28.1.10

Рекомендации по ПДн для операторов связи (НИР "Тритон")

Вчера мы рассмотрели "рекомендации" Leta-IT по линии персданных. Сегодня пришел черед для рекомендаций Инфокоммуникационного союза, который некоторое время назад инициировал проект "Тритон", целью которого было разработать Концепцию защиты персональных данных в информационных системах персональных данных операторов связи. Я год назад писал про этот проект и вот сейчас появилась определенная ясность в результатах его работы.

Пока эта работа не финализирована и идет согласование с регуляторами (ими были высказаны некоторые замечания к подготовленным документам), могу расписать только набор документов, которые разрабатываются в рамках проекта:
  • Терминологический аппарат систем защиты персональных данных
  • Анализ международного и российского законодательства в области защиты ПДн в коммерческих системах и сетях связи
  • Обобщенная информационная модель операторов связи
  • Отраслевой классификатор. Информационные системы персональных данных операторов связи
  • Высокоуровневый анализ рисков нарушения безопасности персональных данных в информационных системах персональных данных операторов связи с оценкой потенциального ущерба для субъектов персональных данных и операторов связи
  • Низкоуровневый анализ рисков нарушения безопасности персональных данных в информационных системах персональных данных операторов связи с определением каналов реализации угроз безопасности персональных данных
  • Анализ возможностей по минимизации требований к обеспечению безопасности персональных данных обрабатываемых в информационных системах персональных данных операторов связи
  • Анализ необходимости обеспечения безопасности персональных данных в информационных системах персональных данных операторов связи с использованием криптосредств
  • Отраслевая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных операторов связи
  • Отраслевая модель угроз и нарушителя безопасности персональных данных при их обработке в информационных системах персональных данных операторов связи и использовании криптосредств
  • Технико-экономическое обоснование системы защиты персональных данных операторов связи
  • Информационная система персональных данных "АРМ пользователя». Профиль защиты"
  • Специальная информационная система персональных данных оператора связи второго класса. Профиль защиты
  • Специальная информационная система персональных данных оператора связи третьего класса. Профиль защиты
  • Концепция защиты персональных данных в информационных системах персональных данных операторов связи
  • Сравнительный анализ международных и российских нормативных документов, содержащих требования по защите персональных данных

Очень правильный и достойный подход; систематизированный (хотя есть и нарекания к этим документам). Идея проста - есть различные ИСПДн, есть различные угрозы, есть различные профили защиты для этих ИСПДн.

С  концепцией "Тритона" можно ознакомиться в видео-выступлении Дмитрия Устюжанина, руководителя департамента информационной безопасности Вымпелкома, на конференции "152 ФЗ – основные ловушки и способы разминирования":



Сама его презентация доступна тут.

36 коммент.:

AndrewZ комментирует...

Все это конечно здраво и правильно. Нам бы ратифицировать ОК для реального изменения ситуации. Конечно, часть производителей СЗИ, в том числе очень крупные, не будут называть - все и так знают, окажутся в проигрышном положении, т.к. в отличие от продуктов другой небезызвестной лаборатории они не смогут нормально конкурировать с зарубежными производителями.
А я считаю правильно, что слабые должны уйти. Посмотрите хотя бы на страховой рынок.

Анонимный комментирует...

А Вам не приходила в голову мысль что "слабыми окажемся МЫ"

Анонимный комментирует...

А в итоге пострадавшими - клиенты операторов. Про 2 и 3 классы упоминание есть, а первый даже не рассматривается. С огромным вниманием почитал бы их обоснования ...с оценкой потенциального ущерба для субъектов персональных данных и операторов связи, модели угроз и нарушителя.
Самое плохое в этом подходе - создают систему опять только одна сторона из 3-х, привлекая 2-ю для согласований, но специально забывая про третью - субъекта. Его мнения никто спрашивать как я понимаю не собирается.
В тему:
на дальнем востоке приставы с сотового сами штрафы снимают и алименты (телепередачу давича видел по 5 каналу). Сказали, что только большая тройка их пока посылает.
ZZubra

Tiger комментирует...

А компетенция то достаточная у них? В конце слайда докладчик говорит о том, что в договорах с клиентами он теперь добавляет строки про согласие на обработку ПДн. Но зачем это делать если данные используются только в рамках договора или только в рамках исполнения законодательства РФ? Будем надеяться что докладчик управленец, а не разработчик.
Возникают также такие вопросы
1. Будет ли концепция доступна для всех операторов связи?
2. Каковы сроки окончания данной работы (известны ли они)?

Алексей Лукацкий комментирует...

Компетенция достаточная. Включение такого пункта в договор может быть продиктовано множеством ситуаций - передачей ПДн третьим лицам и т.п. На это конклюдентное согласие при заключении договора не распространяется.

По доступности - она и сейчас доступна всем членам ИКС. А при ее утверждении будет выложена в открытый доступ.

Сроки окончания - самые ближайшие. Документы уже готовы. В конце прошлого года были отправлены регуляторам. Те высказали замечания. Сейчас они устраняются.

Анонимный комментирует...

Прям в тему новости: Операторы «Большой тройки» защитят абонентов от судебных приставов.
Сегодня состоится заседание Арбитражного суда по делу сотовых операторов. Компании МТС, «Вымпелком» и «Мегафон» объединились, чтобы защищать собственных абонентов от возможных претензий Федеральной службы судебных приставов...
http://news.mail.ru/economics/3305683/
ZZubra

Tiger комментирует...

АЛ
(Компетенция достаточная. Включение такого пункта в договор может быть продиктовано множеством ситуаций - передачей ПДн третьим лицам)

Спасибо за ответ.
Я понимаю прекрасно про третьих лиц, однако зачастую оператор связи передает ПДн клиентов 3м лицам только в рамках законодательства РФ.
У нас по крайней мере выяснилось, что это так, после анализа бизнес-процессов. Об этом (о том, что согласие может быть и не нужно получать..т.е, что по крайней мере возможны варианты)в докладе не упомянуто. Я хотел только об этом сказать.

Анонимный комментирует...

Моразм! Сотовые операторы заплатили $0,5 миллиона для того, чтобы им написали бумажки, которыми они прикроются от регуляторов. А почему не лучше принимать нормальные законы?

Алексей Лукацкий комментирует...

Не прикроются, а уменьшат свои издержки по методике, учитывющей специфику операторов и согласованной с регуляторами. Почувствуйте разницу.

Алексей Лукацкий комментирует...

Tiger: Ну call center, например, может быть чужой. Или отправка документов курьерскими службами, или доступ к информации контракторов

Олег Кузьмин комментирует...

Цена в $0,5 за одно только уменьшение издержек - непомерно высока. Но молодцы, те, которые убедили заплатить такую сумму за свой труд.
Уменьшение издержек - понятие применительно к выполнению ФЗ-152 весьма относительное. На мой взгляд выбран неправильный путь решения проблемы соответствия требованиям данного ФЗ. Т.к. уменьшение издержек, это самое простое, о чем можно в данном случае вообще говорить. Глобально же нужно идти путем выполнения требований ФЗ пополняя доказательную базу своих действий и решений при работе с ПДн. Каждый шаг, каждое решение оператора ПДн должны быть документально обоснованы с его стороны. Это и издержки уменьшит и с регуляторами позволит спокойно разговаривать.

Олег Кузьмин комментирует...

Дополнение к предыдущему сообщению:
нужно опираться на практические подходы исходя из реальных (а не обобщенных) процессов обработки ПДн у оператора ПДн во всех их проявлениях. А их как раз на практике невероятно большое количество. Сейчас же предлагается типичный технический подход. Т.е. все будет красиво и технично, но к сожалению только на бумаге. Хотя думаю, это в общем то до поры до времени устроит регуляторов (кроме, наверное, Роскомнадзора). Что они в начале предложили, то в итоге и получили. А Кто занимается правовой основой и организационной составляющей защиты ПДн? Кто занимается сведением всего этого в единую систему?

Анонимный комментирует...

Правильно ли я понимаю, что большая тройка смогла доказать, что их межрегиональные цоды с миллионами абонентов относятся не более, чем ко 2-му классу?
Мы так же являемся оператором связи, однако нанятые нами консультанты, с пеной у рта доказывают, что при межрегиональной структуре ЦОД, количеством более 100 тыс абонентов и 2-й категории данных нам от 1 класса не уйти никак.

Олег Кузьмин комментирует...

Анонимному: Шанс законнно уйти от 1-го класса есть всегда. Ваши консультанты могут чего то не учесть или даже допускаю - не знать. Если посчитаете возможным, то можно для анализа переслать мне аргументы ваших консультантов (также потребуется краткое описание ваших ИСПДн). Посмотрю, что можно сделать, тем более, что в телекоме я проработал почти 4 года (ИБ и потом КС). Мы многих консультируем в регионах, проектов тоже хватает (в т.ч. и в Телекомах). А далее, сами с ними придете к окончательным выводам по классам.
E-mail: olegnk2&yandex.ru

Анонимный комментирует...

Олег К, спасибо за отклик.
Давайте здесь?
Итак, по таблице ФСТЭК:
категория перс. данных.
Типичные данные для всех операторов связи:
ФИО, адрес, паспортные данные, + данные по платежам.
Консультанты говорят, что эти данные однозначно относятся ко 2 категории.
Теперь количество. Количество больше 100 тыс. + данные живут из разных регионов.
Доступ на сервера осуществляются из филиалов, в т.ч. находящихся в других регионах. Технология клиент-сервер.
Юристы с консультантами согласны, 1 класс.
Я как гражданин согласен тоже, но как наемный работник в области ИБ не могу согласиться с такой постановкой вопросов.

Алексей Лукацкий комментирует...

Вы не подменяете понятия? Причем тут класс ИСПДн? Он сейчас ни на что не влияет, т.к. системы у вас все специальные, то меры по защите вы разрабатываете самостоятельно. И класс ни на что, по сути, не влияет.

По такому пути пошел ЦБ (и всем банкам будет рекомендовать) и не только он.

Анонимный комментирует...

Да я согласен!
Но как быть с сертифицированными МЭ и т.п. Циско АСА 5520 нельзя, а континет можно?
Ведь требования упирают на классы МЭ и использование сертифицированного ПО и оборудования? Например сикрет.нет и более простые аналоги? Там везед сертифицирован, может использоваться до 1 класса ИСПДн и т.п...
Как орган регулятор будет оперировать этими понятиями?
Потому я и уповаю на стандарт большой тройки.
Понимаете, какая засада, я уверен, что у меня все норм. Но как быть с аттестацией?
Тупо сказать регулятору, да у нас есть данные, вот модель угроз, но мы ее не классифицируем по классам, раз они типовые и аттестат соответствия не получаем?

Алексей Лукацкий комментирует...

Все эти требования привязаны к ТИПОВЫМ системам. Для специальных таких требований нет. Поэтому и надо начинать с модели угроз и от нее танцевать с защитными мерами.

Операторы потому и стали свое разрабатывать, что все эти требования ФСТЭК не применимы к ним. Ну какой секретнет на Солярисе или Линухе? А Континент при скоростях в сотни мегабит или гигабиты?

Алексей Лукацкий комментирует...

Аттестация, во-первых, по документах ФСТЭК применяется только к гостайне. А, во-вторых, это требование только к типовым системам.

ЦБ вообще согласует с регуляторами право не аттестовать системы для всех банков.

Анонимный комментирует...

Искренне надеюсь, Тритон, тоже себе пробьет послабления.
Единственное, что беспокоит, вероятность попасть под замес среди первых, пока юр. практика не установилась.

Олег Кузьмин комментирует...

Анонимному: ок,давайте здесь. Можно на основе того, что вы сообщили рассуждать сейчас так:
1. Закон разрешает вам часть персональных данных с согласия ваших абонентов сделать общедоступными, например Ф.И.О. и номер телефона (для справочника). Соответственно, вы можете уменьшить объем защищаемых ПДн и, далее уйти от 2 категории ПДн на 3-ю. Все зависит от того насколько правильно вы составите форму самого согласия подписываемого вашими клиентами (что будет учено в нем, т.к. правильно составленная форма согласия поможет вам в дальнейшем минимизировать определенные риски).

2. Следующий критерий оценки группа, нужно посмотреть - эти больше 100 тыс. - все фактически ваши клиенты на данный момент, с которыми есть договора? Далее, цели обработки их ПД везде одинаковые или различаются, соответственно можно ли представить их не одной, а разными ИСПДн (например, в зависимости от получаемых ими услуг)?
В результате всесторонней оценки, и принятия решений в плане уменьшения со 100 тыс. или показа двух разных ИСПДн - вы можете выйти по ним на 2 класс. Нужно также понять и учитывать, что при всем этом крутится у вас в системе биллинга и, как в ней можно использовать к примеру обезличивание ПДн, применяя идентификаторы.

3. Отчасти можно согласится с Алексеем в его трактовке понятий классности в отношении специальных ИСПДн. Отчасти соглашусь и с вами, т.к. психологически все равно будет на вас давить понимание факта отнесения ИСПДн к 1-му классу.

4. Важный момент, ваши филиалы - это одно с вами юридическое лицо или они самостоятельные резиденты?
Если они отдельные ЮЛ, то для вас по закону они являются третьими лицами, и соответственно они самостоятельные операторы ПДн с которыми у вас идет совместная обработка ПДн.

Ну вот для начала посмотрите эти вопросы.

Анонимный комментирует...

Наивные как дети! Документы, которые согласуют у регуляторов "заточены" под системы операторов - чтобы им ничего не внедрять! На троих сбросились по 150 тыров зелени, это легче, чем внедрять какую-то IDS/IPS, которая стоит раз в 10 дороже для одно оператора. А подписанные бумажки будут индульгенциями! Вот для этого и рождаются Воксы, Шмоксы, Чубоксы. Да и не забывайте, что часть денежек и поможет согласовать документы. И докажите. что после этого не появится вот это: http://domosed.net/search.php?search=%EC%E5%E3%E0%F4%EE%ED

Алексей Лукацкий комментирует...

Вы читали эти документы, что делаете такие заявления? Может сначала стоит ознакомиться?

Анонимный комментирует...

Потому что у нас в России "хотели как лучше, а получилось как всегда". Не думаю, чтобы там было что революционное, все будет взято из действующих документов ФСТЭК, а иначе "не свое" они не согласуют. Да и смысл всей работы - уйти от требований К1 к более низким.

Анонимный комментирует...

В дополнение к предыдущему: Воксы сумели убедить Тритон, что хватит одних умных бумажек, поэтому они и исполнители... Интеграторы, которые производят СЗИ в один голос говорили, что у сотовых операторов - К1, а оказалось-то К2 и К3 и "АРМ пользователя".

Алексей Лукацкий комментирует...

Давайте спорить о вкусе устриц с теми, кто их ел ;-) Я эти документы видел, а вы нет. И вы при этом доказываете, что это отстой, ФСТЭКовская поделка и т.п.

Достаточно посмотреть на документы ЦБ по ПДн, чтобы понять, что от ФСТЭКовского подхода там взято только самое разумное, а весь бред (аттестация, лицензирование и т.п.) убрано. И эти документы сейчас согласуются с регуляторами.

Анонимный комментирует...

А каким образом вы видели еще не согласованные документы? ФСТЭК с вами консультируется? Или вы - сотрудник этих Воксов?

Алексей Лукацкий комментирует...

А причем тут ФСТЭК? Это не их документы, а ИКСа. И доступ к ним имеют все члены ИКСа.

Анонимный комментирует...

Я не тот Анонимный, который тут всех с детьми сравнил :)
За комменты спасибо.

Анонимный комментирует...

Добрый день. Очень любопытный пост, жаль, что только сейчас добралась. Хотела просмотреть презентацию по ссылке, но файл оказался на найден.
Вы не могли бы презентацию еще раз выложить? Буду очень Вам благодарна.

Алексей Лукацкий комментирует...

Напиши мне на почту

Анонимный комментирует...

rezedinova@gmail.com
заранее спасибо

mtrx комментирует...

Алексей, правильно ли я понимаю, что любой оператор связи, предоставляющий доступ к сети "Интернет" может принять распоряжением генерального директора концепцию и модель угроз НИРа "ТРИТОН" (http://minkomsvjaz.ru/3495/8317/8319/8322/) и на основании этих документов решит классифицировать свою ИСПДн уже не как К1, а как специальную (специальную, К2)
Группа Г2 (в ИСПДн находятся данные субъектов, в пределах отрасли Российской Федерации)?

Необходимо ли использовать исключительно сертифицированные СЗИ?

Алексей Лукацкий комментирует...

Проблема в том, что статус этих документов непонятен ;-( Поэтому вы можете принять их приказом по организации, но для регуляторов это ничего не значит

mtrx комментирует...

другими словами, мы можем их принять, но согласовывать их с ФСТЭК и ФСБ все-рано придется заново?

Алексей Лукацкий комментирует...

Да