Определение уровней защищённости ИСПДн и документы по обработке ПДн - Форум по вопросам информационной безопасности

Регуляторы в сфере ЗИ информации, разумеется, известны. А вот отдельная методика для определения актуальности НДВ - нет. Предлагаете забить и не определять? Или определять волевым усилием? Или изобретать свою методику и доказывать регуляторам, что она правильная? По-моему, проще пользоваться тем, что уже есть.

Так кто привлекает ФСТЭК и ФСБ к проверкам коммерсантов? РКН? Не поясните процедуру? Звонок в ФСБ - и машина поехала?
В Законе пишут, что они могут проводить проверки по решению Правительства.
Из этого, разумеется, не следует, что защищать ПДн не надо: это обязанность оператора, установленная Законом.

"В Методике 2008 ни слова про НДВ нет. В Базовой модели 2008 есть. Но там НДВ относится к вредоносному коду. К аппаратным закладкам с натяжкой, ибо явного упоминания также нет."

А какие угрозы вообще упоминаются в "Методике..." 2008 г? Там только типы угроз: УИТК и НСД. Всё. Выявление НДВ - это разновидность защиты от НСД.

Актуальность угроз НДВ вовсе не зависит от наличия сертификата. Вряд ли стоит сомневаться, что в Windows присутствуют НДВ, но это вовсе не значит, что данная угроз актуальна в конкретной ИСПДн. Актуальность определяет оператор, оценивая вероятность РЕАЛИЗАЦИИ угрозы и ее опасность ДЛЯ СУБЪЕКТА. И удобнее всего это сделать по Методике 2008г.

to smilestyle
Все эти онлайн-сервисы разработки готовых документов по защите ГИС, ИСПДн и проч. - от лукавого. Благо, ни у кого еще наглости не хватило по ГТ такие же документы в режиме онлайн предоставлять...
ЭЦП от КриптоПро в рамках взаимодействия с какой-то госконторой для передачи/приема ПДн? Если да, то эта контора должна определять состав, требования и угрозы, которые вы должны дополнительно перекрыть при использовании СКЗИ КриптоПро. А также определить порядок ведения документации по эксплуатации СКЗИ и довести этот порядок до всех лиц, работающих с СКЗИ в вашей организации. Ибо использование КриптоПро в таком случае - не ваша инициатива для защиты ПДн. Впрочем, товарищам из ФСБ зачастую все равно...

ЗЫ Мое личное мнение (и мнение регуляторов, кстати, тоже) - для обеспечения реальной защиты и защиты-по-требованиям все равно должны работать специалисты. В обязательной спайке с сотрудниками организации-владельца системы. И документы должны разрабатываться не "для регуляторов на случай проверки", а в первую голову "для себя". Чтобы было ясно, где косяки, уязвимые места и пользователи из группы "повышенного внимания". Даже если все эти моменты не будут полностью "перекрыты" (устранены) в период эксплуатации ИСПДн (по техническим ли, по финансовым ли, по иным ли причинам) - все равно общая защищенность будет много выше, чем в случае "бумажной защиты ради прохождения проверки регуляторов". Потому как у ответственных лиц будет полное понимание того, где, что и как "не в порядке" с безопасностью в системе. А дальше, как говорится, дело техники и совести...

Сорри. Что-то пост последний продублировался.

to WORM
1. Не предлагаю забивать на актуализацию НДВ. Просто пытаюсь объяснить суть проблемы - что используя документы 2008, что без их использования - результат одинаков. Только "волевое" решение организации-владельца "влияет" на актуальность НДВ. Так зачем плодить лишние сущности?
2. РКН знает как привлечь ФСТЭК и ФСБ. А заодно и Прокуратуру и проч. наши доблестные органы. Думаю, в рамках форума эти вопросы обсуждать не будем более...
3. В том и суть, что выявление НДВ по логике ПП1119 - это не этап защиты от НСД. Это "доэтап", если выражаться косноязычно. Т.е. вначале определили, актуальны ли НДВ, потом получили конечный уровень защищенности ИСПДн, а уже потом смотрите в требования и актуализируете угрозы. Как физические (локальные) и межсетевые НСД, так и техногенка, независимка, ТКУИ, вирусная активность и т.п.

ЗЫ Пользуясь Методикой 2008 в части актуализации НДВ, тот же оператор или иные организации-лицензиаты оценивают Вероятность и Опасность крайне субъективно. Вот о чем я хочу сказать. Нет явно (законом) определенных критериев оценки НДВ. Нет явного указания, что считать за случай "полного отсутствия НДВ" или наоборот "явного присутствия НДВ".
К тому же, Методика 2008 никогда не нравилась за счет дурацкого "математического" перехлеста Вероятность/Опасность. Поясню. Для ИСПДн Средней исходной защищенности (подавляющее большинство) для признания угрозы НЕАКТУАЛЬНОЙ следует добиться равновесия "Низкая возможность / Средняя опасность" или наоборот "Средняя возможность / Низкая опасность". При этом "Низкая возможность" = "Маловероятной", простите, вероятности реализации. А теперь прикинем для случая НДВ. Используя ту же ОС Windows на корневом сервере БД в ИСПДн мы можем назвать вероятность реализации угроз НДВ 1 типа "маловероятной"? А опасность эксплуатации НДВ 1 типа можем назвать "Низкой"? В том-то и суть, господа... В ряде случаев, конечно, можем (относительно вероятности, разумеется). Но, уверен, что в большинстве существующих незащищенных систем - это будет явная ложь...

to oko
"ЭЦП от КриптоПро в рамках взаимодействия с какой-то госконторой для передачи/приема ПДн?"

Используется для работы ЭЦП, которые в свою очередь для подписания документов в СУФД, контрактов на zakupki.gov.ru, rts и прочее, по-моему стандартно, как в рядовой бюджетной организации страны. Но все данные, которые подписываются - это данные о юр. лицах. Понятное дело в ЭЦП может быть Ф.И.О. физ.лица, СНИЛС, ИНН.
Из всей дискуссии я пока сделал такой вывод - либо нужно идти учиться ИБ (курсы там есть какие или ещё что), либо найти того, кто сделает, вопрос сколько это может стоить.

Разрешите, уважаемые коллеги, внести свою лепту в обсуждение темы по актуальности угроз, связанных с НДВ, исходя из собственного опыта.
Я лично в этом году уже разрабатывал для нескольких клиентов модели угроз ПДн, которые направлялись для согласования в ФСТЭК (мы являемся лицензиатами). Некоторые МУ ФСТЭК уже согласовал без замечаний, на некоторые были замечания. Так вот, тип угрозы (1-й,2-й или 3-й) как раз определяется из модели угроз, а не из методики 2008 года. И определять эти угрозы нужно пользуясь банком данных угроз и уязвимостей на сайте ФСТЭК. Одной базовой моделью угроз ПДн не обойтись (одно из замечаний ФСТЭК). Если угрозы из этого банка связаны с НДВ и вы их признаете актуальными, то будет определен и тип угроз, и меры защиты нужно принимать в соответствии с этим. А связаны угрозы с НДВ или нет я лично определял через модель нарушителя (один из разделов МУ).
Если определенные для вашей ИСПДн нарушители обладают высоким потенциалом (например, спецслужбы иностранных государств), то и угрозы НДВ будут актуальными. Но это один из возможных подходов

Игорь, если не сложно, можете пояснить?
1. Тип угроз вы определяете из модели угроз, это ясно. А актуальность угроз вы как определяете? В банке данных угрозы перечислены, но их актуальность там не определена.
2. По какому нормативному акту вы определяете, что может нарушитель с тем или иным потенциалом? Где написано, что нарушитель с высоким потенциалом это иностранная разведка?
3. На что вы опираетесь, когда пишете модель нарушителя? На "Базовую модель угроз..." (где худо-бедно категории нарушителей описаны) или на свое мнение?

to smilestyle

С ЭЦП не заморачивайтесь. Вы используете ЭЦП не в качестве средства защиты перс. данных, а для подписания документов ЭП. Т.е. ваши средства ЭЦП это не СЗИ. И по вашим ОРД не надо проводить их как средства защиты.

Под проверки ФСБ, конечно, всегда можно попасть, скажем, могут проверить правильность эксплуатации криптосредств (при помощи которых и создается ЭЦП), но к эффективности защиты ПДн это не имеет отношения.

Тов. Игорь, по всей видимости, угрозы и типы нарушителей берет по Проекту методики 2015 для всех ИС (и ИСПДн, и ГИС). Официально не утверждена, но зато куда более приятна и актуальна под современные реалии, чем те же Методика и Базовая модель 2008 г....
bdu.fstec.ru - хороший ресурс. Жаль, что требуются средства автоматизации, ибо вручную им пользоваться - сомнительное удовольствие.
НО! Конечная актуальность (принципиальна актуальность, если хотите) НДВ 1 и 2 типа для конкретной ИСПДн - исключительно "волевое решение" руководства организации-владельца этой конкретной ИСПДн. В целом, ни ФСТЭК, ни Правительство, никто другой не имеют возможности явно указать владельцу, что в его системе НДВ присутствуют или отсутствуют. До момента, разумеется, явной эксплуатации этих НДВ со стороны нарушителей :)

"Официально не утверждена, но зато куда более приятна и актуальна под современные реалии, чем те же Методика и Базовая модель 2008 г...."

Вот меня и удивило, что лицензиат работает по несуществующей методике, при этом игнорируя существующую.... А ФСТЭК вроде как и не против. Странный у нас регулятор...

"В целом, ни ФСТЭК, ни Правительство, никто другой не имеют возможности явно указать владельцу, что в его системе НДВ присутствуют или отсутствуют. До момента, разумеется, явной эксплуатации этих НДВ со стороны нарушителей"

Возможно. А кто имеет возможность указать владельцу, что в его системе актуальны какие-то другие угрозы, помимо НДВ? Чем они-то хуже угроз НДВ?
И еще вопрос: нахрена вообще читать ФСТЭКовские методики??

Тов. WORM, не перегибайте, прошу. Я же просто высказываю свое мнение, основанное на наблюдениях как со стороны эксплуатантов, так и со стороны лицензиатов и регуляторов (многосторонний подход, ага)...
Методика 2015 до сих пор на согласовании. ФСТЭК по нашему округу нормально смотрит на ее использование, кстати. Ибо она все-таки логичнее, чем методика 2008. Особенно, это касается вопросов разработки Моделей для ГИС (где методики нет, ага).

Про НДВ вопрос важнее других угроз. Ибо наличие 1 или 2 типа угроз НДВ автоматически повышает УЗ для ИСПДн. И, соответственно, требует больших "вливаний" в защиту ради исполнения обязательных требований 21 приказа (та же доверенная загрузка при переходе на УЗ2 с УЗ3, которая зачастую не нужна в типовых системах).

Касательно "нахрена читать методики". Первый "косяк" методики 2008 уже выше указал. На очереди знаменитая таблица показателей исходной защищенности. Уже большое количество народу (и именитого, и не очень) говорило много раз - по этой таблице зачастую получаются ИСПДн низкой или средней исходной защищенности. Высокая - редкий случай, для которого, в сущности, можно более ничего не делать в аспекте защиты (но все равно придется, ага) - и так полная автономия, операции без влияния на целостность и доступность, обезличенность и проч. Следовательно, при низкой или средней ИЗ получаем вагон угроз, которые надо нейтрализовать (а они в . Либо лукавим и все эти угрозы признаем неактуальными за счет целенаправленного занижения "экспертных оценок". Разве не так?
Вывод: читать надо, но иногда работать приходится по пусть и не утвержденным, но более грамотным документам. В конце концов, мы ж не ради бумаги дело делаем. А победителей не судят...