СЗПДн. Анализ. ИСПДн c общедоступными и обезличенными ПДн
Подписано ПП №1119, о проекте которого
я уже писал в предыдущей заметке. К
замечаниям, которые я приводил в ней, добавляется следующее.
В данный момент в большей части информационных
систем или технологических процессов обрабатываются общедоступные персональные
данные или малоценные обезличенные персональные данные.
Примерами таких систем или технологических
процессов являются:
·
Корпоративные справочники сотрудников
·
Перечни учетных записей пользователей в любом
приложении (например, имя, должность, логин, контактный телефон)
·
Перечни учетных записей пользователей в любом корпоративном
сервисе, таком как AD,
телефония
·
Клиентские кабинеты на web портале (имя, логин, емейл)
·
Любые онлайн формы для обращений клиентов (имя,
емейл, контактный телефон)
·
Кол.центры для работы со звонками клиентов в
которых записывается имя, телефон.
Из опыта предыдущих проектов могу
сказать, что например в организации -
операторе из 1000 сотрудников, порядка 100 являются полноценными пользователями
ПДн, а оставшиеся 900 работают только с общедоступными или малоценными обезличенными ПДн. Соответственно эти 100 пользователей защищались
сертифицированными СЗИ, остальные 900 пользователей встроенными средствами
безопасности имеющимися в системах и сервисах.
Руководствуясь 152-ФЗ 2.0 и ПП №1119
мы получаем что:
·
ИСПДн с общедоступными ПДн, полученными непосредственно
от субъекта вместе с согласием на общедоступность – ИСПДн обрабатывающая иные
категории ПДн (ИСПДн-И)
·
ИСПДн с малоценными обезличенными ПДн – ИСПДн обрабатывающая
иные категории ПДн (ИСПДн-И)
Далее устанавливаем уровень
защищенности. Даже если актуальны угрозы 3-его типа, получаем 3 и 4 уровень
защищенности ПДн и как следствие получаем необходимость использования
сертифицированных СЗИ для защиты этих ПДн.
В результате мы с вами существенно
теряем в гибкости при защите ПДн, вынуждены будем увеличить бюджеты на СЗПДн
как минимум в 10 раз, а онлайн обращения и услуги вообще оказываются вне
закона.
Почему я не писал об этом в прошлой
заметке? Потому что в проекте ПП применение сертифицированных СЗИ требовалось только
с 2 уровня защищенности. И это было бы разумным компромиссом при защите
общедоступных или малоценных обезличенных персональных данные.
Комментарии
это как ты к такому выводу то пришел?
откуда в 10 раз?
или остальные 900 машин ты предлагаешь вообще никак не защищать?
- встроенными возможностями ОС Windows
- встроенными возможностями приложений и сервисов (IIS, AD, Exchange, 1C, и т.п.)
- встроенными возможностями имеющегося у заказчика сетевого оборудования (маршрутизаторов, коммутаторов)
- средствами резервного копирования
Оператор решил что для малоценной информации этого достаточно и в модели угроз всё сходилось.
Теперь Заказчик будет внедрять проект по ЗПДн, вынужден будет закупать сертифицированные СЗИ для тех функций безопасности которые у него уже были реализованы (или сертифицировать имеющиеся средства, что может быть даже дороже):
- СЗИ от НСД на АРМ и Серверы
- межсетевые экраны
- СКЗИ для сетевого трафика
- средства защиты БД
весьма вероятно, что все его проблемы будут решены пакетами сертификации от Алтекс-софта стоимостью 20% от стоимости ОС.
Я пока считаем просто - сколько будет стоить замена имеющихся базовых функций безопасности - сертифицированными СЗИ.
А ты Артем, например, предлагаешь для защиты данных о здоровье СЗПДн тоже состоящую только из сертифицированного Windows?
Конечно про это все говорили ещё год назад, когда вышел 152-ФЗ версии 2.0.
Но тогда ещё не было новых подзаконных актов и эта проблема была отложена.
Вот теперь ПП подписан и ситуация прояснилась.
Операторам осталась одна возможность - идти по пути Алексея Лукацкого и доказывать что оценка соответствия - не сертификация.
Если все ПДн получены из общедоступных источников, то это ИСПДн-О. Если не все данные из общедоступных источников - то это уже не ИСПДн-О.
Но ошибка есть в другом:
Разработчики документа не учли варианта когда в системе обрабатываются биометрические данные, полученные из общедоступных источников.
Тогда система будет сразу ИСПДн-Б и ИСПДн-О
Вчитайтесь "если в ней не обрабатываются персональные данные, указанные в абзацах первом - третьем настоящего пункта."
Согласен, второе противоречие тоже имеет место быть. Осталось найти такие источники.
В нашей системе общедоступные + иные.
Абзац третий говорит "информационная система является .. обрабатываются ПДн .. полученные _только_ из общедоступных источников данных"
Данный вывод для нашей системы не справедлив.
Абзац четвертый говорит
"информационная система является .. если в ней не обрабатываются ПДн указанные в абзацах первом - третьем настоящего пункта"
Так как в нашей системе не обрабатываются "ПДн, полученные _только_ из общедоступных источников данных" то в нашей системе не обрабатываются ПДн указанные в абзаце втором.