21.01.2009

Безопасность персданных по версии США

NIST выпустил проект документа по защите персональных данных для американских государственных структур - "Guide to Protecting the Confidentiality of Personally Identifiable Information (PII)" (SP 800-122).

Почему же они умеют писать документы, а наши специалисты нет? Выкрик в пустоту...

Во-первых, американцы расписали, что такое ущерб субъекту ПДн с учетом градации (низкий, средний, высокий). Может быть эти толкования и не столь детальны как хотелось бы, но они есть. Кроме того, там описаны факторы, влияющие на уровень ущерба, чего в документах ФСТЭК даже не предполагалось. А уж приведенные примеры в документах NIST - это вообще сказка. Чтобы было понятно всем и сразу, что имели ввиду авторы документа. Что характерно, в России почему-то не принято в тексты официальных документов вставлять примеры, существенно облегчающие понимание того или иного пассажа. А вот американцы видимо понимают, что важна не форма документа, а его содержание.

Защитные меры продуманы тоже не в пример ФСТЭКовским. Тут и реагирование на инциденты, и повышение осведомленности и тренинги, и различные оргмеры. Такой жесткой концентрации на технических мерах нет. Более того, NIST поступил очень грамотно - не стал расписывать все технические меры, а отослал на разработанные ранее рекомендации (SP 800-53 "Recommended Security Controls for Federal Information Systems").

Понимая, что проще обезличить ПДн, чем заниматься их защитой, в документе прописаны различные механизмы вроде включения в ПДн шума, усреднение данных, обобщение и т.п. Т.е. с данными по прежнему можно работать, но вот уровень их защиты может быть не такой серьезный. Это не только облегчает жизнь, но и дает возможность существенно сэкономить.

И, наконец, больше половины документа занимают приложения:
  • как идентифицировать ПДн в различных сценариях (работа из дома, тестирование систем, апгрейд систем и т.д.)
  • FAQ по защите персданных
  • различные определения ПДн (со ссылками на нормативные акты). Это очень важное приложение, которое существенно уменьшает число толкований термина "персональные данные".
  • ключевые принципы защиты ПДн
  • и т.д.

Надо признать, что документ NIST на несколько порядков лучше и грамотнее документов ФСТЭК. И хотя они не являются обязательными к применению в России, я бы мог их порекомендовать к применению у нас. По крайней мере некоторые разделы из них более чем полезны в реальнй жизни. Например, обезличивание ПДн с целью ухода от жестких защитных требований.

24 коммент.:

surfer комментирует...

Спасибо, возьмём на заметку.

e1am0 комментирует...

я в своё время сильно зауважал вероятного противника, так это подобную толпу толковых документов. Особенно после разбора отечественных переработок. Почему мы так не можем - вопрос риторический. Может оно нам просто не надо?

tendernes комментирует...

Мда..как то странно мы живем..российских наработок ИТ (железо, ОС) нам не надо, законодательной базы тоже..людей толковых тоже спокойно отпускаем работать на благо другой страны...

Алексей Лукацкий комментирует...

Почему не надо? Надо! Только не хотим!

Vyacheslav комментирует...

1) Почему не хотим? Хотим! )
Только некому это делать, по всей видимости. У всех своих дел достаточно, а специального института с квалифицированными специалистами-практиками нет

2) Жесткая концентрация документов ФСТЭК на технических мерах вполне объяснима - на то они и технический и экспортный контроль. Насколько я понял из закона о ПД, документы должны были разработать 2 службы: ФСТЭК и ФСБ. Логично предположить, что ФСТЭК должны были разработать технические требования, а ФСБ - все остальные. Может быть, ФСТЭК свое дело сделали, а ФСБ "отложили"? )

Анонимный комментирует...

2Vyacheslav: ФСБ выполнили свои требования в части за которую отвечают - в криптографии.

formazon комментирует...

некоторые ФСТЭКовские лицензиаты говорили, что в конце 2008 года у них была запрошена критика на четверку документов, с целью учета для переработки требований.
Ну а теперь, когда nist выпустил свои, надеюсь работа пойдет у ФСТЭКа быстрее, есть откуда грамотные требования списать, ведь это на порядок актуальнее цитат из периодической печати и книг, которые скомпилированы в "четверке" ;-)

Алексей Лукацкий комментирует...

К сожалению, ФСТЭК уже давно ни у кого не списывал. они сами велосипеды придумывают ;-(

formazon комментирует...

уже придумали ;-) есть информация, что вышла вторая версия четырехкнижия по ПД.

formazon комментирует...
Этот комментарий был удален автором.
AndrewZ комментирует...

Ровно как и информация о том, что изменилось там мало что

Void Z7 комментирует...

А ФСБ-шными методичками никто не может поделится?

no-ire комментирует...

ИМХО Вы, Алексей, слишком категоричны к нашему законодательству, скажу, однако, что мне тоже многое в нём не нравится,но в этом случае,по-моему, все ясно. Итак,выскажусь по поводу этой статьйи.
"Во-первых, американцы расписали, что такое ущерб субъекту ПДн с учетом градации (низкий, средний, высокий)."
Они не ущерб расписывали, а категорировали ПД по уровню ущерба.

(Re:см. п."Organizations should categorize their PII by the PII confidentiality impact level."
понашенски:"Организациям следует категорировать ПД по уровню ущерба конфиденциальности ПД.")


"Кроме того, там описаны факторы, влияющие на уровень ущерба, чего в документах ФСТЭК даже не предполагалось. "


А это и не должно было предполагаться, поскольку всё это есть у нас и описано в "Приказе трёх".
Именно там у нас происходит категорирование ПД,а не в "рекоммендациях по обеспечению безопасности", как у американцев.
Хоть там,увы,описаны не факторы, влияющие на уровень ущерба,а факторы, по которым следует категорировать данные,а потоооом уже в соответствии с категорией опредаляется уровень ущерба.

(Re:п.14"По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов:
класс 1 (К1),класс 2 (К2),класс 3 (К3),класс 4 (К4)"
и далее "класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;

класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных; и т.д.")


Итак уровень ущерба зависит от категории утерянных ПД.

Алексей Лукацкий комментирует...

Т.е. вы считаете, что фраза "может привести к значительным негативным последствиям" отвечает на вопрос? Я в этом не уверен.

no-ire комментирует...

Нет, то что Вы процитировали - это определение ИСПДн первого класса (К1).
Из которого следует, что разглашение ПД этой ИСПДн ("касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни") наносит высшую степень ущерба.

И далее по убывающей.

Алексей Лукацкий комментирует...

А кто принимает решение о значительности/незначительности ущерба? Кроме субъекта ПДн этого сделать никто не может. А все документы ФСТЭК перекладывают эту задачу на плечи оператора.

Во-вторых, повторюсь. НИГДЕ не сказано, чем значительные неативные последствия отличаются от негативных и от незначительных. В публичных документах ФСТЭК об этом ни слова. Нет ни одного фактора, который бы позволил разнести ущерб по разным категориям.

no-ire комментирует...

В общем соглашусь, что в вышеозначеном проекте определение ущерба по степеням четко расписано

"A serious adverse effect means that, for example,..,result in severe or catastrophic harm to individuals involving loss of life or serious life threatening injuries"

Однако это палка о двух концах, потому как, в тоже время, у них нет четких определений для категорий ПД и ИСПДн - это оставляют на собственное усмотрение организации (даже возможность идентификации личности они сами предполагают), а у нас это есть.

Но все это ПОТОМУ, что у нас нельзя будет по другому проверку провести, если требований жестких нет!
А у них другая схема в законодательстве вообще: "нет -проверкам, да - прецедентам".
То есть, уже когда "утекло", тогда и проверки, и санкции,значит неправильно категорировали и недостаточно защищали.

no-ire комментирует...

Ничего там оператор не должен решений принимать! За него всё сделал 55-ый приказ.
Степень ущерба определяется в зависимости от категории разглашенных данных, понимаете?
Если нарушена безопасность данных К1 - это самый высший ущерб и т.д.

Алексей Лукацкий комментирует...

И это правильно, т.к. делает схему более гибкой, чем у нас. У нас регулятор решил все за оператора, а там где не решил, даже не дал никаких рекомендаций и сказал - приходи к лицензиату - он тебе поможет.

Что же касается законодательства, то уж лучше такая демократия, как у них, чем такая бюрократия, как у нас ;-) Там все риски на себя принимает оператор и сам принимает решения о том, как будет защищать данные. А у нас за всех опять приняли решение, которое позволяет тянуть деньги, не решая реальных проблем.

no-ire комментирует...

quote:
"А кто принимает решение о значительности/незначительности ущерба? Кроме субъекта ПДн этого сделать никто не может. А все документы ФСТЭК перекладывают эту задачу на плечи оператора."

То Вам решение принять трудно, то свободы не хватает...

Ну а по-существу,
"а там где не решил, даже не дал никаких рекомендаций и сказал - приходи к лицензиату - он тебе поможет."

Эм.. У нас, когда оператор ПД заказывает себе пакет документов от ФСТЭКа, в четверокнижии идет замечательная такая методичка,в которой непосвященному сотруднику оператора ИСПДн рассказан краткий курс Информационной Безопасности, на что следует внимание уделять, и как вообще техническая защита организуется, эдакий манчик... по-моему,замечательно ^_^
(я про "рекоммендации" сейчас)
А вот в США решили подобный манчик сделать по организационной безопасности, чего нам,увы, и не хвататет в конфиденциалке((
ГТ,конечно, имеет свои инструкции с орг.мерами, и былоб неплохо аналогичное и для конфиденциалки и служебной тайны..
Но не ФСТЭК же их писать должен?! они у нас технический и экспертный контроль,как никак..

Как Вам не стыдно,в самом деле,обругали бедняг,ай-ай!

no-ire комментирует...

P.S.справедливости ради,замечу,что из всего объема технических мер по компьютерной безопасности там (в рекомендациях) скорее курс истории,чем мануал((

Анонимный комментирует...

Спасибо за новост

Анонимный комментирует...

Полностью разделяю Ваше мнение. В этом что-то есть и мне нравится эта идея, я полностью с Вами согласен.

Анонимный комментирует...

Автор, как с вами связатся?

auto