень сильная зависимость от экспертов, которых может и не быть для всех существующих ИСПДн. Да и появление такого параметра как "исходная защищенность" тоже является не совсем понятным и усложняющим составление итогового перечня приоритетных рисков.

Используя данные о классе ИСПДн (из "приказа трех") и составленного на основе рассмотренной Методики перечня актуальных угроз, на основе «Рекомендаций по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и «Основных мероприятий по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» "формулируются конкретные организационно-технические требования по защите ИСПДн от утечки информации по техническим каналам, от несанкционированного доступа и осуществляется выбор программных и технических средств защиты информации, которые могут быть использованы при создании и дальнейшей эксплуатации ИСПДн".

7 коммент.:

e1am0 комментирует...

как обычно жесть (((

ЗЫ. мы тебя с арканоидом не убедили, что доступность у информации? типо так проще ))))

Алексей Лукацкий комментирует...

А арканоид тоже принимал участие в этом флейме? Я тебя только запомнил ;-) Но я остался при своем ;-)

Анонимный комментирует...

Алексей, а как бы получить эти четыре документа ; )

Алексей Лукацкий комментирует...

Во ФСТЭК ;-)

Анонимный комментирует...

четыре четыре четыре... вижу только три:

1)Основные мероприятия по защите персональных данных
2)Базовая модель угроз
3)Методика определения актуальных угроз

какой 4-ый? само постанволение?

Алексей Лукацкий комментирует...

Рекомендации...

Владимир Рындин комментирует...

"Привет" через 5 лет=) В выдаче гугла по запросу "методика определения актуальных угроз" этот пост на 5 позиции...
Алексей, активно сейчас работаю с методикой определения актуальных угроз по работе. Да и в дипломной работе ей было уделено много внимания. Вопрос: а как обойтись без экспертов? Ибо я не увидел выхода. Под экспертами здесь я понимаю сотрудников оператора.