Geekly articles weekly

مشاكل المنهجية الحالية لتحديد التهديدات الحالية من FSTEC



يوم جيد يا هبر! نود اليوم أن ننتقد وثيقة "منهجية تحديد التهديدات الفعلية لأمان البيانات الشخصية عند معالجتها في أنظمة معلومات البيانات الشخصية" ، والتي وافقت عليها FSTEC في روسيا في 14 فبراير 2008. (المشار إليها فيما يلي باسم المنهجية).

هذه المنهجية هي الوثيقة الوحيدة المعتمدة لتحديد التهديدات الأمنية الحالية ، ووفقًا للتشريع الحالي "لتحديد تهديدات أمن المعلومات وتطوير نموذج لتهديدات أمن المعلومات ، يتم استخدام المستندات المنهجية التي طورتها ووافقت عليها FSTEC في روسيا ... " .

كما يتضح من تاريخ الموافقة على المنهجية ، فقد تجاوز عمرها بالفعل 10 سنوات وهناك بالفعل العديد من المشاكل. أي منها - سننظر أكثر.



المشكلة رقم 1. رابط إلى البيانات الشخصية



تنبثق هذه المشكلة بالفعل في عنوان المستند: "منهجية تحديد التهديدات الفعلية لأمان البيانات الشخصية عند معالجتها في أنظمة معلومات البيانات الشخصية ".

علاوة على نص المنهجية نرى ما يلي:

الغرض من هذه المنهجية هو الاستخدام في تنفيذ العمل لضمان أمان البيانات الشخصية أثناء معالجتها في أنظمة معلومات البيانات الشخصية الآلية التالية:

  • الدولة أو البلدية ISPDn ؛
  • ISPDn ، تم إنشاؤها و (أو) تشغيلها بواسطة المؤسسات والمنظمات والمؤسسات (المشار إليها فيما يلي باسم المنظمات) بغض النظر عن شكل الملكية اللازمة لأداء وظائف هذه المنظمات وفقًا لغرضها ؛
  • تم إنشاء ISPDn واستخدامه بواسطة الأفراد ، إلا عندما يستخدم الأخير هذه الأنظمة حصريًا لتلبية الاحتياجات الشخصية والعائلية.



حسنًا ، حسنًا ، يرتبط بالبيانات الشخصية و ISPD ، لكن ما المشكلة؟ والمشكلة تنشأ عندما نحتاج إلى كتابة نموذج تهديد ، على سبيل المثال ، لنظام معلومات الحالة (GIS) الذي لا تتم فيه معالجة البيانات الشخصية.

سيكون كل شيء على ما يرام إذا كان كل مشغل GIS مطبوخًا في صلصة خاصة به فيما يتعلق بأمن المعلومات - سيطور نموذج تهديد وفقًا للطريقة نفسها التي اخترعها ، واستخدمها فقط بنفسه ولن يعرضها على أي شخص. الآن فقط ، بموجب قرار صادر عن حكومة الاتحاد الروسي بتاريخ 11 مايو 2017 رقم 555 ، كان مشغلو جميع نظم المعلومات الجغرافية المنشأة حديثًا ملزمين بتنسيق نماذج التهديد والمواصفات الفنية لإنشاء نظام لحماية المعلومات مع FSTEC في روسيا و FSB في روسيا.

وبطبيعة الحال ، في حالة وجود نهج "إبداعي" مفرط لتطوير نموذج تهديد ، سيتلقى مشغل نظم المعلومات الجغرافية إجابة تقول "تم تطوير نموذج التهديد دون مراعاة الوثائق التنظيمية المعتمدة من FSTEC في روسيا ، وأعده".

ونحن ببساطة ليس لدينا منهجية أخرى معتمدة.

المشكلة رقم 2. الشرعية المثيرة للجدل



تقول الفقرة الأولى من المنهجية:

تم تطوير منهجية تحديد التهديدات الحالية لأمان البيانات الشخصية (PDN) أثناء معالجتها في أنظمة معلومات البيانات الشخصية (ISPD) من قِبل FSTEC في روسيا على أساس القانون الاتحادي المؤرخ 27 يوليو 2006 رقم 152-On "بشأن البيانات الشخصية" و "لائحة ضمان الأمن الشخصي" البيانات أثناء معالجتها في أنظمة معلومات البيانات الشخصية "، التي تمت الموافقة عليها بموجب مرسوم من حكومة الاتحاد الروسي بتاريخ 17 نوفمبر 2007 رقم 781 ، مع مراعاة الوثائق التنظيمية الحالية لل FSTEC من روسيا بشأن حماية المعلومات rmatsii.


المشكلة هنا هي أن القرار الجريء للحكومة تم إلغاؤه في عام 2012. ولكن إذا ظهرت فقط في هذه الفقرة ، فيمكن اعتبار المنهجية غير شرعية تمامًا. ولكن لا يزال هناك 152-FZ ، التي هي حيوية للغاية والتمثيل. آراء المحامين بشأن مسألة شرعية المنهجية تتباين.

في أي حال ، كما سبق ذكره ، هذه هي الوثيقة الوحيدة التي تمت الموافقة عليها بطريقة أو بأخرى ، لذلك نعاني ونستخدمها. لماذا نحن "المعذبون"؟ لننظر أكثر.

(شبه) المشكلة رقم 3. عدم التواصل مع FSTEC روسيا



في حين أن جميع الوثائق التنظيمية ذات الصلة من FSTEC تتطلب استخدام بنك بيانات التهديد كمصدر لنماذج التهديد ، تشير المنهجية إلى وثيقة "النموذج الأساسي للتهديدات أمن البيانات الشخصية عند معالجتها في أنظمة معلومات البيانات الشخصية" ، والتي تمت الموافقة عليها أيضا في عام 2008 والتي في الواقع من المستحيل استخدامها.

هذه ، بشكل عام ، ليست مشكلة مباشرة ، نحن ببساطة نستخدم NOS وهذه هي المشكلة. ولكن في الوقت نفسه ، يوضح هذا الموقف بوضوح التناقضات والتناقضات في الوثائق التنظيمية. في حين أن أوامر 17 و 21 و 239 من FSTEC تشير إلى BDU المحدثة بطريقة ما ، فإن المنهجية كانت عالقة في عام 2008.

المشكلة رقم 4. مؤشر الأمن الأولي



لذلك ، وصلنا إلى المنهجية الفعلية لتحديد التهديدات الفعلية. جوهرها هو على النحو التالي: لدينا قائمة من التهديدات ، لكل تهديد ، من أجل تحديد أهميتها (أو عدم أهميتها) ، نحتاج إلى تحديد عدد من المعلمات ، ومن ثم من خلال الحسابات / التلاعب الموصوفة في المنهجية ، وصلنا إلى الهدف المنشود - قائمة التهديدات الفعلية.

أول هذه المعايير التي نحتاج إلى تحديدها هي "مستوى الأمان الأولي" ، كما أنها "درجة الأمان الأولي" ، وهي "معامل الأمان الأولي" ، إنها Y1 (بالمناسبة ، هذه مشكلة وسيطة أخرى في المنهجية - هناك الكثير من الأسماء لأحدها والكيان نفسه).

يتم تحديد درجة الأمان الأولي على النحو التالي. هناك 7 مؤشرات (الخصائص التقنية والتشغيلية للنظام) ، لكل مؤشر هناك العديد من الخيارات للقيم ولكل مؤشر تحتاج إلى اختيار واحد فقط من هذه القيم ، والأنسب لنظام المعلومات لدينا. ترتبط القيمة المحددة بمستوى الأمان (مرتفع ، متوسط ​​أو منخفض).

بعد ذلك ، ندرس عدد الخيارات التي لدينا مع مستويات "عالية" ، "متوسطة" و "منخفضة". إذا كان من أصل 7 مؤشرات ، حصل 70٪ أو أكثر على "مستوى عالٍ من الأمان" ، فعندئذ تكون درجة الأمان الأولي للنظام بأكمله عالية (Y1 = 0). إذا كان من أصل 7 مؤشرات ، حصل 70٪ أو أكثر على مستوى عال أو متوسط ​​من الأمان ، تكون درجة الأمان الأولي للنظام بأكمله متوسطة (Y1 = 5). إذا لم يتم استيفاء الشرطين السابقين ، تكون درجة الأمان الأولي للنظام بأكمله منخفضة (Y1 = 10).

قائمة الخصائص وقيمها
الخصائص التقنية والتشغيليةمستوى الأمان
طويلمتوسطمنخفض
1. عن طريق التوزيع الإقليمي:
ispn الموزع ، والذي يغطي العديد من المناطق أو المناطق أو المناطق أو الدولة ككل--+
ispdn الحضرية ، لا تغطي أكثر من مستوطنة (مدينة ، قرية)--+
الشركات الموزعة المكتب الخلفي تغطي العديد من أقسام منظمة واحدة-+-
العمود الفقري المحلي (الحرم الجامعي) المنتشر داخل نفس المبنى-+-
الخلفية المحلية المنتشرة في نفس المبنى+--
2. من خلال وجود اتصالات لشبكات الاتصالات العامة:
ispdn وجود وصول متعدد النقاط إلى شبكة الاتصالات العامة--+
ispdn وجود إخراج نقطة واحدة إلى شبكة الاتصالات العامة-+-
ispn ، مفصولة جسديا عن الشبكة العامة+--
3. في العمليات (القانونية) المضمنة مع سجلات قواعد البيانات الشخصية:
القراءة والبحث+--
الكتابة ، حذف ، فرز-+-
التعديل ، النقل--+
4. لتحديد الوصول إلى البيانات الشخصية:
Ispdn ، والتي يتم تحديد الوصول إليها من خلال قائمة موظفي المؤسسة التي تملك ispdn ، أو الموضوع-+-
ispdn ، والتي يمكن لجميع موظفي المؤسسة التي تمتلك ispdn الوصول إليها--+
الوصول المفتوح--+
5. من خلال وجود اتصالات مع قواعد البيانات الأخرى لقواعد البيانات الشخصية الأخرى:
يستخدم ispdn (مؤسسة) متكامل عدة قواعد بيانات ofpdp ispdn ، بينما لا تملك المؤسسة جميع قواعد بيانات usedpdp)--+
ispdn ، حيث يتم استخدام قاعدة بيانات واحدة ، مملوكة للمؤسسة - مالك هذا ispdn+--
6. وفقًا لمستوى تعميم البيانات الشخصية:
ispdn ، حيث تكون البيانات المقدمة للمستخدم غير شخصية (على مستوى المؤسسة ، الصناعة ، المنطقة ، المنطقة ، إلخ.)+--
ispdn ، حيث يتم إبطال الطابع الشخصي للبيانات فقط عند نقلها إلى مؤسسات أخرى وعدم إضفاء الطابع الشخصي عليها عند تقديمها إلى مستخدم في مؤسسة-+-
ispdn ، والتي لم يتم الكشف عن هويتها البيانات المقدمة للمستخدم (أي ، هناك معلومات تتيح لك تحديد موضوع قاعدة البيانات)--+
7. من خلال حجم البيانات الشخصية التي يتم توفيرها لمستخدمي الطرف الثالث
ispdn توفير قاعدة البيانات بأكملها مع PDN--+
ispdn ، وتوفير جزء من يوم الدفع-+-
ispd التي لا توفر أي معلومات+--



يبدو طبيعيا ، ولكن.

أولاً ، يتم توزيع المؤشرات وقيمها ومستويات الأمان الخاصة بها بحيث لن تحصل أبدًا على درجة عالية من الأمان في نظام معلومات حقيقي (وليس جهاز كمبيوتر مستقل منفصل عن الشبكة ، سواء الاتصال أو الكهرباء).

ثانياً ، المؤشرات نفسها وقيمها غريبة للغاية. يحدث غالبًا أن قيمتين مناسبة لمؤشر واحد في وقت واحد ، أو لا يوجد أي منهما مناسب.

مثال 1:



مؤشر "حسب التوزيع الإقليمي".

القيم الممكنة:

  • ISPD الموزعة ، والتي تغطي العديد من المناطق أو المناطق أو المناطق أو الدولة ككل ؛
  • ISPD الحضرية ، لا تغطي أكثر من مستوطنة (مدينة ، قرية) ؛
  • توزيع ISPD للشركات ، التي تغطي العديد من أقسام منظمة واحدة ؛
  • محلي (الحرم الجامعي) ISPD ، المنتشرة في العديد من المباني ذات الموقع الوثيق ؛
  • ISPD المحلي ، نشر داخل نفس المبنى.


هنا ، لا تكون المواقف غير شائعة عندما تكون قيمتان مناسبة لنظام معلومات في آن واحد: "موزعة" و "مشتركة" أو "حضرية" و "مشتركة".

مثال 2:



المؤشر "حول التمييز بين الوصول إلى البيانات الشخصية"

القيم الممكنة:

  • ISPDn ، والتي يتم تحديد الوصول إليها من خلال قائمة موظفي المنظمة التي هي مالك ISPD ، أو PDN فردي ؛
  • ISPDn ، والتي يمكن لجميع موظفي المنظمة التي تمتلك ISPD الوصول إليها ؛
  • ISPD مع وصول مفتوحة.


هناك طرفان ، إما أن يكون النظام مفتوحًا أو لديه إمكانية الوصول إليه ، فقط موظفي المؤسسة التي تمتلك نظام المعلومات هذا.

في العالم الحديث ، غالبًا ما تكون هناك مواقف حيث يتم توفير الوصول إلى المعلومات المحمية لمستخدمي الطرف الثالث (الذين ليسوا موظفين في مالك نظام المعلومات) ، في حين أن النظام غير متاح للجمهور. تنعكس هذه النقاط تمامًا في الطلبين 17 و 21 من FSTEC (توجد تدابير منفصلة لربط المستخدمين الخارجيين) ، ولكنها غائبة في المنهجية. في الوقت نفسه ، لا يمكننا إضافة قيمنا الخاصة ؛ فالمنهجية لا تنص على ذلك.

ثالثًا ، هناك مؤشرات مرتبطة ارتباطًا وثيقًا بالبيانات الشخصية ومن خارج سياقها لا يمكن تطبيقها ببساطة ، على سبيل المثال ، المؤشر "حسب مستوى تعميم (إلغاء الطابع الشخصي) للبيانات الشخصية". عندما نستخدم المنهجية لتطوير نموذج تهديد لنظام المعلومات الجغرافية لا يقوم بمعالجة PD ، فإن هذا المؤشر يحتاج ببساطة إلى التخلص منه.

وما الذي تكلفه "ISPDn ، والتي لا تقدم أي معلومات" وحدها ...

المشكلة رقم 5. حساب أهمية التهديدات التي ليس لها شروط مسبقة



إذا كان هناك Y1 ، فيجب أن يكون هناك Y2. Y2 هو "احتمال التهديد". هناك 4 درجات: من غير المحتمل ، احتمال ضعيف ، متوسط ​​الاحتمال واحتمال كبير (Y2 = 0 ، 2 ، 5 ، 10 ، على التوالي).

يعتمد احتمال التهديد على وجود شروط مسبقة لتحقيق التهديد وعلى وجود / غياب / عدم اكتمال التدابير المتخذة لإبطال التهديد.

يعتبر التهديد غير مرجح في حالة عدم وجود شروط مسبقة موضوعية لحدوث التهديد.

إذن ما المشكلة؟ والمشكلة هي أنه بدلاً من الكتابة في المنهجية التي يتم ببساطة استبعاد التهديدات المحتملة من قائمة التهديدات الفعلية ، لدينا ببساطة القيمة الخاصة بهم Y2 بالنسبة لهم. وهذا يعني أنه بالنسبة للتهديدات التي لا توجد متطلبات مسبقة لها (على سبيل المثال ، التهديدات المرتبطة ببيئات المحاكاة الافتراضية في الأنظمة التي لا تستخدم فيها المحاكاة الافتراضية) ، يجب علينا حساب المعاملات وتحديد الملاءمة / الأهمية. أليس هذا هراء؟

الهذيان ، خاصة بالنظر إلى أنه في ظل مجموعة معينة من الظروف ، يمكن أن تصبح التهديدات التي لا توجد شروط مسبقة لها ، فقط من خلال المنهجية ، ذات صلة فجأة. هذا ممكن مع انخفاض مستوى الأمان الأولي و / أو مع وجود خطر متوسط ​​/ كبير من التهديدات. ولكن في أي حال ، يجب علينا قضاء الوقت في حساب. لذلك ، من الممارسات الجيدة في هذا المكان عدم تطبيق منهجية "الجبين" ، ولكن التخلص من التهديدات غير المتوقعة في المرحلة الأولية.

حتى الآن ، تشير تجربة الموافقة على نماذج تهديد FSTEC لنظام المعلومات الجغرافية إلى أن الجهة المنظمة ليس لديها شكاوى بشأن هذا النهج.

(شبه) المشكلة رقم 6. معلمة أخرى لا معنى لها



كانت المعلمة الأولى التي لا معنى لها (في الواقع ، غير قابلة للتطبيق) درجة عالية من الأمان الأولي. علاوة على ذلك ، إذا كنت تقرأ المنهجية بعناية ، يمكنك العثور على إخوانه.

إذا كان أولئك الذين قرأوا هذا المكان مهتمين بما نقوم به مع Y1 و Y2 ، فإننا نستخدمهم لحساب Y (كما أنه من الممكن تحقيق تهديد) باستخدام الصيغة غير المعقدة Y = (Y1 + Y2) / 20. اعتمادًا على القيمة الناتجة ، قد تكون الجدوى منخفضة أو متوسطة أو مرتفعة أو مرتفعة جدًا. والتدرج الأخير لا معنى له.



فيما يلي جدول من المنهجية ، حيث نحدد مدى أهمية التهديد بطريقتين - إمكانية التهديد (إنه ص) وخطر التهديد (انظر أدناه). يوضح الجدول أن الاحتمال المرتفع والمرتفع للغاية لتنفيذ تهديد لا يختلفان ، فكل التهديدات على هذه المستويات ستكون ذات صلة ، على الرغم من أهمية تهديد التهديد.

ما كان الهدف من إدخال تدرج لا طائل منه - أنها ليست واضحة. بشكل عام ، هذا ليس باردًا ولا حارًا بالنسبة لنا ، لذلك لا يمكن اعتبار ذلك سوى مشكلة جزئية.

المشكلة رقم 7. عواقب سلبية (خطر التهديدات)



حسنًا ، دعنا ننتقل إلى معلمة "خطر التهديد". لها تدرجاتها الخاصة (هذا بدوره!) منخفضة ومتوسطة وعالية. وهي تختلف فيما يتعلق بالنتائج المترتبة على موضوع البيانات الشخصية التي سيؤدي تنفيذ التهديد إلى: سلبية بسيطة ، سلبية فقط ، سلبية كبيرة ، على التوالي.

ربما تظن أنه في المنهجية مكتوبة بالتفصيل وبأرقام - ما هي الآثار السلبية البسيطة وكيف تختلف عن النتائج الكبيرة؟ لا ، لقد حصر مترجم الوثيقة نفسه في عبارة "يتم تحديد خطر التهديدات" بناءً على دراسة استقصائية للخبراء (متخصصون في مجال حماية المعلومات) ". أعتقد أنه ليس سراً على أي شخص أنه في مثل هذه الحالات ، فإن العديد من مطوري نماذج التهديد سيضعون دائمًا خطر التهديدات افتراضيًا من أجل تقليل قائمة التهديدات الحالية. بالإضافة إلى ذلك ، تجدر الإشارة إلى أنه في كثير من الأحيان لا يوجد "خبراء" يمكن إجراء مقابلات معهم داخل دائرة نصف قطرها 200 كم.

في الواقع ، المشاكل مع خطر التهديدات لا تنتهي عند هذا الحد. بالإضافة إلى ذلك ، فإن مطوري نماذج التهديد لأنظمة المعلومات ، والتي لا تتم فيها معالجة البيانات الشخصية ، يتم تعذيبهم مرة أخرى. وإذا كان من السهل استبدال مفهوم "البيانات الشخصية" بكلمة "معلومات محمية" ، فما الذي يجب استبدال "موضوع البيانات الشخصية" في سياق العواقب السلبية؟ هنا ، بالفعل كل مطور نموذج التهديد يعمل وفقا لهذا الوضع.

وما هو FSTEC؟



سؤال معقول - إذا كانت المنهجية الحالية سيئة للغاية ، فكيف يكون لدى المنظم خطط لتحديث المستند؟

هنا القصة هي - في عام 2015 ، وضعت FSTEC مسودة تقنية جديدة لنمذجة التهديد . لبعض الوقت ، قبلت FSTEC من جميع الأطراف المعنية مقترحات ورغبات لتحسين المشروع. ثم الأشهر الستة الأولى على الأسئلة "أين هي التقنية الجديدة؟" تليها إجابة أن المنظم تلقى الكثير من التعليقات على مسودة الوثيقة ويقوم الآن بمعالجة الأمر برمته. بعد ذلك ، في حوالي عام آخر ، أجاب ممثلو FSTEC على نفس السؤال الذي تمت الموافقة عليه من قبل وزارة العدل (لم يتم نشر مسودة المستند مع التصحيحات بناءً على تعليقات من السكان ، الرابط أعلاه هو النسخة الأصلية). ثم بدأوا في الإهمال.

بشكل عام ، فإن مصير استبدال المنهجية أمر محزن وضبابي في نفس الوقت. إنه لأمر محزن لأن المشروع لم يكن سيئًا ، وبالتأكيد أفضل مما يجب عليك استخدامه الآن ، على الرغم من أن لدينا أيضًا أسئلتنا وشكاوىنا هناك.

استنتاج



ما هي النتيجة:

  • لدينا الطريقة الشرعية الوحيدة لتحديد التهديدات الحالية لأمن المعلومات ، وفي معظم الحالات يتطلب التشريع الحالي منا استخدامه ؛
  • المنهجية الحالية إشكالية من البداية ، بالإضافة إلى أنها قديمة ولا تتفق مع الوثائق التنظيمية الأكثر حداثة لنفس FSTEC ؛
  • ترتبط الطريقة الحالية بالبيانات الشخصية وموضوعات البيانات الشخصية ، مما يؤدي إلى الحاجة إلى اختراع دراجة عند تطوير نماذج تهديد لأنظمة المعلومات بدون بيانات شخصية ؛
  • يجب الاتفاق مع FSTEC على نماذج التهديد لنظم المعلومات الجغرافية ، لذلك لا يمكننا إلا استخدام المنهجية الحالية ؛
  • بالنسبة لـ ISPD ، أيضًا ، لا يمكننا إلا استخدامه ، حيث تم تطوير المنهجية "وفقًا لـ 152-؛" ؛
  • لا يوجد شيء معروف عن خطط FSTEC لاستبدال الوثيقة المنهجية القديمة والفقيرة.


هذه هي الحياة اليومية لل IBE المحلية. جيد للجميع.

Source: https://habr.com/ru/post/ar453756/

More articles:


All Articles