美好的一天,哈伯! 今天,我们要批评文件“确定在个人数据信息系统中处理个人数据安全时面临的实际威胁的方法”,该文件于2008年2月14日由俄罗斯FSTEC批准。 (以下简称“方法”)。
该方法论是唯一可用于确定当前安全威胁的批准文件,根据现行法律,
“ 由俄罗斯FSTEC开发和批准的方法论文件... ”用于识别信息安全威胁并开发信息安全威胁模型 。
从方法论的批准之日就可以看出,它已经有10多年的历史了,确实存在很多问题。 哪些-我们将进一步考虑。
问题编号1。 链接到个人数据
该问题已经在文档标题中弹出:“确定在
个人数据信息系统中处理
个人数据时实际威胁安全的方法。”
在方法论的文本中,我们进一步看到以下内容:
该方法旨在用于在以下自动化个人数据信息系统中处理个人数据期间确保其安全性的工作:
- 州或市级ISPDn;
- 由企业,组织和机构(以下简称组织)创建和(或)运营的ISPDn,无论根据其目的执行这些组织的职能所需的所有权形式;
- ISPDn由个人创建和使用,除非后者专门将这些系统用于个人和家庭需求。
好的,可以链接到个人数据和ISPD,但是出了什么问题? 当我们需要编写威胁模型时,例如对于未处理个人数据的状态信息系统(GIS),就会出现问题。
如果每个GIS运营商都在信息安全方面用自己的酱做饭,那一切都会好起来的-可以根据自己发明的方法开发威胁模型,仅自己使用它,而不会向任何人展示。 仅在这里,根据
俄罗斯联邦政府于2017年5月11日发布的第555号决议,所有新创建的GIS的运营商都有义务协调威胁模型和技术规范,以与俄罗斯的FSTEC和俄罗斯的FSB建立信息保护系统。
而且,当然,如果采用过分“创造性”的方法来开发威胁模型,GIS运营商将收到一个答案,即“该威胁模型的开发没有考虑俄罗斯FSTEC批准的监管文件,请重做”。
而且,我们根本没有其他经过批准的方法。
问题编号2。 有争议的合法性
方法论的第一段说:
俄罗斯FSTEC根据2006年7月27日第152-号“关于个人数据”和“确保个人安全的法规”,在联邦法律的基础上,开发了确定在个人数据信息系统(ISPD)中处理个人数据(PDN)时当前对个人数据安全威胁的方法。 “在个人数据信息系统中处理数据时,”由俄罗斯联邦政府于2007年11月17日第781号法令批准,同时考虑了俄罗斯FSTEC关于保护个人信息的现行法规文件。 rmacii。
问题在于,政府的大胆决议于2012年被取消。 但是,如果仅在本段中出现,则该方法论可以被认为是完全非法的。 但是仍然有152-FZ,它非常生动有趣。 关于方法论的合法性问题,律师的意见存在分歧。
无论如何,正如已经提到的那样,这是唯一以某种方式获得批准的文件,因此我们会苦苦使用。 我们为什么被“折磨”? 让我们进一步考虑。
(半)问题编号3。 与FSTEC俄罗斯缺乏沟通
尽管FSTEC的所有相关法规文件都要求使用
威胁数据库作为威胁模型的来源,但该方法论是指“个人数据安全威胁在个人数据信息系统中处理时的基本模型”文件,该文件也在2008年获得批准并且实际上是不可能使用的。
总的来说,这不是一个直接的问题,我们只是使用NOS就可以了。 但是,与此同时,这种情况清楚地说明了监管文件的矛盾之处。 尽管FSTEC的17、21和239订单指的是以某种方式更新的BDU,但该方法学在2008年陷入困境。
问题编号4。 初始安全指数
因此,我们了解了确定实际威胁的实际方法。 其实质如下:我们有一个威胁列表,对于每种威胁,为了确定其相关性(或不相关性),我们需要确定一些参数,然后通过方法论中描述的计算/操作得出所需的目标-实际威胁列表。
我们需要确定的第一个参数是“初始安全级别”,它也是“初始安全度”,它是“初始安全系数”,它是Y1(顺便说一句,这是该方法的另一个中间问题-一个名字太多了和同一实体)。
初始安全度确定如下。 有7个指标(系统的技术和操作特性),对于每个指标,这些值都有几个选项,对于每个指标,您只需要选择这些值中的一个即可,最适合我们的信息系统。 所选值与安全级别(高,中或低)相关联。
接下来,我们考虑在“高”,“中”和“低”级别下有多少选择。 如果在7个指标中,有70%或更高的指标获得了“高安全级别”,则整个系统的初始安全度很高(Y1 = 0)。 如果在7个指标中,有70%或更高的指标获得了高或中级别的安全性,则整个系统的初始安全性级别为平均值(Y1 = 5)。 如果不满足前两个条件,则整个系统的初始安全性较低(Y1 = 10)。
看来很正常,但是。
首先,指标,指标的值和安全级别是分布式的,因此,在真实的信息系统(不是与网络断开连接的独立计算机,包括通信和电气)中,
您将永远不会获得高度的安全性 。
其次,指标本身及其价值很奇怪。 经常会出现两个值同时适合一个指标或没有一个适合的情况。
范例1:
指标“按地区分布”。
可能的值:
- 分布式ISPD,涵盖多个地区,地区,地区或整个州;
- 城市ISPDn,涵盖不超过一个定居点(城市,村庄);
- 公司分发的ISPD,涵盖一个组织的多个部门;
- 本地(校园)ISPD,部署在数个紧邻的建筑物内;
- 本地ISPD,部署在同一建筑物内。
在这里,当两个值同时适合一个信息系统时,情况并不罕见:“分布式”和“企业”或“城市”和“企业”。
范例2:
指标“关于获取个人数据的区别”
可能的值:
- ISPDn,访问权限由ISPD所有者或单个PDN的组织的员工列表确定;
- ISPDn,拥有ISPD的组织的所有员工都可以访问;
- 具有开放访问权限的ISPD。
有两个极端,系统是开放的或可以访问的,只有拥有此信息系统的组织的员工可以使用。
在现代世界中,通常会向第三方用户(不是信息系统所有者的雇员)提供对受保护信息的访问,而第三方系统却不公开。 FSTEC的第17号和第21号命令(有用于连接外部用户的单独措施)完美地反映了这些要点,但是方法论中却没有。 同时,我们不能添加自己的值;方法论并未为此提供任何条件。
第三,有些指标与个人数据紧密相关,在其上下文之外根本不适用,例如,指标“按个人数据的归纳(去个性化)水平”。 当我们使用方法论为不处理PD的GIS开发威胁模型时,仅需剔除该指标。
而“不提供任何信息的ISPDn”仅需花费多少呢?
问题编号5。 计算没有先决条件的威胁的相关性
如果有Y1,则必须有Y2。 Y2是不同的“威胁概率”。 有4个等级:不太可能,低概率,平均概率和高概率(分别为Y2 = 0、2、5、10)。
威胁的可能性取决于实现威胁的先决条件的存在以及为消除威胁而采取的措施的存在/不存在/不完整。
如果没有客观的前提条件发生威胁,则认为威胁不太可能发生。
那么,有什么问题呢? 问题是,与其在方法论中没有写出将不太可能的威胁简单地从实际威胁列表中排除的方法,不如说我们对它们有自己的价值Y2。 这意味着对于没有先决条件的威胁(例如,与不使用虚拟化的系统中的虚拟化环境相关联的威胁),我们必须计算系数并确定相关性/相关性。 废话吗
r妄,特别是考虑到在某些情况下,纯粹是通过方法论而没有先决条件的威胁可能会突然变得相关。 初始安全级别低和/或威胁的平均/高风险是可能的。 但是无论如何,我们必须花时间进行计算。 因此,在这个地方的好习惯是不使用“前额”方法,而是在初期阶段清除不太可能的威胁。
到目前为止,同意FSTEC GIS威胁模型的经验表明,监管机构对这种方法没有任何抱怨。
(半)问题编号6。 另一个无意义的参数
第一个无意义的(实际上是不适用的)参数是高度的初始安全性。 此外,如果您仔细阅读《方法论》,则可以找到它的兄弟。
如果已读过此地方的人对我们对Y1和Y2的操作感兴趣,则可以使用简单的公式Y =(Y1 + Y2)/ 20来使用它们来计算Y(这也是实现威胁的可能性)。 取决于结果值,可行性可能是低,中,高或很高。 最后的层次是没有意义的。
这是《方法论》中的表格,通过该表格,我们可以通过两种方式确定威胁的相关性-威胁的可能性(是)和威胁的威胁(请参见下文)。 该表显示,实施威胁的可能性非常高,而且非常高,尽管威胁的重要性很重要,但所有级别的威胁都是相关的。
引入额外的无意义渐变的目的是什么-尚不清楚。 总的来说,这对我们来说既不冷也不热,因此只能部分地认为是一个问题。
问题编号7。 负面后果(威胁危险)
好吧,让我们进入“威胁危险”参数。 它有自己的等级(转!)低,中和高。 它们在实施威胁将对个人数据主题造成何种后果方面有所不同:分别为轻微负面,正负面,重大负面。
您可能会认为,《方法论》中进一步详细地写着并且带有数字-次要的负面影响是什么?它们与重大的负面影响有何不同? 不,该文件的编制者只限于“根据专家(信息保护领域的专家)调查”确定威胁的危险这一短语。 我认为,在任何情况下,许多威胁模型开发人员都将默认情况下总是将威胁的威胁降低到最低水平,以减少当前威胁的列表,这对任何人来说都不是秘密。 此外,值得注意的是,在200 km的半径范围内,通常没有“专家”可以接受采访。
实际上,具有威胁危险的问题并没有就此结束。 此外,信息系统的威胁模型的开发人员再次遭受了折磨,在该模型中,未处理个人数据。 而且,如果“个人数据”的概念可以很容易地用“受保护的信息”代替,那么在负面后果的背景下,“个人数据的主体”应该被什么替换呢? 在这里,已经有每个威胁模型开发人员根据情况采取行动。
FSTEC是什么?
一个合理的问题-如果当前的方法如此糟糕,那么监管机构计划如何更新文件?
故事就是这样-在2015年,FSTEC
提出了一种新的威胁建模技术的草案 。 一段时间以来,FSTEC接受了所有有关方面的建议并希望改善该项目。 然后是头六个月的问题:“新技术在哪里?” 随后给出的答案是,监管机构收到了有关文件草案的大量反馈,现在正在处理整个过程。 然后,大约一年后,FSTEC代表回答了同样的问题,即该文件正在由司法部批准(未发布基于人口反馈做出更正的文件草案,上面的链接为原始版本)。 然后他们开始耸耸肩。
总的来说,替换方法论的命运同时是悲伤和迷雾。 令人遗憾的是,尽管这个项目还不错,但肯定比您现在使用的要好,尽管我们在那里也有自己的问题和投诉。
结论
结果是什么:
- 我们拥有确定当前对信息安全的威胁的唯一合法方法,并且在大多数情况下,当前的法规要求我们使用它;
- 当前的方法从一开始就存在问题,并且过时了,并且与同一FSTEC的最新监管文件不一致;
- 当前的方法与个人数据和个人数据的主题相关联,这导致在为没有个人数据的信息系统开发威胁模型时需要发明一辆自行车。
- GIS的威胁模型必须与FSTEC达成共识,因此,对于GIS,我们只能使用当前的方法;
- 对于ISPD来说,我们也只能使用它,因为该方法是“根据152-”开发的;
- FSTEC计划取代过时且方法不完善的文件的计划一无所知。
这些是家庭国际教育局的日常生活。 对所有人都好。