понедельник, 17 июня 2013 г.

СЗПДн. Анализ. Выбор мер обеспечения безопасности общедоступных ПДн

Уже достаточно давно обновился комплект подзаконных актов по защите ПДн (ПП 1119 и приказ ФСТЭК №21) а примеров выбора необходимых мер никто не решился опубликовать. Исправим этот недочет.

Возьмем  для примера ИС “корпоративный справочник сотрудников” в котором обрабатываются общедоступные контактные ПДн сотрудников.  

О проблеме защиты таких ИСПДн с учетом новых требований я уже писал ранее.

Такие ИС есть в каждой организации – внутренние web порталы, справочники сотрудников в Outlook, справочники сотрудников систем электронного документооборота, Microsoft AD и других корпоративных ИС, да просто справочник в Excel на общем сетевом диске.

Раньше мы защищали такие ИС используя стандартные меры ИБ, применяющиеся в Организации в целом, не связанные требованиями регулятора. Посмотрим как обстоит дело сейчас.

Первым делом мы определили и зафиксировали основные (не считая УЗ) и дополнительные характеристики ИС.  





Данные характеристики мы будем использовать при моделировании угроз и определении уровня защищенности ИС.

Возникает вопрос – при моделировании угроз мы должны использовать информацию о возможном ущербе субъекту ПДн или Организации-оператору?  Отвечу – законодательство требует учитывать ущерб субъекту ПДн, но по своему усмотрению мы можем учитывать и ущерб организации. В данном случае я рассматриваю только ущерб субъекту, чтобы определить минимально возможный набор мер.

Как видно из таблицы выше, ущерб субъекту нулевой. С сотрудника мы собираем согласие на общедоступность данных, приведенных в справочнике контактной информации. А ущерб субъекту ПДн от нарушения целостности или доступности данных отсутствует, так как ИС создается для обеспечения работы Организации и её производственных процессов.

Если делать экспертную модель угроз (не по РД ФСТЭК) то все угрозы ПДн в такой ИС будут неактуальными, ведь ущерб субъекту ПДн от реализации угроз отсутствует. К сожалению в ПП 1119 не предусмотрен вариант когда угрозы 1 и 2 и 3 типа неактуальны.

Если при определении актуальных угроз руководствоваться документом ФСТЭК «методика определения актуальности угроз…», то уровень исходной защищенности будет низкий. Y1=10. Показатель опасности угрозы – низкий (нулевого не определено). Получаем что при вероятности угрозы средний или высокий ( = 5 или 10) – угрозу будет актуальна. Но как увидим далее, особой разницы нет.

Изучив ещё раз приказ ФСТЭК №21 подробно, приходим к выводу, что существует только 3 варианта исключения мер ОБПДн из базового набора:
·         В случае, если мера связана с не используемыми технологиями или характеристиками не свойственными ИС
·         В случае невозможности технической реализации меры 
·         Исходя из экономической целесообразности возможна заменена меры на другую меру

В нашем случае используемые технологии стандартны, а характеристики ИС, таковы, что большинство мер не может быть и исключено

С невозможностью технической реализации меры я не столкнулся.

Исходя из экономической целесообразности и с учетом того, что ущерб субъекту ПДн – нулевой, мы могли бы заменить все затратные меры на менее затратные. Но вопрос – на какие? Не заменишь же аутентификацию пользователей – регистрацией событий? Можно было бы заменить аутентификацию пользователей – контролем доступа сотрудников в здание и в помещение. Но у нас ведь ещё возможен удаленный доступ по сети. В общем, сходу подобрать существенно менее затратные альтернативы не удалось.

По ссылке привожу пример документа, в котором зафиксирован перечень мер (SoA) и определены варианты реализации данных мер.

Самый тонкий момент с оценкой соответствия СЗИ.
“4. Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.”

Эту фразу трактуют:
·          и как необходимость оценки соответствия всегда, когда мера используется для нейтрализации актуальных угроз
·         и как определение случаев когда оценка соответствия требуется в рамках моделирования угроз (например в первой части МУ организация фиксирует что СЗИ, прошедшие оценку соответствия необходимо использовать в случаях актуальности угроз, опасность которых = “высокая”)

В нашем случае, как ни крути, получается что СЗИ, прошедшие оценку соответствия не требуются.


20 комментариев:

Артем Агеев комментирует...

А что если этот справочник будет у госоргана? Что изменится?

Кстати я никогда не встречал, чтобы корпоративный справочник контактов был общедоступен. У Микротеста он вывешен наружу?

Сергей Борисов комментирует...

Персональные данные в справочнике наиболее подходят к категории общедоступных ПДн - рабочие телефоны, email, должность, подразделение, адрес офиса, логины.

Вывешивать наружу или нет - это уже дело каждой Организации. Как правило не вывешивается - но не для защиты прав субъектов, а для защиты интересов Организации. Есть ведь разница?

Сергей комментирует...
Этот комментарий был удален автором.
Сергей комментирует...

1.Почему автоматом данные общедоступные? Это условие трудоустройства - "Либо подписывай, либо гуляй"? Потом справочник публикуется как общедоступный, или угроза конфиденциальности данных остается? (Генеральнай рад будет такой популярности в интернете?)

2.Нельзя однозначно обосновать отсутствие ущерба для субъекта. Ущерб возможен всегда. Следовательно, и вся дальнейшая нейтрализация угроз по модели не соответствует "требованиям защиты информации", и система в целом не должна пройти аттестацию.

Артем Агеев комментирует...

Разница конечно есть. Если кто-то украдет "рабочие телефоны, email, должность, подразделение, адрес офиса, логины" у Микротеста и выложит в интерент - Микротест ничего не сможет ему предъявить (данные общедоступны то...).

Сергей Борисов комментирует...

1. Эти данные должны быть общедоступны (можно рассматривать это не как факт а как мою рекомендацию "не хочешь работать в коллективе - не работай") для удобства самого субъекта и конечно организации.

Иначе, оператор и субъект вынуждены будут совершать много ненужных действий: каждый раз собирать новое согласие на передачу данных, заключать с каждым (даже потенциальным) контрагентом договора-поручения обработки ПДн с требованиями и последующим контролем выполнения требований и это всё в отношении данных, защита которых ненужна ни организации, ни субъекту ПДн.

Для меня тут основной вопрос в другой плоскости - то что в каждой организации обрабатываются общедоступные или обезличенные ПДн - это очевидно. Вопрос в том какие данные оператор и субъект отнесут к общедоступным. В одних компаниях этот перечень шире, в других уже.

2. Обосновать отсутствие ущерба можно. Субъект ПДн сам указывает что перечисленные им данные - общедоступные, и разглашение их не может нанести ему ущерб, а так-же соглашается что организация не гарантирует ему постоянную доступность справочника сотрудников и актуальность данных в нем.

PS: А не будете ли вы утверждать что угрозы всегда будут актуальны?







Михаил Новокрещенов комментирует...

Я как-то не уловил логического обоснования тезиса "получается что СЗИ, прошедшие оценку соответствия не требуются". Если это из-за того, что все угрозы считать неактуальными, то:
1) если брать методику ФСТЭК, то сомневаюсь, что ни у одной угрозы вероятность не будет "средней" и выше;
2) если же использовать экспертный метод, то при отсутсвии актуальных угроз вообще не нужно применять никакие программно-технические меры и тогда их перечень д.б. пуст, а в примере и AD и МЭ, я видел, приводились.
Если все-таки какие-то программно-технические меры будут, то опять же вопрос, что из них считать средством защиты? Ответа на этот вопрос нынешняя нормативка, насколько мне известно не дает. Но даже если AD мы исключаем из числа средств защиты, то как МЭ из примера мер можно им не считать, если для данного типа средств существует отдельные РД у ФСТЭК? А значит это средство и потребует хоть какая-то оценка соответствия для него.

Владимир Рындин комментирует...

По поводу исключения мер ОБПДн.
ФЗ-152 нам по этому поводу говорит:
Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами.
Не значит ли это то, что я могу сколько угодно исключать меры даже из базового набора? Ведь иное в данном случае предусмотрено не ФЗ, а приказом.

Сергей Борисов комментирует...

Владимир Рындин: в части защиты ПДн "иное предусмотрено настоящим Федеральным законом" а именно статьей 19 пунктом 3 и 4

Владимир Рындин комментирует...

Упустил, согласен.

Сергей Борисов комментирует...

Михаил Новокрещенов: на счет оценки соответствия.

хотелось бы придерживаться подхода, что для такой ИС все угрозы безопасности ПДн будут неактуальны - > оценка соответствия не требуется.

Но обычно это обсуждается с заказчиком и для подстраховки выбирается вариант МД ФСТЭК. Тогда я бы придерживался второй трактовки в отношении оценки соответствия СЗИ.

Но если использовать МД ФСТЭК и придерживаться первой трактовки про СЗИ - то вероятно мы придем к необходимости оценки соответствия некоторых мер. пока не готов сказать каких. Но приложение скорее всего попадет как мера защиты.

С определением СЗИ - всё плохо. Об этом я уже писал. Наше приложение конечно будет СЗИ, так как используется для защиты информации.

PS: Я не увидел возможности исключать меры защиты только потому что угрозы неактуальны.
с учетом модели угроз мы можем только
"уточнение адаптированного базового набора мер по обеспечению безопасности персональных данных с учетом не выбранных ранее мер"
Я не могу трактовать это как возможность исключения мер.






Сергей Борисов комментирует...

Артем Агеев, не надо путать защиту персональных данных и защиту коммерческой информации компании.

Визитки с контактами и подписи в письмах - расходятся тысячными тиражами. Что уж тут поделаешь, не прикладывать же к каждому исходящему письму договор?

Михаил Новокрещенов комментирует...

2Сергей
Ну а почему бы, например, не исключить на этапе адаптации из базового набора мер все, которые связаны с угрозами, которые на этапе моделирования мы определили как неактуальные? Термин "особенности функционирования ИС" вполне подходит в этом плане. Модель угроз как документ по своему содержанию вполне адекватно может отражать особенности функционирования, ив этом случае являться основанием для выводов на данном этапе. Это нигде не запрещено.

Dmitriy комментирует...

А если вся инфраструктура хостится в Европе, и есть согласие на трансграничную передачу, можно любые меры игнорировать?

Dmitriy комментирует...

И еще вопрос - если в телефонном справочнике/AD/интернете хранятся еще и фото сотрудников, это как-то влияет?

Сергей Борисов комментирует...

2 Михаил Новокрещенов: идея интересная, надо подумать.

Привожу цитату:

"9.
адаптацию базового набора мер по обеспечению безопасности персональных данных с учетом ... особенностей функционирования информационной системы (в том числе исключение из базового набора мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе)"

А разве уточнение, приведенное в скобках, не ограничивает все возможные варианты возможностей по исключению?

Сергей Борисов комментирует...

2 Dmitry:
вам необходимо будет принять меры по защите информации при передаче
+
официально уведомить хостинг о том что будут обрабатываться персональные данные
+
запросить от хостанга перечень применяемых мер защиты и подтверждения того, что соблюдаются локальные требования по безопасности ПДн


На счет фотографий - ждем информационного письма Роскомнадзора.
Пока можно считать что это биометрия. Есть будет ещё и согласие на общедоступность то это будут общедоступные биометрические данные. Необходимо учитывать требований ФЗ и в части биометрии и в части общедоступности.


Михаил Новокрещенов комментирует...

Термин "в том числе" определяет все последующее только как конкретный пример возможной адаптации, но этим примером диапазон возможных вариантов не ограничивается, по крайней мере никаких указаний на это в тексте нет. Иначе было бы сказано "исключение из базового набора мер разрешается в случаях когда...".

Dmitriy комментирует...

Сергей, а можно подробнее про трансграничную передачу? У нас нет прямых договоров с хостерами - данные хранятся в зарубежных корпоративных датацентрах внутри компании, либо у внешних хостеров, договоры с которыми заключает штаб-квартира за рубежом.

Сергей Борисов комментирует...

2 Dmitriy: подробнее напишу в отдельной заметке блога или в рамках оказания платных консалтинговых услуг