понедельник, 21 октября 2013 г.

Предложения по Проекту приказа ФСБ.

В прошедшие выходные попытался исполнить свой гражданский долг и сформулировал предложения по Проекту приказа ФСБ.

Думаю всем очевидно, что концепция документа уже не изменится и ничего существенного авторы менять не станут. Поэтому я сосредоточился на том, чтобы попытаься внести в Проект хотя бы некоторые маленькие оговорки, которые могли бы облегчить жизнь. Всего получилось не густо - 3 предложения.

Предложение №1

В пункт 9 раздела II внести следующее уточнение:
«При разработке совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, необходимо учитывать, что привилегированные пользователи информационной системы (члены группы администраторов), которые назначаются из числа особо доверенных лиц и осуществляют техническое обслуживание криптосредств и СФ, как правило, исключаются из числа потенциальных нарушителей».

Это уточнение необходимо для того, чтобы исключить из числа потенциальных нарушителей хотя бы администраторов СКЗИ. Администраторы СКЗИ вполне могут иметь опыт разработки и анализа СКЗИ (например, высшее образование в области ИБ, опыт работы в организации-лицензиате ФСБ России). Поэтому если мы будем рассматривать их как источник угрозы, то вполне определенно попадаем на СКЗИ КВ1 (см. пункт 13 проекта).

Предложение №2

 В пункт 9 раздела II внести следующее уточнение:
«При разработке совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, необходимо учитывать, что система защиты не может обеспечивать защиту информации от действий, выполняемых в рамках предоставленных субъекту действий полномочий (например, криптосредство не может обеспечить защиту информации от раскрытия лицами, которым предоставлено право на доступ к этой информации)».

Это уточнение необходимо для того, чтобы исключить из числа потенциальных нарушителей легальных пользователей ИСПДн.

Пользователь ИСПДн естественно в рамках предоставленных ему полномочий имеет санкционированный доступ и к защищаемой информации и к СВТ.

Допустим, на СВТ пользователя реализовано СКЗИ (например, установлен VPN-клиент). Если мы пользователя рассматриваем как потенциального нарушителя, то в соответствии с пунктом 12 требуется СКЗИ класса КС3.  Но есть ли в этом смысл? Если пользователь и так имеет легальный доступ к данным, то как СКЗИ КС3 может ему помешать совершить нарушение?

Кстати, в моих предложениях нет ничего нового. Эти же формулировки уже были в Методических рекомендациях.

Предложение №3

Пункт 6 изложить в следующем виде:
«Для выполнения требования, указанного в подпункте «а» пункта 5 настоящего документа, необходимо обеспечение режима, препятствующего возможности неконтролируемого проникновения или пребывания в Помещениях, где располагаются программно-аппаратные СКЗИ, лиц, не имеющих права доступа в Помещения, которое достигается путем:
а) оснащения Помещений, в которых располагаются программно-аппаратные СКЗИ, входными дверьми с замками, обеспечения постоянного закрытия дверей Помещений на замок и их открытия только для санкционированного прохода, а также опечатывания Помещений по окончании рабочего дня;
б) утверждения правил доступа в Помещения, в которых располагаются программно-аппаратные СКЗИ, сотрудников и посетителей в рабочее и нерабочее время;
в) утверждения перечня сотрудников, имеющих право вскрывать Помещения в нештатных ситуациях, в которых располагаются программно-аппаратные СКЗИ, а также порядка вскрытия Помещений в таких ситуациях.


Пункт 26 изложить в следующем виде:
«Для выполнения требования, указанного в подпункте «а» пункта 5 настоящего документа, для обеспечения 1 уровня защищенности необходимо:
а) оборудовать окна Помещений, в которых располагаются программно-аппаратные СКЗИ, расположенные на первых и (или) последних этажах зданий, а также окна Помещений, в которых располагаются программно-аппаратные СКЗИ, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в Помещения посторонних лиц, металлическими решетками или ставнями, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения;
б) оборудовать окна и двери Помещений, в которых располагаются программно-аппаратные СКЗИ, металлическими решетками, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения.


Если задуматься, то для чего в Проекте даны требования по защите всех помещений? Даже тех, где СКЗИ не было и нет в помине. Почему принимая решение об использовании СКЗИ даже на небольшом участке, Оператор должен выполнять перечисленные в документе требования по защите всех помещений?

В итоге, чтобы не брать на себя выполнение предлагаемых требований по обеспечению безопасности помещений, Операторы могут начать избегать использования СКЗИ даже в тех случаях, когда это действительно необходимо. Результат будет обратный: уровень реальной защищенности снизится.

Поэтому требования по защите более логично предъявлять только к тем помещениям, где находятся СКЗИ.

Далее, в современных условиях компоненты системы (и СКЗИ) могут располагаться не только в контролируемых Оператором помещениях. Компоненты могут располагаться:
- в помещениях, которые относятся к общественным местам;
- на мобильных СВТ, которые часто меняют местоположение;
- на открытом пространстве.

Особенно это актуально для программных СКЗИ (опять таки, VPN-клиенты), которые устанавливаются на компьютеры практически где угодно. Невозможно применить требования по защите ко всем помещениям где они установлены.

А в контролируемых Оператором серверных помещениях установлены, как правило, только программно-аппаратные комплексы. Поэтому и требования по защите лучше предъявлять только к тем помещениям, где располагаются программно-аппаратные СКЗИ.

Комментариев нет:

Отправить комментарий