В прошедшие выходные попытался исполнить свой гражданский долг и сформулировал предложения по Проекту приказа ФСБ.
Думаю всем очевидно, что концепция документа уже не изменится и ничего существенного авторы менять не станут. Поэтому я сосредоточился на том, чтобы попытаься внести в Проект хотя бы некоторые маленькие оговорки, которые могли бы облегчить жизнь. Всего получилось не густо - 3 предложения.
«При разработке совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, необходимо учитывать, что привилегированные пользователи информационной системы (члены группы администраторов), которые назначаются из числа особо доверенных лиц и осуществляют техническое обслуживание криптосредств и СФ, как правило, исключаются из числа потенциальных нарушителей».
Это уточнение необходимо для того, чтобы исключить из числа потенциальных нарушителей хотя бы администраторов СКЗИ. Администраторы СКЗИ вполне могут иметь опыт разработки и анализа СКЗИ (например, высшее образование в области ИБ, опыт работы в организации-лицензиате ФСБ России). Поэтому если мы будем рассматривать их как источник угрозы, то вполне определенно попадаем на СКЗИ КВ1 (см. пункт 13 проекта).
«При разработке совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, необходимо учитывать, что система защиты не может обеспечивать защиту информации от действий, выполняемых в рамках предоставленных субъекту действий полномочий (например, криптосредство не может обеспечить защиту информации от раскрытия лицами, которым предоставлено право на доступ к этой информации)».
Это уточнение необходимо для того, чтобы исключить из числа потенциальных нарушителей легальных пользователей ИСПДн.
Пользователь ИСПДн естественно в рамках предоставленных ему полномочий имеет санкционированный доступ и к защищаемой информации и к СВТ.
Допустим, на СВТ пользователя реализовано СКЗИ (например, установлен VPN-клиент). Если мы пользователя рассматриваем как потенциального нарушителя, то в соответствии с пунктом 12 требуется СКЗИ класса КС3. Но есть ли в этом смысл? Если пользователь и так имеет легальный доступ к данным, то как СКЗИ КС3 может ему помешать совершить нарушение?
Кстати, в моих предложениях нет ничего нового. Эти же формулировки уже были в Методических рекомендациях.
«Для выполнения требования, указанного в подпункте «а» пункта 5 настоящего документа, необходимо обеспечение режима, препятствующего возможности неконтролируемого проникновения или пребывания в Помещениях, где располагаются программно-аппаратные СКЗИ, лиц, не имеющих права доступа в Помещения, которое достигается путем:
а) оснащения Помещений, в которых располагаются программно-аппаратные СКЗИ, входными дверьми с замками, обеспечения постоянного закрытия дверей Помещений на замок и их открытия только для санкционированного прохода, а также опечатывания Помещений по окончании рабочего дня;
б) утверждения правил доступа в Помещения, в которых располагаются программно-аппаратные СКЗИ, сотрудников и посетителей в рабочее и нерабочее время;
в) утверждения перечня сотрудников, имеющих право вскрывать Помещения в нештатных ситуациях, в которых располагаются программно-аппаратные СКЗИ, а также порядка вскрытия Помещений в таких ситуациях.
Пункт 26 изложить в следующем виде:
«Для выполнения требования, указанного в подпункте «а» пункта 5 настоящего документа, для обеспечения 1 уровня защищенности необходимо:
а) оборудовать окна Помещений, в которых располагаются программно-аппаратные СКЗИ, расположенные на первых и (или) последних этажах зданий, а также окна Помещений, в которых располагаются программно-аппаратные СКЗИ, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в Помещения посторонних лиц, металлическими решетками или ставнями, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения;
б) оборудовать окна и двери Помещений, в которых располагаются программно-аппаратные СКЗИ, металлическими решетками, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения.
Если задуматься, то для чего в Проекте даны требования по защите всех помещений? Даже тех, где СКЗИ не было и нет в помине. Почему принимая решение об использовании СКЗИ даже на небольшом участке, Оператор должен выполнять перечисленные в документе требования по защите всех помещений?
В итоге, чтобы не брать на себя выполнение предлагаемых требований по обеспечению безопасности помещений, Операторы могут начать избегать использования СКЗИ даже в тех случаях, когда это действительно необходимо. Результат будет обратный: уровень реальной защищенности снизится.
Поэтому требования по защите более логично предъявлять только к тем помещениям, где находятся СКЗИ.
Далее, в современных условиях компоненты системы (и СКЗИ) могут располагаться не только в контролируемых Оператором помещениях. Компоненты могут располагаться:
- в помещениях, которые относятся к общественным местам;
- на мобильных СВТ, которые часто меняют местоположение;
- на открытом пространстве.
Особенно это актуально для программных СКЗИ (опять таки, VPN-клиенты), которые устанавливаются на компьютеры практически где угодно. Невозможно применить требования по защите ко всем помещениям где они установлены.
А в контролируемых Оператором серверных помещениях установлены, как правило, только программно-аппаратные комплексы. Поэтому и требования по защите лучше предъявлять только к тем помещениям, где располагаются программно-аппаратные СКЗИ.
Думаю всем очевидно, что концепция документа уже не изменится и ничего существенного авторы менять не станут. Поэтому я сосредоточился на том, чтобы попытаься внести в Проект хотя бы некоторые маленькие оговорки, которые могли бы облегчить жизнь. Всего получилось не густо - 3 предложения.
Предложение №1
В пункт 9 раздела II внести следующее уточнение:«При разработке совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, необходимо учитывать, что привилегированные пользователи информационной системы (члены группы администраторов), которые назначаются из числа особо доверенных лиц и осуществляют техническое обслуживание криптосредств и СФ, как правило, исключаются из числа потенциальных нарушителей».
Это уточнение необходимо для того, чтобы исключить из числа потенциальных нарушителей хотя бы администраторов СКЗИ. Администраторы СКЗИ вполне могут иметь опыт разработки и анализа СКЗИ (например, высшее образование в области ИБ, опыт работы в организации-лицензиате ФСБ России). Поэтому если мы будем рассматривать их как источник угрозы, то вполне определенно попадаем на СКЗИ КВ1 (см. пункт 13 проекта).
Предложение №2
В пункт 9 раздела II внести следующее уточнение:«При разработке совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, необходимо учитывать, что система защиты не может обеспечивать защиту информации от действий, выполняемых в рамках предоставленных субъекту действий полномочий (например, криптосредство не может обеспечить защиту информации от раскрытия лицами, которым предоставлено право на доступ к этой информации)».
Это уточнение необходимо для того, чтобы исключить из числа потенциальных нарушителей легальных пользователей ИСПДн.
Пользователь ИСПДн естественно в рамках предоставленных ему полномочий имеет санкционированный доступ и к защищаемой информации и к СВТ.
Допустим, на СВТ пользователя реализовано СКЗИ (например, установлен VPN-клиент). Если мы пользователя рассматриваем как потенциального нарушителя, то в соответствии с пунктом 12 требуется СКЗИ класса КС3. Но есть ли в этом смысл? Если пользователь и так имеет легальный доступ к данным, то как СКЗИ КС3 может ему помешать совершить нарушение?
Кстати, в моих предложениях нет ничего нового. Эти же формулировки уже были в Методических рекомендациях.
Предложение №3
Пункт 6 изложить в следующем виде:«Для выполнения требования, указанного в подпункте «а» пункта 5 настоящего документа, необходимо обеспечение режима, препятствующего возможности неконтролируемого проникновения или пребывания в Помещениях, где располагаются программно-аппаратные СКЗИ, лиц, не имеющих права доступа в Помещения, которое достигается путем:
а) оснащения Помещений, в которых располагаются программно-аппаратные СКЗИ, входными дверьми с замками, обеспечения постоянного закрытия дверей Помещений на замок и их открытия только для санкционированного прохода, а также опечатывания Помещений по окончании рабочего дня;
б) утверждения правил доступа в Помещения, в которых располагаются программно-аппаратные СКЗИ, сотрудников и посетителей в рабочее и нерабочее время;
в) утверждения перечня сотрудников, имеющих право вскрывать Помещения в нештатных ситуациях, в которых располагаются программно-аппаратные СКЗИ, а также порядка вскрытия Помещений в таких ситуациях.
Пункт 26 изложить в следующем виде:
«Для выполнения требования, указанного в подпункте «а» пункта 5 настоящего документа, для обеспечения 1 уровня защищенности необходимо:
а) оборудовать окна Помещений, в которых располагаются программно-аппаратные СКЗИ, расположенные на первых и (или) последних этажах зданий, а также окна Помещений, в которых располагаются программно-аппаратные СКЗИ, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в Помещения посторонних лиц, металлическими решетками или ставнями, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения;
б) оборудовать окна и двери Помещений, в которых располагаются программно-аппаратные СКЗИ, металлическими решетками, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения.
Если задуматься, то для чего в Проекте даны требования по защите всех помещений? Даже тех, где СКЗИ не было и нет в помине. Почему принимая решение об использовании СКЗИ даже на небольшом участке, Оператор должен выполнять перечисленные в документе требования по защите всех помещений?
В итоге, чтобы не брать на себя выполнение предлагаемых требований по обеспечению безопасности помещений, Операторы могут начать избегать использования СКЗИ даже в тех случаях, когда это действительно необходимо. Результат будет обратный: уровень реальной защищенности снизится.
Поэтому требования по защите более логично предъявлять только к тем помещениям, где находятся СКЗИ.
Далее, в современных условиях компоненты системы (и СКЗИ) могут располагаться не только в контролируемых Оператором помещениях. Компоненты могут располагаться:
- в помещениях, которые относятся к общественным местам;
- на мобильных СВТ, которые часто меняют местоположение;
- на открытом пространстве.
Особенно это актуально для программных СКЗИ (опять таки, VPN-клиенты), которые устанавливаются на компьютеры практически где угодно. Невозможно применить требования по защите ко всем помещениям где они установлены.
А в контролируемых Оператором серверных помещениях установлены, как правило, только программно-аппаратные комплексы. Поэтому и требования по защите лучше предъявлять только к тем помещениям, где располагаются программно-аппаратные СКЗИ.
Комментариев нет:
Отправить комментарий