пятница, 10 октября 2014 г.

СЗПДн. Анализ. Выбор мер защиты

Последний год в комментариях про последние документы ФСТЭК: приказы №17, 21, 31 регулярно встречаю фразы про невиданный ранее прорыв в требованиях регуляторв, про полную свободу выбора мер защиты Заказчиком.

Соглашусь с тем что есть прорыв – появился типовой каталог мер, сами меры сформулированы достаточно гибко, что позволяет при их реализации использовать почти всё что угодно. Но есть в документах ФСТЭК и моменты определенные достаточно жестко и не подразумевающие двойного толкования. Один из них – порядок выбора мер защиты. Определен порядок и действия которые необходимо выполнить на каждом этапе.



В этом порядке исключение мер базового набора возможно только на этапе “адаптации”..
“в том числе исключение из базового набора мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе”

Если кто-то видит в этом свободу, то я не вижу. Применяемые технологии и структурно-функциональные характеристики однозначно определяются на этапе обследования ИСПДн и далее лишние меры “автоматически” исключаются.

Например, характеристики ИСПДн:
·        Типы пользователей ИС: работники и внешние пользователи
·        Уровни ИС, на которых выполняется управление доступом: ОС, сервис терминалов, приложение, СУБД
·        Структура ИС: распределенная информационная система.
·        Наличие подключений к ССОП и СМИО (Интернет): имеются подключения к сети Интернет
·        Режим обработки ПДн: многопользовательский.
·        Разграничение доступа пользователей: С разграничением прав доступа.
·        Место нахождения технических средств: все сервера ИС находятся в пределах РФ.
·        Применение виртуализации АРМ или серверов ИС: да
·        Применение мобильных устройств при работе с ИС: нет
·        Применение беспроводного доступа при работе с ИС: да

Из не применения мобильных устройств однозначно следует что мера УПД.15 исключается. Свободы выбора я тут не вижу. Скорее просто логика – нельзя защищать то, чего нет.

Под свободой я понимаю либо возможность исключения мер защиты в соответствии с неактуальностью определенных угроз, либо просто возможность исключения “неподходящих” мер на усмотрение оператора. Но сейчас этого нет. А в “старом” приказе №58 такая возможность была
“2.2. В системе защиты персональных данных информационной системы в зависимости от класса информационной системы и исходя из угроз безопасности персональных данных, структуры информационной системы, наличия межсетевого взаимодействия и режимов обработки персональных данных с использованием соответствующих методов и способов защиты информации от несанкционированного доступа реализуются функции управления доступом, регистрации и учета, обеспечения целостности, анализа защищенности, обеспечения безопасного межсетевого взаимодействия и обнаружения вторжений.”

Так что в свободе выбора мы сделали только шаг назад. (учитывая компенсирующие меры - шажок небольшой)


10 комментариев:

Алексей Лукацкий комментирует...

Это не так :-) В п.2 ПП-1119 говорится, что "Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах". А орг и техмеры устанавливаются уже исходя из приказов 21 и 378.

Сергей Борисов комментирует...

Так они и определяются с учетом модели угроз. Только с учетом в плюс (дополнение мер), а не в минус.

Алексей, некоторые лазейки можно пытаться найти, и у меня в блоге они тоже проскакивали.
Но практика показала, что при диалоге 2 или трех сторон, нужны железные аргументы.

Довод "Можно исключать меры потому что так сказал А. Лукацкий" почему-то не сработал.

Жду что в следующей редакции будет явно написано что можно исключать меры и на каком этапе (так же как сейчас явно написано что меры нужно дополнять для нейтрализации актуальных угроз)

Сергей Борисов комментирует...

ПП-1119 как высокоуровневый документ определяет что актуальные угрозы должны в принципе учитываться.
А приказ 21 ФСТЭК описывает как именно они должны учитываться.

Артем Агеев комментирует...

Чего интернет-бумагу переводить и Интернеты засорять толкованиями?

Напиши во ФСТЭК. Опубликуй их ответ.

Ronin комментирует...

Все верно и никак не понять логику Алексея в его доводах. Обычно есть 2 попода доказательств - берутся положения и из них делается вывод или берется желаемый вывод и потом под него подгоняется трактовка положений нормативки. Понятно, что правильный первый вариант, но Алексей упорно идет по второму пути.
С учетом актуальных угроз != на основании актуальных угроз. Более того, почти везде говорится на основании уровней защищенности и актуальных угроз и это именно так и в описаниях методики выбора во всех приказах это прекрасно расписано. На основании актуальных угроз меры могут быть добавлены - это и есть то самое "с учетом актуальных угроз".

Сергей Борисов комментирует...

Артем, 1) будет ли этот частный ответ основанием для принятия решений?
2) ты веришь что ФСТЭК ответит четко и ясно на этот вопрос?

Я извожу интернет-бумагу для одной простой и очевидной цели: я хочу корректировок в приказ 21. там хватит одной фразы.

Артем Агеев комментирует...

1) ФСТЭК юридически имеет полное право толковать свои документы. Полученную бумажку можно показывать любой проверке как индульгенцию.

2) Как спросишь - так и ответят.

Устали уже все от корректировок. Каждый год все по-новому.

Справедливости ради стоит сказать, что я уже 2 недели жду от ФСТЭКа ответ на вопрос, заданный через интернет-приемную. Так что они могут и не ответить :(

Сергей Борисов комментирует...

В прошлый раз, по техподдержке, обновлениям и лицензиям мне ФСТЭК отвечал 2,5 месяца. Так что стоит запастись терпением.

Сергей Борисов комментирует...

Артем:
1) Индульгенция то нужна не мне, а оператору. Так что это в каждом новом проекте придется запрашивать

2) Корректировки фиксирующие то что на словах и так говорит ФСТЭК будут только в плюс.
Все устали от неопределенности и двусмысленностей. А уточнениям будут только рады.

Почему-то 149-ФЗ каждую неделю можно корректировать, а приказ №21 нельзя?

sivantalex комментирует...

Почему-то в 17-м приказе вписали:
При этом в информационной системе должен быть, как минимум, реализован адаптированный базовый набор мер защиты информации, соответствующий установленному классу защищенности информационной системы.
А в 21 этого нет.