СЗПДн. Анализ. Выбор мер защиты
Последний год в комментариях про
последние документы ФСТЭК: приказы №17, 21, 31 регулярно встречаю фразы про невиданный
ранее прорыв в требованиях регуляторв, про полную свободу выбора мер защиты
Заказчиком.
У Алексея Лукацкого так про это каждая заметка с тегом: ФСТЭК.
Соглашусь с тем что есть прорыв –
появился типовой каталог мер, сами меры сформулированы достаточно гибко, что
позволяет при их реализации использовать почти всё что угодно. Но есть в
документах ФСТЭК и моменты определенные достаточно жестко и не подразумевающие
двойного толкования. Один из них – порядок выбора мер защиты. Определен порядок
и действия которые необходимо выполнить на каждом этапе.
В этом порядке исключение мер
базового набора возможно только на этапе “адаптации”..
“в том числе
исключение из базового набора мер, непосредственно связанных с информационными
технологиями, не используемыми в информационной системе, или
структурно-функциональными характеристиками, не свойственными информационной
системе”
Если кто-то видит в этом
свободу, то я не вижу. Применяемые технологии и структурно-функциональные
характеристики однозначно определяются на этапе обследования ИСПДн и далее лишние
меры “автоматически” исключаются.
Например, характеристики ИСПДн:
·
Типы пользователей ИС: работники и внешние
пользователи
·
Уровни ИС, на которых выполняется управление
доступом: ОС, сервис терминалов, приложение, СУБД
·
Структура ИС: распределенная информационная
система.
·
Наличие подключений к ССОП и СМИО
(Интернет): имеются подключения к сети Интернет
·
Режим обработки ПДн: многопользовательский.
·
Разграничение доступа пользователей: С
разграничением прав доступа.
·
Место нахождения технических средств: все
сервера ИС находятся в пределах РФ.
·
Применение виртуализации АРМ или серверов
ИС: да
·
Применение мобильных устройств при работе с
ИС: нет
·
Применение беспроводного доступа при работе с
ИС: да
Из не применения мобильных
устройств однозначно следует что мера УПД.15 исключается. Свободы выбора я тут
не вижу. Скорее просто логика – нельзя защищать то, чего нет.
Под свободой я понимаю либо
возможность исключения мер защиты в соответствии с неактуальностью определенных
угроз, либо просто возможность исключения “неподходящих” мер на усмотрение
оператора. Но сейчас этого нет. А в “старом” приказе №58 такая возможность была
“2.2. В системе защиты
персональных данных информационной системы в зависимости от класса
информационной системы и исходя из угроз
безопасности персональных данных, структуры информационной системы, наличия
межсетевого взаимодействия и режимов обработки персональных данных с
использованием соответствующих методов и способов защиты информации от
несанкционированного доступа реализуются функции управления доступом, регистрации
и учета, обеспечения целостности, анализа защищенности, обеспечения безопасного
межсетевого взаимодействия и обнаружения вторжений.”
Так что в свободе выбора мы сделали
только шаг назад. (учитывая компенсирующие меры - шажок небольшой)
Комментарии
Алексей, некоторые лазейки можно пытаться найти, и у меня в блоге они тоже проскакивали.
Но практика показала, что при диалоге 2 или трех сторон, нужны железные аргументы.
Довод "Можно исключать меры потому что так сказал А. Лукацкий" почему-то не сработал.
Жду что в следующей редакции будет явно написано что можно исключать меры и на каком этапе (так же как сейчас явно написано что меры нужно дополнять для нейтрализации актуальных угроз)
А приказ 21 ФСТЭК описывает как именно они должны учитываться.
Напиши во ФСТЭК. Опубликуй их ответ.
С учетом актуальных угроз != на основании актуальных угроз. Более того, почти везде говорится на основании уровней защищенности и актуальных угроз и это именно так и в описаниях методики выбора во всех приказах это прекрасно расписано. На основании актуальных угроз меры могут быть добавлены - это и есть то самое "с учетом актуальных угроз".
2) ты веришь что ФСТЭК ответит четко и ясно на этот вопрос?
Я извожу интернет-бумагу для одной простой и очевидной цели: я хочу корректировок в приказ 21. там хватит одной фразы.
2) Как спросишь - так и ответят.
Устали уже все от корректировок. Каждый год все по-новому.
Справедливости ради стоит сказать, что я уже 2 недели жду от ФСТЭКа ответ на вопрос, заданный через интернет-приемную. Так что они могут и не ответить :(
1) Индульгенция то нужна не мне, а оператору. Так что это в каждом новом проекте придется запрашивать
2) Корректировки фиксирующие то что на словах и так говорит ФСТЭК будут только в плюс.
Все устали от неопределенности и двусмысленностей. А уточнениям будут только рады.
Почему-то 149-ФЗ каждую неделю можно корректировать, а приказ №21 нельзя?
При этом в информационной системе должен быть, как минимум, реализован адаптированный базовый набор мер защиты информации, соответствующий установленному классу защищенности информационной системы.
А в 21 этого нет.