Buen dia, Habr! Hoy nos gustaría criticar el documento "Metodología para identificar las amenazas actuales a la seguridad de los datos personales cuando se procesan en sistemas de información de datos personales", aprobado por el FSTEC de Rusia el 14 de febrero de 2008. (en adelante denominada la Metodología).
Esta Metodología es el único documento aprobado para determinar las amenazas de seguridad actuales, y de acuerdo con la legislación vigente
"Para determinar las amenazas de seguridad de la información y desarrollar un modelo de amenazas de seguridad de la información, se utilizan documentos metodológicos desarrollados y aprobados por el FSTEC de Rusia ... " .
Como se puede ver desde la fecha de aprobación de la Metodología, ya tiene más de 10 años y realmente tiene muchos problemas. Cuáles - consideraremos más a fondo.
Problema número 1. Enlace a datos personales
Este problema ya aparece en el título del documento: "Metodología para determinar las amenazas reales a la seguridad de
los datos personales cuando se procesan en sistemas de información de
datos personales ".
Más adelante en el texto de la Metodología, vemos lo siguiente:
La metodología está destinada a utilizarse en la realización de trabajos para garantizar la seguridad de los datos personales durante su procesamiento en los siguientes sistemas automatizados de información de datos personales:
- ISPDn estatal o municipal;
- ISPDn, creado y (o) operado por empresas, organizaciones e instituciones (en adelante denominadas organizaciones) independientemente de la forma de propiedad necesaria para desempeñar las funciones de estas organizaciones de acuerdo con su propósito;
- ISPDn creado y utilizado por individuos, con la excepción de los casos en que estos usan estos sistemas exclusivamente para necesidades personales y familiares.
Bueno, está bien, vincular a datos personales e ISPD, pero ¿cuál es el problema? Y el problema surge cuando necesitamos escribir un modelo de amenaza, por ejemplo, para un sistema de información estatal (SIG) en el que los datos personales no se procesan.
Todo estaría bien si cada operador de SIG cocinara su propia salsa en términos de seguridad de la información: desarrollaría un modelo de amenaza de acuerdo con el método inventado, lo usaría solo y no se lo mostraría a nadie. Solo ahora, mediante una
resolución del Gobierno de la Federación de Rusia de fecha 11 de mayo de 2017 No. 555, los operadores de todos los SIG recién creados se vieron obligados a coordinar modelos de amenaza y especificaciones técnicas para crear un sistema de protección de información con el FSTEC de Rusia y el FSB de Rusia.
Y, por supuesto, en el caso de un enfoque demasiado "creativo" para desarrollar un modelo de amenaza, el operador SIG recibirá una respuesta que dice "El modelo de amenaza se desarrolla sin tener en cuenta los documentos reglamentarios aprobados por el FSTEC de Rusia, rehacerlo".
Y simplemente no tenemos otra metodología aprobada.
Problema número 2. Legitimidad controvertida
El primer párrafo de la Metodología dice:
La metodología para determinar las amenazas actuales a la seguridad de los datos personales (PDN) durante su procesamiento en los sistemas de información de datos personales (ISPD) ha sido desarrollada por el FSTEC de Rusia sobre la base de la Ley Federal del 27 de julio de 2006 Nº 152- "Sobre datos personales" y "Reglamento para garantizar la seguridad personal" datos durante su procesamiento en sistemas de información de datos personales ”, aprobado por el Decreto del Gobierno de la Federación de Rusia del 17 de noviembre de 2007 No. 781 , teniendo en cuenta los documentos reglamentarios actuales del FSTEC de Rusia sobre la protección de la información rmacii.
El problema aquí es que la resolución audaz del Gobierno fue cancelada en 2012. Pero si solo apareciera en este párrafo, entonces la Metodología podría considerarse completamente ilegítima. Pero todavía hay 152-FZ, que es bastante animado y activo. Las opiniones de los abogados sobre el tema de la legitimidad de la Metodología divergen.
En cualquier caso, como ya se mencionó, este es el único documento que de alguna manera está aprobado, por lo que lo sufrimos y lo usamos. ¿Por qué estamos "atormentados"? Consideremos más a fondo.
(Semi) Problema número 3. Falta de comunicación con el FSTEC Rusia
Si bien todos los documentos reglamentarios relevantes del FSTEC requieren el uso
de un banco de datos de amenazas como fuente de modelos de amenazas, la Metodología se refiere al documento "Modelo básico de amenazas de seguridad de datos personales cuando se procesan en sistemas de información de datos personales", que también fue aprobado en 2008 y que de hecho es imposible de usar.
Esto, en general, no es un problema directo, simplemente estamos usando el NOS y eso es todo. Pero al mismo tiempo, esta situación ilustra claramente las inconsistencias e inconsistencias de los documentos reglamentarios. Mientras que las órdenes 17, 21 y 239 del FSTEC se refieren a la BDU de alguna manera actualizada, la Metodología se atascó en 2008.
Problema número 4. Índice de seguridad inicial
Entonces, llegamos a la metodología real para determinar las amenazas reales. Su esencia es la siguiente: tenemos una lista de amenazas, para cada amenaza, con el fin de determinar su relevancia (o no relevancia), necesitamos determinar una serie de parámetros y luego, a través de los cálculos / manipulaciones descritos en la Metodología, llegar al objetivo deseado: una lista de amenazas reales.
El primero de estos parámetros que necesitamos determinar es el "nivel de seguridad inicial", también es el "grado de seguridad inicial", es el "coeficiente de seguridad inicial", es Y1 (por cierto, este es otro problema intermedio de la metodología; hay demasiados nombres para uno y la misma entidad).
El grado de seguridad inicial se determina de la siguiente manera. Hay 7 indicadores (características técnicas y operativas del sistema), para cada indicador hay varias opciones para los valores y para cada indicador debe elegir solo uno de estos valores, el más adecuado para nuestro sistema de información. El valor seleccionado está asociado con un nivel de seguridad (alto, medio o bajo).
A continuación, consideramos cuántas opciones tenemos con los niveles de "alto", "medio" y "bajo". Si de los 7 indicadores, el 70% o más recibió un "alto nivel de seguridad", entonces el grado de seguridad inicial de todo el sistema es alto (Y1 = 0). Si de los 7 indicadores, el 70% o más recibió un nivel de seguridad alto o medio, entonces el grado de seguridad inicial de todo el sistema es promedio (Y1 = 5). Si no se cumplen las dos condiciones anteriores, entonces el grado de seguridad inicial de todo el sistema es bajo (Y1 = 10).
Lista de características y sus valores. Parece normal, pero.
En primer lugar, los indicadores, sus valores y niveles de seguridad se distribuyen de manera que en un sistema de información real (no una computadora independiente desconectada de la red, tanto de comunicación como eléctrica),
nunca obtendrá un alto grado de seguridad .
En segundo lugar, los indicadores mismos y sus valores son muy extraños. A menudo sucede que dos valores son adecuados para un indicador a la vez, o ninguno es adecuado.
Ejemplo 1:
El indicador "Por distribución territorial".
Posibles valores:
- ISPD distribuido, que cubre varias regiones, territorios, distritos o el estado en su conjunto;
- ISPDn urbano, que cubre no más de un asentamiento (ciudad, pueblo);
- ISPD distribuido corporativo, que cubre muchas divisiones de una organización;
- ISPD local (campus), desplegado dentro de varios edificios cercanos;
- ISPD local, desplegado dentro del mismo edificio.
Aquí, las situaciones no son infrecuentes cuando dos valores son adecuados para un sistema de información a la vez: "distribuido" y "corporativo" o "urbano" y "corporativo".
Ejemplo 2
Indicador "Sobre la diferenciación de acceso a datos personales"
Posibles valores:
- ISPDn, cuyo acceso está determinado por una lista de empleados de la organización que es propietaria de ISPD, o una PDN individual;
- ISPDn, al que tienen acceso todos los empleados de la organización propietaria de ISPD;
- ISPD con acceso abierto.
Hay dos extremos: el sistema está abierto o tiene acceso a él, solo los empleados de la organización propietaria de este sistema de información.
En el mundo moderno, a menudo hay situaciones en las que se proporciona acceso a información protegida a terceros (que no son empleados del propietario del sistema de información), mientras que el sistema no está disponible públicamente. Estos puntos se reflejan perfectamente en las órdenes 17 y 21 del FSTEC (existen medidas separadas para conectar usuarios externos), pero están ausentes en la Metodología. Al mismo tiempo, no podemos agregar nuestros propios valores; la Metodología no proporciona esto.
En tercer lugar, hay indicadores que están estrechamente relacionados con los datos personales y fuera de su contexto simplemente no son aplicables, por ejemplo, el indicador "Por el nivel de generalización (despersonalización) de los datos personales". Cuando usamos la Metodología para desarrollar un modelo de amenaza para SIG que no procesa DP, este indicador simplemente necesita ser eliminado.
Y lo que cuesta "ISPDn, que no proporciona ninguna información" por sí solo cuesta ...
Problema número 5. Cálculo de relevancia para amenazas que no tienen requisitos previos
Si hay Y1, entonces debe haber Y2. Y2 es una "probabilidad de amenaza" diferente. Hay 4 gradaciones: improbable, baja probabilidad, probabilidad media y alta probabilidad (Y2 = 0, 2, 5, 10, respectivamente).
La probabilidad de una amenaza depende de la presencia de condiciones previas para la realización de la amenaza y de la presencia / ausencia / incompletitud de las medidas tomadas para neutralizar la amenaza.
Una amenaza se considera improbable si no existen requisitos previos objetivos para que ocurra la amenaza.
Entonces, ¿cuál es el problema? Y el problema es que en lugar de escribir en la Metodología que las amenazas poco probables simplemente se excluyen de la lista de amenazas reales, simplemente tenemos su propio valor Y2 para ellas. Y esto significa que para las amenazas para las cuales no hay requisitos previos (por ejemplo, amenazas asociadas con entornos de virtualización en sistemas donde no se utiliza la virtualización), debemos calcular los coeficientes y determinar la relevancia / relevancia. ¿No es una tontería?
El delirio, especialmente teniendo en cuenta que bajo ciertas circunstancias, las amenazas para las cuales no hay requisitos previos, puramente por la Metodología, pueden volverse repentinamente relevantes. Esto es posible con un bajo nivel de seguridad inicial y / o con un riesgo medio / alto de amenazas. Pero en cualquier caso, debemos pasar tiempo calculando. Por lo tanto, es una buena práctica en este lugar no aplicar la metodología de "frente", sino eliminar las amenazas poco probables en la etapa preliminar.
Hasta ahora, la experiencia de estar de acuerdo con los modelos de amenaza FSTEC para SIG sugiere que el regulador no tiene quejas sobre este enfoque.
(Semi) Problema número 6. Otro parámetro sin sentido
El primer parámetro sin sentido (en realidad, no aplicable) fue un alto grado de seguridad inicial. Además, si lee detenidamente la Metodología, puede encontrar su hermano.
Si aquellos que han leído en este lugar están interesados en lo que estamos haciendo con Y1 e Y2, entonces los usamos para calcular Y (también es la posibilidad de darse cuenta de una amenaza) usando la fórmula sin complicaciones Y = (Y1 + Y2) / 20. Dependiendo del valor resultante, la viabilidad puede ser baja, media, alta o muy alta. Y la última gradación no tiene sentido.
Aquí hay una tabla de la Metodología, mediante la cual determinamos la relevancia de una amenaza de dos maneras: la posibilidad de una amenaza (es Y) y la amenaza de una amenaza (ver más abajo). La tabla muestra que la posibilidad alta y muy alta de implementar una amenaza no es diferente, todas las amenazas en estos niveles serán relevantes, a pesar de la importancia de la amenaza de la amenaza.
¿Cuál fue el punto de introducir una gradación adicional sin sentido? No está claro. En general, esto no es frío ni calor para nosotros, por lo que esto solo puede considerarse en parte un problema.
Problema número 7. Consecuencias negativas (peligro de amenazas)
Bueno, pasemos al parámetro "Peligro de amenaza". Tiene sus propias gradaciones (¡este es un turno!) Bajo, medio y alto. Difieren en las consecuencias para el tema de los datos personales que conllevará la implementación de la amenaza: negativos menores, solo negativos, negativos significativos, respectivamente.
Probablemente piense que más adelante en la Metodología está escrito en detalle y con números: ¿cuáles son las consecuencias negativas menores y en qué se diferencian de las significativas? No, el compilador del documento se limitó a la frase de que el peligro de amenazas se determina "en base a una encuesta de expertos (especialistas en el campo de la protección de la información)". Creo que no es ningún secreto para nadie que en tales casos, muchos desarrolladores de modelos de amenazas simplemente siempre pondrán la amenaza de amenazas baja de forma predeterminada para reducir la lista de amenazas actuales. Además, vale la pena señalar que a menudo no hay "expertos" que puedan ser entrevistados en un radio de 200 km.
En realidad, los problemas con el peligro de amenazas no terminan ahí. Además, los desarrolladores de modelos de amenazas para sistemas de información, en los que no se procesan datos personales, son nuevamente atormentados. Y si el concepto de "datos personales" se puede reemplazar fácilmente por "información protegida", entonces, ¿qué debería reemplazarse el "sujeto de los datos personales" en el contexto de las consecuencias negativas? Aquí, todos los desarrolladores de modelos de amenazas actúan de acuerdo con la situación.
¿Y qué es FSTEC?
Una pregunta razonable: si la metodología actual es tan mala, ¿cómo está el regulador con planes para actualizar el documento?
Aquí la historia es esta: en 2015, el FSTEC
presentó un borrador de una nueva técnica de modelado de amenazas . Durante algún tiempo, el FSTEC aceptó de todas las partes interesadas propuestas y deseos para mejorar el proyecto. Luego, los primeros seis meses a las preguntas "¿Dónde está la nueva técnica?" seguido de la respuesta de que el regulador recibió muchos comentarios sobre el borrador del documento y ahora está procesando todo. Luego, aproximadamente otro año, los representantes de FSTEC respondieron la misma pregunta que el documento estaba siendo aprobado por el Ministerio de Justicia (el borrador del documento con correcciones basadas en los comentarios de la población no fue publicado, el enlace de arriba es la versión original). Y luego comenzaron a encogerse de hombros.
En general, el destino de reemplazar la Metodología es triste y brumoso al mismo tiempo. Es triste porque el proyecto no fue malo, ciertamente mejor que el que tienes que usar ahora, aunque también teníamos nuestras propias preguntas y quejas.
Conclusión
¿Cuál es el resultado?
- tenemos el único método legítimo para determinar las amenazas actuales a la seguridad de la información y, en la mayoría de los casos, la legislación vigente exige que lo usemos;
- la metodología actual es problemática desde el principio, además está desactualizada y no está de acuerdo con los documentos regulatorios más recientes del mismo FSTEC;
- el método actual está vinculado a los datos personales y a los sujetos de los datos personales, lo que lleva a la necesidad de inventar una bicicleta al desarrollar modelos de amenaza para sistemas de información sin datos personales;
- los modelos de amenaza para SIG deben ser acordados con el FSTEC, por lo tanto, para SIG no podemos dejar de usar la metodología actual;
- también para ISPD, no podemos dejar de usarlo, ya que la metodología se desarrolló "de conformidad con 152-";
- No se sabe nada sobre los planes del FSTEC para reemplazar el documento metodológico desactualizado y deficiente.
Esta es la vida cotidiana de la EBI doméstica. Bueno para todos