Моя пятничная заметка вызвала оживленную дискуссию в Twitter и Facebook на тему, можно ли отказываться от какой-либо защитной меры согласно приказу 17/21/31 при неактуальности угроз. Сергей Борисов даже пост на эту тему написал. Он считает, что в 21-м приказе отсутствует возможность исключения защитных мер только на основании неактуальности угроз, для которых эта мера предназначена. По причине отсутствия какой-либо информационной технологии можно, из-за определенных структурно-функциональных характеристик тоже можно, а вот по причине неактуальности угроз нельзя. Я с такой позицией несогласен и вот почему.
В 17-м приказе, в п.14.3 есть такой фрагмент "При определении угроз безопасности информации учитываются структурно-функциональные характеристики информационной системы... применяемые информационные технологии...". Далее, в п.14.4 говорится, что "Требования к системе защиты информации информационной системы определяются в зависимости от класса защищенности информационной системы и угроз безопасности информации". В 20-м пункте говорится, что "Организационные и технические меры защиты информации, реализуемые в информационной системе в рамках ее системы защиты информации, в зависимости от угроз безопасности информации, используемых информационных технологий и структурно-функциональных характеристик информационной системы должны обеспечивать...". Иными словами, ФСТЭК неоднократно указывает, что система защиты и ее наполнение мерами зависит от угроз и никак иначе.
31-й приказ построен на аналогичных вводных. В 8-м пункте говорится о том, что защита информации в АСУ ТП достигается путем принятия в рамках системы защиты АСУ "совокупности организационных и технических мер защиты информации, направленных на блокирование (нейтрализацию) угроз безопасности информации, реализация которых может привести к нарушению штатного режима функционирования...". В п.13.3 также говорится, что угрозы зависят от структурно-функциональных характеристик АСУ ТП. Пункт 13.4 гласит - "Требования к системе защиты... определяются в зависимости от класса защищенности... и угроз безопасности, включенных в модель угроз безопасности информации". Ну а 18-й пункт 31-го приказа почти дословно повторяет упомянутый выше 20-й пункт 17-го приказа.
Иными словами, ФСТЭК в двух своих приказах четко дает понять, что система защиты зависит от угроз и с неактуальными угрозами (которые не приводят к нарушению функционирования или ущербу) бороться не надо; в модель угроз неактуальные угрозы включать не надо.
Почему таких фраз нет в 21-м приказе? На самом деле все просто. Во-первых, в 21-м приказе это сказано, но другими словами. В частности, в п.3 говорится, что "меры по обеспечению безопасности персональных данных... должны быть направлены на нейтрализацию актуальных угроз безопасности персональных данных". 4-й пункт тоже упоминает только актуальные угрозы. И 8-й пункт тоже. 2-й пункт Постановления Правительств №1119 тоже, как ни странно, упоминает только актуальные угрозы, которые и должна нейтрализовывать система защиты.
А во-вторых, в 21-м приказе просто нет тех разделов по жизненному циклу системы защиты персональных данных, которые есть в 17-м и 31-м приказах. Нет их не из-за забывчивости, все-таки документы писали одни и те же люди. Причина проста - ФСТЭК, являясь уполномоченным органом по защите ГИС и АСУ ТП, для них установила требования по тому, как строить систему защиты; из каких этапов этот процесс должен состоять. А вот коммерческим операторам ПДн, на которых и распространяется 21-й приказ, ФСТЭК, не имея полномочий для их проверки, решила дать свободу в выборе того, как строить систему защиты. Поэтому, соблюдая общую идеологию, общий алгоритм выбора защитных мер, единый перечень защитных мер, в 21-м приказе не говорится (и теперь понятно, что может быть и зря), как это все объединить вместе.
Отсутствие этих разделов дает основание некоторым экспертами считать, что неактуальность угрозы не дает права на исключение соответствующей защитной меры. Собственно, мы опять возвращаемся к тому, о чем я уже как-то писал, - свобода выбора - это для многих зло. Слишком много степеней свободы появляется - у владельца защищаемой системы своя, у интегратора своя, у аттестационной лаборатории своя, у проверяющих от регуляторов своя. И даже если последние допускают (а это именно так) широкое толкование 17/21/31-го приказов, то вот остальные участники этого процесса пока не перестроились и постоянно рассчитывают на "а вдруг". А вдруг нельзя? А вдруг не согласуют? А вдруг накажут? А вдруг неправильно?...
Резюмируя, исключать защитные меры, опираясь на неактуальность угроз, возможно. Более того, модель угроз, которая будет строиться по методике, которую в скором времени опубликуют, будет включать только актуальные угрозы. А система защиты будет зависеть от модели угроз, т.е. списка угроз актуальных.
В 17-м приказе, в п.14.3 есть такой фрагмент "При определении угроз безопасности информации учитываются структурно-функциональные характеристики информационной системы... применяемые информационные технологии...". Далее, в п.14.4 говорится, что "Требования к системе защиты информации информационной системы определяются в зависимости от класса защищенности информационной системы и угроз безопасности информации". В 20-м пункте говорится, что "Организационные и технические меры защиты информации, реализуемые в информационной системе в рамках ее системы защиты информации, в зависимости от угроз безопасности информации, используемых информационных технологий и структурно-функциональных характеристик информационной системы должны обеспечивать...". Иными словами, ФСТЭК неоднократно указывает, что система защиты и ее наполнение мерами зависит от угроз и никак иначе.
31-й приказ построен на аналогичных вводных. В 8-м пункте говорится о том, что защита информации в АСУ ТП достигается путем принятия в рамках системы защиты АСУ "совокупности организационных и технических мер защиты информации, направленных на блокирование (нейтрализацию) угроз безопасности информации, реализация которых может привести к нарушению штатного режима функционирования...". В п.13.3 также говорится, что угрозы зависят от структурно-функциональных характеристик АСУ ТП. Пункт 13.4 гласит - "Требования к системе защиты... определяются в зависимости от класса защищенности... и угроз безопасности, включенных в модель угроз безопасности информации". Ну а 18-й пункт 31-го приказа почти дословно повторяет упомянутый выше 20-й пункт 17-го приказа.
Иными словами, ФСТЭК в двух своих приказах четко дает понять, что система защиты зависит от угроз и с неактуальными угрозами (которые не приводят к нарушению функционирования или ущербу) бороться не надо; в модель угроз неактуальные угрозы включать не надо.
Почему таких фраз нет в 21-м приказе? На самом деле все просто. Во-первых, в 21-м приказе это сказано, но другими словами. В частности, в п.3 говорится, что "меры по обеспечению безопасности персональных данных... должны быть направлены на нейтрализацию актуальных угроз безопасности персональных данных". 4-й пункт тоже упоминает только актуальные угрозы. И 8-й пункт тоже. 2-й пункт Постановления Правительств №1119 тоже, как ни странно, упоминает только актуальные угрозы, которые и должна нейтрализовывать система защиты.
А во-вторых, в 21-м приказе просто нет тех разделов по жизненному циклу системы защиты персональных данных, которые есть в 17-м и 31-м приказах. Нет их не из-за забывчивости, все-таки документы писали одни и те же люди. Причина проста - ФСТЭК, являясь уполномоченным органом по защите ГИС и АСУ ТП, для них установила требования по тому, как строить систему защиты; из каких этапов этот процесс должен состоять. А вот коммерческим операторам ПДн, на которых и распространяется 21-й приказ, ФСТЭК, не имея полномочий для их проверки, решила дать свободу в выборе того, как строить систему защиты. Поэтому, соблюдая общую идеологию, общий алгоритм выбора защитных мер, единый перечень защитных мер, в 21-м приказе не говорится (и теперь понятно, что может быть и зря), как это все объединить вместе.
Отсутствие этих разделов дает основание некоторым экспертами считать, что неактуальность угрозы не дает права на исключение соответствующей защитной меры. Собственно, мы опять возвращаемся к тому, о чем я уже как-то писал, - свобода выбора - это для многих зло. Слишком много степеней свободы появляется - у владельца защищаемой системы своя, у интегратора своя, у аттестационной лаборатории своя, у проверяющих от регуляторов своя. И даже если последние допускают (а это именно так) широкое толкование 17/21/31-го приказов, то вот остальные участники этого процесса пока не перестроились и постоянно рассчитывают на "а вдруг". А вдруг нельзя? А вдруг не согласуют? А вдруг накажут? А вдруг неправильно?...
Резюмируя, исключать защитные меры, опираясь на неактуальность угроз, возможно. Более того, модель угроз, которая будет строиться по методике, которую в скором времени опубликуют, будет включать только актуальные угрозы. А система защиты будет зависеть от модели угроз, т.е. списка угроз актуальных.
37 коммент.:
И это недоверие к свободе - естественно!
Вот допустим я юрлицо. На меня одновременно действуют угрозы проверки нескольких регуляторов (ну как нескольких - штук 20 наберется). Например, потребнадзор, пожарники, инспекция по труду, налоговая, и какой нибудь надзор за качеством зерна или инспекция по рациональному расходованию нефти в регионе (есть и такие). Сравним требования пожарников, роскомнадзора и ФСТЭК.
И тут у хозяина-деректора есть несколько стратегий.
В этих условиях свобода которую даёт вольные толкование требований фстэк оборачивается самыми крупными рисками.
Пожарники прошли самый тяжёлый путь общени с руководителями. И до чего они дошли: чёткий перечень действий и документов по (в общем случае) 1 постановлению правительства. Причём там и для офиса требования из 1 комнаты и для газосварщика. Набор минимален. Результаты не выполния наглядны. Цена выполнения для небольшого офиса около сотни тысяч. Интересна аналогия с лицензиями на проектирование системы пожарной сигнализации. Хоть законодательство одно и то же, но проектирование самому себе таких систем не проходят - вынь да полож лицензию на проектирование. Кстати и путь оценок соответствия пройден и система рисков на уровне фз определена.
Но самое главное если вопрос спорный - делает лицензиат, по списку - юрлицо.
Роскомнадзор. Это классика молодого надзорного ведомства (естественно в части навешенных полномочий по 152 и 149 фз). Трактуют и требуют чего хотят. Народ судится, квалификации для надзора за АВТОМАТИЗИРОВАННОЙ обработкой нет, а потому идут по пути наименьшего сопротивления: наказания за неуведомление и проверки бумажной обработки. Конкретных перечней документов и мероприятий для проверки нет. Позиция за не выполнение карательная. Как и у пожарников. Свободы никакой.
РКН и не хочет шаблоны разрабатывать - им предлагали
Рисков по линии ФСТЭК ноль
И тут ФСТЭК, который работает на этом же поле, среди десятков других таких же контроллеров, говорит: а у нас свобода выбора мер. Делайте чего хотите, мы в ваш набор мер не вмешиваемся, оценивать правильность определения актуальности угроз не будем. Говорит это при проверках и на конференциях. И действительно так делает.
Но! Бизнес такому у нас не верит. Не раз уже обожглись. Все бояться что завтра вдруг начнут проверять, ведь нормативка-то такая же как и других регуляторов.
Вдруг сделают ФСТЭК подчиненным Президенту и поставят туда руководить министра, а где его взять (это вроде, думает народ, иной круг приближенных)? Щас то руководят ФСТЭКом свои - технари, да еще военные. А поставят, ну ... пусть нонешнего зама министра ФНС. Гражданского (вон как с министром связи). И пойдет метла мести по-новому. Как сейчас в ФНС - террор.
Или лопнет у проверяющих ФСТЭКа терпение - в условиях послаблений начинается массовое забивание на требования.Ты к ним с душой, а они тебя. Не каждый выдержит. Вернее никто не выдержит. Обозляться люди. Уйдут. А на их место придут из смежных отраслей на теплые госместа. Итог - террор.
Или случится чего с данными массово. И тут всплывет для народа, что вообще-то каждый оператор сам определяет, как будет (НЕ)защищать их данные. Скандал. И как следствие - террор.
И тогда, те кто сейчас говорят - делайте минимум - базовый набор мер, окажутся правы (они и сейчас правы, просто смотрят вперед). А защита денежки стоит. И не малой.
А еще непонятки с лицензированием. Если все вокруг в Интернетах пишут, что если для себя, то лицензия не нужна. А в других отраслях надзора это не так. Еще оттуда плюха со штрафами прилететь может: Как так занимались проектированием для себя сами? Без лицензии?? И это в вопросах ПРАВ ЧЕЛОВЕКА??!!!
Потому умудренные опытом защитники (которые не хотят подставлять руководителя или подставляться сами) и сами руководители не идут по пути "а сделаем ка мы ВСЕ угрозы неактуальными и не будем вообще защищаться". Так делает неопытная молодежь, и то до первой жестокой проверки. Или крупнобизнес, который может проверяющим сказать - ША! Уведем налоги в другой регион, а обвиним тебя проверяющий - пусть губернатор из тебя ... сделает.
Итого: есть пара стратегий выполнения нормативных требований (сделать обязательный минимум ИЛИ не делать ничего, а потом исполнить только предписание (суть конкретный перечень)) и законы развития бюрократических систем.
Кто им не следует и их не учитывает, тот сам виноват.
Да, Алексей, не хочет РКН разрабатывать шаблоны. Именно по озвученным причинам не хочет. Сотрудники туда как и откуда набраны? Какая цель у этого самого РКН? Террор. Зачем при такой цели шаблоны? Просто нет пока судов на хреново сделанные административные регламенты, которые писались самими проверяющими для себя. Как эту тонкость бизнес поймет - наступит новый виток гонки вооружений. Не на проверки незаконные начнут бить, а на основание этих проверок.
А насчет ФСТЭКа, нууу... Прям не знаю как обосновать Вашу убежденность. Весь мой жизненный опыт подсказывает, что так не бывает. Я даже в стабильности стабильного Президента не уверен, даже если все признаки и проявления говорят об обратном.
Товарищь ZZubra, Какие РКН должен вам шаблоны??? Шаблоны приказов, положений или шаблоны политики??? Вы шутите, да???. Все шаблоны есть в законе-шаблон обязательного согласия в письменной форме и шаблон уведомления. Для всего остального шаблоны не нужны, потому что все случаи обработки индивидуальны. Вы хоть одну проверку РКН прошли? Вы знаете что они требуют на проверках?? Какие, нахрен, шаблоны???
Значит людям надо дать четкий перечень актуальных угроз (после всех новый документов), возможно, даже, несколько вариантов, чтобы они своими "свободами" никак их не исключали, чтобы потом не говорить: "неактульна - значит не защищаемся".
Даже на уровне рекомендаций если у Вас организация с такой то сетью (5 признаков), то такие-то угрозы в любом случае будут актуальны.
Вы Nikola не из РКН? ;)
Да, я делал шаблоны, и да, многие делают шаблоны. Да, шаблоны для непонимающих зло. Да, я изучал бизнес-процессы и выстраивал организацию обработки по закону и подзаконникам во многих организациях. Да, много проверок и многие без замечаний.
Главное замечание сейчас - это что моя политика "общая", там типа вода. Хотя в моей политике после каждого предложения ссылка на нормативный акт, конкретные реализации тех или иных требований и ее объем около сотни страниц. Моя политика это канонический текст, который может использовать ни разу не грамотный в вопросах ПДн человек (как справочник для конкретной организации), с взаимоувязанными требованиями и шаблонами. Зато политики из 2-3 страниц местные РКН считают очень конкретными.
Что Вы еще хотите мне предъявить? ;)
Рассказать Вам как работает РКН? Как он защищает права по жалобам и выполняет административные регламенты? Вы представьтесь, если Вы высокоуполномоченный сотрудник РКН и я представлюсь и изложу ВСЕ свои документально подтвержденные претензии к вышеназванной организации. А ежели нет, то и не будем муть поднимать - все равно пользы от этого никому не будет.
Вот бы ещё кто спросил точку зрения ФСТЭК у самой ФСТЭК.
Подкину ко я дров. :)
А можно ли признавать угрозы не актуальными с обоснованием "уже применяются СЗИ, хотя и не сертифицированные"?
По правилам игры, ФСТЭК не может озвучивать свою точку зрения. По правилам вежливости и уважения - их не надо спрашивать, чтобы не ставить в неудобное положение.
Для Евгений
дык о том и речь, что эти признания и непризнания - суть тлен :)
Какие цели Вы перед собой ставите - те и достигаете наиболее оптимальным способом (учитывая затраты, прибыль и возможные потери по методам "пол-палец-потолок" или наиболее универсальным "авось").
Пока правила игры явно и четко не прописаны (о чем и говорим), всегда можно выиграть в шахматы методом шашечной игры в "чапаева". И не важно какой области жизнедеятельности человека это касается.
Алексей, почему вы приводите факты "За", но совсем забываете факты "против"?
Вот, например, пункт 22
"При этом в информационной системе должен быть, как минимум,
реализован адаптированный базовый набор мер защиты информации,
соответствующий установленному классу защищенности информационной
системы."
Дорогой ZZubra, я не из РКН. Я занимаюсь консалтингом.
То что вы делали шаблоны, это отлично. У меня тоже есть мои шаблоны. Но какие шаблоны вы требуете от РКН??? Вам в РКН сказали что ваша политика "вода"? Это даже в акт проверки записали? Покажите пожалуйста. Если вы готовили организации к проверкам, то доолжны знать, что РКН при проверках вообще не смотрит содержание документов. Точнее смотрит вскользь, в надежде найти ошибки в реквизитах документа или в фамилиях ответсвенных.
Воду как раз вы мутите. В РКН не будет шаблонов, потому что это юридически безграмотно.
Константин: я не забываю. Я к тому, что правильный процесс адаптации за счет структурных характеристик позволяет исключить многие вещи :-)
Артем: сегодня был в ФСТЭК :-) По 21-му приказу можно исключать меры без проблем
У нас уже начали читать содержание. Юридически безграмотно требовать перечень конфиденциальной информации. Странно, что они эту безграмотность допускают. Шаблон -суть перечень всех вопросов, которые должны быть установлены оператором по требованию закона, не может быть безграмотным)))
Про воду передали на словах, естественно в акте замечаний нет - оно никому не надо.
Алексей Лукацкий пишет...
Артем: сегодня был в ФСТЭК :-) По 21-му приказу можно исключать меры без проблем
А почему нельзя по 17-му? В чем разница?
"По 21-му приказу можно исключать меры без проблем"
Осталось донести эту полезную мысль до всех сотрудников ФСТЭК. А то ведь они приказ будут читать, а там написано иначе :)
По 17-му тоже можно. Но по нему есть конкретные формулировки, а по 21-му коллеги спорят
А там написано ровно тоже самое, что и написано в заметке
В заметке интерпретация того, что написано в приказе. Многие пункты приказа можно интерпретировать самым разным образом, что и имеет место на практике по причине отсутствия письменных разъяснений регулятора.
Алексей, в комментариях уже упоминался очень важный момент, который рушит всю логику данного поста.
Все возможные действия с мерами с учетом актуальных угроз согласно п.21 Приказа 17 проводятся на этапе УТОЧНЕНИЯ, который следует ПОСЛЕ этапа адаптации. Результатом этапа уточнения станет уточненный адаптированный базовый набор мер.
При этом (здесь внимательно!!!) согласно п.22 Приказа 17 четко сформулирована необходимость реализации как минимум базового адаптированного набора мер (про уточненного ни слова). Базовый адаптированный набор формируется ДО учета актуальных угроз. А это, исходя из текста документа, означает только одно - неактуальные угрозы не могут служить основанием для исключения мер, которые надо реализовывать.
Михаил, посмотри на это с другой точки зрения. Почему может быть неактуальна угроза? Нарушитель не хочет ее реализовывать или он не может ее реализовывать. Вопрос мотивации оставим в стороне пока и посмотрим на "не может". Почему не может? Структурно-функциональные характеристики ИС таковы. Например, у тебя может не быть атак в изолированном индустриальном сегменте, не подключенном к корпоративной сети, и находящемся в 500 км от ближайшего жилья. В данном примере угроза неактуальна именно из-за характеристик ИС. А это этап адаптации. И так почти с каждой угрозой.
Еще пример. Актуальны ли атаки на уязвимости в Винде? В общем случае да. Но если особенности ИС таковы, что я использую регулярный анализ защищенности + управление патчами + МСЭ, у меня особенности таковы, что и угроза неактуальна и СОВ мне не нужны
Алексей, а МСЭ прошедший оценку соответствия или какой под руку попался? :)
Алексей, смотреть можно с другой точки зрения, с третьей, четвертой и т.д. Но в приказах остается пункт, о котором написал Михаил: угрозы мы начинаем учитывать на этапе уточнения, а все, что попало в состав мер ДО него, подлежит реализации и не не может быть исключено.
Регулятору-то что говорить? Ссылаться на Вас?
Евгений: только прошедший оценку соответствия. Других быть не может. Вопрос только в форме оценки соответствия
Александр, вы прочитайте, что я написал. Большинство угроз неактуально именно по причине структурных характеристики ИС
Подобными вопросами я задался сразу после выхода МД. "Меры защиты информации в ГИС". Там между прочим очень подробно расписан процесс выбора мер защиты. И есть очень любопытный абзац:
"Исходными данными при уточнении адаптированного базового набора мер защиты информации являются перечень угроз безопасности информации и их характеристики (потенциал, оснащенность, мотивация), включенные в модель угроз безопасности информации.
При уточнении адаптированного базового набора мер защиты информации для каждой угрозы безопасности информации, включенной в модель угроз, сопоставляется мера защиты информации из адаптированного базового набора мер защиты информации, обеспечивающая блокирование этой угрозы безопасности или снижающая вероятность ее реализации исходя из условий функционирования информационной системы."
Проработав все угрозы и сопоставив их с мерами я увидел что остались меры защиты входящие в состав базового набора мер защиты информации для выбранного класса, но которые мне так и не удалось привязать к какой-то конкретной мере (например РСБ). Позвонил во ФСТЭК с вопросом: можно ли их не выполнять. На что получил ответ что их необходимо реализовать для усиления общей защищенности.
НА вопрос про отказ от мер защиты которые закрывают неактуальные угрозы ответили что их тоже необходимо реализовать для усиления общей защищенности.
Алексей,
Вы пишите "..модель угроз, которая будет строиться по методике, которую в скором времени опубликуют.."
Можно подробнее насчет этой методики, есть ли проект и как с ним ознакомиться?
Перед глазами сразу же встает картина : есть частная модель угроз, и все то многообразие мер защиты из 21 приказа. Сопоставив их, я вижу что мои угрозы нейтрализуются набором из 10-15 мер. Но позвольте, а что делать с остальными мерами? Следуя Вашей логики их можно исключить из адаптированного базового набора мер. Дальше у нас идет уточнение «абнм». На этом этапе мы проводим оценку возможности адаптированного базового набора мер защиты информации адекватно блокировать (нейтрализовать) все угрозы безопасности информации, включенные в модель угроз безопасности информации, или снизить вероятность их реализации исходя из условий функционирования информационной системы. В случае, если адаптированный базовый набор мер защиты информации не обеспечивает блокирование (нейтрализацию) всех угроз безопасности информации в него дополнительно включаются меры защиты информации…
Как то так.
Igor: скоро его выложат на сайте ФСТЭК
Сергей: если вы закрываете все 10-15 мерами, то и отлично. Вас никто не заставляет применять все 160+ мер.
Звонил сейчас в Московский ФСТЭК. Сказали что по 21 приказу такое возможно. А вот по 17 надо реализовывать бнм
Здравствуйте!
Вот здесь у Вас были интересные рассуждения по поводу отраслевых МУ: http://lukatsky.blogspot.ru/2013/06/8_13.html
Прошло 1,5 года, а ситуация, как я понимаю, не изменилась? Или были даны какие-то разъяснения? С точки зрения законодательства, насколько легитимны МУ, разработанные в организациях своими силами?
Увы...
Отправить комментарий