Как определить уровень защищенности ПДн?

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1


Как определить уровень защищенности ПДн? Алексей Лукацкий Бизнес-консультант по безопасности 22 January 2015


Класс ИСПДн или уровень защищенности?

Старый ФЗ

•  Класс ИСПДн определяется в зависимости от объема и типа ПДн

•  Класс и модель угроз определяют защитные меры

•  Класс определяется оператором

Новый ФЗ

•  Понятие «классификации» отсутствует

•  Вводится понятие «уровень защищенности»

•  Зависит от угроз •  Определяются Правительством РФ


Сценарии классификации ИСПДн: так было раньше

• Специальные и типовые •  Тип и объем ПДн •  4 класса типовых (Кх) Приказ 3-х

•  Все специальные СТО БР ИББС •  Типовые и специальные •  Тип, объем и характеристики безопасности •  4 класса + подклассы на основе 6 характеристик Минсвязь •  Все специальные •  Тип и объем ПДн •  4 класса (КхС) НАУФОР •  Типовые и специальные •  5 классов специальных ИСПДн (АРМ А, АРМ П, ИСПДнОСхс) Тритон


Приказ трех больше не действует

•  «Приказ трех» формально не действует с 01.11.2012 Согласно нормам правам

•  ФСТЭК специально разработала проект приказа о недействительности «приказа трех» Утвержден 31 декабря 2013 года – №151/786/461 Подписан руководителями ФСТЭК, ФСБ и Минкомсвязи


Уровни защищенности

•  Под уровнем защищенности ПДн понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности ПДн при их обработке в ИСПДн

•  Правительство РФ с учетом возможного вреда субъекту ПДн, объема и содержания обрабатываемых ПДн, вида деятельности, при осуществлении которого обрабатываются ПДн, актуальности угроз безопасности ПДн устанавливает уровни защищенности ПДн при их обработке в ИСПДн в зависимости от угроз безопасности этих данных


Постановление Правительства №1119

•  ИСПДн-С Обработка специальных ПДн, исключая судимость

•  ИСПДн-Б Обработка биометрических ПДн

•  ИСПДн-О Обработка ПДн, полученных только из общедоступных источников ПДн

•  ИСПДн-И Обработка иных категорий ПДн

•  ИСПДн-Ю Обработка ПДн только сотрудников юрлица


Первый проект ПП-1119: категории нарушителей

•  КН1 – нарушитель (группа нарушителей), самостоятельно осуществляющий (осуществляющая) создание методов и средств реализации атак и реализацию атак на информационную систему (нарушитель с низким потенциалом)

•  КН2 – группа нарушителей, осуществляющая создание методов и средств реализации атак и реализацию атак на ИС с привлечением специалистов в области разработки и анализа СЗИ, включая специалистов в области защиты информации от утечки по техническим каналам и (или) специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей прикладного ПО (нарушитель со средним потенциалом)

•  КН3 – нарушитель или группа нарушителей, осуществляющая создание методов и средств реализации атак и реализацию атак на ИС с привлечением специалистов в области разработки и анализа СЗИ, включая специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей системного ПО (нарушитель с высоким потенциалом)


Откуда взялись категории нарушителей?

КН1 • Н1-Н3

КН2 • Н4-Н5

КН3 • Н6

§  6 моделей нарушителя ФСБ Н1 – внешний нарушитель, действующий без помощи изнутри Н2 – внутренний нарушитель, не являющийся пользователем СКЗИ Н3 – внутренний нарушитель, являющийся пользователем СКЗИ Н4 – нарушитель, привлекающий специалистов в области разработки СКЗИ и их анализа Н5 – нарушитель, привлекающий НИИ в области разработки СКЗИ и их анализа Н6 – спецслужбы иностранных государств


От категорий нарушителей к типам угроз

•  Угрозы 1-го типа актуальны для информационной системы персональных данных, если для нее, в том числе, актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в составе информационной системы персональных данных

•  Угрозы 2-го типа актуальны для информационной системы персональных данных, если для нее, в том числе, актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в составе информационной системы персональных данных

•  Угрозы 3-го типа актуальны для информационной системы персональных данных, если для нее не актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в составе информационной системы персональных данных


Актуальны ли НДВ для ИСПДн?!

КН1 • Н1-Н3

КН2 • Н4-Н5

КН3 • Н6 1 тип

2 тип

3 тип

Категории нарушителей (так было раньше)

Типы угроз (так стало сейчас)


Кто определяет типы угроз?

•  Определение типа угроз безопасности персональных данных, актуальных для информационной системы персональных данных, производится оператором с учетом совокупности условий и факторов, указанных в подпункте «е» пункта 2, а также оценки вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона «О персональных данных», и нормативных правовых актов, принятых во исполнение части 5 статьи 19 Федерального закона «О персональных данных» Оценка вреда производится самостоятельно


Подпункт «е» пункта 2 ПП-1119

•  Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных Опасность должна быть актуальной, а не теоретической


Угрозы или типы угроз?

•  Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 181 Федерального закона «О персональных данных», и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона «О персональных данных»

Тип угроз Угрозы


А вот с угрозами не все так просто!

Кто может разработать модель угроз?

Банк России

Регулятор (ФОИВ) в установленной сфере

деятельности

Органы госвласти субъектов РФ

Органы государственных

внебюджетных фондов

Иные госорганы

Ассоциации, союзы, объединения операторов ПДн


Могу ли я сам моделировать угрозы?

•  Пока правовых актов, принятых во исполнение части 5 статьи 19 Федерального закона «О персональных данных», в России не принято Банк России готовит новую версию отраслевой модели угроз ПДн в рамках СТО БР ИББС

•  ФСТЭК готовит методику моделирования угроз, единую для ИСПДн и ГИС

•  Что делать, если у оператора ПДн не существует отраслевого регулятора? Можно ли самостоятельно составить перечень актуальных угроз 3-го типа?


Определяем уровни защищенности Тип ИСПДн

Категории субъектов

Количество субъектов

Тип актуальных угроз 1 тип 2 тип 3 тип

ИСПДН-С Не сотрудники Более 100000 УЗ1 УЗ1 УЗ2 Менее чем 100000 УЗ1 УЗ2 УЗ3

Сотрудники Более 100000 УЗ1 УЗ2 УЗ3 Менее чем 100000 УЗ1 УЗ2 УЗ3

Тип ИСПДн




ИСПДН-Б Не сотрудники Более 100000 УЗ1 УЗ2 УЗ3 Менее чем 100000 УЗ1 УЗ2 УЗ3


Тип ИСПДн




ИСПДН-И Не сотрудники Более 100000 УЗ1 УЗ2 УЗ3 Менее чем 100000 УЗ1 УЗ3 УЗ4


Тип ИСПДн




ИСПДН-О Не сотрудники Более 100000 УЗ2 УЗ2 УЗ4 Менее чем 100000 УЗ2 УЗ3 УЗ4



Резюмируя: уровень защищенности зависит от НДВ

•  Уровень защищенности зависит преимущественно от типа актуальных угроз

•  Оператор ПДн имеет полное право самостоятельно принимать решение об актуальности типа угроз


А что если признать НДВ актуальными?

•  В случае определения в качестве актуальных угроз безопасности персональных данных 1-го и 2-го типов дополнительно к мерам по обеспечению безопасности персональных данных могут применяться следующие меры Проверка системного и (или) прикладного программного обеспечения, включая программный код, на отсутствие недекларированных возможностей с использованием автоматизированных средств и (или) без использования таковых; Тестирование информационной системы на проникновения Использование в информационной системе системного и (или) прикладного программного обеспечения, разработанного с использованием методов защищенного программирования

•  Что является доказательством реализации данных мер? Сертификат соответствия, договор на пентест, декларация производителя…

•  На реальную защищенность ПДн признание НДВ актуальными никак не влияет, а затраты возрастают многократно И не всегда физически возможности провести анализ отсутствия НДВ во всем ПО


А что если признать НДВ актуальными?

•  СКЗИ класса КВ применяются, когда могут быть использованы недекларированные возможности в прикладном ПО или у нарушителя есть исходные коды прикладного ПО Прощай open source

•  СКЗИ класса КА применяются, когда могут быть использованы недекларированные возможности в системном ПО

•  На 1-м уровне защищенности также потребуется установить на первых и последних этажах зданий решетки или ставни


Благодарю за внимание

Как определить уровень защищенности ПДн?

Technology