15.10.2009

Результаты посещения круглого стола по персданным

Примечание: это повторная публикация майской заметки. На тот момент результаты круглого стола еще не были опубликованы и меня попросили снять заметку. В июле вышел номер журнала со стенограммой этого круглого стола. Я выждал два месяца и решил вновь опубликовать заметку, но уже с большей детализацией.

28-го мая издательский дом Connect провел замечательный круглый стол. Сначала была заявлена одна тема - "персданные", но в ходе мероприятия проявилась и вторая - СТО БР ИББС. Так как я вынужден был уезжать в Казань, то на вторую часть я не остался, но и посещение первой оставило неизгладимое впечатление.

Суть мероприятия была простой - заранее был сформирован список из 13-ти наболевших вопросов по персданным. А на самом круглом столе на них отвечали представители ФСТЭК (Назаров И.Г.), РКН (Васильева Л.Б.) и ФСБ (Гаврилов В.Е.). При этом по ходу представители преимущественно банков (ЦБ, СБ, Возрождение, ВТБ, Газпромбанк, Банк Москвы, Россельхозбанк, Промсвязьбанк и т.д.) задавали наводящие вопросы.

Итак, краткое резюме по наиболее интересным моментам (полная версия стенограммы будет в ближайшем номере журнала Connect).

1. На вопрос про модель угроз и аттестацию последовал следующий ответ ФСТЭК. Согласование модели с ФСТЭК необязательно, но пока, в порядке инициативы ФСТЭК это делает. ТЗ и техпроекты они согласовывать готовы только для крупных систем. И то, только по собственной инициативе и наличии времени. Средний срок согласования модели - 10 дней. Территориальные управления ФСТЭК тоже могут это делать (если согласятся и смогут).

А вот дальше последовала сенсация ;-) На вопрос, кто может аттестовывать ИСПДн ответ был - любой лицензиат ФСТЭК и аттестационные органы ФСТЭК. На мой вопрос, на соответствие чему проводим аттестацию, последовал закономерный ответ - на соответствие требованиям ФСТЭК. А когда я уточнил, что делать для специальных ИСПДн последовал ответ, что аттестовать на соответствие мерам, разработанным по частной модели угроз. Т.е. обычный лицензиат может провести аттестацию на соответствие некому списку мероприятий, которые разработан заказчиком или лицензиатом. Правда, я не уточнил форму аттестата в этом случае.

На мой вопрос, не видит ли ФСТЭК противоречия в том, что одна и та же компания разрабатывает модель угроз, перечень защитных мероприятий, а потом по ним же и проводит аттестацию и выдает заключение, Игорь Григорьевич ответил, что ничего странного в этом ФСТЭК не видит.

На вопрос от банков, будет ли ФСТЭК иметь претензии к организации, для которой лицензиат разработал модель и потом выдал заключение, Назаров И.Г. ответил, что нет, не будет, т.е. лицензиат действует "по имени и по поручению" ФСТЭК, на основе ее документов и позиций.

Вот эта часть была пожалуй самой интересной ;-) Если все будет действительно так, как сказали, то проблем с аттестацией ни у кого быть не должно. Заказчики получат заветную бумажку, а лицензиаты - постоянную статью дохода. Все довольны. Что при этом будет с персданными не совсем понятно, но кого это волнует?

2. На вопрос о наличии лицензии на ТЗКИ ответ был - если сами все делаете, то надо. Если есть договор с лицензиатом, то не надо. Для филиалов банков достаточно общей лицензии (если филиал не является отдельным юрлицом).

3. На вопрос о методике оценки ущерба, ФСТЭК сослалась, что это не в их компетенции. Андрей Петрович Курило всех отослал на сайт подкомитета 3, где выложена методика оценки рисков для СТО БР ИББС, по которой можно оценить реальные риски и отбросить ненужные, например, ПЭМИН, который для абсолютного большинства банков не нужен.

Вообще вопрос включения угроз в частную модель поднимался неоднократно. Можете включать/удалять все, что хотите, если это обоснованно. Таково мнение ФСТЭК. Ни ПЭМИН, ни НДВ из второй редакции четверокнижия удалять не будут, но в частной модели угроз их можно не включать.

4. На вопрос, что делать, если в одной ИС обрабатывается и коммерческая, и банковская тайна, и ПДн, и какой класс присваивать в итоге, последовал закономерный ответ - "по максимуму".

5. Новая версия четверокнижия будет выпущена в конце лета. При этом отличий от первой версии не будет. Собственно вся разница в статусе документов и устранении ошибок и неточностей. Вторая версия будет публичной и пройдет через МинЮст. Из 4-х документов останется только два. Модель угроз получит статус ДСП. Зачем это делать, так никто и не объяснил. Широкого обсуждения второй редакции не будет.

Также было сказано, что скоро (но срок не назвали) выйдет новая версия СТР-К, которая пройдет через МинЮст. Готовьтесь ;-)

6. На вопрос для ФСБ о конкретизации требований по обнаружению вторжения было отвечено, что скоро все будет. Деталей не было.

7. Было много вопросов в сторону РКН, но ясности не появилось. На вопрос банков, понимают ли в РКН, что требования ФЗ "кошмарят" Россию и могут поставить крест на многих направлениях бизнеса, РКН ответил, что "мы не комментируем закон. Вы обязаны его исполнять. И это Ваши проблемы" ;-(

Уже в перерыв я задал два вопроса. Первый касался плановых проверок. На каком основании РКН их проводит. Лариса Борисовна ответила, что неофициально она согласна, что проверять надо только по факту обращения субъекта ПДн, но официально мнение руководства - плановые проверки проводить.

Второй вопрос касался соотносимости ФЗ-152 и Европейской Конвенции. Я задал вопрос, понимает ли РКН, что ФЗ-152 имеет меньшую юридическую силу, чем Конвенция и согласно праву оператор ПДн может в спорных моментах следовать Конвенции, а не ФЗ. Васильева Л.Б. ответила, что да, я прав, но РКН проверял, проверяет и будет проверять на соответствие ФЗ. И что если кто не согласен, то идите в суд, который может и встанет на сторону Конвенции, а не ФЗ. Вот такое правовое у нас государство ;-(

Круглый стол Connect по ПДн

8 коммент.:

AndrewZ комментирует...

Очень интересно. Все упирается, таким образом, в модель угроз.
Алексей, а где можно познакомиться с проектом методики оценки рисков СТО БР? На сайте подкомитета ничего не обнаружил.

Алексей Лукацкий комментирует...

Я уточнил вопрос про методику. Но здесь не так важно, какой методикой вы пользуетесь. Главное, чтобы она была. И лучше если она будет известной ;-)

Можно использовать любую из известных методик оценки рисков для исключения неактуальных угроз.

AndrewZ комментирует...

Для банков правильнее всего использовать наработки отраслевого стандарта. Так когда Курило обещает выложить проект?

Анонимный комментирует...

Методика оценки рисков есть на сайте подкомитета №3.
Видно только во второй половине дня опубликовали.

Алексей Лукацкий комментирует...

Да, я попросил выложить ;-)

AndrewZ комментирует...

Что значит, что аттестовать может любой лицензиат ФСТЭК? Нужна еще аккредитация испытательной лаборатории, которая не связана с лицензией на ТЗКИ. А то получился, что оператор получивший лицензию, сам себя сможет аттестовывать.

Анонимный комментирует...

Новое "четверокнижие пополам" вышло? Или заминка опять ;)

Алексей Лукацкий комментирует...

Вышло - http://lukatsky.blogspot.com/2009/10/blog-post_12.html