Masalah metodologi saat ini untuk menentukan ancaman saat ini dari FSTEC

Selamat siang, Habr! Hari ini kami ingin mengkritik dokumen "Metodologi untuk menentukan ancaman aktual terhadap keamanan data pribadi ketika mereka diproses dalam sistem informasi data pribadi", yang disetujui oleh FSTEC Rusia pada 14 Februari 2008. (selanjutnya disebut sebagai Metodologi).

Metodologi ini adalah satu-satunya dokumen yang disetujui untuk menentukan ancaman keamanan saat ini, dan sesuai dengan undang-undang saat ini "Untuk menentukan ancaman keamanan informasi dan mengembangkan model ancaman keamanan informasi, dokumen metodologi dikembangkan dan disetujui oleh FSTEC Rusia ... " digunakan .

Seperti yang dapat dilihat dari tanggal persetujuan Metodologi, sudah lebih dari 10 tahun dan ada banyak masalah dengannya. Yang mana - kami akan pertimbangkan lebih lanjut.

Masalah nomor 1. Tautan ke data pribadi

Masalah ini sudah muncul dalam judul dokumen: "Metodologi untuk menentukan ancaman aktual terhadap keamanan data pribadi selama pemrosesan mereka dalam sistem informasi data pribadi ."

Lebih jauh di sepanjang teks Metodologi kita melihat yang berikut:

Metodologi ini dimaksudkan untuk digunakan dalam melaksanakan pekerjaan untuk memastikan keamanan data pribadi selama pemrosesan dalam sistem informasi data pribadi otomatis berikut:

• ISPDn negara bagian atau kota;
• ISPDn, dibuat dan (atau) dioperasikan oleh perusahaan, organisasi dan institusi (selanjutnya disebut organisasi) terlepas dari bentuk kepemilikan yang diperlukan untuk menjalankan fungsi-fungsi organisasi ini sesuai dengan tujuannya;
• ISPDn dibuat dan digunakan oleh individu, dengan pengecualian kasus di mana yang terakhir menggunakan sistem ini secara eksklusif untuk kebutuhan pribadi dan keluarga.

Baiklah, ok, menghubungkan ke data pribadi dan ISPD, tapi apa masalahnya? Dan masalah muncul ketika kita perlu menulis model ancaman, misalnya, untuk sistem informasi negara (GIS) di mana data pribadi tidak diproses.

Semuanya akan baik-baik saja jika setiap operator GIS memasak dengan sausnya sendiri dalam hal keamanan informasi - akan mengembangkan model ancaman sesuai dengan metode yang diciptakan sendiri, menggunakannya hanya dengan sendirinya dan tidak akan menunjukkannya kepada siapa pun. Hanya sekarang, dengan resolusi dari Pemerintah Federasi Rusia tanggal 11 Mei 2017 No. 555, semua operator GIS yang baru dibuat berkewajiban untuk mengoordinasikan model ancaman dan spesifikasi teknis untuk membuat sistem perlindungan informasi dengan FSTEC Rusia dan FSB Rusia.

Dan, tentu saja, dalam hal pendekatan yang terlalu "kreatif" untuk mengembangkan model ancaman, operator GIS akan menerima jawaban bahwa "Model ancaman dikembangkan tanpa memperhitungkan dokumen peraturan yang disetujui oleh FSTEC Rusia, ulangi".

Dan kami sama sekali tidak memiliki metodologi lain yang disetujui.

Masalah nomor 2. Legitimasi Kontroversial

Paragraf pertama Metodologi mengatakan:

Metodologi untuk menentukan ancaman aktual terhadap keamanan data pribadi (PDN) selama pemrosesan dalam sistem informasi data pribadi (ISPDn) dikembangkan oleh FSTEC Rusia berdasarkan Undang-Undang Federal 27 Juli 2006 No. 152- “Mengenai Data Pribadi” dan “Peraturan tentang Memastikan Keamanan Pribadi data selama pemrosesan dalam sistem informasi data pribadi ", yang disetujui oleh Keputusan Pemerintah Federasi Rusia 17 November 2007 No. 781 , dengan mempertimbangkan dokumen peraturan terkini dari FSTEC Rusia tentang perlindungan informasi rmacii.

Masalahnya di sini adalah bahwa resolusi berani dari Pemerintah dibatalkan pada tahun 2012. Tetapi jika itu hanya muncul dalam paragraf ini, maka Metodologi dapat dianggap sepenuhnya tidak sah. Namun masih ada 152-FZ, yang cukup meriah dan berakting. Pendapat para pengacara tentang masalah legitimasi metodologi berbeda.

Bagaimanapun, sebagaimana telah disebutkan, ini adalah satu-satunya dokumen yang disetujui, jadi kami menderita dan menggunakannya. Mengapa kita “tersiksa”? Mari kita pertimbangkan lebih jauh.

(Semi) Masalah nomor 3. Kurangnya komunikasi dengan FSTEC Rusia

Sementara semua dokumen peraturan FSTEC yang relevan mensyaratkan penggunaan Threat Data Bank sebagai sumber model ancaman, Metodologi merujuk pada dokumen “Model dasar ancaman keamanan data pribadi ketika diproses dalam sistem informasi data pribadi”, yang juga disetujui pada 2008 dan yang sebenarnya tidak mungkin digunakan.

Ini, secara keseluruhan, bukan itu masalah langsung, kami hanya menggunakan NOS dan hanya itu. Tetapi pada saat yang sama, situasi ini dengan jelas menggambarkan inkonsistensi dan inkonsistensi dokumen peraturan. Sementara 17, 21 dan 239 pesanan FSTEC merujuk pada BDU yang diperbarui, Metodologi macet pada 2008.

Masalah nomor 4. Indeks Keamanan Awal

Jadi, kita sampai pada metodologi aktual untuk menentukan ancaman aktual. Esensinya adalah sebagai berikut: kami memiliki daftar ancaman, untuk setiap ancaman, untuk menentukan relevansinya (atau tidak relevansinya), kita perlu menentukan sejumlah parameter, dan kemudian melalui perhitungan / manipulasi yang dijelaskan dalam Metodologi, sampai pada tujuan yang diinginkan - daftar ancaman aktual.

Parameter pertama yang perlu kita tentukan adalah "tingkat keamanan awal", itu juga "tingkat keamanan awal", itu adalah "koefisien keamanan awal", itu adalah Y1 (omong-omong, ini adalah masalah lain dari metodologi - ada terlalu banyak nama untuk satu dan entitas yang sama).

Tingkat keamanan awal ditentukan sebagai berikut. Ada 7 indikator (karakteristik teknis dan operasional sistem), untuk setiap indikator ada beberapa opsi untuk nilai dan untuk setiap indikator Anda hanya perlu memilih salah satu dari nilai-nilai ini, yang paling cocok untuk sistem informasi kami. Nilai yang dipilih dikaitkan dengan tingkat keamanan (tinggi, sedang atau rendah).

Selanjutnya, kami mempertimbangkan berapa banyak opsi yang kami miliki dengan level "tinggi", "sedang" dan "rendah". Jika dari 7 indikator, 70% atau lebih menerima "tingkat keamanan tinggi", maka tingkat keamanan awal seluruh sistem tinggi (Y1 = 0). Jika dari 7 indikator, 70% atau lebih menerima tingkat keamanan tinggi atau sedang, maka tingkat keamanan awal seluruh sistem adalah rata-rata (Y1 = 5). Jika dua kondisi sebelumnya tidak terpenuhi, maka tingkat keamanan awal seluruh sistem rendah (Y1 = 10).



Tampaknya normal, tetapi.

Pertama, indikator, nilai-nilai mereka dan tingkat keamanan didistribusikan sehingga dalam sistem informasi nyata (bukan komputer yang berdiri sendiri terputus dari jaringan, baik komunikasi dan listrik), Anda tidak akan pernah mendapatkan tingkat keamanan yang tinggi .

Kedua, indikator itu sendiri dan nilainya sangat aneh. Sering terjadi bahwa dua nilai cocok untuk satu indikator sekaligus, atau tidak ada yang cocok.

Contoh 1:

Indikator "Berdasarkan distribusi teritorial".

Nilai yang mungkin:

• ISPD Terdistribusi, yang mencakup beberapa wilayah, wilayah, distrik atau negara secara keseluruhan;
• ISPDn perkotaan, mencakup tidak lebih dari satu pemukiman (kota, desa);
• ISPD terdistribusi korporat, mencakup banyak divisi dari satu organisasi;
• ISPD lokal (kampus), ditempatkan dalam beberapa bangunan yang berdekatan;
• ISPD lokal, ditempatkan di dalam gedung yang sama.

Di sini, situasi tidak jarang ketika dua nilai cocok untuk sistem informasi sekaligus: "didistribusikan" dan "perusahaan" atau "perkotaan" dan "perusahaan".

Contoh 2:

Indikator “Tentang diferensiasi akses ke data pribadi”

Nilai yang mungkin:

• ISPDn, yang aksesnya ditentukan oleh daftar karyawan organisasi yang merupakan pemilik ISPD, atau PDN individu;
• ISPDn, di mana semua karyawan organisasi yang memiliki ISPD memiliki akses;
• ISPD dengan akses terbuka.

Ada dua ekstrem, apakah sistem terbuka atau memiliki akses ke sana, hanya karyawan organisasi yang memiliki sistem informasi ini.

Di dunia modern, sering ada situasi di mana akses ke informasi yang dilindungi disediakan untuk pengguna pihak ketiga (yang bukan karyawan pemilik sistem informasi), sedangkan sistem tidak tersedia untuk umum. Poin-poin ini secara sempurna tercermin dalam urutan 17 dan 21 dari FSTEC (ada langkah-langkah terpisah untuk menghubungkan pengguna eksternal), tetapi tidak ada dalam Metodologi. Pada saat yang sama, kami tidak dapat menambahkan nilai-nilai kami sendiri, Metodologi tidak menyediakan untuk ini.

Ketiga, ada indikator yang terkait erat dengan data pribadi dan di luar konteksnya sama sekali tidak berlaku, misalnya, indikator "Dengan tingkat generalisasi (depersonalisasi) data pribadi". Ketika kami menggunakan Metodologi untuk mengembangkan model ancaman untuk GIS yang tidak memproses PD, indikator ini hanya perlu dibuang.

Dan apa artinya "ISPDn, yang tidak memberikan informasi apa pun" sendirian ...

Masalah nomor 5. Perhitungan relevansi untuk ancaman yang tidak memiliki prasyarat

Jika ada Y1, maka harus ada Y2. Y2 adalah "probabilitas ancaman" yang berbeda. Ada 4 gradasi: tidak mungkin, probabilitas rendah, probabilitas rata-rata dan probabilitas tinggi (Y2 = 0, 2, 5, 10, masing-masing).

Kemungkinan ancaman tergantung pada keberadaan prasyarat untuk realisasi ancaman dan pada ada / tidaknya / ketidaklengkapan tindakan yang diambil untuk menetralisir ancaman.

Ancaman dianggap tidak mungkin jika tidak ada prasyarat obyektif untuk terjadinya ancaman.

Jadi, apa masalahnya? Dan masalahnya adalah bahwa alih-alih menulis dalam Metodologi bahwa ancaman yang tidak biasa hanya dikecualikan dari daftar ancaman yang sebenarnya, kita hanya memiliki nilai mereka sendiri Y2 untuk mereka. Dan ini berarti bahwa untuk ancaman yang tidak memiliki prasyarat (misalnya, ancaman yang terkait dengan lingkungan virtualisasi dalam sistem di mana virtualisasi tidak digunakan), kita harus menghitung koefisien dan menentukan relevansi / relevansi. Bukan omong kosong?

Delirium, terutama mengingat bahwa dalam keadaan tertentu, ancaman yang tidak ada prasyaratnya, murni oleh Metodologi, tiba-tiba dapat menjadi relevan. Ini dimungkinkan dengan tingkat keamanan awal yang rendah dan / atau dengan risiko ancaman rata-rata / tinggi. Tetapi bagaimanapun juga, kita harus menghabiskan waktu untuk menghitung. Oleh karena itu, adalah praktik yang baik di tempat ini untuk tidak menerapkan metodologi "dahi", tetapi untuk menghilangkan kemungkinan ancaman pada tahap awal.

Sejauh ini, pengalaman menyetujui model ancaman FSTEC untuk GIS menunjukkan bahwa regulator tidak memiliki keluhan tentang pendekatan ini.

(Semi) Nomor masalah 6. Parameter tidak berarti lainnya

Parameter pertama yang tidak berarti (pada kenyataannya, tidak berlaku) adalah tingkat keamanan awal yang tinggi. Lebih lanjut, jika Anda membaca Metodologinya dengan cermat, Anda dapat menemukan kawannya.

Jika mereka yang telah membaca ke tempat ini tertarik dengan apa yang kami lakukan dengan Y1 dan Y2, maka kami menggunakannya untuk menghitung Y (juga kemungkinan mewujudkan ancaman) menggunakan rumus tanpa komplikasi Y = (Y1 + Y2) / 20. Tergantung pada nilai yang dihasilkan, kelayakan mungkin rendah, sedang, tinggi atau sangat tinggi. Dan gradasi terakhir tidak ada artinya.



Berikut adalah tabel dari Metodologi, di mana kami menentukan relevansi ancaman dalam dua cara - kemungkinan ancaman (Y) dan ancaman ancaman (lihat di bawah). Tabel tersebut menunjukkan bahwa kemungkinan ancaman yang tinggi dan sangat tinggi tidak berbeda, semua ancaman pada tingkat ini akan relevan, meskipun pentingnya ancaman tersebut.

Apa gunanya memperkenalkan gradasi tanpa poin tambahan - tidak jelas. Secara umum, ini bukan dingin atau panas bagi kami, jadi ini hanya dapat dianggap sebagian masalah.

Masalah nomor 7. Konsekuensi negatif (bahaya ancaman)

Baiklah, mari kita beralih ke parameter "Bahaya Ancaman". Ini memiliki gradasinya sendiri (ini giliran!) Rendah, sedang, dan tinggi. Mereka berbeda dalam apa konsekuensi untuk subjek data pribadi implementasi ancaman akan menyebabkan: negatif kecil, hanya negatif, negatif signifikan, masing-masing.

Anda mungkin berpikir bahwa lebih jauh dalam Metodologi ini ditulis secara rinci dan dengan angka - apa konsekuensi negatif kecil dan bagaimana mereka berbeda dari yang signifikan? Tidak, penyusun dokumen membatasi dirinya pada ungkapan bahwa bahaya ancaman ditentukan "berdasarkan survei para ahli (spesialis di bidang perlindungan informasi)". Saya pikir itu bukan rahasia bagi siapa pun bahwa dalam kasus seperti itu, banyak pengembang model ancaman akan selalu menempatkan ancaman ancaman rendah secara default untuk mengurangi daftar ancaman saat ini. Selain itu, perlu dicatat bahwa seringkali tidak ada "pakar" yang dapat diwawancarai dalam radius 200 km.

Sebenarnya, masalah dengan bahaya ancaman tidak berakhir di sana. Selain itu, pengembang model ancaman untuk sistem informasi, di mana data pribadi tidak diproses, sekali lagi disiksa. Dan jika konsep "data pribadi" dapat dengan mudah diganti dengan "informasi yang dilindungi", lalu apa "subjek data pribadi" yang harus diganti dalam konteks konsekuensi negatif? Di sini, sudah setiap pengembang model ancaman bertindak sesuai dengan situasinya.

Dan apa itu FSTEC?

Sebuah pertanyaan yang masuk akal - jika metodologi saat ini sangat buruk, lalu bagaimana regulator dengan rencana untuk memperbarui dokumen?

Inilah ceritanya - pada tahun 2015, FSTEC menyusun konsep teknik pemodelan ancaman baru . Untuk beberapa waktu, FSTEC menerima proposal dari semua pihak yang berkepentingan dan keinginan untuk meningkatkan proyek. Kemudian enam bulan pertama untuk pertanyaan "Di mana teknik baru?" diikuti oleh jawaban bahwa regulator menerima banyak umpan balik pada draft dokumen dan sekarang sedang memproses semuanya. Kemudian, sekitar satu tahun lagi, perwakilan FSTEC menjawab pertanyaan yang sama bahwa dokumen tersebut disetujui oleh Kementerian Kehakiman (rancangan dokumen dengan koreksi berdasarkan umpan balik dari penduduk tidak diposting, tautan di atas adalah versi asli). Dan kemudian mereka mulai mengangkat bahu.

Secara umum, nasib menggantikan Metodologi itu sedih sekaligus berkabut. Menyedihkan karena proyeknya tidak buruk, tentu lebih baik daripada yang harus Anda gunakan sekarang, walaupun kami juga punya pertanyaan dan keluhan di sana.

Kesimpulan

Apa hasilnya:

• kami memiliki satu-satunya metode yang sah untuk menentukan ancaman saat ini terhadap keamanan informasi, dan dalam kebanyakan kasus undang-undang saat ini mengharuskan kami untuk menggunakannya;
• metodologi saat ini bermasalah sejak awal, ditambah lagi sudah usang dan tidak setuju dengan dokumen peraturan terbaru dari FSTEC yang sama;
• metode saat ini terkait dengan data pribadi dan subyek data pribadi, yang mengarah pada kebutuhan untuk menciptakan sepeda ketika mengembangkan model ancaman untuk sistem informasi tanpa data pribadi;
• model ancaman untuk GIS harus disepakati dengan FSTEC, oleh karena itu, untuk GIS kita tidak bisa tidak menggunakan metodologi saat ini;
• untuk ISPD juga, kita tidak bisa tidak menggunakannya, karena metodologi dikembangkan "sesuai dengan 152-";
• tidak ada yang diketahui tentang rencana FSTEC untuk mengganti dokumen metodologis yang usang dan buruk.

Ini adalah kehidupan sehari-hari IBE domestik. Baik untuk semua