Определение уровня защищенности информационной системы персональных данных. Определение исходного уровня защищенности испдн

Создание системы защиты персональных данных

Определение уровня защищенности информационной системы персональных данных. Определение исходного уровня защищенности испдн

Некоторые вендоры вводят пользователей в заблуждение, позиционируя сертифицированное бухгалтерское и кадровое ПО как панацею от выездных проверок Роскомнадзора.

Мы уже писали о плюсах и минусах сертифицированного программного обеспечения и его месте в комплексной защите персональных данных. В этом материале рассмотрим конкретные действия по выполнению требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при работе с кадровой или бухгалтерской программой.

Напомним, что приведение процессов обработки и защиты ПДн в соответствие действующим требованиям законодательства РФ в общем случае выглядит следующим образом:

  1. Обследование организации на предмет соответствия процессов обработки и защиты персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ.
  2. Разработка комплекта внутренней организационно-распорядительной документации, регламентирующей процессы обработки и защиты персональных данных.
  3. Определение угроз безопасности и потенциальных нарушителей безопасности персональных данных, обрабатываемых в информационной системе персональных данных.
  4. Определение требуемого уровня защищенности персональных данных, обрабатываемых в информационной системе персональных данных.
  5. Разработка технического задания на создание системы защиты персональных данных.
  6. Приобретение средств защиты информации.
  7. Внедрение системы защиты персональных данных.
  8. Организация и проведение аттестации соответствия системы защиты персональных данных требованиям безопасности информации.

Аттестация не является обязательной, однако получение аттестата соответствия даст уверенность в том, что меры, реализованные в рамках системы защиты персональных данных, достаточно эффективны и удовлетворяют всем требованиям безопасности информации.

Обеспечьте защиту персональных данных в вашей компании

Узнать больше

Сертифицированное бухгалтерское или кадровое ПО в данном контексте может рассматриваться лишь как средство защиты информации.

Итак, дано: информационная система отдела кадров небольшой организации построена по классической клиент-серверной архитектуре.

В качестве ПО обработки ПДн используется любое кадровое ПО (Контур.Персонал,  «1С: зарплата и управление персоналом», сертифицированное ФСТЭК, прочее ПО).

В компании реализованы организационные (разработаны организационно-распорядительные документы по защите ПДн, сотрудники ознакомлены с требованиями законодательства и т д.) и физические (доступ в помещения обработки ПДн ограничен, внедрена охранная сигнализация и т д.) меры защиты ПДн, однако отсутствуют технические средства защиты информации.

Исходя из описанного выше порядка действий, оператор ПДн должен составить модель угроз и определить требуемый уровень защищенности ПДн, дабы в дальнейшем на основе полученных данных разработать систему защиты персональных данных.

Модель угроз безопасности ПДн: пример

Предположим, что в результате оценки исходного уровня защищенности информационной системы, внутренних и внешних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации и последствий реализаций угроз безопасности ПДн, модель угроз будет содержать следующие виды угроз*:

* Перечень актуальных угроз представлен в качестве примера и не может быть использован как эталон или руководство при построении модели угроз безопасности персональных данных.

Основными источниками угроз в данном случае будут выступать:

  • внешние нарушители — внешние субъекты, находящиеся вне границ контролируемой зоны организации;
  • внутренние нарушители — сотрудники, имеющие доступ в контролируемую зону организации, но не имеющие доступа к персональным данным.

Напомним, что контролируемая зона — это территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового доступа.

Определение уровня защищенности ПДн

В соответствии с постановлением Правительства Российской Федерации № 1119 от 01.11.2012 в описанной информационной системе требуется обеспечить 4-й уровень защищенности ПДн при их обработке в информационной системе.

Построение системы защиты персональных данных

В соответствии с Приказом ФСТЭК России от 18.02.

2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» определяем состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационной системе для 4-го уровня защищенности ПДн.

Рассмотрим техническую реализацию отдельно выбранных мер по обеспечению безопасности персональных данных:

Как видно из таблицы выше, для нейтрализации актуальных угроз безопасности персональных данных используются межсетевой экран и антивирусные средства защиты информации.

Кроме того, согласно приказу ФСТЭК России № 21, для обеспечения 4-го уровня защищенности персональных данных межсетевой экран и антивирусное средство должны иметь сертификаты соответствия не ниже 5-го класса по требованиям безопасности информации средств защиты информации.

ПО обработки ПДн также используется в качестве способа реализации требований приказа ФСТЭК России № 21, однако оно не используется для нейтрализации актуальных угроз безопасности ПДн, а следовательно, процедура оценки соответствия (сертификация) такого ПО не требуется.

Текущая система защиты персональных данных позволит разграничить доступ к серверу обработки персональных данных и защитит рабочие станции от актуальных угроз безопасности.

Выводы

Наличие у программы сертификата соответствия ФСТЭК не решает проблемы защиты ПДн. Существует множество средств защиты информации и сценариев их использования. Для построения эффективной и адекватной системы защиты персональных данных важно понимать принципы и порядок реализации мер, направленных на обеспечение безопасности ПДн.

Важно! Защита персональных данных — это комплекс мероприятий, направленных на обеспечение безопасности персональных данных, и внедрение системы защиты является лишь одним из этапов обеспечения безопасности

Не стоит забывать о поддержании созданной системы защиты ПДн в актуальном состоянии. Периодически необходимо проверять актуальность организационно-распорядительной документации, обновлять модель угроз и контролировать обеспечение установленного уровня защищенности ПДн.

Источник: https://kontur.ru/articles/1723

Определение исходного уровня защищенности ИСПДн

Определение уровня защищенности информационной системы персональных данных. Определение исходного уровня защищенности испдн
Под уровнем исходной защищенности информационной системы персональных данных (ИСПДн) понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн, а именно:

  • территориальное размещение;
  • наличие соединению сетями общего пользования;
  • встроенные (легальные) операции с записями баз персональных данных;
  • разграничение доступа к персональным данным;
  • наличие соединений с другими базами персональных данных иных ИСПДн;
  • уровень обобщения (обезличивания) персональных данных;
  • объем персональных данных, который предоставляется сторонним пользователям ИСПДн без предварительной обработки.

Определяется уровень исходной защищенности ИСПДн (Y₁) в соответствии с Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных ФСТЭК России в 2008 году. Уровень исходной защищенности ИСПДн (Y₁) применяется для оценки возможности реализации угроз безопасности персональных данных и определения актуальных угроз безопасности персональных данных.

ФСТЭК России выделило 3 (три) уровня исходной защищенности ИСПДн (Y₁): 

  • высокий; 
  • средний;
  • низкий.

Уровень исходной защищенности ИСПДн определяется по таблице 1

Таблица 1. Показатель исходного уровня защищенности ИСПДн

Технические и эксплуатационные характеристики ИСПДнУровень защищенности
ВысокийСреднийНизкий
1. По территориальному размещению:
распределенная ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом;+
городская ИСПДн, охватывающая не более одного населенного пункта (города, поселка);+
корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации;+
локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий;+
локальная ИСПДн, развернутая в пределах одного здания+
2. По наличию соединения с сетями общего пользования:
ИСПДн, имеющая многоточечный выход в сеть общего пользования;+
ИСПДн, имеющая одноточечный выход в сеть общего пользования;+
ИСПДн, физически отделенная от сети общего пользования+
3. По встроенным (легальным) операциям с записями баз персональных данных:
чтение, поиск;+
запись, удаление, сортировка;+
модификация, передача+
4. По разграничению доступа к персональным данным:
ИСПДн, к которой имеют доступ  определенные перечнем сотрудники организации, являющейся владельцем ИСПДн, либо субъект персональных данных;+
ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн;+
ИСПДн с открытым доступом+
5. По наличию соединений с другими базами персональных данных иных ИСПДн:
интегрированная ИСПДн (организация использует несколько баз персональных данных ИСПДн, при этом организация не является владельцем всех используемых баз персональных данных);+
ИСПДн, в которой используется одна база персональных данных, принадлежащая организации – владельцу данной ИСПДн+
6. По уровню обобщения (обезличивания) персональных данных:
ИСПДн, в которой предоставляемые пользователю данные являются обезличенными (на уровне организации, отрасли, области, региона и т.д.);+
ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации;+
ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта персональных данных)+
7. По объему персональных данных, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки:
ИСПДн, предоставляющая всю базу данных с персональными данными;+
ИСПДн, предоставляющая часть персональных данных;+
ИСПДн, не предоставляющая никакой информации.+

Правила определения исходного уровня защищенности ИСПДн

Исходная уровень защищенности ИСПДн определяется следующим образом. 

1. ИСПДн имеет высокий уровень исходной защищенности, если не менее 70% характеристик ИСПДн соответствуют уровню «высокий» (суммируются положительные решения по первому столбцу, соответствующему высокому уровню защищенности), а остальные – среднему уровню защищенности (положительные решения по второму столбцу). 

Таблица 2. Условия определения высокого уровня исходной защищенности

Технические и эксплуатационные характеристики ИСПДнУровень защищенности
ВысокийСреднийНизкий
ИТОГО ∑ ≥ 70%∑ ≤ 30% 0%

2. ИСПДн имеет средний уровень исходной защищенности, если не выполняются условия по пункту 1 и не менее 70% характеристик ИСПДн соответствуют уровню не ниже «средний» (берется отношение суммы положительные решений по второму столбцу, соответствующему среднему уровню защищенности, к общему количеству решений), а остальные – низкому уровню защищенности.

Таблица 3. Условия определения среднего уровня исходной защищенности

Технические и эксплуатационные характеристики ИСПДнУровень защищенности
ВысокийСреднийНизкий
ИТОГО ∑

Источник: https://fstec21.blogspot.com/2017/09/determination-level-security.html

Научная электронная библиотека Монографии, изданные в издательстве Российской Академии Естествознания

Определение уровня защищенности информационной системы персональных данных. Определение исходного уровня защищенности испдн

Одним из базовых мероприятий для обеспечения безопасности персональных данных является определение угроз безопасности в информационных системах персональных данных (ИСПДн) и уровня защищенности персональных данных [129].

Учитывая особую социальную значимость создания и функционирования единого программного продукта с возможностями выписки, отпуска, управления товарными запасами и контроля реализации программ льготного лекарственного обеспечения (ЛЛО), проблема информационной безопасности в этой сфере становится особенно актуальной.

Выявлены актуальные угрозы безопасности для обеспечения защиты персональных данных при их автоматизированной обработке в сфере ЛЛО Краснодарского края, разработана схема бизнес-процессов идентификации актуальных угроз в аналогичных информационных системах.

Угрозами безопасности персональных данных являются условия и факторы, при которых создается опасность несанкционированного (в том числе случайного) доступа к ним.

Под уровнем защищенности персональных данных понимают комплексный показатель, который характеризует требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в ИСПДн [129].

Дано описание потенциального нарушителя и, предложена модель актуальных угроз безопасности персональных данных, с учетом особенностей существующей информационной системы «Льготного лекарственного обеспечения» (ИС «ЛЛО») медицинского информационно-аналитического центра Краснодарского края. Модель угроз – это документ, разработанный в соответствии с требованиями нормативных документов ФСТЭК России и ФСБ России, описывающий перечень возможных угроз ИС «ЛЛО».

Исходными данными для построения модели угроз стали материалы проведенного аудита информационной безопасности ИС «ЛЛО» с привлечением специалистов компании-лицензиата ФСБ России и ФСТЭК России. Угрозы безопасности персональных данных выявлены на основе экспертного метода, в том числе путем опроса обслуживающего персонала ИС «ЛЛО».

Модель угроз предназначена для решения следующих задач:

– анализ угроз безопасности персональных данных;

– анализ защищенности ИСПДн;

– определение уровня криптографической защиты персональных данных при использовании криптосредств;

– определение мер для разработки системы защиты ИСПДн;

– определение мер контроля уровня защищенности обрабатываемых персональных данных.

Разработанная модель содержит описание последовательности мероприятий: построение модели нарушителя; определение исходного уровня защищенности ИС «ЛЛО»; определение вероятности, возможности реализации, опасности и актуальности каждой из угроз; описание возможных мер нейтрализации актуальных угроз.

ИС «ЛЛО» предназначена для хранения и обработки персональных данных граждан, получивших услуги в медицинских организациях, обладает техническими и эксплуатационными характеристиками [75], приведенными в табл. 4.1.

Источниками угроз в ИСПДн могут быть: аппаратная закладка, носитель вредоносной программы, нарушитель. Экспертным путем определено, что угрозы безопасности персональных данных, связанные с внедрением аппаратных закладок в ИС «ЛЛО» неактуальны.

Носителями вредоносной программы в ИСПДн могут быть: отчуждаемый носитель (флеш-память, оптический диск, отчуждаемый винчестер, дискета и так далее); встроенные носители информации (винчестеры); пакеты передаваемых по компьютерной сети сообщений; файлы (текстовые, графические, исполняемые и так далее).

Таблица 4.1

Показатели исходной защищенности ИСПДн

№ п/пТехнические и эксплуатационные характеристики ИСПДнИсходные характеристики ИС «ЛЛО»
1.По территориальному размещениюраспределенная
2.По наличию соединения с сетями общего пользованияодноточечный выход в сеть общего пользования
3.По встроенным операциям с записями баз персональных данныхзапись, чтение, удаление, сортировка, поиск
4.Разграничение прав доступа к персональным даннымв соответствии с перечнем определен доступ сотрудникам организации – владельцу ИС «ЛЛО»
5.По наличию соединений с другими базами персональных данных иных ИСПДниспользуется одна база персональных данных, принадлежащая организации – владельцу ИС «ЛЛО»
6.По уровню (обезличивания) персональных данныхпредоставляемые пользователю данные не являются обезличенными
7.По объему персональных данныхпредоставляется часть персональных данных
8.Объем обрабатываемых персональных данныхобрабатываются данные более 100 000 субъектов, не являющихся сотрудниками оператора персональных данных
9.Категория обрабатываемых персональных данныхспециальная (данныео здоровье)

Нарушителем является физическое лицо (лица), случайно или преднамеренно совершающее действия, которые повлекли нарушения безопасности персональных данных [75]. Потенциальные нарушители могут быть внешними (осуществляющие атаки из-за пределов контролируемой зоны ИСПДн) и внутренними (в пределах контролируемой зоны).

Модель угроз основана на предположении, что у внешнего нарушителя только во время ее передачи по каналам связи вне контролируемой зоны есть возможность воздействовать на защищаемую информацию или из сети международного информационного обмена.

Исходили из того, что ИС «ЛЛО» – распределенная информационная система, ее элементы, непосредственно хранящие и обрабатывающие персональные данные, расположены на территории контролируемой зоны, кроме каналов линии связи, по которым осуществлена передача данных.

При этом исключено несанкционированное пребывание посторонних лиц на территории контролируемой зоны.

Для защиты персональных данных от действий внешнего нарушителя при их передаче по сетям международного информационного обмена, в модели угроз предусмотрены средства криптографической защиты информации (СКЗИ), которые должны противостоять действиям конкретного типа нарушителя, располагающего только доступными в свободной продаже аппаратными компонентами и средой функционирования криптосредства [78]. Таким образом, СКЗИ должны обеспечить криптографическую защиту персональных данных, не содержащих сведений, составляющих государственную тайну.

Внутренние потенциальные нарушители разделены на восемь категорий в зависимости от способа доступа и полномочий доступа к персональным данным [8]. Учитывая характеристики ИС «ЛЛО», способ и полномочия доступа к ИСПДн, предположения о возможностях нарушителя, степени его информированности, определены две вероятные категории:

– лица, имеющие санкционированный доступ к ИСПДн, но не имеющие доступа к персональным данным (категория I);

– зарегистрированные пользователи ИСПДн, осуществляющие удаленный доступ к персональным данным по локальной информационной сети (категория III).

Актуальной считают угрозу, которая представляет опасность для персональных данных и может быть реализована [75]. На рис. 4.6 приведена схема идентификации актуальных угроз ИС «ЛЛО», на которой изображен последовательный ход выполнения процедур определения актуальности для каждой из угроз.

Уровень исходной защищенности является обобщенным показателем, который зависит от технико-эксплуатационных характеристик ИСПДн (табл. 4.1) и называемый коэффициентом степени исходной защищенности (Y1) [75].

Коэффициент Y1 оценивают согласно таблицам соответствия по методике, изложенной в [75] в балльной шкале в соответствии со следующей градацией: 0 – для высокой степени; 5 – для средней степени; 10 – для низкой степени.

Рис. 4.6. Схема бизнес-процессов идентификации актуальных угроз

Возможность реализации каждой из угроз определяют посредством показателя, называемого коэффициентом вероятности реализации угрозы (Y2). Коэффициент Y2 также оценивают в балльной шкале в соответствии со следующей градацией: 0 – маловероятная, 2 – низкая, 5 – средняя, 10 – высокая. Коэффициент Y2 определяют для каждой из угроз путем экспертной оценки по установленной шкале.

По коэффициентам Y1 и Y2 рассчитывают обобщенный коэффициент Y реализуемости угроз (4.1):

(4.1)

Если коэффициент Y ∈ [0; 0,3), то уровень реализации угрозы считают низким; если Y ∈ [0,3; 0,6) – средним; если Y ∈ [0,6; 0,8) – высоким; если Y принимает значения не менее 0,8 – очень высоким [75].

Анализ безопасности ИС «ЛЛО» показал, что коэффициенту Y1 соответствует значение 5 (средняя степень).

Наряду с вышеописанными коэффициентами используют показатель опасности реализации каждой из угроз, который определяют экспертным путем по шкале: «низкая», «средняя», «высокая».

Для ИС «ЛЛО» наибольший интерес представляют угрозы случайных действий (сд) пользователей и преднамеренных действий (пд) внутренних нарушителей, которые идентифицированы как угрозы соответственно средней и высокой опасности. Возможности реализации каждой из этих угроз определены как низкие с коэффициентами и .

Так как коэффициент Y1 для обеих угроз принимает одинаковое значение, равное 5, по формуле (4.1) легко рассчитать, что коэффициенты реализуемости угроз Yсд и Yпд принимают значения 0,35 из интервала [0,3; 0,6).
Следовательно, в ИС ЛЛО каждая угроза имеет средний уровень реализуемости. Табл. 4.

2 представляет собою правило идентификации угроз – характер угрозы (актуальная, неактуальная) определяют записью в ячейке таблицы, расположенной на пересечении строки и столбца [75].

По таблице легко видеть, что для ИС «ЛЛО» угрозы случайных действий пользователей и преднамеренных действий внутренних нарушителей следует идентифицировать как актуальные – соответствующие ячейки в таблице выделены полужирным курсивом.

Таблица 4.2

Правила отнесения угрозы безопасности к актуальной

Возможность реализации угрозы (Y)Показатель опасности угрозы
НизкаяСредняяВысокая
Низкаянеактуальнаянеактуальнаяактуальная
Средняянеактуальнаяактуальнаяактуальная
Высокаяактуальнаяактуальнаяактуальная
Очень высокаяактуальнаяактуальнаяактуальная

Угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении признаны неактуальными.

Следовательно, для ИС «ЛЛО» актуальны так называемые угрозы третьего типа [97], предполагающие действия несанкционированного доступа.

Поэтому, учитывая, что в ИС «ЛЛО» обрабатываются персональные данные специальной категории более 100 000 субъектов, необходимо обеспечить второй уровень защищенности из четырех возможных [97], который предполагает:

– идентификацию и аутентификацию устройств, в том числе стационарных, мобильных и портативных;

– доверенную загрузку средств вычислительной техники;

– учёт и управление доступом к машинным носителям персональных данных;

– мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них;

– применение системы обнаружения вторжений;

– контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации;

– возможность восстановления персональных данных с резервных машинных носителей персональных данных;

– подлинность сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов;

– обнаружение, идентификацию и регистрацию инцидентов.

В модели угроз представлены меры по обеспечению требуемого уровня защищенности ИС «ЛЛО» в соответствии с нормативно-правовыми актами регулирующих органов, с учётом характеристик системы и особенностей среды её функционирования в сфере ЛЛО.

Высокие требования к защите данных в этой области обусловлены большим количеством участников информационного обмена на разных уровнях управления здравоохранением Краснодарского края: медицинские и аптечные организации, муниципальные органы управления здравоохранения, министерство здравоохранения Краснодарского края и подведомственные ему организации.

В соответствии с базовым набором мер [103] по обеспечению второго уровня защищенности сформирован адаптированный и уточненный для ИС «ЛЛО» набор мер, с учётом ее структурно-функциональных характеристик и выявленных актуальных угроз безопасности.

Составленный набор мер может быть реализован с применением имеющихся средств защиты информации и выполнением утвержденных организационных мероприятий.

При этом реализация выбранных мер не приведет к увеличению сложности эксплуатации и повышению требований к квалификации обслуживающего персонала ИС «ЛЛО».

Полученные результаты проведенного исследования дали общее представление о защищенности персональных данных в ИС «ЛЛО», позволили выявить уязвимые места информационной системы, подобрать меры по обеспечению безопасности и спланировать её дальнейшее развитие в направлении защиты информации. Даны рекомендации по обеспечению конфиденциальности, доступности и целостности защищаемых данных в ИС «ЛЛО», обрабатываемых всеми участниками информационного обмена.

Результаты представленных исследований [57; 58] могут быть использованы при составлении организационно-распорядительных документов, регламентирующих обработку персональных данных, в том числе должностных инструкций и регламентов работ; при разработке моделей угроз безопасности персональных данных идентичных информационных систем.

Источник: https://www.monographies.ru/en/book/section?id=13864

Проблемы действующей методики определения актуальных угроз от ФСТЭК

Определение уровня защищенности информационной системы персональных данных. Определение исходного уровня защищенности испдн
Доброго времени суток, Хабр! Сегодня мы бы хотели покритиковать документ «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденный ФСТЭК России 14 февраля 2008г. (далее – Методика).

Эта Методика является единственным утвержденным документом по определению актуальных угроз безопасности, а в соответствии с действующим законодательством «Для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы, разработанные и утвержденные ФСТЭК России…».

Как видно из даты утверждения Методики, ей уже более 10 лет и с ней действительно много проблем. Какие именно — рассмотрим далее.

Эта проблема всплывает уже в названии документа: «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных».

Далее по тексту Методики видим следующее: Методика предназначена для использования при проведении работ по обеспечению безопасности персональных данных при их обработке в следующих автоматизированных информационных системах персональных данных:

  • государственных или муниципальных ИСПДн;
  • ИСПДн, создаваемых и (или) эксплуатируемых предприятиями, организациями и учреждениями (далее – организациями) независимо от форм собственности, необходимых для выполнения функций этих организаций в соответствии с их назначением;
  • ИСПДн, создаваемых и используемых физическими лицами, за исключением случаев, когда последние используют указанные системы исключительно для личных и семейных нужд.


Ну ок, привязка к персональным данным и ИСПДн, а в чем проблема-то? А проблема возникает, когда нам нужно писать модель угроз, например, для государственной информационной системы (ГИС), в которой не обрабатываются персональные данные.

Все бы ничего, если бы каждый оператор ГИС варился бы в собственном соусе в плане информационной безопасности – разрабатывал бы себе модель угроз по собственно изобретенной методике, пользовался бы ею только сам и никому бы не показывал. Только вот постановлением Правительства РФ от 11 мая 2017 г. №555 операторов всех вновь создаваемых ГИС обязали согласовывать модели угроз и технические задания на создание системы защиты информации с ФСТЭК России и ФСБ России.

И, конечно же, в случае чрезмерно «творческого» подхода к разработке модели угроз оператор ГИС получит ответ, что «Модель угроз разработана без учета утвержденных ФСТЭК России нормативных документов, переделывайте». А другой утвержденной методики у нас просто нет. В первом же абзаце Методики сказано: Методика определения актуальных угроз безопасности персональных данных (ПДн) при их обработке в информационных системах персональных данных (ИСПДн) разработана ФСТЭК России на основании Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденного постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781, с учетом действующих нормативных документов ФСТЭК России по защите информации. Проблема здесь в том, что выделенное жирным постановление Правительства отменено в 2012 году. Но если бы в этом абзаце фигурировало только оно, то можно было бы считать Методику полностью нелегитимной. Но здесь есть еще 152-ФЗ, который вполне себе живой и действующий. Мнения юристов в вопросе легитимности Методики расходятся. В любом случае, как уже было сказано, это единственный хоть как-то утвержденный документ, поэтому мучаемся и пользуемся. Почему «мучаемся»? Рассмотрим далее.

В то время как все актуальные нормативные документы ФСТЭК требуют в качестве исходных данных для моделей угроз использовать Банк данных угроз, Методика ссылается на документ «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», который так же утвержден в 2008 году и которым по факту невозможно пользоваться.

Это в целом не то чтобы прям проблема, мы здесь просто пользуемся БДУ и все. Но в то же время такая ситуация ярко иллюстрирует несоответствия и несогласованности нормативных документов. В то время как 17, 21 и 239 приказы ФСТЭК ссылаются на хоть как-то актуализируемый БДУ, Методика застряла в 2008 году. Итак, мы добрались до самой собственно методики определения актуальных угроз. Суть ее в следующем: у нас есть список угроз, для каждой угрозы, чтобы определить ее актуальность (или не актуальность), нам нужно определить ряд параметров, а потом путем вычислений/манипуляций, описанных в Методике прийти к желаемой цели – списку актуальных угроз. Первый из таких параметров, который нам необходимо определить – «уровень исходной защищенности», он же «степень исходной защищенности», он же «коэффициент исходной защищенности», он же Y1 (это, кстати еще одна промежуточная проблема методики — слишком много названий для одной и той же сущности). Степень исходной защищенности определяется следующим образом. Есть 7 показателей (технические и эксплуатационные характеристики системы), для каждого показателя есть несколько вариантов значений и для каждого показателя нужно выбрать только одно из этих значений, наиболее подходящее для нашей информационной системы. Выбранному значению сопоставлен уровень защищенности (высокий, средний или низкий). Далее считаем, сколько вариантов у нас получилось с уровнем «высокий», «средний» и «низкий». Если из 7 показателей 70% и более получили «высокий уровень защищенности», то степень исходной защищенности всей системы высокая (Y1 = 0). Если из 7 показателей 70% и более получили высокий или средний уровень защищенности, то степень исходной защищенности всей системы средняя (Y1 = 5). Если не выполняются предыдущие два условия, то степень исходной защищенности всей системы низкая (Y1 = 10). Список характеристик и их значений
Вроде нормально, но.

Во-первых, показатели, их значения и уровни защищенности распределены так, что в реальной информационной системе (не являющейся автономным компьютером, отключенным от сети, как коммуникационной, так и электрической) вы никогда не получите высокую степень защищенности.

Во-вторых, сами показатели и их значения очень странные. Часто бывает, что к одному показателю подходит либо сразу два значения, либо не подходит ни одного. Показатель «По территориальному размещению». Возможные значения:

  • распределенная ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом;
  • городская ИСПДн, охватывающая не более одного населенного пункта (города, поселка);
  • корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации;
  • локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий;
  • локальная ИСПДн, развернутая в пределах одного здания.

Здесь не редки ситуации, когда к информационной системе подходят сразу два значения: «распределенная» и «корпоративная» или «городская» и «корпоративная». Показатель «По разграничению доступа к персональным данным» Возможные значения:

  • ИСПДн, к которой имеют доступ определенные перечнем сотрудники организации, являющейся владельцем ИСПДн, либо субъект ПДн;
  • ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн;
  • ИСПДн с открытым доступом.

Тут две крайности, либо система открытая, либо к ней имеют доступ, только сотрудники организации, являющейся владельцем этой информационной системы. В современном мире часто бывают ситуации, когда к защищаемой информации предоставляется доступ сторонним пользователям (не являющимся сотрудниками владельца информационной системы), при этом система не является общедоступной. Эти моменты прекрасно отражены в приказах 17 и 21 ФСТЭК (есть отдельные меры по подключению внешних пользователей), но в Методике отсутствуют. При этом мы не можем добавлять свои значения, Методика этого не предусматривает. В-третьих, есть показатели, которые плотно связаны с персональными данными и вне их контекста просто неприменимы, например показатель «По уровню обобщения (обезличивания) ПДн». Когда мы используем Методику для разработки модели угроз для ГИС, не обрабатывающей ПДн, этот показатель приходится просто выкидывать. А чего только стоит «ИСПДн, не предоставляющая никакой информации»… Если есть Y1, должен быть и Y2. Y2 это по-другому «вероятность угрозы». Есть 4 градации: маловероятно, низкая вероятность, средняя вероятность и высокая вероятность (Y2 = 0, 2, 5, 10 соответственно). Сама вероятность угрозы зависит от наличия предпосылок к реализации угрозы и от наличия/отсутствия/неполноты принятых мер по нейтрализации угрозы. Угроза признается маловероятной, если для нее отсутствуют объективные предпосылки для осуществления угрозы. Так, а в чем проблема-то? А проблема в том, что вместо того чтобы написать в Методике, что маловероятные угрозы просто исключаются из списка актуальных угроз, для них у нас просто есть свое значение Y2. А это значит что для угроз, для которых нет предпосылок (например, угрозы связанные со средами виртуализации в системах, где не применяется виртуализация) мы должны осуществлять расчет коэффициентов и определять актуальность/неактуальность. Ну не бред ли? Бред, особенно учитывая то, что при определенном стечении обстоятельств угрозы, для которых нет предпосылок, чисто по Методике могут стать внезапно актуальными. Это возможно при низком показателе исходной защищенности и/или при средней/высокой опасности угроз. Но в любом случае мы должны тратить время на расчет. Поэтому здесь хорошей практикой является в этом месте не применять методику «в лоб», а отсеять маловероятные угрозы на предварительном этапе. Пока что опыт согласования со ФСТЭК моделей угроз для ГИС говорит о том, что у регулятора к такому подходу претензий нет. Первым бессмысленным (в реальности не применимым) параметром являлась высокая степень исходной защищенности. Далее, если внимательно читать Методику, можно найти его бро. Если дочитавшим до этого места интересно, что же мы делаем с Y1 и Y2, то мы с их помощью вычисляем Y (он же – возможность реализации угрозы) по незамысловатой формуле Y = (Y1+Y2)/20. В зависимости от получившегося значения возможность реализации может быть низкой, средней, высокой или очень высокой. И последняя градация бессмысленна. Вот таблица из Методики, по которой мы определяем актуальность угрозы по двум параметрам – возможности реализации угрозы (она же Y) и опасности угрозы (о ней — ниже). Из таблицы видно, что высокая и очень высокая возможность реализации угрозы ничем не отличаются, все угрозы на этих уровнях будут актуальными, несмотря на значение опасности угрозы. Какой был смысл вводить лишнюю бессмысленную градацию – не понятно. Нам, в общем, от этого ни холодно, ни жарко, поэтому проблемой это можно считать лишь отчасти. Ну и переходим к параметру «Опасность угрозы». Тут есть свои градации (вот это поворот!) низкая, средняя и высокая. Различаются они тем, к каким последствиям для субъекта персональных данных приведет реализация угрозы: незначительные негативные, просто негативные, значительные негативные соответственно. Вы, наверное, думаете, что далее в Методике написано подробно и с цифрами — что является незначительными негативными последствиями и чем они отличаются от значительных? Нет, составитель документа ограничился фразой, что опасность угроз определяется «на основе опроса экспертов (специалистов в области защиты информации)». Я думаю ни для кого не секрет, что в таких случаях многие разработчики модели угроз будут просто всегда ставить по умолчанию низкую опасность угроз с целью сокращения списка актуальных угроз. К тому же, стоит отметить, что зачастую «экспертов», которых можно опросить нет в радиусе 200 км. Собственно на этом проблемы с опасностью угроз не заканчиваются. Дополнительно мучаются опять же разработчики моделей угроз для информационных систем, в которых не обрабатываются персональные данные. И если понятие «персональные данные» можно легко заменить на «защищаемую информацию», то на что заменить «субъект персональных данных» в контексте наносимых негативных последствий? Здесь уже каждый разработчик модели угроз действует по ситуации. Резонный вопрос – если действующая методика такая плохая, то как там у регулятора с планами по обновлению документа?

Здесь история такая – в далеком 2015 году ФСТЭК выложил проект новой методики моделирования угроз. Некоторое время ФСТЭК принимал от всех заинтересованных лиц предложения и пожелания по совершенствованию проекта.

Потом первые полгода на вопросы «Где новая методика?» следовал ответ о том, что регулятор получил много фидбека на проект документа и сейчас все это дело обрабатывает.

Потом еще где-то год на тот же вопрос представители ФСТЭК отвечали, что документ находится в Минюсте на согласовании (проект документа с правками на основании фидбека от населения так и не был выложен, по ссылке выше – изначальная версия). А потом и вовсе стали пожимать плечами.

В общем, судьба замены Методики и печальна и туманна одновременно. Печальна она потому, что проект был неплохой, уж точно лучше того, чем приходится пользоваться сейчас, хотя у нас там тоже были свои вопросы и нарекания. Что в итоге:

  • у нас единственная легитимная методика определения актуальных угроз безопасности информации и в большинстве случаев действующее законодательство предписывает пользоваться именно ей;
  • действующая методика проблемная изначально, плюс устарела и не согласуется с более свежими нормативными документами того же ФСТЭКа;
  • действующая методика привязана к персональным данным и к субъектам персональных данных, что приводит к необходимости изобретения велосипеда при разработке моделей угроз для информационных систем без персональных данных;
  • модели угроз для ГИС необходимо согласовывать со ФСТЭК, поэтому для ГИС мы не можем не использовать действующую методику;
  • для ИСПДн тоже не можем не использовать, так как методика разработана «во исполнение 152-ФЗ»;
  • о планах ФСТЭК по замене устаревшего и плохого методического документа ничего не известно.

Вот такие будни отечественной ИБэ. Всем добра.

Источник: https://habr.com/ru/company/ic-dv/blog/453756/

Юр-защитник
Добавить комментарий