четверг, 23 декабря 2021 г.

О необходимости проведения оценки влияния среды функционирования на СКЗИ

Уже много лет на разных площадках периодически возникает вопрос - когда проведение оценки влияния (корректность встраивания) среды функционирования СКЗИ (т.е. прикладного ПО) на выполнение предъявляемых к СКЗИ требований ФСБ является обязательным, а когда нет?

Данным постом выскажу свое частное мнение по этому вопросу. Заранее благодарен за отзывы и комментарии. Вместе, надеюсь, найдем истину.

Необходимость провдения такой оценки регулируется двумя основными документами:

1.    Приказ ФСБ №66 от 9 февраля 2005 г., под названием ПКЗ-2005 (Об утверждении положения  о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005))

2.     Формуляр на СКЗИ (рассмотрим на примере СКЗИ КриптоПро CSP 5.0 R2).

 Далее указаны основные моменты относительно необходимости проведения оценки влияния, приведенные в данных документах.

 ПКЗ-2005

  • п.35: «Оценка влияния аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявленных к ним требований осуществляется разработчиком СКЗИ совместно со специализированной организацией».
  • п.46: «СКЗИ эксплуатируются в соответствии с правилами пользования ими» 

«Настоящим Положением необходимо руководствоваться при разработке, производстве, реализации и эксплуатации средств криптографической защиты информации конфиденциального характера в следующих случаях: 

  • если информация конфиденциального характера подлежит защите в соответствии с законодательством РФ;
  • при организации криптозащиты информации конфиденциального характера в ФОИВ, ОИВ субъектов РФ (далее - государственные органы);
  • при организации криптографической защиты информации конфиденциального характера в организациях независимо от их организационно-правовой формы и формы собственности при выполнении ими заказов на поставку товаров, выполнение работ или оказание услуг для государственных нужд (далее - организации, выполняющие государственные заказы);
  • если обязательность защиты информации конфиденциального характера возлагается законодательством РФ на лиц, имеющих доступ к этой информации или наделенных полномочиями по распоряжению сведениями, содержащимися в данной информации;
  • при обрабатывании информации конфиденциального характера, обладателем которой являются государственные органы или организации, выполняющие государственные заказы, в случае принятия ими мер по охране ее конфиденциальности путем использования средств криптографической защиты;
  • при обрабатывании информации конфиденциального характера в государственных органах и в организациях, выполняющих государственные заказы, обладатель которой принимает меры к охране ее конфиденциальности путем установления необходимости криптографической защиты данной информации.» 

Формуляр на СКЗИ КриптоПро CSP 5.0 R2 

При встраивании СКЗИ в прикладные системы необходимо по Техническому заданию, согласованному с 8 Центром ФСБ России, проводить оценку влияния среды функционирования СКЗИ на выполнение предъявленных к СКЗИ требований в случаях: 

  • если информация конфиденциального характера подлежит защите в соответствии с законодательством РФ;
  • при организации защиты конфиденциальной информации, обрабатываемой СКЗИ, в ФОИВ, ОИВ субъектов РФ;
  • при организации криптозащиты конфиденциальной информации, обрабатываемой СКЗИ, в организациях независимо от их организационно-правовой формы и формы собственности при выполнении ими заказов на поставку товаров, выполнение работ или оказание услуг для гос.нужд;
  • если обязательность защиты информации конфиденциального характера возлагается законодательством РФ на лиц, имеющих доступ к этой информации или наделенных полномочиями по распоряжению сведениями, содержащимися в данной информации;
  • при обрабатывании информации конфиденциального характера, обладателем которой являются гос.органы или организации, выполняющие гос.заказы, в случае принятия ими мер по охране ее конфиденциальности путем использования СКЗИ;
  • при обрабатывании информации конфиденциального характера в гос.органах и в организациях, выполняющих гос.заказы, обладатель которой принимает меры к охране ее конфиденциальности путем установления необходимости криптозащиты данной информации. 

Выводы 

Таким образом, оценка влияния является обязательной в следующих случаях:

  1. Если СКЗИ применяются в ИС для криптозащиты ПДн (т.к. ПДн подлежат защите в соответствии со 152-ФЗ «О персональных данных» с использованием прошедших в установленном порядке процедуру оценки соответствия средств защиты информации);
  2. Если СКЗИ используются для организации криптозащиты информации конфиденциального характера в ФОИВ, ОИВ субъектов РФ и в иных организациях при выполнении ими заказов на поставку товаров, выполнении работ или оказании услуг для государственных нужд. 

При этом важно отметить, что оценка влияния в указанных выше случаях не является обязательной, если на СКЗИ не возлагается задача по обеспечению конфиденциальности и/или целостности информации, например, когда СКЗИ используется как средство электронной подписи только для обеспечения юридической значимости электронного документа, а конфиденциальность и целостность ПДн обеспечивается другими средствами защиты, например, средствами VPN. Однако, для случая, указанного в п.2 выше, оценка влияния, как показывает практика, в любом случае проводится.

понедельник, 4 октября 2021 г.

Выбор класса защиты компонентов криптошлюза и других СКЗИ

К нам периодически поступают вопросы относительно выбора компонентов криптошлюза КриптоПро NGate (хотя они применимы и к любым другим сертифицированным СКЗИ):

  1. Обязательно ли использовать клиентские и серверные компоненты одного класса защиты?
  2. Если шлюз класса КС2/КС3 а клиент КС1, то защищённое соединение будет класса КС1?

Если коротко, то на оба вопроса ответ - НЕТ. А теперь давайте разбираться.

Обратимся к «Методическим рекомендациям ФСБ (от 31 марта 2015 года № 149/7/2/6-432) по разработке НПА, определяющих угрозы безопасности ПДн, актуальные при обработке ПДн в ИСПДн…»: http://www.fsb.ru/files/PDF/Metodicheskie_recomendacii.pdf

Не смотря на название документа, как написано в самом документе - руководствоваться им необходимо не только органам власти при разработке соответствующих НПА, но целесообразно руководствоваться и остальным операторам ПДн.

Найдем в документе такой пункт (в 3-м разделе):

«В случае если оператор определил, что применение СКЗИ необходимо для обеспечения безопасности ПДн в различных сегментах ИСПДн, то класс СКЗИ определяется для каждого объекта защиты в рамках одной ИСПДн. В случае применения СКЗИ для обеспечения безопасности различных объектов защиты, возможно в рамках одной ИСПДн использовать СКЗИ разных классов».

Начнем ответы на вопросы с того, что такого понятия, как «класс защиты соединения», нет, класс СКЗИ определяется для каждого объекта защиты в рамках одной ИСПДн. В нашем случае серверные и клиентские компоненты находятся в разных сегментах ИСПДн и их целесообразно отнести к разным объектам защиты.

При этом совершенно типичной является ситуация, когда в модели нарушителя для системы фиксируются требования КС3 для сервера и КС1 для клиента. Самый близкий и массовый пример тут, пожалуй, ЕБС (Единая биометрическая система), в моделях для которой явно прописаны именно такие классы. И это не только следствие практической необходимости (на телефон на iOS или Android ничего выше КС1 поставить не получится), но и явное отражение существенных аспектов: классы КС2 и КС3 нужны тогда, когда к СКЗИ может получать физический доступ нарушитель (источник атак). На шлюзе это необходимо – нельзя считать всех уборщиц ЦОДа и всех администраторов доверенными людьми. А вот у пользователя совершенно спокойно хватит КС1, ведь свой ноутбук/смартфон он по объективным причинам в руки нарушителей давать не будет (по крайней мере не должен).

Таким образом, «обеспечение криптографической защиты для доступа к ресурсу по классу КС3» - это разворачивание на нем оборудование класса КС3. А вот клиенты подключаться к нему могут с помощью компонент разных классов.

вторник, 26 ноября 2019 г.

SOC-Форум. Итоги пресс-конференции по КИИ для СМИ




Давно и незаслуженно не писал про КИИ, при том, что КИИ уже больше двух лет остается центральной темой обсуждений большинства безопасников нашей страны на конференциях и в социальных сетях. Достаточно обратить внимание на то, что самая многочисленная тематическая группа по ИБ в Рунете – это группа в Telegram, посвященная теме КИИ, в которой на текущий момент насчитывается почти три тысячи участников.

Каюсь и исправляюсь. Сегодня речь пойдет про SOC-Форум, а точнее про его небольшую часть. SOC-Форум это всегда что-то глобальное и актуальное с широким охватом тем, экспертов и регуляторов, которые всегда открыты к диалогу на сцене и в кулуарах. А еще как оказалось на форуме есть не числящиеся в программе секции, к которым в том числе относятся пресс-конференции для СМИ. Так, на одной из таких, посвященной практике защиты КИИ от кибератак, предоставилась возможность поучаствовать в качестве модератора. Опыт получился интересный, вопросов было как всегда больше, чем времени. За отведенные 40-50 минут удалось обсудить с десяток вопросов – часть из них была от модератора, часть от представителей СМИ. От СМИ были как представители многих известных печатных и электронных изданий по ИТ и ИБ, так и телеканалов.

В ряду экспертов расположились:

·  Игорь Ляпунов, вице-президент по информационной безопасности ПАО «Ростелеком», генеральный директор компании «Ростелеком-Солар»
·     Роман Кобцев, директор по развитию бизнеса, компания «Перспективный мониторинг»
·     Дмитрий Кузнецов, директор по методологии и стандартизации Positive Technologies
·  Антон Шипулин, менеджер по развитию решений по безопасности критической инфраструктуры Лаборатории Касперского
·     Валерий Богдашов, директор Центра экспертизы R-Vision.

Откровенно говоря, список участников был бы более полным, если бы в нем кроме представителей СМИ и экспертов расположились представители регуляторов, но их к сожалению не было, поэтому по всем вопросам пришлось отбиваться экспертам, благо тема пресс-конференции была ориентирована на обсуждение практических вопросов и поэтому отряд не заметил особо потери бойца.

Далее приведу совсем немного сокращенную стенограмму пресс-конференции в формате вопрос-ответ.

Вопросы к экспертам от модератора.

1.   Минэкономразвития предложило запретить использовать зарубежное оборудование и софт на системах критической инфраструктуры. К такой инфраструктуре относятся, например, сети связи банков, транспортных, нефтяных компаний и энергообъектов. На сколько это реализуемо и на что стоит обратить внимание субъектам КИИ?

Ляпунов. Я считаю, что подобные инициативы конечно же полезны. Во-первых, это помогает развивать наш рынок ИБ, создавая российские технологии и добавленную стоимость. И конечно, когда мы говорим о защите КИИ, мы защищаемся как правило не от каких-то обычных хакерских группировок, это во многом иностранные разведки, целью которых является воздействие на наши национальные интересы и мы должны понимать, что их уровень технической оснащенности и вооруженности очень высокий. Когда мы пользуемся американским ПО или оборудованием, это их точка присутствия в нашей стране на самых критических участках. Но очевидно, что подобные меры будут вводиться с некоторым отлагательным условием, т.к. невозможно построить новую электрическую турбину полностью на российских технологиях за год и даже за два. Конечно, это будет длинный процесс, потому что все тут же начнут вспоминать про ПО и операционную систему. И если тут мы с российскими технологиями разберемся, то, когда мы начнем говорить про элементную базу, то здесь мы все дружно и закопаемся. Конечно это направление правильное, дальше вопрос как долго мы будем к этому идти и конечно за чей счет банкет, как все это будет финансироваться. Инвестиции длиною в 10 лет невозможно делать коммерческим компаниям. Это должна быть государственная программа субсидий, поддержки производителей, чтобы они могли выдерживать такие длинные процессы разработки.

Модератор. Возможно с этим связано и то, что регуляторы в 187-фз и подзаконных актах не прописали требование по обязательности использования сертифицированных СЗИ, потому что на момент принятия этих актов сертифицированных российских аналогов СЗИ многих классов просто не было. Но в процессе появления таких сертифицированных СЗИ возможно требования регуляторов будут меняться в сторону необходимости использования именно сертифицированных СЗИ, которые со временем смогут покрыть отечественными средствами большинство требований закона и подзаконных актов.

Шипулин. Говоря не с точки зрения российского вендора, а с точки зрения глобальной ситуации, сейчас наметился в целом тренд на импортозамещение и локализацию. С одной стороны, это хорошо для развития российских продуктов, с другой стороны плохо для потребителя, который лишается лучших технологий. И тут хорошо бы обратиться к авторам данной инициативы за подробным планом реализации высказанных предложений, потому что факторов очень много и эта задача непростая. Большое количество ПО основывается на компонентах с открытым кодом, на компонентах разработчиков из других стран, и все это устранить, включая средства разработки – это огромная задача.

Кузнецов. Есть два противоречащих друг другу желания. С одной стороны, есть желание использовать российские сертифицированные СЗИ, а с другой стороны понятно желание не навредить. Мы если ставим какую-то железку в технологическую установку, то оператор этой системы должен быть уверен, что эта железка не нарушит работоспособность системы. И требование ФСТЭК, что при реализации мер защиты преимущество должно отдаваться не специализированным СЗИ, а встроенным механизмам безопасности технологических систем это вынужденная мера. Т.е. тот, кто эксплуатирует систему может оказаться в дурацкой ситуации – с одной стороны если не дай Бог появится требование в обязательном порядке использовать только сертифицированные СЗИ он вроде как должен будет в свой технологический процесс поставить стороннее устройство, пусть даже сто раз доверенное, прошедшее сертификацию российской лабораторией, с другой стороны ему нужно подтверждение зарубежного производителя своей системы АСУ ТП о том, что эта железка ему не помешает. Но скорее всего производитель АСУ ТП такую гарантию не даст, а скажет используйте наше, нам не интересно что у вас там сертифицировано. Поэтому пока действует компромисс – ребята, используйте встроенные механизмы, а если их не хватает используйте сертифицированные, ну или хотя бы собственноручно вами протестированные. И пока будет сохраняться это противоречие, я не думаю, что кто-то из регуляторов рискнет в приказном порядке сказать, а ну-ка на все атомные станции ставьте только российские СЗИ.

Богдашов. Говоря о КИИ в большинстве случаев приоритетом является бесперебойность работы таких систем и сервисов. Соответственно нужно обеспечить качество на всех этапах и уровнях. На уровне ПО, на уровне оборудования, как общесистемного, так и прикладного. На уровне СЗИ также необходимо обеспечить стабильность их работы. И клиенты и эксплуатанты такой системы в первую очередь обеспокоены тем, чтобы бизнес работал без остановки и та зона ответственности, которая у них есть в плане стабильной работы, была безопасна. Есть локальные достижения в области отечественных разработок ПО – касательно СЗИ, специального ПО, ОС, но есть и определенные сложности в комплексной работе этих решений друг с другом и с аппаратным обеспечением российского производства. Это большая история, которая наверняка нами будет пройдена, но не быстро, и сейчас говорить вот такие заявления преждевременно.


2.   На сколько, по вашему мнению, строг закон к нарушителям в области КИИ? За почти два года действия 187-ФЗ обвиняемые ни разу не получили реальный уголовный срок. Пока суд обходился условными сроками, либо вообще прекращал уголовное дело, либо переквалифицирован на другие статьи. С чем это может быть связано и какие прогнозы можно дать на будущее?

Кобцев. Не было реальных сроков именно по 274.1. Давайте разделим – не было ущерба и был ущерб. Не было ни одного случая, когда был ущерб или информация об инциденте дошла до руководства региона или выше, и чтобы должностные лица так или иначе не были наказаны. И если есть реальные наказания по другим статьям, то зачем нам усиливать давление на бизнес еще дополнительным каким-то уголовным инструментом. А тем более, если мы говорим о том, что нет каких-то действий и сроков по результатам деятельности надзорных органов, то тем более мы должны возрадоваться за наших регуляторов, за нашу следственную систему. Если учесть, что некоторые документы были приняты только в этом году, то, если бы они начали сразу как говориться кошмарить бизнес, то это было бы неправильно. Поэтому говорить о том, что это не работает преждевременно, а на сколько это сурово, это уже другой вопрос.

Модератор. Предположу, что надзорные мероприятия пока не начались в связи с тем, что еще ни для одного субъекта КИИ не прошел срок в три года с момента попадания объектов КИИ в реестр значимых объектов КИИ.

Кузнецов. Давайте сравним с уголовной статьей нарушения правил пожарной безопасности. Сроки сопоставимы. До трех лет лишения свободы за нарушение правил пожарной безопасности и до шести лет за такое же нарушение, если пострадали люди – двое или более. В случае с КИИ и 274.1 разброс сроков за нарушение правил эксплуатации большой, которое привело к ущербу КИИ – от двух месяцев и до 6 лет. И какое наказание назначить решает не закон, а судья, исходя из собственного убеждения, исходя из собственного представления о степени общественной опасности и т.д. Когда говорим, что закон суров, мы почему-то упираемся в верхнюю границу, но действительно, какое наказание понесет человек, это не вопрос к закону, это вопрос к конкретному судье, который будет принимать решение в рамках конкретных обстоятельств уголовного дела. У судьи должна быть вилка, потому что уж очень широкое понятие КИИ и слишком разные последствия могут быть в разных случаях.

Шипулин. Хотелось бы для сравнения рассказать, что в этой части происходит в других странах. За рубежом не так налегают на человека с точки зрения уголовной ответственности, сколько с точки зрения штрафов. Так, в США, в рамках регулятора NERC штрафы составляют от сотен тысяч до десятков миллионов долларов. В рамках европейского законодательства NIST директив рекомендуется странам вводить наказания, но опять же измеримые с нарушениями. У нас же к сожалению, выбирается путь радикальной негативной мотивации, хотя бедные безопасники у нас находятся под постоянным прессом и регуляторов, и рынка, и собственного бизнеса, и от отсутствия правильных кадров, поэтому нашим регуляторам нужно больше смотреть в сторону позитивной мотивации, чтобы предотвращать нарушения, нежели негативной.

3.   Одна из крупнейших кибератак в 2019 году - атака шифровальщиком на крупного норвежского производителя алюминия, вызвавшая остановку производства. Как защититься от подобных случаев субъектам КИИ - крупным отечественным промышленным компаниям и компаниям из других сфер? Достаточно ли для этого реализовать требования 187-ФЗ и подзаконных актов или необходима реализация дополнительных мероприятий?

Ляпунов. Наша нормативная база написана достаточно широкими мазками, чтобы большинство разумных усилий в этой области под нее попадало. Но есть буква закона, есть дух закона и ключевой момент, отличающий новую регуляторику от всего, что было раньше, это то, что есть требования к процессу, а не к наличию сертифицированных СЗИ. И там играют два фактора – первый, это работающий процесс, второй, это реальная ответственность именно за инциденты, а не за несоответствие требованиям, и это дает хороший стимул компаниям защищаться. На чем нужно делать акцент – на инструментарии, процессах и людях, для выявления самих атак, для выявления признаков атак, идущих на инфраструктуру. А дальше конечно же необходимы выстроенные процессы реагирования на эти атаки. И, если ваша система ИБ будет выстроена как некий центр управления изменениями, центр выявления изменений внешних и внутренних атак, когда, например, айтишники выставили что-то на периметр непропатченное, тогда система будет достаточно защищенной. Ключевой момент – обеспечить возможность выявления атаки, а дальше возможность реагирования на нее.

Кузнецов. В случае с атакой на Norsk Hydro, это по сути была диверсия. По отчету о расследовании сперва нарушители получили контроль над инфраструктурой, затем распространили шифровальщик по всей инфраструктуре. С такими атаками в российских компаниях мы часто сталкиваемся в ходе расследований. Во всех случаях оказывается, что уровень защищающихся не соответствует уровню атакующих. Когда защищающиеся никогда не сталкивались с реальными атаками и защитой от них и выстраиванием архитектуры защиты от хакерских атак. И это общемировая тенденция и беда, когда защитники не готовы противостоять точечным узкоспециализированным атакам, когда атакующий хочет, умеет, практикует выводить из строя крупные инфраструктуры. С этим как-то придется бороться на протяжении ближайших 20-30 лет и пока каких-то готовых решений нет. Нужно повышают квалификацию защищающейся стороны.

Богдашов. Здесь немного не соглашусь с этой позицией. Это стандартный тип атак в последнее время и механизмы защиты тоже в целом понятны. Здесь нет никакой уникальности. Все мы как эксперты понимаем, как от этого защититься. И понимаем, что сертификация средств защиты здесь ни при чем. Единственное «но» возникает, когда речь идет про масштаб. Чем больше организация, тем более сложным становится процесс. Все больше потребность возникает в автоматизации рутинных действий. Если организация небольшая, то тут все перед глазами, до всего руки дотянутся, все можно проконтролировать, быстро среагировать. Если организация большая, масштаб растет, то здесь нужно использовать либо некие скелеты для людей, либо дополнять мозги некими внешними сервисами, либо прокачивать свою внутреннюю экспертизу. Т.е. здесь сама проблема, помноженная на масштаб. И это проблема крупного бизнеса у нас в стране и заниматься ей нужно комплексно.

4.  Законодательство по КИИ явным образом не требует подключение к технической инфраструктуре (ТИ) НКЦКИ, формально достаточно передавать информацию об инцидентах в систему ГосСОПКА по телефону или электронной почте. Какая мотивация может быть у субъекта КИИ для подключения к ТИ НКЦКИ. Какие преимущества предоставляет такое полноценное подключение к ГосСОПКА?

Кобцев. Этот вопрос нужно рассматривать исходя из двух аспектов. Если для галочки нужно незамедлительно проинформировать НКЦКИ, это один вопрос, и тут действительно можно отправить по почте. Если выстраивать процесс обнаружения, предупреждения и ликвидации последствий компьютерных атак полноценно, то это затрагивает достаточно большой пул процессов и именно автоматизированные системы упрощают эти действия. И еще специфический момент – не так много заказчиков пока готовы отдавать информацию об инцидентах в НКЦКИ. И когда заказчики подключаются через нас к НКЦКИ, у них сразу первый вопрос – а вы прямо сразу будете автоматически отправлять информацию в НКЦКИ? Нет, мы отправляем только подтвержденные инциденты. Мы их с вами вместе подтверждаем. Люди действительно боятся передавать информацию об инцидентах, потому что они пока не привыкли к тому, что им помогают, они привыкли, что им бьют по голове. И пока это разовые вещи, это не сильно экономит силы и средства. Но как только этот процесс встанет на поток, это просто будет экономить силы и средства за счет использования автоматизированных систем.

Модератор. ГосСОПКА, как и любая другая система, чем больше в ней участников обменивается информацией, тем более полезной она становится для каждого из участников.

Кузнецов. Есть регламент взаимодействия с НКЦКИ, где прописано следующее. Если у вас есть значимый объект, то вам нужно в течение месяца разработать план реагирования на инциденты. Если уверены, что справитесь сами, так и пишете - сами справимся, помощь ФСБ не нужна. Но в принципе каждый субъект имеет право на методическую помощь ФСБ. Например, вы столкнулись с неизвестным ранее вирусом, не бросится антивирусная компания вам сразу помогать. ФСБ такую помощь оказать может. Субъект такую помощь может запросить и ему эту помощь предоставят. Но, если в своем плане субъект рассчитывает на помощь ФСБ, ему придется выполнять так сказать определенные пожелания коллег из ФСБ. Например, ФСБ может настоятельно рекомендовать или потребовать подключиться к технической инфраструктуре НКЦКИ. Это не будет обязательным требованием, но субъект вправе выбирать – либо он остается с нарушителем один на один, или ему нужна помощь, и тогда он подключается к технической инфраструктуре. Вот она мотивация. Один из вариантов.

Модератор. Если субъект обратится, например, по почте, то ФСБ не откажет, примет запрос, но ответит по этому же каналу.


Вопросы от представителей СМИ:

5.  Немецкая статистика – по 2/3 инцидентов информация скрывается. Какая статистика в России?

Богдашов. Такой статистики сейчас нет. Говоря даже не о ГосСОПКА, а в общем – руководство либо не узнает об инциденте, либо узнает об уже побежденном. И второе - пока у нас еще плавает понимание того, что такое инцидент.

6.   Как будет развиваться ситуация с СЗИ? В ближайшие 2-3 года будет упор на встроенные механизмы защиты или они будут как-то дополняться наложенными? Если наложенными, то сертификация ФСТЭК станет необходимым атрибутом? Ситуация останется непонятной как сейчас?

Кузнецов. Регуляторы занимают следующую позицию – используйте те СЗИ, в которых вы уверены. Верите вы сертификату, значит используйте сертифицированные. Уверены, что вы протестировали и доверяете, пожалуйста, используйте несертифицированные, это ваши риски и ваша ответственность. Регулятор делить эту ответственность с вами не собирается. Это следует из логики НПА и высказываний регуляторов на конференциях.

Шипулин. В части промышленности мы видим, что производители средств промышленной автоматизации на уровне их штаб-квартир начинают закладывать встроенные СЗИ, начинают сертифицировать процессы, механизмы безопасности. Но они даже за рубежом не доходят до потребителя этих решений, а что говорить о России. Эти международные решения со средствами защиты на борту не доходят до наших заказчиков, а здесь тренды на импортозамещение и наши вендоры не придают большого значения внутренним механизмам безопасности, поэтому я вижу, что наложенные средства еще долго будут востребованы.

Модератор. У конечного потребителя есть выбор – выбрать и закупить АСУ ТП со встроенными механизмами ИБ и не переживать за совместимость, либо купить наложенные средства и отдельно тестировать его на совместимость с АСУ ТП.

6.1.    А если речь о базовом уровне – об аутентификации и шифровании каналов?

Кобцев. Требования по сертификации в части КИИ на сегодняшний день касаются только продуктов по узкому пулу технологий. Продукты по достаточно большому пулу технологий можно использовать и не сертифицированные и соответственно они могут быть как наложенными, так и встроенными.

7.  Каковы потенциальные возможности SOCов в перспективе для того, чтобы бороться с внутренними угрозами, касаемо утечки критичных данных?

Ляпунов. В первую очередь это защита от администраторов. И наиболее действенным способом такой защиты является мониторинг действий администраторов и выявление каких-то аномалий или неправильных сценариев их работы. Конечно это то, что делается в SOC. Дальше вопрос - это внешний центр мониторинга или внутренний. Практика показывает, что лучше доверять внешним парням, дабы не было перекрестного опыления между своими средствами мониторинга и своими же ИТ-администраторами, которые потенциально могут их обслуживать.

Кузнецов. Тут еще нужно понимать, что очень часто внутренняя утечка - это утечка той информации, к которой пользователь (помощник мошенника) легально допущен в силу своей работы. Часто менеджер по продажам уводит клиентскую базу. И бороться с такими утечками с одной стороны – да, это входит в скоуп работ Центра мониторинга, с другой стороны нужно понимать, что для того, чтобы бороться с такими утечками нужно досконально знать технологические процессы, которые происходят у конкретного заказчика. А такое все-таки проще делать внутри. Очень часто внешние SOCи ограничиваются вопросами ИТ-угроз, но не угроз, связанных со злоупотреблениями служебными полномочиями конкретного пользователя. Действия такого пользователя статистически никак не выделяются, их невозможно заменить, не зная, а разрешили ли человеку сделать эту операцию, или же он сделал ее по своей воле. Для того, чтобы бороться с такими утечками нужно самой организации менять подход к защите таких данных. Это не решается волшебной пилюлей в виде внешнего SOCа. Внешний SOC может очень сильно помочь, но самостоятельно он эту проблему не решит. 
 
8.  Вопрос по поводу встроенных средств защиты. Прямой мониторинг систем АСУ ТП невозможен по требованиям ФСТЭКа, т.е. никакого удаленного доступа к АСУ ТП со стороны вендора быть не может. И тут возникает забавная ситуация, когда встроенные средства защиты должны контролироваться специалистами изнутри. И тогда нужно использовать либо наложенные средства, но свои, для того, чтобы контролировать действия и возможные атаки со стороны производителя, либо мы полностью доверяем производителю, используем его встроенные средства, тогда нужно все это сертифицировать, контролировать.

Модератор. ФСТЭК не запрещает использовать для удаленного доступа VPN, в этом случае такой доступ не считается прямым. Если при этом передается информация, содержащая, например, персональные данные, то решение, на базе которого построен VPN, должно быть сертифицировано.

Шипулин. С точки зрения доверия, его можно проверить. ФСТЭК не говорит доверяйте слепо, вы можете взять и проверить данное оборудование в лабораториях, получить на них сертификаты. Но вообще защита должна быть эшелонированная. Нужно контролировать не только оборудование, но и действия с ним.

9.    Значительная часть утечек связана с работой парсеров, которые находятся в серой, а то и ближе к белой зоне. Как с ними бороться и нужно ли вообще с ними бороться – с площадок Авито, ЭТП и прочего, когда собираются те же имена, электронные адреса, номера телефонов?

Ляпунов. Идентификация человека по собранной таким образом информации легко реализуется. Сейчас очень легко собрать информацию о человеке из открытых источников, идентифицировать вас, понять ваши интересы, что вы делаете, и соответствующую атаку на вас совершить. Лично я к своему цифровому следу стараюсь относиться аккуратно, но большинство из нас даже с самой развитой паранойей отпечатки себя в киберпространстве оставляют, которые никуда не денешь.

10.  Вопрос про сертификацию. ФСТЭК объявил правило, согласно котором с 1 января те, кто не успеют пересертифицировать свои продукты не смогут продавать их в госорганы. Насколько все там успевают.

Кузнецов. Есть информационное сообщений ФСТЭК, в котором регулятор рекомендует переоформить сертификаты. А у тех, кто это не сделает, ФСТЭК может начать отзывать сертификаты. По устному общению со ФСТЭК никто не собирается с 1 января взять и все сертификаты аннулировать. Идет работа с каждым конкретным вендором. Парни, а вы пересертифицироваться собираетесь, да? А сколько у вас займет этот процесс? Ну год, два. А быстрее сможете? А быстрее не сможем. Другое дело, когда вендоры по новым требованиям пересертифицироваться не могут в принципе - это зарубежные вендоры, которые не готовы предоставлять исходники. С ними вообще отдельный разговор. Им действительно в конце концов могут обрубить сертификат, потому что эта ситуация не может длиться вечно. Но опять же, это произойдет не 1 января 2020 года и даже может быть не через пять лет, потому что ФСТЭК ведет достаточно аккуратною политику, чтобы не обрушить рынок ИБ при этом.

10.1          Кто сейчас совсем не раскрывает исходные коды?

Кузнецов. У зарубежных вендоров есть выбор. С одной стороны, они могут прийти на российский рынок, сертифицируя решения. А по новым правилам, чтобы сертифицировать решения на 5-й или более высокий уровень доверия, нужно проводить анализ уязвимостей в исходных кодах. С другой стороны, есть закон в США, где Минобороны имеет право не закупать софт, если исходники софта передавались на анализ зарубежным организациям. И у каждого вендора, не важно он российский, американский, французский, есть выбор, а мне что важнее – российский рынок или американский. Есть большие вендоры, например, Microsoft, они договорятся с Минобороны, и они не боятся предоставлять исходники, а есть маленькие вендоры, которые скорее всего не договорятся.

Ляпунов. С одной стороны, нормативная база и новые требования правильные. С другой - это привело к двум-трехкратному подорожанию стоимости сертификации и сроки выросли. В общем для рынка это не очень дружественный ход, особенно это касается тех продуктов, которые попадают на стык - у кого заканчиваются сертификаты. У нас, например, они заканчиваются в феврале или марте, и мы сейчас первыми вынуждены топтать эту лыжню как сертифицироваться по новым требованиям. Это прямо болезненный процесс. При том, что запас по времени был дан очень небольшой, это меньше года, и сами лаборатории и те, кто проводят экспертизу они пока практического опыта не получили и мы вместе с ними изобретаем правильный путь. 

понедельник, 16 сентября 2019 г.

О типовых нарушениях, выявляемых ФСБ России при проверках операторов персональных данных

12-13 сентября 2019 года в Ярославле состоялось Межрегиональное совещание директоров территориальных ФОМС Центрального Федерального округа, в котором мне удалось принять участие.

Одним из наиболее интересных на мой взгляд выступлений было выступление представителя УФСБ России по Ярославской области, в рамках которого представитель регулятора поделился некоторыми особенностями и результатами проверок поднадзорных организаций в части обращения средств криптографической защиты информации (далее – СКЗИ), используемых для защиты персональных данных (далее – ПДн). Дальше приведены  основные тезисы этого выступления. 

При проверках ФСБ России грубыми нарушениями считаются следующие: 
  • Для защиты передаваемых по каналам связи ПДн используются несертифицированные ФСБ России СКЗИ или сертифицированные, но с сертификатами с истекшими сроками действия;
  • Не определены уровни защищенности информационных систем ПДн и классы защиты СКЗИ по 378-му приказу ФСБ. 
Извещение о проверке направляется со стороны ФСБ России за три дня до самой проверки, т.к. почти внезапная проверка является более эффективной. 

В последнее время наблюдается тенденция сокращения операторами ПДн финансовых расходов и кадровых ресурсов по информационной безопасности для защиты ПДн. Поэтому регулятором были внесены соответствующие изменения в подходы к проверкам. Если раньше при проверках в ответ на выявленные и зафиксированные в предписании нарушения со стороны проверяемой организации звучали жалобы на то, что на устранение нарушений нет денег и что в лучшем случае они будут заложены в бюджет на следующий год, то теперь же ситуация кардинально изменилась - отсутствие денег больше не повод для неисправления выявленных нарушений. На устранение выявленных нарушений ФСБ России в настоящее время дает три месяца стандартно, в исключительных случаях - шесть месяцев. За неисправление нарушений вовремя положены штрафы. Приостановка деятельности формально также возможна, но регулятором не практикуется. 

Перечень типовых нарушений, обычно выявляемых регулятором в ходе проверок: 
  • Входные двери в помещения, в которых хранятся СКЗИ, а также металлические хранилища, в которых хранятся носители ключевой информации, не оборудованы устройствами для опечатывания;
  • Дубликаты ключей от хранилищ сотрудников органа криптографической защиты не хранятся у руководителя органа или начальника организации;
  • Журналы СКЗИ ведутся длительное время и в нескольких томах. Больше двух томов заводить не рекомендуется. Если записей много, то лучше завести новый журнал, сдав старый в архив, т.к. иначе неудобно как вести такие большие журналы, так и проверять их;
  • Часто уже неиспользуемые СКЗИ (старое оборудование, дистрибутивы, формуляры, сертификаты, техническая документация) копятся и не уничтожаются, и потом зачастую очень сложно найти их и предъявить регулятору во время проверки. Так, например, если в организации КриптоПро CSP 3.6 выведен уже из эксплуатации, а используется КриптоПро CSP 4.0, не следует копить старые версии, лучше их уничтожить;
  • Не организован поэкземплярный учет по серийным номерам машинных носителей информации, используемых для хранения и обработки ПДн. В основном это жесткие диски АРМов;
  • В лучшем случае ведется журнал учета СКЗИ, но отсутствуют или не зарегистрированы сопроводительные письма, акты ввода в эксплуатацию, акты вывода из эксплуатации, акты уничтожения;
  • Не планируются и не проводятся мероприятия по контролю обеспечения безопасности ПДн (по 1119-ПП это нужно делать не реже одного раза в три года).

понедельник, 3 июня 2019 г.

Замена SMS и PUSH-уведомления при реализации требований 683-П и 684-П ЦБ РФ


Чем же заменить SMS и PUSH-уведомления при реализации кредитными и некредитными финансовыми организациями требований 683-П и 684-П ЦБ РФ?

Рассмотрим в рамках статьи два схожих и наиболее обсуждаемых пункта, опубликованных в один день на прошлой неделе  положений ЦБ РФ - 683-П и 684-П, оба от 17.04.2019.

Полностью эти положения называются так:

683-П: "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента".

684-П: "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций".

Оба положения устанавливают требования по защите информации для финансовых организаций, только 683-П распространяется на кредитные организации, а 684-П на некредитные.

Далее по тексту будем пользоваться следующими сокращениями:
  • ЭД – электронный документ
  • ЭП – электронная подпись
  • ПЭП – простая электронная подпись
  • НЭП – неквалифицированная электронная подпись
  • КЭП – квалифицированная электронная подпись
  • НПА – нормативный правовой акт
  • ФЗ – федеральный закон
Рассмотрим наиболее значимые пукнты: в 683-П –  пункт 5.1, а в 684-П – пункт 10. 

683-П: "5.1. Кредитные организации должны обеспечивать подписание электронных сообщений способом, позволяющим обеспечить целостность и подтвердить составление указанного электронного сообщения уполномоченным на это лицом.

Признание электронных сообщений, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью, должно осуществляться в соответствии со ст. 6, 63-ФЗ "Об электронной подписи".

684-П: "10. Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечивать подписание электронных сообщений способом, позволяющим обеспечить их целостность и подтвердить их составление уполномоченным на это лицом.

Признание электронных сообщений, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью, должно осуществляться в соответствии со статьей 6, 63-ФЗ «Об электронной подписи".

Как видно, рассматриваемые пункты в обоих положениях почти дословно совпадают, поэтому далее будем рассматривать их как единый пункт. А под финансовыми организациями будем понимать как кредитные, так и некредитные.

В настоящее время наибольшее количество дискуссий вызывает первый абзац рассматриваемого пункта. Экспертное сообщество по сути разделилось на два лагеря – одни эксперты говорят, что теперь финансовым организациям вместо использования уже привычных SMS и PUSH-уведомлений необходимо будет в обязательном порядке искать альтернативы, способные обеспечить целостность и авторство отправляемых электронных сообщений. Другие говорят, что можно будет остаться на SMS и PUSH, ограничившись небольшими доработками. Центральный банк пока же воздерживается от официальных комментариев по этому поводу.

Мы же, со своей стороны, не дожидаясь комментариев ЦБ РФ, предположим в нашей статье, что в соответствии с 683/684-П или по каким-то иным причинам, финансовым организациям придется искать альтернативу SMS и PUSH-уведомлениям.

Далее перейдем к анализу второго абзаца. Для этого обратимся к указанной в нем ст.6, 63-ФЗ (рассмотрим только пункты, относящиеся к обсуждаемому вопросу).

"Статья 6. Условия признания электронных документов (далее – ЭД), подписанных ЭП, равнозначными документам на бумажном носителе, подписанным собственноручной подписью
  1. Информация в электронной форме, подписанная КЭП признается ЭД, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, и может применяться в любых правоотношениях в соответствии с законодательством РФ, кроме случая, если ФЗ или принимаемыми в соответствии с ними НПА установлено требование о необходимости составления документа исключительно на бумажном носителе.
  2. Информация в электронной форме, подписанная ПЭП или НЭП, признается ЭД, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, в случаях, установленных ФЗ, принимаемыми в соответствии с ними НПА или соглашением между участниками электронного взаимодействия. НПА и соглашения между участниками электронного взаимодействия, устанавливающие случаи признания ЭД, подписанных НЭП, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны предусматривать порядок проверки электронной подписи. НПА и соглашения между участниками электронного взаимодействия, устанавливающие случаи признания ЭД, подписанных ПЭП, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны соответствовать требованиям статьи 9 настоящего ФЗ".
Пойдем теперь по цепочке и рассмотрим пункты ст.9, 63-ФЗ, относящиеся к обсуждаемому вопросу:

"Статья 9. Использование ПЭП
  1. ЭД считается подписанным ПЭП при выполнении в том числе одного из следующих условий:
  2. 1) ПЭП содержится в самом ЭД;
    2) ключ ПЭП применяется в соответствии с правилами, установленными оператором ИС, с использованием которой осуществляются создание и (или) отправка ЭД, и в созданном и (или) отправленном ЭД содержится информация, указывающая на лицо, от имени которого был создан и (или) отправлен ЭД.
  3. НПА и (или) соглашения между участниками электронного взаимодействия, устанавливающие случаи признания ЭД, подписанных ПЭП, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны предусматривать, в частности:
  4. 1) правила определения лица, подписывающего ЭД, по его ПЭП;
    2) обязанность лица, создающего и (или) использующего ключ ПЭП, соблюдать его конфиденциальность".
И наконец, обратимся к определениям ПЭП, НЭП, КЭП в 63-ФЗ:

ПЭП является ЭП, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования ЭП определенным лицом.

НЭП является ЭП, которая:

1) получена в результате криптографического преобразования информации с использованием ключа ЭП;
2) позволяет определить лицо, подписавшее ЭД;
3) позволяет обнаружить факт внесения изменений в ЭД после момента его подписания;
4) создается с использованием средств ЭП.

КЭП является ЭП, которая соответствует всем признакам НЭП и следующим дополнительным признакам:

1) ключ проверки ЭП указан в квалифицированном сертификате;
2) для создания и проверки ЭП используются средства ЭП, имеющие подтверждение соответствия требованиям, установленным в соответствии с настоящим ФЗ.

Подводя итоги, посмотрим, смогут ли все-таки финансовые организации продолжить использование SMS и PUSH уведомлений (по сути являющихся реализацией ПЭП. Из определения ПЭП и положений ст.9, 63-ФЗ следует, что это маловероятно. Если факт составления указанного электронного сообщения уполномоченным на это лицом (авторство) еще можно как-то доказать, прописав в соответствующих соглашениях, то обеспечить целостность средствами ПЭП без применения криптографических средств, практически невозможно. Даже по определению ПЭП – обеспечение целостности не ее задача.

Остается либо использовать НЭП, либо КЭП. В данном случае, при выборе между НЭП и КЭП есть всем известные за и против. Но в любом случае рекомендуем использовать именно сертифицированные ФСБ средства ЭП (в случае с КЭП это обязательное условие), т.к. их использование существенно снижает риски организации по оспариванию подписи клиентом, в том числе в суде. При этом, в случае, если  организацией будет использоваться НЭП, ей потребуется подписать со своими клиентами соответствующее соглашение, устанавливающее случаи признания ЭД, подписанных НЭП, равнозначными документам на бумажных носителях, подписанным собственноручной подписью. Данное соглашение (в соответствии со ст.6, 63-ФЗ)  должно будет предусматривать порядок проверки электронной подписи, что не должно стать для  организации какой-то проблемой.

Если же организация захочет замахнуться на КЭП для решения обсуждаемой задачи, то в этом случае ей потребуется либо аккредитовать свой УЦ, либо воспользоваться услугами стороннего коммерческого аккредитованного УЦ для получения квалифицированных сертификатов.

При этом и в случае с НЭП и в случае с КЭП - в качестве технических средств ЭП для решения поставленной задачи можно использовать, например, решение КриптоПро myDSS, которое представляет собой совместную разработку компаний КРИПТО-ПРО и SafeTech на базе программно-аппаратного комплекса облачной электронной подписи (ЭП) КриптоПро DSS и системы подтверждения электронных транзакций PayControl. На данный момент КриптоПро myDSS является единственным на рынке сертифицированным ФСБ решением, способным решить поставленную задачу. Подробнее о решении можно почитать тут.

Ну, и в заключение не очень приятный сюрприз. 683-П и 684-П официально опубликованы 21 мая и оба вступают в силу через 10 дней после опубликования, т.е. 1 июня 2019 года (за исключением некоторых пунктов, к которым п. 5.1 и п.10, соответственно, не относятся). Т.е. принимать соответствующие решения и переходить к реализации требований финансовым организациям формально нужно уже сейчас.