Probleme der aktuellen Methodik zur Ermittlung aktueller Bedrohungen durch die FSTEC

Guten Tag, Habr! Heute möchten wir das Dokument „Methodik zur Ermittlung der tatsächlichen Bedrohungen für die Sicherheit personenbezogener Daten bei der Verarbeitung in Informationssystemen für personenbezogene Daten“ kritisieren, das am 14. Februar 2008 vom FSTEC Russlands genehmigt wurde. (im Folgenden als Methodik bezeichnet).

Diese Methodik ist das einzige genehmigte Dokument zur Ermittlung aktueller Sicherheitsbedrohungen. In Übereinstimmung mit der aktuellen Gesetzgebung werden „ von der russischen FSTEC entwickelte und genehmigte methodische Dokumente ... “ verwendet, um Bedrohungen der Informationssicherheit zu identifizieren und ein Modell für Bedrohungen der Informationssicherheit zu entwickeln .

Wie aus dem Datum der Genehmigung der Methodik hervorgeht, ist sie bereits über 10 Jahre alt und es gibt wirklich viele Probleme damit. Welche - wir werden weiter überlegen.

Problem Nummer 1. Link zu personenbezogenen Daten

Dieses Problem taucht bereits im Titel des Dokuments auf: „Methode zur Ermittlung der tatsächlichen Bedrohungen für die Sicherheit personenbezogener Daten bei der Verarbeitung in Informationssystemen für personenbezogene Daten “.

Weiter im Text der Methodik sehen wir Folgendes:

Die Methode ist für die Durchführung von Arbeiten vorgesehen, um die Sicherheit personenbezogener Daten während ihrer Verarbeitung in den folgenden automatisierten Informationssystemen für personenbezogene Daten zu gewährleisten:

• staatliche oder kommunale ISPDn;
• ISPDn, erstellt und (oder) betrieben von Unternehmen, Organisationen und Institutionen (im Folgenden als Organisationen bezeichnet), unabhängig von der Eigentumsform, die erforderlich ist, um die Funktionen dieser Organisationen gemäß ihrem Zweck auszuführen;
• ISPDn, die von Einzelpersonen erstellt und verwendet werden, mit Ausnahme von Fällen, in denen letztere diese Systeme ausschließlich für persönliche und familiäre Bedürfnisse verwenden.

Okay, Link zu persönlichen Daten und ISPD, aber was ist das Problem? Das Problem tritt auf, wenn wir ein Bedrohungsmodell schreiben müssen, beispielsweise für ein staatliches Informationssystem (GIS), in dem personenbezogene Daten nicht verarbeitet werden.

Alles wäre in Ordnung, wenn jeder GIS-Betreiber in Bezug auf die Informationssicherheit in seiner eigenen Sauce kochen würde - ein Bedrohungsmodell nach der von ihm erfundenen Methode entwickeln, es nur für sich selbst verwenden und es niemandem zeigen würde. Nur hier waren die Betreiber aller neu geschaffenen GIS mit Beschluss der Regierung der Russischen Föderation vom 11. Mai 2017 Nr. 555 verpflichtet, Bedrohungsmodelle und technische Spezifikationen für die Schaffung eines Informationsschutzsystems mit dem FSTEC Russlands und dem FSB Russlands zu koordinieren.

Und natürlich erhält der GIS-Betreiber im Falle eines übermäßig „kreativen“ Ansatzes zur Entwicklung eines Bedrohungsmodells die Antwort: „Das Bedrohungsmodell wird ohne Berücksichtigung der vom russischen FSTEC genehmigten Regulierungsdokumente entwickelt, wiederholen Sie es.“

Und wir haben einfach keine andere anerkannte Methodik.

Problem Nummer 2. Umstrittene Legitimität

Der erste Absatz der Methodik lautet:

Die Methode zur Ermittlung der aktuellen Bedrohungen für die Sicherheit personenbezogener Daten (PDN) während ihrer Verarbeitung in Informationssystemen für personenbezogene Daten (ISPD) wurde von der FSTEC Russlands auf der Grundlage des Bundesgesetzes vom 27. Juli 2006 Nr. 152- „Über personenbezogene Daten“ und der „Verordnung zur Gewährleistung der persönlichen Sicherheit“ entwickelt. Daten während ihrer Verarbeitung in Informationssystemen für personenbezogene Daten “, genehmigt durch das Dekret der Regierung der Russischen Föderation vom 17. November 2007 Nr. 781 unter Berücksichtigung der aktuellen Regulierungsdokumente des FSTEC von Russland zum Schutz von Informationen rmacii.

Das Problem hierbei ist, dass der mutige Beschluss der Regierung 2012 aufgehoben wurde. Wenn es aber nur in diesem Absatz auftauchte, könnte die Methodik als völlig unzulässig angesehen werden. Aber es gibt immer noch 152-FZ, die ziemlich lebhaft und schauspielerisch sind. Die Meinungen der Anwälte zur Frage der Legitimität der Methodik gehen auseinander.

Wie bereits erwähnt, ist dies auf jeden Fall das einzige Dokument, das irgendwie genehmigt wurde, also leiden wir und verwenden es. Warum werden wir „gequält“? Lassen Sie uns weiter überlegen.

(Semi) Problem Nummer 3. Mangelnde Kommunikation mit der FSTEC Russland

Während alle relevanten Regulierungsdokumente des FSTEC die Verwendung einer Bedrohungsdatenbank als Quelle für Bedrohungsmodelle erfordern, bezieht sich die Methodik auf das Dokument „Grundmodell für Sicherheitsbedrohungen für personenbezogene Daten bei der Verarbeitung in Informationssystemen für personenbezogene Daten“, das ebenfalls 2008 genehmigt wurde und was in der Tat unmöglich zu verwenden ist.

Dies ist im Großen und Ganzen kein direktes Problem, wir verwenden einfach die NOS und das wars. Gleichzeitig zeigt diese Situation deutlich die Inkonsistenzen und Inkonsistenzen von Regulierungsdokumenten. Während sich die 17, 21 und 239 Bestellungen der FSTEC auf die irgendwie aktualisierte BDU beziehen, blieb die Methodik 2008 bestehen.

Problem Nummer 4. Anfänglicher Sicherheitsindex

Also kamen wir zur eigentlichen Methode zur Ermittlung der tatsächlichen Bedrohungen. Das Wesentliche ist wie folgt: Wir haben für jede Bedrohung eine Liste von Bedrohungen. Um ihre Relevanz (oder Nichtrelevanz) zu bestimmen, müssen wir eine Reihe von Parametern bestimmen und dann durch die in der Methodik beschriebenen Berechnungen / Manipulationen zum gewünschten Ziel gelangen - eine Liste der tatsächlichen Bedrohungen.

Der erste dieser Parameter, den wir bestimmen müssen, ist das "Niveau der anfänglichen Sicherheit", es ist auch der "Grad der anfänglichen Sicherheit", es ist der "Koeffizient der anfänglichen Sicherheit", es ist Y1 (dies ist übrigens ein weiteres Zwischenproblem der Methodik - es gibt zu viele Namen für einen und die gleiche Einheit).

Der Grad der anfänglichen Sicherheit wird wie folgt bestimmt. Es gibt 7 Indikatoren (technische und betriebliche Merkmale des Systems), für jeden Indikator gibt es mehrere Optionen für die Werte und für jeden Indikator müssen Sie nur einen dieser Werte auswählen, der für unser Informationssystem am besten geeignet ist. Der ausgewählte Wert ist einer Sicherheitsstufe zugeordnet (hoch, mittel oder niedrig).

Als nächstes betrachten wir, wie viele Optionen wir mit den Stufen "hoch", "mittel" und "niedrig" haben. Wenn von 7 Indikatoren 70% oder mehr ein "hohes Sicherheitsniveau" erhalten haben, ist der Grad der anfänglichen Sicherheit des gesamten Systems hoch (Y1 = 0). Wenn von 7 Indikatoren 70% oder mehr ein hohes oder mittleres Sicherheitsniveau erhalten haben, ist der Grad der anfänglichen Sicherheit des gesamten Systems durchschnittlich (Y1 = 5). Wenn die beiden vorherigen Bedingungen nicht erfüllt sind, ist der Grad der anfänglichen Sicherheit des gesamten Systems niedrig (Y1 = 10).



Es scheint normal, aber.

Erstens werden Indikatoren, ihre Werte und Sicherheitsstufen so verteilt, dass Sie in einem realen Informationssystem (kein eigenständiger Computer, der sowohl vom Kommunikations- als auch vom Stromnetz getrennt ist) niemals ein hohes Maß an Sicherheit erhalten .

Zweitens sind die Indikatoren selbst und ihre Werte sehr seltsam. Es kommt häufig vor, dass zwei Werte für einen Indikator gleichzeitig geeignet sind oder keiner geeignet ist.

Beispiel 1:

Der Indikator "Nach territorialer Verteilung".

Mögliche Werte:

• Verteilte ISPD, die mehrere Regionen, Gebiete, Bezirke oder den gesamten Staat abdeckt;
• städtische ISPDn, die nicht mehr als eine Siedlung (Stadt, Dorf) abdeckt;
• Corporate Distributed ISPD, das viele Abteilungen einer Organisation abdeckt;
• lokale (Campus-) ISPD, die in mehreren nahe gelegenen Gebäuden eingesetzt wird;
• lokale ISPD, die im selben Gebäude bereitgestellt wird.

Hier sind Situationen nicht ungewöhnlich, in denen zwei Werte gleichzeitig für ein Informationssystem geeignet sind: „verteilt“ und „Unternehmen“ oder „Stadt“ und „Unternehmen“.

Beispiel 2:

Indikator „Zur Differenzierung des Zugangs zu personenbezogenen Daten“

Mögliche Werte:

• ISPDn, zu dem der Zugriff durch eine Liste von Mitarbeitern der Organisation bestimmt wird, die Eigentümer von ISPD ist, oder durch eine einzelne PDN;
• ISPDn, auf die alle Mitarbeiter der Organisation, der ISPD gehört, Zugriff haben;
• ISPD mit offenem Zugang.

Es gibt zwei Extreme: Entweder ist das System offen oder es hat Zugriff darauf, nur Mitarbeiter der Organisation, die dieses Informationssystem besitzt.

In der modernen Welt gibt es häufig Situationen, in denen Drittbenutzern (die keine Mitarbeiter des Eigentümers des Informationssystems sind) Zugriff auf geschützte Informationen gewährt wird, während das System nicht öffentlich verfügbar ist. Diese Punkte spiegeln sich perfekt in den Anordnungen 17 und 21 des FSTEC wider (es gibt separate Maßnahmen zum Verbinden externer Benutzer), fehlen jedoch in der Methodik. Gleichzeitig können wir keine eigenen Werte hinzufügen, die Methodik sieht dies nicht vor.

Drittens gibt es Indikatoren, die eng mit personenbezogenen Daten verbunden sind und aus ihrem Kontext heraus einfach nicht anwendbar sind, beispielsweise der Indikator „Durch den Grad der Verallgemeinerung (Depersonalisierung) personenbezogener Daten“. Wenn wir die Methodik verwenden, um ein Bedrohungsmodell für GIS zu entwickeln, das keine PD verarbeitet, muss dieser Indikator einfach verworfen werden.

Und was kostet "ISPDn, das keine Informationen liefert" allein ...

Problem Nummer 5. Berechnung der Relevanz für Bedrohungen, für die keine Voraussetzungen bestehen

Wenn es Y1 gibt, muss es Y2 geben. Y2 ist eine andere "Bedrohungswahrscheinlichkeit". Es gibt 4 Abstufungen: unwahrscheinlich, niedrige Wahrscheinlichkeit, durchschnittliche Wahrscheinlichkeit und hohe Wahrscheinlichkeit (Y2 = 0, 2, 5, 10).

Die Wahrscheinlichkeit einer Bedrohung hängt vom Vorhandensein von Voraussetzungen für die Realisierung der Bedrohung und vom Vorhandensein / Fehlen / Unvollständigkeit der Maßnahmen zur Neutralisierung der Bedrohung ab.

Eine Bedrohung wird als unwahrscheinlich angesehen, wenn keine objektiven Voraussetzungen für das Auftreten der Bedrohung vorliegen.

Also, was ist das Problem? Und das Problem ist, dass wir, anstatt in der Methodik zu schreiben, dass unwahrscheinliche Bedrohungen einfach von der Liste der tatsächlichen Bedrohungen ausgeschlossen werden, einfach ihren eigenen Wert Y2 für sie haben. Dies bedeutet, dass wir für Bedrohungen, für die es keine Voraussetzungen gibt (z. B. Bedrohungen im Zusammenhang mit Virtualisierungsumgebungen in Systemen, in denen keine Virtualisierung verwendet wird), die Koeffizienten berechnen und die Relevanz / Relevanz bestimmen müssen. Ist es nicht Unsinn?

Delirium, insbesondere wenn man bedenkt, dass unter bestimmten Umständen Bedrohungen, für die es allein aufgrund der Methodik keine Voraussetzungen gibt, plötzlich relevant werden können. Dies ist mit einem geringen Grad an anfänglicher Sicherheit und / oder mit einem durchschnittlichen / hohen Risiko von Bedrohungen möglich. Aber auf jeden Fall müssen wir Zeit mit Berechnungen verbringen. Daher ist es an dieser Stelle empfehlenswert, nicht die „Stirn“ -Methode anzuwenden, sondern unwahrscheinliche Bedrohungen im Vorfeld auszusortieren.

Bisher lässt die Erfahrung mit der Zustimmung zu den FSTEC-Bedrohungsmodellen für GIS darauf schließen, dass die Regulierungsbehörde keine Beschwerden über diesen Ansatz hat.

(Semi) Problem Nummer 6. Ein weiterer bedeutungsloser Parameter

Der erste bedeutungslose (in Wirklichkeit nicht anwendbare) Parameter war ein hohes Maß an anfänglicher Sicherheit. Wenn Sie die Methodik sorgfältig lesen, können Sie auch ihren Bruder finden.

Wenn diejenigen, die an dieser Stelle gelesen haben, daran interessiert sind, was wir mit Y1 und Y2 machen, verwenden wir sie, um Y (es ist auch die Möglichkeit, eine Bedrohung zu erkennen) mit der unkomplizierten Formel Y = (Y1 + Y2) / 20 zu berechnen. Abhängig vom resultierenden Wert kann die Durchführbarkeit niedrig, mittel, hoch oder sehr hoch sein. Und die letzte Abstufung ist bedeutungslos.



Hier ist eine Tabelle aus der Methodik, anhand derer wir die Relevanz einer Bedrohung auf zwei Arten bestimmen - die Möglichkeit einer Bedrohung (es ist Y) und die Bedrohung einer Bedrohung (siehe unten). Die Tabelle zeigt, dass die hohe und die sehr hohe Wahrscheinlichkeit der Implementierung einer Bedrohung nicht unterschiedlich sind. Alle Bedrohungen auf diesen Ebenen sind relevant, trotz der Bedeutung der Bedrohung durch die Bedrohung.

Was war der Grund für die Einführung einer zusätzlichen sinnlosen Abstufung - es ist nicht klar. Im Allgemeinen ist dies für uns weder kalt noch heiß, daher kann dies nur teilweise als Problem angesehen werden.

Problem Nummer 7. Negative Folgen (Gefahr von Bedrohungen)

Fahren wir mit dem Parameter „Gefährdungsgefahr“ fort. Es hat seine eigenen Abstufungen (dies ist eine Wendung!) Niedrig, mittel und hoch. Sie unterscheiden sich darin, welche Konsequenzen die Umsetzung der Bedrohung für das Thema personenbezogene Daten haben wird: geringfügig negativ, nur negativ, signifikant negativ.

Sie denken wahrscheinlich, dass es weiter in der Methodik detailliert und mit Zahlen geschrieben ist - was sind geringfügige negative Konsequenzen und wie unterscheiden sie sich von signifikanten? Nein, der Verfasser des Dokuments beschränkte sich auf den Satz, dass die Gefahr von Bedrohungen „auf der Grundlage einer Umfrage unter Experten (Spezialisten auf dem Gebiet des Informationsschutzes)“ ermittelt wird. Ich denke, es ist für niemanden ein Geheimnis, dass in solchen Fällen viele Entwickler von Bedrohungsmodellen die Bedrohung durch Bedrohungen standardmäßig immer niedrig halten, um die Liste der aktuellen Bedrohungen zu reduzieren. Darüber hinaus ist anzumerken, dass es häufig keine „Experten“ gibt, die im Umkreis von 200 km befragt werden können.

Tatsächlich enden die Probleme mit der Gefahr von Bedrohungen hier nicht. Darüber hinaus werden Entwickler von Bedrohungsmodellen für Informationssysteme, in denen personenbezogene Daten nicht verarbeitet werden, erneut gequält. Und wenn das Konzept der „personenbezogenen Daten“ leicht durch „geschützte Informationen“ ersetzt werden kann, was sollte dann das „Thema der personenbezogenen Daten“ im Zusammenhang mit den negativen Folgen ersetzt werden? Hier handelt bereits jeder Bedrohungsmodellentwickler entsprechend der Situation.

Und was ist FSTEC?

Eine vernünftige Frage: Wenn die derzeitige Methodik so schlecht ist, wie plant die Regulierungsbehörde dann, das Dokument zu aktualisieren?

Hier ist die Geschichte: Bereits 2015 legte die FSTEC einen Entwurf für eine neue Bedrohungsmodellierungstechnik vor . Für einige Zeit akzeptierte die FSTEC von allen interessierten Parteien Vorschläge und Wünsche zur Verbesserung des Projekts. Dann die ersten sechs Monate zu den Fragen "Wo ist die neue Technik?" gefolgt von der Antwort, dass die Regulierungsbehörde viele Rückmeldungen zum Entwurf des Dokuments erhalten hat und nun das Ganze bearbeitet. Dann, ungefähr ein weiteres Jahr, beantworteten die FSTEC-Vertreter dieselbe Frage, mit der das Dokument vom Justizministerium genehmigt wurde (der Entwurf des Dokuments mit Korrekturen auf der Grundlage von Rückmeldungen der Bevölkerung wurde nicht veröffentlicht, der obige Link ist die Originalversion). Und dann fingen sie an zu zucken.

Im Allgemeinen ist das Schicksal, die Methodik zu ersetzen, gleichzeitig traurig und neblig. Es ist traurig, weil das Projekt nicht schlecht war, sicherlich besser als das, was Sie jetzt verwenden müssen, obwohl wir dort auch unsere eigenen Fragen und Beschwerden hatten.

Fazit

Was ist das Ergebnis:

• Wir haben die einzig legitime Methode, um aktuelle Bedrohungen für die Informationssicherheit zu ermitteln, und in den meisten Fällen schreibt die derzeitige Gesetzgebung vor, dass wir sie anwenden müssen.
• Die derzeitige Methodik ist von Anfang an problematisch. Außerdem ist sie veraltet und stimmt nicht mit neueren Regulierungsdokumenten desselben FSTEC überein.
• Die derzeitige Methode ist an personenbezogene Daten und an die Themen personenbezogener Daten gebunden, was dazu führt, dass bei der Entwicklung von Bedrohungsmodellen für Informationssysteme ohne personenbezogene Daten ein Fahrrad erfunden werden muss.
• Bedrohungsmodelle für GIS müssen mit der FSTEC vereinbart werden, daher können wir für GIS nur die aktuelle Methodik anwenden.
• auch für ISPD können wir es nur verwenden, da die Methodik „gemäß 152-“ entwickelt wurde;
• Über die Pläne des FSTEC, das veraltete und schlechte methodische Dokument zu ersetzen, ist nichts bekannt.

Dies ist der Alltag der häuslichen IBE. Gut zu allen.