Критерии выбора средств защиты информации для информационных систем
Одним из важнейших этапов проектирования СиЗИ является выбор мер защиты информации в ИС.
Согласно требованиям нормативных документов ФСТЭК России проектирование системы защиты информации (СиЗИ) для информационных систем (ИС) типа:
- государственные информационные системы (ГИС);
- информационные системы персональных данных (ИСПДн);
- автоматизированные системы управления производственными и технологическими процессами (АСУ ТП);
- информационные системы общего пользования (СОП),
осуществляется (с небольшими различиями) в следующем порядке:
- определяются типы субъектов доступа (пользователи, процессы и иные субъекты доступа) и объектов доступа, являющихся объектами защиты (устройства, объекты файловой системы, запускаемые и исполняемые модули, объекты системы управления базами данных, объекты, создаваемые прикладным программным обеспечением, иные объекты доступа);
- определяются методы управления доступом (дискреционный, мандатный, ролевой или иные методы), типы доступа (чтение, запись, выполнение или иные типы доступа) и правила разграничения доступа субъектов доступа к объектам доступа (на основе списков, меток безопасности, ролей и иных правил), подлежащие реализации в ИС;
- выбираются меры защиты информации, подлежащие реализации в системе защиты информации ИС;
- определяются виды и типы средств защиты информации (СрЗИ), обеспечивающие реализацию технических мер защиты информации;
- определяется структура системы защиты информации ИС, включая состав (количество) и места размещения ее элементов;
- осуществляется выбор СрЗИ, сертифицированных на соответствие требованиям по безопасности информации, с учетом их стоимости, совместимости с информационными технологиями и техническими средствами, функций безопасности этих средств и особенностей их реализации, а также класса защищенности ИС;
- определяются параметры настройки программного обеспечения, включая программное обеспечение СрЗИ, обеспечивающие реализацию мер защиты информации, а также устранение возможных уязвимостей ИС, приводящих к возникновению угроз безопасности информации;
- определяются меры защиты информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также при применении вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.
Выбор мер защиты информации в ИС включает:
- определение класса защищенности ИС;
- определение базового набора мер защиты информации для установленного класса защищенности ИС;
- адаптацию базового набора мер защиты информации применительно к структурно-функциональным характеристикам ИС, информационным технологиям, особенностям функционирования ИС;
- уточнение адаптированного базового набора мер защиты информации с учетом не выбранных ранее мер защиты информации для блокирования (нейтрализации) всех угроз безопасности информации, включенных в Модель угроз безопасности информации;
- дополнение уточненного адаптированного базового набора мер защиты информации мерами, обеспечивающими выполнение требований о защите информации, установленными иными нормативными правовыми актами в области защиты информации.
Меры защиты информации выбираются и реализуются в ИС в рамках ее системы защиты информации с учетом угроз безопасности информации применительно ко всем объектам и субъектам доступа на аппаратном, системном, прикладном и сетевом уровнях, в том числе в среде виртуализации и облачных вычислений (если она применяется).
На основе выбранных уточненных адаптированных базовых наборов мер защиты информации (с дополнениями при необходимости) формируется перечень требований по реализации мер защиты – проще требования к средствам защиты информации входящих в систему защиты информации ИС, которые отражаются в ТЗ (ЧТЗ) на СрЗИ.
На основе требований осуществляется выбор СрЗИ.
Не претендуя на полный перечень критериев специалистами ООО «Эйснет» рекомендуется использовать следующие критерии выбора конкретных СрЗИ и средств криптографической защиты информации (СКЗИ) по приоритету для системы защиты информации ИС:
- сфера применения СрЗИ (СКЗИ) в ИС;
- наличие действующих сертификатов соответствия СрЗИ (СКЗИ) требованиям ФСТЭК России, ФСБ России, Госстандарта, МО РФ и др. ведомств по определенным уровням и классам защищенности и особенности схем сертификации (серия, отдельные экземпляры/партия);
- история версий и продления сертификатов, проведения инспекционного контроля производителем;
- совместимость СрЗИ (СКЗИ) в ИС со смежными системами (информационными технологиями) возможность работы программных СрЗИ (СКЗИ) на технических средствах и общесистемном программном обеспечении ИС. Здесь очень важно отметить необходимость предварительного проведения проверок совместимости СрЗИ (до принятия решения о их закупке) с информационными технологиями и особенно с новым разрабатываемым прикладным обеспечением для ИС. Обычно такие проверки делают на отдельном макете (стенде или сегменте имитирующем разрабатываемую ИС);
- соответствие СрЗИ (СКЗИ) требованиям определенных мерами защиты для ИС (выполняемым функциям) для выбранного класса защищенности ИС;
- рекомендации по применению СрЗИ (средств контроля защищенности и целостности информации) ФСТЭК России для аттестации объектов информатизации по требованиям безопасности информации, для испытательных и сертификационных лабораторий и организаций разработчиков СрЗИ;
- простота внедрения (развертывания) СрЗИ (СКЗИ) для различных конфигураций ИС;
- наличие у оператора опыта работы с выбираемыми СрЗИ (СКЗИ) конкретных производителей;
- известность производителей СрЗИ (СКЗИ) и государственная направленность деятельности производителей;
- наличие выявляемых качественных преимуществ между однотипными СрЗИ (СКЗИ);
- наличие выявляемых ценовых преимуществ между однотипными СрЗИ (СКЗИ);
- наличие сервисных центров и технической поддержки в РФ для СрЗИ (СКЗИ);
- соответствие требованиям к установке программных СрЗИ (СКЗИ) к требованиям аппаратной и программной платформы ИС;
- простота управления СрЗИ (СКЗИ);
- проекты, какого масштаба реализованы с использованием анализируемого СрЗИ (СКЗИ), внедрение в ИС ведомств, количество внедрений;
- сроки присутствия СрЗИ (СКЗИ) на рынке и объектах заказчиков;
- надежность СрЗИ (СКЗИ) и их доступность на рынке РФ;
- минимальные сроки поставки СрЗИ (СКЗИ) производителями;
- полнота гарантийных обязательств на СрЗИ (СКЗИ);
- наличие опыта эксплуатации СрЗИ (СКЗИ) специалистами заказчика;
- наличие дистрибутива и документации СрЗИ (СКЗИ) в свободном доступе (демо или пробные версии) на сайте производителя;
- наличие положительных отзывов на функционирование СрЗИ.
Кроме выше перечисленных критериев, ниже приведены дополнительные критерии выбора для СКЗИ:
- по сферам применения и для решения, каких задач: доверенного хранения; защиты каналов связи; реализации защищенного документооборота, создания удостоверяющего центра и заверения документа – электронная подпись;
- реализованные криптографические алгоритмы;
- поддерживаемые ОС (показатель, важный для программно-реализованной криптобиблиотеки);
- поддерживаемые типы ключевых носителей для СКЗИ;
- интегрированность с продуктами и решениями компании Microsoft, а также с продуктами и решениями других производителей;
- для удостоверяющего центра (ЭП) возможность его кросс сертификации с иными УЦ (ЭП).
При выборе СрЗИ необходимо знать их классы, для классов (уровней) защищенности ИС.
Для удобства выбора СрЗИ в существует таблица с классами сертифицированных по требованиям безопасности информации средств защиты информации.
Для определения класса защищенности ИС (ГИС), согласно Приказа ФСТЭК России от 11.02.2013г. № 17, ниже приведены справочные выдержки из данного приказа.
Класс защищенности ИС (ГИС)
Уровень значимости информации | Масштаб информационной системы | ||
Федеральный | Региональный | Объектовый | |
УЗ1 | К1 | К1 | К1 |
УЗ2 | К1 | К2 | К2 |
УЗ3 | К2 | К3 | К3 |
УЗ4 | К3 | К3 | К4 |
Класс защищенности (К) = [уровень значимости информации; масштаб системы].
Степень возможного ущерба
Степень возможного ущерба | |
Высокая | В результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны существенные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) не могут выполнять возложенные на них функции. |
Средняя | В результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны умеренные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) не могут выполнять хотя бы одну из возложенных на них функций. |
Низкая | В результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны незначительные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) могут выполнять возложенные на них функции с недостаточной эффективностью или выполнение функций возможно только с привлечением дополнительных сил и средств |
УЗ = [(конфиденциальность, степень ущерба) (целостность, степень ущерба) (доступность, степень ущерба)].
Уровень значимости информации
Уровень значимости | |
Высокий уровень значимости (УЗ 1) | Если хотя бы для одного из свойств безопасности информации (конфиденциальности, целостности, доступности) определена высокая степень ущерба |
Средний уровень значимости (УЗ 2) | Если хотя бы для одного из свойств безопасности информации (конфиденциальности, целостности, доступности) определена средняя степень ущерба и нет ни одного свойства, для которого определена высокая степень ущерба. |
Минимальный уровень значимости (УЗ 4) | Если обладателем информации (заказчиком) и (или) оператором степень ущерба от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности) не может быть определена, но при этом информация подлежит защите в соответствии с законодательством Российской Федерации. |
Информационная система имеет федеральный масштаб, если она функционирует на территории Российской Федерации (в пределах федерального округа) и имеет сегменты в субъектах Российской Федерации, муниципальных образованиях и (или) организациях.
Информационная система имеет региональный масштаб, если она функционирует на территории субъекта Российской Федерации и имеет сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях.
Информационная система имеет объектовый масштаб, если она функционирует на объектах одного федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, муниципального образования и (или) организации и не имеет сегментов в территориальных органах, представительствах, филиалах, подведомственных и иных организациях.
Для разработки Модели угроз необходимо разработка модели нарушителя, учитывая категории внутренних потенциальных нарушителей по требованиям ФСТЭК России, возможности нарушителя в зависимости от категории для СКЗИ по требованиям ФСБ России и предположения о возможностях нарушителя при атаках на СКЗИ.
Категории внутренних потенциальных нарушителей
Категория нарушителей | Способ доступа | Полномочия доступа к ПДн |
Первая (Н1фстэк) | Лица, имеющие санкционированный доступ к ИСПДн, но не имеющие доступа к ПДн. К этому типу нарушителей относятся должностные лица, обеспечивающие нормальное функционирование ИСПДн. | Лицо этой категории, может:
|
Вторая (Н2фстэк) | Зарегистрированные пользователи ИСПДн, осуществляющие ограниченный доступ к ресурсам ИСПДн с рабочего места. | Лицо этой категории:
Его доступ, аутентификация и права по доступу к некоторому подмножеству ПДн должны регламентироваться соответствующими правилами разграничения доступа. |
Третья (Н3фстэк) | Зарегистрированные пользователи ИСПДн, осуществляющие удаленный доступ к ПДн по локальным и (или) распределенным информационным системам. | Лицо этой категории:
|
Четвертая (Н4фстэк) | Зарегистрированные пользователи ИСПДн с полномочиями администратора безопасности сегмента (фрагмента) ИСПДн. | Лицо этой категории:
|
Пятая (Н5фстэк) | Зарегистрированные пользователи с полномочиями системного администратора ИСПДн. | Лицо этой категории:
Системный администратор выполняет конфигурирование и управление программным обеспечением и оборудованием, включая оборудование, отвечающее за безопасность защищаемого объекта: средства криптографической защиты информации, мониторинга, регистрации, архивации, защиты от НСД. |
Шестая (Н6фстэк) | Зарегистрированные пользователи с полномочиями администратора безопасности ИСПДн. | Лицо этой категории:
Администратор безопасности отвечает за соблюдение правил разграничения доступа, за генерацию ключевых элементов, смену паролей. Администратор безопасности осуществляет аудит тех же средств защиты объекта, что и системный администратор. |
Седьмая (Н7фстэк) | Программисты-разработчики (поставщики) прикладного программного обеспечения и лица, обеспечивающие его сопровождение на защищаемом объекте. | Лицо этой категории:
|
Восьмая (Н8фстэк) | Разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств на ИСПДн. | Лицо этой категории:
|
Возможности нарушителя в зависимости от категории для СКЗИ
Возможности нарушителей | Типы нарушителей | |||||
Н1фсб | Н2фсб | Н3фсб | Н4фсб | Н5фсб | Н6фсб | |
Могут использовать штатные средства только в том случае, если они расположены за пределами контролируемой зоны ИС | + | + | + | + | + | + |
Располагают используемыми, за пределами контролируемой зоны ИС, только находящимися в свободном доступе (продаже) аппаратными и программными компонентами криптосредств и среды функционирования криптосредств (СФ) с документацией, а также специально разработанными ТС и ПО. | + | + | + | + | + | + |
Возможности по использованию штатных средств зависят от реализованных в ИС организационных мер. | + | + | + | + | + | |
Возможность доступа к средствам вычислительной техники, на которых расположены криптосредства) и СФ. | + | + | + | + | ||
Могут быть известны все сети связи, работающие на едином ключе. | + | + | + | + | ||
Для создания способов атак, подготовки и проведения атак могут привлекать специалистов, имеющих опыт разработки и анализа средств для проведения лабораторных исследований криптосредств, включая специалистов в области анализа сигналов, сопровождающих функционирование средства и СФ, используемых за пределами контролируемой зоны | + | + | + | |||
Располагают наряду с доступными в свободной продаже документацией на криптосредства и СФ исходными текстами прикладного программного обеспечения. | + | + | ||||
Могут ставить работы по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа криптосредств и СФ. | + | + | ||||
Располагают любыми аппаратными компонентами криптосредств и СФ. | + | |||||
Располагают всей документацией на криптосредства и программные компоненты СФ. | + |
Предположения о возможностях, которые могут использоваться нарушителем при создании способов, подготовки и проведения атак на СКЗИ
Предположения о возможностях, которые могут использоваться нарушителем при создании способов, подготовке и проведении атак на СКЗИ | Классы СКЗИ применяемые для нейтрализации атак | ||||
КС1 | КС2 | КС3 | КВ | КА | |
Создание способов, подготовка и проведение атак без привлечения специалистов в области разработки и анализа СКЗИ. | + | + | + | + | + |
Создание способов, подготовка и проведение атак на различных этапах жизненного цикла СКЗИ (разработка (модернизация), производство, хранение, транспортировка, ввод в эксплуатацию (пусконаладочные работы), эксплуатация. | + | + | + | + | + |
Проведение атаки, находясь вне контролируемой зоны ИС. | + | + | + | + | + |
Проведение на этапах разработки (модернизации), производства, хранения, транспортировки СКЗИ и этапе ввода в эксплуатацию СКЗИ (пусконаладочные работы) следующих атак:
|
+ | + | + | + | + |
Проведение атак на этапе эксплуатации СКЗИ на:
|
+ | + | + | + | + |
Получение из находящихся в свободном доступе источников (включая информационно-телекоммуникационные сети, доступ к которым не ограничен определенным кругом лиц, в том числе информационно-телекоммуникационную сеть «Интернет») информации об ИС, в которой используется СКЗИ. При этом может быть получена следующая информация:
|
+ | + | + | + | + |
Применение:
|
+ | + | + | + | + |
Использование на этапе эксплуатации в качестве среды переноса от субъекта к объекту (от объекта к субъекту) атаки действий, осуществляемых при подготовке и (или) проведении атаки:
|
+ | + | + | + | + |
Проведение на этапе эксплуатации атаки из информационно-телекоммуникационных сетей, доступ к которым не ограничен определенным кругом лиц, если ИС в которой используются СКЗИ, имеет выход в эти сети. | + | + | + | + | + |
Использование на этапе эксплуатации находящихся за пределами контролируемой зоны АС и ПО из состава средств ИС, применяемых на местах эксплуатации СКЗИ. | + | + | + | + | + |
Проведение атаки при нахождении в пределах контролируемой зоны. | + | + | + | + | |
Проведение атак на этапе эксплуатации СКЗИ на следующие объекты:
|
+ | + | + | + | |
Получение в рамках предоставленных полномочий, а также в результате наблюдений следующей информации:
|
+ | + | + | + | |
Использование штатных средств, ограниченное мерами, реализованными в ИС, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий. | + | + | + | + | |
Физический доступ к СВТ, на которых реализованы СКЗИ и СФ. | + | + | + | ||
Возможность располагать аппаратными компонентами СКЗИ и СФ, ограниченная мерами, реализованными в ИС, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий. | + | + | + | ||
Создание способов, подготовка и проведение атак с привлечением специалистов в области анализа сигналов, сопровождающих функционирование СКЗИ и СФ, и в области использования для реализации атак недокументированных (недекларированных) возможностей прикладного ПО. | + | + | |||
Проведение лабораторных исследований СКЗИ, используемых вне контролируемой зоны, ограниченное мерами, реализованными в ИС, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий. | + | + | |||
Проведение работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа СКЗИ и СФ, в том числе с использованием исходных текстов входящего в СФ прикладного ПО, непосредственно использующего вызовы программных функций СКЗИ. | + | + | |||
Создание способов, подготовка и проведение атак с привлечением специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей системного ПО. | + | ||||
Возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты СФ. | + | ||||
Возможность располагать всеми аппаратными компонентами СКЗИ и СФ. | + |
Полезные материалы: ИБ