Что такое ндв в информационной безопасности
Недекларированные возможности и доверенное ИКТ-оборудование как способ противодействия
Руслан Пермяков, заместитель директора по развитию, СиБ
Сегодня мы наблюдаем процесс, аналогов которому не было в истории человечества, – информационное связывание отдельных людей, компаний, стран. Возможности, предоставляемые современными ИT-технологиями, проявляются в полной мере только при подключении к Интернету. Мгновенный доступ к интересующей информации, подключение к корпоративным ресурсам, принятие решения практически в любой точке мира и возможность оперативно донести его до всех заинтересованных лиц – мощные стимулы для установления информационных связей корпоративных ИС с внешними сетями. Данный процесс фактически необратим вследствие низкой эффективности компаний, отрезанных от международной информационной среды.
К сожалению, в сложившейся ситуации присутствуют не только потенциал для роста эффективности управления бизнесом, но и риски, связанные с обеспечением безопасности информационных систем компаний и государственных органов. С такой проблемой в последнее десятилетие столкнулись практически все страны мира. Естественно, предпринимаются попытки использовать уязвимость информационных систем в личных или государственных целях, что порождает проблему, названную «обеспечение кибербезопасности». Основное ее отличие от проблемы информационной безопасности заключается в том, что кибербезопасность рассматривает вопрос влияния компьютерных технологий на общественную жизнь в комплексе. Одним из инструментов достижения нелегитимных целей является механизм недекларированных возможностей (НДВ).
Что такое НДВ
Проблема недекларированных возможностей тесно связана с проблемой доверия программному и аппаратному обеспечению. Так почему в современном научном направлении исследуется проблема доверия, а не безопасности информационной системы (ИС)?
Информационные системы являются, по сути, сложными системами[1] в терминах системного анализа. Вследствие этого для современных ИС исключается возможность построения исчерпывающей математической модели, что не позволяет выявить все ошибки в исследуемой ИС. Основа для взлома ИС – эксплуатация злоумышленником ошибок или оставленных специальных участков кода, так называемых закладок, которые являются недекларированными возможностями той или иной рассматриваемой ИС.
Для решения данной проблемы было введено понятие доверенной системы как системы, прошедшей формальное тестирование, которое позволяет говорить об определенном уровне доверия в заранее определенных условиях эксплуатации. При этом не следует путать понятие доверенной системы и заслуживающей доверия. Замечательный пример различия этих двух параметров приведен в книге [3]: «Предположим, в туалете аэропорта Нью-Йорка задержан сотрудник АНБ США, передающий государственные секреты сотруднику иностранной разведки. В данном случае этот сотрудник является доверенным, но не заслуживающим доверия».
Проблема доверия и выявления НДВ в ИС различного назначения будет актуальной всегда вследствие того, что сложность разрабатываемых ИС всегда будет опережать возможности по анализу этих систем, так как оба процесса основываются на одном математическом аппарате.
Актуальность проблемы обеспечивает и широкое использование ИT, в том числе на объектах оборонного комплекса и обеспечивающих социально значимые потребности общества (например, энергетика, информирование или банковская сфера).
Проблема современных доверенных систем требует решения на всех этапах создания современной ИС – от доверенной разработки безопасных аппаратных компонентов и написания доверенного программного обеспечения с контролем отсутствия НДВ на всех этапах разработки до интеграции готовой ИС на предприятии заказчика. В данном случае мы сталкиваемся с большим количеством проблем системного характера, начиная от низкой квалификации программистов с точки зрения осведомленности о приемах безопасного программирования до отсутствия национальных сред разработки и компиляторов, имеющих возможность внести НДВ на этапе компиляции программного продукта.
Способы противодействия НДВ
Противодействие НДВ в современных ИС сводится к процедурам уменьшения рисков, связанных с внедрением и использованием НДВ в конкретных ИС.
Особенностью НДВ, внедренных в программно-аппаратный комплекс (ПАК), является в большинстве случаев предполагаемое использование такого рода закладок для несанкционированного доступа (НСД) к системным ресурсам и информации. Другим распространенным назначением средств, реализующих НДВ, являются атаки направленные на нарушение свойств доступности и целостности целевой системы. Для определения способов защиты объектов информатизации широко используется и моделирование действий злоумышленника в целевой системе. В данной статье мы будем рассматривать некую абстрактную ИС, что не позволяет проанализировать конкретные сценарии использования НДВ в системах, но дает возможность сделать выводы об основных условиях использования НДВ.
Для определенности сделаем несколько предположений.
Во-первых, предположим, что функционал, реализующий НДВ, внедряется либо на этапе разработки ПО или ПАК, либо на этапе поставки и сопровождения, субъектами, не имеющими постоянного доступа к целевой ИС. Для примера можно указать разработчиков программного обеспечения и/или аппаратного решения в компании-разработчике. Отдельно стоит отметить сотрудников отдела разработки программного обеспечения для внутренних нужд компании. Также следует учесть возможность внедрения НДВ в обновления ПО и при установке ПО, работающего на уровнях ИС, близких к ядру системы: драйверы, различного рода активаторы и т. п.
Во-вторых, можно сделать обоснованное предположение, что автор НДВ не имеет постоянного легитимного доступа к целевой ИС, поскольку в этом случае эффективнее использовать уже существующие в ИС механизмы для достижения его целей, т. е. можно говорить об обязательном разнесении во времени события создания и использования НДВ.
В-третьих, автору НДВ необходимо иметь устойчивый канал связи с целевой системой или заранее определить логическое условие для срабатывания функционала НДВ.
Проанализировав различные сценарии использования НДВ в различных средах, мы можем определить основные условия реализации возможностей, предоставляемых закладками:
Таким образом, можно выделить следующие направления по управлению рисками внедрения НДВ в ПО и ПАК: выявление и блокирование самих НДВ; разрушение возможных нелегитимных каналов связи между целевой ИС и злоумышленником; сохранение в тайне условий и целей функционирования ИС.
К сожалению, мы не можем с достаточной степенью уверенности говорить о наличии или об отсутствии НДВ на основании анализа ПО и ПАК, поэтому строится комплексная защита ИС с реализацией защитных функций по трем перечисленным направлениям.
Важную роль при разработке СЗИ доверенных ИС играет оборудование, прошедшее контроль наличия НДВ в соответствии с требованиями ФСТЭК. Имея в арсенале СЗИ доверенные объекты, интегратор или собственник ИС может создать доверенное ядро СЗИ ИС и в дальнейшем использовать информацию, полученную от доверенных элементов ИС для оперативного принятия управленческих решений и развития СЗИ.
В зависимости от важности и категории объекта, на котором функционирует ИС, выделяются основные функции, контролируемые независимыми экспертами из лицензируемой организации (например, авторизация и аутоинтефикация, контроль доступа к системе хранения данных, управление исполнительными механизмами). Также в соответствии с предполагаемой категорией ИС и классом обрабатываемой информации определяются требования к контролю НДВ. Выделяются четыре уровня контроля, определяющие требования к составу испытаний, – от простейших формальных процедур контроля до анализа алгоритмов работы и поиска определенных паттернов в исходном коде.
О роли контролирующих органов
Проблема импортозамещения для России является актуальной на протяжении последних 20–25 лет. Очевидно, что отечественная цифровая техника на сегодняшний день не способна конкурировать с иностранными аналогами. Следует также отметить, что с учетом нарастающего соперничества в области кибербезопасности риск наличия НДВ оценивается как высокий.
Возрастание спроса на доверенные системы, связанные с введением регуляторами новых нормативных документов, безусловно, порождает формирование рынка этих средств, прежде всего в количественном выражении.
Однако роль контролирующих органов при формировании этого рынка должна быть предельно сдержанной и сбалансированной. С одной стороны, как уже было сказано, мы сталкиваемся с важным и эффективным механизмом поддержки российского производителя, с другой – в условиях отсутствия конкуренции со стороны иностранных компаний отрасль рискует оказаться в технологическом тупике, с решениями, отстающими от мирового уровня на десятилетия. Очевидно, что перед контролирующими органами в данном случае стоит весьма нетривиальная задача.
Основные потребители доверенных решений
Особенностью развития рынка доверенных решений в XXI в. является его выход за пределы офисных решений, хорошо известных и проработанных специалистами всего мира. Сегодня в зону ответственности служб информационной безопасности попадают объекты, по сути своей далекие от традиционного подхода к безопасности (например, системы управления технологическими процессами или решения класса «Интернет вещей»).
Новые требования предъявляются и к традиционным для офисных сетей элементам, но уже на новом технологическом уровне. Увеличение вычислительной мощности, размеров оперативной памяти и объемов носителей информации позволяет создавать интеллектуальные системы для решения задач, традиционно не использующих продвинутые решения. Например, практически все современные офисные высокопроизводительные множительные устройства представляют собой полноценные серверные решения на базе одной из распространенных ОС со всеми присущими ей проблемами. Смарт-телевизоры, офисные роутеры позволяют злоумышленнику разместить код, реализующий НДВ.
Потенциальным потребителем доверенного оборудования является фактически любая компания независимо от формы собственности. Существенным препятствием на пути внедрения доверенных решений является цена, часто неоправданно высокая, если судить по критерию «цена/качество». Ни руководство компаний, ни администраторы, ни офицеры безопасности не могут определить преимущество, предоставляемое решениями, прошедшими процедуру сертификации, кроме как соответствие требованиям законодательства и регуляторов. Как следствие, основными потребителями решений этого класса остаются государственные органы и компании, обрабатывающие охраняемую законом информацию (например, персональные данные, государственную тайну или объекты ключевой инфраструктуры). Сегодня мы не можем говорить о сложившемся свободном рынке доверенных решений в силу жесткого регулирования, высокой стоимости и длительности сертификационных процедур.
Перспективы доверенного ИКТ-оборудования на рынке
Важным аспектом, влияющим на развитие рынка доверенного ИКТ-оборудования, является позиция регуляторов относительно процедуры подтверждения соответствия требованиям по безопасности. На сегодняшний день существует только одна рабочая процедура – сертификация. Развитие альтернативных способов подтверждения соответствия – обязательная декларация о соответствии или признании сертификатов других стран как пример наиболее очевидных шагов по стимулированию развития рынка доверенных решений.
При изменении политики сертификации средств защиты информации и ценовой политики ведущих вендоров для бизнес-систем рынок доверенных решений, безусловно, будет расти.
Другой сдерживающий фактор для доверенных решений – принципиальное отсутствие функциональных, лицензионных и качественных различий для конечного потребителя между решениями, прошедшими процедуру оценки соответствия и не прошедшими таковую, даже в рамках одного производителя. За дополнительные деньги потребитель получает только голографическую наклейку и несколько бумажных формуляров, которые он должен заполнять. Не предусмотрены гарантии безопасности решения или хоть какая-то ответственность производителя или испытательной лаборатории относительно качества сертифицированного продукта, что для бизнеса является решающим фактором при принятии решения о приобретении продукта.
[1] Сложная система – система, состоящая из множества взаимодействующих составляющих (подсистем), вследствие чего сложная система приобретает новые свойства, которые отсутствуют на подсистемном уровне и не могут быть сведены к свойствам подсистемного уровня [1].
Уровни защищенности персональных данных
При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных.
Для определения уровня защищенности необходимо установить категории обрабатываемых персональных данных субъектов (физических лиц), вид обработки по форме отношений между субъектами и организацией, количество субъектов, а также тип угроз актуальных для информационной системы.
Категории обрабатываемых персональных данных (ПДн), подразделяются на 4 группы:
1 группа — специальные категории ПДн, персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных.
2 группа — биометрические ПДн, сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных.
3 группа — общедоступные ПДн, персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О персональных данных», то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом;
4 группа — иные категории ПДн, не представленные в трех предыдущих группах.
По форме отношений между вашей организацией и субъектами обработка подразделяется на 2 вида:
По количеству субъектов, ПДн которых обрабатываются, нормативным актом определены лишь 2 категории:
И наконец, типы актуальных угроз:
В соответствии с требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утверждёнными Постановлением Правительства РФ от 01.11.2012 № 1119, для ИСПДн актуальны угрозы 3-го типа, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
Угрозы 1-го и 2-го типа не актуальны в связи с тем, что работа ИСПДн планируется на лицензионном системном программного обеспечении, в защищённой информационной среде, созданной на основе сертифицированных средств защиты информации.
Документы по сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации
Выписка из Требований по безопасности информации, утвержденных приказом ФСТЭК России от 2 июня 2020 г. N 76
| 95 КБ | 6799 | |
| 487 КБ | 1600 |
приказом ФСТЭК России
от 2 июня 2020 г. N 76
Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий
(выписка)
I. Общие положения
1. Настоящие Требования являются обязательными требованиями в области технического регулирования к продукции (работам, услугам), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа (далее – требования по безопасности информации), применяются к программным и программно-техническим средствам технической защиты информации, средствам обеспечения безопасности информационных технологий, включая защищенные средства обработки информации (далее – средства), и устанавливают уровни, характеризующие безопасность применения средств для обработки и защиты информации, содержащей сведения, составляющие государственную тайну, иной информации ограниченного доступа, а также для обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации (далее – уровни доверия).
2. Настоящие Требования разработаны в соответствии с постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608 «О сертификации средств защиты информации» (Собрание законодательства Российской Федерации, 1995, N 27, ст. 2579; 2010, N 18, ст. 2238), постановлением Правительства Российской Федерации от 15 мая 2010 г. N 330 «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения», приказом ФСТЭК России от 3 апреля 2018 г. N 55 «Об утверждении Положения о системе сертификации средств защиты информации» (зарегистрирован Минюстом России 11 мая 2018 г., регистрационный N 51063; официальный интернет-портал правовой информации http://www.pravo.gov.ru, 14 мая 2018 г.).
3. Выполнение настоящих Требований является обязательным при проведении работ по оценке соответствия (включая работы по сертификации) средств технической защиты информации и средств обеспечения безопасности информационных технологий, организуемых ФСТЭК России в пределах своих полномочий в соответствии с Положением о системе сертификации средств защиты информации, утвержденным приказом ФСТЭК России от 3 апреля 2018 г. N 55 «Об утверждении Положения о системе сертификации средств защиты информации».
II. Общие требования по безопасности информации
4. Для дифференциации требований по безопасности информации к средствам устанавливается 6 уровней доверия. Самый низкий уровень – шестой, самый высокий – первый.
5. При проведении сертификации средства защиты информации должно быть подтверждено соответствие средства настоящим Требованиям.
Устанавливается следующее соответствие классов средств защиты информации и средств вычислительной техники уровням доверия:
средства защиты информации 6 класса должны соответствовать 6 уровню доверия;
средства защиты информации 5 класса должны соответствовать 5 уровню доверия;
средства защиты информации 4 класса и средства вычислительной техники 5 класса должны соответствовать 4 уровню доверия.
6. Средство соответствует уровню доверия, если оно удовлетворяет требованиям к разработке и производству средства, проведению испытаний средства, поддержке безопасности средства, приведенным в таблице 1.
Как определить уровень защищенности информационных систем
Верное определение уровня защищенности персональных данных важно для принятия адекватных мер защиты. Если уровень завышен — деньги потрачены зря. Учреждения здравоохранения используют множество информационных систем персональных данных, поэтому рассмотрим параметры определения уровня защищенности на примере медиков.
Правительство Российской Федерации устанавливает перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных».
Таким образом, сейчас перечень обязательных организационных и технических мер по обеспечению безопасности персональных данных определяется в соответствии с установленным для информационной системы уровнем защищенности персональных данных.
В свою очередь уровни защищенности персональных данных при их обработке в информационных системах определяются исходя из следующих условий:
1) категория субъектов персональных данных, чьи персональные данные обрабатываются в информационной системе: сотрудники или иные лица;
2) количество субъектов персональных данных, чьи персональные данные обрабатываются в информационной системе: до 100 000 или более 100 000;
3) категория персональных данных, обрабатываемых в информационной системе:
4) тип актуальных угроз безопасности персональных данных:
Чем выше определен уровень защищенности персональных данных, тем больше мер по обеспечению безопасности персональных данных требуется выполнить. Если по ошибке определить более высокий уровень защищенности, то, соответственно, придется строить более дорогую систему защиты персональных данных. Рассмотрим типовые варианты информационных систем, которые используются в большинстве медицинских учреждений.
Защита типовой системы: скромно и со вкусом
Организация защиты информации в медицинском учреждении строится на общих принципах защиты ИСПДн. Например, практически в любом учреждении здравоохранения установлена типовая информационная система персональных данных для учета кадров и расчета зарплаты.
Субъекты обработки персональных данных в этом случае — сотрудники организации, а цель обработки ПДн — обеспечение соблюдения в отношении сотрудника законодательства Российской Федерации в сфере трудовых и непосредственно связанных с ними отношений. В такой информационной системе не ведется обработка биометрических или специальных категорий персональных данных, а значит, определение уровня защищенности будет зависеть от актуальных угроз безопасности персональных данных, определенных для данной информационной системы. В большинстве случаев для подобного рода информационных систем актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, а следовательно, в информационной системе необходимо будет обеспечить четвертый уровень защищенности персональных данных, т. е. потребуется выполнение минимального перечня организационных и технических мер.
ИС федерального масштаба: все, как у людей
Федеральный регистр медицинских работников (ФРМР) — система, предназначенная для сбора, хранения и обработки данных учета медицинского персонала субъектов Российской Федерации, а также для контроля распределения и перемещений медперсонала. Как и в описанной выше информационной системе, в ФРМР не ведется обработка биометрических или специальных категорий персональных данных, и при схожих характеристиках в ФРМР требуется обеспечить такой же уровень защищенности.
Несмотря на то что категория субъектов ПДн и обрабатываемые данные в обеих системах практически аналогичны, объединять их в одну ИС все же не стоит, поскольку цели обработки ПДн в первом случае — это исполнение требований трудового законодательства, а во втором — требований Министерства здравоохранения и социального развития Российской Федерации.
Медицинские информационные системы: зона особого внимания
С помощью медицинских информационных систем сотрудники медицинских организаций решают целый ряд задач:
При определении уровня защиты для медицинских информационных систем следует принимать во внимание ряд факторов:
В зависимости от количества обрабатываемых субъектов персональных данных и типа актуальных угроз безопасности в МИС требуется обеспечить второй или третий уровень защищенности персональных данных.
Прочие информационные системы в сфере здравоохранения
В зависимости от инфраструктуры и задач учреждения в организации могут функционировать и иные ИС. Для них действует точно такой же алгоритм определения требуемого уровня защищенности ПДн, что и для систем, речь о которых шла выше.
Если субъекты и цель обработки ПДн в нескольких информационных системах совпадают, то их можно объединить и выстроить для них единую систему защиты персональных данных.
В заключение напомним, что уровень защищенности персональных данных в информационных системах определяется оператором персональных данных самостоятельно, а следовательно, и выбор организационных и технических мер по защите персональных данных лежит на плечах оператора. Однако не стоит забывать, что завышение уровня защищенности приведет к увеличению стоимости системы защиты персональных данных, а занижение уровня защищенности персональных данных является нарушением. Дабы не ломать себе голову вопросом «а правильно ли я классифицировал ИС?», доверьтесь профессионалам.
Максим Малкиев, эксперт по защите информационных систем персональных данных компании «СКБ Контур», проект «Контур-Безопасность»
Не пропустите новые публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.