СЗПДн. Анализ. Выбор мер обеспечения безопасности общедоступных ПДн
Уже достаточно давно обновился
комплект подзаконных актов по защите ПДн (ПП 1119 и приказ ФСТЭК №21) а
примеров выбора необходимых мер никто не решился опубликовать. Исправим этот
недочет.
Возьмем для примера ИС “корпоративный справочник
сотрудников” в котором обрабатываются общедоступные контактные ПДн сотрудников.
О проблеме защиты таких ИСПДн с учетом
новых требований я уже писал ранее.
Такие ИС есть в каждой организации – внутренние
web порталы, справочники сотрудников в Outlook, справочники сотрудников систем электронного
документооборота, Microsoft AD и других корпоративных ИС, да просто справочник
в Excel на общем сетевом диске.
Раньше мы защищали такие ИС используя
стандартные меры ИБ, применяющиеся в Организации в целом, не связанные
требованиями регулятора. Посмотрим как обстоит дело сейчас.
Первым делом мы определили и
зафиксировали основные (не считая УЗ) и дополнительные характеристики ИС.
Данные характеристики мы будем
использовать при моделировании угроз и определении уровня защищенности ИС.
Возникает вопрос – при моделировании
угроз мы должны использовать информацию о возможном ущербе субъекту ПДн или Организации-оператору? Отвечу – законодательство требует
учитывать ущерб субъекту ПДн, но по своему усмотрению мы можем учитывать и
ущерб организации. В данном случае я рассматриваю только ущерб субъекту, чтобы
определить минимально возможный набор мер.
Как видно из таблицы выше, ущерб
субъекту нулевой. С сотрудника мы собираем согласие на общедоступность данных,
приведенных в справочнике контактной информации. А ущерб субъекту ПДн от
нарушения целостности или доступности данных отсутствует, так как ИС создается
для обеспечения работы Организации и её производственных процессов.
Если делать экспертную модель угроз (не
по РД ФСТЭК) то все угрозы ПДн в такой ИС будут неактуальными, ведь ущерб субъекту
ПДн от реализации угроз отсутствует. К сожалению в ПП 1119 не предусмотрен
вариант когда угрозы 1 и 2 и 3 типа неактуальны.
Если при определении актуальных угроз руководствоваться
документом ФСТЭК «методика определения актуальности угроз…», то уровень
исходной защищенности будет низкий. Y1=10. Показатель опасности
угрозы – низкий (нулевого не определено). Получаем что при вероятности угрозы
средний или высокий ( = 5 или 10) – угрозу будет актуальна. Но как увидим далее,
особой разницы нет.
Изучив ещё раз приказ ФСТЭК №21
подробно, приходим к выводу, что существует только 3 варианта исключения мер
ОБПДн из базового набора:
·
В случае, если мера связана с не используемыми
технологиями или характеристиками не свойственными ИС
·
В случае невозможности технической реализации
меры
·
Исходя из экономической целесообразности возможна
заменена меры на другую меру
В нашем случае используемые технологии
стандартны, а характеристики ИС, таковы, что большинство мер не может быть и
исключено
С невозможностью технической
реализации меры я не столкнулся.
Исходя из экономической
целесообразности и с учетом того, что ущерб субъекту ПДн – нулевой, мы могли бы
заменить все затратные меры на менее затратные. Но вопрос – на какие? Не
заменишь же аутентификацию пользователей – регистрацией событий? Можно было бы
заменить аутентификацию пользователей – контролем доступа сотрудников в здание
и в помещение. Но у нас ведь ещё возможен удаленный доступ по сети. В общем,
сходу подобрать существенно менее затратные альтернативы не удалось.
По ссылке привожу пример документа, в котором зафиксирован перечень мер (SoA) и определены варианты реализации данных
мер.
Самый тонкий момент с оценкой
соответствия СЗИ.
“4. Меры
по обеспечению безопасности персональных данных реализуются в том числе
посредством применения в информационной системе средств защиты информации,
прошедших в установленном порядке процедуру оценки соответствия, в случаях,
когда применение таких средств необходимо для нейтрализации актуальных угроз
безопасности персональных данных.”
Эту фразу трактуют:
·
и как
необходимость оценки соответствия всегда, когда мера используется для
нейтрализации актуальных угроз
·
и как определение случаев когда оценка соответствия требуется в рамках моделирования угроз (например в первой части МУ организация фиксирует
что СЗИ, прошедшие оценку соответствия необходимо использовать в случаях
актуальности угроз, опасность которых = “высокая”)
В нашем случае, как ни крути,
получается что СЗИ, прошедшие оценку соответствия не требуются.
Комментарии
Кстати я никогда не встречал, чтобы корпоративный справочник контактов был общедоступен. У Микротеста он вывешен наружу?
Вывешивать наружу или нет - это уже дело каждой Организации. Как правило не вывешивается - но не для защиты прав субъектов, а для защиты интересов Организации. Есть ведь разница?
2.Нельзя однозначно обосновать отсутствие ущерба для субъекта. Ущерб возможен всегда. Следовательно, и вся дальнейшая нейтрализация угроз по модели не соответствует "требованиям защиты информации", и система в целом не должна пройти аттестацию.
Иначе, оператор и субъект вынуждены будут совершать много ненужных действий: каждый раз собирать новое согласие на передачу данных, заключать с каждым (даже потенциальным) контрагентом договора-поручения обработки ПДн с требованиями и последующим контролем выполнения требований и это всё в отношении данных, защита которых ненужна ни организации, ни субъекту ПДн.
Для меня тут основной вопрос в другой плоскости - то что в каждой организации обрабатываются общедоступные или обезличенные ПДн - это очевидно. Вопрос в том какие данные оператор и субъект отнесут к общедоступным. В одних компаниях этот перечень шире, в других уже.
2. Обосновать отсутствие ущерба можно. Субъект ПДн сам указывает что перечисленные им данные - общедоступные, и разглашение их не может нанести ему ущерб, а так-же соглашается что организация не гарантирует ему постоянную доступность справочника сотрудников и актуальность данных в нем.
PS: А не будете ли вы утверждать что угрозы всегда будут актуальны?
1) если брать методику ФСТЭК, то сомневаюсь, что ни у одной угрозы вероятность не будет "средней" и выше;
2) если же использовать экспертный метод, то при отсутсвии актуальных угроз вообще не нужно применять никакие программно-технические меры и тогда их перечень д.б. пуст, а в примере и AD и МЭ, я видел, приводились.
Если все-таки какие-то программно-технические меры будут, то опять же вопрос, что из них считать средством защиты? Ответа на этот вопрос нынешняя нормативка, насколько мне известно не дает. Но даже если AD мы исключаем из числа средств защиты, то как МЭ из примера мер можно им не считать, если для данного типа средств существует отдельные РД у ФСТЭК? А значит это средство и потребует хоть какая-то оценка соответствия для него.
ФЗ-152 нам по этому поводу говорит:
Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами.
Не значит ли это то, что я могу сколько угодно исключать меры даже из базового набора? Ведь иное в данном случае предусмотрено не ФЗ, а приказом.
хотелось бы придерживаться подхода, что для такой ИС все угрозы безопасности ПДн будут неактуальны - > оценка соответствия не требуется.
Но обычно это обсуждается с заказчиком и для подстраховки выбирается вариант МД ФСТЭК. Тогда я бы придерживался второй трактовки в отношении оценки соответствия СЗИ.
Но если использовать МД ФСТЭК и придерживаться первой трактовки про СЗИ - то вероятно мы придем к необходимости оценки соответствия некоторых мер. пока не готов сказать каких. Но приложение скорее всего попадет как мера защиты.
С определением СЗИ - всё плохо. Об этом я уже писал. Наше приложение конечно будет СЗИ, так как используется для защиты информации.
PS: Я не увидел возможности исключать меры защиты только потому что угрозы неактуальны.
с учетом модели угроз мы можем только
"уточнение адаптированного базового набора мер по обеспечению безопасности персональных данных с учетом не выбранных ранее мер"
Я не могу трактовать это как возможность исключения мер.
Визитки с контактами и подписи в письмах - расходятся тысячными тиражами. Что уж тут поделаешь, не прикладывать же к каждому исходящему письму договор?
Ну а почему бы, например, не исключить на этапе адаптации из базового набора мер все, которые связаны с угрозами, которые на этапе моделирования мы определили как неактуальные? Термин "особенности функционирования ИС" вполне подходит в этом плане. Модель угроз как документ по своему содержанию вполне адекватно может отражать особенности функционирования, ив этом случае являться основанием для выводов на данном этапе. Это нигде не запрещено.
Привожу цитату:
"9.
адаптацию базового набора мер по обеспечению безопасности персональных данных с учетом ... особенностей функционирования информационной системы (в том числе исключение из базового набора мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе)"
А разве уточнение, приведенное в скобках, не ограничивает все возможные варианты возможностей по исключению?
вам необходимо будет принять меры по защите информации при передаче
+
официально уведомить хостинг о том что будут обрабатываться персональные данные
+
запросить от хостанга перечень применяемых мер защиты и подтверждения того, что соблюдаются локальные требования по безопасности ПДн
На счет фотографий - ждем информационного письма Роскомнадзора.
Пока можно считать что это биометрия. Есть будет ещё и согласие на общедоступность то это будут общедоступные биометрические данные. Необходимо учитывать требований ФЗ и в части биометрии и в части общедоступности.