пятница, 14 декабря 2012 г.

СЗПДн. Анализ. Предложения по совершенствованию состава и содержания организационных и технических мер по ОБ ПДн от ФСТЭК


В соответствии с информационным сообщением ФСТЭК России “о проекте приказа ФСТЭК России «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»” от 07 декабря 2012 г. № 240/22/4947 провел экспертизу проекта приказа ФСТЭК России “Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных”.
                                   
В соответствии с предыдущим комплектом документов регуляторов (ФСТЭК и ФСБ) нам удавалось реализовывать эффективные проекты по защите ПДн.

А именно была возможность учесть базовый набор мер от регуляторов, пожелания заказчика и выбрать только те меры, которые были необходимы для обработки актуальных угроз безопасности ПДн.

Новые документы ФСТЭК анализировал в том направлении, насколько они будут помогать или мешать реализации эффективных проектов СЗПДн у операторов аналогично тому, как это удавалось делать ранее.

В связи с этим могу сделать следующие основные выводы по проекту документа ФСТЭК:
·        Базовый перечень  мер по обеспечению безопасности ПДн существенно увеличен (примерно в 2 раза). При этом для оператора, не  имеющего своих экспертов по ИБ, данный перечень абсолютно бесполезен, так как не дает определений и детализации мер. Единственную пользу я вижу для консультантов,  производителей СЗИ и регуляторов – это общая терминология в названии мер.
Производитель будет знать что писать в документации и на что сертифицировать.
Консультант будет определять какие меры перекрываются комбинацией так-то СЗИ.
Регулятор сможет в итоге проверить наличие всех необходимых мер.
·        (самое главное) ФСТЭК предлагает существенно изменить зависимость СЗПДн от модели угроз. А именно – по результатам модели угроз можно только дополнять базовый перечень мер. Даже если проведен детальный анализ и определена неактуальность ряда угроз, всё равно придется применять защитные меры от них. На всякий случай (так решил ФСТЭК). Пусть лежат на полке – главное чтобы российский рынок ИБ развивался.
Учитывая очень не маленький базовый набор мер (ниже будет пример), вряд ли найдется оператор, который собственноручно будет добавлять себе ещё дополнительные меры, зная что бюджета на всё не хватит.
·        Не четко раскрыта ситуация с оценкой соответствия (сертификацией) СЗИ. А именно – упоминается система обязательной сертификации, но не называется что это за система и не дается ссылок на документы где такая система описана. Нет четких указаний о том, могут ли применяется для защиты ПДн существующие и сертифицированные на данный момент СЗИ. А такие указания надо дать для всех возможных типов сертификатов.  

Сами замечания готовились онлайн, совместно с несколькими другими экспертами. Но даже при небольшом количестве экспертов всплыла ситуация с разной трактовкой документов и обоюдном несогласии в замечаниях. Поэтому я отправил во ФСТЭК только свои предложения.

Предполагаю что в общем во ФСТЭК поступят диаметрально противоположные предложения и конечно большинство из них будут отклонены. Можно рассчитывать что будут приняты исправления явных ошибок плюс предложения пересекающиеся у большинства экспертов.

В приложение привожу примеры типов СЗИ которые обязательно потребуются для защиты ИСПДн самого простого 4 уровня защищенности (напомню, что к таким ИСПДн относятся и системы обрабатывающие обезличенные и общедоступные ПДн). Приведен один из возможных вариантов реализации мер который получился на самый первый взгляд, естественно возможны и другие варианты.
·        СЗИ от НСД, например сертифицированная ОС Windows (ИАФ.1, ИАФ.3, ИАФ.4, ИАФ.5, ИАФ.6, УПД.1, УПД.2, УПД.6, УПД.11, УПД.1, все РСБ, ЗИС.11)
·        Remote IPSec или SSL VPN (ИАФ.6, УПД.13, УПД.14, УПД.15, все РСБ, ЗИС.7, ЗИС.15, ЗИС.28)
·        Site-to-Site VPN (ЗИС.7, все РСБ, ЗИС.15, ЗИС.28)
·        межсетевой экран (УПД.16, все РСБ, ЗИС.6)
·        средства инвентаризации АРМ или централизованного управления АРМ (ОПС.3, все РСБ, ОЦЛ.7)
·        средство управления работой со съемными носителями (ЗНИ.1, ЗНИ.2, ЗНИ.8, ЗНИ.9, все РСБ)
·        средства анализа защищенности (ОЦЛ.1, ОЦЛ.2)
·        антивирус (ОЦЛ.3, все РСБ,)
·        средства резервного копирования и восстановления (ОЦЛ.8, ЗИС.10)
·        СЗИ от НСД для виртуализации или сертифицированная платформа виртуализации (ЗСВ.2, ЗСВ.7, все РСБ)

Это минимальный набор СЗИ и все они должны быть сертифицированы на 6 класс защиты.


3 комментария:

Евгений Родыгин комментирует...

Спасибо - интересный материал...
Действительно нужно командой переваривать документы. и обсуждать.
Что то я не успел на этот праздник...

Сергей Борисов комментирует...

Надо не только обсуждать, но определить 2-3 ключевых замечания, которые подавать совместно.

Дополнительное творчество можно и самостоятельно отправить

Евгений Родыгин комментирует...

Я не поддерживаю индивидуальное творчество. Коллектив позволяет отделить фантазии индивидуума от зерен переваренных мнений.
Во первых ФСТЭК-у просто тяжело переваривать отдельные хотелки.
Во вторых коллектив помогает обоснованно усилить стоящие замечания.