05.05.2012

Как Европа предлагает защищать ПДн в электронных коммуникациях

В 2002-м году в Европе приняли Директиву 2002/58/EC относительно обработки ПДн и их защиты в секторе электронных коммуникаций (то чем у нас РАЭК занимается). 4-я статья этой директивы, которая так и называется "Безопасность", буквально гласит следующее:

"1. Провайдер публично доступных сервисов электронных коммуникаций обязан предпринимать соответствующие технические и организационные меры по обеспечению безопасности своих услуг; при необходимости привлекая оператора связи сети общего пользования в части обеспечения сетевой безопасности. Принимая во внимание актуальность и стоимость защитных мер, они должны обеспечить уровень безопасности, соответствующий выявленным рискам.


2. В особых случаях проявления риска нарушения безопасности сети, провайдер публично доступных сервисов электронных коммуникаций обязанпроинформировать своих абонентов о данном риске, а там, где риски выходят за рамки предпринятых провайдером защитных мер, и о всех возможных последствиях, включая сведения о вероятном ущербе".

В целом ничего сверхествественного. Общие фразы. Никакой конкретики. Множество вариантов решения задачи. Как бы поступили в России? Разработали обязательные для всех Постановления Правительства, из которых вытекают требования приказов ФСТЭК и ФСБ. Логично и предсказуемо. Ничего, что регуляторы не могут за оператора ПДн оценить риски. Ничего, что у них мотивация защиты иная и на стоимость защиты они смотрят в последнюю очередь. Мы к этому привыкли. Мало кто, готов спорить с этим подходом. Покричать на кухне, да на конференции задать "каверзный" вопрос... Это могут все. А выйти с конкретным предложением... Это увольте. На это есть "другой парень", "что я лысый и мне больше всех надо?"...

Как поступили бы в Европе? Просто. Они взяли и разработали рекомендации по реализации 4-й статьи Директивы. Вчера эти рекомендации были опубликованы. Рекомендации, не требования. Никаких требований по применяемых средствам защиты. Ключевые рекомендации следующие:
  • Необходимо выстроить целостную процедуру управления инцидентами с ПДн. Вот эта первая рекомендация, она ключевая и именно она отличает Европу и США от России. У нас важно применить кучу защитных мер, приобрести сертифицированные средства защиты (правда, за взлом такого средства с голограммой никто не отвечает), провести аттестацию, получить лицензию. А вот управлять инцидентами не важно совсем. Нет ни требований, ни обязанности  уведомлять (точнее нет описанной процедуры и наказания за неуведомление). В Европе и США подход иной. Неважно КАК ты защищаешься - важно, чтобы субъекту не был нанесен ущерб. И вот если он нанесен, то придут и накажут. Но при условии, что ты ничего не сделал для снижения ущерба для субъекта. А если сделал, то тоже накажут, но не так сильно. ТАМ в области защиты самих ПДн первичен субъект, у НАС первично выполнение требований по защите.
  • Необходимо выстроить процесс управления рисками, особенно в части их идентификации и оценки.
  • Необходимо выстроить процесс оценки ущерба, разбиваемый на 2 стадии - первичная оценка (в течении 24 часов после инцидента) и более глубокая и детальная оценка.
  • Необходимо выстроить процесс уведомления пострадавших субъектов.
  • Необходимо извлечь уроки из инцидента и устранить причины, приведшие к нему.
Автор этих рекомендаций, которые в документы расписаны подробнее на 68 страницах, - Европейское агентство по сетевой и информационной безопасности (ENISA). Как обычно, этот документ от ENISA не сухо перечисляет "сделайте то-то и то-то", а доступным языком описывает и объясняет рекомендации, использует блок-схемы, разыгрывает различные сценарии. Например, что делать, если в такси был оставлен лэптоп с ПДн? Или что делать, если оператору ПДн позвонил неизвестный и представил доказательства кражи файла с зарплатами сотрудников?

В документе есть интересный пассаж - "Следует отметить, что оператор ПДн должен также определить количество людей, пострадавших от инцидента с ПДн. И хотя данный показатель и не должен использоваться в качестве критерия для оценки последствий от инцидента с ПДн, он является параметром, который должен быть сообщен уполномоченному органу". Причем в тексте рекомендаций этот момент выделен особо. Как тут не вспомнить постоянные дискуссии о том, что нельзя классификацию ИСПДн привязывать к числу субъектов ПДн, данные о которых обрабатываются в ИСПДн.

Очень неплохо расписан раздел по уведомлениям и по распределению ролей. Приведен шаблон уведомления уполномоченного органа по факту инцидента с ПДн. Из него замечательный приказ РКН вышел бы. Интересный раздел по оценке ущерба от инцидентов с ПДн. Дан он в качестве информации к размышлению, но методика там простая донельзя. Все по таблицам и в итоге приходим к итоговому значению, от которого уже зависят, например, сроки уведомления уполномоченного органа. Немало сказано и про расследование инцидентов.


В-общем могу сказать, что документ рекомендован к прочтению.

34 коммент.:

ZZubra комментирует...

Алексей! А Вы готовы сделать/поучаствовать в такой инициативе у нас?
Я Вам вышлю свои наработки именно подобного подхода по нашим ПДн. У меня просто не нашлось ресурсов выложить это все на сайт в том виде, как оно есть. Точнее нет денег купить сайт и сделать его именно в том виде как в презентациях (мой круг спецов, кто это может сделать, ограничен, а они попросили в общей сложности около 40 т.р.).
И никаких обсуждений. Выложили - народ пусть пользуется рекомендациями и шаблонами как хочет. На то они и рекомендации. А именно такой подход и рождает то, что становится "де факто" стандартом для всех.
Согласны на совместную работу? На любом уровне - как частные лица или как совместная разработка организаций - по Вашему усмотрению.
;)

Алексей Волков комментирует...

ZZubra: разница в том, что у них инициатива исходит от государства, а у нас - от "любого уровня", кроме государства, и потому последним наказуема за несоответствие политике партии и правительства. Вон - Ю.В.Травкин, уважаемый, организовал mpdata.ru со своим подходом к проблематике, но судя по внешним признакам, посещаемость его близка к нулю.

А читать енисовские документы, конечно, можно, но только одно расстройство от этого...

ZZubra комментирует...
Этот комментарий был удален автором.
ZZubra комментирует...

Травкин решил диктовать свое мнение, ассоциацию создавать и так далее.
Я же просто предлагаю выкладывать документы и все. Опыт у меня уже есть - народ скачивает и пользуется, но сейчас это все неудобно и непонятно.
Насчет инициативы - мы и есть государство.
Я готов организовать такую работу с кем угодно, лишь бы ВСЕМ было удобно.
Повторюсь, именно так рождались импортные рекомендации. Роскомнадзор сам не знает как оно все практически должно выглядеть. Увидит примеры - начнет пользоваться. Начнет пользоваться - сделает ссылку. Вот Вам и "российские рекомендации".
Насчет 40 тыщ - так это мне так сказали - можно на чем-то другом все сделать или уже есть то что надо - я просто про это другое не знаю!

Виталий Валерьевич Тарнавский комментирует...

Cisco большая корпорация с очень талантливыми и грамотными специалистами, почему бы патриотам своей Родины, работающим в наднациональной корпорации не помочь "ГНИИ ПТЗИ" и прочим институтам и научным центрам РФ в разработке нормативных актов. Можно материально, можно интеллектуально....вариантов много

Алексей Лукацкий комментирует...

Виталий, патриоты своей страны, работающие в транснациональной компании, помогают чем могут. Но не материально. В этой стране это не работает.

Но причем тут ГНИИ ПТЗИ? Он сам ничего не делает. Только по команде от ФСТЭК. Либо в рамках ТК362. В первом варианте можно напрямую с ФСТЭК работать. Во втором необходимо получить согласие Ростехрегулирования на создание ГОСТа по защите ПДн. А уж потом заниматься написанием требований.

Виталий Валерьевич Тарнавский комментирует...

Спасибо за ответ, Алексей. Признаться уж, иногда мне кажется Вы "перегибаете палку". Все не так радужно "за бугром" как Вы рисуете. Все там так же как и у нас и то же самое, а иногда и еще ЛУЧШЕ чем у нас :-). Да и вообще...вон...в 43 году в Тегеране, не было всех этих методик, положений, ИСО и пр....но почему-то наши службы безопасности, не имея всего этого кладезя бесценных мудростей смогли обеспечить безопасность и конфиденциальность проведения переговоров несмотря на все усилия Абвер.
Европа-Европой. 90% Западных методик просто бесполезны и никогда не будут работать в отечественных организациях по причинам иного русского менталитета и целеполагания. Формально внедрят, а на практике...ни одному немцу не придут в голову такие решения и схемы мошенничества и преодоления защиты как русскому человеку.
Я бы на Вашем месте расхваливал ФЗ о ПДн,методики ФСТЭК и ФСБ, ведь по большому счету, признайтесь, благодаря этим "несовершенным, неправильным, противоречивым и т.д." документам, Cisco хорошо увеличило свои прибыли.

Виталий Валерьевич Тарнавский комментирует...

Спасибо за ответ, Алексей. Признаться уж, иногда мне кажется Вы "перегибаете палку". Все не так радужно "за бугром" как Вы рисуете. Все там так же как и у нас и то же самое, а иногда и еще ЛУЧШЕ чем у нас :-). Да и вообще...вон...в 43 году в Тегеране, не было всех этих методик, положений, ИСО и пр....но почему-то наши службы безопасности, не имея всего этого кладезя бесценных мудростей смогли обеспечить безопасность и конфиденциальность проведения переговоров несмотря на все усилия Абвер.
Европа-Европой. 90% Западных методик просто бесполезны и никогда не будут работать в отечественных организациях по причинам иного русского менталитета и целеполагания. Формально внедрят, а на практике...ни одному немцу не придут в голову такие решения и схемы мошенничества и преодоления защиты как русскому человеку.
Я бы на Вашем месте расхваливал ФЗ о ПДн,методики ФСТЭК и ФСБ, ведь по большому счету, признайтесь, благодаря этим "несовершенным, неправильным, противоречивым и т.д." документам, Cisco хорошо увеличило свои прибыли.

avetjan комментирует...

Мы вечно с открытым ртом смотрим на Европу по одной единственной причине: никто не хочет нести ответственность за СВОИ рекомендации. И плевать что они ни разу не подходят и никогда не заработают. Страна стрелочников.

Алексей Лукацкий комментирует...

"Они" - это европейские?

avetjan комментирует...

Да, европейские. Да любые другие НЕтехнические нормы, написанные не для российского общества.

Алексей Лукацкий комментирует...

А что там неприменимого и неработающего?

avetjan комментирует...

Любые институты, тупо содранные с европейского права.
Провальный институт уведомления уполномоченного органа, самый яркий пример, во что его превратили местные правоприменители - это пи**ец.
Институт согласия - не работает должным образом - согласие у нас формальное или добровольно-принудительное, как и всегда было - к тому согласию отношения не имеет.
Это самое яркое.
А любые "рекомендации" у нас лягут в стол до тех пор, пока за их неисполнение не начнут мочить по сортирам и присылать докторов. И самое смешное - все по той же причине - никто не хочет совершать поступки (добровольно принимая на себя обязательства что-то делать следуя рекомендациям) и нести за них ответственность.
Прекрасный пример - внедрение СТО - пока на начнут давить ставкой кредита, подавляющее большинство банков не присоединятся. Они не понимают что исполнение рекомендации банку может дать, кроме геморроя.

Алексей Лукацкий комментирует...

Так на то они и рекомендации, чтобы самому принимать решение - соблюдать ил инет. Там наказывают не за несоблюдение, а за нанесение ущерба субъекта. А рекомендации всего лишь помогают выстроить процесс, чтобы этого ущерба не было или он был бы минимизирован

ser-storchak комментирует...

Всему виной человеческая лень и боязнь нести ответсвенность за принятые решения. Люди боятся ошибиться, а ведь благодаря ошибкам мы совершенствуемся.

Алексей Лукацкий комментирует...

Поэтому это РЕКОМЕНДАЦИИ. Хошь пользуй, хошь нет

avetjan комментирует...

Так у нас то ущерб никого не интересует (в т.ч. регуляторов), поэтому рекомендации должны быть не для предотвращения ущерба, а для исполнения обязательных требований. Вот в этом и разница между нашими и европейскими рекомендациями.

ZZubra комментирует...

Я так понял, что мое предложение никому не нужно :) собственно ожидаемо ))))) Ну что ж, осталось дождаться пока регуляторы )))) выпустят рекомендации )))

Сергей комментирует...

ИБ убыточна по своей сути. И пока расходы на ИБ выше убытков от инцидентов никто деньги вкладывать не будет. Там, где ИБ действительно важна для бизнеса все сделано и без регуляторов, конечно хорошие рекомендации при этом не помешают. Мы все согласны, что плясать надо от вреда субъекту, регуляторам проще контролировать и карать за несоблюдение мер. Может внуки доживут до лучшей жизни.

avetjan комментирует...

2 ZZubra

А чем сайт Датума не устраивает как площадка для размещения? Не уж то Ю.В. против? Так это решаемо, имхо.
Не Датум, так ЖЖ или Блогспот. Я готов сотрудничать, но чем я, например, могу помочь?

Dmitry K комментирует...

Добрый день коллеги. Прочитав комментарии - удивился. Вы хоть кто то работал на международной арене ИБ....Алексей правильно говорит 9не всегда конечно согласен). НО...NIST и все страны (даже так называемые развивающиеся, к которым и мы относимся)на голову выше по развитию систем безопасности. и что мы опять с "русским менталитетом" ? Хватит уже ерунду говорить - нам надо или поднимать образование (что смешно выглядит -знаю тут пару академий), или четко прорабатывать. то что сделано в мире. Все решения ФСТЭК и кое кого другого - уже просто смешны. Людям . кто что то понимает в И безопасности.

ZZubra комментирует...

Датум - последнее мое прочтение правил говорило о членстве, взносах. А моя организация не хочет платить и не будет. Но не против, если я буду делиться наработками. Если я ошибаюсь - рад раскаяться.
ЖЖ и блог надо достаточно долго раскручивать, с сайтом на мой взгляд все проще. Да и жж и блогспот имеют достаточно много ограничений. Обсуждение - можно организовать, а вот представление материалов - фигня получается. По той же причине не приглянулся викисек. Людям нужен простой интерфейс - зашел - скачал.
К сожалению не срослось сотрудничество с "Кодекс" - у них есть продукт разработки своих документов со ссылками на документы в правовой базе - но регионалы запросили безумные деньги за установку правовой базы без поддержки.
Давайте я Вам вышлю материалы, а Вы посмотрите и потом пообщаемся? Только скажите куда.

ZZubra комментирует...

У меня сложилось впечатление, что Вы Dmitry K не пытались выполнять работы, допустим, в больнице, где 15 админов, но никто не знает пароль админа, не может установить принтер и т.п. И не говорите, что таких надо гнать - это не нами решается. Мы можем работать только с теми, кто есть. А если совсем честно, то профи ВООБЩЕ не найти, тем более на такие зарплаты. Я не раз сталкивался с админом-рентгенологом.
А если рассмотреть врачей, так тем уж точно абсолютно пофиг на все требования по ИБ. Они смерть рядом видят, а тут мы со своими мелочными требованиями. Да еще НЕУДОБНЫМИ. Только главврачи, которые уже успели обжечься на предоставлении сведений о здоровье родственникам, отдаленно могут понять суть проблемы ИБ.
И совсем уж наш менталитет формируется законодательством, которое все время МЕНЯЕТСЯ! Невозможно что-то сделать и работать. У меня вообще мечта - чтобы в Конституции запретили вносить изменения в ФЗ чаще чем раз в 3 года. Пусть продумывается все сразу, а не как с ФЗ об ЭП - он еще в полную силу не заработал, а в него уже изменения вносят, которые явно можно было прописать сразу.

Станислав комментирует...

ZZubra : как с вами связаться, есть значительное число людей, которым ваши наработки будут интересны

ZZubra комментирует...

xanton@list.ru
Единственное - мне скучно отсылать документы и объяснять одно и то же много раз. Интересно выложить и объяснить один раз. Денег за это не хочу :) Так сказать "халява"

Сергей комментирует...

это все прекрасно, но у нас не будет работать. Не тот менталитет, нет нужной нормативной базы по ответственности оператора.
Да и не припомню я коммерческой отрасли в РФ, где бы коммерсанты сами, по рекомендациям государства принимали эффективные меры по обеспечению безопасности чего нибудь.
не та еще стадия развития, поэтому про еврозаконы можно только поговорить и не более

Dmitry K комментирует...

Коллеги, опять выскажусь.
Поймите. что надо "продавить" внедрение закона. Или опять все будет -тупо и глупо. Врач...он ОБЯЗАН защитить если я чем то боле...или давай страхование вводить..печень у меня села-все знают -так кто слил ?
А если вернуться к чему разговор - надо ВНИМАТЕЛЬНО читать западные стандарты...или хотя бы От ООН (ITU).

Алексей Лукацкий комментирует...

Сергей, ты не понял. Рекомендации вообще мало где работают - это психология. Но... там тебя накажут за нанесение УЩЕРБА. А чтобы наказали меньше и ты не пошел в отказ, ссылаясь на то, что ты не знал как защищать, разработаны эти рекомендации. Ты можешь им и не следовать, но тогда тебя накажут по полной. Т.е. сам виноват.

А у нас все наоборот.

Алексей Лукацкий комментирует...

ZZubra, в блоге выложи. И это бесплатно ;-)

Dmitry K комментирует...

Да...я на всякий случай =Дима Костров

avetjan комментирует...

Врач много чего обязан, врачу тоже много кто много чего обязан. А те 15 туповатых админов так вообще должны быть хотя бы с головой. Дальше что?..
Управляют не абстрактным "народом", проживающим под юрисдикцией РФ, а реальными людьми, для которых юрисдикция - это не всегда "обязан", которые имеют слишком много чего сказать и куда послать эту юрисдикцию за 10 тысяч рублей в месяц.

avetjan комментирует...

Врач много чего обязан, врачу тоже много кто много чего обязан. А те 15 туповатых админов так вообще должны быть хотя бы с головой. Дальше что?..

Управляют не абстрактным "народом", проживающим под юрисдикцией РФ, а реальными людьми, для которых юрисдикция - это не всегда "обязан", которые имеют слишком много чего сказать и куда послать эту юрисдикцию за 10 тысяч рублей в месяц.

Сергей комментирует...

2 Алексей Лукацкий
с одной стороны да, этот подход имеет право на существование и в абстрактной стране с корректной организацией всего он правильнее.
С другой стороны я пытаюсь представить как это будет происходить у нас. Например агент Вася ушел с данными в страхового брокера Пупкин и партнеры начал толкать полисы. И допустим кто то пошел в суд с вопросом откуда у Пупкина и партнеров ПДн. Суд по идее накажет Пупкина. Возможно получится доказать, что ПДн принес агента Васю (сложно). Какая должна быть доказательная база, что бы привлечь СК из которой ушли ПДн я не представляю. И получается, что или в текущей нормативной базе (не по вопросам ПДн) привлечь никого нельзя к ответственности, или надо привлекать с явным перегибанием палки или надо менять сразу значительно больше законов.
Так что, КМК, европринцип он возможен у нас, но явно не сейчас, а через пару десятилетий.

Виталий Валерьевич Тарнавский комментирует...

Многоголосица мнений ))) Как в Европе. Каждый имеет право на свое мнение и на его отсутствие.
Возвращаясь к теме "крайнего" Вашего сообщения в дневнике, Алексей. Тематика прений перешла в область самовыражения, однако содержание и внимание с которым активные и заинтересованные участники процесса обратились к заявленной теме показывает, что Русский Человек жив и бодр.
Все остались при своих. Резюме с моей стороны.
Со времен 12 года ничего не поменялось (1812). Есть те кто говорят на иностранном, есть те кто и не говорят. Но отступать некуда. За нами "Москва". Алексей. Я знаю, Вы ведете большую инициативную работу, организуете множество мероприятий благодаря своему энтузиазму. За одно это Вам низкий поклон. Тем не менее,прошу Вас еще раз попробовать посмотреть в другую - противоположную сторону и попробовать критически осмыслить опыт любимого и образцового Запада. Попытки тиражировать опыт гиены на медведя....приведут к "несварению желудка и скорой смерти от различных заболеваний", как и наоборот.
Тем не менее, всегда приятно и интересно видеть Вас в здравии и бодрости. Так держать. А большую половину постов я вообще не понял. Хоть их и много.