четверг, 8 ноября 2012 г.

СЗПДн. Анализ. ИСПДн c общедоступными и обезличенными ПДн


Подписано ПП №1119, о проекте которого я уже писал в предыдущей заметке.  К замечаниям, которые я  приводил в ней, добавляется следующее.

В данный момент в большей части информационных систем или технологических процессов обрабатываются общедоступные персональные данные или малоценные обезличенные персональные данные.

Примерами таких систем или технологических процессов являются:
·        Корпоративные справочники сотрудников
·        Перечни учетных записей пользователей в любом приложении (например, имя, должность, логин, контактный телефон)
·        Перечни учетных записей пользователей в любом корпоративном сервисе, таком как AD, телефония
·        Клиентские кабинеты на web портале (имя, логин, емейл)
·        Любые онлайн формы для обращений клиентов (имя, емейл, контактный телефон)
·        Кол.центры для работы со звонками клиентов в которых записывается имя, телефон.

Из опыта предыдущих проектов могу сказать, что например в организации  - операторе из 1000 сотрудников, порядка 100 являются полноценными пользователями ПДн, а оставшиеся 900 работают только с общедоступными или малоценными обезличенными ПДн. Соответственно эти 100 пользователей защищались сертифицированными СЗИ, остальные 900 пользователей встроенными средствами безопасности имеющимися в системах и сервисах.

Руководствуясь 152-ФЗ 2.0 и ПП №1119 мы получаем что:
·        ИСПДн с общедоступными ПДн, полученными непосредственно от субъекта вместе с согласием на общедоступность – ИСПДн обрабатывающая иные категории ПДн (ИСПДн-И)
·        ИСПДн с малоценными обезличенными ПДн – ИСПДн обрабатывающая иные категории ПДн (ИСПДн-И)

Далее устанавливаем уровень защищенности. Даже если актуальны угрозы 3-его типа, получаем 3 и 4 уровень защищенности ПДн и как следствие получаем необходимость использования сертифицированных СЗИ для защиты этих ПДн.

В результате мы с вами существенно теряем в гибкости при защите ПДн, вынуждены будем увеличить бюджеты на СЗПДн как минимум в 10 раз, а онлайн обращения и услуги вообще оказываются вне закона.

Почему я не писал об этом в прошлой заметке? Потому что в проекте ПП применение сертифицированных СЗИ требовалось только с 2 уровня защищенности. И это было бы разумным компромиссом при защите общедоступных или малоценных обезличенных персональных данные.




14 комментариев:

Артем Агеев комментирует...

"увеличить бюджет как минимум в 10 раз"

это как ты к такому выводу то пришел?

Сергей Борисов комментирует...

В моем примере вместо 100 АРМ и 5 серверов придется защищать 1000 АРМ и 50 серверов с использованием сертифицированных СЗИ

Артем Агеев комментирует...

как правило разница между сертифицированным и несертифицированным СЗИ составляет 10-30%.

откуда в 10 раз?

или остальные 900 машин ты предлагаешь вообще никак не защищать?

Сергей Борисов комментирует...

У оператора к моменту выхода требований по защите ПДн безопасность уже обеспечивалась следующими средствами:
- встроенными возможностями ОС Windows
- встроенными возможностями приложений и сервисов (IIS, AD, Exchange, 1C, и т.п.)
- встроенными возможностями имеющегося у заказчика сетевого оборудования (маршрутизаторов, коммутаторов)
- средствами резервного копирования
Оператор решил что для малоценной информации этого достаточно и в модели угроз всё сходилось.

Теперь Заказчик будет внедрять проект по ЗПДн, вынужден будет закупать сертифицированные СЗИ для тех функций безопасности которые у него уже были реализованы (или сертифицировать имеющиеся средства, что может быть даже дороже):
- СЗИ от НСД на АРМ и Серверы
- межсетевые экраны
- СКЗИ для сетевого трафика
- средства защиты БД


Артем Агеев комментирует...

Жалко твоего заказчика :).. насчитал ты ему!

весьма вероятно, что все его проблемы будут решены пакетами сертификации от Алтекс-софта стоимостью 20% от стоимости ОС.

Сергей Борисов комментирует...

Какие именно сертифицированные СЗИ надо будет для для третьего УЗ - скажет ФСТЭК и ФСБ.

Я пока считаем просто - сколько будет стоить замена имеющихся базовых функций безопасности - сертифицированными СЗИ.

А ты Артем, например, предлагаешь для защиты данных о здоровье СЗПДн тоже состоящую только из сертифицированного Windows?

Andrey Prozorov комментирует...

Будем считать, что фраза "увеличить бюджет как минимум в 10 раз" - это гипербола. Но все остальное по делу. Забавно получается с общедоступными ПДн...

Сергей Борисов комментирует...

Не забавно, а плачевно.
Конечно про это все говорили ещё год назад, когда вышел 152-ФЗ версии 2.0.
Но тогда ещё не было новых подзаконных актов и эта проблема была отложена.
Вот теперь ПП подписан и ситуация прояснилась.

Операторам осталась одна возможность - идти по пути Алексея Лукацкого и доказывать что оценка соответствия - не сертификация.

Сергей комментирует...

Для госов кроме сертификации ничего не останется http://www.fstec.ru/_razd/_isp0o.htm

Сергей Борисов комментирует...

А ещё весело: требуется для всех уровней защищенности требуется вести перечень лиц, допущенных. Теперь с этим все просто - можно смело заносить всех сотрудников (с АРМ или телефоном)

PSV комментирует...

Заметил, что при дословном выполнении 4-го абзаца пункта 5, система обрабатывающая и общедоступные и иные ПДн вообще выпадает из классификации по уровню защищенности. Кто и что об этом думает?

Сергей Борисов комментирует...

PSV: Если дословно, то в вашем примере противоречия нет.
Если все ПДн получены из общедоступных источников, то это ИСПДн-О. Если не все данные из общедоступных источников - то это уже не ИСПДн-О.

Но ошибка есть в другом:
Разработчики документа не учли варианта когда в системе обрабатываются биометрические данные, полученные из общедоступных источников.

Тогда система будет сразу ИСПДн-Б и ИСПДн-О

PSV комментирует...

Уточню свой вопрос. Если система обрабатывает и "общедоступные" и "иные", то она не относиться не к "общедоступным", т.к. обрабатывает и "иные". И не относиться к "иным", т.к. обрабатывает "общедоступные".
Вчитайтесь "если в ней не обрабатываются персональные данные, указанные в абзацах первом - третьем настоящего пункта."


Согласен, второе противоречие тоже имеет место быть. Осталось найти такие источники.

Сергей Борисов комментирует...

PSV: по твоему замечанию - противоречия нет.
В нашей системе общедоступные + иные.

Абзац третий говорит "информационная система является .. обрабатываются ПДн .. полученные _только_ из общедоступных источников данных"
Данный вывод для нашей системы не справедлив.

Абзац четвертый говорит
"информационная система является .. если в ней не обрабатываются ПДн указанные в абзацах первом - третьем настоящего пункта"

Так как в нашей системе не обрабатываются "ПДн, полученные _только_ из общедоступных источников данных" то в нашей системе не обрабатываются ПДн указанные в абзаце втором.