Анализ нормативно-методических документов в области

С введением Федерального закона Российской Федерации от 27 июля 2006 г. № 152-ФЗ ?О персональных данных? операторы персональных данных (ПДн), а ими в той или иной степени являются все юридические лица, столкнулись с необходимостью обеспечения безопасности ПДн. В ряде случаев (в том числе и для государственных структур) возникает необходимость аттестации по требованиям безопасности информации информационных систем, обрабатывающих ПДн1. Иными словами, организация должна выполнить весь комплекс мероприятий по созданию СЗИ, в том числе разработку документации, отвечающей требованиям ФСТЭК России2 и ФСБ России (в случае применения средств криптографической защиты) как в области защиты ПДн, так и в области защиты информации конфиденциального. Кроме того, ПДн до недавнего времени не выделялись из общего массива информации, обрабатываемой в организации, 81 ? , 2010 что еще больше затрудняет создание СЗИ, отвечающей требованиям регуляторов. Несмотря на то что нормативно-методическая документация ФСТЭК России и ФСБ России направлена на решение одной задачи — обеспечения безопасности информации, в документах используются различные подходы к обеспечению безопасности, в том числе в них используется разная терминология. Такая ситуация, естественно, ведет к появлению определенных трудностей при разработке документов, в частности модели угроз безопасности ПДн и возможностей нарушителя. Тем не менее практика показывает, что разработать и согласовать модель угроз можно, хотя для этого необходим не совсем стандартный подход: проведенный анализ НМДрегуляторов показал, что критичными для них являются разные составляющие модели угроз и нарушителя, что позволяет объединить подходы, используя в качестве основы ключевые абстракции, общие для рассматриваемых подходов. После издания Федерального закона появилось достаточно много статей, указывающих на слабости и противоречия в существующей нормативной базе, а также большое количество публикаций по проблемам применения документов регуляторов, в первую очередь ФСТЭК России. Необходимо отметить, что большая часть публикаций либо обозначает проблемы3, либо представляет собой пересказ руководящих документов с комментариями4, в них, как правило, не предлагаются решения обозначенных проблем5. В данной статье предлагается метод разработки модели угроз, соответствующей требованиям регуляторов и адекватной объекту. Рассмотрим структуру нормативной методической документации (НМД) в области обеспечения безопасности конфиденциальной информации. В первом приближении структура НМД может быть описана следующей схемой (рис. 1). В соответствии с приведенной схемой нормативная база для разработки системы защиты выбирается в зависимости от вида (видов) обрабатываемой информации и условий ее обработки. При этом в системе одновременно могут обрабатываться несколько видов информации, а использование нормативной базы ФСБ России в общем случае не отменяет обязательность исполнения требований ФСТЭК России. Каждый регулятор создает собственную нормативно-методическую базу, используя различную терминологию и методический подход, более того, терминология и подход, используемые регуляторами при разработке методических рекомендаций по защите ПДн, несколько отличаются от таковых, используемых в НМД по 82 защите информации конфиденциального характера. В данной статье проводится анализ НМД по защите персональных данных ФСТЭК России и НМД ФСБ России. Нормативно-методическая документация по обеспечению безопасности ПДн разработана регуляторами в соответствии с Постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781 ?Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных?, и при разработке этих документов изначально предполагалось их совместное использование, но, к сожалению, расхождения в подходах полностью устранены не были. Требования к обеспечению безопасности ПДн с использованием криптографических средств при их обработке в информационной системе ПДн предъявляются ФСБ России6, при этом руководящие документы ФСБ России не исключают требований ФСТЭК России, а дополняют их7. В руководящих документах используется традиционный для ФСБ подход определения треТема номера 83 Рис. 1. Схема НМД в области обеспечения безопасности конфиденциальной информации бований к системе в зависимости от возможностей потенциального нарушителя. ?Методические рекомендации…? выделяют два вида модели угроз: верхнего уровня и детализированную. Модель угроз верхнего уровня предназначена для определения характеристик безопасности защищаемых объектов и используется при построении детализированной модели угроз. Детализированная модель предназначена для определения требуемого уровня криптографической защиты, то есть для определения требований к функциональным возможностям системы защиты информации. В контексте модели верхнего уровня ФСБ России определяет угрозу безопасности объекта как возможное нарушение характеристики безопасности объекта, соответственно модель угроз верхнего уровня определяется перечнем всех характеристик безопасности для всех возможных объектов угроз, например угроза модификации информации о состоянии банковского счета. Для создания детализированной модели угроз необходимо определить совокупность условий и факторов, создающих опасность нарушения характеристик безопасности возможных объектов угроз. Понятие угрозы безопасности в контексте детализированной модели угроз отличается от угрозы безопасности верхнего уровня. В частности, разделяются атаки8 и угрозы, не являющиеся атаками, что подразумевает включение в понятие угрозы методов ее реализации. При этом модель угроз разрабатывается через перечень возможностей нарушителя9, то есть подразумевается, что угрозы, не являющиеся атаками, из рассмотрения фактически убираются10. Иными словами, детализированная модель угроз должна содержать максимально полное описание атак. Атака как любое целенаправленное действие характеризуется рядом существенных признаков: субъект атаки (нарушитель), объект атаки, цель атаки, имеющаяся у нарушителя информация об объекте атаки, имеющиеся у нарушителя средства атаки, канал атаки. Возможные объекты атак и цели атак определяются на этапе формирования модели угроз верхнего уровня. Как было сказано выше, возможность проведения атак обусловлена возможностями нарушителя, то есть перечень возможных атак определяется моделью нарушителя. В силу этого утверждения ФСБ России предъявляет требования к информационным системам, обрабатывающим ПДн, в зависимости от типа нарушителя (Н1, Н2, … , Н6) (табл. 1). 84 Таблица 1 Тип нарушителя Н1 Н2 Н3 Н4 Н5 Н6 Возможность Возможность сговора Известны все сети связи, работающие на едином ключе Располагают исходными тексРасполагают тами прикладного програмвсей документамного обеспечения цией на криптосредство и СФК Располагают не только доступВ зависимости от Любыми ными в свободной продаже апреализованных в компонентами паратными компонентами крипИС организационтосредства и среды функциониных мер рования криптосредства (СФК) Использование штатных Только В зависимости от реализованных средств если они в ИС организационных мер расположены за пределами КЗ Могут проводить лабораторные исследования криптосредств, используемых за пределами контролируемой зоны ИС Могут ставить работы по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа криптосредства и СФК ФСБ России определяет следующую структуру модели нарушителя безопасности ПДн: — описание нарушителей (возможности внешних и внутренних нарушителей, возможности сговора, тип нарушителя, категории лиц — потенциальных нарушителей); — предположения об имеющейся у нарушителя информации об объектах атак; 85 — предположения об имеющихся у нарушителя средствах атак; — описание каналов атак (каналы связи, штатные средства, носители информации, каналы непосредственного доступа к объекту атаки, технические каналы утечки). Термины, использованные в руководящих документах ФСБ России (рис. 2), в значительной степени пересекаются с терминами документов ФСТЭК России11-14, однако далеко не всегда эти термины используются в точности в том же значении, что и порождает трудности для операторов (и/или интеграторов), пытающихся реализовать одновременно требования ФСТЭК и ФСБ. Таким образом, ФСБ России предлагает такой порядок разработки модели угроз (рис. 3). Классификация ИСПДн осуществляется на основе модели нарушителя, требования к функциональным возможностям средств защиты предъявляются только в части, касающейся применения криптографических средств. Документы ФСТЭК России, регламентирующие защиту ПДн, к сожалению, нуждаются в доработке. Тем не менее строить системы защиты, отвечающие требованиям данных документов, приходится уже сейчас. 86 Рис. 2. НМД ФСБ Основой для классификации информационных систем и построения системы защиты ПДн в соответствии с РД ФСТЭК России является модель актуальных угроз. Возможность реализации угрозы определяется условиями и факторами, а ее реализация влечет за собой последствия, которые необходимо учитывать при определении актуальности угроз. Актуальность угроз зависит от исходной степени защищенности автоматизированной системы; вероятности реализации угрозы; показателя опасности угрозы. Вероятность реализации угрозы и степень ее опасности определяются экспертным путем. Данный подход включает в себя элементы анализа рисков, в то время как с точки зрения ФСБ России модели угроз полностью определяются возможностями нарушителя. В терминологии ФСТЭК России угроза включает в себя источник угрозы, уязвимость, способ реализации угрозы, объект воздействия, несанкционированный доступ и реализуется через канал реализации (источник угрозы, среда распространения, носитель информ ции). Источником угрозы могут быть нарушитель15, закладное устройство16, вредоносная программа. Возможности источников определяются методами и средствами несанкционированного доступа. При этом в документах ФСБ России закладные устройства и вредоносное ПО не рассматриваются как самостоятельный источник угрозы, так как их внедрение обусловлено действиями нарушителя или ошибочными действиями пользователя. Здесь необходимо отметить, что ФСБ России определяет нарушителя как лицо (или процесс), проводящее атаку, и рекомендует исключать из числа нарушителей доверенных лиц (например, пользователей группы администраторов), а в терминах ФСТЭК России нарушителем является лицо, совершающее не только преднамеренные Тема номера 87 Рис. 3. Порядок разработки модели угроз безопасности ПДн (атаки), но и случайные действия, приводящие к нарушению безопасности информации, в частности, ?Базовая модель…? ФСТЭК России предлагает такие категории нарушителей, как зарегистрированные пользователи с полномочиями администратора безопасности автоматизированной системы и зарегистрированные пользователи с полномочиями системного администратора автоматизированной системы. Разработка модели угроз в соответствии с руководящими документами ФСТЭК России осуществляется по следующей схеме: В данной схеме модель нарушителя не является самостоятельным документом, она представляет собой второстепенную часть модели угроз, а модель угроз имеет один уровень детализации, соответствующий детализированной модели угроз в терминологии ФСБ России. Основные термины и понятия, используемые при разработке модели угроз ПДн в соответствии с РД ФСТЭК, приведены на рис. 4. Из всего вышесказанного следует, что руководящие документы ФСТЭК И ФСБ России предлагают несколько различный подход к разработке модели угроз и используют разную терминологию, в частности не совпадают такие основополагающие понятия, как ?нарушитель? и ?угроза?. Согласно предлагаемому регуляторами подходу, классификация автоматизированных систем и определение функциональных требований к СЗИ должны осуществляться на основании модели угроз, которую рекомендуется согласовывать с регуляторами. При объединении двух подходов необходимо найти совпадающие абстракции, в данном случае рассматриваются понятия ?объект воздействия? и ?объект атаки?, обозначающие идентичные сущности (данные понятия связаны соответственно с угрозой и атакой), далее определяется примерное соответствие терминов ФСТЭК и ФСБ России (табл. 2): 88 Таблица 2 ФСБ России ФСТЭК России Атака Угроза Нарушитель Источник Средства Методы и средства Цель НСД Канал атаки Способ реализации Канал реализации Уязвимость Нет соответствий Вероятность реализации Показатель опасности 89 Рис. 4. НМД ФСТЭК Фактически руководящие документы ФСТЭК России требуют разработки перечня актуальных угроз вида: источник угрозы, способ реализации, объект воздействия, несанкционированный доступ, уязвимость. Модель нарушителя не играет никакой роли в классификации систем и используется только в процессе формирования перечня угроз17, что позволяет классифицировать и описывать нарушителя в соответствии с требованиями ФСБ России. Категории нарушителя, приведенные в РД ФСТЭК России, будут использованы в процессе определения категорий лиц, которые могут являться потенциальными нарушителями, и их возможностей. При этом в результирующей модели угроз необходимо описать не только атаки, то есть угрозы, умышленно реализованные нарушителем, но и угрозы, связанные с непредумышленными (ошибочными) действиями санкционированных пользователей, приводящими к нарушению безопасности информации. Угрозы, источником которых являются вредоносные программы и аппаратные закладки, целесообразно рассматривать в рамках ошибочных действий пользователя или атак, проводимых нарушителем, т. е. программно-математическое воздействие и внедрение аппаратных закладок можно рассматривать либо как метод реализации атаки, либо как самостоятельную угрозу, источником которой является нарушитель, что позволит, не исключая данные угрозы из рассмотрения, придерживаться при построении модели нарушителя терминологии ФСБ России. Выбор терминологии и методологии ФСБ России для данного раздела обусловлен необходимостью классификации нарушителя на основании руководящих документов ФСБ России. После определения возможностей нарушителя и способов реализации атак (перечня угроз), необходимо провести экспертную оценку вероятности реализации угрозы (атаки) и степень ее опасности для конкретного ресурса системы. Таким образом, разрабатывается модель нарушителя, позволяющая создать классификацию системы и выбрать необходимый уровень криптографической защиты в соответствии с РД ФСБ России, и перечень актуальных угроз (способов реализации), позволяющий определить требуемый уровень защиты автоматизированной системы от НСД и утечки по техническим каналам, в соответствии с РД ФСТЭК России. В качестве первого раздела модели целесообразно включать описание ИС как объекта защиты (в частности, назначение, архитектура и структура ИС, состав, обрабатываемая информация и пользователи ИС, функциональные возможности ИС, информационное взаимодействие подсистем ИС). Таким образом, используя предложенный метод разработки модели угроз безопасности информации и потен