Законодательная база Российской Федерации

"МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ ПО ОБЕСПЕЧЕНИЮ С ПОМОЩЬЮ КРИПТОСРЕДСТВ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ С ИСПОЛЬЗОВАНИЕМ СРЕДСТВ АВТОМАТИЗАЦИИ" (Утв. руководством 8 Центра ФСБ РФ 21.02.2008 N 149/54-144)

Согласно последнему из определенных в п. 3.1 Методических рекомендаций принципу (принцип 7) нарушитель может действовать на различных этапах жизненного цикла криптосредства и СФК (под этими этапами в настоящем документе понимаются разработка, производство, хранение, транспортировка, ввод в эксплуатацию, эксплуатация программных и технических средств криптосредств и СФК).

Этапы разработки, производства, хранения, транспортировки, ввода в эксплуатацию технических и программных средств криптосредства и СФК

На этапах разработки, производства, хранения, транспортировки, ввода в эксплуатацию технических и программных средств криптосредства и СФК обработка персональных данных не производится. Поэтому объектами атак могут быть только сами эти средства и документация на них.

В связи с изложенным на указанных этапах возможны следующие атаки:

- внесение негативных функциональных возможностей в технические и программные компоненты криптосредства и СФК, в том числе с использованием вредоносных программ (компьютерные вирусы, "троянские кони" и т.д.);

- внесение несанкционированных изменений в документацию на криптосредство и технические и программные компоненты СФК.

Необходимо отметить, что указанные атаки:

- на этапах разработки, производства и транспортировки технических и программных средств криптосредства и СФК могут проводиться только вне зоны ответственности оператора;

- на этапе хранения технических и программных средств криптосредства и СФК могут проводиться как в зоне, так и вне зоны ответственности оператора;

- на этапе ввода в эксплуатацию технических и программных средств криптосредства и СФК могут проводиться в зоне ответственности оператора.

В связи с изложенным операторы должны предусмотреть меры контроля:

- соответствия технических и программных средств криптосредства и СФК и документации на эти средства, поступающих в зону ответственности оператора, эталонным образцам (например, оператор должен требовать от поставщиков гарантий соответствия технических и программных средств криптосредства и СФК и документации на эти средства, поступающих в зону ответственности оператора, эталонным образцам или механизмы контроля, позволяющие оператору установить самостоятельно такое соответствие);

- целостности технических и программных средств криптосредства и СФК и документации на эти средства в процессе хранения и ввода в эксплуатацию этих средств (с использованием как механизмов контроля, описанных в документации, например, на криптосредство, так и с использованием организационных и организационно-технических мер, разработанных оператором с учетом требований соответствующих нормативных и методических документов – см. п. 2.1 Методических рекомендаций).

Этап эксплуатации технических и программных средств криптосредства и СФК

Атака как любое целенаправленное действие характеризуется рядом существенных признаков. К этим существенным признакам на этапе эксплуатации технических и программных средств криптосредства и СФК вполне естественно можно отнести:

- нарушителя - субъекта атаки;

- объект атаки;

- цель атаки;

- имеющуюся у нарушителя информацию об объекте атаки;

- имеющиеся у нарушителя средства атаки;

- канал атаки.

Возможные объекты атак и цели атак определяются на этапе формирования модели угроз верхнего уровня.

При определении объектов атак, в частности, должны быть рассмотрены как возможные объекты атак и при необходимости конкретизированы с учетом используемых в информационной системе информационных технологий и технических средств следующие объекты:

- документация на криптосредство и на технические и программные компоненты СФК;

- защищаемые персональные данные;

- ключевая, аутентифицирующая и парольная информация;

- криптографически опасная информация (КОИ);

- криптосредство (программные и аппаратные компоненты криптосредства);

- технические и программные компоненты СФК;

- данные, передаваемые по каналам связи;

- помещения, в которых находятся защищаемые ресурсы информационной системы.

В тех случаях, когда модель угроз разрабатывается лицами, не являющимися специалистами в области защиты информации, рекомендуется ограничиться приведенными выше примерами возможных объектов атак.

Разработчики модели угроз - специалисты в области защиты информации могут уточнить указанный выше перечень возможных объектов атак с приведением соответствующих обоснований. Рекомендуется указанное уточнение делать только в случае необходимости разработки нового типа криптосредства.

Уточнение перечня возможных объектов атак должно осуществляться путем:

исключения объектов атак из указанного выше перечня, которые являются избыточными в силу специфики конкретной информационной системы;

конкретизации и детализации не исключенных объектов атак с учетом конкретных условий эксплуатации информационной системы;

описания объектов атак, не указанных в приведенном выше перечне.

С учетом изложенного модель нарушителя для этапа эксплуатации технических и программных средств криптосредства и СФК должна иметь следующую структуру:

- описание нарушителей (субъектов атак);

- предположения об имеющейся у нарушителя информации об объектах атак;

- предположения об имеющихся у нарушителя средствах атак;

- описание каналов атак.

Описание нарушителей (субъектов атак)

1) Различают шесть основных типов нарушителей: Н1, Н2, ... , Н6.

Предполагается, что нарушители типа Н5 и Н6 могут ставить работы по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа криптосредств и СФК.

Возможности нарушителя типа Н_i+1 включают в себя возможности нарушителя типа Н_i (1 меньше либо равно i меньше либо равно 5).

Если внешний нарушитель обладает возможностями по созданию способов подготовки атак, аналогичными соответствующим возможностям нарушителя типа Н_i (за исключением возможностей, предоставляемых пребыванием в момент атаки в контролируемой зоне), то этот нарушитель также будет обозначаться как нарушитель типа Н_i (2 меньше либо равно i меньше либо равно 6).

2) Данный раздел модели нарушителя должен содержать:

перечень лиц, которые не рассматриваются в качестве потенциальных нарушителей, и обоснование этого перечня (при необходимости);

предположение о невозможности сговора нарушителей (для всех типов нарушителей) или предположения о возможном сговоре нарушителей и о характере сговора, включая перечисление дополнительных возможностей, которые могут использовать находящиеся в сговоре нарушители для подготовки и проведения атак (для нарушителей типа Н4 - Н6).

Примечание

Данный раздел модели нарушителя имеет следующее типовое содержание.

Сначала все физические лица, имеющие доступ к техническим и программным средствам информационной системы, разделяются на следующие категории:

- категория I – лица, не имеющие права доступа в контролируемую зону информационной системы;

- категория II – лица, имеющие право постоянного или разового доступа в контролируемую зону информационной системы.

Далее все потенциальные нарушители подразделяются на:

- внешних нарушителей, осуществляющих атаки из-за пределов контролируемой зоны информационной системы;

- внутренних нарушителей, осуществляющих атаки, находясь в пределах контролируемой зоны информационной системы.

Констатируется, что:

- внешними нарушителями могут быть как лица категория I, так и лица категория II;

- внутренними нарушителями могут быть только лица категории II.

Дается описание привилегированных пользователей информационной системы (членов группы администраторов), которые назначаются из числа особо доверенных лиц и осуществляют техническое обслуживание технических и программных средств криптосредства и СФК, включая их настройку, конфигурирование и распределение ключевой документации между непривилегированными пользователями.

Далее следует обоснование исключения тех или иных типов лиц категории II из числа потенциальных нарушителей. Как правило, привилегированные пользователи информационной системы исключаются из числа потенциальных нарушителей.

И, наконец, рассматривается вопрос о возможном сговоре нарушителей.

Предположения об имеющейся у нарушителя информации об объектах атак

Данный раздел модели нарушителя должен содержать:

- предположение о том, что потенциальные нарушители обладают всей информацией, необходимой для подготовки и проведения атак, за исключением информации, доступ к которой со стороны нарушителя исключается системой защиты информации. К такой информации, например, относится парольная, аутентифицирующая и ключевая информация.

- обоснованные ограничения на степень информированности нарушителя (перечень сведений, в отношении которых предполагается, что они нарушителю недоступны).

Примечание

Обоснованные ограничения на степень информированности нарушителя могут существенно снизить требования к криптосредству при его разработке.

При определении ограничений на степень информированности нарушителя, в частности, должны быть рассмотрены следующие сведения:

- содержание технической документации на технические и программные компоненты СФК;

- долговременные ключи криптосредства;

- все возможные данные, передаваемые в открытом виде по каналам связи, не защищенным от несанкционированного доступа (НСД) к информации организационно-техническими мерами (фазовые пуски, синхропосылки, незашифрованные адреса, команды управления и т.п.);

- сведения о линиях связи, по которым передается защищаемая информация;

- все сети связи, работающие на едином ключе;

- все проявляющиеся в каналах связи, не защищенных от НСД к информации организационно-техническими мерами, нарушения правил эксплуатации криптосредства и СФК;

- все проявляющиеся в каналах связи, не защищенных от НСД к информации организационно-техническими мерами, неисправности и сбои технических средств криптосредства и СФК;

- сведения, получаемые в результате анализа любых сигналов от технических средств криптосредства и СФК, которые может перехватить нарушитель.

Только нарушителям типа Н3 - Н6 могут быть известны все сети связи, работающие на едином ключе.

Только нарушители типа Н5 - Н6 располагают наряду с доступными в свободной продаже документацией на криптосредство и СФК исходными текстами прикладного программного обеспечения.

Только нарушители типа Н6 располагают все документацией на криптосредство и СФК.

В тех случаях, когда модель угроз разрабатывается лицами, не являющимися специалистами в области защиты информации, рекомендуется ограничиться приведенным выше предположением о том, что потенциальные нарушители обладают всей информацией, необходимой для подготовки и проведения атак.

Разработчики модели угроз - специалисты в области защиты информации могут подготовить обоснованные ограничения на степень информированности нарушителя. Рекомендуется указанное ограничение делать только в случае необходимости разработки нового типа криптосредства.

Предположения об имеющихся у нарушителя средствах атак

Данный раздел модели нарушителя должен содержать:

- предположение о том, что нарушитель имеет все необходимые для проведения атак по доступным ему каналам атак средства, возможности которых не превосходят возможности аналогичных средств атак на информацию, содержащую сведения, составляющие государственную тайну;

- обоснованные ограничения на имеющиеся у нарушителя средства атак.

Примечание

Обоснованные ограничения на имеющиеся у нарушителя средства атак могут существенно снизить требования к криптосредству при его разработке.

При определении ограничений на имеющиеся у нарушителя средства атак, в частности, должны быть рассмотрены:

- аппаратные компоненты криптосредства и СФК;

- доступные в свободной продаже технические средства и программное обеспечение;

- специально разработанные технические средства и программное обеспечение;

- штатные средства.

Нарушители типа Н1 и Н2 располагают только доступными в свободной продаже аппаратными компонентами криптосредства и СФК.

Дополнительные возможности нарушителей типа Н3-Н5 по получению аппаратных компонент криптосредства и СФК зависят от реализованных в информационной системе организационных мер.

Нарушители типа Н6 располагают любыми аппаратными компонентами криптосредства и СФК.

Нарушители типа Н1 могут использовать штатные средства только в том случае, если они расположены за пределами контролируемой зоны.

Возможности нарушителей типа Н2-Н6 по использованию штатных средств зависят от реализованных в информационной системе организационных мер.

Нарушители типа Н4-Н6 могут проводить лабораторные исследования криптосредств, используемых за пределами контролируемой зоны информационной системы.

В тех случаях, когда модель угроз разрабатывается лицами, не являющимися специалистами в области защиты информации, рекомендуется ограничиться только приведенными выше средствами атак.

Разработчики модели угроз - специалисты в области защиты информации могут уточнить приведенный выше перечень средств атак. Рекомендуется указанное уточнение делать только в случае необходимости разработки нового типа криптосредства.

Описание каналов атак

С практической точки зрения этот раздел является одним из важнейших в модели нарушителя. Его содержание по существу определяется качеством формирования модели угроз верхнего уровня.

Основными каналами атак являются:

каналы связи (как внутри, так и вне контролируемой зоны), не защищенные от НСД к информации организационно-техническими мерами;

штатные средства.

Возможными каналами атак, в частности, могут быть:

- каналы непосредственного доступа к объекту атаки (акустический, визуальный, физический);

- машинные носители информации;

- носители информации, выведенные из употребления;

- технические каналы утечки;

- сигнальные цепи;

- цепи электропитания;

- цепи заземления;

- канал утечки за счет электронных устройств негласного получения информации;

- информационные и управляющие интерфейсы СВТ.

В тех случаях, когда модель угроз разрабатывается лицами, не являющимися специалистами в области защиты информации, рекомендуется ограничиться только приведенными выше основными каналами атак.

Разработчики модели угроз - специалисты в области защиты информации могут уточнить приведенный выше перечень каналов атак. Рекомендуется указанное уточнение делать только в случае необходимости разработки нового типа криптосредства.

Определение типа нарушителя

Нарушитель относится к типу Н_i, если среди предположений о его возможностях есть предположение, относящееся к нарушителям типа Н_i и нет предположений, относящихся только к нарушителям типа Н_j (j > i).

Нарушитель относится к типу Н6 в информационных системах, в которых обрабатываются наиболее важные персональные данные, нарушение характеристик безопасности которых может привести к особо тяжелым последствиям.

Рекомендуется при отнесении оператором нарушителя к типу Н6 согласовывать модель нарушителя с ФСБ России.