7 Декабря, 2012

Краткий обзор новых требований ФСТЭК по ПДн.

Andrey Prozorov
Сегодня, как это и было обещано , ФСТЭК России опубликовал проект требований по cоставу и содержанию организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн во исполнение ПП1119, про который я уже писал ранее .

На сайте ФСТЭК России появились:

В целом стало интереснее, да и документ ("состав и содержание...") стал "полнее" и "целостнее" и, я бы даже сказал, профессиональнее. Явных проблем и нестыковок практически нет, но посмотрим, что появится при более детальном анализе документа.
Теперь у нас есть время до 21.12.2012 подать свои рекомендации и замечания регулятору. Возможно мы сможем, что-то поправить... Как это сделать написал Алексей Волков , поэтому не буду повторяться.



Не могу не отметить, что данная версия проекта документа как-то уж очень сильно пестрит явно пролобированными требованиями. Например:
  • Привлекайте консультантов и интегратов (имеющих лицензии) и будет вам счастье: "п.4. Для проведения работ пообеспечению безопасности ПДн при их обработке в информационных системах операторами и (или) уполномоченными лицами в соответствии с законодательством РФ могут привлекаться организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации."
  • Все средства защиты должны быть сертифицированнми, другие формы оценки соответствия не подходят. Даже и не думайте "обойти" это положение: "п.5. Для обеспечения безопасности ПДн при их обработке в информационных системах применяются средства защиты информации, прошедшие в соответствии с законодательством РФ оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации."
  • Крайне рекомендуется проводить аттестацию ИСПДн:"из п.6 ... По решению оператора (уполномоченного лица) оценка достаточности выбранных и реализованных в системе защиты персональных данных организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах может осуществляться в рамках аттестации информационной системы."
Идем дальше. В документе существенно пересмотрен перечень мер защиты (хорошо, что с оговоркой "в зависимости от актуальных угроз"). Теперь он такой:
  • обеспечение доверенной загрузки;
  • идентификация и аутентификация субъектов доступа и объектов доступа;
  • управление доступом субъектов доступа к объектам доступа;
  • ограничение программной среды;
  • защита машинных носителей информации;
  • регистрация событий безопасности;
  • обеспечение целостности информационной системы и информации;
  • защита среды виртуализации;
  • защита технических средств;
  • защита информационной системы, ее средств и систем связи и передачи данных.


Удивляетесь отсутствию таких уже привычных средств, как АВЗ, IDS, средств анализа защищенности? Зря, они появляются дальше по тексту, когда каждый из пунктов детально раскрывает и появляются дополнительные требования.
Кстати, ФСТЭК явно начал смотреть на более современные технологии и методы обработки информации, чего стоит, например, п.11 "Меры по обеспечению безопасности ПДн выбираются и реализуются в СЗПДн применительно ко всем объектам и субъектам доступа на аппаратном, системном, прикладном и сетевом уровнях, а также в среде виртуализации и облачных технологий.". Это не может не радовать.

Дополнительно к определенным мерам в документе есть небольшой отсыл на взаимосвязь классов СЗИ с уровнями защищенности, которые определены в ПП 1119 , а также набор базовых мер защиты (довольно обширный перечень) для каждого уровня защищенности ПДн, обрабатываемых в информационной системе (отдельная табличка в Приложении).

Более подробно описывать меры и средства сейчас не вижу смысла. Будем ждать итоговый (согласованный и утвержденный) документ.


Итого:

  1. Складывается такое впечатление, что данный довольно большой перечень требований и мер определен только с одной целью: часть из них убрать после получения рекомендаций от экспертов, но основные "фишки" (механизмы для зарабатывания денег) оставить.
  2. Приведение в соответствие ИСПДн требованиям станет тяжелее, существующие СЗПДн придется пересматривать и дорабатывать. А если еще и штрафы за ПДн повысят ...
  3. Надо ждать итоговой версии документа и надеяться, что часть мер уберут/сделают не обязательными и новые не добавят. Экспертное сообщество (и я в их числе) отправит свои рекомендации, может к нашему мнению и прислушаются.
или введите имя

CAPTCHA