Разработка частной модели угроз по данным аудита информационной безопасности

Необходимость разработки частной модели угроз безопасности информационных систем персональных данных (ИСПД) определяется действующими руководящими документами по защите персональных данных (ПД), к числу которых относятся:

• "Положение об обеспечении безопасности ПД при их обработке в ИСПД" [1];
• "Базовая модель угроз безопасности ПД при их обработке в ИСПД [2].

В "Положении" (п. 12) указано, что мероприятия по обеспечению безопасности ПД при их обработке в ИСПД включают в себя определение угроз безопасности ПД при их обработке, формирование на их основе частной модели угроз.

В "Базовой модели" (п. 2) разъясняется, что частная модель угроз для ИСПД разрабатывается на основе базовой модели угроз и служит для конкретизации действующих угроз.

Рекомендации по разработке частной модели угроз

Рекомендации по разработке частной модели угроз содержатся в "Методике определения актуальных угроз безопасности ПД при их обработке в ИСПД" [3]. Согласно этому документу, разработка частной модели угроз предполагает:

1. Определение исходных данных для построения частной модели угроз.
2. Выявление угроз ПД.
3. Составление перечня источников угроз.
4. Формирование перечня актуальных угроз.

Актуальность угрозы безопасности ПД определяется на основе   возможности   реализации угрозы и показателя опасности угрозы. При этом для каждой угрозы вычисляется возможность реализации угрозы (Y):

Y = (Y₁ + Y₂)/20,

где
Y₁ – числовой коэффициент, определяющий исходную степень защищенности;
Y₂ – числовой коэффициент, определяющий вероятность возникновения угрозы;
20 – нормирующий коэффициент.

Коэффициент Y1 определяется, исходя из набора технических и эксплуатационных характеристик, общих для всех ИСПД. Коэффициент Y2 определяется на основе экспертной (субъективной) оценки вероятности возникновения угрозы.

Во многих случаях частная модель угроз разрабатывается после проведения аудита информационной безопасности. В этом случае имеется дополнительная информация, полученная в ходе аудита, которая может быть использована для уточнения частной модели угроз. Методика учета этой информации рассмотрена ниже.

Учет данных аудита информационной безопасности при разработке частной модели угроз

После проведения аудита информационной безопасности обычно имеется следующая информация:

1. Информация о внедренных на предприятии организационно-технических мероприятиях, которые повышают реальную степень защищенности ИСПД.
2. Информация о качестве администрирования параметров безопасности ИСПД.

Указанную информацию можно использовать для уточнения числовых коэффициентов Y₁ и Y₂. Для этого введем следующие величины:

• поправка оценки исходной степени защищенности, полученная на основе данных аудита информационной безопасности с учетом принятых организационно-технических мер защиты ИСПД;
• поправка экспертной оценки вероятности реализации угрозы с учетом данных аудита информационной безопасности о качестве администрирования интерфейсов, содержащих параметры безопасности ИСПД.

Формула для расчета возможности реализации угрозы с учетом введенных поправок примет вид:

Очевидно, что поправки ΔY₁ и ΔY₂ должны быть соответствующим образом нормированы, то есть приведены к шкалам параметров Y₁ и Y₂.

Пример разработки частной модели угроз

Рассмотрим пример, позволяющий проиллюстрировать применение рассмотренной выше методики. Допустим, что разрабатывается частная модель угроз для ИСПД класса К1 в локальной сети без выхода в Интернет. Предположим, что в ходе аудита информационной безопасности установлено, что для повышения защищенности ИСПД внедрена подсистема защиты от НСД Dallas Lock 7.7 и документирована половина настроек параметров безопасности ИСПД.

Требования по защите ПД к ИСПД по НСД и межсетевому экранированию определяются положением "О методах и способах защиты информации в ИСПДн" [4]. Для ИСПД 1-го класса при многопользовательском режиме обработки и разных правах доступа пользователей эти требования приведены в таблице и списке "Требования к межсетевому экранированию".

Список. Требования к межсетевому экранированию

1. Фильтрация на сетевом уровне для каждого сетевого пакета.
2. Фильтрация пакетов служебных протоколов.
3. Фильтрация с учетом входного и выходного сетевого интерфейса как средства проверки подлинности сетевых адресов.
4. Фильтрация с учетом любых значимых полей сетевых пакетов.
5. Фильтрация на транспортном уровне запросов на установление виртуальных соединений.
6. Фильтрация на прикладном уровне запросов к прикладным сервисам.
7. Фильтрация с учетом даты и времени.
8. Аутентификация входящих и исходящих запросов методами, устойчивыми к прослушиванию сети.
9. Регистрация и учет фильтруемых пакетов.
10. Регистрация и учет запросов на установление виртуальных соединений.
11. Локальная сигнализация попыток нарушения правил фильтрации.
12. Идентификация и аутентификация администратора межсетевого экрана при его локальных запросах на доступ по идентификатору и паролю условно-постоянного действия.
13. Предотвращение доступа не идентифицированного пользователя.
14. Идентификация и аутентификация администратора межсетевого экрана при его удаленных запросах.
15. Регистрация входа администратора межсетевого экрана в систему, либо загрузки и инициализации системы.
16. Регистрация запуска программ и процессов.
17. Регистрация действия администратора межсетевого экрана по изменению правил фильтрации.
18. Возможность дистанционного управления своими компонентами.
19. Контроль целостности своей программной и информационной части.
20. Контроль целостности программной и информационной части межсетевого экрана по контрольным суммам.
21. Восстановление свойств межсетевого экрана после сбоев и отказов оборудования.
22. Регламентное тестирование реализации правил фильтрации, процессов регистрации и идентификации.

Из данных, приведенных в таблице и списке видно, что к ИСПДн рассматриваемого класса предъявляется 13 требований по защите от НСД и 22 требования по межсетевому экранированию.

Предположим, что в ходе аудита выяснилось, что выполняются следующие требования к организационным мероприятиям по защите ПД:

• учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета;
• наличие надежных препятствий для несанкционированного проникновения в помещения и хранилище носителей информации.

Поскольку СЗИ от НСД Dallas Lock 7.7 перекрывает все рассмотренные выше требования защиты от НСД, общее количество выполненных требований к организационно-техническим мероприятиям будет равно 15, а общее количество требований по защите ИСПД (с учетом организационных мероприятий) – 37.

Таким образом, получаем, что ΔY₁ = 15/37 = 0,41, то есть внедрение СЗИ от НСД Dallas Lock 7.7 позволяет повысить показатель реальной защищенности ИСПД примерно на 40%.

Учитывая степень документирования параметров безопасности ИСПД, получим, что ΔY₂ = 0,5 (50%). С учетом этого поправка к возможности реализации угроз ΔY = (ΔY₁ +ΔY₂)/ 2 = 0,46 (46%). Эта поправка позволяет более точно оценить реальную возможность реализации угроз.

Можно пойти еще дальше и учесть следующие дополнительные возможности СЗИ от НСД DallasLock 7.7:

• идентификация флеш-дисков по серийному номеру;
• использование внешних криптопровайдеров;
• блокировка файлов по расширениям;
• использование контейнеров для передачи зашифрованной информации;
• централизованное (трехуровневое) управление политиками защиты.

Используя приведенную выше методику, можно показать, что возможность реализации угроз уменьшается примерно на 50% от первоначальных оценок. Таким образом, использование только одного СЗИ от НСД Dallas Lock 7.7 снижает возможность реализации угроз для ИСПД 1-го класса в локальной сети примерно в 2 раза.