07.10.2009

ФСТЭК выпустил методические рекомендации по методическим рекомендациям

Одно из региональных управлений ФСТЭК выпустило "Методические рекомендации по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных". Иными словами это методичка как пользоваться методическими документами ФСТЭК, известными всем под названием "четверокнижие".

По сути своей этот 58-тистраничный документ представляет собой некоторые разъяснения по неосвещенным в четверокнижии моментам. Например, ФСТЭК прямо пишет, что "практически все ИСПДн являются специальными информационными системами, поскольку в соответствии с требованиями Постановления Правительства №781 должна быть обеспечена возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним. Таким образом, обеспечение целостности является обязательным условием, отличным от конфиденциальности". Аргументация, конечно, корявая, но вывод сделан правильный.

Однако несмотря на это, специальной ИСПДн все равно необходимо присвоить класс исходя из "Приказа трех". Т.е. специальная ИСПДн тоже классифицируется исходя из 4-х классов на основе объема и категории ПДн. Из других "интересных" рекомендаций:
  • Создание выделенного подразделения, единственная задача которого - защита ПДн.
  • Модель угроз ни с кем согласовывать не надо (особенно с ФСТЭК).
  • На основании модели угроз разрабатывается перечень защитных мероприятий. Ни слова про "Основные мероприятия". Т.е. как бы список разрабатывается самостоятельно. Но вот далее ниоткуда возникает требования опираться только на перечень защитных мер из "Основных мерпориятий". Связи я так и не нашел.
  • Уничтожение ПДн с магнитных носителей должно осуществляться только средствами гарантированного уничтожения информации.
  • Дана таблица соответствия классов и типов ИСПДн классам АС согласно РД ФСТЭК.
  • Дана таблица соответствия классов и типов ИСПДн классам МСЭ согласно РД ФСТЭК.
  • Интересно, что ссылки на нормативные документы ФСБ по защите ПДн даются не сайт ФСБ, не на сайт РКН, а на сайт Информзащиты и сайт www.iso27000.ru.
  • Для ИСПДн 1-го и 2-го класса разрешается исключить из модели угроз утечки за счет ПЭМИН. Про остальные технические каналы утечки ни слова - защиту от акустики и видовых утечек обеспечивать все равно надо.
  • Под декларированием ФСТЭК в нарушении ФЗ "О техническом регулировании" понимает просто издание оператором ПДн документа, объявляющего ИСПДн соответствующей требования безопасности. Напомню, что это требуется для ИСПДн 3-го класса.
  • Аттестация проводится лицензиатом ФСТЭК. По идее любым, но при условии наличия у него спецаппаратуры, что есть далеко не у всех.
  • В качестве средств защиты от НСД можно использовать ОС с сертификатом ФСТЭК.

Из очень полезных разделов этого документа могу назвать:
  • Содержание Положения по организации и порядку проведения работ по обеспечению безопасности ПДн при их обработке в ИСПДн.
  • Списки и содержание документов, требуемых для обеспечения ПДн (например, журнал маркировки носителей ПДн, журнал учета СЗИ, инструкция по порядку резервирования ПДн).

Большой интерес вызывают приложения этой методички. В частности, в них приведены формы следующих документов:
  • Акт классификации ИСПДн (ничем не отличается от выложенного мною).
  • Матрица доступа пользователей к защищаемым информационным ресурсам ИСПДн
  • Приказ "Об организации работ по обеспечению безопасности персональных данных при их обработке в ИСПДн"
  • Список сотрудников, доступ которых к ПДн, необходим для выполнения служебных обязанностей
  • Инструкция по учету лиц, допущенных к работе с персональными данными в ИСПДн
  • Модель угроз
  • Требования по обеспечению безопасности ПДн при их обработке в ИСПДн
  • Журнал учета СЗИ
  • Заключение о возможности эксплуатации СЗИ
  • Инструкция по организации резервирования и восстановления ПО, баз ПДн
  • Журнал учета машинных носителей ПДн
  • Акт обследования ИСПДн
  • Заключение по результатам атестационных испытаний
  • Описание системы защиты ПДн в ИСПДн
  • Аттестат соответствия ИСПДн
  • Уведомление об обработке ПДн
  • Свидетельство о неразглашении конфиленциальной информации (персональных данных)

Можно заключить, что отдельные управления ФСТЭК пошли навстречу потребителю и выпустили документы, которые уменьшают число вопросов по официальной позиции регулятора. Не со всем в этом документе я согласен, но наличие большого количества шаблонов документов, делает документ достаточно полезным.

ЗЫ. Начну выкладывать формы упомянутых документов сюда в блог в ближайшее время.

17 коммент.:

Анонимный комментирует...

А ссылки нет?

Eugene комментирует...

Да, Алексей, дайте ссылку или сам документ, пожалуйста.

Анонимный комментирует...

Алексей, ждём формы документов. ;)

Роман комментирует...

Алексей, а нет ли новостей на эту тему из АРБ? Кажется на прошлой неделе должно было состояться обсуждение?

doom комментирует...

>ЗЫ. Начну выкладывать формы упомянутых документов сюда в блог в ближайшее время.

Все бы ничего, но ведь этот документ ДСП.

Сразу интересно становится, как он к вам попал? ;)

Алексей Тесцов комментирует...

Не думал, что региональные управления на это еще способны. Мне почему-то кажется, что это Северо-Западное. Интересна его легитимность и можно ли на него впоследствии ссылаться? Если да, то он нужен всем как воздух, ну или его реквизиты.
С нетерпением ждем формы и предлагаю устроить их критику и корректировку прямо здесь.

doom комментирует...

2 Алексей Тесцов

Плохо вы что-то думаете про региональные управления :)
У них функции почти все ЦА на себя перетянул - им заняться особо нечем, вот и пишут такие, в общем-то, полезные вещи.

Про управление не угадали - это УФСТЭК по УрФО

По поводу легитимности - по всем правилам он действует только на территории соответствующего региона.

Quiet Zone комментирует...

Только ПЭМИН исключился? НДВ остались? Вилы...Подождем ка мы еще полгодика, пока устаканится. А то через 3 месяца они еще чен-ть уточнят и все переделывать.
ЗЫ Про iso27000 смешно, конечно. Саша наверняка в восторге - посещаемость вырастет в разы;)

Алексей Лукацкий комментирует...

По поводу ссылок - это ДСПшный документ. В Инете пока не видел.

По поводу АРБ и других рабочих групп - все готовятся к парламентским слушаниям 20-го октября.

Почему на этот документ поставиди ДСП, я не понял. По техканалам там нет никакой закрытой информации. Видимо по привычке. Что касается шаблонов, то какие же они ДСП? Это весь документ имеет такой статус, а не отдельные его части. По этой логике список сертификатов, приведенный в одном из приложений, тоже ДСП, а это не так. Критиковать формы большого смысла нет - это рекомендации.

НДВ не упоминается. Требование сертификации, аттестации и лицензирования осталось.

Алексей Лукацкий комментирует...

По поводу распространения документов ДСП. Этот статус имеет значение только для государевых структур. В коммерческих ДСП быть не может, как и служебной тайны. А как наказать за нарушение того, чего нет?

Алексей Тесцов комментирует...

2 doom По поводу нечем заняться управлениям я бы поспорил - проверки с них никто не снимал, а людей все меньше (не знаю картину с УрФО, это в Ёбурге? - все мои одногрупники оттуда давно уволились :-))

CAt комментирует...

Подскажите, если знаете: почему в документах ФСТЭК топология сети звезда считается надежней кольца? Однозначного ответа в Интернетах не нашел.

Алексей Лукацкий комментирует...

Ну я в документах ФСТЭК такого вывода не видел ;-) Но если кольцо разорвать, то оно перестанет работать. Т.е. ненадежно ;-) А это сделать проще, чем вывести из строя центр звезды ;-)

Анонимный комментирует...

А полное наименование документа, его номера и даты?

Алексей Лукацкий комментирует...

Методические рекомендации по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

Номера и даты нет

barapashka комментирует...

Алексей, пожалуйста, подскажите реквизиты документа и в каком Региональном подразделение опубликовали, чтобы можно было сделать запрос.

Спасибо!

barapashka комментирует...

Прочитал выше сорри.