Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная БЛОГИ Александр Астахов Чего не требует от операторов закон "О персональных данных"? (Продолжение)
Protectiva Compliance Manager
Навигация
 

Чего не требует от операторов закон "О персональных данных"? (Продолжение)

Автор: Александр Астахов опубликовано: 18-05-2010 последнее изменение: 05-10-2016

В продолжении темы развенчаем еще один популярный миф, сформировавшийся вокруг закона о персональных данных - " Миф о минимизации класса защищенности ИСПДн".

Начало статьи ...

Заблуждение 3. Стоимость создания системы защиты персональных данных тем выше, чем выше класс ИСПДн, поэтому класс ИСПДн непременно следует минимизировать

Данное заблуждение распространено ничуть не меньше, чем рассмотренные ранее. На тему минимизации класса ИСПДн пишутся статьи, разрабатываются "методики" и проводятся учебные семинары. Многие заказчики включают мероприятия по минимизации класса ИСПДн отдельным пунктом в ТЗ на создание СЗПДн. В чем же заключается сущность столь важных мероприятий?

Считается, что понижая класс ИСПДн с К1 до К2, а с К2 до К3 и т.д., понижаются и требования к системе защиты ПДн, а значит и стоимость ее создания. Звучит на первый взгляд вполне логично. Пока неясно правда насколько в результате снижается стоимость СЗПДн и как такое снижение стоимости соотносится с затратами оператора ПДн на минимизацию класса ИСПДн, т.к. в результате обычно вместо одной ИСПДн более высокого класса у оператора возникает сразу несколько ИСПДн более низкого класса, а значит вместо одного проекта защиты возникает и неколько проектов. Также пока не совсем понятно каких-таких страшных требований безопасности пытается избежать оператор ПДн путем минимизации класса ИСПДн и сколько может стоить реализация данных требований.

Остается под вопросом и легитимность подобных мероприятий "по минимизации класса ИСПДн". Ведь одно дело, когда класс ИСПДн понижается за счет того, что оператор просто отказывается от обработки избыточных данных и совсем другое дело, когда состав и объем обрабатываемой информации фактически не изменяется, состав автоматизированных средств и методы обработки ПДн тоже остаются теми же что и были, а все манипуляции по минимизации класса ИСПДн производятся в основном на бумаге. Признают ли регуляторы впоследствии такую классификацию? Не выйдет ли так, что оператор ПДн в конечном счете перехитрил лишь самого себя?

Допустим, что оператор ПДн или его подрядчик провели предпроектное обследование, разработали модель угроз, честно сформировали акты классификации ИСПДн, затем разработали ТЗ на создание СЗПДн по каждой ИСПДн, затем разработали технический проект(ы) СЗПДн и осметили ее стоимость. Эта стоимость конечно оказалась для оператора непомерно высокой (как и любые затраты на защиту информации вообще) и он конечно озадачился ее снижением.

Каким образом можно снизить стоимость СЗПДн? Вариантов здесь множество:  замена одних СЗИ информации на другие более дешевые, замена наложенных СЗИ встроенными, замена технических мер защиты организационными, разработка более простого и эффективного решения по защите, оптимизация процесса внедрения СЗПДн, пересмотр актуальности определенных угроз (или принятие связанных с ними рисков), оптимизация процессов обработки ПДн и т.п. А может быть для минимизации расходов на создание СЗПДн просто стоит выбрать другого подрядчика или организовать тендер? Сейчас на неорганизованном и дезориентированном рынке ИБ цены на одни и те же работы у разных компаний могут различаться в разы. А может быть для минимизации стоимости СЗПДн просто стоит более внимательно перечитать сам закон и принятые на его основе нормативные документы, а не полагаться полностью на советы консультантов, заинтересованных прежде всего не в минимизации, а в максимизации стоимости проекта?

Допустим, что, рассмотрев все перечисленные выше способы снижения стоимости ИСПДн, оператор все же принимает довольно странное решение о минимизации классов ИСПДн. Какова будет его экономия в этом случае и какие будут дополнительные затраты на такую минимизацию? Допустим оператор снижает класс ИСПДн с К1 до К2, разделив свою ИСПДн (организационно и технически) на несколько, каждая из которых обрабатывает меньший объем ПДн. Согласно РД ФСТЭК "ПОЛОЖЕНИЕ О МЕТОДАХ И СПОСОБАХ ЗАЩИТЫ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ" в этом случае для "вновь появившихся ИСПДн" можно не выполнять следующие требования безопасности:

  • реализация методов и способов защиты акустической информации (п. 3.4) (требование актуально только при применении в информационных системах функции голосового ввода персональных данных в информационную систему или функции воспроизведения информации акустическими средствами информационных систем)
  • оценка соответствия СЗИ по 4 уровню контроля отсутствия недекларированных возможностей (п. 7 Приложения)

И это все отличия (не считая стандартных для РД ФСТЭК различий между требованиями к подсистемам управления доступом, контроля целостности, регистрации и учета, межсетевого экранирования, которые сейчас реализуемы в любых современных системах без дополнительных затрат). Кто не верит - внимательно перечитайте указанный РД.

Средства противодействия ПЭМИН могут применяться в ИСПДн 1 класса в случае актуальности соответствующих угроз (определяется экспертным методом самим же оператором). Про наделавшие в свое время шум лицензии и аттестации ни слова не сказано. Даже понятие сертификации заменено более мягким и мало к чему обязывающим понятием - "оценка соответствия".

В итоге единственным реальным требованием, на котором можно было бы попытаться съэкономить за счет минимизации класса ИСПДн остается оценка соответствия СЗИ по 4 уровню контроля отсутствия НДВ. Учитывая, что практически все отечественные СЗИ, проходящие сертификацию в ФСТЭК, имеют сертификаты по 4 уровню контроля отсутствия НДВ, никакой экономии здесь быть не может. Ведь оценка соответствие требуется и для ИСПДн более низких классов. Поэтому после минимизации класса ИСПДн в проектном решении ровным счетом ничего не меняется, зато вместо одного проекта мы получаем несколько, усложнение структуры ИСПДн и соответствующее увеличение стоимости. В случае минимизации с К2 до К3 бесполезность данного мероприятия еще очевидней.

Еще какой-то выйгрыш по стоимости создания системы защиты для ИСПДн более низкого класса мог теоретически быть получен пока действовали отмененные нормативные документы ФСТЭК. Да и то требования по лицензированию деятельности операторов ПДн в области ТЗКИ все юристы единодушно признавали нелигитимными, а требование по аттестации не сильно увеличивало общую стоимость при грамотном внедрении СЗПДн, т.к. аттестацию ИСПДн можно было совместить с приемо-сдаточными испытаниями, не беря за это дополнительных денег (в случае если весь проект реализуется одним подрядчиком).

Более того, в знаменитом "приказе трех", определяющем порядок проведения классификации ИСПДн, говориться о том, что для специальной ИСПДн (к специальным относят все "информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий)) "класс информационной системы определяется на основе модели угроз безопасности персональных данных", а модель угроз, как известно, определяется самим оператором методом экспертной оценки. Поскольку фактически все ИСПДн можно отнести к специальным, то для них оператор сам может определять и класс и требования по защите на основании разработанной им же модели угроз, не обращая внимания на классы К1-К4, определяемые для типовых ИСПДн.

Как видим, наша нормативная база в области защиты ПДн настолько "гибкая", что и сегодня и раньше мероприятия по "минимизации класса ИСПДн" не имели никакого практического смысла для тех, кто знает как осуществляется разработка и внедрение систем защиты информации и внимательно читает нормативные документы.

PS

Я уже писал ранее об эпидемических внушениях в области информационной безопасности.  Закон о персональных данных послужил тогда, на мой взгляд, очень удачным примером такого эпидемического внушения.  С тех пор ситуация вокруг ФЗ-152 умиляет меня еще больше. Сначала законодатели, потом регуляторы, потом интеграторы, а с ними и многочисленные вновь созданные специально под ФЗ-152 конторы, безусловно преследуя каждый свою выгоду, разогнали этот "снежный ком" таким образом, что широкая общественность уже не имела возможности далее игнорировать вопрос защиты персональных данных. В обществе возник резонанс, породивший очень агрессивную, открытую и единодушную критику в отношении и законодателей и регуляторов. В результате они были вынуждены принимать уже срочные меры для того, чтобы остановить "снежный ком", который сами же и разгоняли. Сначала Госдума преподнесла операторам ПДн подарок под новый 2010 год, перенеся срок приведения ИСПДн в соответствие с ФЗ-152 на год — с 1 января 2010 г. до 1 января 2011 г., а также исключив из закона норму, обязывающую оператора при обработке ПДн использовать криптографические средства для защиты данных.  Затем ФСТЭК выпустила новый руководящий документ по защите персональных данных и отреклась от двух предыдущих документов, прямо предписывающих операторам осуществлять лицензирование деятельности по ТЗКИ и аттестацию ИСПДн по требованиям безопасности информации. В новом документе, в отличии от предыдущих даже прошедшем регистрацию в Минюсте, требования по защите ПДн сформулированы настолько мягко и ненавязчиво, что операторам ПДн теперь следовало бы возликовать, если бы не опасение, что данный руководящих документ отнюдь не последний и не окончательный. Законодатели же идут теперь еще дальше: в Государственной думе РФ рассматривается в первом чтении так называемый Резниковский проект закона "О внесении изменений в Федеральный закон "О персональных данных", согласно которому перечень и характер мер, принимаемых оператором для обеспечения безопасности обрабатываемых персональных данных урегулируется соглашением между субъектом и оператором ПДн.

Таким образом, начали с противоречивых и сложнореализуемых требований по защите ПДн, затем перешли к минимизации класса ИСПДн (читай этих требований) и прочей алхимии, и в результате заканчивают полным отрицанием любых обязательных требований, переходя к подписанию мировых соглашений с субъектами ПДн, ничего в данных требованиях не понимающими. "Снежный ком" рассыпается на глазах...

Продолжение ...

Заблуждение 4. Все операторы ПДн обязаны получать лицензии на деятельность в области ТЗКИ

Comments (14)

Игорь 07-12-2010 08:07

Отмена криптографии

Что значит, "исключив из закона норму, обязывающую оператора при обработке ПДн использовать криптографические средства для защиты данных" - что СКЗИ можно не применять? А как же постановление правительства № 781 статья 2-ая, в которой и определяются методы организации безопасности ПДн, и в которой явно прописано требование использовать шифровальные (криптографические) средства и которая (статья) не отменяется упомянутыми изменениями в законе 152 о ПДн.
Изменения всего лишь убирают "дублированность" требования использовать СКЗИ и в законе и в постановлении. Часть 2 ст 19 закона 152 по-прежнему утверждает, что
"Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" и сл-но, руководствуясь этими требованиями, СКЗИ применяться должны.
На мой взгляд, имеет место неправильная трактовка изменений к ФЗ 152, изложенных в №363-ФЗ.
Александр Астахов 07-12-2010 08:28

отмена криптографии

Во-первых, у меня не написано что СКЗИ можно не применять (хотя это действительно так), я писал, что "из закона исключили норму, обязывающую оператора при обработке ПДн использовать криптографические средства для защиты данных" (такую норму из закона действительно исключили).
Во-вторых, в постановлении 781 написано не про обязательность применения шифровальных средств, а лишь перечисленно при помощи каких мер (в том числе и шифровальных) обеспечивается безопасность персональных данных. Далее говориться, что конкретные меры и средства определяются ФСТЭК и ФСБ. Зависит этот выбор конкретных мер от классификации ИСПДн и модели угроз, как нам с вами известно.

Как бы не критиковали наших регуляторов, они никогда не дойдут до маразма, чтобы требовать обязательного применения СКЗИ в любых ИСПДн, независимо от существующих угроз ПДн.
Tiger 29-01-2011 09:39

Re

Интересная тема :-)
Я бы правда, сделал другой несколько акцент. О том, что проблематика ПДн несколько перераздута. Особенно в направлении техзащиты. Обсуждать техзащиту, методы и т.п. нужно (раз уж обязывают, а так-то вообще это все надо отменить!), но спешить внедрять решения я бы не стал. Кстати, обратите внимание, что большинство операторов и без всяких статей.. я б сказал интуитивно.. занял выжидающую позицию в этом направлении.

>Остается под вопросом и легитимность подобных мероприятий "по минимизации класса ИСПДн". Ведь одно дело, когда класс ИСПДн понижается за счет того, что оператор просто отказывается от обработки избыточных данных и совсем другое дело, когда состав и объем обрабатываемой информации фактически не изменяется, состав автоматизированных средств и методы обработки ПДн тоже остаются теми же что и были, а все манипуляции по минимизации класса ИСПДн производятся в основном на бумаге.

Согласен, это лукавство, коих много. Когда не знаешь как исполнить начинаешь придумывать “методы”.

>Признают ли регуляторы впоследствии такую классификацию? Не выйдет ли так, что оператор ПДн в конечном счете перехитрил лишь самого себя?

В реале тут все просто. Вам сделал все лицензиат ФСТЭК? Значит все верно.. это как сам ФСТЭК сделал. А вот если вы сами – тогда будут вопросы.

>А может быть для минимизации расходов на создание СЗПДн просто стоит выбрать другого подрядчика или организовать тендер? Сейчас на неорганизованном и дезориентированном рынке ИБ цены на одни и те же работы у разных компаний могут различаться в разы.

Это хорошо для Москвы. В регионе выбор как бы поменьше.. а цены – договорные.. т.е. возможные подрядчики договорились уже между собой о ценах на каждую услугу;-)

>Даже понятие сертификации заменено более мягким и мало к чему обязывающим понятием - "оценка соответствия".

Неее.. реально "оценка соответствия"=”сертификация” сейчас. Есть тайное ПП330.

> а требование по аттестации не сильно увеличивало общую стоимость при грамотном внедрении СЗПДн, т.к. аттестацию ИСПДн можно было совместить с приемо-сдаточными испытаниями, не беря за это дополнительных денег (в случае если весь проект реализуется одним подрядчиком).

А переаттестация после установки обновлений, например? А обновления Вин выходят через день. А антивируса – несколько раз (а у некоторых и сот раз) в день. Это неисполнимое требование.

>Поскольку фактически все ИСПДн можно отнести к специальным, то для них оператор сам может определять и класс и требования по защите на основании разработанной им же модели угроз, не обращая внимания на классы К1-К4, определяемые для типовых ИСПДн.

Еще одна вечная тема ;-). Объясните, как вы на основе модели угроз определите класс специальной системы? Какие классы спец. систем существуют? У вас есть некая МУ для вашей специальной ИСПДн с угрозами ABC – какой класс этой СПЕЦИАЛЬНОЙ ИСПДн? ;-)
Лучше отметить, что этот вопрос никак не урегулирован и проблема нуждается в решении со стороны государства.

>PS

Что касается РS и ниже. Факты вы излагаете вроде как и правильно, однако, как у субъекта ПДн, у меня возникает некое ощущение безысходности.
Однако, все не так плохо на самом деле. ИМХО проблема в том, что мы все очень спешим. Вспомните про десятиления внедрения закона в Великобритании!..У вас же это где-то тут написано! Кроме того, ИМХО, сначала государству (как основному источнику утечек!) неплохо было бы показать как оно выполняет свои же законы! Т.е. распространить ФЗ только на государственные и муниципальные организации ВНАЧАЛЕ. А уж после на коммерческие. Т.е. в срок до такого то.. государству.. А до такого то – остальным.
Глядишь, к тому моменту и непротиворечивая правовая база подойдет.
Александр Астахов 30-01-2011 08:20

минимизация класса ИСПДн

1) Перекладывание ответственности за защиту ПДн на подрядчика (лицензиата ФСТЭК) - нормальный ход. Однако легитимность вашей классификации ИСПДн определяется не тем, кто ее проводил, а тем соответствует ли эта классификация действующим нормативным документам. Среди лицензиатов и нелицензиатов "минимизаторов" хватает, поэтому и статья была написана.

2) тайные ПП не имеет смысла обсуждать, пока они не стали явными.

3) для установки обновлений ПО и антивирусных баз переаттестации не требуются.

4) имеющиеся нормативные документы по классификации ИСПДн и моделированию угроз безусловно нуждаются в доработке, однако никто не мешает нам сейчас на основании "приказа трех" присваивать один из классов К4-К1 специальной ИСПДн, базируясь на модели угроз. Ведь, согласно упомянутого приказа, класс ИСПДн определяется степенью негативных последствий для субъектов ПДн, которая может быть определена на основе модели угроз. (Если у вас типовая ИСПДн, тогда для определения класса ИСПДн нужно использовать таблицу "количество записей ПДн - категория ПДн").

Что касается ощущения безысходности, то я в своих публикациях страстей не нагнетаю. Вопросам законодательного и нормативного регулирования у нас в стране уделяется незаслуженно много внимания. Принятием новых законов или изменением старых всех проблем не решишь. Безопасникам нужно поменьше обсуждать тексты поправок № ..., к п. № ...., подпункта № ..., статьи №...., а заниматься реальной безопасностью, иначе у нас через пару лет в сфере ИБ останутся в основном бюрократы и протиратели штанов, а кто страну и бизнес будет защищать от реальных информационных угроз?
Tiger 31-01-2011 04:51

Ответ

>2) тайные ПП не имеет смысла обсуждать, пока они не стали явными.

Ок, но и без него я бы не сказал, что есть основания утверждать, что "оценка соответствия" не равна”сертификации” сейчас. Остальное покажет время, но предпосылок для позитивных сдвигов пока нет.

>3) для установки обновлений ПО и антивирусных баз переаттестации не требуются.

Если у меня стоит скажем сертифицированная Виндоуз 7 СервисПак1 , а после я накатываю СервисПак2 - то у меня остается сертифицированная Виндоуз7? ;-) И в ней типа нет не декларированных возможностей? ;-). Про антивирус - спорить не буду - не разбирался ;-)

>класс ИСПДн определяется степенью негативных последствий для субъектов ПДн, которая может быть определена на основе модели угроз

А какая должна быть степень негативных последствий и по каким конкретно угрозам, чтоб присвоить ИСПДн класс К3? Как кстати правильно написать в акте классификации - специальная (K3), K3 специальная или еще как-то.. или как мне захочется?;-)

>Принятием новых законов или изменением старых всех проблем не решишь. Безопасникам нужно поменьше обсуждать тексты поправок № ..., к п. № ...., подпункта № ..., статьи №...., а заниматься реальной безопасностью, иначе у нас через пару лет в сфере ИБ останутся в основном бюрократы и протиратели штанов, а кто страну и бизнес будет защищать от реальных информационных угроз?

Это верно, только почему ведь изучают поправки.. Мы решаем задачу (как пример - соответствия ФЗ№152), однако условия-то задачи нам еще не сказали!!! Меня как-то учили - сначала условия. после решение.. Более того - меня учили внимательно читать условие!
И меня то удивляет именно это - условия задачи постоянно меняются, косяков и противоречий в данной задаче масса, однако "предоставители услуг" всегда готовы продать вам решение "невзирая на это". И кто лучше - кто поправки читает или такие решения "невзирая ни на что" продает тоже ведь еще вопрос. ;-(
Но реальной безопасностью заниматься нужно, это верно сказано.
Александр Астахов 31-01-2011 05:15

классификация ИСПДн

>Если у меня стоит скажем сертифицированная Виндоуз 7 СервисПак1 , а после я накатываю СервисПак2 - то у меня остается сертифицированная Виндоуз7? ;-) И в ней типа нет не декларированных возможностей? ;-).

Мы говорим про аттестацию или про сертификацию? Во-первых, для аттестации в общем случае не обязательно, чтобы Windows у вас была сертифицирована. Вы можете поверх несертифицированной Windows установить, например, сертифицированный Dallas Lock, который закроет все обязательные требования по защите от НСД по классу К2. Во-вторых, для сертифицированной Windows существует механизм установки сертифицированных обновлений по доверенному каналу.

>А какая должна быть степень негативных последствий и по каким конкретно угрозам, чтоб присвоить ИСПДн класс К3? Как кстати правильно написать в акте классификации - специальная (K3), K3 специальная или еще как-то.. или как мне захочется?;-)

Для того, чтобы присвоить ИСПДн класс К3 у вас должна быть "незначительная" степерь негатинвых последствий для субъектов ПДн хотя бы по одной из угроз или по совокупности угроз или по совокупности последствий. Можете написать "К3, специальная" или еще как-нибудь. Никто вас не просит ограничиваться только данной классификацией, которая очевидно не выдерживает критики. Мы, например, дополнили базовую модель угроз и соответствующую методику ФСТЭК и для каждой угрозы и актива еще и риски считаем, а затем для снижения рисков в отношении ПДн, выбираем правильные контрмеры, в том числе и с учетом требований 58 приказа ФСТЭК и других руководящих документов.
Tiger 01-02-2011 06:51

Re Doc

>Во-вторых, для сертифицированной Windows существует механизм установки сертифицированных обновлений по доверенному каналу.

Да, это мне известно..если б за такие обновления еще и денег не брали ;-)

>"незначительная" степень негативных последствий для субъектов ПДн хотя бы по одной из угроз

Ответ понятен, хотелось бы чтоб это все более явно было прописано в документах.
Пока об этом можно только догадываться..

Т.е. почему бы явно так и не написать??
> Для того, чтобы присвоить ИСПДн класс К3 у вас должна быть "незначительная" степерь негатинвых последствий для субъектов ПДн хотя бы по одной из угроз или по совокупности угроз или по совокупности последствий

Александр Астахов 01-02-2011 06:57

классификация ИСПДн

>Т.е. почему бы явно так и не написать?? Для того, чтобы присвоить ИСПДн класс К3 у вас должна быть "незначительная" степерь негатинвых последствий для субъектов ПДн

Этого я не знаю, но по-хорошему там все надо переписывать и не останавливаться на моделях угроз и классах ИСПДн при определении состава требований ИБ (защитных мер), а оценивать и обрабатывать риски. Для этого уже не первый год существуют и стандарты и методики и инструменты.
Tiger 02-02-2011 07:19

Класс

>Этого я не знаю, но по-хорошему там все надо переписывать

Про закон - да. В свое время тут предложения собирали
http://www.fz-152.org/forum/

>а оценивать и обрабатывать риски

К стандартам и рискам многие не готовы. То что хорошо мне другому не подойдет.. хоть бы из-за размера бизнеса, неготовности тратить на это и много чего еще ;-)
Александр Астахов 02-02-2011 09:37

к рискам многие не готовы

Значит надо готовится, причем именно с этого и начинать. Стандарты и методы оценки рисков - это инструменты, позволяющие на систематической основе принимать правильные решения в области ИБ, не тратить впустую деньги, расставлять приоритеты, выбирать из множества противоречивых и порой неграмотно сформулированных требований те, которые имеют смысл для конкретной организации (и правильно интерпретировать эти требования), а также грамотно и убедительно обосновывать принятые решения. Без этого менеджмент ИБ в современных условиях невозможен. Слишком много существует угроз и требований. Инструменты эти, если их грамотно используют, всегда обходятся значительно дешевле, чем их отсутствие.
Tiger 05-02-2011 01:25

ReRe

>Для того, чтобы присвоить ИСПДн класс К3 у вас должна быть "незначительная" степерь негатинвых последствий для субъектов ПДн хотя бы по одной из угроз или по совокупности угроз или по совокупности последствий. Можете написать "К3, специальная" или еще как-нибудь.

Александр, отличный пример нашел прямого использования! не мое.. цитирую;-)

"Возьмем типовое бухгалтерское делопроизводство - пусть будет система 1С на 200 сотрудников организации. По стандартной классификации ставим К3 (3 класс по количеству и 2 по классу данных). К3 - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных.
Идем дальше - в Методике определения актуальных угроз, когда осуществляется классификация опасности угроз, прямо написано:
низкая опасность – если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных;
средняя опасность - если реализация угрозы может привести к негативным последствиям для субъектов персональных данных;
высокая опасность - если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.
То есть идет прямая привязка между классами ИСПДн и опасностью потенциальных угроз. Хорошо, классификация у нас для типовых - только конфиденциальность. Возьмем угрозу разглашения данных или получение несанкционированного доступа к ИСПДн и ПДн в частности. По здравой логике получение пароля администратора к 1С имеет как минимум средний уровень опасности. Но вот, если следовать "букве", то мы не можем его поставить - иначе почему тогда К3? В общем это не стыкуется. Или мы должны закрыть глаза и для всех угроз ИСПДн К3 писать уровень опасности не выше низкого (при этом для актуальности угроз вероятность должна быть высокой или выше, что тоже не так уж часто), при этом многие объективные угрозы перестанут быть актуальными.
Или же пойдем обратно (всегда речь шла об обратном, а тут на тебе!) - по результатам оценки угроз повысим класс ИСПДн? если с К3 на К2, то ещё ладно... а вот если угрозу оценим как высокую, то и на К1, так, что ли?
...Если у нас даже 5 субъектов обрабатываются, но последствия могут быть значительными - те же данные медицинского полиса нарушенные или пенсионные отчисления или размер заработной платы изменить - это явно не незначительные последствия, особенно в глазах самого субъекта. И трактовка опасности угроз тоже относительная... но если так написано сейчас - что с этим делать?"

Что скажете? ;-)
Александр Астахов 06-02-2011 12:15

связь классов ИСПДн и модели угроз

Подобные изыскания, сродни попыткам нахождения черной кошки в темной комнате, тем более, что ее там нет. Надо просто признать, что нормативная база в области защиты ПДн еще не сформирована. Например, на практике мне еще ни разу не встречались так называемые "типовые" ИСПДн. Какие же они тогда типовые, если их в природе не существует? Значит разделение ИСПДн на типовые и специальные лишено смысла. В основе предложенной классификации лежит оценка негативных последствий (ущерба) для субъектов ПДн, однако никакой методики оценки ущерба (и соответствующей ценности информационных активов - ПДн) не предложено, не существет единого мнения насчет того, какой ущерб считать значительным, а какой незначительным, и в чем этот ущерб выражается. Отнесение ИСПДн к различным классам на основании количества записей ПДн также сомнительно. Порой стоит добавить всего одну запись и ИСПДн переходит в следующий более высокий класс, или наоборот разделить БД ИСПДн на две независимые части, которые переходят в более низкий класс. А привязанные к классам требования по защите ПДн не вытекают не из чего, кроме как из предыдущих версий нормативных документов в области защиты информации. Моделей угроз, как бы обстоятельно они не прорабатывались, явно недостаточно для того, чтобы принимать решения по контрмерам. Для этого необходима не только оценка угроз, но также оценка ценности активов (потенциального ущерба), анализ уязвимостей по каждой угрозе и уже анализ уже используемых контрмер.

Другими словами без оценки рисков у вас все равно не получиться правильно выбрать меры по защите ПДн для конкретной организации и правильно расставить приоритеты по их реализации. Даже если вам дать готовые наборы требований, то без оценки рисков вы не сможете их правильно интерпретировать, не сможете оценить какой бюджет целесообразно выделить на их реализацию и как этот бюджет соотносится с потенциальным ущербом, который вы стремитесь предотвратить. Любой подход, игнорирующий оценку и обработку рисков, будет восприниматься всеми лишь как пустая формальность и трата денег ради обеспечения "бумажной" безопасности (формального соответствия ни к чему не привязанным, непонятным и необоснованным требованиям).

Как поступать в нынешней ситуации? В рассматриваемом конкретном примере ИСПДн 1С явно относится к специальным, поэтому для нее вы устанавливаете класс сами на основе разработанной вами модели угроз. Табличку определения класса типовых ИСПДн использовать не надо и не надо сопоставлять ее с моделью угроз.
Tiger 07-02-2011 08:05

Re

>>Надо просто признать, что нормативная база в области защиты ПДн еще не сформирована. Например, на практике мне еще ни разу не встречались так называемые "типовые" ИСПДн. Какие же они тогда типовые, если их в природе не существует? Значит разделение ИСПДн на типовые и специальные лишено смысла.

Спасибо. Вот примерно это я и хотел вам сказать когда написал ..

>Лучше отметить, что этот вопрос никак не урегулирован и проблема нуждается в решении со стороны государства.
Александр Астахов 08-02-2011 11:19

вопрос ПДн не урегулирован

В том, что вопросы обработки и защиты ПДн недостаточно проработаны на всех уровнях никто не сомневается. Только вопрос о роли государства в решении наших проблем уж слишком риторический. Конкретные проблемы защиты ПДн должны решаться специалистами по защите информации и им это вполне под силу, а те несостыковки, которые имеются в законодательстве и номативной базе, были раньше и будут в дальнейшем. Комитеты ГД, регуляторы, правительство и т.д. конечно тоже должны работать над совершенствованием своих требований. Каждый на своем месте должен решать те проблемы, которые он решать в состоянии.

Опытный специалист вполне в состоянии обеспечивать и формальную (бумажную) и реальную безопасность. Играйте по тем правилам, которые существуют и не пеняйте на так называемое государство. Идеального государства и идеальных правил все-равно не будет, потому, что люди, из которых это государство состоит не идеальны и не стремятся.
Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2021 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex