Доклад на v воронежском форуме ver. 0.3

Обеспечение информационной безопасности

в государственных информационных системах в современных условиях

Владимир МинаковФАУ «ГНИИИ ПТЗИ ФСТЭК России»

V ВОРОНЕЖСКИЙ ФОРУМ ИНФОКОММУНИКАЦИОННЫХ И ЦИФРОВЫХ

ТЕХНОЛОГИЙ Воронежская область, Сити-парк «Град», 20 августа 2015 г.

Межрегиональная практическая конференция Практические подходы в построении «Безопасного города»:

вопросы организации защиты информации

V Воронежский форум инфокоммуникационных и цифровых технологий Воронежская область, Сити-парк «Град»,

20 августа 2015 г. 2

Правовые аспекты построения и развития комплекса "Безопасный город"

Распоряжение Правительства Российской Федерации от 3 декабря 2014 г. № 2446-р

• Целью построения и развития комплекса "Безопасный город" является повышение общего уровня общественной безопасности … путём внедрения … комплексной информационной системы …

Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 года N 149-ФЗ

• Государственные информационные системы – федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов

• Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются ФСБ России и ФСТЭК России, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям



Методическое обеспечениеМетодические документы

ФСТЭК России Национальные стандарты

Нормативно-правовое, методическое и информационное обеспечение защиты

государственных информационных систем

Нормативно-правовое обеспечение«Требования о защите информации, содержащейся в государственных информационных

системах», введены приказом ФСТЭК России от 11 февраля 2013 г. № 17

Информационное обеспечениеБаза данных угроз

безопасности информацииБаза данных уязвимостей программного обеспечения

государственных информационных систем



ТРЕБОВАНИЯ О ЗАЩИТЕ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙСЯ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ

Приказ ФСТЭК России от 11 февраля 2013 г. № 17

Формирование требований к системе защиты информации

Разработка системы защиты

информации

Реализация системы защиты


Аттестация ИС и ввод в

эксплуатацию

Эксплуатация системы защиты информации

Защита информации при выводе из эксплуатации

Меры по защите информации

Приложение 1Определение класса

защищённости ГосИС

Приложение 2Базовый состав мер по защите информации для

классов защищённости ГосИС

Нормативно-правовое обеспечение защиты государственных информационных систем



Меры защиты информации, содержащейся в государственных

информационных системах(утверждены)

Методические документы ФСТЭК РоссииМетодика определения угроз безопасности

информации в государственных информационных системах

(Срок окончания разработки – декабрь 2015 г.)

Порядок аттестации информационных систем (перспектива разработки)

Порядок обновления ПО в информационной

системе (перспектива разработки)

Порядок выявления и устранения уязвимостей в информационной системе (перспектива разработки)

Порядок реагирования на инциденты, связанные с

нарушением БИ(перспектива разработки)

Защита информации в ИС при использовании мобильных устройств

(перспектива разработки)

Защита информации в ИС при применении устройств беспроводного доступа

(перспектива разработки)

Методическое обеспечение защиты государственных информационных систем

ГОСТ Р «Защита информации. Уязвимости информационных систем.

Классификация уязвимостей информационных систем»(вводится в действие)

Национальные стандартыГОСТ Р «Защита информации.

Уязвимости информационных систем. Правила описания уязвимостей»

(вводится в действие)



Угрозы информационной безопасности

Основные угрозы информационной безопасности:• нарушение информационного обеспечения деятельности органов государственной власти,

муниципальных предприятий и служб;• перехват трансляций телерадиовещания, систем оповещения и информирования населения;• несанкционированный доступ к информации о деятельности органов государственной власти,

муниципальных предприятий и служб;• несанкционированный доступ к управлению информационными ресурсами; • оказание целенаправленного негативного информационного воздействия на население через

средства массовой информации и сеть "Интернет";• неполная реализация прав граждан в области получения и обмена достоверной информацией, в

том числе манипулирование массовым сознанием с использованием информационно-психологического воздействия;

• провоцирование социальной, межнациональной и религиозной напряжённости через деятельность отдельных (в том числе электронных) средств массовой информации;

• распространение злоупотреблений в кредитно-финансовой сфере, связанных с проникновением в компьютерные системы и сети.

Актуальность мероприятий по обеспечению общественной безопасности, правопорядка и безопасности среды обитания каждого субъекта Российской Федерации в целом и муниципального образования в частности обусловливается наличием различного рода угроз (Распоряжение Правительства Российской Федерации от 3 декабря 2014 г. № 2446-р)



Схема анализа угроз

Базовые модели угроз

Оценка возможностей

нарушителя

Оценка способа

реализации угрозы

Определение наличия

уязвимостей ИС

Оценка критичности уязвимостей

ИС

Актуальность угрозы

безопасности информации

Результаты анализа

Этапы проведения анализа

Национальные стандарты

Банк данных угроз безопасности информации

Частная модель угроз



Правовые аспекты создания Банка данных угроз безопасности информации

Указ Президента России от 16.08.2004 г. № 1085 «Вопросы Федеральной службы по техническому и экспортному контролю»

• ФСТЭК России… проводит работы по выявлению угроз безопасности информации и формирует банк данных по этим вопросам, а также определяет порядок доступа к указанному банку данных

Приказ ФСТЭК России от 11.02.2013 г. № 17

• угрозы безопасности информации определяются по результатам … анализа возможных уязвимостей информационной системы

• при проектировании системы защиты ... обеспечивается устранение возможных уязвимостей

Основаниями для создания и ведения Банка данных угроз безопасности информации являются:



Правовые аспекты создания Банка данных угроз безопасности информации

Положение о банке данных угроз безопасности информации (утверждено Приказом ФСТЭК России № 9 2015 года)

• Положение определяет организацию работ по формированию банка данных угроз …, а также порядок доступа к банку данных …

• Банк … включает базу данных уязвимостей информационных и коммуникационных технологий, а также перечень и описание угроз БИ, наиболее характерных для ГосИС, ИСПДн и АСУ ТП на КВО

• В банке данных … содержится информация об уязвимостях и угрозах БИ, полученная по результатам анализа данных, опубликованных в общедоступных источниках, в том числе в информационно-телекоммуникационной сети Интернет


20 августа 2015 г. 10

Цель и задачи банка данных

• Создание единой системы учета, хранения и предоставления информации об угрозах безопасности информации и уязвимостях программного обеспечения государственных ИС и КСИИ

Цель создания и ведения Банка данных угроз

• Выявление, анализ и проверка сведений об уязвимостях

• Внесение сведений об уязвимостях и угрозах• Поддержание информации об уязвимостях в

актуальном состоянии• Предоставление доступа к хранимой информации• Своевременное информирование о новых

уязвимостях и организация работ по их устранению

Задачи, решаемые при ведении банка

данных угроз

• Сведения об уязвимостях программного обеспечения только государственных ИС и КСИИ;

• «Одна уязвимость – одно программное обеспечение»

Используемые подходы


20 августа 2015 г. 11

Пользователи

• В рамках полномочийОрганы власти

• Разработка моделей угроз для информационных систем• Контроль защищённости информационных систем на

этапе эксплуатации

Обладатели информации, заказчики и (или) операторы

информационных систем

• Разработка моделей угроз для информационных систем• Проектирование информационных систем

Разработчики информационных систем

• Сертификационные испытания средств защиты информации

Разработчики средств ЗИ, заявители на сертификацию

средств ЗИ, органы по сертификации,

испытательные лаборатории

• Повышение уровня знаний об уязвимостях и угрозах безопасности информации

Специалисты по защите информации


20 августа 2015 г. 12

Отличительный аспект

Аналоги

• NVD/CVE • Security Tracker• OSVDB • Secunia Advisory• Positive Security Advisory • ISS X-Force• RedTeam Pentesting • RedHat Security Announce

Отличительная особенность Банка данных угроз

• Целевая направленность – «во главу угла» определено программное обеспечение ГосИС, ИСПДн и АСУ ТП в КВО


20 августа 2015 г. 13

Интернет

Банк данных угроз безопасности информации

Пользователи Банка данных

База данных

уязвимостей

База данных

угроз

Базы данных

RSS/Atom

Термины и определения

Web-интерфейс

Калькулятор CVSS

Документы

Архитектура банка данных


20 августа 2015 г. 14

Описание угроз

• Угроза <действия> <над объектом>Название угрозы

• Описание действий по реализации угрозыОписание угрозы

• нарушитель с потенциаломИсточник угрозы

• Данные/программы/системы/аппаратураОбъект

воздействия (защиты)

• Нарушение конфиденциальности и(или) целостности и(или) доступности

Последствия реализации

угрозы

ВнутреннийВнешний

высокимсреднимнизким

Поле Правило


20 августа 2015 г. 15

Пример описания угрозы


20 августа 2015 г. 16

Описание уязвимостейПоля описаний уязвимостей:

Обязательные• Наименование уязвимости• Идентификатор уязвимости• Описание уязвимости

Рекомендуемые• Идентификаторы других систем

описаний уязвимостей• Тип ошибки• Класс уязвимости• Наименование операционной

системы и тип аппаратной платформы

• Базовый вектор уязвимости• Уровень опасности уязвимости

• Наименование программного обеспечения• Версия программного обеспечения• Дата выявления уязвимости

• Возможные меры по устранению уязвимости• Статус уязвимости• Наличие «эксплойта»• Информация об устранении уязвимости• Ссылки на источники информации• Производитель/разработчик• Прочая информация


20 августа 2015 г. 17

Пример описания уязвимости


20 августа 2015 г. 18

Заполнение банка данных

Потребители Банка данных угроз

Банк данных угроз

безопасности информации

Поставщики сведений для Банка данных угроз

Федеральные органы исполнительной власти

Организации, осуществляющие

работы по созданию ИС Органы власти -

обладателями информации, заказчиками и

(или) операторами ИС


работы по защите


Заявители на обязательную сертификацию

средств ЗИ


создание программно-технических средств,

ПО и средств ЗИ

Органы по сертификации и испытательные

лаборатории

Стенд для анализа и подтверждения

уязвимостей

Исполнители НИР по Заказам

ФСТЭК России

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

Организации, специализирующиеся на поиске уязвимостей

Частные исследователи


20 августа 2015 г. 19

СтатистикаУгрозы

Количество: 175Статистические данные актуальны

по состоянию на 17.08.2015 г.

63%

32%

5%

Потенциал нарушителя

Низкий

Средний

Высокий

28%

27%

45%

Соотношение внешних и внутренних нарушителей

Внешний нарушитель

Внутренний нарушитель

Внутренний или внешний нарушители


20 августа 2015 г. 20

СтатистикаУязвимости

Количество: 11628 (ОС:11527/ЗС:101)Статистические данные актуальны

по состоянию на 17.08.2015 г.

4%

32%

46%

18%

Распределение по уровню опасности

Низкий(CVSS < 4)

Средний(4 <= CVSS < 7)

Высокий(7 <= CVSS < 10)

Критический(CVSS = 10)

80%

2%

4%

12%

2%

Распределение по типу программного

обеспечения

Операционные системы

ПО виртуализации

Сетевое ПО

Прикладное ПО

ПО других типов


20 августа 2015 г. 21

Определение угроз безопасности информацииНа основе Банка данных угроз

Базовый перечень угроз (175)

Выборка перечня угроз с сайта

Отсечение угроз, реализуемых нарушителями слишком высоких уровней

Усечённый перечень угрозПеречень угроз после первой фильтрацииОтсечение угроз, связанных с использованием конкретных ИТ, конкретных видов объектов защиты

Усечённый перечень угрозПеречень угроз после второй фильтрации

Отсечение угроз, не реализуемых ввиду конкретных структурно-функциональных характеристик ИС, подключений к Интернет

Усечённый перечень угрозПеречень угроз после третьей фильтрацииМодель

угроз

База данных угроз(bdu.fstec.ru)


20 августа 2015 г. 22

Определение угроз безопасности информацииНа основе Банка данных угроз

• Быстрота формирования перечня угроз• Формализованность (единообразие всех моделей

угроз безопасности информации)• Обоснованность (перечень потенциальных угроз

сформирован по результатам проведённых НИР)

Преимущества

• Отсутствие полноты всех существующих угроз в Банке данных

• Необходимость экспертного контроля и (при необходимости) дополнения сформированного автоматизированным путём перечня угроз

• Необходимость оценки актуальности угроз для конкретной системы

Недостатки

Business

Доклад на v воронежском форуме ver. 0.3