28.05.2009

Сценарий ухода от К1/К2

Очень много сейчас говорят о том, что классификация ИСПДн по классу К1 или К2 приведет к коллапсу бизнеса многих предприятий, т.к. выполнить эти требования четверокнижия физически невозможно. Иногда выполнение этих требований вообще влечет за собой угрозу жизни человеку. Что же делать? Ссылаться на нелигитимность этой четверки документов я не буду - покажу реальный сценарий действий при сцществующем положении дел.

Итак, у нас имеется ст.19 ФЗ-152, которая гласит "Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий".

Обращу ваше внимание, что в данной статье закон (а не подзаконные акты) требует защитить ПДн, среди прочего, от изменения и блокирования. Иными словами оператор ПДн должен обеспечить защиту от угроз нарушения целостности и доступности.

Согласно "приказу трех" к специальным ИСПДн относятся "информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий)".

Но... обеспечение иных характеристик безопасности ПДн (помимо конфиденциальности) мы обязаны по закону. Мы не можем не выполнять или обойти это требование, т.к. оно прописано достаточно явно. Из этого следуюет вполне логический вывод, что типовых ИСПДн не существует в природе и любая ИСПДн относится к разряду специальных. Это факт номер 1.

Идем дальше. В п.16 "прикзаа трех" сказано, что "по результатам анализа исходных данных класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".

Таких методических документов нет! Это признают и сами регуляторы, рекомендуя для специальных ИСПДн разрабатывать частную модель угроз и, уже исходя из нее, разрабатывать перечень мероприятий по защите. Руководствоваться при разработке модели угроз и перечня мероприятий можно имеющимися документами ФСТЭК. И вот тут самое интересное. Документ "Основные мероприятия..." определяет требования к типовым ИСПДн, которых в природе не существует.

Что из этого следует? А то, что вы можете самостоятельно (даже без привлечения сторонних организаций) разработать модель угроз и, что самое главное, перечень мероприятий по защите от них, в который вы можете преспокойно не включать такие, безусловно, "важные" требования по защите моей фамилии или факта о болезни ОРВИ, как борьба с ПЭМИН, виброакустикой, видеоперехватом и т.д.

Также вы можете со спокойной совестью удалить из модели угроз производителя ПО, защитив себя тем самым от требования наличия сертификата на НДВ (закладки). Я с трудом себе представляю хотя бы одного из 7 миллионов операторов ПДн, который должен опасаться, что Microsoft или Oracle или SAP специально внесут закладки в ПО с целью получения несанкционированного доступа к персональным данным уборщицы "Марь Ивановны".

14 коммент.:

Sikorski комментирует...

Э-э-э... А можно поподробнее на тему требований именно к типовым ИСПДн в "Мероприятиях"? Что-то я такого найти не могу... Там, вроде как, вообще нет ссылок на типовые и специальные ИСПДн. Зато в "Рекомендациях" черным по белому указано "По результатам анализа исходных данных класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 постановления Правительства...". Класс, а не требования...
А вот как раз в "Мероприятиях" уже содержатся четкие требования, расписанные по классам ИСПДн безо всякой привязки к тому, является ли ИСПДн типовой или же специальной.

Или я что-то не понимаю, или одно и двух...

Денис Муравьев комментирует...

Алексей, вряд ли удастся обосновать неактуальность упомянутого ряда угроз в "своей" модели, а значит не получится

"не включать такие, безусловно, "важные" требования по защите моей фамилии или факта о болезни ОРВИ, как борьба с ПЭМИН, виброакустикой, видеоперехватом и т.д."

Максим Бурий комментирует...

2Sikorski
Поддерживаю. Я также понимаю логику этой четвёрки документов.
Но вот задача: как определить класс спецИС, исходя из модели угроз (разработанной по собственному методу или по какому-нибудь фирменному методу)?

Sikorski комментирует...

2Максим Бурий:
Навскидку, как я понял из общения с нашими аналитиками, на основе модели угроз осуществляется оценка рисков. В соответствии с этой оценкой должны быть выработан комплекс контрмер. Ну а эти контрмеры, фактически уже являются требованиями к ИСПДн, в соответствии с которыми в дальнейшем осуществляется классификация. Удастся уйти в перечне контрмер от тех, что однозначно выводят на К1 - считай повезло, удалось снизить класс :)

Анонимный комментирует...

2Максим Бурий:

Думаю, исходя из методологии ГОСТ ИСО 15408. Для каждой угрозы - свои меры и т.д. Классом тут будет набор угроз, а не буква с цифрой. Получается такой "макрокласс". И вот тут-то как раз и удастся не реализовать меры, которые реально не нужны.

Идея не нова. Похоже, только так и можно обойти тот маразм с требованиями, который нынче в бумаге.

Алексей, а что слышно о новых документах ФСТЭК? Может они требования скостят?

Анонимный комментирует...

Сори! Имел в виду новые редакции документов ФСТЭК по ПДн.

Quiet Zone комментирует...

Ага, по пути построения частной модели угроз и специальных ИСПДн некоторые уже идут, что дает возможность, помимо прочего, подогнать решение под ответ, то есть построить модель угроз отталкиваясь от уже имеющейся СИБ. Остаются другие неясности (каким образом нужно декларировать соответствие ИСПДн, что именно должно быть написано в аттестате и тд)

Алексей Лукацкий комментирует...

1. В "Основных мероприятих" привязка к 4-м классам. Эти классы берутся из приказа "трех". А он определяет классификацию типовых систем. Спецсистемы, по мнению, регулятора - это отдельный класс, пятый ;-)

2. Вы, и регулятор с этим согласен, вправе сами разработать модель угроз и перечень защитных мер. Вы даже согласовывать ее не обязаны ни с кем. Возьмите и исключите все, что не нужно. Вы вправе это сделать. Прикройтесь какой-нибудь методикой оценки рисков, которая покажет отсутствие угроз ПЭМИН и т.п.

Алексей Лукацкий комментирует...

По новым документам отвечу в понедельник. Сегодня на одном мероприятии встречался с ФСТЭК, ФСБ и РКН и узнал много нового. Надо все осмыслить и тогда все напишу.

malotavr комментирует...

"Вы даже согласовывать ее не обязаны ни с кем."

Как-то общался с представителем аккредитованного "органа по аттестации". Он вкручивал как важно разраюотать "правильную" модль угроз (т.е. заплатить им за ее разработку). А то, мол, не аттестуем. Дальше диалог получился забавный:
- В смысле, не аттестуете?
- Ну, мы же должны проверить, адекватна ли ваша модель угроз?
- Адекватна чему?
- Вашей политике безопасности.
- Которую я сам же и написал?
- Э... Да. Вдруг вы там написали про угрозу утечек по ПЭМИН?
- Я похож на идиота?

На этом, собственно, разговор и закончился :)

Quiet Zone комментирует...

Алексей - ждем с нетерпением))
ЗЫ Недавно общался с людьми из АРБ, предварительно напросился на следующее собрание рабочей группы АРБ 22 июня. Интересны возможности распространения решений и наработок рабочей группы на другие сегменты финансового сектора (страховые компании, например;) Как думаешь, теоретически возможно такое?

Nikita Gergel комментирует...

Подолью немножко масла в огонь по поводу НДВ.

Не совсем ясно каким образом регулятор пытается защитить несчастные ПД от учетки посредством программных закладок, если в соответствии с РД НДВ сертификация для конфиденциальной информации (которыми являются ПД) по 4 классу фактически является контролем правильности сборки программного продукта...

На мой взгляд абсолютно абсурдное требования сертификации ПО используемого в ИСПДн по НДВ 4. Впрочем, так же как и по НДВ 3 - чай ПД не гостайна.

Алексей Лукацкий комментирует...

malotavr: Ну примерно так и есть. На вопрос ФСТЭКу, может ли одна и та же компания разрабатывать модель и список мер, а потом аттестовать по ним же, ФСТЭК ответила, что да ;-)

Quiet Zone: Можно, но не так эффективно и быстро. У банков есть СТО. У страховщиков такого стандарта нет ;-( Отраслевые стандарты есть (будут) у Газпрома и РЖД. Они тоже могут попытаться пойти по пути АРБ.

Nikita: Позиция простая. Угроза есть? Значит надо защищаться. Угрозы нет? Значит не надо защищаться. Но для общего случая такое требование вставим. Тоже по ПЭМИН. Общее требование во второй редакции останется, но его можно будет убрать из частной модели угроз.

Иван Клименко комментирует...

Алексей,

Описанный способ по идее не раз и не два подымался на просторах сети и очного общения - это факт, правда с флагами и песнями радостно мало кто бежит в сторону спецИСПДн. Спасибо за то очередной раз почти по полочкам разложили этот способ, но честно говоря, когда увидел заголовок я то подумал, что Вы будете давать интересную трактовку разницы между 2 и 3 категорией персональных данных, которые различаются если помните припиской про "дополнительную информацию"...
Что касается спецИСПДн, то на мой взгляд здесь несколько "неприятностей" - класс присвоить всё-таки в любом случае. Есть несколько версий о том как это сделать. Первая основные характеристики по которым присваивается класс системе не зависит от того, типовая она или специальная, количество и качество ПДн оценить оператор всегда может. следовательно исходя только из этих 2х характеристик можно и присвоить класс... насколько я понял регуляторы в принципе так и полагают. Есть правда мнение ещё одного представителя ФСТЭК, которое звучит примерно так - берём базовую модель составляем частную, на основе неё список контрмер, а затем (внимание!) выполняя реверсную операцию по "Мероприятиям" по анализу мероприятий по классам подбираем подходящий класс. Бред, конечно, но такие там ребята бывают
Вторая "не радость" - собственно методика определения актуальности. Не у каждого оператора есть эксперты для такого действа. Слава богу, нет никаких требований к качеству этих экспертов (типа образования, опыта и тп) так что сойдёт любой.. Но ведь формулу-то подсчёта, я думаю, многие смотрели и прояснили для себя что для отнесения угрозы к неактуальной надо сильно постараться...

А так способ надо назвать "как уйти из под "Основных мероприятий.."" и можно продавать))