вторник, 26 ноября 2013 г.

Проект документа ФСТЭК по мерам защиты ГИС - первое впечатление



ФСТЭК выпустил любопытный проект документа под названием «МЕРЫ ЗАЩИТЫ ИНФОРМАЦИИ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ».
Первое впечатление – ниже.


Сфера действия
Документ описывает методы реализации организационных и технических мер защиты информации, перечисленных в приказе ФСТЭК № 17.
Видимо документ планируется к применению в информационных системах, защищаемых в соответствии с требованиями приказа ФСТЭК № 17.
Для защиты информации (в том числе персональных данных) в прочих информационных системах данный документ также может применяться.
Документ представляет интерес для технических специалистов операторов, а также для системных интеграторов, работающих в гос. секторе.

Меры защиты
Состав мер защиты в проекте документа идентичен составу мер из 17 приказа ФСТЭК.
Для каждой меры приводятся требования к реализации и требования к усилению.
Требования к реализации описывают то, каким образом реализуется мера в целом. Например, для меры ИАФ.1 (Идентификация и аутентификация пользователей, являющихся сотрудниками оператора) приводится описание того, кто именно подразумевается под «сотрудниками» оператора, а также перечисляются возможные способы аутентификации (пароль, аппаратные средства, биометрия, многофакторная аутентификация).
Требования по усилению дополнительно детализируют содержание меры. Например, требование 1а по усилению ИАФ.1, требует использования аутентификации на основе пароля длиной не менее 6 символов, с алфавитом не менее 30 символов и максимальным количеством неуспешных попыток ввода от 3 до 10. Необходимые "усиления" меры зависят от класса защищенности системы. Например, для системы 3 класса защищенности мера ИАФ.1 обязательна и применяется с "усилением" 1б.

Мера защиты информации
Класс защищенности информационной системы
4
3
2
1
ИАФ.1
+
+
+
+
Усиление ИАФ.1
1в, 2, 3, 4
1г, 2, 3, 4, 5





Таким образом, из класса защищенности системы вытекает не только набор мер защиты, но еще и способ реализации каждой меры. 

Не все требования по усилению обязательны. Часть мер, не включенных в таблицу базовых мер, применяется по решению обладателя информации, для повышения уровня защищенности информации, при адаптации, уточнении, дополнении мер защиты, а также при разработке компенсирующих мер.

Дальше, в лес
Лично у меня после первого прочтения возникло несколько вопросов.
Во-первых, для всех классов защищенности кроме 4-го, запрещен удаленный доступ при помощи учетных записей администраторов для администрирования информационной системы и СЗИ (см. п.3 на стр. 36 в УПД.13).
Как удаленно администрировать, например, сетевое оборудование? Как действовать в случае, когда админу из дома необходимо срочно что-либо настроить?

Во-вторых, в требованиях по защите информации при передаче (см. ЗИС.3 на стр. 119) сказано, что «защита информации обеспечивается путем защиты каналов связи от несанкционированного физического доступа (подключения) к ним и (или) применения в соответствии с законодательством Российской Федерации средств криптографической защиты информации».
Хорошо, что обозначена альтернатива использованию криптографии.
Но, к сожалению, не расписаны возможные меры защиты канала от НСД.
Подразумевается исключительно предотвращение физического доступа к каналу, или же допускается возможность обнаружения несанкционированного доступа с последующим прекращением передачи? Лично я надеялся, что вопрос защиты каналов связи будет освящен подробнее.

В-третьих, в требованиях по сегментированию системы (см. ЗИС.17 на стр. 132) сказано, что «сегментирование информационной системы проводится с целью построения многоуровневой (эшелонированной) системы защиты информации путем построения сегментов на различных физических доменах или средах».
Получается, что нужно строить для защищаемых систем физически выделенные сегменты сети на отдельном оборудовании? Трактовка данного требования не очевидна.

Что в итоге
Проект документа ФСТЭК мне определенно нравится, особенно на контрасте с последним проектом приказа ФСБ.
Документ вышел достаточно объемным (165 страниц) и производит сильное впечатление. Требования сформулированы понятном для IT-шника языке. Практически нет двусмысленных трактовок. Документ требует вдумчивого и глубокого анализа со стороны специалистов в различных областях. 

ФСТЭК предлагает заинтересованным лицам рассмотреть проект  документа и направить предложения по нему на адрес электронной почты project@fstec.ru. 
Форма для предложений и замечаний есть в конце информационного сообщения ФСТЭК.

вторник, 12 ноября 2013 г.

Защита персональных данных 2013

На прошлой неделе удалось побывать на конференции «Защита персональных данных 2013», проводимой по инициативе Роскомнадзора. Краткий отчет ниже. 

Программа конференции была рассчитана на два дня. Однако, выяснилось, что первый день - закрытый и на него простым смертным попасть нельзя. В результате поехал на второй день.

До обеда действовала одна общая секция, состоящая из докладов отечественных и зарубежных чиновников. После обеда планировалось разделение докладов на тематические заседания.

Для меня конференция началась с выступления небезызвестного господина Гаттарова. Были затронуты животрепещущие темы о том, как американские спецслужбы душат свободу в Интернете, а нехорошие западные компании отказываются соблюдать отечественные требования по защите ПДн. 
Затем начали выступать иностранные гости. Их доклады описывали зарубежный опыт защиты персональных данных. 
Короче говоря, первая часть дня представляла не очень большой интерес для рядового российского ИБ-шника.

Далее было время обеда. Правда
"обеда" в гастрономическом смысле, к сожалению, не было. Зато из окна Экспоцентра открывался неплохой вид.


После обеда началось собственно то, ради чего я поехал в Москву. Доклады разделились на тематические заседания:
Тематическое заседание №1 "Защита персональных данных: организационные и технологические аспекты"
Тематическое заседание №2 "Перспективы развития законодательства в области персональных данных"
Тематическое заседание №3 "Защищенная среда для электронного бизнеса"
Тематическое заседание №4 "Подготовка кадров в области информационной безопасности"
Первое и второе заседания шли параллельно. Третье и четвертое тоже шли параллельно. 

Я пошел на заседание, посвященное организационным и технологическим аспектам защиты ПДн, где ожидались выступления регуляторов.

Первый доклад коснулся вопросов обезличивания персональных данных. По сути, еще раз было озвучено содержание 996 приказа. В условиях кризиса, РКН рассматривает обезличивание как панацею, которая поможет сократить расходы гос. структур на защиту ПДн. РКН еще раз подтвердил, что в ближайшее время ожидаются методические рекомендации по применению приказа. 

В следующем докладе представитель ФСТЭК рассказывал про 17 приказ. Было еще раз заявлено, что приказ не отменяет СТР-К и РД АС. Был анонсирован документ по моделированию угроз, который будет обязателен для гос. органов.
В ходе обсуждения были затронуты довольно интересные вопросы о сфере действия 17 приказа. Какие информационные системы считать ГИСами? Распространяются ли требования приказа на информационные системы, которые отсутствуют в реестре? Ответ ФСТЭК получился следующим: во-первых, отнесение систем к ГИС вне их компетенции. Во-вторых, если система фактически обладает признаками ГИС (см. закон N 149-ФЗ), то она и является ГИС и попадет под действие приказа ФСТЭК. А если система, обладающая признаками ГИС, не зарегистрирована как положено в реестре, то это уже само по себе нарушение и  проблема исключительно Оператора. 

Далее выступал представитель ФСБ с докладом о «вопросах использования криптографических средств защиты информации». Нам рассказали о сфере контроля ФСБ (гос. органы), наиболее частых замечаниях при проверках и о рычагах воздействия на недобросовестных операторов. Ничего принципиально нового из доклада я не извлек. Однако общение после доклада получилось интересным.


Наболевший вопрос о металлических решетках на окнах (см. Проект приказа ФСБ):
- Как нам реализовать данное требование для офисной «стекляшки»?
- А зачем Вы засунули систему 1 уровня защищенности в офисную «стекляшку»?
Что ж, логично :). Системы наивысшего уровня защищенности с актуальными угрозами 1-го и 2-го типов должны встречаться крайне редко и, вероятнее всего, не у коммерческих структур. 


В общем, насколько я понял, у ФСБ все-таки нет намерения навязывать оператором использование СКЗИ высоких классов. И при грамотно аргументированном обосновании класс СКЗИ вполне может быть снижен (например, за счет исключения внутренних нарушителей). 

Удалось также побывать еще на двух докладах. Доклад представителя Mircosoft, посвященный их внутренней реализации процесса реагирования на инциденты, был крайне интересным и ( субъективно) оказался лучшим докладом на конференции.

Не сомневаюсь, что были еще интересные доклады. Но на них поприсутствовать, к сожалению, не удалось, т.к. пришлось выбирать между параллельными секциями. 

Подводя итоги.
Считаю, что 20 минут для доклада на серьезную тему - недостаточно.
Иностранный опыт защиты перс. данных? Вопросы обучения специалистов по ИБ? Наверное, эти проблемы просто выше моего уровня. Лучше бы организаторы отказались от первой части (с иностранными гостями), но зато бы поставили все интересные послеобеденные доклады по очереди, а не параллельно.