вторник, 16 июня 2015 г.

Методические рекомендации ФСБ по разработке моделей угроз



ФСБ опубликовала документ "Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности". Ссылка.

Документ  предназначен для разработчиков отраслевых моделей угроз (коими в соответствии с ФЗ 152 могут быть ФОИВ, органы гос власти субъектов РФ, Банк России и др.).

В отношении операторов ИСПДн документ носит рекомендательный характер.

Документ включает несколько разделов. 
В разделе 1 перечисляется информация, которую необходимо включать в модель угроз при описании ИСПДн (общие сведения, объекты размещения, существующие меры защиты и так далее). В разделе 2 описываются случаи, когда необходимо применение СКЗИ и некоторые сопутствующие нюансы. Раздел 3 посвящен определению актуальных угроз (фактически предоставлено описание объектов атак и возможностей нарушителя по 378-му приказу ФСБ).
 
Ключевые, на мой взгляд, моменты документа:
  1. Случаи, при которых требуется использование СКЗИ: а) передача ПДн по незащищенным каналам связи (например, сети связи общего пользования) б) хранение ПДн на носителях, НСД к которым не может быть исключен другими методами.
  2. Если угрозы, которые могут быть нейтрализованы только с помощью СКЗИ (см. пункт выше) неактуальны, то данный документ не используется. 
  3. Чтобы объявить каналы связи защищенными без СКЗИ, то нужно провести исследования  защищенности каналов связи от НСД. Исследования проводятся организацией,  имеющей  право  проводить  такие исследования. 
  4. Нужно применять только сертифицированные СКЗИ.  А если нет пригодных сертифицированных СКЗИ ...  то просто они разрабатываются :) 
  5. Для разных сегментов ИСПДн можно использовать СКЗИ разных классов.Это хорошо, так как если оператору удастся занизить класс СКЗИ для пользовательских сегментов ИСПДн, то это позволит избежать затрат на использование АПМДЗ. 
  6. Отраслевая модель угроз согласуется с ФСБ и ФСТЭК. Частные модели угроз согласования с ФСБ не требуют.
  7. В приложении к документу – интереснейшая таблица с примерами обоснования отсутствия у нарушителя тех или иных возможностей. Таблица будет крайне полезна всем разработчикам моделей угроз и нарушителя.
Выводы: операторы ИСПДн и разработчики моделей угроз, несмотря на рекомендательный характер документа, смогут почерпнуть в нем много полезного. При правильном использовании, документ (и особенно таблица во вложении) может помочь оператору снизить требуемый класс СКЗИ. Насколько документ будет полезен разработчикам отраслевых моделей - судить не могу. Вопрос в том, когда последуют модели угроз, разработанные в соответствии с этим документом.

Что еще почитать: 
Обзор документа в блоге Андрея Прозорова
Предыстория вопроса и обзор документа в блоге Алексея Лукацкого


Автор: Комментариев нет:

среда, 8 октября 2014 г.

Сертифицированные VPN


В этой статье рассмотрим некоторые нюансы, связанные с использованием решений VPN для защиты персональных данных.


VPN подходят для реализации меры ЗИС.3 из 21-го приказа ФСТЭК (защита данных при передачи за пределами контролируемой зоны). Однако, поскольку VPN является криптосредством, то при их использовании мы попадаем под действие 378 приказа ФСБ.
О приказе ФСБ №378 (по защите перс. данных с использованием криптосредств) в сети написано уже достаточно, например у Алексея Лукацкого.

Используемые VPN должны быть сертифицированы по линии ФСБ в качестве средств криптографической защиты информации (СКЗИ). Существуют следующие классы сертифицированных криптосредств, обозначаемых через КС1, КС2, КС3, КВ1, КВ2, КА1 (по последним данным КВ1 и КВ2 объединены в один класс КВ).
Как выбрать сертифицированное решение VPN нужного класса для защиты персональных данных?

1) Для начала, определимся с минимальным классом используемого решения:
Уровень защищенности
 Тип угроз
УЗ 4
УЗ 3
УЗ 2
УЗ 1
Угрозы 1 типа
(НДВ в системном ПО)

КА
КА
Угрозы 2 типа
(НДВ в прикладном ПО)
КВ и выше
КВ и выше
КВ и выше
Угрозы 3 типа
(не связаны с НДВ)
КС1 и выше
КС1 и выше
КС1 и выше
 
Это базовая таблица, которая ограничивает класс применяемых СКЗИ "снизу". То есть, если у нас УЗ3 и актуальны угрозы 2 типа, то необходимо применять СКЗИ класса КВ и выше. Если у нас УЗ4 и актуальны угрозы 3 типа, то требуемый класс - КС1 и выше.
Обратим внимание на словосочетание "... и выше".

2) Разработаем совокупность предположений о возможностях нарушителя.
Дело в том, что конкретный класс СКЗИ будет зависеть от возможностей потенциального нарушителя (модели нарушителя). Возможности потенциального нарушителя и соответствующие им классы СКЗИ подробно расписаны в пунктах 10-14 приказа.

Написание модели нарушителя - тема для отдельного большого поста. Отметим только, что для минимизации издержек желательно в модели всеми силами "отмазываться" от наличия любых внутренних нарушителей, и тем более от нарушителей, являющихся легальными пользователями или администраторами системы. В идеале у нас должен быть актуальным лишь внешний нарушитель, осуществляющий атаки из-за пределов контролируемой зоны, притом никак не связанный со спецслужбами и разработкой СКЗИ. В этом случае мы выйдем на класс СКЗИ КС1. При разработке модели нарушителя нам понадобится определенная фантазия, творческий подход и несколько красивых "магических фраз" :)

3) Подберем решение, соответствующее выбранному классу СКЗИ и нашим техническим требованиям.
Полный перечень сертифицированных решений можно посмотреть в официальном перечне ФСБ
Ниже представлены основные вендоры и максимальные классы, по которым сертифицированы их VPN-решения (по состоянию на сентябрь 2014 года).
 

Класс
S-Terra
(CSP VPN)
Код безопасности
(Континент)
ИнфоТеКС
(ViPNet)
StoneSoft
(StoneGate)
Амикон
(ФПСУ-IP)
Элвис+
(Застава)
Криптоком
(МагПро КриптоПакет)
КС1
+
+
+
+
+
+
+
КС2
+
+
+
+
+
+
+
КС3
+
+
+
-
-
-
-
КВ1
-
-
-
-
-
-
-
КВ2
-
+
+
-
-
-
-
КА1
-
-
-
-
-
-
-

 *после поглощения McAfee заказать сертифицированный StoneGate скорее всего невозможно 
 
Это те решения, с которыми приходилось чаще всего сталкиваться на рынке. Если есть что добавить  - пишите в комментарии.

P.S.
При выборе решения есть множество нюансов, на которые стоило бы обратить внимание.
Во-первых, один и тот же продукт может быть сертифицирован по разным классам, в зависимости от вариантов исполнения. Например, VPN-клиент без модуля доверенной загрузки (АПМДЗ) сертифицирован по классу КС1, а в комплекте с АПМДЗ - уже КС2/КС3. Нам придется внимательно выбрать необходимый вариант исполнения приобретаемого решения.
 Во-вторых, изучим формуляр и правила пользования, в соответствии с которыми должны эксплуатироваться СКЗИ. Убедимся, что мы действительно сможем выполнить указанные там условия.


Автор: 7 комментариев:

вторник, 12 августа 2014 г.

Сертифицированные системы обнаружения вторжений. Краткий обзор NIPS


В соответствии с 21-м приказом ФСТЭК, используемые в СЗПДн системы обнаружения вторжений (СОВ) должны быть сертифицированы.
В данном посте приведу краткое сравнение имеющихся на рынке на данный момент (август 2014) сертифицированных СОВ. В сравнении учитывались только сетевые системы обнаружения вторжений (NIPS), сертифицированные серией. Обзор сертифицированных HIPS будет позже.
Информация почерпнута только из открытых материалов. 


Если вы считаете, что в таблице нужно что-либо исправить или добавить - отписывайтесь в комментариях к данному посту.


Критерий
VIPNet IDS2000
McAfee Network Security Platform
M-4050
ПАК ФОРПОСТ2000
UserGate Proxy & Firewall 6.0 VPN GOST
Детектор атак «Континент»
 IPC-1000
Реализация сенсора
(ПАК / ПО)
ПАК
ПАК
ПАК / ПО
ПО
ПАК
Метод обнаружения
Сигнатурный
Сигнатурный, Эристический,
Репутационный,
Sandboxing
Сигнатурный
Сигнатурный, Эвристический
Сигнатурный, Эвристический
Централизованное управление
нет
да
да
да
да
Заявленная макс. производительность сенсора
До 6 Гбит/с
До 4,5 Гбит/с
До 6 Гбит/с
н/д
До 600 Мбит/с
Реальная производительность сенсора
н/д
До 3 Гбит/с
н/д
н/д
н/д
Сетевые интерфейсы
2 шт. медн. 1Гбит/с
2 шт. 10Гбит/c SFP+
8 шт. 1Гбит/с SFP
4 шт. 10 Гбит/с XFP
4 шт. медн. 1Гбит/с
2 шт. 10Гбит/c SFP+
-
10 шт. медн.1Гбит/с
Число параллельных сессий
н/д
1500000
н/д
н/д
н/д
Инспекция HTTPS
нет
да
нет
нет
нет
Основные дополнительные возможности
нет
 МЭ (в inline-режиме)
 
Встроенный антивирус
 
Защита от бот-сетей
 
Репутационный анализ на основе базы знаний McAfee Global Threat Intelligence,
 
Анализ трафика на основе NetFlow / JFlow
нет
 МЭ
 
Встроенный антивирус
 
VPN
 
Биллинговая система
нет
Bypass
нет
Да
нет
нет
нет
Локализация
есть
нет
есть
есть
есть
Сертификация
ФСБ России:
СОА класса В
ФСТЭК:
СОВ по 4 классу
ФСТЭК:
СОВ по 5 классу
ФСБ России:
СОА класса Б
ФСТЭК:
СОВ по 3 классу
ФСТЭК:
СОВ по 4 классу
ФСТЭК:
СОВ по 3 классу
Схема сертификации
Серия
Серия
Серия
Серия
Серия
Автор: 2 комментария:
Подписаться на: Сообщения (Atom)