Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная ФОРУМ Общие вопросы ИБ Обеспечение доверенной загрузки средств вычислительной техники. обязательно ли?
Типовые документы по ИБ

Обеспечение доверенной загрузки средств вычислительной техники. обязательно ли?

Операции с документом
Вверх к Общие вопросы ИБ

Обеспечение доверенной загрузки средств вычислительной техники. обязательно ли?

Послано Егор Бегунов в 19.Сентябрь.2016 22:50

Добрый день!

Получил задание провести аттестацию ИСПДН в медицинском учреждении. Анализ в соответствии с пп РФ 1119 выявил, что необходимо обеспечить 2 уровень защищённости. 

 И тут столкнулся с пунктом УПД17 состава и содержания мер по обеспечению безопасности ПДн 21 приказа ФСТЭК "Обеспечение доверенной загрузки средств вычислительной техники". 

В ИСПДн входят порядком 1500 АРМ. Втыкать в каждое по "Соболю" выйдет очень накладно, да и персонал все ключи растеряет а самое главное возникнут сомнения в моих действиях, так как использовать 2 аппаратных ключа и пароль - это перебор, в общем, на мой взгляд, вреда выйдет от этой меры больше, чем пользы.

Могу ли я перекрыть эту меру другими, например в модели угроз описать, что доступ к АРМ имеют только пользователи, загрузка разрешена только с HDD, ведётся КЦ железа ОС и ПО и вход в систему осуществляется с помощью аппаратного идентификатора(токена). риск получения НСД к  ПДн и несанкционированного изменения ПО, железа и ОС не значителен, поэтому нет необходимости внедрять аппаратные средства доверенной загрузки?

 

 

Re: Обеспечение доверенной загрузки средств вычислительной техники. обязательно ли?

Послано Александр Астахов в 20.Сентябрь.2016 18:21

Во-первых, УПД17 не уточняет, что непременно должны использоваться программно-аппаратные средства доверенной загрузки. Поэтому втыкать платы расширения не обязательно. Можно применять чисто программные СДЗ уровня BIOS, такие как, например, МДЗ-Эшелон, Стаж NT и т.п.

Во-вторых, если и этого не хочется делать, то 21 приказ ФСТЭК допускает использование компенсирующих мер, при наличии соответствующего обоснования:

"10. При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учетом экономической целесообразности на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных. В этом случае в ходе разработки системы защиты персональных данных должно быть проведено обоснование применения компенсирующих мер для обеспечения безопасности персональных данных."

Но применять данное положение можно только на свой страх и риск, т.к. экономическую целесообразность невозможно как-либо измерить без количественной оценке риска. Соответствующих методик оценки риска, официально утвержденных регуляторами не существует, а без них любые ссылки на экономическую целесообразность или нецелесообразность являются ничего не значащими заявлениями. Каких-либо критериев или методик позволяющих сопоставлять различные меры защиты и обосновывать применение одних мер вместо других также не существует. Очевидно, что такие критерии и методики также должны базироваться на оценке риска.

Что касается требований российской нормативной базы по обеспечению доверенной загрузки вообще в целом (а похоже, что такие требования есть только в российской нормативной базе), то, несмотря на мой значительный опыт в этой области, я до сих пор не понимаю в чем заключается смысл данных требований. И как это не парадоксально, ни разу не слышал внятного объяснения. Ведь ситуация достаточно проста. Если у злоумышленника нет физического доступа к внутренностям компьютера, то доверенная загрузка обеспечивается установкой пароля на BIOS. Если есть физический доступ к внутренностям компьютера, то, по-моему должно быть достаточно очевидно, что в этом случае никакими средствами нельзя обеспечить доверенную загрузку. Для самого же злоумышленника тоже непонятен смысл загрузки своей ОС вместо вашей. Единственный смысл - это получение НСД к данным на жестком диске. Но для защиты от этой угрозы существует шифрование ЖД. А для контроля целостности программной и аппаратной части компьютера существуют средства контроля целостности. Это вполне самостоятельные классы средств защиты. Причем здесь доверенная загрузка, которая может быть обеспечена только путем физических мер по контролю доступа к системному блоку?

Вобщем я в свое время сделал для себя вывод, что СДЗ - это чисто российское изобретение, которое используется для впаривания сертифицированных СЗИ своим клиентам отечественными разработчиками, пролоббировавшими включение данных требований в нормативные документы с целью отстройки от иностранных конкурентов, которые даже не подозревают, что в природе существует такой класс сертифицированных СЗИ.

Re: Обеспечение доверенной загрузки средств вычислительной техники. обязательно ли?

Послано Егор Бегунов в 21.Сентябрь.2016 09:08

Спасибо Александр!

Ситуацию спас Secret Net 7 благо он может перекрыть добрую половину требований ФСТЭК.

Признаться у меня стратегические планы поспособствовать руководство сделать выводы, что аттестация всей организации им не нужна так как проводится на добровольной основе и экономически не выгодна. Но пока я человек маленький, с маленьким стажем и на испытательном сроке.

 

Разработано Ploneboard
Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2017 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex