Pojďme se tedy dotknout třetího z uvažovaných dokumentů FSTEC – „Základního modelu bezpečnostních hrozeb osobních údajů“. Tento 100stránkový dokument je nápadný... ve svém zaostávání za současnou situací o 10-15 let.
Když jsem poprvé začal číst tento rukopis, měl jsem dojem, že jsem to všechno už někde četl. A když jsem došel opravdu na konec, uvědomil jsem si, že 80 procent „Základního modelu“ tvoří kreativní zpracování článků a materiálů z internetu věnovaných bezpečnosti, síťové útoky, viry atd. Pravda, všechny tyto materiály byly publikovány na počátku až polovině 90. let. Co stojí za zmínku takové moderní útoky jako Land, Smurf, Ping of Death atd.
Část o virech zaujme svým intelektem - zmiňuje zachycení přerušení INT 13H jako hlavní kanál pro vstup virů do systému, příběh o zvukových a obrazových efektech a změně palety obrazovky, výměně znaků při zadávání, formátování disket ( Dlouho jsem neviděl počítače s disketovou mechanikou), infekce OBJ souborů. Jak se vám líbí tato fráze z dokumentu z roku 2008: " Nejběžnější jsou doprovodné viry, které používají funkci DOS k tomu, aby jako první spouštěly soubory s příponou .COM."? Který COM, který DOS? O čem mluví tito lidé, kteří jsou odpovědní za informační bezpečnost v zemi?
Velká část je věnována síťovým útokům. Vše by bylo v pořádku, kdyby ještě před vydáním nezastaral. Zmínka o Back Orifice, NetBus, Nuke mluví sama za sebe. Příběh o tom, jak jsou data zachycována kvůli falšování adres a zranitelnostem v protokolu ARP, by byl zajímavý, kdyby nepřipomínal knihu „Útok z internetu“, vydanou v polovině 90. let a zveřejněnou na internetu ve stejnou dobu .
V tomto modelu hrozby není ani slovo o moderních síťových červech, DDoS útocích, únikech dat přes IM nebo e-mail, obcházení ochranných nástrojů, útocích na aplikační úrovni. Ale existuje spousta odkazů na takové „slavné“ společnosti ve světě informační bezpečnosti jako Axent, CyberSafe, L-3, BindView atd. Pamatuji si, že když jsem tyto společnosti zmiňoval ve svých článcích a knize z konce 90. let, tehdy jsem napsal, že tyto společnosti již neexistují, protože byly absorbovány většími hráči na trhu informační bezpečnosti. Autoři dokumentu si této skutečnosti naštěstí nejsou vědomi.
Znalosti autorů dokumentu v oblasti malwaru jsou úžasné. Mezi jejich nosiče mezi video adaptéry a zvukové karty, které se z nějakého důvodu nazývají vestavěná paměťová média, je také uvedeno napájení! Proč se napájecí zdroj stal nejen nosičem informací, ale i nosičem malwaru, jsem nedokázal pochopit. Zřejmě jde o výsledek uzavřeného výzkumu, který provedl respektovaný regulátor.
Co dalšího k tomuto dokumentu říci? Obecně nic ;-(Zmíněná fakta mluví za vše.
V tento moment Přehodnocuji soukromou politiku o rizicích porušení informační bezpečnost a aktualizace modelu ohrožení bezpečnosti informací.
V průběhu práce jsem se setkal s určitými obtížemi. Jak jsem je vyřešil a vyvinul model soukromých hrozeb, bude diskutováno dále.
Dříve mnoho bank používalo Průmyslový model bezpečnostních hrozeb PD převzatý z Doporučení v oblasti standardizace Centrální banky Ruské federace BR IBBS-2.4-2010 „Zajištění informační bezpečnosti organizací v bankovním systému Ruská Federace. Odvětvový soukromý model ohrožení bezpečnosti osobních údajů při jejich zpracování v informační systémy osobní údaje organizací bankovního systému Ruské federace" (RS BR IBBS-2.4-2010). Ale kvůli zveřejnění informací z Bank of Russia ze dne 30. května 2014 se dokument stal neplatným. Nyní potřebujete abyste to sami rozvinuli.
Málokdo ví, že s vydáním Doporučení v oblasti standardizace Bank of Russia "Zajištění informační bezpečnosti organizací bankovního systému Ruské federace. Prevence úniků informací" RS BR IBBS-2.9-2016 (RS BR IBBS-2.9-2016) došlo k záměně pojmů. Nyní při definování seznam kategorií informací a seznam typů informačních aktiv doporučuje se zaměřit se na obsah bodů 6.3 a 7.2 RS BR IBBS-2.9-2016. Dříve to byl bod 4.4 Doporučení v oblasti standardizace Bank of Russia "Zajištění informační bezpečnosti organizací bankovního systému Ruské federace. Metodika hodnocení rizik narušení bezpečnosti informací" RS BR IBBS-2.2 -2009 (RS BR IBBS-2.2-2009). Dokonce jsem se obrátil na centrální banku s žádostí o vysvětlení:
Hlavní zdroje ohrožení jsou uvedeny v článku 6.6 Standardu Bank of Russia „Zajištění informační bezpečnosti organizací v bankovním systému Ruské federace. Obecná ustanovení» STO BR IBBS-1.0-2014 (STO BR IBBS-1.0-2014). Potenciál vetřelce lze vzít odtud.
Obecně při určování aktuální hrozby IS je nutné zohlednit incidenty informační bezpečnosti, ke kterým v organizaci došlo, informace z analytických zpráv regulátorů a společností poskytujících služby informační bezpečnosti a odborné vyjádření specialistů společnosti.
Taky hrozby IS jsou stanoveny v souladu s vyhláškou Bank of Russia č. 3889-U ze dne 10. prosince 2015 „O identifikaci ohrožení bezpečnosti osobních údajů, která jsou relevantní při zpracování osobních údajů v informačních systémech osobních údajů (3889-U), dodatek 1 z RS BR IBBS-2.2-2009, tabulka 1 RS BR IBBS-2.9-2016 (vyrobil jsem to samostatná aplikace), Data Bank of Information Security Threats of FSTEC of Russia (BDU).
Mimochodem, všiml jsem si, že některé hrozby z 3889-U duplikují hrozby z BDU:
- hrozba expozice Škodlivý kód, externí ve vztahu k informačnímu systému osobních údajů - UBI.167, UBI.172, UBI.186, UBI.188, UBI.191;
- ohrožení používání metod sociálního inženýrství osobám s oprávněním v informačním systému osobních údajů - UBI.175;
- hrozba neoprávněného přístupu k osobním údajům ze strany osob, které nemají oprávnění v informačním systému osobních údajů, využívající zranitelnosti v programovém vybavení informačního systému osobních údajů - UBI.192;
V tomto ohledu jsem vyloučil duplicitní hrozby z 3889-U ve prospěch UBI, protože jejich popis obsahuje dodatečné informace, který usnadňuje vyplňování tabulek s modelem hrozby a hodnocením rizik informační bezpečnosti.
Skutečné hrozby zdroj hrozeb "Nepříznivé přírodní, člověkem způsobené a společenské události" statistiky Ministerstva pro mimořádné situace Ruské federace o mimořádných situacích a požárech.
Skutečné hrozby zdroj hrozeb "Teroristé a kriminální živly" lze určit na základě statistik Ministerstva vnitra Ruské federace o stavu kriminality a zpravodaje „Zločin v bankovním sektoru“.
V této fázi jsme identifikovali zdroje hrozeb IS a aktuální hrozby IS. Nyní přejdeme k vytvoření tabulky s modelem ohrožení bezpečnosti informací.
Jako základ jsem vzal tabulku "Průmyslový model bezpečnostních hrozeb PD" z RS BR IBBS-2.4-2010. Sloupce „Zdroj hrozby“ a „Úroveň realizace hrozby“ se vyplňují v souladu s požadavky článku 6.7 a článku 6.9 STO BR IBBS-1.0-2014. Stále máme prázdné sloupce "Typy objektů prostředí" a "Bezpečnostní hrozba". To druhé jsem přejmenoval na "Důsledky realizace hrozby", jako v BDU (podle mě je to správnější). K jejich vyplnění potřebujeme popis našich hrozeb ze strany BDU.
Jako příklad zvažte „UBI.192: Hrozba používání zranitelných verzí softwaru“:
Popis hrozby: hrozba spočívá v možnosti destruktivního dopadu na systém ze strany narušitele zneužitím zranitelnosti softwaru. Tato hrozba je způsobena slabinami v mechanismech pro analýzu zranitelností softwaru. Implementace této hrozby je možná bez kontroly před použitím softwaru na přítomnost zranitelností v něm.
Zdroje hrozeb: insider s nízkým potenciálem; externí narušitel s nízkým potenciálem.
Předmět vlivu: aplikováno software, síťový software, systémový software.
Důsledky realizace hrozby: porušení důvěrnosti, porušení integrity, porušení přístupnosti.
Pro pohodlí jsem rozdal typy objektů prostředí(objekty vlivu) podle úrovní realizace hrozby ( úrovně informační infrastruktury banky).
Svitek objekty prostředí Sestavil jsem z článku 7.3 RS BR IBBS-2.9-2016, článku 4.5 RS BR IBBS-2.2-2009 a z popisu UBI. Úrovně implementace hrozeb jsou uvedeny v článku 6.2 STO BR IBBS-1.0-2014.
Že. tato hrozba ovlivňuje následující úrovně: úroveň síťových aplikací a služeb; úroveň bankovnictví technologických postupů a aplikace.
Totéž jsem udělal s dalšími hrozbami IS.
Výsledkem je taková tabulka.
Ty lze zase rozdělit na sankcionované a náhodné. Vnější nebezpečí mohou představovat teroristé, zahraniční zpravodajské služby, zločinecké skupiny, konkurenti atd., kteří mohou blokovat, kopírovat a dokonce ničit informace cenné pro obě strany.
Základní model hrozeb
Vnitřní hrozba „úniku“ informací je taková hrozba, kterou zaměstnanci vytvářejí určitý podnik. Mohou ho hacknout a využít ve svůj prospěch. To je možné, pokud firma nemá technické opatření a kontrolu přístupu k.
Právo na ochranu osobní informaceÚstava Ruské federace zaručuje každému občanovi.
Úrovně ochrany
Sám informační bezpečnostní systém může mít čtyři. Upozorňujeme, že výběr prostředků určuje provozovatel na základě předpisů (část 4 článku 19 federálního zákona „o osobních údajích“).
- organizace musí zavést režim, který zabrání vstupu do prostor osobám, které do nich nemají přístup;
- musíte se postarat o bezpečnost osobních souborů;
- vedoucí musí schválit provozovatele, jakož i dokumenty, které by obsahovaly seznam osob, které mohou z titulu služebních povinností kontaktovat důvěrná informace ostatní zaměstnanci;
- používání nástrojů informační bezpečnosti, které prošly hodnotícím řízením v oblasti informační bezpečnosti.
Pro zajištění třetího stupně zabezpečení je nutné dodržet všechny požadavky čtvrtého stupně a přidává se ještě jeden - úředník (zaměstnanec) odpovědný za zajištění bezpečnosti osobních údajů v .
Druhý stupeň zabezpečení je charakterizován ustanovením, že do něj může mít přístup sám provozovatel nebo zaměstnanec, kterému to jeho služební povinnosti umožňují. A také zahrnuje všechny požadavky třetí úrovně zabezpečení.
A konečně pro zajištění první úrovně zabezpečení je nutné splnit všechny výše uvedené požadavky a zajistit splnění následujících bodů:
- instalace v elektronickém zabezpečovacím deníku takového systému, který by mohl automaticky nahradit přístup zaměstnance v souvislosti se změnou jeho oprávnění;
- určení odpovědné osoby (zaměstnance) pro zajištění bezpečnosti osobních údajů v informačním systému, případně přidělení funkcí k zajištění této bezpečnosti některé ze strukturálních divizí.
Provozovatel musí provádět bezpečnostní kontroly více než jednou za tři roky.
Má právo pověřit touto záležitostí právnickou osobu nebo osoby, které k tomu mají licenci, a to tak, že s nimi uzavře smlouvu („Požadavky na ochranu osobních údajů při jejich zpracování v informačních systémech osobních údajů ze dne 1.11.2012 č. 1119”).
Zajištění vysoké úrovně ochrany
Zákon dal právo právnické osoby určit míru ochrany jejich důvěrných informací. Nebuďte zranitelní – přijměte nezbytná opatření.
při jejich zpracování v informačním systému osobních údajů
1. Obecná ustanovení
Tento konkrétní model ohrožení bezpečnosti osobních údajů při jejich zpracování v informačním systému osobních údajů „SKUD“ v ___________ (dále jen ISPD) byl vyvinut na základě:
1) „Základní model ohrožení bezpečnosti osobních údajů při jejich zpracování v informačních systémech osobních údajů“, schválený dne 15.2.2008 náměstkem ředitele FSTEC Ruska;
2) „Metody pro zjišťování skutečných hrozeb pro bezpečnost osobních údajů při jejich zpracování v informačních systémech osobních údajů“, schválené dne 14. února 2008 zástupcem ředitele FSTEC Ruska;
3) GOST R 51275-2006 „Bezpečnost informací. Faktory ovlivňující informace. Obecná ustanovení".
Model zjišťuje ohrožení bezpečnosti osobních údajů zpracovávaných v informačním systému osobních údajů „SKUD“.
2. Seznam hrozeb, které představují potenciální nebezpečí pro osobní údaje zpracovávané v ispdn
Potenciální nebezpečí pro osobní údaje (dále jen OÚ) při jejich zpracování v ISPD je:
hrozby úniku informací prostřednictvím technických kanálů;
fyzické hrozby;
hrozby neoprávněného přístupu;
personální hrozby.
Identifikace skutečných bezpečnostních hrozeb pro osobní údaje při zpracování v ispdn
3.1. Určení počáteční úrovně zabezpečení ispDn
Úroveň počátečního zabezpečení ISPD je stanovena expertní metodou v souladu s „Metodikou pro zjišťování skutečných ohrožení bezpečnosti osobních údajů při jejich zpracování v informačních systémech osobních údajů“ (dále jen Metodika), schválenou dne února 14, 2008 zástupcem ředitele FSTEC Ruska. Výsledky počáteční bezpečnostní analýzy jsou uvedeny v tabulce 1.
Tabulka 1. Počáteční úroveň zabezpečení
|
Technické a provozní vlastnosti ISPD |
Úroveň zabezpečení |
||
|
Vysoký |
Střední |
Krátký |
|
|
1. Podle územníchubytování |
|||
|
Místní ISPD rozmístěno v rámci jedné budovy |
|||
|
2. Přítomností připojení k veřejným sítím |
|||
|
ISPD, fyzicky oddělené od veřejných sítí. |
|||
|
3. Pro vestavěné (právní) operace se záznamy databází PD |
|||
|
Číst, psát, mazat |
|||
|
4. Vymezením přístupu k PD |
|||
|
ISPD, ke kterému má přístup určitý seznam zaměstnanců organizace, která ISPD vlastní, nebo subjekt PD |
|||
|
5. Přítomností propojení s jinými databázemi PD jiných ISPD |
|||
|
ISPD, který používá jednu databázi PD, vlastněnou organizací – vlastníkem tohoto ISPD |
|||
|
6. Podle úrovně zobecnění (depersonalizace) osobních údajů |
|||
|
ISPD, ve kterém údaje poskytnuté uživateli nejsou anonymizovány (tj. existují informace, které umožňují identifikaci subjektu PD) |
|||
|
7. Objemem PD, kterýposkytované uživatelům ISPD třetích stran bez předběžného zpracování |
|||
|
ISPD, poskytující část PD |
|||
|
Charakteristika ISPD |
|||
Tedy ISPD má střední (Y 1 =5 ) úroveň počáteční bezpečnosti, protože více než 70 % charakteristik ISPD odpovídá úrovni zabezpečení alespoň „střední“, ale méně než 70 % charakteristik ISPD odpovídá „vysoké“ úrovni.
Jak asi víte, v nedávné době došlo k nejednoznačným změnám v nařízení FSTEC č. 17 „Požadavky na ochranu informací neobsahujících státní tajemství obsažených ve státních informačních systémech“, u kterých existují otázky a problémy s jejich aplikací. Dnes probereme jeden z těchto problémů:
nyní je při modelování hrozeb nutné používat „novou“ BDU ruského FSTEC a nová metodika modelování hrozeb se neočekává. Další detaily…
V souladu s odstavcem 14 příkazu je okouzlující fáze při vytváření požadavků na ochranu informací v GIS:
“identifikace hrozby informační bezpečnost, jejíž implementace může vést k narušení bezpečnosti informací v informačním systému, A rozvoj na jejich základě modely hrozeb informační bezpečnost;”
Ve skutečnosti se jedná o dvě samostatné práce, přičemž požadavky na každou z nich jsou podrobně uvedeny v odstavci 14.3 objednávky:
I. Definice hrozeb
“14.3. Informační bezpečnostní hrozby odhodlaný podle výsledků hodnocení kapacity(potenciální) vnější a vnitřní porušovatelé, analýza možný zranitelnosti informační systém, možný způsoby implementace ohrožení bezpečnosti informací a následky z porušení vlastností informační bezpečnosti (důvěrnost, integrita, dostupnost).
Databáze hrozeb informační bezpečnosti ( bdu.fstec.ru) …”
II. Vývoj modelu ohrožení
„Model hrozeb pro bezpečnost informací musí obsahovat popis informační systém a jeho strukturální a funkční vlastnosti, stejně jako popis hrozby bezpečnostní informace včetně popisu schopnosti pachatelů(model vetřelce), možné zranitelnosti informační systém, způsoby, jak hrozby implementovat informační bezpečnost a následky z porušení vlastností zabezpečení informací“
Je možné v tomto případě použít libovolné metody? Ne…
"Pro definice hrozeb informační bezpečnost a vývoj modelu hrozeb platí bezpečnost informací metodické dokumenty, vyvinuté a schválený FSTEC Ruska”
III. Pojďme zjistit, jaký metodický dokument by měl být použit? Podle toho, jaký dokument by měl vyžadovat vládní agentura práce od dodavatele?
Jediným schváleným a publikovaným metodickým dokumentem FSTEC Ruska z hlediska modelování hrozeb je „Metodika pro zjišťování skutečných hrozeb pro bezpečnost osobních údajů při jejich zpracování v informačních systémech osobních údajů. FSTEC Ruska, 2008“. Budeme tomu podmíněně říkat „stará technika“. (Existuje také schválený, ale nezveřejněný dokument - "Metodika pro stanovení skutečných hrozeb informační bezpečnosti v systémech klíčové informační infrastruktury", schválený FSTEC Ruska dne 18. května 2007, ale nebudeme o něm uvažovat).
Podle neformálních informací by se v blízké budoucnosti neměla očekávat „nová“ metodika pro GIS. Pak se musíte rozhodnout pro „starou“ metodu. Je to nutné a lze to použít? Existuje několik důvodů proti použití této techniky:
Za prvé:„Stará“ metodika je určena pouze pro identifikaci hrozeb pro PD a ISPD. Uvažujeme o státních informačních systémech, které nemusí být vždy PD. Požadavky Objednávky se vztahují i na další informace v GIS, včetně veřejně dostupných informací a informací podléhajících povinnému zveřejnění.
Druhý:„Stará“ metodika byla vypracována na základě nařízení vlády č. 781, které již bylo zrušeno. V právní praxi přitom platí: obecné pravidlo „Uznání hlavního normativního právního aktu za neplatný znamená ztrátu právní moc odvozené a pomocné normativní právní akty, není-li stanoveno jinak“. To znamená, že ztratil svou právní sílu.
Třetí:„Stará“ technika je navržena tak, aby identifikovala současné hrozby – „Současná hrozba je považována za hrozbu, kterou lze implementovat v ISPD a představuje nebezpečí pro PD” a v souladu s Objednávkou jsme povinni určit „hrozby informační bezpečnosti, jejichž implementace může vést k porušení informační bezpečnost". Souhlasíte s tím, že existuje rozdíl a tyto pojmy nejsou totožné.
Čtvrtý: Metodický dokument by měl pokrývat i druhou část práce – konkrétně popisovat, jak vzniká dokument s názvem Model hrozeb. Ve „staré“ metodice o tom není ani slovo.
Pátý: Podle Nařízení musí být hrozby definovány podle jednoho souboru charakteristik. Přibližně stejný soubor charakteristik je použit v BDU FSTEC. A ve „staré“ metodě jsou určeny v závislosti na jiném souboru. Více detailů na obrázku.
Na jedné straně všechna zjištění poukazují na skutečnost, že to není vhodná technika pro GIS. Na druhou stranu existuje jeden závažný argument pro jeho použití - jedná se o jedinou schválenou a publikovanou metodiku FSTEC Ruska v oblasti modelování hrozeb.
PS: Ve skutečnosti by všechny tyto argumenty proti použití „staré“ metodiky mohly být odstraněny provedením malých „kosmetických“ aktualizací metodiky. Změňte podmínky, ISPD pro IP, PD pro informace atd. + přidat některé popisné části z návrhu „nové“ metodiky + mírně aktualizovat tabulku pro výpočet počátečního zabezpečení. A všechny vzorce pro výpočet relevance hrozeb by mohly zůstat beze změny - od roku 2008 se dobře ukazují.
Myslím, že na tak malou aktualizaci metodiky modelování hrozeb by měsíc úplně stačil. Ale tři roky už jsou moc.