пятница, 16 сентября 2011 г.

СЗПДн. Анализ. СЗИ или не СЗИ

Одним из наиболее часто встречаемых проблемных вопросов является “что должно проходить оценку соответствия?” при защите ПДн.
Хотелось бы затронуть этот вопрос, не касаясь того “как оценивать соответствие”. Варианты оценки соответствия неоднократно обсуждались коллегами, например тут и тут.
В большинстве встреченных мною проектов в качестве способа оценки соответствия выбиралась сертификация, но в месте с тем, использовались только сертифицированные средства защиты от НСД, МЭ, СКЗИ, СОВ, антивирус, сканер безопасности. Средства резервного копирования и восстановления, системы управления оставлялись без внимания.

152-ФЗ. В части 2 статье 19:
«2. Обеспечение безопасности персональных данных достигается, в частности:
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации»
Применение СЗИ, прошедших оценку соответствия является только одним из способов достижения обеспечения безопасности ПДн.
Постановление Правительства 781:
«2. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.»
Как видно СЗПДн включает в себя:
· Организационные меры;
· Средства защиты информации;
· Средства предотвращения несанкционированного доступа;
· Средства предотвращения утечки информации по техническим каналам;
· Средства предотвращения программно-технических воздействий на технические средства обработки ПДн.
Постановление Правительства 781:
«5. Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.
18. Результаты оценки соответствия и (или) тематических исследований средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, оцениваются в ходе экспертизы, осуществляемой Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.»
И только средства защиты информации должны пройти оценку соответствия.
Положение о методах и способах защиты информации в ИСПДн, Утвержденное 58-ым приказом ФСТЭК:
«1.4. Выбор и реализация методов и способов защиты информации в информационной системе осуществляются на основе определяемых оператором (уполномоченным лицом) угроз безопасности персональных данных (модели угроз) и в зависимости от класса информационной системы …
2.1. Методами и способами защиты информации от несанкционированного доступа являются:
реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;
ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации;
разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;
учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;
резервирование технических средств, дублирование массивов и носителей информации;
использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
использование защищенных каналов связи;
размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории;
организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных;
предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок.»
То есть использование средств защиты информации, прошедших оценку соответствия, является только одним из возможных методов.
С одной стороны мы видим, что для обеспечения безопасности ПДн кроме средств защиты информации могу использоваться ещё какие-то меры, методы, способы, средства, для которых требований оценки соответствия не предъявляется.
Попробуем провести границу между этими множествами.
Обратимся к ГОСТ Р 50922-2006. Защита информации. Основные термины и определения.
«2.7.2 средство защиты информации: Техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации.»
Так как все в Положении ФСТЭК методы и способы являются методами и способами защиты информации, то любое техническое, программное, программно-техническое средство, вещество и (или) материал используемый для реализации этих методов будет являться средством защиты информации.
В соответствии с этим мы имеем:
· Средство централизованного управления СЗПДн - реализует методы и способы защиты информации в соответствии с пунктом 2.4 Положения ФСТЭК – следовательно, СЗИ.
· Средство обеспечивающее дублирование массивов информации - реализует методы и способы защиты информации в соответствии с пунктом 2.1 Положения ФСТЭК – следовательно, СЗИ.
· Средство анализа защищенности (сканнер безопасности) - реализует методы и способы защиты информации в соответствии с пунктом 2.4 Положения ФСТЭК – следовательно, СЗИ.
· Тест-программы, имитирующие попытки несанкционированного доступа – реализует методы и способы защиты информации в соответствии с пунктом 2.1, 2.2, 2.3, 4.1, 4.2, 4.3 приложения к Положению ФСТЭК – следовательно, СЗИ.
· Средства централизованного управления событиями ИБ – не реализует методов и способов перечисленых в Положении ФСТЭК, не могут предотвратить утечек или воздействий – следовательно могут не относится к СЗИ.


8 комментариев:

Trotsky комментирует...

средство защиты информации: Техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для деятельности по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

С таким продолжением по ГОСТу, большая часть вопросов отпадает :)

Сергей Борисов комментирует...

Что цитируете?

Trotsky комментирует...

Тот же ГОСТ, что и Вы, п. 2.1.1.

Сергей Борисов комментирует...

http://vsegost.com/Catalog/57/5737.shtml

Нет там такого.

Сергей Борисов комментирует...

В этом ГОСТ есть интересное определение "защиты информации" и как следствие определения подмножеств защит.
С одной стороны эти определения можно попытаться толковать в свою пользу, с другой стороны Регулятор уже произвет трактовку и в Положении о методах и способах защиты информации детализировал это определение.

Trotsky комментирует...
Этот комментарий был удален автором.
Trotsky комментирует...

Сергей, по этой логике, маркеры для инвентаризации машинных носителей, и даже журналы учета машинных носителей являются СЗИ, а так же оконные решетки, металлические двери и сейфы. Всё, вплоть до журналов нужно использовать сертифицированное. Я сомневаюсь, что регуляторы будут доходить до такого абсурда.

Сергей Борисов комментирует...

Пока что получается, что всё это - СЗИ.
Так как подзаконные акты будут меняться, то у правительства и регуляторов есть шансы поправить эту проблему.

Либо более четко определить СЗИ, либо более четко определить что должно проходить оценку соответствия.