среда, 22 мая 2013 г.

Риск-ориентированность в защите ПДн

Свершилось !

21-ый приказ ФСТЭК зарегистрирован и официально опубликован:

Думаю, что многие еще будут писать про этот приказ, Андрей Прозоров (тут и тут) и Сергей Борисов уже опубликовали свои первые комментарии. 

Еще до опубликования этого документа его активно анонсировали на разного рода конференциях, коллеги утверждали что теперь все "как лучших в домах Лондона", в смысле теперь все идет от оценки рисков и проч.  Давайте посмотрим так ли это.  Раскрутим цепочку начиная с текста закона. 

152-ФЗ "О персональных данных"

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке.... 
2. Обеспечение безопасности персональных данных достигается, в частности: ... 
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных; 
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных ...
Уже тут мы видим, что с одной стороны есть необходимость в определении угроз (что фактически является оценкой рисков), а с другой стороны нужно применить меры, необходимые для выполнения требований (т.е обязаловка). Идем дальше:

ПП № 1119 и 21-й приказ ФСТЭК

Постановление правительства № 1119 определяет систему уровней защищенности и требований по информационной безопасности, которые должны быть выполнены для каждого из уровней. 

Причем отнесение системы к тому или иному уровню определяется на основании того, какой тип угрозы актуален для данной системы. 

А вот 21-ый приказ по сути переопределяет требования, прописанные в ПП № 1119.  Кто бы что ни говорил, но это так. Скрыто, но так.   Давайте сравним что написано в этих документах для 4-го уровня защищенности.

ПП 1119:
13. Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
б) обеспечение сохранности носителей персональных данных;
в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Приказ ФСТЭК № 21. Защитные меры для 4-го уровня защищенности включают в себя:
Идентификация и аутентификация пользователей, являющихся работниками оператора  
Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами
... и еще 25 базовых мер. 


Что-то не сходится. Явно все эти меры излишни если задача просто выполнить требования, прописанные в ПП № 1119.  

Но ведь это еще не все.  21-ый приказ ФСТЭК предполагает не только набор требований, но и определенный алгоритм по их адаптации под конкретику защищаемой системы (алгоритм взять из блога Андрея Прозорова):
  • Шаг 2. Определение базового набора мер 

"Определение базового набора мер по обеспечению безопасности ПДн для установленного уровня защищенности ПДн в соответствии с базовыми наборами мер по обеспечению безопасности ПДн перечнем мер, приведенным в приложении к настоящему документу" .

  • Шаг 3. Адаптация набора мер 

"Адаптация базового набора мер по обеспечению безопасности ПДн с учетом структурно-функциональных характеристик информационной системы, информационных технологий, особенностей функционирования информационной системы (в том числе исключение из базового набора мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе оператора, или структурно-функциональными характеристиками, не свойственными информационной системе)."

  • Шаг 4. Уточнение перечня мер с учетом актуальных угроз
"Уточнение адаптированного базового набора мер по обеспечению безопасности ПДн с учетом не выбранных ранее мер, приведенных в приложении к настоящему документу, в результате чего определяются меры по обеспечению безопасности ПДн, направленных на нейтрализацию всех актуальных угроз безопасности ПДн для конкретной информационной системы. 
+"10.При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности ПДн , а также с учетом экономической целесообразности на этапах адаптации базвого набора мер и (или) уточнения адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности ПДн". 
+"13. При использовании в информационных системах новых информационных технологий и выявлении дополнительных угроз безопасности ПДн, для которых не определены меры обеспечения их безопасности, должны разрабатываться компенсирующие меры в соответствии с пунктом 10 настоящего документа."
  • Шаг 5. Дополнение требований 
"Дополнение уточненного адаптированного базового набора мер по обеспечению безопасности ПДн мерами, обеспечивающими выполнение требований к защите ПДн, установленными иными нормативными правовыми актами в области обеспечения безопасности ПДн и защиты информации."

Я специально выделил Шаг 4. Именно в рамках этого шага может потребоваться полноценная оценка рисков ИБ (моделирование угроз), НО ведь никто же не обязывает выполнять этот шаг. В самом простом случае вы можете сказать, что для системы актуальны только угрозы 3-го типа и их нейтрализация достигается путем реализации базового набора мер защиты, прописанного в 21-м приказе ФСТЭК.  Все. 

В сухом остатке имеем то, что нормы законодательства о персональных данных в настоящий момент позволяют идти двумя путями при обеспечении персональных данных:

Упрощенный режим 

1) Проводим простое моделирование угроз в ходе которого рассматриваем 3 типа угроз, определяем что актуальны только угрозы 3-го типа (моделируем только на уровне типов, не опускаясь в детализацию описаний угроз).

2) С учетом дополнительной информации относим систему к 3-му или 4-му уровню защищенности.

3) Выполняем базовый набор мер для соответствующего уровня защищенности (исключая те, которые не подходят под архитектурные особенности защищаемой системы).

Экспертный (расширенный) режим

1) Проводим полноценное моделирование угроз, рассматриваем все возможные негативные сценарии.  Для актуальных угроз определяем их тип. 

2) С учетом дополнительной информации относим систему к соответствующему уровню защищенности.

3) Реализуем набор защитных мер, состоящий из базовых адаптированных мер, указанных в 21-ом приказе ФСТЭК, а также дополнительных мер, необходимых для нейтрализации угроз, которые определены как актуальные в ходе моделирования угроз. 

Не знаю задумывали ли разработчики наличие двух сценариев действий или оно само так получилось. Хорошо это или плохо покажет время...  По сути такая модель с одной стороны подходит и тем, кто хочет выполнять только то, что требуют (подход от обязаловки), и тем, кто пытается строить реальную защиту с учетом актуальных рисков. 

P.S. И все бы хорошо, если бы не эта нестыковка между требованиями в ПП № 1119 и мерами защиты в приказе ФСТЭК № 21.

6 комментариев:

  1. Предлагаешь всякие корпоративные порталы, справочники сотрудников встроенные в электронную почту, электронной документооборот и другие системы защищать по полной программе для 4 уровня защищенности?

    Простой путь конечно есть, но потом он в большие сложности выйти может.

    ОтветитьУдалить
  2. Александр, по моему в рассуждениях о нестыковки с ПП1119, вкралась логическая ошибка. Идет подмена понятий. Попробую объяснить. 21-й приказ не переопределяет требования, а устанавливает состав и содержание огр-тех мер (п.1 приказа). ПП1119 устанавливает требования к защите ПДн. При этом, безопасность ПДн при их обработке в ИС обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, которая включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз (п.2 ПП1119). Это требование говорит о том. что актуальные угрозы в любом случае должны быть нейтрализованы. И еще, выбор СЗИ для СЗПДн осуществляется оператором в соответствии с нормативными правовыми актами, принятыми ФСБ и ФСТЭК (п.4 ПП1119), то есть читай 21-й приказ.

    Далее, в п. 12 ПП1119 говорится, что для ИСПДн 4-го уровня актуальны угрозы 3-го типа. Из этого следует, что именно эти угрозы должны нейтрализоваться СЗПДн орг-тех мерами.

    Далее в п. 13 ПП1119 дается перечень требований, которые должны быть выполнены для 4-го уровня (он перечислен в самом посте). Обращу внимание на подпункт (г), который выдвигает требование использовать СЗИ, прошедшие оценку соотвествия, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

    Следовательно, следуя п. 2 ПП1119, в состав СЗПДн для 4-го уровня должны быть включены орг-тех меры из 21-го приказа и при этом, если применяются не оргмеры, а СЗИ, то они должны пройти оценку соотвествия.

    Так что альтернативности сценариев я здесь не усматриваю...

    ОтветитьУдалить
  3. To vsv: Витиевато Сергей. Лично для меня представленная Вами логика не очевидна хотя и имеет право на существование.

    ОтветитьУдалить
  4. Раз уж вы тут собрались.
    Есть незатейливая ИСПДн с общедоступными данными - скажем, страничка 5го "А" средней школы. Она 4ого уровня, естественно.
    Чтобы не выполнять те или иные меры из 21 и 1119, нужно грамотно оформить неактуальность угроз. Т.е. сделать свою модель угроз. В 5 "А" классе.
    А иначе защищать по 21 и 1119. Опять же в 5 "А" классе.
    Я прав?

    ОтветитьУдалить
  5. Я не увидел из документов, что есть возможность за счет именно модели угроз убрать необходимость выполнения мер, прописанных в 21-ом приказе для соответствующего уровня. В документе говорится что убрать их можно либо если

    а) технологические особенности ИСПДн исключают необходимость / возможность применения того или иного СКЗИ. Ну к примеру если нет передачи данных (локальная ИСПДн) то и средства защиты канала не применяются.

    б) стоимость системы защиты значительно превышает размер ущерба - тогда применяем компенсационные меры, но тут конечно все еще очень туманно, думаю вокруг понятия что собой представляют "компенсирующие меры" будет масса копий сломано. По примеру этой же темы в стандарте PCI DSS обсуждения идут до сих пор.

    Так что прийдется выполнять все (или почти все) что написано в 21-ом.

    ОтветитьУдалить
  6. Извините, коллеги! Вы все тут пишите определение актуальности типа угроз в результате моделирования угроз (aka оценка рисков) можете скинуть пример как вы это делаете?

    ОтветитьУдалить