Bonjour, Habr! Aujourd'hui, nous aimerions critiquer le document «Méthodologie pour déterminer les menaces réelles à la sécurité des données personnelles lorsqu'elles sont traitées dans des systèmes d'information sur les données personnelles», approuvé par le FSTEC de Russie le 14 février 2008. (ci-après dénommée la méthodologie).
Cette méthodologie est le seul document approuvé pour déterminer les menaces de sécurité actuelles, et conformément à la législation en vigueur
«Pour déterminer les menaces de sécurité de l'information et développer un modèle de menaces pour la sécurité de l'information, des documents méthodologiques élaborés et approuvés par le FSTEC de Russie ... » sont utilisés .
Comme on peut le voir depuis la date d'approbation de la méthodologie, elle a déjà plus de 10 ans et il y a vraiment beaucoup de problèmes avec elle. Lesquels - nous examinerons plus loin.
Problème numéro 1. Lien vers les données personnelles
Ce problème apparaît déjà dans le titre du document: «Méthodologie pour déterminer les menaces réelles à la sécurité des
données personnelles lorsqu'elles sont traitées dans
des systèmes d'information sur
les données personnelles ».
Plus loin dans le texte de la méthodologie, nous voyons ce qui suit:
La méthodologie est destinée à être utilisée dans l'exécution de travaux visant à garantir la sécurité des données personnelles lors de leur traitement dans les systèmes automatisés d'information sur les données personnelles suivants:
- ISPDn d'État ou municipal;
- ISPDn, créé et (ou) géré par des entreprises, organisations et institutions (ci-après dénommées organisations), quelle que soit la forme de propriété nécessaire pour exercer les fonctions de ces organisations conformément à leur objet;
- ISPDn créé et utilisé par des particuliers, à l'exception des cas où ces derniers utilisent ces systèmes exclusivement pour des besoins personnels et familiaux.
Eh bien, ok, liaison avec les données personnelles et ISPD, mais quel est le problème? Et le problème se pose lorsque nous devons écrire un modèle de menace, par exemple pour un système d'information d'État (SIG) dans lequel les données personnelles ne sont pas traitées.
Tout irait bien si chaque opérateur SIG cuisiné dans sa sauce en termes de sécurité de l'information - développait un modèle de menace selon la méthode elle-même inventée, ne l'utilisait que par lui-même et ne le montrait à personne. Ce n'est qu'ici, par une
résolution du gouvernement de la Fédération de Russie du 11 mai 2017 n ° 555, que les opérateurs de tous les SIG nouvellement créés étaient tenus de coordonner les modèles de menace et les spécifications techniques pour la création d'un système de protection des informations avec le FSTEC de Russie et le FSB de Russie.
Et, bien sûr, dans le cas d'une approche trop «créative» pour développer un modèle de menace, l'opérateur SIG recevra une réponse que «le modèle de menace est développé sans tenir compte des documents réglementaires approuvés par le FSTEC de Russie, refaites-le».
Et nous n'avons tout simplement pas d'autre méthodologie approuvée.
Problème numéro 2. Légitimité controversée
Le premier paragraphe de la méthodologie dit:
La méthodologie pour déterminer les menaces actuelles à la sécurité des données personnelles (PDN) lors de leur traitement dans les systèmes d'information sur les données personnelles (ISPD) a été développée par le FSTEC de Russie sur la base de la loi fédérale du 27 juillet 2006 n ° 152- «sur les données personnelles» et «règlement sur la garantie de la sécurité personnelle» des données lors de leur traitement dans les systèmes d'information sur les données personnelles », approuvé par le décret du gouvernement de la Fédération de Russie du 17 novembre 2007 n ° 781 , tenant compte des documents réglementaires en vigueur du FSTEC de Russie sur la protection des informations rmacii.
Le problème ici est que la résolution audacieuse du gouvernement a été annulée en 2012. Mais si seulement elle apparaissait dans ce paragraphe, alors la méthodologie pourrait être considérée comme complètement illégitime. Mais il y a toujours 152-FZ, qui est assez vivant et agissant. Les opinions des avocats sur la question de la légitimité de la méthodologie divergent.
En tout cas, comme déjà mentionné, c'est le seul document qui est en quelque sorte approuvé, donc nous en souffrons et nous l'utilisons. Pourquoi sommes-nous «tourmentés»? Voyons plus loin.
(Semi) Problème numéro 3. Manque de communication avec le FSTEC Russie
Bien que tous les documents réglementaires pertinents du FSTEC nécessitent l'utilisation
d'une banque de données sur les menaces comme source de modèles de menace, la méthodologie fait référence au document «Modèle de base des menaces à la sécurité des données personnelles lorsqu'elles sont traitées dans des systèmes d'information sur les données personnelles», qui a également été approuvé en 2008. et qui en fait est impossible à utiliser.
Dans l'ensemble, ce n'est pas un problème direct, nous utilisons simplement le NOS et c'est tout. Mais en même temps, cette situation illustre clairement les incohérences et les incohérences des documents réglementaires. Alors que les ordonnances 17, 21 et 239 du FSTEC font référence à l'EDR en quelque sorte mise à jour, la méthodologie est restée bloquée en 2008.
Problème numéro 4. Indice de sécurité initial
Nous sommes donc arrivés à la méthodologie réelle pour déterminer les menaces réelles. Son essence est la suivante: nous avons une liste de menaces, pour chaque menace, afin de déterminer sa pertinence (ou non), nous devons déterminer un certain nombre de paramètres, puis à travers les calculs / manipulations décrits dans la méthodologie, arriver à l'objectif souhaité - une liste de menaces réelles.
Le premier de ces paramètres que nous devons déterminer est le "niveau de sécurité initiale", c'est aussi le "degré de sécurité initiale", c'est le "coefficient de sécurité initiale", c'est Y1 (soit dit en passant, c'est un autre problème intermédiaire de la méthodologie - il y a trop de noms pour un et la même entité).
Le degré de sécurité initiale est déterminé comme suit. Il y a 7 indicateurs (caractéristiques techniques et opérationnelles du système), pour chaque indicateur, il existe plusieurs options pour les valeurs et pour chaque indicateur, vous devez choisir une seule de ces valeurs, la plus appropriée pour notre système d'information. La valeur sélectionnée est associée à un niveau de sécurité (élevé, moyen ou faible).
Ensuite, nous considérons le nombre d'options dont nous disposons avec les niveaux «élevé», «moyen» et «faible». Si sur 7 indicateurs, 70% ou plus ont reçu un «haut niveau de sécurité», alors le degré de sécurité initiale de l'ensemble du système est élevé (Y1 = 0). Si sur 7 indicateurs, 70% ou plus ont reçu un niveau de sécurité élevé ou moyen, alors le degré de sécurité initiale de l'ensemble du système est moyen (Y1 = 5). Si les deux conditions précédentes ne sont pas remplies, le degré de sécurité initiale de l'ensemble du système est faible (Y1 = 10).
Liste des caractéristiques et de leurs valeurs Cela semble normal, mais.
Tout d'abord, les indicateurs, leurs valeurs et leurs niveaux de sécurité sont répartis de sorte que dans un véritable système d'information (pas un ordinateur autonome déconnecté du réseau, à la fois de communication et électrique),
vous n'obtiendrez jamais un haut niveau de sécurité .
Deuxièmement, les indicateurs eux-mêmes et leurs valeurs sont très étranges. Il arrive souvent que deux valeurs conviennent à un indicateur à la fois, ou aucune ne convient.
Exemple 1:
L'indicateur "Par répartition territoriale".
Valeurs possibles:
- ISPD distribué, qui couvre plusieurs régions, territoires, districts ou l'État dans son ensemble;
- ISPDn urbain, ne couvrant pas plus d'une colonie (ville, village);
- ISPD distribué par l'entreprise, couvrant de nombreuses divisions d'une même organisation;
- ISPD local (campus), déployé dans plusieurs bâtiments très proches;
- ISPD local, déployé dans le même bâtiment.
Ici, les situations ne sont pas rares lorsque deux valeurs conviennent à un système d'information à la fois: «distribué» et «entreprise» ou «urbain» et «entreprise».
Exemple 2:
Indicateur «Sur la différenciation de l'accès aux données personnelles»
Valeurs possibles:
- ISPDn, auquel l'accès est déterminé par une liste d'employés de l'organisation propriétaire de l'ISPD ou d'un PDN individuel;
- ISPDn, auquel tous les employés de l'organisation propriétaire d'ISPD ont accès;
- ISPD avec accès ouvert.
Il y a deux extrêmes, soit le système est ouvert ou y a accès, seuls les employés de l'organisation qui possède ce système d'information.
Dans le monde moderne, il existe souvent des situations où l'accès à des informations protégées est fourni à des utilisateurs tiers (qui ne sont pas des employés du propriétaire du système d'information), alors que le système n'est pas accessible au public. Ces points sont parfaitement reflétés dans les ordonnances 17 et 21 du FSTEC (il existe des mesures distinctes pour connecter les utilisateurs externes), mais sont absents dans la méthodologie. En même temps, nous ne pouvons pas ajouter nos propres valeurs, la méthodologie ne le prévoit pas.
Troisièmement, il existe des indicateurs qui sont étroitement liés aux données personnelles et hors de leur contexte ne sont tout simplement pas applicables, par exemple l'indicateur «Par le niveau de généralisation (dépersonnalisation) des données personnelles». Lorsque nous utilisons la méthodologie pour développer un modèle de menace pour les SIG qui ne traite pas la DP, cet indicateur doit simplement être jeté.
Et que coûte «ISPDn, qui ne fournit aucune information» à lui seul…
Problème numéro 5. Calcul de la pertinence pour les menaces sans prérequis
S'il y a Y1, alors il doit y avoir Y2. Y2 est une «probabilité de menace» différente. Il y a 4 gradations: peu probable, faible probabilité, probabilité moyenne et probabilité élevée (Y2 = 0, 2, 5, 10, respectivement).
La probabilité d'une menace dépend de la présence de conditions préalables à la réalisation de la menace et de la présence / absence / incomplétude des mesures prises pour neutraliser la menace.
Une menace est considérée comme improbable s'il n'y a pas de conditions préalables objectives pour qu'elle se produise.
Alors, quel est le problème? Et le problème est qu'au lieu d'écrire dans la méthodologie que les menaces improbables sont simplement exclues de la liste des menaces réelles, pour elles, nous avons simplement notre propre valeur Y2. Et cela signifie que pour les menaces pour lesquelles il n'y a pas de prérequis (par exemple, les menaces associées aux environnements de virtualisation dans les systèmes où la virtualisation n'est pas utilisée), nous devons calculer les coefficients et déterminer la pertinence / pertinence. N'est-ce pas absurde?
Délire, d'autant plus que dans un certain ensemble de circonstances, des menaces pour lesquelles il n'y a pas de conditions préalables, purement par la méthodologie, peuvent soudainement devenir pertinentes. Ceci est possible avec un faible niveau de sécurité initiale et / ou avec un risque de menace moyen / élevé. Mais en tout cas, il faut passer du temps à calculer. Par conséquent, il est de bonne pratique ici de ne pas appliquer la méthode du «front», mais d'éliminer les menaces improbables au stade préliminaire.
Jusqu'à présent, l'expérience de l'accord avec les modèles de menace FSTEC pour les SIG suggère que le régulateur n'a rien à redire sur cette approche.
(Semi) Problème numéro 6. Un autre paramètre vide de sens
Le premier paramètre vide de sens (en réalité, non applicable) était un degré élevé de sécurité initiale. De plus, si vous lisez attentivement la méthodologie, vous pouvez trouver son frère.
Si ceux qui ont lu à cet endroit sont intéressés par ce que nous faisons avec Y1 et Y2, nous les utilisons pour calculer Y (c'est aussi la possibilité de réaliser une menace) en utilisant la formule simple Y = (Y1 + Y2) / 20. Selon la valeur résultante, la faisabilité peut être faible, moyenne, élevée ou très élevée. Et la dernière gradation n'a pas de sens.
Voici un tableau de la méthodologie par lequel nous déterminons la pertinence d'une menace de deux manières - la possibilité d'une menace (c'est Y) et la menace d'une menace (voir ci-dessous). Le tableau montre que les possibilités élevées et très élevées de mise en œuvre d'une menace ne sont pas différentes, toutes les menaces à ces niveaux seront pertinentes, malgré l'importance de la menace de la menace.
Quel était l'intérêt d'introduire une gradation inutile supplémentaire - ce n'est pas clair. En général, ce n'est ni froid ni chaud pour nous, donc cela ne peut être que partiellement considéré comme un problème.
Problème numéro 7. Conséquences négatives (danger de menaces)
Eh bien, passons au paramètre «Danger de menace». Il a ses propres gradations (c'est un tour!) Bas, moyen et haut. Ils diffèrent quant aux conséquences pour le sujet des données personnelles que la mise en œuvre de la menace entraînera respectivement: mineur négatif, juste négatif, significatif négatif.
Vous pensez probablement que plus loin dans la méthodologie, il est écrit en détail et avec des chiffres - quelles sont les conséquences négatives mineures et en quoi diffèrent-elles des conséquences importantes? Non, le compilateur du document s'est limité à la phrase selon laquelle le danger de menaces est déterminé «sur la base d'une enquête d'experts (spécialistes dans le domaine de la protection de l'information)». Je pense que ce n'est un secret pour personne que, dans de tels cas, de nombreux développeurs de modèles de menaces réduiront toujours la menace des menaces par défaut afin de réduire la liste des menaces actuelles. En outre, il convient de noter que, souvent, aucun «expert» ne peut être interrogé dans un rayon de 200 km.
En fait, les problèmes avec le danger des menaces ne s'arrêtent pas là. De plus, les développeurs de modèles de menace pour les systèmes d'information, dans lesquels les données personnelles ne sont pas traitées, sont à nouveau tourmentés. Et si le concept de «données personnelles» peut facilement être remplacé par «informations protégées», alors que devrait être remplacé le «sujet des données personnelles» dans le contexte des conséquences négatives? Ici, chaque développeur de modèle de menace agit déjà en fonction de la situation.
Et qu'est-ce que le FSTEC?
Une question raisonnable - si la méthodologie actuelle est si mauvaise, alors comment le régulateur envisage-t-il de mettre à jour le document?
Voici l'histoire: en 2015, le FSTEC
a présenté un projet de nouvelle technique de modélisation des menaces . Depuis quelque temps, le FSTEC a accepté de toutes les parties intéressées des propositions et des souhaits pour améliorer le projet. Puis les six premiers mois aux questions "Où est la nouvelle technique?" suivi de la réponse que le régulateur a reçu beaucoup de commentaires sur le projet de document et est en train de traiter le tout. Puis, environ un an plus tard, les représentants du FSTEC ont répondu à la même question que le document était en cours d'approbation par le ministère de la Justice (le projet de document avec corrections basé sur les retours de la population n'a pas été posté, le lien ci-dessus est la version originale). Et puis ils ont commencé à hausser les épaules.
En général, le sort du remplacement de la méthodologie est à la fois triste et brumeux. C'est triste parce que le projet n'était pas mauvais, certainement meilleur que ce que vous devez utiliser maintenant, bien que nous ayons également eu nos propres questions et plaintes.
Conclusion
Quel est le résultat:
- nous avons la seule méthode légitime pour déterminer les menaces actuelles à la sécurité de l'information, et dans la plupart des cas, la législation actuelle nous oblige à l'utiliser;
- la méthodologie actuelle est problématique dès le départ, en plus elle est dépassée et n'est pas en accord avec les documents réglementaires plus récents du même FSTEC;
- la méthode actuelle est liée aux données personnelles et aux sujets des données personnelles, ce qui conduit à la nécessité d'inventer un vélo lors du développement de modèles de menace pour les systèmes d'information sans données personnelles;
- les modèles de menace pour les SIG doivent être convenus avec le FSTEC, par conséquent, pour les SIG, nous ne pouvons qu'utiliser la méthodologie actuelle;
- pour l'ISPD, nous ne pouvons que l'utiliser, car la méthodologie a été développée «conformément à 152-»;
- on ne sait rien des plans du FSTEC pour remplacer le document méthodologique obsolète et médiocre.
Ce sont la vie quotidienne du BIE domestique. Bon à tous.