воскресенье, 23 сентября 2012 г.

СЗПДн. Анализ. Проекты новых ПП РФ по защите ПДн 2 (UPDATE)

Первая версия постановления правительства по защите ПДн, подготовленные ФСБ России и рассмотренная в одной из моих предыдущих заметок не прошла согласования в правительстве.

Вторая попытка ФСБ России подготовить постановления правительства по защите ПДн:
·         Проект ПП РФ «Об установлении уровней защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных» (далее, Уровни)
·         Проект ПП РФ «О требованиях к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных» (далее, Требования)
выложены на сайте ФСБ России для антикоррупционной экспертизы.


Основные мысли по документу Уровни:
·         вводится 4 уровня защищенности ПДн при их обработке в ИСПДн (1 - максимальные требования, 4 - минимальные);
·         вводится определение актуальности угроз (но не самих типов угроз) 1-ого, 2-ого и 3-его типов;
·         актуальный тип угроз определяет оператор с учетом совокупности условий,  факторов и оценки вреда (прорыв в том, что в явном виде модель угроз не требуется. В тоже время МУ вполне допустима на этом этапе);
·         вводится 4 типа ИСПДн:
o   ИСПДн обрабатывает специальные категории ПДн (ИСПДн-С)
o   ИСПДн обрабатывает биометрические ПДн (ИСПДн-Б)
o   ИСПДн обрабатывает общедоступные ПДн (ИСПДн-О)
o   ИСПДн обрабатывает иные категории ПДн (ИСПДн-И)
·         уровень защищенности определяется по следующей таблице



Замечания к документы Уровни:
1.       Определение из проекта ПП РФ Уровни пункт 1:
“в) информационная система обрабатывает общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О персональных данных»;”
противоречит определению из 152-ФЗ статья 6 часть 1:
“10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);”
и противоречит принципам из 152-ФЗ статья 18 часть 4:
“3) персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;”
Таким образом 152-ФЗ предусматривает 2 варианта попадания к оператору общедоступных ПДн: непосредственно от субъекта и из общедоступных источников. А ПП РФ Уровни предусматривает только один вариант получения общедоступных ПДн.

2.       Нет определения самих типов угроз, есть только определение актуальности
3.       Не определен уровень защищенности, когда количество субъектов равно 100 000.
4.       Не определены действия в той ситуации, когда сходя из специфики ИСПДн все угрозы будут неактуальными. Ситуация не подходит ни под один из трех типов актуальности угроз.


(UPDATE)

Основные мысли по документу Требования:
·        СЗИ необходимо выбирать в соответствии с актами ФСТЭК России и ФСБ России (будущими, так как в текущих нет упоминания уровней защищенности)
·        Кроме того в зависимости от уровня защищенности необходимо выполнять следующие общие требования, в соответствии с таблицей ниже


·        Контроль выполнения требований организуется и проводится Операторами самостоятельно или с привлечением лицензиатов (но не регуляторов).


Основные замечания по документу Требования:
1.      Пункт 5 а) сформулирован некорректно.
“а) Организовать режим обеспечения безопасности помещений, в которых размещена информационная система персональных данных, исключающий возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц”

Так как  ИСПДн – это совокупность в том числе информационных технологий, а технологии нельзя разместить в помещениях. 
Некорректно будет применять данное требование к техническим средствам ИСПДн, так как технические средства не всегда находятся в помещениях Оператора (ноутбуки, планшеты, мобильные устройства).
Логичнее было бы потребовать “организовать режим в помещениях Оператора, в которых… или организовать режим безопасного доступа к техническим средствам ИСПДн

2.      Требования необходимо сформулировать в форме долженствования (должен быть назначен .., необходимо обеспечить …);



В общем, если замечания есть, то небольшие, которые легко исправить, так что не могу согласиться с коллегами – блогерами на счет “второй блин комом”.

На первый взгляд при 3 типе актуальных угроз УЗ и набор требований с ним связанных - небольшой. Есть возможность для оптимизации ИСПДн - и тут всё зависит от фантазии интегратора/консультанта.

9 комментариев:

Ригель комментирует...

> набор требований с ним связанных - небольшой

Набора требований еще никто не видел - они в ведомственных актах (см. 4 пункт проекта о требованиях).
В прошлый раз тоже был "небольшой": всего-то доступ к ИСПДн на основании списка, да четверокнижие в кустах.

Сергей Борисов комментирует...

Ну вот когда выйдут ведомственные документы, тогда и будем обсуждать.

Пока что прогресс налицо:
- упрощена классификация
- для УЗ 4 - достаточно оргмеры
- для УЗ 3 - несертифицированные СЗИ
обременения оператором уменьшились.

Ronin комментирует...

А тот факт, что обработка общедоступных данных требует сертификацию по НДВ или сертифицированные средства защиты не смущает? :)

Сергей Борисов комментирует...

Ronin: Не вижу данного требования.
Прошу привести ссылки на пункты ПП.

Игорь Бурцев комментирует...

Насчет 4. Не определены действия в той ситуации, когда сходя из специфики ИСПДн все угрозы будут неактуальными. Ситуация не подходит ни под один из трех типов актуальности угроз.
А может ли быть такое когда для ИСПДн не будет актуальных угроз? Мне кажется что 3 типа угроз все-таки перекрывают все возможные случаи, так как угрозы 3-го типа являются в общем дополняющими до полного множества к угрозам 1-го и 2-го типов.

Игорь Бурцев комментирует...

Меня вот еще несколько смутил п. 8.б. в проекте по требованиям про "назначить структурное подразделение, ответственное за обеспечение
безопасности ПДн в ИСПДн", так как схожее требование есть уже в п. 6.а для 3-го уровня защищенности - там только не подразделение, а лицо. Возможно, они этим хотели сказать о необходимости создания службы ИБ в организации - но уж как то не очевидно.

Сергей Борисов комментирует...

Игорь: на счет неактуальности угроз. У нас сейчас такое сплошь и рядом - большое количество ИСПДн с обезличенными, общедоступными ПДн или с очень маленьким объемом ПДн.
В итоге ущерб оценивается как нулевой или очень низкий -> угрозы не актуальны. Безопасность для таких обеспечивается на усмотрение Оператора, как правило орг.мерами.

В общем в ситуации когда к ПДн можно отнести всё что угодно, необходимо чтобы у оператора оставалась хоть какая-то возможность разумно ограничить количество защищаемых ИСПДн.


Сергей Борисов комментирует...

Игорь: под текущее определение подходит назначение любого подразделения, например "отдела ИТ" или "службы безопасности" ответственным за ОБ ПДн.
То есть не следует что подразделение должно заниматься только ИБ. Но в положение о подразделении включается ОБ ПДн как одна из сфер ответственности.
Соответственно руководитель подразделения отвечает за ОБ ПДн и может назначать сотрудников отвечающих за ОБ ПДн.

Андрей Калашников комментирует...

"применение средств защиты прошедших сертификацию" (см. таблицу) необходимо ДЛЯ ВСЕХ уровней защищенности, а не для 1 и 2, как это указано в таблице. (см. п 13г)