ПП-1119 та загрози 1 типу
У п.6 Постанови Уряду №1119 зазначено: Загрози 1-го типу є актуальними для інформаційної системи, якщо для неї в тому числі актуальні загрози, пов'язані з наявністю недокументованих (недекларованих) можливостей у системному програмному забезпеченні, що використовується в інформаційній системі.
Як визнати неактуальність загрози порушення цілісності/доступності/конфіденційності засобами НДВ ОС Windows в інформаційній системі, чи це автономне автоматизоване робоче місце чи ЛОМ з виходом в Інтернет? Потрібен певний критерій (імовірнісна оцінка, вольове рішення) визначення актуальності загроз цілісності/доступності/конфіденційності, які можна реалізовані засобами НДВ ОС Windows. Іншими словами, для яких інформаційних систем, що функціонують під керуванням Windows, загрози 1-го типу не є актуальними?
Відповіді це питання немає. Думки розділилися рівно порівну. Той же Олексій Лукацький оптимістично заявляє, що можна сміливо писати «загрози НДВ неактуальні» і уникати 1-2 рівнів. Інші, більш обережні, вважають, що так просто не позбутися. Якоїсь методики чи критеріїв, що дозволяють сказати, що в даному випадку загрози не є актуальними, наскільки мені відомо, немає.
Спробую міркувати з погляду здорового глузду (який до теми захисту ПДН може бути не застосовним). Якщо я підозрюю, що порушник, який проти мене діятиме, у своєму арсеналі пакостей має одну, яка дозволить йому скористатися якоюсь НДВ у обладнанні, що використовується мною, то я використовуватиму перевірені (сертифіковані ) СВТ. Якщо ж мої передбачувані противники не так просунуті, я вважатиму НДВ неактуальною.
Я б при складанні Моделі погроз проробляв цей момент в описіможливостей порушника (модель порушника) і на кшталт “Використовуються сертифіковані засоби захисту та серійно випускаються зразки СВТ від відомих постачальників-виробників.” Ну, коротше, ретельно обгрунтовував би неактуальність.
Плюс є шанс, що такий важливий момент буде прояснено в подальших документах регуляторів, але надії мало…
Усі правильно вище помітили, у нас, як завжди, в законодавстві щось напишуть, а як це робити — незрозуміло. З погрозами НДВ відбулося так само як і з тим, що оператори ПДН повинні визначати величину шкоди суб'єктам ПДн при порушенні конфіденційності цих самих ПДН, а як визначати цю величину шкоди, ніякої методики немає.
Про загрози НДВ, як уже сказали, розробляйте модель порушника та модель загроз, послідовно обґрунтовуючи неактуальність цих загроз. Наприклад, якщо беремо внутрішнього порушника, пишемо, що у вас розроблена організаційно-розпорядча документація, всі співробітники, допущені до обробки ПДН підписали угоду про нерозголошення, проводяться періодично заходи щодо контролю за дотриманням конфіденційності ПДн, а якщо і знайдеться інсайдер, то у нас є СЗІ від НСД, які фіксують усі дії користувачів у журналах. Що стосується зовнішнього порушника, доводити можна якраз оціненою шкодою та цінністю ваших ПДН. Мовляв, ваша ІСПДн не цікава закордонним спецслужбам чи кримінальним угрупованням, тому ніхто не за великі гроші найматиме хакера, які знає всі вразливості нульового дня, та до того ж у вас є фаєрволи, мережеві сканери, ви вчасно встановлюєте останні патчі і тд.