Итак, в выходные ФСБ выложила у себя на сайте новые редакции проектов Постановлений Правительства по уровням защищенности и по требованиям безопасности ПДн. Алексей Волков уже высказался у себя по их поводу. Однако я не согласен с его выводами о том, что второй блин комом. Как раз нет. Да, основные претензии в части отсутствия учета видов деятельности и ущерба остаются, но по-моему мало кто уже надеется, что это будет устранено. Поэтому будем исходить из того, что есть.
По сравнению с предыдущим вариантом проекта Постановления текст документа по уровням защищенности претерпел серьезные изменения. Во-первых, он ввел 5 классов ИСПДн, до боли напоминающих классификацию СТО БР ИББС - ИСПДн-И, ИСПДн-С, ИСПДн-Б, ИСПДн-О и ИСПДн, обрабатывающие ПДн только собственных сотрудников оператора ПДн. Правда, деление на специальные и типовые системы отсутствует (и это облегчает классификацию).
Тут хочу обратить внимание на ряд нюансов:
Теперь обратимся к документу по требованиям. Во-первых, убрали ПЭМИНовский раздел. Во-вторых, текст сделали более логичным и все требования связали с конкретными уровнями защищенности. Убрали и ряд иных одиозных или непонятных требований, присутствовавших как в предыдущем проекте, так и в 781-м Постановлении Правительства. Правда, появились и новые далеко не самые умные требования. Например, контролируемая зона начиная с 4-го уровня защищенности. Эта зона исключает возможность неконтролируемого проникновения или пребывания посторонних лиц. А теперь попробуйте транслировать это требование на работу с мобильными устройствами за пределами офиса (офисов) оператора ПДн? Не получится, как бы вы не старались. Вообще, мобильный доступ, о котором так часто говорят руководители государства будут вне закона. Например, не так давно прошла новость об оснащении отечественных полицейских планшетниками. А по проекту Постановления это будет сделать уже невозможно - ну какая на улице контролируемая зона?
Дальше вообще бомба. Требование оценки соответствия средств защиты информации появляется только на 2-м уровне защищенности. Из этого я могу сделать вывод, что на 3-м и 4-м такой оценки соответствия не требуется. Только за одно это можно пожать руку авторам (пожму, когда увижу). Ну а 1-й уровень защищенности отличается требованием наличия подразделения по зищате информации (на 3-м уровне было требование наличие только сотрудника, ответственного за защиту).
Ну и последний пункт - про контроль выполнения требований. Тут, как и в ПП-584 по НПС, контроль осуществляет либо оператор ПДн самостоятельно, либо привлекаемый им лицензиат ФСТЭК.
В целом я хочу отметить, что оба проекта мне нравятся гораздо больше предыдущего варианта. Они не только более стройны и логичны, но и менее обременительны для операторов ПДн. Недовольство Алексея Волкова я разделить не могу. Те, шероховатости, которые есть, легко устранимы. Единственное, что пока вызывает вопрос - контролируемая зона для 4-го уровня защищенности. Учитывая современные технологии, я бы вообще убрал этот пункт и вынес бы его на уровень нормативных документов ФСТЭК и ФСБ. Ну а если так уж хочется оставить его в Постановлении Правительства, то я бы эту зону требовал, начиная со второго уровня защищенности, не раньше, а то и с 1-го.
По сравнению с предыдущим вариантом проекта Постановления текст документа по уровням защищенности претерпел серьезные изменения. Во-первых, он ввел 5 классов ИСПДн, до боли напоминающих классификацию СТО БР ИББС - ИСПДн-И, ИСПДн-С, ИСПДн-Б, ИСПДн-О и ИСПДн, обрабатывающие ПДн только собственных сотрудников оператора ПДн. Правда, деление на специальные и типовые системы отсутствует (и это облегчает классификацию).
Тут хочу обратить внимание на ряд нюансов:
- Если ПДн сделаны общедоступными самим субъектом, то они попадут не в ИСПДн-О, как это было бы логичным, а в ИСПДн-И, т.к. в проекте Постановления определение общедоступности отличается от того, что есть в ФЗ-152.
- Если обрабатываются ПДн сотрудников не юрлица, а ИП, то они не могут быть отнесены к ИСПДн 5-го класса. Как, собственно, и ПДн лиц на аутстаффинге.
- Если обрабатываются данные о судимости, то они попадут не в ИСПДн-С, как это было бы логичным, а в ИСПДн-И. Иными словами, уровень защищенности сведений о судимости будет гораздо ниже, чем уровень защищенности иных специальных категорий ПДн.
Теперь обратимся к документу по требованиям. Во-первых, убрали ПЭМИНовский раздел. Во-вторых, текст сделали более логичным и все требования связали с конкретными уровнями защищенности. Убрали и ряд иных одиозных или непонятных требований, присутствовавших как в предыдущем проекте, так и в 781-м Постановлении Правительства. Правда, появились и новые далеко не самые умные требования. Например, контролируемая зона начиная с 4-го уровня защищенности. Эта зона исключает возможность неконтролируемого проникновения или пребывания посторонних лиц. А теперь попробуйте транслировать это требование на работу с мобильными устройствами за пределами офиса (офисов) оператора ПДн? Не получится, как бы вы не старались. Вообще, мобильный доступ, о котором так часто говорят руководители государства будут вне закона. Например, не так давно прошла новость об оснащении отечественных полицейских планшетниками. А по проекту Постановления это будет сделать уже невозможно - ну какая на улице контролируемая зона?
Дальше вообще бомба. Требование оценки соответствия средств защиты информации появляется только на 2-м уровне защищенности. Из этого я могу сделать вывод, что на 3-м и 4-м такой оценки соответствия не требуется. Только за одно это можно пожать руку авторам (пожму, когда увижу). Ну а 1-й уровень защищенности отличается требованием наличия подразделения по зищате информации (на 3-м уровне было требование наличие только сотрудника, ответственного за защиту).
Ну и последний пункт - про контроль выполнения требований. Тут, как и в ПП-584 по НПС, контроль осуществляет либо оператор ПДн самостоятельно, либо привлекаемый им лицензиат ФСТЭК.
В целом я хочу отметить, что оба проекта мне нравятся гораздо больше предыдущего варианта. Они не только более стройны и логичны, но и менее обременительны для операторов ПДн. Недовольство Алексея Волкова я разделить не могу. Те, шероховатости, которые есть, легко устранимы. Единственное, что пока вызывает вопрос - контролируемая зона для 4-го уровня защищенности. Учитывая современные технологии, я бы вообще убрал этот пункт и вынес бы его на уровень нормативных документов ФСТЭК и ФСБ. Ну а если так уж хочется оставить его в Постановлении Правительства, то я бы эту зону требовал, начиная со второго уровня защищенности, не раньше, а то и с 1-го.
51 коммент.:
> Никаких методик ФСТЭК или ФСБ
Не факт. "4. Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой
безопасности Российской Федерации и Федеральной службой по техническому и экспертному контролю..."
Алексей, как Вы думаете, если оператор самостоятельно разрабатывает ПО для работы с персданными (специальной категории),будут ли актуальны угрозы 2-го типа (НДВ в прикладном ПО) ? Если да, то те же страховые компании попадают под 1-й уровень защищенности... Или это дело решается в конкретной модели угроз ("считаем, что разрабатываемое ПО не содержит НДВ...")
Алексей, а как на счет п. 3 ("...а также оценки вреда...") в постановлении по уровням? В предыдущей редакции таким даже не пахло, насколько помню.
Учета видов деятельности напрямую нет, но зато актуальность типов угроз определяет Оператор с учетом своего вида деятельности (так что формально зависимость есть). А этого права могло и не быть в другом варианте документов.
1. Интересно, а как ФСТЭК перенесет такое страшное оскорбление со стороны ФСБ ..... "экспертного"...
2. По существу - много букв, которые не специалиста заведут еще глубже в "лес", сочувствую всем небольшим юр. лицам и ИП, которые не могут позволить себе содержать спецов. Документ сырой и восторга не вызывает.
Я правильно понимаю, что сертифицированные СЗИ планируется требовать только со 2-го уровня защищенности??
Алексей, Вы писали в твиттере что 7 сентября директор ФСТЭК согласовал документы по ПДн. Это они?
Есть идеи когда ждать их утверждения?
Анастасия.
Если все-таки эти проекты станут Постановлениями, то они все равно не отменят 58 приказ, а в положении, которое но утверждает, написано что одним из методов и способов защиты является "использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия". Также никто не отменял СТР-К, где вообще явно указанно то необходимо использовать только сертифицированные средства.
На мой взгляд ситуация не улучшилась.
1) Определение типа угроз ИБ - крайне мутный процесс, завязанный на оценку последствий для субъектов ПДн при отсутствии внятной методики оценки. При желании перечень средств защиты можно раздуть.
2) Угрозы наличия НДВ могут считаться актуальными (а каковы критерии "актуальной опасности"?), если не доказано обратное. Способ доказательства обратного вы знаете.
3) Выбор защитных мер состоит из 2-х этапов: орг.меры, привязанные к уровням защищенности, и тех.средства, обусловленные МУ, и соответствующие при этом неназванным нормативно-правовым актам ФСБ, ФСТЭК, которые могут ставить серьезные заградительные барьеры для СЗИ, реализующие зарубежные криптоалгоритмы и т.п.
Резюме: документ по-прежнему придерживается доминирующей идеи применения сертифицированных СЗИ. Пока не начнутся реальные проверки выдохнуть не удастся.
В 58 приказе указаны меры по защите, из которых оператор может выбирать. Новое ПП обязывает в ИСПДн УЗ 2 и выше использовать сертифицированные СЗИ. Т.е. для иных ИСПДн - по желанию оператора. Я вижу такую логику.
А СТР-К.. для негосов оно совсем "не существует" :)
Как обычно с персональными данными - приходится ждать.
На этот раз ждем документов по "выбору средств защиты" (п.4 Требований, где ещё ФСТЭК экспертным контролем обозвали).
Понравились "субъекты персональных данных Оператора" - прям рабство какое-то :)
Вот ведь... Сделали всем добро - опять чувствуют подвох. Оператор угрозы определяет САМ. Проверяет себя САМ. Ну как вам можно что-то навязать и заставить переделать? А приказы регуляторов только подскажут как сделать выбор ВАМИ методов и способов защиты
Алексей, почему сложилось мнение, что угрозы НДВ и уровни 1 и 2 неактуальны? Полностью согласен с andrewz66, что если используемая ОС или ПО не имеют сертификатов по НДВ, то угрозы актуальны и почти наверняка будет 1 или 2 уровень, в том числе, 2 уровень для общедоступных, если при обработке не используются ОС, сертифицированные по НДВ, а это уже куда как больше проблем для Операторов - фактически всем нужно будет на все ПК ставить сертифицирвоанные ОС или средства защиты или вести справочники на бумаге :(
Ronin, а почему у вас сложилось мнение что:
- угрозы НДВ актуальны для всех?
- единственным способом защиты от угроз НДВ является сертификация на отсутствие НДВ?
мое мнение что оба этих предположения не верны или как минимум вами не обоснованы.
В документах таких требований или утверждений - нет.
Актуальность определяет ОПЕРАТОР и никто иной. Если он сам себе враг, то пусть будут актуальными ;-) Ни один суд (кроме Хамовнического и Басманного) не согласятся, что закладка не для ГТ или КВО актуальна
Сложно представить, каким образом используя только эти два документа можно обосновать, что угрозы НДВ (что в системном что в прикладном ПО) станут неактуальными. :-) Если подумать, то угрозы НДВ (а НДВ это - функциональные возможности ПО, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации) актуальны всегда, так как всегда такие функциональные возможности присутствуют. Если исключить угрозы НДВ, то от чего вообще защищаться - от стандартных функций ОС? :-) ИМХО документы надо еще дорабатывать...
Алексей, закладка это очень частный случай НДВ, не путайте людей!
Как говорится, дай-то Бог, чтобы я ошибался, учитывая прошлогодние фокусы, связанные с подменой законопроекта, и полное игнорирование предложений экспертов, на которое ты, Алексей, сам ПОСТОЯННО сетуешь. И поэтому никто ничего не изменит, хоть упишись.
По существу. Выдержки:
Определение типа угроз безопасности персональных данных,
актуальных для информационной системы персональных данных,
производится оператором с учетом совокупности условий и факторов,
указанных в подпункте «е» пункта 2, а также оценки вреда, проведенной во
исполнение пункта 5 части 1 статьи 18.1 Федерального закона
«О персональных данных», и нормативных правовых актов, принятых во
исполнение части 5 статьи 19 Федерального закона «О персональных
данных». Документов нет, но они могут быть.
4. Выбор средств защиты информации для системы защиты
персональных данных осуществляется оператором в соответствии с
нормативными правовыми актами, принятыми Федеральной службой
безопасности Российской Федерации и Федеральной службой по
техническому и экспертному контролю во исполнение части 4 статьи 19
Федерального закона «О персональных данных» - это ПП-330.
Про НДВ - а какой еще удовлетворяющий регуляторов способ удостовериться в том, что НДВ отсутствует, кроме сертификации, уважаемые оппоненты могут предложить?
По комментариям.
58 приказ будет автоматически отменен после отмены 781-го, так как: "В соответствии с пунктом 3 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781 (Собрание законодательства Российской Федерации, 2007, № 48, ст. 6001), ПРИКАЗЫВАЮ:
Утвердить прилагаемое Положение о методах и способах защиты информации в информационных системах персональных данных."
Ни один оператор не сможет доказать в суде, что закладок нет. Потому что ни один суд не будет разбираться с тем, что такое закладка.
И напоследок - по традиции, народная мудрость: худшее из зол - то, что прикидывается добром.
По порядку:
Пункт 3: "Определение типа угроз безопасности персональных данных,
актуальных для информационной системы персональных данных,
производится оператором с учетом совокупности условий и факторов,
указанных в подпункте «е» пункта 2, а также оценки вреда, проведенной во
исполнение пункта 5 части 1 статьи 18.1 Федерального закона
«О персональных данных», и нормативных правовых актов, принятых во
исполнение части 5 статьи 19 Федерального закона «О персональных
данных».
С вредом у нас как было все сложно. так и осталось, соответственно, если вред от нарушения RWL есть, то такая угроза может быть актуальной и переходим к пункту е)
Пункт е): "под актуальными угрозами безопасности персональных данных
понимается совокупность условий и факторов, создающих актуальную
опасность несанкционированного, в том числе случайного, доступа к
персональным данным, результатом которого могут стать уничтожение,
изменение, блокирование, копирование, предоставление, распространение
персональных данных, а также иные неправомерные действия при их
обработке в информационной системе персональных данных"
Итак, если ОС или ПО у нас не имеют сертификата по НДВ, то нет никакой гарантии, что нельзя реализовать угрозу, связанную с недекларированными функциями. То есть вероятность реализации точно не нулевая. Далее, вообще порядок определения актуальности в документе не определен, поэтому можно пока ориентироваться на старый из МУ от ФСТЭК, по которой рассматриваем изначальный уровень защищенности, вероятность и ущерб. Если по старому опыту, то изначальную защищенность под высокую загнать было почти нереально, если у нас потенциальная угроза нарушение конфиденциальности, то ущерб также не минимальный скорее всего, а про вероятность сказано выше. Поэтому вполне вероятно угроза окажется актуальной по мнению регуляторов или проверяющих.
Кстати, ещё один вопрос - а вот реализация уязвимостей в ОС, связанная, скажем, с переполнением буфера или RPC, которые ведут к повышению привилегий - разве это нельзя отнести к использованию недекларированных функций? И что, такая угроза будет неактуальной? Хотя она, в целом, даже сертифицированной версией Windows не закрывается...
Но это однобокий взгляд.
Если посмотреть более реально, то оператор скажет, что ущерб низкий или никакой в случае общедоступных данных (но непонятно зачем тогда вообще их защищать, особенно с точки зрения конфиденциальности?). Ну и вероятность постараются скостить, ссылаясь на то, что действительно, зачем нарушителю так стараться, пытаясь заполучить справочник с контактными данными сотрудников. То есть также формально можно постараться уйти.
Что и как будет можно будет говорить после выхода очередных подзаконников (если уточнения в них будут) или после реальных прецедентов, но вообще такую классификация и подход, который предложен в этих проектах не могу считать адекватными. Прежде всего, из-за требований к защите ПДн, отнесенных к общедоступным данным, а также из-за этой привязки к НДВ - реальная защищенность не связана с этим показателем, а потому операторам навязывают дополнительные проблемы.
Алексей, согласен с Вами.
Сравнил постатейно новые документы и ПП-781, получается:
4 пункта либерализованы (сертификация, контроль выполнения, каналы утечки...);
7 остались без изменений;
10 вообще отменены.
Выходит реально хорошие проекты. Ни одного пункта жёстче не стало!
Привыкли критиковать документы :)
Согласно п.3 ч. 2 ст. 19 ФЗ-152
обеспечение безопасности персональных данных достигается "применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации".
Вопрос: даже если данное Постановление позволяет использовать несертифицированные СЗИ для УЗ3 и УЗ4,как быть с этим пунктом ФЗ-152, который никуда не делся ?
это уже МОЖНО выполнять
Сертификация по отсутствию НДВ не гарантирует отсутствия уязвимостей.
Если считать что уязвимость - это ошибка в реализации штатной функции ПО, тогда это не НДВ... Вот явная программная закладка (недокументированная естественно) - это уже НДВ...
ЕЩЕ РАЗ: актуальность угроз определяет ОПЕРАТОР. Определяет самостоятельно. По одной из 30-ти существующих методик, абсолютное большинство которых построено на ЭКСПЕРТНОЙ оценке. Я, как ЭКСПЕРТ, увтерждаю, что наличие НДВ в системном и прикладном ПО, - это угроза НЕАКТУАЛЬНАЯ. Если бы это было не так, то рынок средств защиты, сертифицированных на отсутствие НДВ, у нас был бы просто колоссальным, а он мизерный. По требованиям ФСТЭК - сертификация на отсутствие НДВ (хоть на системном, хоть на прикладном уровне) нужна для гостайны!
Поэтому для МЕНЯ существует угроза только 3-го типа. И переубедить меня нельзя. Заставить пересмотреть тоже, т.к. контроль за соблюдением требований этих постановлений осуществляю Я САМ.
Кто может СО ССЫЛКАМИ на нормативные документы опровергнуть ход моих размышлений, то милости прошу.
Почему ни у кого не возникал вопрос, как оценивать опасность (ущерб) по методике ФСТЭК? Там тоже ЭКСПЕРТНАЯ оценка. И в методике ФСБ по ПДн - тоже экспертная оценка. Т.е. 4 года всех все устраивало, а тут вдруг всех это стало напрягать.
Ущерб ПДн в терминах российского законодательства вообще нулевой или измеряется суммой в 5-10 тысяч рублей морального ущерба, который может быть назначен судом по 138 УК. Для БОЛЬШИНСТВА предприятий этот ущерб незначителен и его можно в расчет не брать.
Чего все так взъелись на эти документы и ищут черную кошку в темной комнате? Все так привыкли ругать документы регуляторов, что любой, даже неплохой документ, вызывает такую реакцию, что и красная тряпка на быка? Ату его ату.
Кто-нибудь попробовал пройти всю процедуру по 2-м документам САМОСТОЯТЕЛЬНО и БУКВАЛЬНО, не опираясь на страшилки и опасения? Где написано в документе про то, что вас могут заставить пересмотреть угрозы? Где написано, что "Угрозы наличия НДВ могут считаться актуальными, если не доказано обратное"?
Насчет оценки соответствия. В законе говорится, что средства защиты проходят оценку соответствия. Замечательно. Где в проекте постановления противоречие этому требованию? Его нет. Есть уточнение, что оценке подлежат средства, начиная с 2-го защищенности. Приожу АНАЛОГИЮ. ПП-781 говорило о том, что нужна классификация ИСПДн. Приказ трех сказал КАКИЕ классы должны быть. Тут тоже самое. ФЗ сказал, что оценка должна быть (но не сказал в какой форме). Проект ПП сказал, для кого должна быть проведена оценка соответствия. А приказ 58 (его, кстати, поменяют) вообще документ меньшей юридической силы, чем Постановление Правительства.
Уважаемые коллеги, рассуждающие про актуальность угроз НДВ, забывают про важный элемент описания угроз - нарушителя. А ведь из самого описания НДВ следует, что нарушителем является разработчик ПО - Микрософт, Оракл, Касперский... С моей экспертной точки зрения :), для большинства организаций угрозы НДВ неактуальны, ибо данные организации просто неинтересны для таких гигантов и спецслужб, которым доступны эти самые НДВ. И хорошо, что в ФСБ это понимают, ну да их модели угроз вроде бы всегда ориентировались на возможности нарушителя.
И если говорить о разработчиках ПО, то наши сертифицированные СЗИ содержат столько недекларированных глюков, что иностранные спецслужбы захотели бы, не смогли бы так навредить. До сих пор с ужасом вспоминаю программу расчета ПЭМИН от многоуважаемой НПО "Гамма". :)
Кстати Евгений это не Я! А Гамма может НПП а не НПО! Алексей ты тут кое что напутал... Уточню когда жена пустит к компьютеру...
"Я, как ЭКСПЕРТ, увтерждаю, что наличие НДВ в системном и прикладном ПО, - это угроза НЕАКТУАЛЬНАЯ. Если бы это было не так, то рынок средств защиты, сертифицированных на отсутствие НДВ, у нас был бы просто колоссальным, а он мизерный. По требованиям ФСТЭК - сертификация на отсутствие НДВ (хоть на системном, хоть на прикладном уровне) нужна для гостайны!"
- Нужно понимать что включение в документ формулировки НДВ а не скажем "уязвимостей" - уже говорит о многом! И привязывается именно к определенному РД.
- НДВ, исходя из определения РД на системном уровне есть даже не говоря про уязвимости! Взять хотя бы недокументированные API windows.
- Априорная актуальность велика! Но, она должна быть не априорной а выводиться исходя из условий эксплуатации, архитектуры, наличии средств и т.п. Тут оператор должен поиграться!
- НДВ относится не только к ГТ но и к конфиденциалке - 4 уровень для того и придуман.
- Рынок НДВ не колоссален по двум причинам. 1 - нет никакого рынка. 2 - проверяется только ПО относящееся к СрЗИ - тоесть выполняющее функции защиты и часто не все а только модули выполняющие функции.
"Кто может СО ССЫЛКАМИ на нормативные документы опровергнуть ход моих размышлений, то милости прошу."
- Алексей суров, но отходчив!
"Чего все так взъелись на эти документы и ищут черную кошку в темной комнате?"
- на мой взгляд, с НДВ переборщили. Понятно, что оператору неплохо бы хотябы латать уязвимости которые выявлены и для них выпущены патчи но НДВ вставлено грубо, не элегантно...(ругай)
- мне бы хотелось, чтобы в документе был хоть как то упомянут процесс... сам понимаешь чисто эстетически хочется даже без нотки просьбы...
Ну и на последок про актуальность - я бы на проверки ходил со сканером уязвимостей! Запустил - и обеспечил себя отчетами по моей работе, а проверяемый пусть закрывает и выдумывает почему неактуальны "НДВ"!
забывают про важный элемент описания угроз - нарушителя. А ведь из самого описания НДВ следует, что нарушителем является разработчик ПО - Микрософт, Оракл, Касперский...
Если исходить из точки зрения нарушитель=разработчик, то есть "кто виноват что есть уязвимость", то да. Только обычно нарушитель=злоумышленник, то есть "кому выгодно найти и использовать"...
А поиском уязвимостей, за счет НДВ, и их дальнейшим применением занимаются все кому не лень, и только потом разработчик устраняет.
И если бы угрозы уязвимостей на счет НДВ были бы неактуальны, то на кой во всех нормативных и не очень документах, требования на обновление ПО (установку патчей) идет одним из первых?
В каких? Для меня актуальны угрозы вирусов, утечек, ddos, НСД, саботажа, нарушения целостности, отказуемость и т.д. А вот угроза НДВ неактуальна ;-) Да еще и опасна, т.к. потребует обновлять сертифицированные СЗИ, а это головная боль. Обновление систем я делаю не из-за НДВ, а для обеспечения бесперебойности функционирования систем. Ну и так далее.
Алексей, повторю еще раз: если бы в документе было написано "угрозы программных или аппаратных закладок" - ок, проблемы нет. Но под угрозу, связанную с наличием НДВ можно подтянуть все что угодно, в том числе "Ваши угрозы вирусов, утечек, ddos, НСД, саботажа, нарушения целостности, отказуемость" (странный и противоречивый набор, кстати ;-)). Либо переписывать формулировку НДВ (а она ооооочень много раз встречается в разных документах), либо переделывать ПП. Либо получаем очень неоднозначную трактовку.
Вот, кстати, полностью разделяю мнение Евгения Родыгина - нет паники на тему НДВ, но нужно и осозновать, что не просто так это все в документ внесено и потом пусть оператор докажет проверяющим, что это он эксперт - многие не будут связываться. Поэтому такие неоднозначные трактовки могут обернуться проблемами.
Ещё раз, как уже писали многие, НДВ - не только и исключительно закладка и реализуется данная уязвимость не только разработчиком. смотрим РД:
"Недекларированные возможности - функциональные возможности ПО, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации. Реализацией недекларированных возможностей, в частности, являются программные закладки."
Закладка - только вариант, но нарушение конфиденциальности из-за функционала, не соответствующего описанию в докуметации может быть вызвано и множеством других уязвимостей.
Как уже писал, пока спорить не имеет большого смысла - нужны следующие частные требования, да и эти постановления пока не утвердили и имеет смысл обратиться с просьбой конкретизации положений по НДВ и общедоступным ПДн - большая ясность лишней не будет точно.
Согласен с Алексеем, позитивная динамика очевидна. Хотя еще и не светлое будущее.
В поддержание общего тренда по критике НД вставлю реплику по проекту Постановления по уровням:)
Из того что вроде по делу:
п.1.б. - "информационная система обрабатывает биометрические персональные данные, если в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных;"
Иными словами, если РКН (или суд в последствии) не сможет доказать что оператор использовал биометрические ПДн для установления личности субъекта ПДн, то ИСПДн оператора относится к тем ИС, которые не обрабатывают биометрические ПДн?
Как-то так получается при буквальном прочтении… Алексей?
Не совсем по делу:
п.1.д., п.4, п.6 - "… сотрудников оператора. …не являющихся сотрудниками оператора."
Это я к чему... Трудовой Кодекс РФ принят 11 лет назад! (30.12.2001) И про "сотрудников" он ничего не знает! "Работники" есть, да.
Это к вопросу о единообразии и системности при разработке НПА в нашей суровой действительности.
А кто-нибудь понял, что такое "электронный журнал сообщений" из п.6б ?
Нет, ну дорогие товарищи, если уж вы относите к НДВ и простые уязвимости - ошибки допущенные программистами при разработке (переполнение буфера, math overflow и т.п.) - то вы хотите сказать, сертификация по НДВ поможет все эти ошибки найти и устранить??? И все наши СЗИ, прошедшие НДВ, вылетают в тупые ошибки по каким-либо другим причинам, а программный текст в них идеален?? Не смешите мои тапочки.
2 Евгений: мы не обсуждаем сейчас ни сертификацию ни ошибки, говорим о том, что фраза "угрозы, связанные с наличием НДВ" некорректны и неоднозначны с учетом текущего определения НДВ.К тому же кто Вам сказал, что ошибка или уязвимость в ПО не может быть заложена сознательно и не является закладкой? Где грань? Отсюда и противоречия...
Коллеги, а если уязвимость известна и описана (да еще и патчи под нее делаются) - является ли она НЕДЕКЛАРИРОВАННОЙ возможностью? Она же задекларирована!
vsv +1
2 vsv: ну это на усмотрение оператора при составлении модели угроз и отнесении себя к 3-му уровню защищенности. А вот как посчитает РКН/ФСБ/ФСТЭК никто не знает. И как правильно тоже никто не знает. ЗАмкнутый круг - "Видишь суслика? - Нет... - Я тоже не вижу. А он - есть! …"
А. Лукацкому на "ЕЩЕ РАЗ: актуальность угроз определяет ОПЕРАТОР."
перечитал, сразу не заметил. Алексей. Вы немного не правы. Согласно п. 3 пректа ПП "оператор прводит определение ТИПА угроз, но не актуальность. Актуальность определяется по дкументам, разработатнным в соотвествии ч. 5 ст. 19 заккона, то есть по МУ федералов и ведомств...
И неще. А Лукацкому. на "...т.к. контроль за соблюдением требований этих постановлений осуществляю Я САМ..."
Так-то оно так, но не совсем. Контроль МОЖЕт проводиться оператором самостоятельно. И проект ПП дает такое право. Но здесь уместно вспомнить ПП от 03.02.2012г. № 79 "О ЛИЦЕНЗИРОВАНИИ ДЕЯТЕЛЬНОСТИ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ", где сказано (п.2):"Под технической защитой конфиденциальной информации понимается ВЫПОЛНЕНИЕ РАБОТ и или)оказание услуг по ее защите..." А еще там есть (п.4):"...лицензированию подлежат следующие виды работ и услуг:... б) контроль защищенности конфиденциальной информации от
несанкционированного доступа и ее модификации в средствах и системах
информатизации." Так что контролировать можно, но имея для этого лицензию, так как этот ВИД РАБОТ подлежит лицензированию. Оператор задумается: надо ли ему получать лицензию или пригласить лицензиата. Думаю, что перевесит второе. А вот срок он МОЖЕТ определить сам и сделать периодичность в 3 года.
1 По поводу продолжающейся критики "улучшенного" варианта ПП: дерьмо, даже если улучшаются отдельные его параметры (например, пропадает неприятный запах) всё равно остаётся дерьмом. И, как гласит народная мудрость, конфетку из него сделать не удастся ни при каких обстоятельствах.
2. По сути самих ПП: без слёз читать эту галиматью просто нельзя. У вас видимо уже "глаз замылился" от чтения подобных "документов" и вы привыкли к этому стилю. Но ведь там "отдыхает" не только логика и методология, но и бедный русский язык.
3. По содержанию: НДВ - это не угроза. Это - уязвимость. Угроза - проявленное желание или возможность причинить вред. Угроза - атрибут внешней среды. НДВ - свойство ПО - атрибут самой системы (в данном случае - ИСПДн). Угрозы информации: некорректное уничтожение ; искажение; несанкционированное изменение статуса; некорректное изменение условий доступа. НДВ могут быть использованы для реализации угрозы, их наличие повышает вероятность реализации угроз, но сами НДВ угрозой не являются. Это - элементарная логика, но её нет в НПА. Да и откуда логике взяться в НПА, если её нет, к сожалению, даже в суждениях специалистов.
Коллеги, зная наших законодателей, привязка к НДВ отнюдь не случайна...
Учитывая опыт всех последних лет и сквозящую во всех НПА необходимость использования сертифицированных средств для всего и вся, неужели вы действительно верите, что регуляторы во так просто откажутся от этого???
толковать появление НДВ в док-те уровня ПП мы можем по разному, однако самым правильным будет просить у регуляторов дополнительных разъяснений по данному поводу и как можно скорее...
P.S Как минимум с принятием сих док-в можно отбросить приказ 58, который был принят (указано в его шапке) во исполнение отменяемого прямым текстом ПП-781.
к vsv:
к вопросу о "Так что контролировать можно, но имея для этого лицензию, так как этот ВИД РАБОТ подлежит лицензированию"
есть мнение (ФСТЭК) что получение лицензии на ТЗКИ не требуется в случае если работы выполняются для собственных нужд. Или в терминах указанного документа:
"...получение юридическим лицом лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации является обязательным в случае, если эта деятельность направлена на получение прибыли от выполнения работ или оказания услуг по технической защите конфиденциальной информации и (или) она необходима для достижения целей деятельности, предусмотренных в учредительных документах юридического лица..."
Однако, ни в положениях 99-ФЗ (ред. от 28.07.2012) "О лицензировании отдельных видов деятельности", ни в положениях Постановления Правительства РФ от 03.02.2012 N 79 "О лицензировании деятельности по технической защите конфиденциальной информации" (вместе с "Положением о лицензировании деятельности по технической защите конфиденциальной информации")внятной оговорки о собственных нуждах нет. Да собственно, никакой оговорки нет.
Уважаемый П. Ляпин, к сожалению, приведенная Вами цитата (на сколько я помню из письма Гапонова)- устарела и, в сове время, много обсуждалась, так что думаю, что ссылаться на нее не стоит, надо смотреть в действующие документы, атам, как Вы правильно заметили - оговорок нет.
Уважаемый г. Атаманов. Если внимательно прочитать постановление, то там говориься по угрозы, СВЯЗАННЫЕ с НДВ, но никто не называет их угрозами. Так что, как Вы говорите, элеменнтарная логика в НПА - есть. Надо только хотеть ее увидеть. А ругать регуляторов и так есть за что...
Исходя из изложенного, считаем вероятность угроз, связанных с применением сознательно внедренных НДВ, маловероятными, следовательно сами угрозы неактуальными.
Угрозы, связанные с наличием случайно внесенных программных ошибок (ака переполнение буфера, integer overflow и проч.) признаем существенными и актуальными, боремся с ними организацией постоянного patch-менеджемента. Сертификация на НДВ не нужна. Так годится?
vsv: Петр Ляпин ссылается на позицию ФСТЭК, высказанную в информационном письме ФСТЭК от 30-го мая 2012 года согласно которой лицензия ФСТЭК, если не извлекается прибыль, организации не нужна.
Угрозы, связанные с наличием случайно внесенных программных ошибок (ака переполнение буфера, integer overflow и проч.) признаем существенными и актуальными, боремся с ними организацией постоянного patch-менеджемента. Сертификация на НДВ не нужна. Так годится?
Можно и так, только само определение НДВ шире и вряд ли кто (ФСБ и ФСТЭК) в своих поднормативных актах будет делить эти угрозы на случайные и намеренные. Угрозы за счет НДВ и всё тут.
А дальше либо используй ПО (системное и прикладное) с сертификатом на НДВ, либо используй сканер уязвимостей и получай лицензию на ТЗКИ или заключай договор с лицензиатом (тогда сканер будет использовать он).
Имхо, вполне логичная позиция регуляторов, так как угрозы связанные с использованием уязвимостей за счет НДВ для нарушения КДЦ персданных наиболее актуальны (в отличие угроз, связанных с применением ТКУИ, то есть за счет ПЭМИН), и в тоже время сводят свободу действий операторов при защите ИСПДН на нет: либо сертификат, либо ТЗКИ на постоянной основе. А скорее всего и то и другое в одном флаконе...
to Евгений: тем более на этапе выявления уязвимости кто однозначно может сказать была она случайная или намеренная.
Аукнется нам еще это НДВ... Не вижу я здесь позитива, как видит его А.Лукацкий.
Как правильно заметил vsv, ждем от Правительства списка актуальных угроз. Потом уже и будем смотреть, кто позитивнее
Отправить комментарий