Практика

Уровень 4 - Пересчитать драконов

В сюжетах легенд, кому как не рыцарю выпадало сражаться с драконом, а в вопросах защиты персональных данным, мы оказываемся на самом сложнопроходимом уровне – уровне разработки модели угроз. Нам придется смоделировать все основные угрозы, которые могут быть актуальными для нашей ИСПДн, это как пересчитать всех драконов, которые потенциально могут участвовать в нападении на нашу цифровую крепость.

Модель угроз должна стать отправной точкой для проектирования нашей будущей системы защиты ПДн.

Как в средние века, когда об опасностях люди узнавали из легенд и манускриптов, так и нам при составлении модели оператором рекомендуется ориентироваться на нормативно-методические документы ФСТЭК России: "Базовая модель.." и "Методика..", а также ФСБ – если используются средства криптографической защиты информации.

Для непосвященного человека знакомство с упомянутыми документами может вызвать широкую гамму эмоций: от ступора, до качественного и продолжительного сна. Вероятно, это объясняется их некоторой оторванностью от реальностей сегодняшнего дня. Например, в них упоминаются вирусы для DOS и сетевые атаки, распространенные в середине 90-х, не обошлось и без одной из главной проблем безопасности из времен СССР – побочных электромагнитных излучений и наводок (ПЭМИН).

Более актуальных документов нам никто пока не предложил. Поэтому многие защитники персональных данных руководствуются здравым смыслом и своим пониманием того, как может быть сформирована модель угроз. Чуть проще тем, у кого уже есть методические рекомендации, например, банкирам, специалистам медицинских учреждений и операторам связи.

У каждого свой путь

Возможно, что свою частную модель угроз есть смысл делать максимально типовой и разумно объемной. Воспринимать её не как тест на эрудированность, а скорее как обходной лист, который выдается выпускникам, чтобы проставить в нем галочки и получить диплом. Избыточная детализация частной модели может привести к избыточной финансовой нагрузке на организацию в части закупки средств защиты и выполнения мероприятий. Справедливо отметить, что обратный подход, при котором модель угроз получится в жанре ультра-минимализма может привести к тому, что спроектированная в дальнейшем система защиты станет недостаточно функциональной.

Этапы разработки частной модели угроз

Впрочем, метод "золотой середины" никто не отменял, попробуем и мы подойти взвешенно к созданию этого документа. Берем уже знакомую нам демонстрационную "Нашу компанию" и создаем документ с названием "Модель угроз для ИСПДН "Наша компания: сотрудники и контрагенты". Даем основные ТТХ нашей ИСПДн, которая состоит из 2 серверов, на которых ведется обработка персональных данных, и 20 клиентских мест операторов, работающих в многопользовательском режиме и имеющих доступ к Интернет. Мы должны для себя достаточно точно представлять схему расположения оборудования, обрабатывающего ПДн, и каналы взаимодействия между собой.

На второй странице документа, при необходимости можно ввести перечень сокращений, терминов или определений, на случай если будем использовать много аббревиатур или какие-то узкоспециализированные понятия. Но в большинстве случае можно сразу переходить к описанию возможных нарушителей и угроз безопасности, чтобы определить какие угрозы присутствуют в нашей системе и какие методы можно применить для снижения вероятности их удачного выполнения.

Именно в этом блоке мы перечисляем вероятных нарушителей информационной безопасности, которых можно поделить на внешних и внутренних. Первые, например, конкуренты и злоумышленники, вторые – сотрудники с легальным доступом к ИСПДн и без легального доступа, но с потенциальной возможностью получать такой доступ, например, через протоколы межсетевого взаимодействия. Такой список может быть практически бесконечным, но это в последующем непременно скажется на проекте системы защиты и повышенных требованиях к бюджету на её внедрение. Каким именно принципом руководствоваться, пусть лучше каждый решает сам.

Чистая математика

В сценарии нон-параноидального минимализма мы сразу переходим к оценке вероятности реализации типовых угроз, список угроз берем из «Базовой модели.». Согласно "Методике определения актуальных угроз", коэффициент вероятности реализации (Y2) определяется по 4 вербальным градациям: от маловероятно (Y2=0), до высокая вероятность (Y2=10).

Сразу хотелось бы отметить трудный момент: конечно, хочется все сделать быстрее, но было бы не совсем правильно сводить описание угроз к классификации по "Базовой модели..". И если присутствует объективная вероятность возникновения специфичных угроз, например, регулярная курьерская пересылка носителей с персональными данными, с возможностью их утраты посыльным или курьером. То лучше эти моменты отразить, выработать меры минимизации рисков и в последующем назначить ответственных. В общем, при прохождении этого уровня полностью «отключать» активность головного мозга было бы не совсем правильно.

Затем, в соответствии с текстом "Методики определения актуальных угроз", формируем список характеристик нашей ИСПДн и проставляем оценку уровня защищенности. В большинстве случаев, если у нас распределенная система обработки персональных данных и есть доступ кинтернет, то наша степень защищенности – средняя.

Далее составляем список всех вышеперечисленных вероятных угроз и «включив» математический аппарат по 4 градациям в табличной форме определяем вероятность наступления той или иной угрозы со стороны того или иного нарушителя. По результатам оценки уровня исходной защищенности (Y1) и вероятности реализации угрозы (Y2), рассчитывается коэффициент реализуемости угрозы (Y), по формуле Y=(Y1+Y2)/20.

Убедившись в большинстве случаев, что возможность реализации угрозы – «средняя», приступим к оценке результатов анализа опасности угроз, сопоставляя их с функционалом имеющихся средств защиты, чтобы в сухом остатке получить перечень актуальных угроз безопасности персональных данных для нашей ИСПДн.

Например:

  • угроза утечки информации с использованием съемных накопителей;
  • угроза утечки данных при печати информации на множительной технике;
  • угроза подбора паролей доступа и так далее

В заключении сделаем выводы относительно мероприятий по эффективному противодействию всем выявленным актуальным угрозам и доработке уже существующей системы защиты, если она, конечно, уже есть.

Главный смысл этого этапа был в том, чтобы определить те конкретные угрозы, возникновение которых на нашем горизонте является актуальным и вероятным, и как следствие, чтобы арсенал защиты был "заточен" именно под них, а не под всю совокупность угроз возможных безопасности. Шаблон прилагается. Справедливости ради стоит отметить, что в одной из рассматриваемых поправок в ФЗ-152, для негосударственных операторов может появиться возможность отказаться от разработки собственной модели угроз и примкнуть к одному из существующих отраслевых стандартов, правда вероятность принятия такой поправки крайне сомнительна.

Хотя в любом случае новые правила игры для тех, кто уже реализовал защиту ИСПДн будут более выгодные, чем для тех кто этого не сделал.

А нас ждет пятый, почти чисто айтишный уровень, на котором мы займемся разработкой стратегии и тактики защиты персональных данных.

На новый уровень! >>