Уже достаточно давно обновился
комплект подзаконных актов по защите ПДн (ПП 1119 и приказ ФСТЭК №21) а
примеров выбора необходимых мер никто не решился опубликовать. Исправим этот
недочет.
Возьмем для примера ИС “корпоративный справочник
сотрудников” в котором обрабатываются общедоступные контактные ПДн сотрудников.
О проблеме защиты таких ИСПДн с учетом
новых требований я уже писал ранее.
Такие ИС есть в каждой организации – внутренние
web порталы, справочники сотрудников в Outlook, справочники сотрудников систем электронного
документооборота, Microsoft AD и других корпоративных ИС, да просто справочник
в Excel на общем сетевом диске.
Раньше мы защищали такие ИС используя
стандартные меры ИБ, применяющиеся в Организации в целом, не связанные
требованиями регулятора. Посмотрим как обстоит дело сейчас.
Первым делом мы определили и
зафиксировали основные (не считая УЗ) и дополнительные характеристики ИС.
Данные характеристики мы будем
использовать при моделировании угроз и определении уровня защищенности ИС.
Возникает вопрос – при моделировании
угроз мы должны использовать информацию о возможном ущербе субъекту ПДн или Организации-оператору? Отвечу – законодательство требует
учитывать ущерб субъекту ПДн, но по своему усмотрению мы можем учитывать и
ущерб организации. В данном случае я рассматриваю только ущерб субъекту, чтобы
определить минимально возможный набор мер.
Как видно из таблицы выше, ущерб
субъекту нулевой. С сотрудника мы собираем согласие на общедоступность данных,
приведенных в справочнике контактной информации. А ущерб субъекту ПДн от
нарушения целостности или доступности данных отсутствует, так как ИС создается
для обеспечения работы Организации и её производственных процессов.
Если делать экспертную модель угроз (не
по РД ФСТЭК) то все угрозы ПДн в такой ИС будут неактуальными, ведь ущерб субъекту
ПДн от реализации угроз отсутствует. К сожалению в ПП 1119 не предусмотрен
вариант когда угрозы 1 и 2 и 3 типа неактуальны.
Если при определении актуальных угроз руководствоваться
документом ФСТЭК «методика определения актуальности угроз…», то уровень
исходной защищенности будет низкий. Y1=10. Показатель опасности
угрозы – низкий (нулевого не определено). Получаем что при вероятности угрозы
средний или высокий ( = 5 или 10) – угрозу будет актуальна. Но как увидим далее,
особой разницы нет.
Изучив ещё раз приказ ФСТЭК №21
подробно, приходим к выводу, что существует только 3 варианта исключения мер
ОБПДн из базового набора:
·
В случае, если мера связана с не используемыми
технологиями или характеристиками не свойственными ИС
·
В случае невозможности технической реализации
меры
·
Исходя из экономической целесообразности возможна
заменена меры на другую меру
В нашем случае используемые технологии
стандартны, а характеристики ИС, таковы, что большинство мер не может быть и
исключено
С невозможностью технической
реализации меры я не столкнулся.
Исходя из экономической
целесообразности и с учетом того, что ущерб субъекту ПДн – нулевой, мы могли бы
заменить все затратные меры на менее затратные. Но вопрос – на какие? Не
заменишь же аутентификацию пользователей – регистрацией событий? Можно было бы
заменить аутентификацию пользователей – контролем доступа сотрудников в здание
и в помещение. Но у нас ведь ещё возможен удаленный доступ по сети. В общем,
сходу подобрать существенно менее затратные альтернативы не удалось.
По ссылке привожу пример документа, в котором зафиксирован перечень мер (SoA) и определены варианты реализации данных
мер.
Самый тонкий момент с оценкой
соответствия СЗИ.
“4. Меры
по обеспечению безопасности персональных данных реализуются в том числе
посредством применения в информационной системе средств защиты информации,
прошедших в установленном порядке процедуру оценки соответствия, в случаях,
когда применение таких средств необходимо для нейтрализации актуальных угроз
безопасности персональных данных.”
Эту фразу трактуют:
·
и как
необходимость оценки соответствия всегда, когда мера используется для
нейтрализации актуальных угроз
·
и как определение случаев когда оценка соответствия требуется в рамках моделирования угроз (например в первой части МУ организация фиксирует
что СЗИ, прошедшие оценку соответствия необходимо использовать в случаях
актуальности угроз, опасность которых = “высокая”)
В нашем случае, как ни крути,
получается что СЗИ, прошедшие оценку соответствия не требуются.