21.05.2012

Классификация ИСПДн: как правильно СЕЙЧАС?

В 2008-м был выпущен "приказ трех" по классификации ИСПДн. Но при его разработке была допущена ошибка и системы, разделенные на типовые и специальные, могли быть только специальными. И если методика классификации типовых систем на 4 класса была описана там де, в приказе трех, то методики классификации спецсистем не появилось до сих пор. Это позволило проявить креативность и на свет родилось несколько подходов:
- ФСТЭК предлагала теже 4 класса натянуть на спецсистемы.
- ЦБ назвал все системы специальными и классифицировал их по типу обрабатываемых ПДн, а не по их количеству. При этом ЦБ позволил банкам, принявшим СТО, не классифицировать АБС, как ИСПДн.
- Минсвязи, в одной из НИР, предложил 4 класса типовых и спецсистем расширить подклассами, разделяющимися по 6 характеристикам информации.
- НАУФОР решила, что все системы специальные, их 4 класса, но классы отличаются от подхода ФСТЭК и ЦБ.

И в принципе все подходы были равнозначны и особых проблем при их применении не было (ну или почти не было).

Но вот появился проект Постановлений Правительства по уровням защищенности. И он сразу поставил много вопросов именно в контексте классификации. Специальных систем теперь нет, как и типовых. Следовательно придется заново создавать комиссии по классификации. Но проблема даже не в этом. Многие сделали ставку именно на спецсистемы, разработав именно под них и модель угроз и набор защитных мероприятий. А теперь это все под знаком вопроса.

Хуже всего банкам, которые на свой страх и риск решили не классифицировать АБС как ИСПДн. Раньше это еще можно было обосновать хоть как-то. А теперь?.. Спецсистем нет, АБС попадает под определение в ФЗ-152, Постановление Правительства по статусу выше и приказа трех и СТО.

Разумеется, все может быть и не так печально. Возможно появится разъяснение РКН, вводящее переходный период на переклассификацию. Возможно ЦБ вновь договорится с регуляторами и оставит классификацию как есть. Возможно все будет хорошо. А если нет?.. Может стоит уже сейчас задуматься о худшем сценарии событий?..

13 коммент.:

Александр комментирует...

Новый СТО Банка России не за горами (надеюсь до 2013 года выйдет), по факту выхода будем думать)

vinograss комментирует...

Одно пугает - это не приказ на троих, а ПП. Так что нужно договариваться с Медведевым, а не с регуляторами.

Виталий Валерьевич Тарнавский комментирует...

Все говорит о том, что "всемирный заговор ИБшников" существет! Глядишь еще на год много интересной работы эти ПП предоставят, а там глядишь и до КСИИ дело дойдет. А потом по кругу..."цель ничто, действие все". :-).

Сергей комментирует...

АБС попадают под ГК РФ и закон О банках: сведения о клиентах = банковская тайна. Статус ГК выше статуса 152 ФЗ.

Михаил Емельянников комментирует...

Ситуация с классификацией становится вообще очень занятной. В проектах ПП для Хпд (типы 2 и 3) необходимо наличие паспортных данных. А если их нет вообще? Это не ИСПДн? Как определить коэффициент? Типичные примеры из моих последних проектов - база лояльности, корпоративный портал, 1С. Нигде нет паспортов и не предполагается (кроме 1С) их наличие.Про обезличку я вообще молчу. речь идет о классификации конкретной ИСПДн при чем здесь возможности оператора?

-)гоист комментирует...

"Статус ГК выше статуса 152 ФЗ."
Как же так? Что ГК - ФЗ, что ФЗ-152 - тот же ФЗ. Никакого приоритета у ГК нет совершенно.

Сергей комментирует...

Это вопрос к юристам. Иерархия существует: конституция - кодексы - ФЗ

Сергей Борисов комментирует...

Алексей, приведенные вами стандарты уточняли тройственный приказ по 2-м направлениям.

1-ое направление: давали более четкие правила определения, что именно относить к ИСПДн вообще. Например, уточнение СТО БР по поводу выбора банком методики отнесения ИС к ИСПДн.
Так вот ПП об уровнях защищенности
никак не влияет на эту аналитику.

Но, поменялось определение ИСПДн в 152-ФЗ. и СТО БР должен обновится чтобы не противоречить этому определению.

2-ое направление:
Стандарты давали дополнительные методики по классификации специальных ИСПДн.
Сейчас специальных ИСПДн не стало, но зато все системы фактически стали специальными (для всех требуется модель угроз).

Эта часть Стандартов несомненно будет приведена в соответствие с ПП об уровнях защищенности, как только выйдет расшифровка уровней защищенности.


На недавнем совещании ЦБ категорически советовал придерживаться СТО БР и просил при взаимодействии с РКН ссылваться на их подпись в письме 6-ых.

max7253 комментирует...

А зачем теперь вообще в СТО методику классификации приводить? Опять выдумают что-то противоречащее закону и еще больше всех запутают.

Сергей Борисов комментирует...

Ну это очевидно - в условиях неопределенности (когда можно трактовать и так и эдак) ЦБ и АРБ хотели трактовать так, как это выгодно банковскому сообществу.

doom комментирует...

>Иерархия существует: конституция - кодексы - ФЗ

Иерархия существует, но не такая:
Конституция -> ФКЗ -> ФЗ.

Кодексы - это обычные ФЗ, просто очень длинные. Тут можно было бы еще заметить, что более поздние законы не должны противоречить ранее принятым, но и здесь никакой "проблемы" нет - где сказано, что у информации может быть ровно один гриф?

LAY комментирует...

Иерархия существует, но не такая:
Конституция -> ФКЗ -> ФЗ.

Кодексы - это обычные ФЗ, просто очень длинные.


Тем не менее, в самих кодексах написано, что ФЗ не должны им противоречить. Т.е. кодексы считают, что они повыше ФЗ!

Евгений комментирует...

>где сказано, что у информации может быть ровно один гриф?

Очень верное замечание. Вот для гостайны в ФЗ152 напрямую сказано - не распространяется на нее. Значит на все другие виды тайн распространяется...