вторник, 21 мая 2013 г.

СЗПДн. Анализ. Приказ ФСТЭК №21 (UPD)

Как вы, наверное, уже заметили, Минюст зарегистрировал и опубликовал новый приказ ФСТЭК №21 от 18.02.2013 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".

Хотя я и участвовал в совершенствовании документа (SOISO), специально не хотел публиковать каких-то аналитических статей для широкого круга пользователей, потому что слишком уж в России быстро и сильно меняются конечные версии документов по сравнению с их проектами. И большая радость может  неожиданно сменится на большую печаль.

Начнем пожалуй с порядка действий. Для наглядности процесс привожу в виде схемы, включая перечень мероприятий, необходимые данные и возможные результаты.


(Кликать по ссылке1 - картинка JPG, но лучше загружайте в формате PDF - там лучшее качество текста. Стрелки со сплошными линиями - значит есть явное требование в приказе, с пунктирными - мои личные соображения)

Наиболее интересные и сложные для меня пункты документа, на которые обратил особое внимание:
·        Недостаточно четко сформулирован пункт 3, о необходимости применения средств защиты, прошедших в установленном порядке оценку соответствия. Пока считаю что во всех случаях, когда в качестве контрмеры для актуальной угрозы выбрано СЗИ, должно использоваться СЗИ прошедшее оценку соответствия.

·        В общем, в документе  не говорится о необходимости применения именно сертифицированных СЗИ. Но неприятная фраза в конце пункта 8.12 требует 4 уровень контроля отсутствия НДВ для ИСПДн 1 и 2 уровня защищенности и ИСПДн, для которых актуальны угрозы 2-ого типа.
“Для обеспечения 1 и 2 уровней защищенности персональных данных, а также для обеспечения 3 уровня защищенности персональных данных в информационных системах, для которых к актуальным угрозам отнесены угрозы 2-ого типа, применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4-ому уровню контроля отсутствия недекларированных возможностей”
Других способов обеспечить 4 уровень контроля отсутствия НДВ кроме сертификации я нет, поэтому считаю,  что для части систем сертификация требуется в явном виде.
Вообще моё мнение что эта игра с угрозами 1 и 2 типов (НДВ) была затеяна именно для того, чтобы протащить требования по сертификации на отсутствие НДВ.  Для того, чтобы ФСТЭК Р и ФСБ Р получили доступ к исходным кодам иностранных СЗИ, либо те будут вытеснены.
А целая группа экспертов наивно предположила что речь идет о защите интересов операторов или субъектов и пытались разработать правильные меры.

·        Если раньше определение необходимых мер защиты производилось в зависимости от ключевых характеристик ИСПДн и  актуальности угроз, то теперь добавилось ещё и понятие “экономической целесообразности”. Пока не совсем понятно что это за инструмент и как им можно будет пользоваться. Если идти по классическому пути, то это очень похоже на оценку рисков, определение приемлемых рисков и понижение неприемлемых рисков до приемлемых

·        В документе  не говорится о том, необходимо ли применение данных требований для существующих ИСПДн и СЗПДн? Это ещё одна проблема и корупцигенный фактор.
Операторы вынуждены или принимать регуляторные риски или переделывать уже принятые меры

·        В документе появился новый старый термин “оценка эффективности системы защиты”. Опять же тут простор для творчества.
Подходит аттестация, но не хотелось бы чтобы аттестация применялась для большого процента операторов. Так как она подходит только для жестко ограниченных и редко меняющихся ИС. В какой-то степени это шаг назад, в обратную сторону от развития.
Хотелось бы проработать и альтернативные варианты оценки эффективности, такие ка внешний аудит и самооценка.
Кстати если говорить о самооценке, то новый виток развития могут получить средства и системы для простой самооценки операторами своих СЗПДн, как это было с самооценкой СТО БР полтора года назад.

·        В документе предусмотрена возможность для сочинения новых угроз, применения дополнительных мер, сверх требуемого. Будет ли кто-то этим пользоваться? Да, только в случае если удастся уйти от обязательной сертификации СЗИ. Добровольно никто не будет обвешивать себя двумя – тремя слоями сертифицированных продуктов. (ведь можно эти дополнительные решения провести за рамками СЗПДн, быстрее, дешевле и иметь в будущем меньше проблем с ограничениями сертифицированных СЗИ)

·        В документе  не говорится о том, необходимо ли применение данных требований для существующих ИСПДн и СЗПДн? Это ещё одна проблема и корупцигенный фактор.
Операторы вынуждены или принимать регуляторные риски или переделывать уже принятые меры

·        В случае использования сертифицированных СЗИ, не определено на соответствие чему должны быть сертифицированы СЗИ отличные от СОВ, МЭ и САЗ? Например DLP. Как я понимаю можно сертифицировать на то что “просто работает”.

По сертификации получается следующая табличка  (во всех случаях может использоваться и более высокий класс защиты, чем приведен)


PS: Думаю прямо сейчас разбирать конкретные меры смысла нет, а позже сделаю пример анализа для какой-нибудь простой ИСПДн.

PPS: Статьи коллег блогеров с анализом нового приказа ФСТЭК (буду пополнять):





6 комментариев:

Владимир Рындин комментирует...

Полезно, сапсибо!
А в чем первая схема сделана?

Сергей Борисов комментирует...

visio

Иван Кочетов комментирует...

Можно первую пикчу по больше? )

Александр Бондаренко комментирует...

Первая картинка вообще не читается

Сергей Борисов комментирует...

Добавил в варианте PDF, если неудобно будет смотреть онлайн, то лучше загрузить и смотреть офлайн

alexander комментирует...

Отсутствие 5 пункта в Приказе ФСТЭК №21 от 14.05.13 просто поразило. Такое ощущение, что документ не проверяла ни одна структура перед выпуском. Работа со списками текстового редактора Word составляющим не подвластна.

Равно как и смысловое содержание части г. пункта 13 Постановления Правительства РФ от 01.11.12. Фраза из которой нельзя однозначно построить обратное утверждение.