Для этого надо вспомнить предысторию вопроса. Как сейчас помню, в июле 2011-го года мы собрались в АДЭ, в рабочей группе созданной 8-м Центром и посвященной разработке 1119-го Постановления Правительства. Правда, тогда это было 2 постановления. И вот обсуждали мы как раз 19-ю статью, во исполнение которой постановление об определении уровней защищенности и создавалось. И закономерно всплыл вопрос — как учесть угрозы для отдельных видов деятельности, о которых говорит ФЗ-152 и от которых должен был зависеть уровень защищенности? Участниками рабочей группы было предложено два варианта реализации — простой и не очень. “Не очень” заключался в том, что 8-й Центр выпустит под эгидой Правительства или самостоятельно набор типовых моделей угроз, которые будут применяться для разных отраслей. Для операторов связи эту тему захотела сразу подмять под себя АДЭ, что и произошло спустя 3 года, в конце 2014-го (правда, судьба этой инициативы покрыта мраком). Но представитель 8-го Центра тогда выступил против, заявив, что они не готовы для каждого вида деятельности писать свою модель угроз.
Второе предложение заключалось в том, чтобы разработать методику моделирования угроз, который бы уже пользовались отраслевые регуляторы и госорганы. Очевидно было, что без руководства, такие модели никто писать не будет — никто не захочет брать на себя ответственность за всю отрасль или целый госорган. Напишешь мало актуальных угроз — еще и накажут. Напишешь много — в бюджете денег на нейтралиацию не найдешь. В итоге за прошедшее с момента принятия летом 2011-го года последней серьзной редакции ФЗ-152 время, отраслевых моделей так и не появилось. Но идею с методикой 8-й Центр тоже проигнорировал, хотя эксперты предлагали свою помощь и в этом вопросе. Хотя, может быть я и не прав. Вспоминая, что 378-й приказ 8-й Центр тоже «рождал» около 3-х лет, то вполне возможно, что работа над методикой тоже была начата в июле 2012-го года и спустя 3 года мы увидели результат этой работы. Но это неподтвержденная версия.
После моей заметки летом 2013-го года о том, почему бы 8-му Центру не написать все-таки такой руководящий документ, на одном из мероприятий я услышал от первого заместителя директора 8-го Центра Кузьмина Алексея Сергеевича тезис о том, что я нифига не понимаю в действующем законодательстве и ФСБ не обязана писать никаких руководств по моделированию угроз. Правда, выпущенный сейчас методический документ опровергает этот тезис. А может просто ФСБ достали операторы ПДн вопросами о том, как моделировать угрозы…
Но финал закономерен — методичка появилась. Но повторюсь, что это не совсем методика моделирования угроз. Следуя преамбуле документа, он предназначен для тех, кто упомянут в части 5 19-й статьи 152-го закона, т.е. для
- Федеральных органов исполнительной власти, осуществляющих функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности,
- Органов государственной власти субъектов Российской Федерации,
- Органов государственных внебюджетных фондов,
- Иных государственных органов в пределах своих полномочий.
- Документ описывает только те моменты, которые находятся в сфере компетенции ФСБ, т.е. применение средств криптографической защиты (СКЗИ) и атаки на них и их окружение. Ни на что другое методика не претендует.
- Методика в целом сочетается (как минимум, не противоречит) с проектом методики моделирования угроз ФСТЭК. Структуры итоговых документов (моделей угроз) по версии ФСТЭК и ФСБ схожи.
- Вопрос применения СКЗИ для защиты ПДн ничем не отличается от аналогичных подходов 2008-го года и от 378-го приказа. Если есть угрозы, которые могут быть нейтрализованы только СКЗИ, надо применять СКЗИ. Однако есть и определенные терминологические оговорки и послабления, которые также в последнее время представители 8-го Центра использовали в своих непубличных выступлениях. В частности перед выпуском 378-го приказа 8-й Центр заявлял в Совете Федерации о творческом подходе к формировании модели нарушителя и необязательности применения СКЗИ даже при передаче ПДн через Интернет. Вспомните один из предложенных Правительством вариантов ухода от применения сертифицированной криптографии.
- Пассаж о том, что СКЗИ обязательны в случае передачи ПДн по каналам связи, незащищенным от перехвата нарушителем передаваемой по ним информации, я бы не рассматривал в контексте, что в Интернет можно использовать только СКЗИ. Это не так. Например, MPLS защищает от перехвата ПДн, если не рассматривать оператора связи в качестве нарушителя. И архивирование защищает. И обезличивание тоже. Да и другие варианты тоже есть.
- Правда, 8-й Центр считает, что делать выводы о том, что MPLS, архивирование или иные механизмы защищают от несанкционированного доступа, может только некая уполномоченная на такие выводы организация. Но ни слова о том, кто ее может на это уполномочивать не сказано. Думаю, что эта фраза сделана в расчете на то, что она отпугнет тех, кто будет уходить от применения сертифицированных СКЗИ 🙂 Особенно учитывая статус рассматриваемой методички.
- Что касается сертификации СКЗИ, то в документе опять есть терминологическая тонкость, так похожая на фразы из 21-го приказа ФСТЭК. Постулируется, что СКЗИ должны быть… нет, не сертифицированными, а прошедшими оценку соответствия. А список сертифицированных СКЗИ можно найти на сайте ЦЛСЗ ФСБ. В 21-м приказе была заложена та же конструкция — СЗИ должны пройти оценку соответствия, а если будут применяться сертифицированные СЗИ (а обязательная сертификация — это одна из форм оценки соответствия, но не единственная), то они должны соответствия требованиям ФСТЭК. В рассматриваемом документе 8-го Центра, осознанно или нет, зафиксирована та же мысль. А вот если выбираются СКЗИ сертифицированные, то они должны уже соответствовать требованиям 378-го приказа.
- Зачем-то 8-й Центр ушел в документе от понятия «нарушителя», ранее активно используемого; как и от «модели нарушителя», заменив их «источниками атак» и «возможностями источников атак».
- Достаточно гибко 8-й Центр подошел к вопросу признания угроз неактуальными, дав возможность такого решения тем, кто будет писать свои отраслевые модели угроз. При этом в модели должно быть описано, почему та или иная угроза считается неактуальной и что позволяет ее нейтрализовать (в данном контексте нейтрализация угрозы и позволяет считать ее неактуальной).
- Согласование с ФСБ частных моделей угроз операторов ПДн не требуется.
Алексей, к вопросу о том, кто может дать заключение о достаточной безопасности MPLS сетей…
Как-то давно мне на руки попадался сертификат ФСТЭК на IP MPLS сеть Ростелекома. Подробности не помню, но там вроде была сертификация по ОУД.
К слову? до сих пор в описании услуги на сайт Челябинского Ростелекома, есть такие строчки
"IP/MPLS-сеть Ростелеком имеет сертификат соответствия сети пакетной коммутации требованиям информационной безопасности ФСТЭК России, что является гарантией высокой защищенности предоставляемых на ее основе услуг."
Что думаете о применимости MPLS для защиты ПДн в этом контексте ? И не вкурсе ли, как согласуется требования ОУД с требованиями 21 приказа ?
Я вполне допускаю применение MPLS 😉