Главная » Блоги Экспертов И ИТ-Компаний » Предложения по Проекту приказа ФСБ.

Предложения по Проекту приказа ФСБ.

В прошедшие выходные попытался исполнить свой гражданский долг и сформулировал предложения по Проекту приказа ФСБ.Думаю всем очевидно, что концепция документа уже не изменится и ничего существенного авторы менять не станут. Поэтому я сосредоточился на том, чтобы попытаься внести в Проект хотя бы некоторые маленькие оговорки, которые могли бы облегчить жизнь. Всего получилось не густо - 3 предложения.

Предложение №1

В пункт 9 раздела II внести следующее уточнение:«При разработке совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, необходимо учитывать, что привилегированные пользователи информационной системы (члены группы администраторов), которые назначаются из числа особо доверенных лиц и осуществляют техническое обслуживание криптосредств и СФ, как правило, исключаются из числа потенциальных нарушителей».Это уточнение необходимо для того, чтобы исключить из числа потенциальных нарушителей хотя бы администраторов СКЗИ. Администраторы СКЗИ вполне могут иметь опыт разработки и анализа СКЗИ (например, высшее образование в области ИБ, опыт работы в организации-лицензиате ФСБ России). Поэтому если мы будем рассматривать их как источник угрозы, то вполне определенно попадаем на СКЗИ КВ1 (см. пункт 13 проекта).

Предложение №2

 В пункт 9 раздела II внести следующее уточнение:«При разработке совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, необходимо учитывать, что система защиты не может обеспечивать защиту информации от действий, выполняемых в рамках предоставленных субъекту действий полномочий (например, криптосредство не может обеспечить защиту информации от раскрытия лицами, которым предоставлено право на доступ к этой информации)».Это уточнение необходимо для того, чтобы исключить из числа потенциальных нарушителей легальных пользователей ИСПДн. Пользователь ИСПДн естественно в рамках предоставленных ему полномочий имеет санкционированный доступ и к защищаемой информации и к СВТ. Допустим, на СВТ пользователя реализовано СКЗИ (например, установлен VPN-клиент). Если мы пользователя рассматриваем как потенциального нарушителя, то в соответствии с пунктом 12 требуется СКЗИ класса КС3.  Но есть ли в этом смысл? Если пользователь и так имеет легальный доступ к данным, то как СКЗИ КС3 может ему помешать совершить нарушение?Кстати, в моих предложениях нет ничего нового. Эти же формулировки уже были в Методических рекомендациях.

Предложение №3

Пункт 6 изложить в следующем виде:«Для выполнения требования, указанного в подпункте «а» пункта 5 настоящего документа, необходимо обеспечение режима, препятствующего возможности неконтролируемого проникновения или пребывания в Помещениях, где располагаются программно-аппаратные СКЗИ, лиц, не имеющих права доступа в Помещения, которое достигается путем:а) оснащения Помещений, в которых располагаются программно-аппаратные СКЗИ, входными дверьми с замками, обеспечения постоянного закрытия дверей Помещений на замок и их открытия только для санкционированного прохода, а также опечатывания Помещений по окончании рабочего дня;б) утверждения правил доступа в Помещения, в которых располагаются программно-аппаратные СКЗИ, сотрудников и посетителей в рабочее и нерабочее время;в) утверждения перечня сотрудников, имеющих право вскрывать Помещения в нештатных ситуациях, в которых располагаются программно-аппаратные СКЗИ, а также порядка вскрытия Помещений в таких ситуациях.Пункт 26 изложить в следующем виде:«Для выполнения требования, указанного в подпункте «а» пункта 5 настоящего документа, для обеспечения 1 уровня защищенности необходимо:а) оборудовать окна Помещений, в которых располагаются программно-аппаратные СКЗИ, расположенные на первых и (или) последних этажах зданий, а также окна Помещений, в которых располагаются программно-аппаратные СКЗИ, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в Помещения посторонних лиц, металлическими решетками или ставнями, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения;б) оборудовать окна и двери Помещений, в которых располагаются программно-аппаратные СКЗИ, металлическими решетками, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения.Если задуматься, то для чего в Проекте даны требования по защите всех помещений? Даже тех, где СКЗИ не было и нет в помине. Почему принимая решение об использовании СКЗИ даже на небольшом участке, Оператор должен выполнять перечисленные в документе требования по защите всех помещений?В итоге, чтобы не брать на себя выполнение предлагаемых требований по обеспечению безопасности помещений, Операторы могут начать избегать использования СКЗИ даже в тех случаях, когда это действительно необходимо. Результат будет обратный: уровень реальной защищенности снизится.Поэтому требования по защите более логично предъявлять только к тем помещениям, где находятся СКЗИ.Далее, в современных условиях компоненты системы (и СКЗИ) могут располагаться не только в контролируемых Оператором помещениях. Компоненты могут располагаться:- в помещениях, которые относятся к общественным местам;- на мобильных СВТ, которые часто меняют местоположение;- на открытом пространстве.Особенно это актуально для программных СКЗИ (опять таки, VPN-клиенты), которые устанавливаются на компьютеры практически где угодно. Невозможно применить требования по защите ко всем помещениям где они установлены.А в контролируемых Оператором серверных помещениях установлены, как правило, только программно-аппаратные комплексы. Поэтому и требования по защите лучше предъявлять только к тем помещениям, где располагаются программно-аппаратные СКЗИ.


Источник: http://crypto-anarchist.blogspot.com/2013/10/blog-post 21.html


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Казань
Специалист по информационной безопасности, руководитель проектов
Информационные технологии

Специалист по информационной безопасноти, руководитель проектов




Забыли пароль?
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>