© ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ ОСОБЕННОСТИ НОВЫХ ПОДХОДОВ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ Анализ Постановления Правительства РФ лет в море информационных технологий Заместитель Генерального директора ОАО «ЭЛВИС-ПЛЮС» по развитию С. В. ВИХОРЕВ Креативное оформление С. Нейгер Москва, 2012 г.

© ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ При использовании этих материалов, пожалуйста, указывайте первоисточник. © Авторские права защищаются в соответствии с законодательством Российской Федерации

© ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ ВОПРОСЫ ПРЕЗЕНТАЦИИ Пролог Парадигма новых критериев защищенности НДВ как водораздел при определении требований Маленький подводный камень Сухой остаток

Там на неведанных дорожках, следы невиданных зверей… (А. С. Пушкин) © ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ

ПРОЛОГ Концепция первого варианта Требований была направлена на сохранение преемственности с действующими документами, в частности с «Приказом трех» и предполагала возможность использования уже того, что было наработано и прошло некоторую апробацию на практике. © ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ

ПРОЛОГ Это относится в том числе и к классификации ИСПДн (три основных признака): a)категория обрабатываемых ПДн, b)объем обрабатываемых ПДн, c)степень негативных последствий для субъекта ПДн. В официальной версии Постановления полностью изменилась парадигма критериев выбора уровня защищенности ПДн. © ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ

тип угроз содержание обрабатываемых ПДн объем обрабатываемых ПДн принадлежность ПДн к сотрудникам оператора Если раньше классифицировались ИСПДн и относительно этого определялись требования по защите, то в новой парадигме акцент сделан на выборе уровня защищенности самих ПДн. СМЕНА ПАРАДИГМЫ Критерии выбора уровня защищенности ПДн: © ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ

СООТВЕТСТВИЕ КРИТЕРИЯМ ФЗ-152 © ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ ФЗ 152ПП-1119 Вред субъекту ПДн Оценка отдана на откуп оператору при определении типа угроз Объем и содержание ПДн Учитывается и объем и содержание обрабатываемых ПДн Вид деятельности оператора ПДн С натяжкой: 2 вида: «оператор не оператор» + ведомственная МУ Актуальность угроз безопасности ПДн Учтено через ведомственную модель угроз и тип угроз

Практически все критерии закона в той или иной степени нашли свое отражение в Постановлении. И это отрадно. СООТВЕТСТВИЕ КРИТЕРИЯМ ФЗ-152 © ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ

ВАЖНО: Quod licet Jovi, non licet bovi Надо особо обратить внимание на то, что согласно п. 7 Постановления, оператор самостоятельно не определяет состав актуальных угроз. Оператор определяет только тип угроз на основании отраслевой модели. Актуальность угроз при выборе уровня защищенности ПДн учитывается через отраслевую модель нарушителя. © ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ

АКТУАЛЬНЫЕ УГРОЗЫ Какие угрозы АКТУАЛЬНЫ если обрабатываются ПДн не сотрудников оператора: © ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ Содержание ПДн1-й уровень2-й уровень3-й уровень4-й уровень мене субъектов Специальные ПДнУгрозы 1-го типаУгрозы 2-го типаУгрозы 3-го типа Биометрические ПДнУгрозы 1-го типаУгрозы 2-го типаУгрозы 3-го типа Общедоступные ПДн Угрозы 1-го типаУгрозы 2-го типаУгрозы 3-го типа Остальные ПДнУгрозы 1-го типа Угрозы 2-го типаУгрозы 3-го типа более субъектов Специальные ПДн Угрозы 1-го типа Угрозы 3-го типа Угрозы 2-го типа Биометрические ПДнУгрозы 1-го типаУгрозы 2-го типаУгрозы 3-го типа Общедоступные ПДн Угрозы 1-го типа Угрозы 3-го типа Угрозы 2-го типа Остальные ПДнУгрозы 1-го типаУгрозы 2-го типаУгрозы 3-го типа

АКТУАЛЬНЫЕ УГРОЗЫ Какие угрозы АКТУАЛЬНЫ если обрабатываются ПДн только сотрудников оператора: © ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ Содержание ПДн1-й уровень2-й уровень3-й уровень4-й уровень Специальные ПДнУгрозы 1-го типаУгрозы 2-го типаУгрозы 3-го типа Биометрические ПДнУгрозы 1-го типаУгрозы 2-го типаУгрозы 3-го типа Общедоступные ПДн Угрозы 1-го типаУгрозы 2-го типаУгрозы 3-го типа Остальные ПДнУгрозы 1-го типа Угрозы 2-го типаУгрозы 3-го типа Угрозы 1-го типа наиболее характерны для 1 уровня, а угрозы 2-го типа – в основном для 2 уровня.

Часто под НДВ понимают уязвимость ПО, но это не так. «Недекларированные возможности функциональные возможности ПО, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности информации» ГОСТ Р «Уязвимость брешь: свойство ИС, обуславливающая возможность реализации угроз безопасности обрабатываемой информации» ГОСТ Р © ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ ВАЖНО: что написано пером не вырубишь топором

Уязвимость это та «дыра» в ПО, которая позволяет «обмануть» приложение заставить его совершить действие, на которое у того не должно быть прав, но не функциональных возможностей! НДВ может служить уязвимостью, но не всякая уязвимость (даже в ПО) обусловлена НДВ. © ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ ВАЖНО: что написано пером – не вырубишь топором

ТИПОВЫЕ СИТУАЦИИ ПРОТИВОПРАВНЫХ ДЕЙСТВИЙ © ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ Варианты Действий Операции с информацией реализуются: НДВ Программные закладки Вредоносные программы I вариант Санкционированным пользователем, превышающим свои права с использованием специально заложенных в ПО технологических возможностей не декларированных в документации пользователя, но необходимых для эксплуатации ПО II вариант Несанкционированным пользователем с использованием специально заложенных в ПО технологических возможностей не декларированных в документации пользователя, но необходимых в процессе эксплуатации ПО III вариант Несанкционированным пользователем с использованием не устраненных при отладке ПО технологических возможностей не декларированных в документации и не требуемых в процессе эксплуатации ПО IV вариант Несанкционированным пользователем с использованием штатных возможностей ПО в результате случайных ошибок программирования, позволяющих изменять права использования штатных возможностей ПО V вариант Несанкционированным пользователем с использованием штатных возможностей ПО в результате преднамеренных ошибок программирования, позволяющих изменять права использования штатных возможностей ПО VI вариант Несанкционированным пользователем с использованием специально заложенных путем внедрения при программировании в ПО дополнительного программного кода нештатных (дополнительных) возможностей ПО VII вариант Несанкционированным пользователем с использованием заложенных путем внедрения при программировании в ПО дополнительного программного кода, позволяющих изменить права использования штатных возможностей ПО VIII вариант Несанкционированным пользователем с использованием полученных в результате введения в ПО в ходе его эксплуатации дополнительного программного кода, реализующего нештатные (дополнительные) возможности ПО IX вариант Несанкционированным пользователем в результате введения в ПО в ходе его эксплуатации дополнительного программного кода, реализующего возможность изменения права использования штатными возможностями ПО

© ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ ВАЖНО: знание сила Что должен и(у)меть злоумышленник, чтобы воспользоваться НДВ?

Высокая квалификация. Доступ к закрытым источникам. Познания в программировании. Использование НДВ в противоправных целях зависит напрямую от квалификации и возможностей злоумышленника. © ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ ВАЖНО: знание сила

РЕЙТИНГ ЗЛОУМЫШЛЕННИКОВ © ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ IIIIIIIVV КвалификацияОсведомленностьЗаинтересованность Средняя Высокая

РЕЙТИНГ ЗЛОУМЫШЛЕННИКОВ © ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ IIIIIIIVV КвалификацияОсведомленностьЗаинтересованность Средняя

РЕЙТИНГ ЗЛОУМЫШЛЕННИКОВ © ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ IIIIIIIVV КвалификацияОсведомленностьЗаинтересованность Высокая

РЕЙТИНГ ЗЛОУМЫШЛЕННИКОВ © ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ IIIIIIIVV КвалификацияОсведомленностьЗаинтересованность Высокая Очень высокая

РЕЙТИНГ ЗЛОУМЫШЛЕННИКОВ © ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ IIIIIIIVV КвалификацияОсведомленностьЗаинтересованность Очень высокая

РЕЙТИНГ ЗЛОУМЫШЛЕННИКОВ © ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ Использовать НДВ «вслепую» вряд ли кто-то будет.

«РЕАЛЬНЫЕ» УГРОЗЫ Какие угрозы «РЕАЛЬНЫ», если обрабатываются ПДн не сотрудников оператора: © ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ Содержание ПДн1-й уровень2-й уровень3-й уровень4-й уровень мене субъектов Специальные ПДнУгрозы 1-го типаУгрозы 2-го типаУгрозы 3-го типа Биометрические ПДнУгрозы 1-го типаУгрозы 2-го типаУгрозы 3-го типа Общедоступные ПДн Угрозы 1-го типаУгрозы 2-го типаУгрозы 3-го типа Остальные ПДнУгрозы 1-го типа Угрозы 2-го типаУгрозы 3-го типа более субъектов Специальные ПДн Угрозы 1-го типа Угрозы 3-го типа Угрозы 2-го типа Биометрические ПДнУгрозы 1-го типаУгрозы 2-го типаУгрозы 3-го типа Общедоступные ПДн Угрозы 1-го типа Угрозы 3-го типа Угрозы 2-го типа Остальные ПДнУгрозы 1-го типаУгрозы 2-го типаУгрозы 3-го типа

«РЕАЛЬНЫЕ» УГРОЗЫ Какие угрозы «РЕАЛЬНЫ», если обрабатываются ПДн только сотрудников оператора: © ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ Содержание ПДн1-й уровень2-й уровень3-й уровень4-й уровень Специальные ПДнУгрозы 1-го типаУгрозы 2-го типаУгрозы 3-го типа Биометрические ПДнУгрозы 1-го типаУгрозы 2-го типаУгрозы 3-го типа Общедоступные ПДн Угрозы 1-го типаУгрозы 2-го типаУгрозы 3-го типа Остальные ПДнУгрозы 1-го типа Угрозы 2-го типаУгрозы 3-го типа Это весьма грубая оценка. Более точную картину можно будет получить, когда появятся отраслевые модели актуальных угроз.

ТРЕБОВАНИЯ К ОПЕРАТОРУ ПДн © ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ 1-й уровень 2-й уровень 3-й уровень 4-й уровень Применение орг. и технических мер защиты ПДн [ст (3)] ++++ Режим безопасности помещений ИСПДн ++++ Сохранность носителей ПДн ++++ Издание перечня лиц, допущенных к ПДн ++++ Оценку соответствия СЗИ, используемых в ИСПДн ++++ Должностное лицо, ответственное за безопасность ПДн +++ Ограничение доступа к содержанию эл. журнала сообщений +++ Автоматизированную регистрацию изменения полномочий + Структурное подразделение обеспечения безопасности ПДн +

ВАЖНО: подводный камень «Контроль исполнения Требований организуется и проводится операторами самостоятельно или с привлечением на договорной основе юридических лиц, имеющих лицензию по технической защите конфиденциальной информации» п. 17 Постановления Правительства РФ от г 1119 «Под технической защитой конфиденциальной информации понимается выполнение работ и (или) оказание услуг по ее защите... лицензированию подлежат следующие виды работ и услуг: контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации». п. 2 и п. 4 Постановления Правительства РФ от г 79 © ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ

ВАЖНО: подводный камень Контролировать можно! Но нужно иметь лицензию, так как этот вид работ подлежит лицензированию. © ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ

1.Вместо классов ИСПДн, требования задаются уровнем защищенности ПДн, что влечет отмену «приказа трех» и, как следствие, дополнительных работ от операторов по определению уровня защищенности ПДн. 2.Парадигма выбора уровня защищенности изменилась, что потребует перестройки в умах операторов и, как следствие, на первом этапе возможна путаница. «СУХОЙ ОСТАТОК» © ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ

3.Требуется разработка отраслевых моделей угроз, а также состава и содержания организационных и технических мер по обеспечению безопасности ПДн. 4.Требования по защите от ПЭМИН отсутствуют, хотя могут появится в разрабатываемых ФСТЭК России и ФСБ России документах. 5.Контроль выполнения требований стал обязательным элементом защиты ПДн. Оператор может осуществлять его самостоятельно, но для этого требуется лицензия на деятельность по технической защите информации. «СУХОЙ ОСТАТОК» © ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ

Что делать? Надо ждать документов ФСТЭК России и ФСБ России. «СУХОЙ ОСТАТОК» © ОАО «ЭЛВИС-ПЛЮС», 2012 ЗАЩИЩЕННЫЕ КОРПОРАТИВНЫЕ СИСТЕМЫ

Спасибо за внимание! Есть вопросы и пожелания? Follow me on Twitter twitter.com/vsv_elvis