13 июл. 2011 г.

Сложность противостояния угрозам

Согласно закону о персональных данных каждой компании нужно написать модель угроз и затем принять меры для противодействия этим угрозам. Во многих источниках идет полемика насколько сложно и дорого это все сделать.

Во-первых, набрав в google "МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ" легко обнаружить кучу таких моделей угроз в формате WORD, так что с моделью все понятно. Вот, например, первая ссылка на эту тему admin.smolensk.ru/www.fstec.ru/pers/model.doc Очевидно это заполнено на базе документа ФСТЭК www.fstec.ru/_spravs/metodika.doc

Во-вторых, посмотрев на любую модель можно написать список мер, вдобавок можно даже найти в форумах структуру документа, который может быть составлен:
1. АНАЛИЗ ИСПДН
1.1. Анализ ЛВС
1.2. Сведения о содержании обрабатываемых персональных данных
1.3. Границы контролируемых зон
1.4. Категории пользователей среды функционирования ИСПДн и передачи данных
2. ХАРАКТЕРИСТИКИ ИСПДН
3. ЗАЩИЩАЕМЫЕ РЕСУРСЫ ИСПДН
4. ИСТОЧНИКИ УГРОЗ БЕЗОПАСНОСТИ ПДН В ИСПДН
4.1. Классификация нарушителей
4.2. Предположения об имеющейся у нарушителя информации об объектах атак
4.3. Предположения об имеющихся у нарушителя средствах атак
4.4. Описание каналов угроз
4.5. Носитель вредоносной программы
5. МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ИСПДН
5.1. Определение уровня исходной защищенности
5.2. Угрозы безопасности
5.3. Определение вероятности и возможности реализации угроз
5.4. Оценка опасности и актуальности угроз
6. ВЫВОДЫ

Но в итоге понимаешь что все заточено на то, чтобы люди подписывались покупать услуги безопасников для создания всех этих документов.

Вообще, читать документ ФСТЭК под названием "БАЗОВАЯ МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ" нельзя. Он больше напоминает диссертацию, а не документ в помощь людям. Если уж мне смотреть на него страшно, то могу представить какую-нибудь заведующую детским садом. И потом угрозы утечки перс. данных по электромагнитным каналам (в простонародье ПЭМИН) вызывают у меня сомнения, как и вообще приведенная классификация и методы, например применение nmap для сбора информации об ИСПДН - круто! Прикидываю - прохожу внутрь контролируемой зоны школы, предварительно сдав свои электронные устройства в камеру хранения, вхожу в школьный Security Operation Center и вижу как добавляются новые хосты по WiFi и сразу работает NAC, как логинятся учителя и ученики в базу данных, как происходит установка патчей и как происходит анализ поведения подключившихся по VPN и контролируются утечки ПД по электронной почте и скайпу. Сказка. Почему-то хочется написать свою классификацию.

1 комментарий:

  1. Если! Если у детского сада будет IT-инфраструктура как у крупных компаний, защиту персданных придется делать серьезную(если территория будет размером с НПЗ, по ней придется пускать транспорт, а если он будет на Луне, всем понадобятся скафандры). Не хочешь/можешь экранироваться от Интернет - не выставляй обработку в Интернет.

    ОтветитьУдалить