воскресенье, 29 мая 2011 г.

СЗПДн. Проектирование. Методы и способы защиты ПДн 2

В предыдущем сообщения я рассмотрел варианты документов, в которым может быть документирован выбор методов и способов защиты ПДн. Как выбрать необходимые методы и способы защиты ПДн в нормативных документах РФ по ПДн не определено.
Зато в такой ситуации нам ничего не мешает использовать международные стандарты. По сути выбор методов и способов защиты ПДн является менеджментом рисков связанных с актуальными угрозами ПДн которые обыли определены в МУ. Можно руководствоваться например ISO/IEC 27005:2008 и для каждой угрозы определить:
· Применяемые в данный момент методы и способы защиты ПДн (контроли) которые связанны с данной угрозой.
· Методы и способы защиты ПДн (контроли), которых достаточно для нейтрализации данной угрозы.
Например, рассмотрим угрозу «Внедрение вредоносных программ по сети». Пусть в Организации применяются только средства антивирусной защиты, не прошедшие процедуру оценки соответствия; других методов и способов защиты не применяется. Например, можно считать, что необходимыми и достаточными методами и способами защиты ПДн для нейтрализации данной грозы являются:
· Анализ принимаемой по информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования) информации, в том числе на наличие компьютерных вирусов;
· Использование средств антивирусной защиты, прошедших в установленном порядке процедуру оценки соответствия;
· Использование средств обнаружения вторжений, прошедших в установленном порядке процедуру оценки соответствия.
В соответствии с моделью угроз мы определяем, что данная угроза актуальна Организации и необходимо применять приведенные выше методы и способы защиты ПДн.
Схожий алгоритм выбора методов и способов защиты ПДн так-же определен в разделе 5.5 документа СТО НАПФ 4.2–2010. В приложение Б к СТО НАПФ 4.2–2010 для каждой угрозы определен перечень возможных мер защиты, которые могут использованы для нейтрализации актуальных угроз.

6 комментариев:

spirits комментирует...

А как к этому отнесутся регуляторы?

Сергей Б комментирует...

А как они могут отнестись?

В документах ФСТЭК написано что методы и способы защиты должны быть определены для Организации на основании модели угроз и класса ИСПДн. Как они должны быть определены не написано.

Тут варианты - либо использовать какой-то свой алгоритм, либо вобще без всякой логики и зависимости от угроз выплюнуть итоговый перечень методов и способов защиты ПДн.

Сергей комментирует...

Ну методы и способы есть в 58 приказе в зависимости от класса, а вот с классификацией по трехглавому - тут полное отсутствие всякой логики

Сергей Б комментирует...

В 58 приказе перечислены возможные методы и способы. Из них необходимо выбрать те - которые необходимы для нейтрализации актуальных угроз.

Плюс для нейтрализации некоторых угроз, методов приведенных в 58 может оказаться недостаточно. Придется вводить дополнительные.

Сергей комментирует...

ИМХО при наличии МУ классификация бессмыслена, а уж в том виде что предлагают регуляторы...

Сергей Б комментирует...

По моему с классификацией как раз все сходится. Никаких особых косяков нет если вдуматься.

Итогом классификации является не только класс, а ещё и дополнительные характеристики ИСПДн.

Например на основании характеристики "с разными правами пользователей" могут потребоваться дополнительные методы и способы защиты ПДн.