пятница, 2 августа 2013 г.

СЗПдн. Анализ. Порядок выполнения основных мероприятий по обеспечению безопасности ПДн

В очередной раз пишу про уже порядком утомившую всех тему по защите ПДн.

Так как в комментариях к предыдущим заметкам поднимались вопросы:
·        почему написано про модель угроз , если явно она не требуется
·        нужно ли обследование
·        обязательны ли сертифицированные СЗИ
·        обязательная ли аттестация
·        какие возможны документы в простых случаях

Свел в одну картинку основные возможные варианты порядков обеспечения безопасности ПДн.


Хотел сделать кратко и крупно, но получилось опять много вариантов и мелкими буквами, поэтому лучше смотреть в варианте PDF.


(UPDATE) Привожу некоторые объяснения относительно вариантов:
1.      Почему в варианте “другие ИСПДн” есть две цепочки действий?
В приказе №21 ФСТЭК нет явных требований к оператору – проводить моделирование угроз. Нет и обратного – информации о том что моделирование угроз уже проведено или что его проведение не требуется.
В ПП 1119 от оператора в явном виде требуется только “7. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда” .
Данное требование можно выполнить и в таком варианте: “комиссия считает, что возможный ущерб субъекту ПДн  - низкий, тип УБПДн - третий” в этапе классификации системы.
Полноценное моделирование угроз в явном виде не требуется. Но нет и обратного -  информации о том что моделирование угроз уже проведено или что его проведение не требуется. А определение типа угроз и ущерба логично делать в процессе детального моделирования. Это увеличит точность оценки.
В части 5 статьи 19 152-ФЗ указывается что государственные органы (а не операторы) “определяют угрозы безопасности, актуальные при осуществлении соответствующих видов деятельности”. Но нет явного указания, что только они (госорганы) могут определять угрозы и что операторы не могут самостоятельно моделировать угрозы.

2.      Как нейтрализовать актуальные угрозы если оператор не разрабатывал модели угроз?
Во-первых, модель угроз может разработать отраслевая организация в соответствии с частью 6 статьи 19 152-ФЗ и определить требуемый состав мер. Например, необходимость выполнить базовый набор мер.
Во-вторых, вышестоящая организация может разработать модель угроз и определить требуемый состав мер. Например, необходимость выполнить базовый набор мер.
В-третьих, ФСТЭК Р уже разработала в 2008 году “базовую модель угроз” и “методику определения актуальных угроз” а в ближайшее время планирует выпустить обновленные документы (см. информационное сообщение ФСТЭК Р N240/22/2637).
Есть все основания полагать, что базовые наборы мер ФСТЭК Р соответствуют базовым моделям угроз для уровней защищенности.

3.      Вопрос о двух вариантах с сертифицированными и несертифицированными СЗИ.
Из явных требований имеем:
“4. Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.”
При моделировании угроз мы будем определять когда для нейтрализации актуальных угроз необходимы сертифицированные СЗИ, а когда они не требуются. Например, исходя из степени опасности угроз.
Почему эту двойственности нет в цепочке без моделирования угроз?  Как раз потому, что оператор не имеет информации о степени опасности угроз, не имеет информации о том какая именно мера используется для нейтрализации какой угрозы. Поэтому такому оператору придется использовать только сертифицированные СЗИ.

4.      По поводу оценки эффективности.
Для ГИС – это однозначно аттестация. Для других систем ограничений по методикам и способам оценки эффективности нет (см. информационное сообщение ФСТЭК Р N240/22/2637).
Я считаю что в такой ситуации оператору удобно проводить оценку соответствия по той методике, которая наибольшим образом соответствует его внутренним политикам и требованиям.  Тогда оператор, кроме выполнения требований регуляторов, будет выполнять  и какие-то свои бизнес-задачи.
Если же никаких собственных требований или политик у оператора нет, оператор согласен на ограничения аттестации и готов регулярно переплачивать за аттестацию и контроль эффективности, то он может проводить оценку соответствия в виде аттестации, даже если ИСПДн – не ГИС.



8 комментариев:

tomato комментирует...

Думаю людям полезно будет.
Только не очень понятно назначение разделения прямоугольников по цветам, что это значит?

Сергей Борисов комментирует...

Я думал там всё очевидно - оранжевым цветом выделены варианты накладывающие меньшие ограничения на оператора,
как следствие они могут быть более интересны ряду операторов, так как могут приводить к экономии средств либо к большему соответствию СЗПДн внутренним требованиям и политикам, а не только внешним.

tomato комментирует...

Это очевидно в прямоугольниках СЗИ, а вот вариативность прямоугольников оценки эффективности выполнения мер ОБПДн - совсем не очевидна.

Сергей Борисов комментирует...

Это в предыдущих заметках и комментариях к ним. Возможно соберу и сделаю апдейт этой заметки

Александр Бодрик комментирует...

А зачем мне столько документов если я, к примеру, в интересах бизнеса с помощью МУ сделаю все угрозы на которые у меня еще нет СЗИ неактуальными?

Сергей Борисов комментирует...

Я же написал что это типовые наборы.
Если в МУ все угрозы неактуальны, то нужен документ к котором будет зафиксировано, что состав мер - нулевой.

Алексей Шабалин комментирует...

Сергей, вопрос по поводу ветки "Другие ИСПДн"-"Без моделирования угроз", 152-ФЗ явно требует защищаться от актуальных угроз, приказ №21 ФСТЭК при построении набора мер так же требует учитывать актуальные угрозы, так что, так или иначе, обязанность определить актуальные угрозы у оператора есть.

Сергей Борисов комментирует...

Обновил заметку - добавил ответы на вопросы из комментариев.