понедельник, 17 марта 2014 г.

СЗПДн. Анализ. Нужно моделирование угроз обработчика ПДн!!


Продолжу предыдущую статью об обязанностях обработчика и необходимости оператором  выполнения ряда мероприятий за обработчика. Рассмотрим два типа обработки ПДн по поручению:
1.      широкий круг Обработчиков выполняет схожий набор действий с ПДн (обработку)
2.      только один Обработчик выполняет для данного Оператора определенный набор действий ПДн (обработку)
Примерами первого типа являются:
·        оператор сотовой связи и дилеры (собирает данные клиентов для заключения договора)
·        банк и платежные агенты (собирают данные для платежей)
·        банк и коллекторские агенства (используют данные для связи с клиентом)
·        банк и организации - клиенты по зарплатному проекту (передают данные для платежей)
·        организации и курьерские компании, доставляющие что-либо клиентам (используют данные для доставки)
·        страховая компания и страховые агенты (собирает данные клиентов для заключения договора)
·        авиа/жд/авто транспортные компании и агенты (собирает данные для оформления билета)
·        Министерство обороны Российской Федерации и организации (собирают и передают данные сотрудников для воинского учета)
·        ФОМС и организации (собирают и передают данные сотрудников для медицинского страхования)
·        ПФР и организации (собирают и передают данные сотрудников для пенсионного страхования)
·        Росстат и организации (собирают и передают данные сотрудников для статистического учета)
·        ФНС и организации (собирают и передают данные сотрудников для налогового учета)
·        ФМС и организации (собирают и передают данные сотрудников для миграционного учета)
·        Росминтруд, Роструд  и организации (собирают и передают данные сотрудников для социальной защиты)
·        Рособразования и школы (собирают и передают данные учащихся) и т.п.

В варианте первого типа обработки ПДн Оператору хорошо известно, какие действия выполняет обработчик с ПДн, как взаимодействует Обработчик с ИС, скорее всего такая деятельность хорошо регламентирована самим Оператором (договор, приказ, правила, порядки, инструкции)  и скорее всего применяется автоматизация обработки – Обработчик использует ИС Оператора.

Учитывая это, у Оператора есть вся необходимая информация, чтобы разработать высокоуровневую модель угроз , выбрать перечень мер ОБПДн (дополненный уточненный адаптированный базовый набор мер) и даже определить конкретные способы реализации мер (если обработчик использует ИС Оператора).

В то же время у Обработчика первого типа нет полной картины процессов обработки (обработчику поручили какой-то кусок операций, для чего они выполняются он может и не знать), нет информации для оценки возможного вреда и соответственно для построения адекватной модели угроз.

Ещё один аргумент – экономический. Оператор один, а Обработчиков у него может быть десятки/сотни/тысячи. Разработка модели угроз для охватывающей как Оператора так и Обработчиков повлечет, в худшем случае, двойные трудозатраты, но приведет к экономии в десятки/сотни/тысячи раз для множества этих компаний.

Если отдать выбор мер защиты полностью на усмотрение Обработчику, то возможны следующие проблемы:
·        применение несовместимых мер защиты Обработчиком и Оператором (например, обработчик решит, что необходима сертифицированная криптография, а оператор что криптография не требуется и будет использовать западные средства защиты, или Оператор определит что для управления доступом будут использоваться наложенные СЗИ, а Обработчик решит что нужно применять возможности самой ИС и сертифицировать её)
·        применение дублирующих мер защиты
·        применение сильно различающихся по составу наборов мер защиты; это позволит злоумышленнику для атаки на систему в целом использовать самого слабозащищенного Обработчика.

Все несовместимости, избыточности и слабости децентрализованного подхода по выбору мер защиты в итоге выражаются в дополнительных затратах по сравнению с централизованным, для обеспечения аналогичного уровня защищенности для тех же процессов обработки ПДн.

Рассмотрим обработчиков второго типа. Примеры:
·        компания и внешняя бухгалтерия
·        компания и ЧОП
·        компания и аутсорсер какого-либо бизнес-процесса
·        компания и хостинг (в случае оказания, каких либо доп. услуг)
·        компания и облачные сервисы (в случае оказания, каких либо доп. услуг)

При таком типе  обработки ПДн, Оператор, скорее всего, не может регламентировать все процессы Обработчика, но Оператору всё равно должны быть известны и понятны действия, выполняемые Обработчиком с ПДн (152-ФЗ это явно требует).

Так-же обычной практикой является уточнение состава мер защиты, применяемых Обработчиком, оценка возможного ущерба и даже моделирование угроз (как Алексей Волков делает это). Отдавать, защищаемую законом информацию в неизвестность никто не захочет. Ведь ответственность перед Субъектами  ПДн несет Оператор.


Выводы.
Если вы Оператор или выполняете работы по защите ПДн Оператора:
·        при анализе характеристик и описании ИС обязательно учитывайте процессы обработки ПДн выполняемые Обработчиками
·        при анализе возможного ущерба, включите анализу возможного ущерба в Обработчике (наверняка он будет меньше, так как обработчик задействован только для некоторых процессов и части данных)
·        при моделировании угроз учитывайте Обработчика ПДн (либо включаем его в ИС, либо выделяем отдельную типовую ИС Обработчика)
·        при выборе перечня мер ОБПДн (дополненный уточненный адаптированный базовый набор мер) готовим аналогичный или отдельный для Обработчика
·        при проектировании и выборе конкретных способов реализации мер крайне рекомендую учитывать и Обработчика. Можно не ограничивать его конкретными моделями/версиями/производителями средств защиты. Но включать в требования типы средств защиты можно и нужно. Например “межсетевой экран, сертифицированный ФСТЭК Р по 4-ому классу МЭ” “защищенные носители ключей электронной подписи в виде USB-ключа или смарт-карты”
·        в поручении Обработчику указывать кроме того что требуется законом (см. предыдущую статью), ещё и информацию о возможном вреде и результаты моделирования угроз обработчика - перечень актуальных угроз, для нейтрализации которых были выбраны меры. Если Обработчик посчитает что какие-либо угрозы избыточны для его процессов и аргументирует это, то Оператор может изменить требования.

Если вы Обработчик или выполняете работы по защите ПДн Обработчика:
·        определите все процессы для которых вы являетесь не Оператором, а обработчиком
·        не спешите проводить мероприятий по защите ПДн в данных процессах. Требования по защите ПДн вам должен предъявить оператор.  Если не предъявил – запрашивайте. Не дает – защищайте так, как принято для другой корпоративной информации, в соответствии с внутренними политиками
·        не проводите анализ возможного вреда (это обязанность Оператора), только если от вас явно не потребует это Оператор
·        не проводите моделирование угроз (это обязанность Оператора), только если от вас явно не потребует это Оператор
·        не проводите выбор мер защиты (это обязанность Оператора), только если от вас явно не потребует это Оператор
·        сохраняйте свидетельства выполнения тех требований, которые Оператор всё таки предъявил, так как в обязанность оператора входит оценка эффективности принимаемых мер – рано или поздно он запросит у вас эту информацию


PS: Пример поручения от Департамента образования (с моей точки зрения не корректен - нет четких требований по защите, нет требований по моделированию и выбору мер. фраза о необходимости соблюдения требований законодательства по защите - равносильна пустому множеству. нет других обязательных разделов)

PS: Пример поручения от Туроператора (с точки зрения защиты ПДн - корректен. вопросы обработки ПДн не описаны, но возможно это отдельный документ)

PS: Похожий пример от другого Туроператора (а тут уже с нарушением, конкретные меры по защите ПДн не предъявлены)

PS: Пример поручения от ФОМС (вроде все выполнено - но сгрузили все мероприятия на Обработчика, в том числе моделирование угроз и выбор мер защиты. я бы не советовал так делать)



2 комментария:

ser-storchak комментирует...

Про моделирование угроз почти ничего не сказано

Сергей Борисов комментирует...

Да, этот анализ был посвящен тому почему надо моделировать угрозы обработчика.