понедельник, 21 октября 2013 г.

Предложения по Проекту приказа ФСБ.

В прошедшие выходные попытался исполнить свой гражданский долг и сформулировал предложения по Проекту приказа ФСБ.

Думаю всем очевидно, что концепция документа уже не изменится и ничего существенного авторы менять не станут. Поэтому я сосредоточился на том, чтобы попытаься внести в Проект хотя бы некоторые маленькие оговорки, которые могли бы облегчить жизнь. Всего получилось не густо - 3 предложения.

Предложение №1

В пункт 9 раздела II внести следующее уточнение:
«При разработке совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, необходимо учитывать, что привилегированные пользователи информационной системы (члены группы администраторов), которые назначаются из числа особо доверенных лиц и осуществляют техническое обслуживание криптосредств и СФ, как правило, исключаются из числа потенциальных нарушителей».

Это уточнение необходимо для того, чтобы исключить из числа потенциальных нарушителей хотя бы администраторов СКЗИ. Администраторы СКЗИ вполне могут иметь опыт разработки и анализа СКЗИ (например, высшее образование в области ИБ, опыт работы в организации-лицензиате ФСБ России). Поэтому если мы будем рассматривать их как источник угрозы, то вполне определенно попадаем на СКЗИ КВ1 (см. пункт 13 проекта).

Предложение №2

 В пункт 9 раздела II внести следующее уточнение:
«При разработке совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, необходимо учитывать, что система защиты не может обеспечивать защиту информации от действий, выполняемых в рамках предоставленных субъекту действий полномочий (например, криптосредство не может обеспечить защиту информации от раскрытия лицами, которым предоставлено право на доступ к этой информации)».

Это уточнение необходимо для того, чтобы исключить из числа потенциальных нарушителей легальных пользователей ИСПДн.

Пользователь ИСПДн естественно в рамках предоставленных ему полномочий имеет санкционированный доступ и к защищаемой информации и к СВТ.

Допустим, на СВТ пользователя реализовано СКЗИ (например, установлен VPN-клиент). Если мы пользователя рассматриваем как потенциального нарушителя, то в соответствии с пунктом 12 требуется СКЗИ класса КС3.  Но есть ли в этом смысл? Если пользователь и так имеет легальный доступ к данным, то как СКЗИ КС3 может ему помешать совершить нарушение?

Кстати, в моих предложениях нет ничего нового. Эти же формулировки уже были в Методических рекомендациях.

Предложение №3

Пункт 6 изложить в следующем виде:
«Для выполнения требования, указанного в подпункте «а» пункта 5 настоящего документа, необходимо обеспечение режима, препятствующего возможности неконтролируемого проникновения или пребывания в Помещениях, где располагаются программно-аппаратные СКЗИ, лиц, не имеющих права доступа в Помещения, которое достигается путем:
а) оснащения Помещений, в которых располагаются программно-аппаратные СКЗИ, входными дверьми с замками, обеспечения постоянного закрытия дверей Помещений на замок и их открытия только для санкционированного прохода, а также опечатывания Помещений по окончании рабочего дня;
б) утверждения правил доступа в Помещения, в которых располагаются программно-аппаратные СКЗИ, сотрудников и посетителей в рабочее и нерабочее время;
в) утверждения перечня сотрудников, имеющих право вскрывать Помещения в нештатных ситуациях, в которых располагаются программно-аппаратные СКЗИ, а также порядка вскрытия Помещений в таких ситуациях.


Пункт 26 изложить в следующем виде:
«Для выполнения требования, указанного в подпункте «а» пункта 5 настоящего документа, для обеспечения 1 уровня защищенности необходимо:
а) оборудовать окна Помещений, в которых располагаются программно-аппаратные СКЗИ, расположенные на первых и (или) последних этажах зданий, а также окна Помещений, в которых располагаются программно-аппаратные СКЗИ, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в Помещения посторонних лиц, металлическими решетками или ставнями, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения;
б) оборудовать окна и двери Помещений, в которых располагаются программно-аппаратные СКЗИ, металлическими решетками, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения.


Если задуматься, то для чего в Проекте даны требования по защите всех помещений? Даже тех, где СКЗИ не было и нет в помине. Почему принимая решение об использовании СКЗИ даже на небольшом участке, Оператор должен выполнять перечисленные в документе требования по защите всех помещений?

В итоге, чтобы не брать на себя выполнение предлагаемых требований по обеспечению безопасности помещений, Операторы могут начать избегать использования СКЗИ даже в тех случаях, когда это действительно необходимо. Результат будет обратный: уровень реальной защищенности снизится.

Поэтому требования по защите более логично предъявлять только к тем помещениям, где находятся СКЗИ.

Далее, в современных условиях компоненты системы (и СКЗИ) могут располагаться не только в контролируемых Оператором помещениях. Компоненты могут располагаться:
- в помещениях, которые относятся к общественным местам;
- на мобильных СВТ, которые часто меняют местоположение;
- на открытом пространстве.

Особенно это актуально для программных СКЗИ (опять таки, VPN-клиенты), которые устанавливаются на компьютеры практически где угодно. Невозможно применить требования по защите ко всем помещениям где они установлены.

А в контролируемых Оператором серверных помещениях установлены, как правило, только программно-аппаратные комплексы. Поэтому и требования по защите лучше предъявлять только к тем помещениям, где располагаются программно-аппаратные СКЗИ.

пятница, 4 октября 2013 г.

Проект приказа ФСБ по защите ПДн с использованием средств криптографической защиты

Вчера был опубликован проект приказа ФСБ по защите персональных данных с использованием криптосредств.

Попробую провести краткий анализ этого документа.

Сначала отмечу самые важные, на мой взгляд, моменты:

1. Использование сертифицированных СКЗИ по прежнему обязательно.
2. Классы СКЗИ в явном виде сопоставлены с возможностями потенциального нарушителя. И это один из немногих положительных моментов в документе.
3. В большинстве случаев потребуется использование СКЗИ класса КС3 (!). Ниже поясню почему.  
4. В отличии от Методических рекомендаций, теперь отсутствует понятие «Модель нарушителя» и нет явного требования по ее разработке. Вместо этого есть требование о формировании и утверждении некой «совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, необходимой для определения требуемого класса СКЗИ».


Требования, содержащиеся в приказе, можно разбить на следующие 4 группы:
а) требования по защите помещений;
б) требования по защите носителей персональных данных;
в) требования по регламентации и контролю доступа к ПДн, ведению электронного журнала;
г) требования к классу используемых СКЗИ.

Требования а), б), в) явно зависят от Уровня защищенности (УЗ), определённого согласно ПП 1119.  Эти требования включают в себя, например, оборудование помещений металлическими решетками и сигнализацией (для УЗ 1), поэкземплярный учет и хранение носителей ПДн в сейфах, необходимость ведения электронного журнала сообщений, назначение ответственных лиц... В общем и так далее. Подробнее со всеми требованиями можно ознакомится посмотрев на таблицу в конце поста.

Остановимся отдельно на определении класса СКЗИ.

Определение класса СКЗИ


Класс СКЗИ зависит от двух факторов:
- от предполагаемых возможностей нарушителя;
- от наличия актуальных угроз НДВ (см ПП 1119).

Предполагаемые возможности нарушителей описываются в разделах 10-16 Приказа. В целом, содержание этих разделов во многом идентично предыдущим Методическим рекомендациям.

Выбор класса СКЗИ теперь стал более прозрачным, но это не значит, что жить стало легче.

Обратим внимание на подпункт а) пункта 12: «СКЗИ класса КС3 применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных в пунктах 10 и 11 настоящего документа и не менее одной из следующих дополнительных возможностей:… доступ к СВТ, на которых реализованы СКЗИ и СФ».

Очевидно, что доступ к "СВТ, на которых реализовано СКЗИ", могут иметь пользователи системы, не говоря уже об админах. Исходя из данного пункта получается, что если на компьютере пользователя установлен VPN-клиент и пользователь рассматривается как потенциальный нарушитель, то согласно данным требованиям к VPN-клиенту предъявляются требования КС3.



Причем, если в предыдущих Методических рекомендациях была зацепка, которая позволяла исключить из числа потенциальных нарушителей админов, то в рассматриваемом проекте приказа такая зацепка отсутствует.

То есть, большинство систем, независимо от УЗ, попадут под использование КС3 как минимум.

Но это еще не все...

Для уровней защищенности с 3 по 1, заявлена привязка требуемого класса СКЗИ к наличию актуальных угроз НДВ:

Для УЗ 3 требуются:
- СКЗИ класса КВ2 и выше в случаях, когда для информационной системы актуальны угрозы 2 типа;
- СКЗИ класса КС1 и выше в случаях, когда для информационной системы актуальны угрозы 3 типа.

Для УЗ 2 требуются:
- СКЗИ класса КВ2 и выше в случаях, когда для информационной системы актуальны угрозы 1 и 2 типа;
- СКЗИ класса КС1 и выше в случаях, когда для информационной системы актуальны угрозы 3 типа.

Для УЗ 1 требуются:
- СКЗИ класса КА1 в случаях, когда для информационной системы актуальны угрозы 1 типа;
- СКЗИ класса КВ2 и выше в случаях, когда для информационной системы актуальны угрозы 2 типа.

Если мы признаем актуальными угрозы 1 и 2 типа (угрозы наличия НДВ ), то попадем на СКЗИ класса КВ.

Напомню, что может ожидать счастливых обладателей СКЗИ КВ:
- необходимость заказывать у ФСБ ключевые блокноты (компакт-диски), требуемые для работы СКЗИ. Срок изготовление ключей – пол года. Срок жизни набора ключей – год J;
- невозможность удаленного администрирования СКЗИ. Да, кстати, ключевые блокноты также можно развертывать только локально;
- при подключении СКЗИ - использование «оптической развязки» - «медь-оптика-медь» (для защиты от наводок).

Вывод: если в финальном релизе Приказа ничего не изменится, то, возможно, всем придется запасаться СКЗИ класса КС3. Ну или вообще избегать использования криптографии (что маловероятно).

В заключение, обещанная таблица с требованиями