Свершилось !
21-ый приказ ФСТЭК зарегистрирован и официально опубликован:
Думаю, что многие еще будут писать про этот приказ, Андрей Прозоров (
тут и
тут) и
Сергей Борисов уже опубликовали свои первые комментарии.
Еще до опубликования этого документа его активно анонсировали на разного рода конференциях, коллеги утверждали что теперь все "как лучших в домах Лондона", в смысле теперь все идет от оценки рисков и проч. Давайте посмотрим так ли это. Раскрутим цепочку начиная с текста закона.
152-ФЗ "О персональных данных"
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке....
2. Обеспечение безопасности персональных данных достигается, в частности: ...
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных ...
Уже тут мы видим, что с одной стороны есть необходимость в определении угроз (что фактически является оценкой рисков), а с другой стороны нужно применить меры, необходимые для выполнения требований (т.е обязаловка). Идем дальше:
ПП № 1119 и 21-й приказ ФСТЭК
Постановление правительства № 1119 определяет систему уровней защищенности и требований по информационной безопасности, которые должны быть выполнены для каждого из уровней.
Причем отнесение системы к тому или иному уровню определяется на основании того, какой тип угрозы актуален для данной системы.
А вот 21-ый приказ по сути переопределяет требования, прописанные в ПП № 1119. Кто бы что ни говорил, но это так. Скрыто, но так. Давайте сравним что написано в этих документах для 4-го уровня защищенности.
ПП 1119:
13. Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
б) обеспечение сохранности носителей персональных данных;
в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Приказ ФСТЭК № 21. Защитные меры для 4-го уровня защищенности включают в себя:
Идентификация и аутентификация пользователей, являющихся работниками
оператора
Управление (фильтрация, маршрутизация,
контроль соединений, однонаправленная передача
и иные способы управления) информационными
потоками между устройствами, сегментами
информационной системы, а также между
информационными системами
... и еще 25 базовых мер.
Что-то не сходится. Явно все эти меры излишни если задача просто выполнить требования, прописанные в ПП № 1119.
Но ведь это еще не все. 21-ый приказ ФСТЭК предполагает не только набор требований, но и определенный алгоритм по их адаптации под конкретику защищаемой системы (алгоритм взять из блога Андрея Прозорова):
- Шаг 2. Определение базового набора мер
"Определение базового набора мер по обеспечению безопасности ПДн для установленного уровня
защищенности ПДн в соответствии с базовыми наборами мер по обеспечению
безопасности ПДн перечнем мер, приведенным в приложении к настоящему
документу" .
- Шаг 3. Адаптация набора мер
"Адаптация базового набора мер по
обеспечению безопасности ПДн с учетом структурно-функциональных
характеристик информационной системы, информационных технологий,
особенностей функционирования информационной системы (в том числе
исключение из базового набора мер, непосредственно связанных с
информационными технологиями, не используемыми в информационной системе
оператора, или структурно-функциональными характеристиками, не
свойственными информационной системе)."
- Шаг 4. Уточнение перечня мер с учетом актуальных угроз
"Уточнение адаптированного
базового набора мер по обеспечению безопасности ПДн с учетом не
выбранных ранее мер, приведенных в приложении к настоящему документу, в
результате чего определяются меры по обеспечению безопасности ПДн, направленных на нейтрализацию всех актуальных угроз безопасности ПДн для конкретной информационной системы.
+"10.При невозможности
технической реализации отдельных выбранных мер по обеспечению
безопасности ПДн , а также с учетом экономической целесообразности на
этапах адаптации базвого набора мер и (или) уточнения адаптированного
базового набора мер могут разрабатываться иные (компенсирующие) меры,
направленные на нейтрализацию актуальных угроз безопасности ПДн".
+"13. При использовании в информационных системах новых
информационных технологий и выявлении дополнительных угроз безопасности
ПДн, для которых не определены меры обеспечения их безопасности, должны
разрабатываться компенсирующие меры в соответствии с пунктом 10
настоящего документа."
- Шаг 5. Дополнение требований
"Дополнение уточненного
адаптированного базового набора мер по обеспечению безопасности ПДн
мерами, обеспечивающими выполнение требований к защите ПДн,
установленными иными нормативными правовыми актами в области обеспечения
безопасности ПДн и защиты информации."
Я специально выделил Шаг 4. Именно в рамках этого шага может потребоваться полноценная оценка рисков ИБ (моделирование угроз), НО ведь никто же не обязывает выполнять этот шаг. В самом простом случае вы можете сказать, что для системы актуальны только угрозы 3-го типа и их нейтрализация достигается путем реализации базового набора мер защиты, прописанного в 21-м приказе ФСТЭК. Все.
В сухом остатке имеем то, что нормы законодательства о персональных данных в настоящий момент позволяют идти двумя путями при обеспечении персональных данных:
Упрощенный режим
1) Проводим простое моделирование угроз в ходе которого рассматриваем 3 типа угроз, определяем что актуальны только угрозы 3-го типа (моделируем только на уровне типов, не опускаясь в детализацию описаний угроз).
2) С учетом дополнительной информации относим систему к 3-му или 4-му уровню защищенности.
3) Выполняем базовый набор мер для соответствующего уровня защищенности (исключая те, которые не подходят под архитектурные особенности защищаемой системы).
Экспертный (расширенный) режим
1) Проводим полноценное моделирование угроз, рассматриваем все возможные негативные сценарии. Для актуальных угроз определяем их тип.
2) С учетом дополнительной информации относим систему к соответствующему уровню защищенности.
3) Реализуем набор защитных мер, состоящий из базовых адаптированных мер, указанных в 21-ом приказе ФСТЭК, а также дополнительных мер, необходимых для нейтрализации угроз, которые определены как актуальные в ходе моделирования угроз.
Не знаю задумывали ли разработчики наличие двух сценариев действий или оно само так получилось. Хорошо это или плохо покажет время... По сути такая модель с одной стороны подходит и тем, кто хочет выполнять только то, что требуют (подход от обязаловки), и тем, кто пытается строить реальную защиту с учетом актуальных рисков.
P.S. И все бы хорошо, если бы не эта нестыковка между требованиями в ПП № 1119 и мерами защиты в приказе ФСТЭК № 21.