СЗПдн. Анализ. Порядок выполнения основных мероприятий по обеспечению безопасности ПДн

В очередной раз пишу про уже порядком утомившую всех тему по защите ПДн.

Так как в комментариях к предыдущим заметкам поднимались вопросы:

·        почему написано про модель угроз , если явно она не требуется

·        нужно ли обследование

·        обязательны ли сертифицированные СЗИ

·        обязательная ли аттестация

·        какие возможны документы в простых случаях

Свел в одну картинку основные возможные варианты порядков обеспечения безопасности ПДн.

Хотел сделать кратко и крупно, но получилось опять много вариантов и мелкими буквами, поэтому лучше смотреть в варианте PDF.

(UPDATE) Привожу некоторые объяснения относительно вариантов:

1.      Почему в варианте “другие ИСПДн” есть две цепочки действий?

В приказе №21 ФСТЭК нет явных требований к оператору – проводить моделирование угроз. Нет и обратного – информации о том что моделирование угроз уже проведено или что его проведение не требуется.

В ПП 1119 от оператора в явном виде требуется только “7. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда” .

Данное требование можно выполнить и в таком варианте: “комиссия считает, что возможный ущерб субъекту ПДн  - низкий, тип УБПДн - третий” в этапе классификации системы.

Полноценное моделирование угроз в явном виде не требуется. Но нет и обратного -  информации о том что моделирование угроз уже проведено или что его проведение не требуется. А определение типа угроз и ущерба логично делать в процессе детального моделирования. Это увеличит точность оценки.

В части 5 статьи 19 152-ФЗ указывается что государственные органы (а не операторы) “определяют угрозы безопасности, актуальные при осуществлении соответствующих видов деятельности”. Но нет явного указания, что только они (госорганы) могут определять угрозы и что операторы не могут самостоятельно моделировать угрозы.

2.      Как нейтрализовать актуальные угрозы если оператор не разрабатывал модели угроз?

Во-первых, модель угроз может разработать отраслевая организация в соответствии с частью 6 статьи 19 152-ФЗ и определить требуемый состав мер. Например, необходимость выполнить базовый набор мер.

Во-вторых, вышестоящая организация может разработать модель угроз и определить требуемый состав мер. Например, необходимость выполнить базовый набор мер.

В-третьих, ФСТЭК Р уже разработала в 2008 году “базовую модель угроз” и “методику определения актуальных угроз” а в ближайшее время планирует выпустить обновленные документы (см. информационное сообщение ФСТЭК Р N240/22/2637).

Есть все основания полагать, что базовые наборы мер ФСТЭК Р соответствуют базовым моделям угроз для уровней защищенности.

3.      Вопрос о двух вариантах с сертифицированными и несертифицированными СЗИ.

Из явных требований имеем:

“4. Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.”

При моделировании угроз мы будем определять когда для нейтрализации актуальных угроз необходимы сертифицированные СЗИ, а когда они не требуются. Например, исходя из степени опасности угроз.

Почему эту двойственности нет в цепочке без моделирования угроз?  Как раз потому, что оператор не имеет информации о степени опасности угроз, не имеет информации о том какая именно мера используется для нейтрализации какой угрозы. Поэтому такому оператору придется использовать только сертифицированные СЗИ.

4.      По поводу оценки эффективности.

Для ГИС – это однозначно аттестация. Для других систем ограничений по методикам и способам оценки эффективности нет (см. информационное сообщение ФСТЭК Р N240/22/2637).

Я считаю что в такой ситуации оператору удобно проводить оценку соответствия по той методике, которая наибольшим образом соответствует его внутренним политикам и требованиям.  Тогда оператор, кроме выполнения требований регуляторов, будет выполнять  и какие-то свои бизнес-задачи.

Если же никаких собственных требований или политик у оператора нет, оператор согласен на ограничения аттестации и готов регулярно переплачивать за аттестацию и контроль эффективности, то он может проводить оценку соответствия в виде аттестации, даже если ИСПДн – не ГИС.