CC BY
116
МЕТОДИЧЕСКИЕ ДОКУМЕНТЫ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПО НОВЕЙШИМ ТРЕБОВАНИЯМ
Мусихина Д.А.*
Аннотация. На сегодняшний день не существует универсального алгоритма для выявления актуальных угроз безопасности персональных данных, обрабатываемых в информационных системах. ФСТЭК России, контролирующая направление обеспечения безопасности персональных данных, занимается пересмотром существующей методики. В мае 2015 года регулятором была представлена на рассмотрение обновленная версия документа. В данной статье представлен обзор проекта методики определения угроз безопасности информации в информационных системах, а также проведен сравнительный анализ действующей методики с предварительной версией: выделены положительные нововведения, отмечен спорный метод определения показателя уровня защищенности информационной системы персональных данных, влияющий на выявление актуальных для нее угроз. Применение того или иного алгоритма определения актуальности угроз безопасности информации влияет на набор средств защиты информации и размер бюджета, требующихся операторам, для создания адекватной системы защиты персональных данных, отвечающей всем требованиям законодательства. Таким образом, разработка подобного документа является серьезным проектом, требующим тщательного анализа современных технологий, рынка средств защиты информации и возможностей нарушителей.
Ключевые слова: информационная безопасность, персональные данные, информационная система персональных данных, ФСТЭК России, угрозы информационной безопасности, модель нарушителя.
Введение
В связи со стремительным развитием информационных технологий и переходом от простой автоматизации к Интернету вещей [1] появляются новые угрозы безопасности информации, возрастает вероятность реализации существующих угроз, а также увеличивается степень возможного ущерба от их реализации. Это обусловливает потребность в критическом анализе и переосмыслении нормативно-правовой базы информационной безопасности [2, 3]. Особого внимания заслуживают вопросы защиты персональных данных, по причине особого юридического статуса и обязательности оценки соответствия средств их защиты [4-8]. Жизненный цикл защищенных систем обработки персональных данных, как известно, включает ряд важных этапов, первичным из которых является проведение анализа риска, начинающийся с определения угроз безопасности [9].
С учётом этого, обновление методики 2008 года и пересмотр алгоритма определения угроз
безопасности информации являются актуальной задачей, требующей оперативного решения.
Дело в том, что в 2015 году ФСТЭК России опубликовала проект документа «Методика определения угроз безопасности информации в информационных системах» для рассмотрения специалистами в области информационной безопасности, заинтересованными органами государственной власти и коммерческими организациями. Данный документ должен заменить «Методику определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» 2008 года. Предложения и замечания по проекту можно было направить до 10 июня 2015 года, однако дата вступления проекта в силу до сих пор не утверждена.
В самом общем виде указанные методики устанавливают единый типовой подход к определению угроз безопасности информации и разработке моделей угроз безопасности информации [10-18]. Для детального сравнения рассматриваемых подходов в статье разработаны новые функциональные модели.
* Мусихина Дарья Андреевна, ведущий специалист ЗАО «НПО «Эшелон», Российская Федерация, г. Москва. E-mail: d.musikhina@npo-echelon.ru
Анализ общей структуры методического документа
Процесс определения угроз безопасности информации в проекте Методики, в отличие от действующего руководящего документа, делится на четыре этапа (см. рис. 1):
1. Определение области применения процесса определения угроз безопасности информации.
2. Идентификация источников угроз и угроз безопасности информации.
3. Определение актуальных угроз безопасности информации.
4. Мониторинг и переоценка угроз безопасности информации.
Добавлены первый и четвертый этапы, регламентирующие действия, которые необходимо проводить до и после самого процесса определения актуальных угроз безопасности информации; таким образом, регулятор устанавливает для него непрерывный жизненный цикл.
В процесс определения области применения входит выявление физических и логических границ информационных систем (ИС), в которых принимаются и контролируются меры защиты инфор-
мации ответственным оператором, а также определяются объекты защиты и сегменты информационной системы.
Мониторинг и переоценка угроз безопасности информации представляют собой пересмотр логических и физических границ ИС, ее базовых конфигураций и структурно-функциональных характеристик, которые могли быть изменены в результате переопределения целей и задач ИС, и повторную оценку актуальных угроз безопасности информации с последующим анализом этих изменений. Пересмотр модели угроз рекомендовано проводить не реже одного раза в год.
К проекту Методики добавлены три приложения:
1. Приложение № 1 «Рекомендации по формированию экспертной группы и проведению экспертной оценки при определении угроз безопасности информации».
2. Приложение № 2 «Структура модели угроз безопасности информации».
3. Приложение № 3 «Определение потенциала нарушителя, необходимого для реализации угрозы безопасности информации в информационной системе».
Рис. 1. Модель определения угроз
Приложение № 1 направлено на снижение субъективных факторов при оценке угроз безопасности информации, а именно: даны рекомендации по подбору экспертной группы, проведению экспертной оценки, приведены параметры в отношении которых, как минимум, нужно проводить оценку, метод опроса и его этапы.
В приложении № 2 описано, из каких разделов должна состоять модель угроз безопасности информации, и даны пояснения к тому, что они должны содержать.
Приложение № 3 относится к третьему этапу процесса определения угроз безопасности и используется для определения потенциала, требуемого нарушителю для реализации j-ой угрозы безопасности информации, но только если в банке данных угроз безопасности информации [10] отсутствуют сведения о потенциале нарушителя.
Стоит отметить, что темы приложений, не раскрытые в действующем методическом докумен-
те, являются актуальными и вносят конкретику, например, в части формирования структуры документа «Частная модель угроз безопасности информации», получаемого на выходе процесса определения угроз безопасности информации в ИС.
На рисунках 2 и 3 показаны этапы процессов, построенные в виде дерева узлов, для каждой из методик. Сравнив данные модели, можно сделать вывод, что в проект Методики добавлены этапы подготовительно-организационного характера, такие как исследование и выделение области, в которой будут идентифицироваться угрозы, проведение самой идентификации угроз и составление модели нарушителя. Далее добавлен процесс переоценки и пересмотра модели угроз, период которого определен в самой Методике - не реже раза в год, и сокращен по сравнению с тем, что указан в Федеральном законе № 152-ФЗ «О персональных данных» - не реже 3 лет.
Рис. 2 Этапы процесса определения угроз согласно действующей Методике
Разработка модели нарушителя
Второй этап процесса определения угроз безопасности информации в информационных системах - разработка модели нарушителя. В методическом документе 2008 года этап идентификации источников угроз безопасности информации отсутствовал (введены лишь некоторые понятия), а сейчас он является составной частью модели и содержит:
• информацию о типах, видах и потенциале нарушителей, которые могут обеспечить реализацию угроз безопасности информации;
цели, которые могут преследовать нарушители каждого вида при реализации угроз безопасности информации; возможные способы реализации угроз безопасности информации. Нарушители, как и в действующей Методике, делятся на два типа по наличию прав доступа и возможностям доступа к информации и/ или компонентам ИС (список компонент ИС, в отношении которых проводится анализ прав доступа, представлен в методике) - внешние и внутренние. Также определено 11 видов нарушителей, которые могут реализовать
Рис. 3 Этапы процесса определения угроз согласно проекту Методики
угрозы безопасности информации. В Таблице № 1 методического документа сопоставлены типы и виды нарушителей, а также их мотивации (цели).
Возможность каждого вида нарушителя по реализации угроз безопасности информации характеризуются его потенциалом. Потенциал нарушителя определяется компетентностью, ресурсами и мотивацией, требуемыми для реализации угроз безопасности информации в информационной системе и бывает низким, средним и высоким. В Таблице № 2 методики определен потенциал и возможности для каждого вида нарушителя.
Далее, в зависимости от структурно-функциональных характеристик ИС и особенностей функционирования ИС с целью формирования предположений о сценариях реализации угроз безопасности информации разрабатываются способы их реализации.
В данном разделе также перечислены доступы и воздействия, за счет которых могут быть реализованы угрозы безопасности информации, определены нарушители, совершающие случайные или преднамеренные действия, а действия последних разделены на целенаправленные и нецеленаправленные. Представлены стадии реализации преднамеренных угроз безопасности информации и даны различные рекомендации для корректного определения возможных способов реализации угроз безопасности информации.
Определение актуальных угроз безопасности
информации в информационной системе
Итак, показатель актуальности угрозы - двух-компонентный вектор, определяется по формуле:
УБИ А = [вероятность реализации угрозы (Р); степень возможного ущерба (Х )]
где Р определятся на основе анализа статистических данных о частоте реализации угроз безопасности информации в информационной системе и (или) однотипных информационных системах, а Х определяется на основе оценок степени последствий от нарушения конфиденциальности, целостности или доступности информации.
Если информация о статистических данных отсутствует (и этот случай будет самым часто используемым), то вместо Р применяется показатель У - возможность реализации угрозы, определяющийся по формуле:
У . = [уровень защищенности (У); потенциал нарушителя (У2)]
Он оценивается исходя из уровня защищенности информационной системы (У1) и потенциала нарушителя (У2), необходимого для реализации этой угрозы безопасности информации в информационной системе с заданными структурно-
функциональными характеристиками и особенностями функционирования.
Далее, в зависимости от информационной системы: находится ли она на стадии создания или является эксплуатируемой, ее уровень защищенности вычисляется разными методами.
Если система находится на стадии создания, для нее определяется У - уровень проектной защищенности, зависящий от структурно-функциональных характеристик ИС и условий ее эксплуатации, состоящих из 10 показателей. Показатели и их расчеты приведены в Таблице № 3 проекта Методики и подобны тем, что представлены в актуальном документе на данный момент.
Если система находится в ходе эксплуатации, то уровень защищенности зависит от появления дополнительных угроз, появившихся в процессе использования ИС, а также от оперативности принятия мер защиты информации, нейтрализующих эти угрозы, и определяется экспертным методом [14].
Далее, для определения возможности (вероятности) реализации угрозы необходимо определить потенциал нарушителя.
Значение потенциала нарушителя (У2) для каждой j-ой угрозы безопасности информации определяется на основе данных, приведенных в банке данных угроз безопасности информации ФСТЭК России, а также в базовых и типовых моделях угроз безопасности информации, разрабатываемых ФСТЭК России для информационных систем различных классов и типов. В случае отсутствия информации о потенциале нарушителя для реализации j-ой угрозы безопасности значение потенциала (У2) определяется в соответствии с Приложением № 3 к проекту методики.
Итак, зная уровень защищенности (проектируемой или эксплуатируемой системы) и потенциал нарушителя, мы можем определить возможность (вероятность) реализации угрозы безопасности информации по Таблице № 4.
На следующем шаге для определения актуальности угрозы безопасности информации необходимо рассчитать оценку степени возможного ущерба от реализации угрозы безопасности информации.
Для оценки степени возможного ущерба от реализации угрозы безопасности информации определяются:
• возможный результат реализации угрозы безопасности информации в ИС;
• вид ущерба, к которому может привести реализация угрозы безопасности информации;
• степень последствий от реализации угрозы безопасности информации для каждого вида ущерба.
Результатом реализации угроз безопасности информации является степень воздействия на конфиденциальность, целостность, доступность информации, содержащейся в информационной системе, и определяется согласно Таблице 5 методического документа.
Далее определяются виды ущерба, которые могут возникнуть при нарушении конфиденциальности, целостности, доступности информации, примеры которых приведены в Таблице № 6 проекта Методики.
Затем для каждого вида ущерба определяется степень негативных последствий по шкале: «незначительные», «умеренные», «существенные» и по Таблице № 7 экспертным методом оценивается степень возможного ущерба отдельно для каждого негативного последствия, а также итоговая степень возможного ущерба по следующей формуле:
Х = тах(Х[); I =,К, Ц, Д
Имея вероятность реализации угрозы и итоговую степень возможного ущерба, по Таблице № 8 устанавливается актуальность угрозы безопасности информации для ИС с заданными структурно-функциональными характеристиками и условиями функционирования. Актуальные угрозы безопасности информации включаются в модель угроз безопасности информации.
Итак, модель угроз безопасности информации, учитывая особенности ИС, используемые в ней программные, программно-технические, технические средства и процессы обработки информации, дает описание угроз безопасности, которым подвержена ИС. Ее пересмотр и переоценка теперь уже должны проходить не реже 1 раза год, вместо 3 лет, предусмотренных действующей Методикой.
Уровень проектной защищенности
Возвращаясь к началу процесса определения актуальности угроз безопасности информации, а именно, к определению уровня защищенности, хотелось бы отметить кажущуюся не совсем корректной схему его вычисления.
Если исходить из того, что для оценки вероятности реализации угрозы нет статистических данных и Заказчик находится на стадии проектирования информационной системы персональных данных (далее - ИСПДн), то процесс определения
актуальности угроз он начнет с вычисления исходного уровня проектной защищенности, зависящего от структурно-функциональных характеристик ИСПДн и условий ее эксплуатации.
Показатели, характеризующие проектную защищенность ИС, перечислены в Таблице 3; далее описан способ определения исходного уровня проектной защищенности.
Чтобы получить высокий уровень проектной защищенности, не менее 80% характеристик информационной системы должны соответствовать уровню «высокий», а остальные уровню «средний». Если посмотреть внимательно на таблицу, то какие бы характеристики не имела проектируемая ИС, она теоретически не может обеспечивать высокий уровень проектной защищенности, так как из всех 10 показателей только 5 могут соответствовать высокому уровню, а это составляет лишь 50%.
Чтобы получить средний уровень проектной защищенности, не менее 90% характеристик информационной системы должны соответствовать уровню «средний» и выше, а остальные низкому. В этом случае все проще - для 9 показателей есть вариант с крестиком в колонке «средний», а для одного оставшегося можно выбрать даже «высокий». То есть теоретически проектируемая ИС может обеспечивать средний уровень защищенности даже на 100%.
Однако если подробнее разобрать показатели, например, под № 2, 4, 5 и 7 из Таблицы 3 руководящего документа, то часто ли встречаются Заказчики, владеющие суперкомпьютерными системами, не взаимодействующими с иными информационными системами, не подключенными к сетям общего пользования и обрабатывающие информацию в однопользовательском режиме? Как правило, все коммерческие организации имеют выход в Интернет, связь с внешней системой, и персональные данные (ПДн) обрабатываются практически на всех автоматизированных рабочих местах.
Получаем, что ИС основной части коммерческих организаций практически не способны обеспечить и средний уровень защищенности. Методом исключения мы пришли к тому, что основная масса ИС компаний соответствует низкому уровню защищенности.
Теперь обратимся к Таблицам № 4 и 8 методического документа: в ИС, обеспечивающей низкий уровень защищенности, любая угроза безопасности информации будет иметь высокую возможность реализации, а вследствие этого все угрозы безопасности информации становятся актуальными для этой ИСПДн.
В итоге, не вычисляя ни потенциал нарушителя, ни степень возможного ущерба от реализации угрозы безопасности информации, можно принять решение об актуальности всех угроз безопасности информации, которые присущи среднестатистической ИС, что ведет к значительным и неоправданным затратам ресурсов Заказчика, и, следовательно, и к его нежеланию соответствовать законодательству. И будет ли смысл в пересмотре модели угроз через год с целью признания отдельных угроз безопасности информации неактуальными и являющимися такими, когда все средства защиты информации закуплены и задана такая высокая планка?
Вывод
В данной работе был проведен сравнительный анализ документа «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» и его проекта, готовящегося на замену и представленного на рассмотрение и внесение предложений.
В результате были выделены следующие положительные нововведения:
• определена структуры документа «Модель угроз безопасности информации» и приведены рекомендации к ее содержанию;
• внесены дополнительные итерации в процесс идентификации угроз, такие как очерчивание области применения процесса определения угроз безопасности информации, а также их мониторинг и переоценка,
• подробно описана модель нарушителя, что необходимо для создания полной картины об источниках угроз, возможных действиях нарушителя, способах и методах реализации угроз, а также последствиях от их реализации;
• установлена взаимосвязь с банком данных угроз ФСТЭК России.
Проведенный анализ позволил прийти к выводу об определённом недостатке в самом процессе определения угроз безопасности информации, а именно: для современных ИС показатель уровня проектной защищенности в любом случае получается низкий, что приводит к актуальности большей части угроз безопасности информации, присущих ИС, и сказывается на построении систем защиты. Такая ситуация затрудняет использование методического документа на практике в случае его утверждения в данной редакции.
По этой причине, учитывая все замечания к проекту Методики, можно сделать дополнитель-
Литература
1. Соколов М.Н., Смолянинова К.А., Якушева Н.А. Проблемы безопасности интернет вещей: обзор // Вопросы кибербезопасности. 2015. № 5 (13). С. 32-35.
2. Атагимова Э.И., Рамазанова И.М. Некоторые аспекты законодательного уровня обеспечения информационной безопасности в российской федерации // Правовая информатика. 2014. № 2. С. 14-19.
3. Плигин В.Н., Макаренко Г.И. Страна нуждается в обновлении общественных договоров в современном российском обществе // Мониторинг правоприменения. 2015. № 1 (14). С. 4-11.
4. Дорофеев А.В., Марков А.С. Структурированный мониторинг открытых персональных данных в сети интернет // Мониторинг правоприменения. 2016. № 1 (18). С. 41-53.
5. Крутикова Д.И. Сравнительно-правовой анализ понятий «банковская тайна» и «персональные данные» в рамках вопроса охраны информации о клиентах банка // Правовая информатика. 2013. № 3. С. 63-66.
6. Маркин М.Н. Защита персональных данных в контексте обеспечения информационной безопасности человека // Правовая информатика. 2012. № 1. С. 41-43.
7. Марков А.С., Никулин М.Ю., Цирлов В.Л. Сертификация средств защиты персональных данных: революция или эволюция // Защита информации. Инсайд. 2008. № 5 (23). С. 20-25.
8. Найханова И.В. Основные этапы методики аудита системы менеджмента безопасности персональных данных // Вопросы кибербезопасности. 2014. № 4 (7). С. 55-59.
9. Марков А.С., Цирлов В.Л., Барабанов А.В. Методы оценки несоответствия средств защиты информации / Под. ред. А.С.Маркова. М. : Радио и связь, 2012. 192 с.
10. Барабанов А.В., Федичев А.В. Разработка типовой методики анализа уязвимостей в веб-приложениях при проведении сертификационных испытаний по
ный вывод о необходимости дальнейшего совершенствования текущей версии документа.
требованиям безопасности информации // Вопросы кибербезопасности. 2016. № 2 (15). С. 2-8.
11. Барабанов В., Марков А.С., Цирлов В.Л. Методический аппарат оценки соответствия автоматизированных систем требованиям безопасности информации // Спецтехника и связь. 2011. № 3. С. 48-52.
12. Борхаленко В.А. Верификация требований стандарта PCI DSS 3.1 на соответствие требованиям законодательства РФ // Вопросы кибербезопасности. 2015. № 5 (13). С. 11-15.
13. Газизов Т.Т., Мытник А.А., Бутаков А.Н. Типовая модель угроз безопасности персональных данных для информационных систем автоматизации учебного процесса // Доклады Томского государственного университета систем управления и радиоэлектроники. 2014. № 2 (32). С. 47-50.
14. Гончаров И.В., Гончаров Н.И., Кирсанов Ю.Г., Пари-нов П.А., Райков О.В. Порядок проведения анализа состояния информационной системы персональных данных различного применения в рамках выполнения требований по защите информации // ИТ-Стандарт. 2015. Т. 1. № 4-1 (5). С. 37-41.
15. Макеев С.А. Проблемные вопросы аттестации информационных систем на соответствие требованиям безопасности информации // Защита информации. Инсайд. 2015. № 4 (64). С. 14-18.
16. Петренко С.А., Фабричнов Л.С., Обухов А.В. Методы организации защиты персональных данных в информационных системах // Защита информации. Инсайд. 2009. № 4 (28). С. 64-70.
17. Цыбулин А.М., Топилин Я.Н. Определение угроз безопасности при их обработке в ИСПДн // Защита информации. Инсайд. 2016. № 2 (68). С. 76-79.
18. Шабуров А.С., Юшкова С.А., Бодерко А.В. Моделирование оценки угроз безопасности информационных систем персональных данных // Вестник Пермского национального исследовательского политехнического университета. Электротехника, информационные технологии, системы управления. 2013. Т. 1. № 7. С. 149-159.
