воскресенье, 2 июня 2013 г.

ЗПДн. ПП 1119, Приказ ФСТЭК №21 и Модель угроз

Попробую привести порядок построения Модели Угроз (далее МУ), в соответствии с требованиями Постановления Правительства от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и требованиями Приказа ФСТЭК от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
При составлении МУ буду опираться на действующие в настоящий момент нормативные и правовые акты, а также рекомендации регуляторов.
Общая блок-схема построения МУ представлена на Рисунке 1.

 Рисунок 1

          1. В соответствии с требованиями ПП № 1119 – определяем уровень защищенности исследуемой ИСПДн (по Таблице, представленной на Рисунке 2.)


Рисунок 2

Что касается типа угроз, который мы будем рассматривать в качестве актуального - в соответствии со ст. 7 ПП №1119 «Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда…», включив «фантазию» и «экспертный подход» - можем попробовать снизить планку рассматриваемых угроз до 2-го или 3-го типа (правда все это будет профанацией... но тут уж как сможете обосновать). Если оценивать объективно - кроме как применять СПО, имеющее сертификаты ФСТЭК на отсутствие НДВ, другого легального способа уйти от угроз 1-го типа, не вижу....
После определения уровня защищенности рассматриваемой нами ИС – переходим непосредственно к определению перечня угроз безопасности персональных данных (УБПДн).

2. Формируем список возможных УБПДн, которые могут быть нейтрализованы требованиями из Приказа ФСТЭК №21, а также добавляем в перечень угрозы, связанные с использованием в ИС «новых информационных технологий» и для которых не определены меры обеспечения их безопасности в Приказе ФСТЭК №21 (Рисунок №3).

Рисунок 3

3. По итогу сопоставления «Требование/Мера Приказа ФСТЭК №21» и «Возможных угроз» мы можем сформировать итоговый перечень угроз безопасности ПДн, который и будем рассматривать далее.

4. К сформированному перечню возможных УБПДн применяем «Методику определения актуальных угроз безопасности ПДн при их обработке в ИСПДн» ФСТЭК (Рисунок 4.)



Рисунок 4

4. По итогу определения перечня актуальных угроз, мы также сможем сформировать и перечень тех требований, которые нам необходимо выполнить, а также составить перечень контрмер (как организационного, так и технического характера), которые нам необходимо применить для нейтрализации актуальных угроз и выполнения «актуальных» требований (Рисунок 5).


Рисунок 5


14 комментариев:

  1. На мой взгляд подход, представленный схемой 1, ставит телегу впереди лошади. Отталкиваться необходимо от модели угроз, т.е. последовательность следующая:
    1. Анализ всех аспектов среды существования защищаемой информации.
    2. Моделирование угроз
    3. Определение актуальности угроз
    4. Определение полноты нейтрализации актуальных угроз базовым перечнем мер.
    5. Корректировка базового набора путем исключения мер для несуществующих угроз и добавления компенсационных мер.

    ОтветитьУдалить
  2. Да, Вы совершенно правы. Именно так как Вы описали - выглядит "сферический конь в вакууме",но опять же если брать в расчет текущие требования нашего законодательства, то по указанной Вами схеме написание сего документа будет затруднительно.
    Я привел, на мой взгляд, оптимальный на данный момент вариант построения. Опять же подчеркну, что только на данный момент - пока не вышли новые документы ФСТЭК.

    ОтветитьУдалить
  3. Кроме того, мне кажется неверным откидывать выполнение базовой меры только в силу неактуальности угрозы (в вашем примере такой является ИАФ.5), поскольку в приказе сказано,что возможно "исключение из базового набора мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе".

    ОтветитьУдалить
  4. Возникает и встречный вопрос - а насколько "экономически целесообразно" реализация меры (особенно если идет речь о реализации меры с применением сертифицированных СЗИ), если при этом ни одна из актуальных УБПДн не будет нейтрализована?

    ОтветитьУдалить
  5. Ваше утверждение относительно "экономической цлесообразности" конечно верно, но я лишь описал, что написано в приказе. Также, я считаю, что минимальный набор предлагаемых мер онеобходим, поскольку в противном случае оператор ПДн может попросту все угрозы считать неактуальными для своей системы и заканчивать работы по построению системы защиты ПДн моделью угроз.
    К тому же, в приказе есть замечательное понятие как "компенсирующие" меры, которые как раз учитывают "экономическую цлесообразность" и могут перекрывать часть требований (это могут быть и организационные меры). Поэтому я думаю, что все же базовый набор является обязательным для исполнения (соответсвенно за исключением случаев, когда отсутсвуют определенные информациоонные технологии) и вполне реализуемым.
    А про сертификацию в приказе ничего не говорится, там сказано про оценку соответствия.

    ОтветитьУдалить
    Ответы
    1. Я конечно извиняюсь, но ткните меня носом в тот документ, в котором говориться про альтернативный вариант "оценки соответствия", подходящий для ИСПДн.

      Удалить
    2. В ФЗ "О техническом регулировании" определено 7 вариантов форм соответствия, одним из которых является обязательная сертификация. Поэтому, если мы говорим не про государственный орган (и в СТР-К и в новом 17 приказе говорится про обязательную сертификацию), то именно обязательная сертификация не является единственной формой оценки соответствия.
      Такой подход высказывался рядом экспертов по ИБ, и я тоже придерживаюсь такого мнения (повторюсь, это мое личное мнение).
      А вообще, данный вопрос до сих пор не разъяснен до конца и спорить здесь можно долго (что в принципе и просисходит на различных форумах).

      Удалить
    3. Вышеописанная методология писалась с учетом следующих факторов:
      1)в качестве средств ЗИ, проведщих оценку соответветствия, используются сертифицированные средства.
      2)для выполнения базового набора мер применяются только сертифицированные СЗИ, либо орг. меры.
      Таким образом мы, в принципе, можем уйти от части требований.

      Если рассматривать данную методику, и учитывать, что в качестве СЗИ могут быть использоваться и не сертифицированные решения, то в таком случае ИАФ5, который у меня признан неактуальным - выполняется (только несерт средствами)... угроза неактуальна в результате ее нейтрализации другими решениями...

      Надо проработать еще вопрос с "экономической целесообразностью" - планирую этим заняться в ближайшее будущее)

      По поводу "оценка соответствия" = "сертифицированные решения" об этом говорит не только ФЗ-184 о тех регулировании, но и ряд сопутствующих документов (раньше воял блок-схему взаимосвязей документов, как актуализирую ее - залью сюда)

      Удалить
  6. Подскажите пожалуйста, а есть ли еще какието модели угроз, на подобии модели ПДн.

    ОтветитьУдалить
  7. Дайте пожалуйста ссылку на перечень угроз представленный в 4 столбце таблицы, рисунок 3!

    ОтветитьУдалить
  8. Пожалуйста :-)
    http://fstec.ru/normativnye-pravovye-akty-tzi/110-deyatelnost/tekushchaya/tekhnicheskaya-zashchita-informatsii/normativnye-pravovye-akty/prikazy/692-prikaz-fstek-rossii-ot-18-fevralya-2013-g-n-21

    ОтветитьУдалить
  9. получается что это и есть оформление Модели Угроз? а можно как-то взглянуть на уже готовый пример Модели Угроз?

    ОтветитьУдалить
  10. Этот комментарий был удален автором.

    ОтветитьУдалить
  11. Вопрос к вам. На рисунке 3 каждой мере защиты ставится в соответствие своя угроза. Где можно найти список этих угроз? Поскольку в приказе 21 угрозы описаны только обобщенно(пункт 8). Или вы сами логически каждой мере защиты писали название угрозы (исходя из описания меры защиты - методичка фстэк)? Заранее спасибо

    ОтветитьУдалить