22.11.2012

Как будет строиться защита ПДн по версии ФСБ?

Пока эксперты начали осмысливать вчерашнее информационное сообщение ФСТЭК "Об особенностях защиты персональных данных при их обработке в информационных системах персональных данных и сертификации средств защиты информации, предназначенных для защиты персональных данных" от 20 ноября  2012 г. № 240/24/4669, я позволю себе обратиться к области регулирования ФСБ и посмотреть на то, как могут транслироваться требования ФСБ по части применения шифровальных средств в зависимости от типа угроз.

Кто видел первый вариант проекта Постановления Правительства об установлении уровней защищенности, тот помнит, что там не было типов угроз, а были категории нарушителей. И хотя это явно нигде не упоминалось, но связь между тремя категориями нарушителей в проекте Постановления Правительства и шестью моделями угроз была вполне себе очевидной.


Правительство при согласовании текстов постановлений указало ФСБ на то, что категории нарушителей - категории непонятные и в ФЗ-152 неописанные, а следовательно их надо убирать. Но ФСБ поступило проще - она заменила термин "категория нарушителя" на "уровень угроз", не поменяв их сути. Та же привязка к использованию недекларированных возможностей. В такой формулировке Правительство уже никаких претензий не имели, т.к. речь шла об актуальных угрозах, которые худо бедно, но в ФЗ-152 упоминались.

Ну а дальше все просто. Т.к. в документах ФСБ с требованиями к СКЗИ и ЭП есть четкая связь между 6-тью моделями нарушителей и 6 классами защиты СКЗИ (от КС1 до КА1), то эта же связь перекладывается и на типы угроз. Иными словами, для угроз типа 3 (неактульны НДВ вообще) скорее всего должны будут применяться СКЗИ КС1-КС3, для угроз 2-го типа - СКЗИ КВ1-КВ2, а для угроз 1-го типа - СКЗИ КА1.


Ну и данная картинка лишний раз иллюстрирует мое мнение (кстати, подтверждаемое общением с коллегами из ФСТЭК и ФСБ), что актуальность угроз определять будет сам оператор ПДн и угрозы НДВ будут актуальны только в очень специфичных ситуациях и для очень небольшого круга заказчиков.

Правда, это все равно не снимает с регуляторов задачи описать, как с угрозами НДВ бороться. Но ждать осталось в любом случае недолго - документ ФСТЭК мы увидим до 7-го декабря. Документ ФСБ - тоже до этого времени. Правительство тоже не дремлет и контролирует выпуск документов во исполнение ПП-1119.

27 коммент.:

ZZubra комментирует...

Чего-то я протупил по поводу привязки НДВ к нарушителям по ФСБ. Но есть мне оправдание :) В имеющихся документах не указывается привязка нарушителей к их "физической реализации". Например бы, что Н6 - это ЦРУ, МИ6 и другие монстры иностранных разведок, а Н1 - это "школьник-хакер-самоучка". Тогда становятся на места и классы СКЗИ:
КА1 - на всякий случай,т.к. от разведок мы не защищаем персданные, и купить такие СКЗИ на рынке РФ невозможно ВООБЩЕ. Нет их в продаже. Соответственно на НДВ в ОС не смотрим.
КВ1-2 - для сверхособых систем обработки персданных (я даже представить их не могу, т.к. ДАЖЕ вся СУПЕРБАЗА ВСЕХ граждан РФ по МЕДИЦИНЕ защищается КС2 или КС3). Значит на НДВ в СПО не заморачиваемся. СКЗИ для этих классов существуют в единичных компаниях, но существуют. Правда требования по применению простых СЗИ при этом жесточайшие - без их выполнения СКЗИ не считаются такими крутыми. Да и наверняка, срок смены ключей дико короткий (неудобный пользователям и коммерчески не выгодный органам криптозащиты).
КС1-3 - это для всех оставшихся ИСПДн. СКЗИ на рынке есть, угрозы минимальные, об НДВ в ОС и СПО даже не вспоминаем (но помним про НДВ в СЗИ ). Правда, возможно, придется перезакупать СКЗИ на более высокий класс (типа КС2 на КС3), что может ударить по бюджету.

Хорошо бы, если бы все же сделали привязку к реализациям нарушителей, ну для "простых людей" - кто по максимуму Н3? Конкурентная разведка (тогда госы не Н3)? У кого еще много денег и нужны базы данных? ОПГ (организованные преступные группы)? Мошенники?

Но я думаю, потерпим до выхода документов :)

PS А ФСТЭК реальные молодцы со своим письмом. Человеки с большой буквы! Не бросили под конец года лицензиатов и заказчиков под каток изменений НПА, а предупредили, что да как будет. Такого классного подхода я в России после перестройки не припомню. Мой уважометр зашкалило.

Дмитрий комментирует...

А как быть банкам живущим по СТО?

Алексей Т. комментирует...
Этот комментарий был удален автором.
Алексей Т. комментирует...

Алексей, как написал уже ZZubra, реально можно применять только СКЗИ до класса КС3, НО основное количество СКЗИ сертифицировано максимум до КС2. А 90 процентов использует КС1 ТАк что если логика и была, то только уровень 1 - КС1, уровень 2 - КС2 и т.д. Те таблички, которые Вы нарисовали, безумство или глупость, кому как больше нравится.

ZZubra комментирует...

Если все будет так как написано, то В ЗАВИСИМОСТИ ОТ ОБРАБАТЫВАЕМОЙ информации защита будет следующей http://sdrv.ms/XEc1N6

ВНИМАНИЕ!!! При этом состав СЗИ (нужны ли ПЭМИН, какой класс криптозащиты, нужны ли средства контроля защищенности) пока неизвестен.

Тогда действительно серьезные послабления появляются, в первую очередь для СУБД, сертифицированных по К2 (тот же MS SQL) - их становится возможно применять в системах, которые относились к К1 из-за распределенности людей по субъекту РФ или России. Самый так сказать сложный вопрос.

ZZubra комментирует...

Алексей Т

Давным давно, когда ФСБ предлагало всем написать предложения, я писал им об переходе от 6 классов СКЗИ к 3-м: К1-КС3/КС2, К2-КС2/КС1, К3-КС1. Но такой подход не является приемлемым, потому что не соответствует старым документам. Отбросить всю нормативную базу (тем более, что она, наверняка, затрагивает огромное количество иных документов ФСБ) по классификации даже экономически не целесообразно, не говоря уже про временнОй фактор.
Да и различных других аспектов, которые надо учитывать, при принятии таких решений они знают гораздо больше. Допустим, та же национальная безопасность, возможность в критических ситуациях (допустим, как в Сирии) быстро, опираясь на СУЩЕСТВУЮЩИЕ системы классификации перейти в более защищенные режимы функционирования государственных и муниципальных баз данных. Чем не вариант. Просто горизонты вероятных событий у бизнесмена и ФСБ разные.

Алексей Лукацкий комментирует...

Описание моделей нарушителя ФСБ есть в приказах по ЭП

Алексей Лукацкий комментирует...

Алексей Т., дождемся доков ФСБ

ZZubra комментирует...

Да Алексей. Вы абсолютно правы. А я этот документ прочитал мельком, когда он вышел, потому и не запомнил.

Уточню. Есть описание классов СКЗИ с точки зрения их стойкости к атакам в приказе ФСБ 796 от 27.12.2011. Там же требования по защите иными СЗИ и мерами таких СКЗИ.

Алексей Т. комментирует...

Алексей, извиняюсь за чересчур резкую предыдущую фразу...

У Вас в таблицах явное противоречие - Вы привязываете уровень криптозащиты к типу актуальных угроз, а надо к уровню защищенности скорее. А если проанализировать ПП 1119 например, для случая специальные категории не работников более 100 000 (а это крупные страховые, медицина) получается даже при неактуальных НДВ минимум 2 уровень защищенности. Смотрим Вашу табличку - КВ1, КВ2 - ВЫ знаете такие средства?

ZZubra комментирует...

Вот и НДВ в ОС и СПО для КС3 во 2 абзаце пункта 18.3 Требований к средствам УЦ проявилось. :)

- системное и прикладное ПО средств УЦ должно соответствовать 4 уровню контроля отсутствия недекларированных возможностей.

Заменяем "средств УЦ" на "ИСПДн" и вся мозаика складывается.

Алексей! Ну надо было этот пост чуть раньше написать! Сколько копий осталось бы целыми )))))

ZZubra комментирует...

Насколько я помню (раньше точно читал на их сайтах) Дионис, КриптоПРО и ViPNet имеют сертификаты ФСБ по КВ.

Уточнить можно у них на сайтах и в перечне ФСБ в разделе лицензирования. Только у меня сайт ФСБ не открывается ( ссылку не дам.

ZZubra комментирует...

http://www.cryptopro.ru/products/hsm/cryptopro-hsm/description это КриптоПРО по КВ2

http://www.securitycode.ru/company/licenses/certificates/#kon это по Континенту КВ2

http://www.infotecs.ru/products/cert/detail.php?ID=8320 по ViPNet КВ2

У Диониса вообще убрали сертификаты по ФСБ. Но у них были.

ZZubra комментирует...

http://clsz.fsb.ru/certification.htm

Алексей Т. комментирует...

ZZubra, КВ1 - это ПАКИ, поэтому использовать их можно будет только как шлюзы, никаких клиентов и т.д... И очень не хотелось бы снова возвращаться к Випнету, Континенту когда в настоящее время достаточно более удобных и надежных решений есть.
Про Дионис вообще молчу.

ZZubra комментирует...

А ПАКи они из-за требований по их защите (те самые НДВ, СП и др.)

Но все же они есть. Про удобство я ничего и не говорил. А то что удобно, ну объективно, не сопоставимо с этими устройствами по криптостойкости.

Евгений комментирует...

Мда уж, если действительно требования к СКЗИ будут по уровням КВ и КА, недавние рассуждения об использовании мобильных устройств будут выглядеть наивно. Да даже и КС3 & КС2...

ZZubra комментирует...

Чисто теоретически, два главных производителя аппаратных электронных замков (ОКБ САПР и Код безопасности) уже создали такие замки для Mini PСI Express http://www.securitycode.ru/company/news/2012-06-22-Sobol-3_0_5/ и http://www.accord.ru/amdz.html

Типа будет спрос - будет и предложение для планшетных/телефонных разъемчиков. Пока вон производители СОВ и антивирусов не бросились свои продукты под новые требования клепать. А с ФСБшными требованиями - уже почти сделали. Хотя конечно КВ и КА даже замки не помогут. Может появиться производитель "чисто" российских планшетов/телефонов?

Аппаратная часть СКЗИ для УЭК вроде все еще под вопросом. Новостей давно не слышал, а этот компонент должен хотя бы по нормативке стыковаться и с ЭП и с ПДн (для госуслуг).

Алексей Лукацкий комментирует...

Алексей Т.: к УЗ будут привязаны оргмеры

Алексей Т. комментирует...

2 Алексей: Тогда еще хуже получается - техническая защита никак не зависит от ущерба субъекту, идея не соответствует ФЗ-152. Мне кажется до 7 декабря как минимум не стоит ничего обсуждать... я по крайней мере прекращаю, а то каждый день все веселей и веселей...

ZZubra комментирует...

Чуть табличку http://sdrv.ms/XEc1N6 подправил, а то упустил "иные работников".

ZZubra комментирует...

Техническая защита не зависит от ущерба отдельному гражданину, потому что защищается не гражданин (не ПДн отдельного гражданина), а граждаНЕ (все). Т.к. государство обязано соблюсти Конституцию и защитить ВСЕХ граждан от нарушения частной жизни (разглашения сведений о частной жизни), то и требования по защите всех она не конкретизирует до отдельного гражданина. Или Вы хотите иметь ОТДЕЛЬНЫЕ требования по защите по каждому субъекту в своей базе данных? На мой взгляд либерализация в интересах бизнеса :)

А вот возмещение ущерба гражданину в случае нарушения его прав на ЧАСТНУЮ ЖИЗНЬ - за это будет пропорциональное наказание: как за прямой ущерб, так и за моральный. Объем и пропорциональность установит суд. Туда же и наказание от государства, чтоб неповадно было всем (по КОАП или УК и не в пользу пострадавшего). Это есть в 152ФЗ.


ZZubra комментирует...

Закон о персданных по сути (но не по форме) это лицензирование деятельности операторов по обработке персданных граждан.
Как и в лицензировании государство разговаривает ОТ ИМЕНИ всех граждан с заинтересованными в обработке персданных субъектов лицами.
Чтобы не обидно было бизнесу, оно еще и на себя накладывает те же требования по минимально необходимому с его точки зрения, но достаточному для защиты прав большинства граждан уровню защиты, в том числе технической.
А уже когда минимальных требований по защите в конкретной ситуации по конкретному человеку оказывается недостаточно, в дело вступает остальное законодательство и по желанию пострадавшего - суд.
В общем же случае государство следит, чтобы операторы поддерживали необходимый уровень. Оператор же в случае чего доказывает, что все требования были выполнены и он не виноват, тогда субъект остается ни с чем. Можете это считать оборотной стороной обязанности защищать.

Ну конечно на мой личный взгляд :)

Евгений комментирует...

Да, да, государство заботится о нас, о нашей безопасности и тайне личной жизни. Вот только набор мер и требований по защите ПДн напоминает клинику больного мизофобией...

Ronin комментирует...
Этот комментарий был удален автором.
Ronin комментирует...

Не совсем понимаю, почему речь идет (что в сообщении, что в комментариях) исключительно об СКЗИ. ПП1119 регламентирует защиту в целом, в том числе и от НСД и т.д., то есть не только криптографическими средствами.
Привязка к нарушителям есть - об этом говорил в другой теме, так как от них и их возможностей, а также от возможноси реализации потенциальных НДВ и зависит актуальность угроз.
Кстати, многим, думаю, будет интересно узнать, что корреляция с нарушителями была предложена и Сергеем Вихоревым на прошедшем Форуме по защите ПДн, вот только она немного отличается и на мой взгляд не совсем корректна (как и ряд других его утверждений). С упомянутой презентацией, а также с другими можно будет ознакомиться на официальном сайте мероприятия (по предыдущим можно было, сейчас, думаю, будет так же).

Атаманов Г. А. комментирует...

Если ставить диагноз, то по проявленным признакам (анамнезу) это ближе к клептофобии — страху быть обокраденным, а по сути (объективно) - клептомании - патологическому желанию украсть. Ведь объявить главным требованием к защите информации "конфиденциальность", это, примерно, то же самое, что поставить гриф "съесть до прочтения". А заставлять всё и вся сертифицировать и лицензировать - свидетельство желания заработать "на халяву", что в данном случае эквивалентно "обокрасть".