12 Декабря, 2012

Отправил замечания и рекомендации во ФСТЭК на новые требования по ПДн (от 07.12)

Andrey Prozorov
Сегодня отправил замечания и рекомендации на проект приказа ФСТЭК России «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 7 декабря 2012 г. № 240/22/4947. Про него я уже писал несколько постов про общие впечатления и таблицы с мерами .
К документу много замечаний. Итоговую оценку я бы поставил "3", документом в принципе пользоваться можно, но есть много ошибок и противоречий.
Основное замечание: перечень мер по обеспечению безопасности ПДн (и в тексте и в таблице) требует существенного пересмотра/доработки. В текущем виде он содержит много методологических ошибок (в том числе и при привязке мер к уровням защищенности), дублирование информации, двойственности формулировок и, как следствие, не пригоден для выбора мер и средств защиты ПДн.
Хорошей практикой при разработке документации (по ИБ и не только) является подход с постановкой себе следующих вопросы :
  • Какая цель документа (зачем я его разрабатываю, что хочу чтобы с ним делали, каково назначение документа)/
  • Кто является аудиторией/пользователем документа (кто будет читать документ и как часто)?
  • Понятны ли положения документа для его пользователя (отсутствуют ли двусмысленные фразы, используется ли понятная пользователю терминология, все ли положения логичны и представлены системно и последовательно)
  • Удобен ли документ для пользователя (есть ли необходимые ссылки и комментарии, актуален ли документ, кто отвечает за его пересмотр и доработку, насколько удобно искать информацию в документе и давать на нее ссылки)?
Данный подход, похоже, чужд составителям документа. Многие термины и формулировки сложны для восприятия, и при этом не несут серьезной смысловой нагрузки, а порой и вообще не корректны с точки зрения методологий защиты информации и управления информационными системами.

В документе много спорных моментов:
  1. Появление новых терминов без их пояснения и при наличии аналогов в верхнеуровневых документах (152-ФЗ, ПП1119). Это, например, "операторы информационных систем", "нейтрализация угроз", "оценка достаточности выбранных и реализованных в СЗПДн организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах для нейтрализации актуальных угроз безопасности ПДн", "аппаратный, системный, прикладной и сетевой уровни".
  2. Спорный вопрос о необходимости внедрения вообще каких-либо новых мер если мы не модернизируем ИСПДн и не создаем новым. Судите сами: "настоящий приказ применяется для обеспечения безопасности ПДн во вновь создаваемых (модернизируемых) ИСПДн" (см.текст приказа).
  3. Странное требование по нейтрализации угроз (тут я намекаю про 4 подхода к управлению рисками ИБ: уклонение, принятие, снижение, передача): "меры по обеспечению безопасности ПДн при их обработке в информационных системах должны обеспечивать нейтрализацию актуальных угроз безопасности ПДн". (см.п.3)
  4. Применение СЗИ "прошедших в соответствии с законодательством РФ оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации" (см.п.4).
  5. Рекомендации по проведению аттестации ИСПДн и фактическое ее приравнивание к "Оценке достаточности выбранных и реализованных в системе защиты персональных данных организационных и технических мер..." (см.п.6).
  6. Обязательство применения сертифицированных СЗИ 6 класса защиты для ИСПДн с 4 уровнем защищенности (см.п.12).
  7. Перечень и описание мер защиты (см.п.8 и таблица из приложения), но об этом ниже.
Хотя есть и положительные стороны:

  1. Упоминание виртуализации и облачных технологий (см.п.11 и п..
  2. Возможность привлечения к работам по обеспечению безопасности ПДн "организаций, имеющих лицензию на деятельность по технической защите конфиденциальной информации" (см.п.4).
  3. "Необязательность" аттестации ("по решению оператора") (см.п.6).
  4. Общее разделение мер на базовые и компенсирующие/дополнительные, а также их выбор "в зависимости от актуальных угроз безопасности ПДн и структурно-функциональных характеристик ИСПДн" (см.п..
  5. Некоторые меры вполне логичны и правильны. Например: УПД.1 Управление учетными записями пользователей, УПД.4Разделение обязанностей различных категорий пользователей и администраторов информационной системы, УПД.5 Назначение минимальных прав и привилегий субъектам доступа, УПД.10 Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу, УПД.14 Ограничение и контроль использования в информационной системе технологий беспроводного доступа, УПД.15 Ограничение и контроль использования в информационной системе мобильных технических средств (устройств, машинных носителей информации), ОПС.3 Запрет установки (инсталляции) запрещенного к использованию программного обеспечения и (или) его компонентов, в том числе средств разработки и отладки, ЗНИ.1 Маркировка и учет машинных носителей информации, ЗНИ.3 Контроль перемещения машинных носителей информации за пределы контролируемой зоны, ЗНИ.7 Контроль подключения машинных носителей информации, ЗНИ.8 Уничтожение (стирание) информации на машинных носителях, РСБ.1 Определение событий, относящихся к безопасности персональных данных, и подлежащих регистрации, РСБ.5 Запись (регистрация) информации о событиях, относящихся к безопасности персональных данных, ОЦЛ.1Выявление, анализ и устранение уязвимостей и иных недостатков в программном обеспечении, ОЦЛ.2 Контроль установки обновлений программного обеспечения, ОЦЛ.3 Антивирусная защита, ОЦЛ.4 Обнаружение вторжений, ОЦЛ.7 Контроль состава технических средств обработки информации и программного обеспечения, ОЦЛ.8 Обеспечение возможности восстановления информации и программного обеспечения, ОЦЛ.13 Прогнозирование и предотвращение возможных отказов технических средств, реагирование на отказы технических средств, ЗСВ.2Управление доступом к компонентам виртуальной инфраструктуры, ЗТС.1 Защиту информации от ее утечки по техническим каналам, ЗТС.2 Защита от несанкционированного физического доступа к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, ЗТС.3 Защита от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов), ЗИС.19 Создание (эмуляция) несуществующих (ложных) информационных систем или их компонентов, предназначенных для обнаружения, регистрации и анализа действий нарушителей по реализации угроз безопасности информации, ЗИС.25 Разбиение информационной системы на сегменты с учетом значимости обрабатываемой в них персональных данных и обеспечение защиты периметров сегментов информационной системы (сегментирование информационной системы)..
  6. Интересно появление новых типов СЗИ, отсутствующих раньше (в Приказе №58). Например:
  • ЗИС.4 Защита информационной системы от действий нарушителей, приводящих к затруднению или невозможности доступа пользователей к ресурсам этой информационной системы (защита от отказа в обслуживании).
  • ЗИС.19 Создание (эмуляция) несуществующих (ложных) информационных систем или их компонентов, предназначенных для обнаружения, регистрации и анализа действий нарушителей по реализации угроз безопасности информации.
    [/LIST]

    К сожалению, мер, требующих пересмотра и корректировки больше половины (я пометил 60 из 104).



    На данный момент в группах мер присутствуют меры разного уровня абстракции/детализации, например, ОЦЛ.3 "Антивирусная защита" и ОЦЛ.5 "Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации"; ИАФ.1 "Идентификация и аутентификация пользователей, процессов, иных субъектов доступа" и ИАФ.2 "Идентификация и аутентификация устройств (в том числе стационарных, мобильных и портативных), объектов файловой системы, запускаемых и исполняемых модулей, объектов систем управления базами данных, объектов, создаваемых прикладным программным обеспечением, иных объектов доступа". Чувствуете разницу?

    Некоторые меры ошибочны исключены из базовых для ИСПДн с 4 уровнем защищенности. Это с учетом того, что такими ИСПДн яляются системы, обрабатывающие ПДн сотрудников или менее 100 000 субъектов, не являющихся сотрудниками, и с актуальными угрозами 3 типа. А это, вероятно, большинство ИСПДн. Для них не являются базовыми следующие меры:

    [LIST]
  • УПД.4 Разделение обязанностей различных категорий пользователей и администраторов информационной системы.
  • УПД.5 Назначение минимальных прав и привилегий субъектам доступа.
  • УПД.10 Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу.
  • ОПС.2 Управление установкой (инсталляцией) компонентов программного обеспечения.
  • ОЦЛ.5 Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации.
  • ЗСВ.1 Аутентификация компонентов виртуальной инфраструктуры, администраторов управления средствами виртуализации, терминальных устройств виртуальной инфраструктуры.
  • ЗСВ.6 Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных.
  • ЗСВ.9 Резервное копирование данных, резервирование технических средств и (или) программного обеспечения виртуальной инфраструктуры, а также каналов связи виртуальной инфраструктуры.
  • ЗСВ.11 Реализация и управление антивирусной защитой и обнаружение вторжений, направленных на виртуальную инфраструктуру.
  • ЗИС.8 Прекращение сетевых соединений по их завершению или по истечении заданного оператором временного интервала неактивности сетевого соединения.
  • ЗИС.25 Разбиение информационной системы на сегменты с учетом значимости обрабатываемой в них персональных данных и обеспечение защиты периметров сегментов информационной системы (сегментирование информационной системы).



Многие меры, например, связанные с контролем доступа, требуют пересмотра (а также объединения и перегруппировки). Посмотрите, например, на эти: ИАФ.2 "Идентификация и аутентификация устройств (в том числе стационарных, мобильных и портативных), объектов файловой системы, запускаемых и исполняемых модулей, объектов систем управления базами данных, объектов, создаваемых прикладным программным обеспечением, иных объектов доступа" (перегружено и при этом пересекается с ИАФ.1 "Идентификация и аутентификация пользователей, процессов, иных субъектов доступа"), ИАФ.3 "Управление идентификаторами", ИАФ.4 "Управление средствами аутентификации", ИАФ.5 "Защита обратной связи при вводе аутентификационной информации", УПД.7 "Оповещение пользователя о доступе к информационной системе, в которой реализованы меры защиты информации, при его входе в информационную систему"и другие...
Много претензий к мерам из группы "Защита информационной системы, ее средств и систем связи и передачи данных" (ЗИС). Вот вообще "замечательные":
  • ЗИС.1 Отделение (физическое, логическое) функциональных возможностей по управлению (администрированию) информационной системы и (или) ее сегментов, устройств от функциональных возможностей пользователей по использованию информационной системы.
  • ЗИС.5 Предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом.
  • ЗИС.7 Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при их передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны.
  • ЗИС.11 Запрет несанкционированной удаленной активации, включая физическое отключение, периферийных устройств (видеокамер, микрофонов и иных устройств, которые могут активироваться удаленно) и оповещение пользователей об активации таких устройств.
  • ЗИС.14 Контроль использования и исключение несанкционированного использования технологий передачи речи, регистрация событий, связанных с использованием технологий передачи речи, их анализ и реагирование на нарушения, связанные с использованием технологий передачи речи.
  • ЗИС.18 Использование устройств, имеющих минимальные функциональные возможности и память для обработки и хранения персональных данных.
  • ЗИС.20 Использование при создании информационной системы различных типов общесистемного, прикладного и специального программного обеспечения.
  • ЗИС.21 Использование прикладного и специального программного обеспечения, функционирующего на различных типах операционных систем.


Таким образом, повторю основной тезис/замечание:
Основное замечание: перечень мер по обеспечению безопасности ПДн (и в тексте и в таблице) требует существенного пересмотра/доработки. В текущем виде он содержит много методологических ошибок (в том числе и при привязке мер к уровням защищенности), дублирование информации, двойственности формулировок и, как следствие, не пригоден для выбора мер и средств защиты ПДн.
Требуется пересмотреть как перечень мер, так и их группировку.


P.S. Кстати, риторический вопрос: "А сколько организационных мер Вы смогли найти в общем перечне мер из документа?"
или введите имя

CAPTCHA