среда, 10 июля 2013 г.

Общение с ФСБ

В процессе общения с представителями ФСБ в последнее время отслеживается 2 основных тезиса, на которые они особенно обращают внимание:
1) Обеспечение защиты от недекларируемых возможностей;
2) Обеспечение защиты от внутренних угроз, в том числе от пользователей СКЗИ.

В данной статье я изложу свое видение пока первого пункта. 
Итак, в контексте этого заявления в различных беседах мне приходилось слышать следующее со стороны ФСБ: 
а) обеспечивать противодействие этим угрозам применением ПО, сертифицированного на контроль отсутствия НДВ; 
б) проходить процедуру оценки влияния всего используемого на ПЭВМ с СКЗИ ПО (железо в расчет не берем).

Выполнить эти условия, мягко говоря, затруднительно, к тому же они весьма дорогостоящие и небыстрые с точки зрения реализации. Я приводил следующие контраргументы для их опровержения:

а) использование ПО, сертифицированного на контроль отсутствия НДВ, относится к сфере регулирования ФСТЭК, в их документах нет никаких дополнительных требований по обязательной сертификации ПО в случае его совместного применения с СКЗИ. На запрос наличия таких требований в каких-либо документах ФСБ никаких ответов я не получал;

б) согласно п.35 ПКЗ-2005 состав ПО, совместно функционирующий с СКЗИ и требующий  проведения оценки влияния, определяет разработчик СКЗИ и согласовывает с заказчиком (если он известен заранее, т.е. идет работа под заказ), специализированной организацией и ФСБ. Обычно заказчик заранее не известен и поэтому разработчик прописывает в свою документацию (например, формуляр) вместо этого понятие "встраивание" и условия, при которых в случае его осуществления требуется оценка влияния. В документации также прописываются интерфейсы, через которые происходит взаимодействие СКЗИ с внешним ПО (встраивание). Данная документация как составляющая часть СКЗИ естественно в процессе сертификации проходит согласование ФСБ, в том числе и эти пункты. Таким образом, оценку влияния для ПО следует проходить только в тех случаях когда:

- разработчик данного ПО декларирует в своей документации взаимодействие с СКЗИ через интерфейсы, прописанные в документации на СКЗИ (сложно себе представить, что он это будет делать через какие-то другие механизмы, кроме того, для организации такого взаимодействия потребуется квалификация нарушителя, соответствующая моделям H4-H6, что для нас не будет являться актуальным в связи с меньшей ценностью защищаемой информации относительно затрат нарушителя на такой взлом);
- и выполняются правовые условия необходимости прохождения оценки влияния (об этом подробно я писал здесь, см. формуляр на СКЗИ).

Итоговый вывод - ни сертификаты на контроль отсутствия НДВ всего ПО, которое работает совместно с СКЗИ на одном с ним ПЭВМ (или вообще в системе), ни прохождение оценки влияния его, по моему разумению не нужны. Представители ФСБ пока взяли паузу, жду реакции от читателей. Возможно я чего-то не учел.

P.S. В контексте защиты персональных данных актуальность угрозы НДВ, основываясь на ПП-1119, должна определяться оператором самостоятельно и ФСБ не должна навязывать их.

8 комментариев:

  1. Анонимный10 июля 2013 г., 06:17

    Михаил... каша... Все не совсем так...

    ОтветитьУдалить
  2. Анонимный10 июля 2013 г., 06:28

    В чем каша - в первую очередь не понятно о чем вообще речь... на какие вопросы ищется ответ...

    ну вот выписка из формуляра:
    1.5. При встраивании СКЗИ ЖТЯИ.00050-02 в прикладные системы необходимо
    проводить оценку влияния аппаратных, программно-аппаратных и программных средств
    сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное
    функционирование СКЗИ, на выполнение предъявленных к СКЗИ требований в следующих
    случаях:
    1) если информация, обрабатываемая СКЗИ, подлежит защите в соответствии с
    законодательством Российской Федерации;
    2) при организации защиты информации, обрабатываемой СКЗИ, в федеральных
    органах исполнительной власти, органах исполнительной власти субъектов Российской
    Федерации;
    3) при организации криптографической защиты информации, обрабатываемой
    СКЗИ, в организациях независимо от их организационно-правовой формы и формы
    собственности при выполнении ими заказов на поставку товаров, выполнение работ или
    оказание услуг для государственных нужд.
    Указанную оценку необходимо проводить по ТЗ, согласованному с 8 Центром ФСБ
    России.

    ОтветитьУдалить
  3. Жень, конкретизирую...
    Мне говорят - боритесь с угрозами НДВ
    Я спрашиваю - как предлагаете?
    Мне отвечают - проходите через оценку влияния ПО на СКЗИ.
    Я перевариваю и понимаю, что эта процедура вообще никак не подходит для решения этой проблемы.
    На перечисленные тобой условия, чтобы не расписывать, я ссылался под тезисом
    "- и выполняются правовые условия необходимости прохождения оценки влияния (об этом подробно я писал здесь, см. формуляр на СКЗИ).", но эти условия стоит рассматривать, только если производитель ПО сам задекларировал взаимодействие с СКЗИ. Только тогда можно рассматривать вопрос прохождения через оценку влияния. Я к тому, что проводить оценку влияния, например, Photoshop или Winamp на КриптоПро CSP, если они стоят на одной машине, нет никаких оснований, вне зависимости от вида защищаемой информации и статуса оператора.

    ОтветитьУдалить
  4. В рамках защиты ПДн выбор мер ОБ ПДн осуществляет оператор.
    Кроме того актуальность угроз НДВ определяется моделью угроз. Пока нет методики моделирования угроз которая ограничивала бы нас экспертным методом определить неактуальность угроз НДВ для данной ИСПДн

    ОтветитьУдалить
    Ответы
    1. Это понятно, но ФСБ таки упорно задают вопрос "почему вы не принимаете в расчет угрозы недокументированных возможностей" и для меня неясно, на основании требований каких документов они так упорно обращают на это внимание.

      Удалить
    2. Почему не принимаете? Принимаете и делаете экспертную оценку.

      Какая статистика по инцидентам ИБ связанным с НДВ в данной организации? 0 инцидентов
      Какая статистика по инцидентам ИБ связанным с НДВ в отрасли организации по информации СМИ? 0 инцидентов
      Какая статистика по инцидентам ИБ связанным с НДВ в России по информации СМИ? 1-2 инцидента
      Следовательно принимаем вероятность как низкую или "нулевую"

      Какая степень возможного ущерба от НДВ субъекту ПДн, данные которого обрабатываются в нашей ИСПДн? низкая или средняя

      Как соотносится возможная выгода потенциального нарушителя от получения ПДн с затратами на целенаправленное внесение НДВ в нашу ИСПДн? Затраты на внесение НДВ скорее будут больше.

      Кроме того в организации уже принимаются контрмеры (выбрать):
      - в ОРД пользователям запрещено самостоятельно устанавливать ПО
      - перечень установленного ПО контролируется администраторами ОС и ограничен.
      - используется лицензионное ПО с поддержкой от производителя и получением регулярных обновлений
      - пользователи работают в ОС с ограниченными правами
      - на АРМ установлен антивирус с возможностями определения нестандартной/опасной активности в системе. По сути он может определять некоторые НДВ
      - в организации на МЭ жестко ограничены разрешенные сетевые потоки, что существенно уменьшает возможности потенциального нарушителя по управлению НДВ

      Удалить
    3. Всё правильно, примерно так я и обосновывал неактуальность. Меня мотивы заявлений регулятора интересуют. Откуда такой повышенный интерес ФСБ именно к угрозам недокументированных возможностей. Похоже надо выписки из их секретной нормативки запрашивать.

      Удалить
    4. Так это они впихнули НДВ в ПП 1119.

      Двигатели: недавний инцидент с закладками в материнских платах для одного гос. и недавний инцидент - красный октябрь с трояном заточенным под дипломатические агенства

      Удалить