А.Ю.Щеглов Учебное пособие
.pdfугроз. Последующее построение системы защиты предполагает реализацию метода полного покрытия, применительно к защите от актуальных угроз безопасности.
Все предельно разумно – защита только от актуальных угроз безопасности. Вместе с тем, как следует собственно из идеи подхода, корректность решения определяется корректностью выявления актуальных угроз. Поэтому именно на этом вопросе акцентируем внимание далее, рассматривая данный подход к проектированию системы защиты.
2.2. Классификация ИСПДн
Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
При проведении классификации информационной системы учитываются следующие исходные данные:
категория обрабатываемых в информационной системе персональных данных – ХПД;
объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе) – ХНПД.
Определяются |
следующие |
категории |
обрабатываемых |
в |
информационной системе персональных данных (ХПД): |
|
|||
категория 1 – персональные |
данные, |
касающиеся расовой, |
||
национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;категория 2 – персональные данные, позволяющие
идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1 (практически любые ПДн, обрабатываемые в ИСПДн, имеют категорию, не ниже, чем 2, т.к. в противном случае база данных просто не имеет смысла);
|
категория 3 |
– персональные |
данные, |
позволяющие |
идентифицировать субъекта персональных данных; |
|
|||
|
категория 4 |
– обезличенные и (или) общедоступные персональные |
||
данные.
Замечание. Трудно себе на практике представить базы ПДн категорий 3 и 4 (такие базы просто не нужны).
В зависимости от объема обрабатываемых в ИСПДн персональных данных (ХНПД) может принимать следующие значения:
1 – в информационной системе одновременно обрабатываются
персональные данные более чем 100 000 субъектов ПДн или
51
персональные данные субъектов ПДн в пределах субъекта Российской Федерации или Российской Федерации в целом;
2 – в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов ПДн или персональные данные субъектов ПДн, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
3 – в информационной системе одновременно обрабатываются персональные данные менее чем 1000 субъектов ПДн или персональные данные субъектов ПДн в пределах конкретной организации.
Обратим внимание, что для 3 следовало бы использовать «и», а не
«или».
Класс информационной системы определяется в соответствии с табл.
2.1.
Таблица 2.1 Определение класса ИСПДн
ХНПД |
3 |
2 |
1 |
ХПД |
|
|
|
|
|
|
|
категория 4 |
К4 |
К4 |
К4 |
|
|
|
|
категория 3 |
К3 |
К3 |
К2 |
|
|
|
|
категория 2 |
К3 |
К2 |
К1 |
|
|
|
|
категория 1 |
К1 |
К1 |
К1 |
|
|
|
|
С учетом предыдущего замечания можем сделать вывод, что системы класса К3 – это только те, в которых обрабатываются персональные данные менее чем 1000 субъектов ПДн, причем только в рамках одного предприятия, системы класса К1 – это системы, характеризуемые либо качественной особенность обрабатываемых ПДн - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни, либо характеризуемые тем, в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов ПДн или персональные данные субъектов ПДн в пределах субъекта Российской Федерации или Российской Федерации в целом, остальные же системы, а их подавляющая часть, относятся к классу К2.
Классы характеризуются следующим образом:
Класс 1 (К1) – информационные системы, для которых нарушение
заданной характеристики безопасности персональных данных,
52
обрабатываемых в них, может привести к значительным негативным последствиям для субъектов ПДн;
Класс 2 (К2) – информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов ПДн;
Класс 3 (К3) – информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов ПДн;
Класс 4 (К4) – информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов ПДн.
Как видим, проведением подобной классификации ИСПДн
формально (без использования экспертной оценки) задается вербальная оценка стоимости потерь:
значительные негативные последствия для субъектов ПДн;
негативные последствия для субъектов ПДн;
незначительные негативные последствия для субъектов ПДн;
отсутствуют негативные последствия для субъектов ПДн. Однако здесь не все так просто, о чем поговорим далее.
Другая важнейшая классификация ИСПДн – это типовые и специальные ИСПДн.
По заданным оператором характеристикам безопасности персональных данных, обрабатываемых в информационной системе, информационные системы подразделяются на типовые и специальные информационные системы.
Типовые информационные системы – информационные системы, в
которых требуется обеспечение только конфиденциальности персональных данных.
Специальные информационные системы – информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).
К специальным информационным системам должны быть в обязательном порядке отнесены:
информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов ПДн;
информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении
53
субъекта ПДн или иным образом затрагивающих его права и законные интересы.
Данная классификация введена для учета при последующем построении модели угроз, которая должна рассматривать либо только угрозы раскрытия конфиденциальности ПДн (типовая), либо, кроме того, обеспечения их целостности (неискаженности) и доступности.
Замечание. Здесь необходимо отметить, что практически любая ИСПДн (если в ней обрабатывается более нескольких десятков записей) относится к специальной.
Как видим, выше максимально упрощена и формализована процедура определения «стоимости» потерь. Рассмотрим достоинства и недостатки подобного подхода.
Достоинства:
Предельная простота определения «стоимости» потерь, не требующая каких-либо экспертных оценок.
Недостатки:
В явном виде не введено количественно оценки стоимости потерь, нет понятия удельной стоимости. При этом очевидно, что потери от хищения ПДн одного человека, либо, скажем, 10000, различны. Как это учитывается? А это напрямую связано с вопросом актуальности угрозы. Например, одна и та же атака (т.е. реализация одной и той же угрозы) на сервер (где хранится база ПДн) и на рабочую станцию, с точки зрения потенциальных потерь, кардинально различается своей актуальностью.
Замечание. Не смотря на отсутствие в документе в явном виде количественной оценки «стоимости» потерь от угроз, на наш взгляд, она следует собственно из классификации систем обработки ПДн, и сводится к следующему:
Атака, потенциально приводящая к нарушению конфиденциальности персональных данных, вне зависимости от их объемов, касающихся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни, имеет значительные негативные последствия для субъектов ПДн;
Атака, потенциально приводящая к нарушению конфиденциальности персональных данных, одновременно более чем 100 000 субъектов или одновременно персональных данных субъектов ПДн в пределах субъекта Российской Федерации или Российской Федерации в целом, имеет значительные негативные последствия для субъектов ПДн;
Атака, потенциально приводящая к нарушению конфиденциальности персональных данных, одновременно от 1000 до 100 000 субъектов или одновременно персональных данных субъектов ПДн в пределах субъекта Российской Федерации или Российской
54
Федерации в целом, вне зависимости от их объемов, имеет негативные последствия для субъектов ПДн;Атака, потенциально приводящая к нарушению
конфиденциальности персональных данных, одновременно менее чем 1000 субъектов, причем это персональные данные субъектов в пределах конкретной организации, имеет незначительные негативные последствия для субъектов ПДн.
Замечание. Достоинство подобной классификации состоит в том, что она позволяет охарактеризовать конкретную атаку с учетом потенциальных последствий от ее реализации, т.е. может использоваться для оценки опасности конкретных угроз при выявлении их актуальности.
2.3. Методика определения актуальных угроз
2.3.1 Порядок определения исходной безопасности ИСПДн
Под уровнем исходной безопасности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн, приведенных в табл.2.2.
Таблица 2.2 Показатели исходной безопасности ИСПДн
Технические и эксплуатационные |
|
Уровень безопасности |
|
||||
характеристики ИСПДн |
|
Высокий |
|
Средний |
|
Низкий |
|
1. По территориальному размещению: |
|
|
|
|
|
||
распределенная |
ИСПДн, |
которая |
– |
|
– |
|
+ |
охватывает несколько областей, краев, |
|
|
|
|
|
||
округов или государство в целом; |
|
|
|
|
|
|
|
городская ИСПДн, охватывающая не более |
– |
|
– |
|
+ |
||
одного населенного пункта (города, |
|
|
|
|
|
||
поселка); |
|
|
|
|
|
|
|
корпоративная |
распределенная |
ИСПДн, |
– |
|
+ |
|
– |
охватывающая |
многие подразделения |
|
|
|
|
|
|
одной организации; |
|
|
|
|
|
|
|
локальная |
(кампусная) |
ИСПДн, |
– |
|
+ |
|
– |
развернутая в пределах нескольких близко |
|
|
|
|
|
||
расположенных зданий; |
|
|
|
|
|
|
|
локальная ИСПДн, развернутая в пределах |
+ |
|
– |
|
– |
||
одного здания |
|
|
|
|
|
|
|
2. По наличию соединения с сетями общего |
|
|
|
|
|
||
пользования: |
|
|
|
|
|
|
|
ИСПДн, имеющая многоточечный выход в |
– |
|
– |
|
+ |
||
сеть общего пользования; |
|
|
|
|
|
|
|
ИСПДн, имеющая одноточечный выход в |
– |
|
+ |
|
– |
||
сеть общего пользования; |
|
|
|
|
|
|
|
ИСПДн, физически отделенная от сети общего |
+ |
|
– |
|
– |
||
пользования |
|
|
|
|
|
|
|
3. По встроенным (легальным) операциям |
|
|
|
|
|
||
с записями баз персональных данных: |
|
|
|
|
|
||
чтение, поиск; |
|
|
+ |
|
– |
|
– |
запись, удаление, сортировка; |
|
– |
|
+ |
|
– |
|
55
Технические и эксплуатационные |
|
|
Уровень безопасности |
|
|||||
|
характеристики ИСПДн |
|
Высокий |
|
Средний |
|
Низкий |
||
модификация, передача |
|
|
– |
|
– |
|
+ |
||
4. По |
разграничению |
доступа |
к |
|
|
|
|
|
|
персональным данным: |
|
|
|
|
|
|
|
||
ИСПДн, к которой имеют доступ |
– |
|
+ |
|
– |
||||
определенные |
переченем |
сотрудники |
|
|
|
|
|
||
организации, |
являющейся |
владельцем |
|
|
|
|
|
||
ИСПДн, либо субъект ПДн; |
|
|
|
|
|
|
|
||
ИСПДн, к которой имеют доступ все |
– |
|
– |
|
+ |
||||
сотрудники |
организации, |
являющейся |
|
|
|
|
|
||
владельцем ИСПДн; |
|
|
|
|
|
|
|
||
Технические и эксплуатационные |
|
Уровень безопасности |
|
||||||||
|
характеристики ИСПДн |
Высокий |
|
Средний |
|
Низкий |
|||||
ИСПДн с открытым доступом |
|
– |
|
– |
|
+ |
|||||
5. По наличию |
соединений |
с |
другими |
|
|
|
|
|
|||
базами ПДн иных ИСПДн: |
|
|
|
|
|
|
|
|
|||
интегрированная |
ИСПДн |
(организация |
– |
|
– |
|
+ |
||||
использует несколько баз ПДн ИСПДн, |
|
|
|
|
|
||||||
при этом организация не является |
|
|
|
|
|
||||||
владельцем всех используемых баз ПДн); |
|
|
|
|
|
||||||
ИСПДн, |
в |
которой |
|
используется |
+ |
|
– |
|
– |
||
одна |
база |
|
ПДн, |
принадлежащая |
|
|
|
|
|
||
организации – владельцу данной ИСПДн |
|
|
|
|
|
||||||
|
|
|
|
|
|
||||||
6. По уровню обобщения (обезличивания) ПДн: |
|
|
|
|
|
||||||
ИСПДн, в которой предоставляемые |
|
|
|
|
|
||||||
пользователю |
данные |
|
являются |
+ |
|
– |
|
– |
|||
обезличенными (на уровне организации, |
|
|
|
|
|
||||||
отрасли, области, региона и т.д.); |
|
|
|
|
|
|
|||||
ИСПДн, в которой данные обезличиваются |
|
|
|
|
|
||||||
только при передаче в другие организации |
|
|
|
|
|
||||||
и не обезличены при предоставлении |
– |
|
+ |
|
– |
||||||
пользователю в организации; |
|
|
|
|
|
|
|
||||
ИСПДн, в которой предоставляемые |
|
|
|
|
|
||||||
пользователю |
данные |
не |
являются |
|
|
|
|
|
|||
обезличенными |
(т.е. |
|
присутствует |
|
|
|
|
|
|||
информация, |
|
|
|
позволяющая |
– |
|
– |
|
+ |
||
идентифицировать субъекта ПДн) |
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|||||
7. По объему |
ПДн, которые предоставляются |
|
|
|
|
|
|||||
сторонним |
пользователям |
ИСПДн без |
|
|
|
|
|
||||
предварительной обработки: |
|
|
|
|
|
|
|
|
|||
ИСПДн, |
предоставляющая |
всю |
базу данных |
– |
|
– |
|
+ |
|||
с ПДн; |
|
|
|
|
|
|
|
|
|
|
|
ИСПДн, предоставляющая часть ПДн; |
– |
|
+ |
|
– |
||||||
ИСПДн, не предоставляющая никакой |
+ |
|
– |
|
– |
||||||
информации. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Исходная степень безопасности, в соответствии с методическим документом [6], определяется следующим образом.
1. ИСПДн имеет высокий уровень исходной безопасности, если не менее 70% характеристик ИСПДн соответствуют уровню "высокий" (суммируются положительные решения по первому столбцу, соответствующему высокому уровню защищенности), а остальные –
56
среднему уровню защищенности (положительные решения по второму столбцу).
ИСПДн имеет средний уровень исходной безопасности, если не выполняются условия по пункту 1 и не менее 70% характеристик ИСПДн соответствуют уровню не ниже "средний" (берется отношение суммы положительные решений по второму столбцу, соответствующему среднему уровню защищенности, к общему количеству решений), а остальные - низкому уровню защищенности.
ИСПДн имеет низкую степень исходной безопасности, если не выполняется условия по пунктам 1 и 2.
Исходная степень безопасности далее используется для формирования значения одного из параметров при выявлении актуальных угроз.
При этом в соответствии с определенным уровнем исходной безопасности системы, ей сопоставляется значение коэффициента Y1, а именно:
-0 для высокой степени исходной защищенности;
-5 для средней степени исходной защищенности;
-10 для низкой степени исходной защищенности.
2.3.2Порядок определения актуальных угроз безопасности ПДн из исходного множества угроз
Проводится экспертная оценка угроз безопасности ПДн с точки зрения частоты (вероятности) их реализации с определением для каждой угрозы соответствующего числового коэффициента (Y2) и производится вычисление коэффициентов реализуемости выявленных угроз (Y) в соответствии с формулой:
Y=(Y +Y2)/20
с последующей вербальной интерпретацией полученных коэффициентов для всех выявленных угроз в диапазоне «низкая – средняя
– высокая – очень высокая».
При этом при составлении перечня актуальных угроз безопасности ПДн каждой градации вероятности возникновения угрозы ставится в соответствие числовой коэффициент Y2, а именно:
0 для маловероятной угрозы;
2 для низкой вероятности угрозы;
5 для средней вероятности угрозы;
10 для высокой вероятности угрозы.
По значению же коэффициента реализуемости угрозы Y формируется вербальная интерпретация реализуемости угрозы следующим образом:
если 0 < Y < 0,3, то возможность реализации угрозы признается низкой;
57
если 0,3 < Y < 0,6, то возможность реализации угрозы признается средней;
если 0,6 < Y < 0,8, то возможность реализации угрозы признается высокой;
если Y > 0,8, то возможность реализации угрозы признается очень высокой.
Далее проводится экспертная оценка опасности угроз безопасности ПДн с определением вербальных показателей опасности по качественной шкале: «низкая – средняя – высокая опасность».
Этот показатель имеет три значения:
низкая опасность - если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных;
средняя опасность - если реализация угрозы может привести к негативным последствиям для субъектов персональных данных;
высокая опасность - если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.
Замечание. В документе предлагается проводить экспертную оценку, но не понятно на основании чего. Вместе с тем, для задания опасности угрозы, которая напрямую зависит от класса системы, на наш взгляд, обоснованно можно использовать предложенный ранее подход количественной оценки «стоимости» потерь от конкретных угроз.
Далее из общего перечня угроз осуществляется выборка актуальных для ИСПДн угроз в соответствии с правилами, приведенными в табл. 2.3.
Таблица 2.3 Правила отнесения угрозы безопасности ПДн к актуальной
Возможность |
|
Показатель опасности угрозы |
|
||
реализации |
|
|
|
|
|
|
|
|
|
|
|
угрозы (Y) |
Низкая |
|
Средняя |
|
Высокая |
|
|
|
|
|
|
Низкая |
неактуальная |
|
неактуальная |
|
актуальная |
|
|
|
|
|
|
Средняя |
неактуальная |
|
актуальная |
|
актуальная |
|
|
|
|
|
|
Высокая |
актуальная |
|
актуальная |
|
актуальная |
|
|
|
|
|
|
Очень высокая |
актуальная |
|
актуальная |
|
актуальная |
|
|
|
|
|
|
Результатом моделирования (количественной и качественной оценки реализации угроз безопасности ПДн) является перечень актуальных для рассматриваемых ИСПДн угроз безопасности ПДн, которые должны быть в полном объеме нивелированы средством защиты.
58
Как видим, на первый взгляд, процедура определения актуальных угроз безопасности ПДн достаточно неплохо формализована, что сводит к минимуму использование экспертных оценок. Однако не все так просто. Рассмотрим достоинства и недостатки подобного подхода.
Достоинства:
Достаточно высокий уровень формализации проведения исследования, минимизирующий использования экспертных оценок, которые должны использоваться лишь для формирования исходного множества угроз и задания для каждой из них веростности реализации.
Недостатки:
На наш взгляд, трудно (если возможно) обосновать то, что оценка реализуемости выявленных угроз (Y) определяется по следующей формуле: Y=(Y +Y2)/20, и представляет собою, по сути, аддитивную свертку параметров, в которой в равной мере (можно говорить о равной важности) учитываются вероятность реализации угрозы Y2 и коэффициет уровня исходной безопасности Y (равная важность, т.к., например, Y2=0,5 соответствует средней вероятности реализации угрозы, Y =0,5 соответствует средней степени исходной защищенности). Вполне разумным выглядит вопрос: если экспертным путем признается, что какаялибо угроза для системы имеет высокую вероятность реализации (а это и есть ее уровень реализуемости), то при чем здесь вообще уровень исходной защищенности системы, формируемые, по сути, некоторым набором архитектурных признаков системы?
Опять же, в части корректности формулы: Y=(Y +Y2)/20. Заметим, что коэффициет уровня исходной безопасности Y характеризует некий совокупный признак безопасности архитектуры системы в целом, реализация же угрозы, как правило, направлена на отдельные элементы системы. Например, если по наличию соединения с сетями общего пользования (п.2 табл. 1.3) система имеет низкий уровень (в итоге это может отразиться и на совокупном уровне – на значение коэффициента Y ), то как, скажите, подключение к сетям общего пользования сказывается на реализуемости локальных атак, например, загрузка системы с внешнего накопителя, несанкционированное подключение внешних накопителей с целью хищения данных, наличие остаточной информации на внешнем накопителе, да, много еще чего. Вместе с тем, применение данного подхода к оценке, может привести к повышению (что не так страшно), либо к снижению расчетной вероятности реализуемости угрозы Y в системе, по сравнению с экспертной оценкой вероятности реализации угрозы Y2 (т.е. может привести к тому, что какая-либо реально актуальная угроза не будет отнесена к подобным). А это уже существенный недостаток методики, состоящей в проектировании системы хащиты, на основании выявления актуальных угроз и последующего их полного покрытия.
59
Таким образом, обеспечение достаточности механизмов защиты решается путем полного покрытия актуальных угроз. Но существует еще проблема – обеспечение корректности реализации механизмов, как при использовании данной методики решается она?
Достаточно просто – средства защиты, используемые при построении системы защиты ИСПДн в обязательном порядке должны пройти сертификацию по соотвествующим нормативным документам, в частности, на соответствие требованиям к средствам защиты, сформулированным в нормативном документе [1].
Необходимость использования сертифицированных средств защиты определена, как в Приказе Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 5 февраля 2010 г. N 58 г. Москва "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных", так и в Постановлении Правительства Российской Федерации от 17 ноября 2007 г. N 781 г. Москва "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (в последнем, в частности, сказано: средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия).
Таким образом, при использовании рассматриваемой методики выполняются оба ключевых требования к проектируемой системе защиты
– обеспечение достаточности набора механизмов защиты (в данном случае для нейтрализации актуальных угроз безопасности) и обеспечение корректности реализации механизмов защиты.
Однако и здесь не все так просто. Требования к корректности реализации механизмов защиты определяются не только областью практического использования системы защиты (например, корпоративная система или домашний компьютер), но и действиями реальных атак. Чтобы корректно решать задачу противодействия необходимо это учитывать. Другими словами, требования к корректности реализации механизмов диктуются, в том числе, и особенностями реализации актуальных угроз реальными атаками. Как следствие, и данные требования не могут задаваться абстрактно (без анализа соответствующих угроз) и быть статичными. Любая новая угроза может привести к модификации соответсвующих требований. На наш взгляд, формирование требований к корректности реализации механизмов защиты – это веьма трудоемкая задача, которая должна решаться практически непрерывно. Без решения же данной задачи невозможно построить эффективную защиту. Ну, определили актуальную угрозу, закрыли ее неким механизмом, требования к реализации которого не предполагает возможность противодействия (по крайней мере, эффективного противодействия) этой угрозе, и что дальше?
2.3.3. Пример построения модели угроз безопасности ПДн и определения актуальных угроз
60