Geekly articles weekly

Problemas da metodologia atual para determinar ameaças atuais do FSTEC



Bom dia, Habr! Hoje, gostaríamos de criticar o documento “Metodologia para identificar ameaças atuais à segurança de dados pessoais quando processadas em sistemas de informações de dados pessoais”, aprovado pelo FSTEC da Rússia em 14 de fevereiro de 2008. (a seguir denominada metodologia).

Esta Metodologia é o único documento aprovado para determinar as ameaças atuais à segurança e, de acordo com a legislação atual, "Documentos metodológicos desenvolvidos e aprovados pelo FSTEC da Rússia ... " são usados ​​para identificar ameaças à segurança da informação e desenvolver um modelo de ameaças à segurança da informação .

Como pode ser visto a partir da data de aprovação da Metodologia, ela já tem mais de 10 anos e há muitos problemas com ela. Quais - consideraremos mais adiante.



Problema número 1. Link para dados pessoais



Esse problema já aparece no título do documento: “Metodologia para determinar as ameaças reais à segurança dos dados pessoais quando eles são processados ​​nos sistemas de informações de dados pessoais ”.

Mais adiante, ao longo do texto da Metodologia, vemos o seguinte:

A metodologia se destina ao uso na execução de trabalhos para garantir a segurança dos dados pessoais durante o processamento nos seguintes sistemas automatizados de informações de dados pessoais:

  • ISPDn estadual ou municipal;
  • ISPDn, criado e (ou) operado por empresas, organizações e instituições (a seguir denominadas organizações), independentemente da forma de propriedade necessária para desempenhar as funções dessas organizações de acordo com sua finalidade;
  • O ISPDn criado e usado por indivíduos, exceto quando este último utiliza esses sistemas exclusivamente para necessidades pessoais e familiares.



Bem, ok, vinculando-se a dados pessoais e ISPD, mas qual é o problema? E o problema surge quando precisamos escrever um modelo de ameaça, por exemplo, para um sistema de informações do estado (GIS) no qual os dados pessoais não são processados.

Tudo ficaria bem se todos os operadores de GIS cozinhassem seu próprio molho em termos de segurança da informação - desenvolvessem um modelo de ameaça de acordo com o próprio método inventado, o usassem apenas por si só e não o mostrassem a ninguém. Somente aqui, por uma resolução do Governo da Federação Russa de 11 de maio de 2017 no 555, os operadores de todos os GIS recém-criados foram obrigados a coordenar modelos de ameaças e especificações técnicas para criar um sistema de proteção de informações com o FSTEC da Rússia e o FSB da Rússia.

E, é claro, no caso de uma abordagem excessivamente "criativa" para o desenvolvimento de um modelo de ameaça, o operador de GIS receberá uma resposta de que "O modelo de ameaça é desenvolvido sem levar em conta os documentos regulamentares aprovados pelo FSTEC da Rússia e refazê-lo".

E simplesmente não temos outra metodologia aprovada.

Problema número 2. Legitimidade controversa



O primeiro parágrafo da Metodologia diz:

A metodologia para determinar ameaças atuais à segurança de dados pessoais (PDN) durante o processamento em sistemas de informações de dados pessoais (ISPD) foi desenvolvida pelo FSTEC da Rússia com base na Lei Federal de 27 de julho de 2006, nº 152- “Sobre dados pessoais” e “Regulamento sobre garantia de segurança pessoal” dados durante o processamento em sistemas de informação de dados pessoais ”, aprovado pelo Decreto do Governo da Federação Russa de 17 de novembro de 2007 nº 781 , levando em consideração os documentos normativos atuais do FSTEC da Rússia sobre proteção de informações rmacii.


O problema aqui é que a ousada resolução do governo foi cancelada em 2012. Mas se apenas aparecesse neste parágrafo, a Metodologia poderia ser considerada completamente ilegítima. Mas ainda há 152-FZ, que é bastante animado e atuante. As opiniões dos advogados sobre a questão da legitimidade da metodologia divergem.

De qualquer forma, como já mencionado, este é o único documento aprovado de alguma forma; portanto, nós o sofremos e o usamos. Por que somos "atormentados"? Vamos considerar mais.

(Semi) Problema número 3. Falta de comunicação com a FSTEC Rússia



Embora todos os documentos regulamentares relevantes do FSTEC exijam o uso de um banco de dados de ameaças como fonte de modelos de ameaças, a Metodologia se refere ao documento "Modelo básico de ameaças à segurança de dados pessoais quando processadas em sistemas de informações de dados pessoais", que também foi aprovado em 2008 e que de fato é impossível de usar.

No geral, isso não é um problema direto, estamos simplesmente usando o NOS e é isso. Mas, ao mesmo tempo, essa situação ilustra claramente as inconsistências e inconsistências dos documentos regulatórios. Enquanto as ordens 17, 21 e 239 do FSTEC se referem à BDU de alguma forma atualizada, a Metodologia ficou em 2008.

Problema número 4. Índice de Segurança Inicial



Então, chegamos à metodologia real para determinar ameaças reais. Sua essência é a seguinte: temos uma lista de ameaças, para cada ameaça, a fim de determinar sua relevância (ou não), precisamos determinar vários parâmetros e, através dos cálculos / manipulações descritos na Metodologia, chegamos ao objetivo desejado - uma lista de ameaças reais.

O primeiro desses parâmetros que precisamos determinar é o "nível de segurança inicial", também é o "grau de segurança inicial", é o "coeficiente de segurança inicial", é Y1 (a propósito, esse é outro problema intermediário da metodologia - há muitos nomes para um e a mesma entidade).

O grau de segurança inicial é determinado da seguinte forma. Existem 7 indicadores (características técnicas e operacionais do sistema), para cada indicador existem várias opções para os valores e para cada indicador é necessário escolher apenas um desses valores, o mais adequado para o nosso sistema de informação. O valor selecionado está associado a um nível de segurança (alto, médio ou baixo).

A seguir, consideramos quantas opções temos com os níveis "alto", "médio" e "baixo". Se de 7 indicadores, 70% ou mais receberam um "alto nível de segurança", o grau de segurança inicial de todo o sistema é alto (Y1 = 0). Se de 7 indicadores, 70% ou mais receberam um nível alto ou médio de segurança, o grau de segurança inicial de todo o sistema é médio (Y1 = 5). Se as duas condições anteriores não forem atendidas, o grau de segurança inicial de todo o sistema é baixo (Y1 = 10).

Lista de características e seus valores
características técnicas e operacionaisnível de segurança
altomédiabaixo
1. por distribuição territorial:
ispn distribuído, que abrange várias áreas, territórios, distritos ou o estado como um todo--+
ispdn urbano, cobrindo não mais de um assentamento (cidade, vila)--+
back-office distribuído corporativo, cobrindo muitas divisões de uma organização-+-
backbone local (campus) implantado no mesmo edifício-+-
back-end local implantado no mesmo edifício+--
2. pela presença de conexões com redes públicas de comunicação:
ispdn com acesso multiponto à rede de comunicação pública--+
ispdn com saída de ponto único para a rede de comunicação pública-+-
ispn, fisicamente separado da rede pública+--
3. em operações internas (legais) com registros de bases de dados pessoais:
lendo, pesquisando+--
escrever, excluir, classificar-+-
modificação, transferência--+
4. delimitar o acesso a dados pessoais:
Ispdn, ao qual o acesso é determinado pela lista de funcionários da organização que possui o ispdn ou sujeito-+-
ispdn, ao qual todos os funcionários da organização que possui ispdn têm acesso--+
acesso aberto--+
5. pela presença de conexões com outros bancos de dados de outras bases de dados pessoais:
O ispdn integrado (organização) usa vários bancos de dados do pdp ispdn, enquanto a organização não possui todos os bancos de dados usados ​​do pdp)--+
ispdn, no qual um banco de dados é usado, de propriedade da organização - o proprietário desse ispdn+--
6. de acordo com o nível de generalização (despersonalização) dos dados pessoais:
ispdn, no qual os dados fornecidos ao usuário são impessoais (no nível da organização, setor, região, região etc.)+--
ispdn, em que os dados são despersonalizados apenas quando transferidos para outras organizações e não despersonalizados quando fornecidos a um usuário em uma organização-+-
ispdn, no qual os dados fornecidos ao usuário não são anonimizados (ou seja, há informações que permitem identificar o sujeito da base de dados)--+
7. pelo volume de dados pessoais que são fornecidos a usuários terceiros
ispdn fornecendo todo o banco de dados com PDN--+
ispdn, fornecendo parte do dia de pagamento-+-
ispd que não fornece nenhuma informação+--



Parece normal, mas.

Primeiramente, os indicadores, seus valores e níveis de segurança são distribuídos para que, em um sistema de informações real (não em um computador independente desconectado da rede, tanto de comunicação quanto elétrico), você nunca obtenha um alto grau de segurança .

Em segundo lugar, os próprios indicadores e seus valores são muito estranhos. Muitas vezes acontece que dois valores são adequados para um indicador de uma vez ou nenhum é adequado.

Exemplo 1:



O indicador "Por distribuição territorial".

Valores possíveis:

  • ISPD distribuído, que abrange várias regiões, territórios, distritos ou o estado como um todo;
  • ISPDn urbano, cobrindo não mais que um assentamento (cidade, vila);
  • ISPD distribuído corporativo, cobrindo muitas divisões de uma organização;
  • ISPD local (campus), implantado em vários prédios próximos;
  • ISPD local, implantado no mesmo edifício.


Aqui, as situações não são incomuns quando dois valores são adequados para um sistema de informação ao mesmo tempo: “distribuído” e “corporativo” ou “urbano” e “corporativo”.

Exemplo 2:



Indicador “Sobre a diferenciação de acesso a dados pessoais”

Valores possíveis:

  • ISPDn, ao qual o acesso é determinado por uma lista de funcionários da organização proprietária do ISPD ou um PDN individual;
  • ISPDn, ao qual todos os funcionários da organização que possui o ISPD têm acesso;
  • ISPD com acesso aberto.


Existem dois extremos: o sistema é aberto ou tem acesso a ele, apenas funcionários da organização que possui esse sistema de informação.

No mundo moderno, geralmente há situações em que o acesso a informações protegidas é fornecido a usuários de terceiros (que não são funcionários do proprietário do sistema de informações), enquanto o sistema não está disponível ao público. Esses pontos estão perfeitamente refletidos nas ordens 17 e 21 do FSTEC (existem medidas separadas para conectar usuários externos), mas estão ausentes na Metodologia. Ao mesmo tempo, não podemos adicionar nossos próprios valores; a Metodologia não fornece isso.

Em terceiro lugar, existem indicadores que estão intimamente ligados aos dados pessoais e fora do seu contexto simplesmente não são aplicáveis, por exemplo, o indicador "Pelo nível de generalização (despersonalização) dos dados pessoais". Quando usamos a Metodologia para desenvolver um modelo de ameaça para o GIS que não processa a DP, esse indicador simplesmente precisa ser descartado.

E o que custa "ISPDn, que não fornece nenhuma informação" por si só custa ...

Problema número 5. Cálculo de relevância para ameaças sem pré-requisitos



Se houver Y1, deve haver Y2. Y2 é uma "probabilidade de ameaça" diferente. Existem quatro gradações: improvável, baixa probabilidade, probabilidade média e alta probabilidade (Y2 = 0, 2, 5, 10, respectivamente).

A probabilidade de uma ameaça depende da presença de pré-condições para a realização da ameaça e da presença / ausência / incompletude das medidas tomadas para neutralizá-la.

Uma ameaça é considerada improvável se não houver pré-requisitos objetivos para que a ameaça ocorra.

Então qual é o problema? E o problema é que, em vez de escrever na Metodologia, ameaças improváveis ​​são simplesmente excluídas da lista de ameaças reais, para elas, simplesmente temos nosso próprio valor Y2. E isso significa que, para ameaças para as quais não existem pré-requisitos (por exemplo, ameaças associadas a ambientes de virtualização em sistemas onde a virtualização não é usada), devemos calcular os coeficientes e determinar a relevância / relevância. Não é bobagem?

O delírio, especialmente considerando que, em um determinado conjunto de circunstâncias, ameaças para as quais não existem pré-requisitos, puramente pela Metodologia, podem repentinamente se tornar relevantes. Isso é possível com um baixo nível de segurança inicial e / ou com um risco médio / alto de ameaças. Mas, em qualquer caso, devemos dedicar algum tempo ao cálculo. Portanto, é uma boa prática neste local não aplicar a metodologia "testa", mas eliminar ameaças improváveis ​​na fase preliminar.

Até agora, a experiência de concordar com os modelos de ameaças FSTEC para GIS sugere que o regulador não tem queixas sobre essa abordagem.

(Semi) Problema número 6. Outro parâmetro sem sentido



O primeiro parâmetro sem sentido (na realidade, não aplicável) foi um alto grau de segurança inicial. Além disso, se você ler atentamente a Metodologia, poderá encontrar seu irmão.

Se aqueles que leram para este lugar estão interessados ​​no que estamos fazendo com Y1 e Y2, então os usamos para calcular Y (também é a possibilidade de realizar uma ameaça) usando a fórmula descomplicada Y = (Y1 + Y2) / 20. Dependendo do valor resultante, a viabilidade pode ser baixa, média, alta ou muito alta. E a última graduação não tem sentido.



Aqui está uma tabela da Metodologia, pela qual determinamos a relevância de uma ameaça de duas maneiras - a possibilidade de uma ameaça (é Y) e a ameaça de uma ameaça (veja abaixo). A tabela mostra que a possibilidade alta e muito alta de implementar uma ameaça não é diferente, todas as ameaças nesses níveis serão relevantes, apesar da importância da ameaça da ameaça.

Qual foi o sentido de introduzir uma gradação sem sentido extra - não está claro. Em geral, isso não é frio nem calor para nós, portanto, isso pode ser apenas parcialmente considerado um problema.

Problema número 7. Consequências negativas (perigo de ameaças)



Bem, vamos para o parâmetro "Danger of Threat". Tem gradações próprias (é a vez!) Baixa, média e alta. Eles diferem em quais consequências para o assunto de dados pessoais a implementação da ameaça levará a: negativo menor, apenas negativo, negativo significativo, respectivamente.

Você provavelmente pensa que mais adiante na Metodologia está escrito em detalhes e com números - quais são as menores consequências negativas e como elas diferem das significativas? Não, o compilador do documento limitou-se à frase de que o perigo de ameaças é determinado "com base em uma pesquisa de especialistas (especialistas no campo da proteção de informações)". Eu acho que não é segredo para ninguém que, nesses casos, muitos desenvolvedores de modelos de ameaças simplesmente sempre colocam a ameaça de ameaças baixa por padrão, a fim de reduzir a lista de ameaças atuais. Além disso, vale ressaltar que muitas vezes não há "especialistas" que possam ser entrevistados em um raio de 200 km.

Na verdade, os problemas com o perigo de ameaças não param por aí. Além disso, os desenvolvedores de modelos de ameaças para sistemas de informação, nos quais os dados pessoais não são processados, são novamente atormentados. E se o conceito de “dados pessoais” pode ser facilmente substituído por “informações protegidas”, então o “sujeito de dados pessoais” deve ser substituído no contexto das consequências negativas? Aqui, todo desenvolvedor de modelos de ameaças já atua de acordo com a situação.

E o que é FSTEC?



Uma pergunta razoável - se a metodologia atual é tão ruim, como está o regulador com planos de atualizar o documento?

Aqui está a história: em 2015, o FSTEC apresentou um rascunho de uma nova técnica de modelagem de ameaças . Por algum tempo, o FSTEC aceitou de todas as partes interessadas propostas e desejos para melhorar o projeto. Em seguida, os primeiros seis meses para as perguntas "Onde está a nova técnica?" seguido pela resposta de que o regulador recebeu muitos comentários sobre o rascunho do documento e agora está processando tudo. Então, por mais um ano, os representantes do FSTEC responderam à mesma pergunta que o documento estava sendo aprovado pelo Ministério da Justiça (o rascunho do documento com correções baseadas no feedback da população não foi publicado, o link acima é a versão original). E então eles começaram a encolher os ombros.

Em geral, o destino de substituir a Metodologia é triste e nebuloso ao mesmo tempo. É triste porque o projeto não foi ruim, certamente melhor do que o que você precisa usar agora, embora também tenhamos nossas próprias perguntas e reclamações por lá.

Conclusão



Qual é o resultado:

  • temos o único método legítimo para determinar ameaças atuais à segurança da informação e, na maioria dos casos, a legislação atual exige que a utilizemos;
  • a metodologia atual é problemática desde o início, além de estar desatualizada e não concordar com os documentos regulatórios mais recentes do mesmo FSTEC;
  • o método atual está vinculado a dados pessoais e a titulares de dados pessoais, o que leva à necessidade de uma bicicleta no desenvolvimento de modelos de ameaças para sistemas de informação sem dados pessoais;
  • modelos de ameaça para GIS devem ser acordados com o FSTEC; portanto, para GIS, não podemos deixar de usar a metodologia atual;
  • também para o ISPD, não podemos deixar de usá-lo, pois a metodologia foi desenvolvida "de acordo com 152-FZ"
  • nada se sabe sobre os planos do FSTEC para substituir o documento metodológico desatualizado e deficiente.


Esta é a vida cotidiana do IBE doméstico. Bom para todos.

Source: https://habr.com/ru/post/pt453756/

More articles:


All Articles