2 Ноября, 2010

Палка о двух началах, или еще раз о классификации ИСПДн

Алексей Волков
О классификации информационных систем персональных данных (ИСПДн) написано немало: целые статьи, сайты и форумы посвящены этой животрепещущей теме. При этом, подавляющее большинство рекомендаций сводится к уменьшению количества записей, обрабатываемых в ИСПДн, переводу ряда категорий ПДн в "бумажную" или дроблению одной "большой" ИСПДн на части. С выходом "Приказа 58" ФСТЭК с классификацией стало несколько проще, потому как особой разницы между требованиями к технической защите ИСПДн 2 и 3 класса в "Положениях о методах и способах..." не наблюдается, чего нельзя сказать о требованиях, предъявляемых к ИСПДн 1 класса: организация, обладающая такой ИСПДн, должна серьезно раскошелиться на ее защиту. При этом, весьма досадно осознавать, что если в твоей ИСПДн обрабатываются 99999 записей - то это К2, а если на обну больше - то К1. Автор этого блога, внимательно перечитав "Приказ Трех" от 13 февраля 2008 года N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных", понял, что, в принципе, существует и альтернативная модель классификации, о которой все почему-то говорят весьма неохотно или не говорят вообще. Свои рассуждения на эту тему я выношу на суд читателей. Итак, нам необходимо классифицировать некую гипотетическую ИСПДн, назначение которой - обработка персональных данных сотрудников некоего большого, территориально распределенного  учреждения. Поскольку мы легких путей не ищем, пусть эта ИСПДн будет "огромной": она обрабатывает большое количество записей (выше 100 тысяч), территориально распределена по всей России, и обрабатывает персональные данные 2 категории - то есть позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию. Спецкатегории в нашей ИСПДн не обрабатываются: не зря эти ПДн вынесены в ЗоПД в отдельный раздел - они напрямую пересекаются с Конституцией, дающей право на тайну частной жизни, поэтому их наличие автоматически переводит любую систему в класс К1.  Прежде всего, что нам необходимо сделать согласно Приказа - собрать исходные данные об ИСПДн. К их числу относятся: Категория обрабатываемых в информационной системе персональных данных Хпд = 2;Объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе) Хнпд = 1; Структура информационной системы - распределенная;Наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена - есть;Режим обработки персональных данных - многопользовательский;Режим разграничения прав доступа пользователей информационной системы - с разграничением прав доступа;Местонахождение технических средств информационной системы - в пределах Российской Федерации.Кроме того, для нашей ИСПДн, помимо конфиденциальности, необходимо обеспечить и другие характеристики безопасности, например, целостность и доступность, а значит, наша ИСПДн носит гордое название СПЕЦИАЛЬНАЯ. Вроде, все характеристики собраны - давайте посмотрим, ради чего мы потратили наше время. Приказ предполагает классификацию ИСПДн на основе оценки возможного ущерба субъектам ПДн, чьи данные в ней обрабатываются: чем выше возможный ущерб - тем выше класс и, соответственно, тем выше должны предъявляться требования к технической защите. Пункт 14 Приказа говорит о 4 классах: отсутствие негативных последствий (4 класс), незначительные негативные последствия (3 класс), негативные последствия (2 класс) и значительные негативные последствия (1 класс). Присвоение того или иного класса ИСПДн, согласно того же пункта, осуществляется по результатам анализа исходных данных. Что ж, подход вполне справедливый. Однако внимательное прочтение 14 пункта Приказа повергает в некоторое смятение: оказывается, такая классификация предусмотрена ДЛЯ ТИПОВЫХ ИСПДн: дословно - "По результатам анализа исходных данных типовой информационной системеприсваивается один из следующих классов...", и дальше идет перечисление. Стоп, но у нас же специальная ИСПДн - исходя из буквы закона (Приказ зарегистрирован в Минюсте и, стало быть, имеет юридическую силу), пункт 14 ее не касается, и значит - должна быть какая-то другая классификация? В еще более глубокое смятение повергает пункт 15, фактически нивелирующий глубокий смысл 14 пункта относительно "анализа исходных данных". Пресловутая "табличка", которая позволяет оценить класс типовой ИСПДн, фактически оперирует всего лишь двумя ее характеристиками - Хпд и Хпнд. Про остальные исходные данные ИСПДн можно просто забыть! Позвольте, но зачем же тогда мы их собирали? Будь наша ИСПДн типовой, то, согласно этой табличке, она попала бы в К1, однако наша ИСПДн - специальная, и табличку эту, равно как и весь пункт 15, мы можем просто не принимать во внимание. Что же делать? Ответ на эти два вопроса кроется в пункте 16, который, согласно букве закона, заложенной в алгоритме классификации, нужно смотреть после пункта 13 (не взирая на пункты 14 и 15), говорит нам о том, что класс СПЕЦИАЛЬНОЙ ИСПДн определяется на основании исходных данных, собранных в соответствии с данным Приказом, и на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с п. 2 ПП 781 - а это ни что иное, как "Базовая модель угроз..." и "Методика определения актуальных угроз..." - необязательные к исполнению остатки ФСТЭКовского четверокнижия. Поэтому, проанализировав исходные данные, состав обрабатываемых ПДн, определив структуру ИСПДн и технологические процессы, мы можем придти к обоснованному выводу, что НЕГАТИВНЫЕ последствия может нанести нарушение целостности и доступности сведений о табельном учете и финансовой информации, так как это приведет к несвоевременной (неполной, неправильной) выплате заработной платы субъекту. Реализация всех остальных угроз (включая нарушение конфиденциальности) приведут к НЕЗНАЧИТЕЛЬНЫМ НЕГАТИВНЫМ последствиям, потому как приняты (или будут приняты в дальнейшем в ходе создания системы защиты ИСПДн) достаточные технические меры защиты для их нейтрализации. Отразив эти сведения в модели угроз, специальная ИСПДн с указанными характеристиками может быть преспокойно классифицирована нами как К2! Таким образом, мы законно и справедливо имеем возможность классифицировать специальные ИСПДн вне зависимости от того, как классифицируются типовые. Я перерыл много нормативных документов, излазил много форумов и сайтов в поисках опровержения такой методики классификации - и не нашел ничего такого, что могло бы хоть как-то ее опровергнуть. Наконец, я решил обратиться в Роскомнадзор с разъяснениями, и вот какой ответ получил (с незначительными смысловыми правками): Составление модели угроз - компетенция ФСТЭК, нашей службе необходим от оператора только акт классификации. А уж к какому классу он отнес свою ИСПДн, дело оператора и ФСТЭК. Но, по логике, вроде бы теория имеет право на существование. Действительно, по специальным ИСПДн класс определяется на основании модели угроз и соответственно может быть изменен в сторону уменьшения или увеличения. Есть одно НО: по нашим сведениям, ФСТЭК трактует таким образом: можно класс повышать, а вот понижать ниже типовой нельзя. Надо им задавать вопросы. Что ж, резонно. Значит, у Роскомнадзора вопросов к классификации не будет, тем более, если модель угроз составляла организация, имеющая лицензию на ТЗКИ. У меня есть все основания полагать, что и у ФСТЭК в этом случае вопросы вряд ли возникнут - на мой взгляд, логика в изложенной методике имеется. Очень хотелось бы узнать мнение читателей блога - потому прошу Ваши комментарии, коллеги!
или введите имя

CAPTCHA
Sintiya
3 Декабря, 2010
Не могли бы вы прокомментировать данную фразу: "Составление модели угроз - компетенция ФСТЭК"? Насколько я знаю, моделью угроз занимается сам оператор ПДн.
0 |
3 Декабря, 2010
Могу. Оператор сам составляет модель угроз, но документ, описывающий правила его составления, разработан ФСТЭК, и проверяет правильность ее составления, соответственно, ФСТЭК.
0 |
Sintiya
3 Декабря, 2010
Да, это понятно. Спасибо! Но "правильность составления" - понятие растяжимое. Например, я в ЧМУ доказываю неактуальность угрозы по ПЭМИНу. Приходит проверка на соответствие требованиям ФЗ №152 и ставит мое доказательство под сомнение. И что делать?
0 |
3 Декабря, 2010
Дождаться, пока ФСТЭК выдаст предписание, и с этим предписанием - в суд, меряться с ними авторитетами. Обоснуете свое решение, привлеките кучу независимых экспертов - бояться не стоит. Наше дело - правое, мы победим!
0 |
Линкер
12 Декабря, 2010
Ребят, а здесь можно скачать софт бесплатно!
0 |
Александр
16 Февраля, 2011
"Реализация всех остальных угроз (включая нарушение конфиденциальности) приведут к НЕЗНАЧИТЕЛЬНЫМ НЕГАТИВНЫМ последствиям, потому как приняты (или будут приняты в дальнейшем в ходе создания системы защиты ИСПДн) достаточные технические меры защиты для их нейтрализации." Не уловил смысла: тут "величина ущерба от реализации угрозы" зависит от уровня защиты от угрозы... То есть, если клиент интернет-банка отлично защищен, но угрозу все-таки удалось реализовать, то причиненный ущерб будет незначительным чтоли?
0 |
16 Февраля, 2011
Если угрозу удалось реализовать, значит плохо защищен Вообще, МУ ФСТЭК и оценка рисков ИБ имеют мало общего. Вот один моментов: http://xpomob.blogspot.com/2011/02/blog-post_09.html А сколько таких...
0 |
А.Ю.Щеглов, НПП "Информационные технологии в бизнесе"
25 Февраля, 2011
Не вводите в заблуждение людей и читайте нормально документы! "...Таким образом, мы законно и справедливо имеем возможность классифицировать специальные ИСПДн вне зависимости от того, как классифицируются типовые...." Полная чушь! Сначала Вы определяетесь с характеристиками безопасности. Обеспечение конфиденциальности (защита от кражи ПДн)- основная характеристика подпадает под требования к типовой системы. Классифицируете. Кроме этого, для Вас критичным может быть нарушение целостности и доступности, что также может характеризоваться негативностью и классифицировано. Добавляете соответствующие требования на основании модели угроз. Ниже, чем заданный класс по конфиденциальности в итоге Вы никак не сможете получить. Что соответствует утверждению "ФСТЭК трактует таким образом: можно класс повышать, а вот понижать ниже типовой нельзя". Ваш посыл применим только для обезличенных ПДн, для которых обеспечение конфиденциальности не критично (не будет требований к типовой). Все же расписано, что Вы фантазируете - читайте документ!
0 |
7 Апреля, 2011
> Сначала Вы определяетесь с характеристиками безопасности. Обеспечение конфиденциальности (защита от кражи ПДн)- основная характеристика подпадает под требования к типовой системы. Классифицируете. Кроме этого, для Вас критичным может быть нарушение целостности и доступности, что также может характеризоваться негативностью и классифицировано. Добавляете соответствующие требования на основании модели угроз. В приказе трех как раз все четко - специальная=модель угроз. С чего вдруг я должен предварительную классификацию проводить? Где Вы вычитали такой порядок, стесняюсь спросить? Где он написан, в каком нормативно-правовом акте? Или Вы фантазируете? .
0 |
Евгений
7 Апреля, 2011
Не совсем понял возражения А.Ю.Щеглова? Читаем внимательно документ ( я так понимаю = ПОРЯДОК ПРОВЕДЕНИЯ КЛАССИФИКАЦИИ ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ) Пункты 4 - 13 определяют характеристики системы В пунктах 14 и 15 уже конкретно говорится про ТИПОВЫЕ информационные системы. И для специальной информационной системы эти пункты применять нельзя- четко же написано ТИПОВЫЕ (Мы, например, и рады были бы применить типовую классификацию - она нас устраивает, но считаем, что не имеем права)? В пункте 16 расплывчатая фраза, о том, что класс специальной информационной системы определяется на основе модели угроз в соответствии с методическими документами... Только не понятно где эти документы? Может подскажете, на основании каких методических документов можно определить класс специальной информационной системы ???
0 |
7 Апреля, 2011
Поглядите здесь http://anvolkov.blogspot.com/2011/03/blog-post_22.html там есть по этому поводу кое-что
0 |
А.Ю.Щеглов, НПП "Информационные технологии в бизнесе"
8 Апреля, 2011
Евгений, давайте по порядку. Во-первых, именно Вы, как оператор, отвечаете за реализованные решения, и именно Вы должны будете их обосновывать. Во-вторых, я не настаиваю что мне все (либо что-то) нравится в методике, предлагаемой в обсуждаемом документе. В-третьих. По существу. Чем характеризуется класс системы - тем, какой ущерб может нанести нарушение характеристики безопасности (нет негативных последствий, негативные последствия и т.д.). Посмотрите определение классов. Далее характеристики безопасности - их три: нарушение конфиденциальности, целостности, доступности. Типовая система - это только нарушение конфиденциальности (хищение ПДн). Посмотрите в документе. Специальная - это кроме нарушения конфиденциальности, еще и две остальные характеристики (в частном случае - обезличенные данные - это только нарушение целостности и доступности, т.к. для обезличенных хищение не приводит к негативным последствиям). Далее в документе определены все требования для типовой системы (т.е. только по характеристике нарушение конфиденциальности). Если для Вас критичны две другие характеристики - у Вас специальная система. С учетом негативности последствий (а именно они и определяют класс системы) классифицируете - получаете, например, по конфиденциальности класс 1, целостности и доступности - класс 3. Поскольку класс системы задается максимальным классом среди характеристик (если по одной характеристике негативные последствия, а по двум остальным их нет, то для системы в целом будут негативные последствия) - в итоге получаете специальная К1. К сожалению (или к счастью) классификация по целостности и доступности субъективна - формализованные требования в документе не определены. Для этого оператору предлагается строить модель угроз. Для чего строить модель угроз? Здесь противоречие. Для классификации в ней нет необходимости - класс определяется последствиями от нарушения характеристик безопасности (например, насколько критична модификация диагноза больного), а не способами их реализации (например, какие уязвимости и как могут быть использованы для модификации диагноза больного).Модель угроз Вам понадобится далее - для определения актуальных угроз и методов защиты по характеристикам целостность и доступность. По характеристике конфиденциальность методы защиты формализованы (прописаны) в документе.
0 |
8 Апреля, 2011
Вся Ваша стройная логическая цепочка - это лишь один из методов классификации специальной ИСПДн, НИГДЕ формально не закрепленный. > Для чего строить модель угроз? Здесь противоречие. Для классификации в ней нет необходимости Где противоречие? Смотрим п. 16. Классификация специальной - через модель угроз. Как это нет необходимости? > в документе определены все требования для типовой системы Какие требования? Требования для типовых ИС приведены в приказе 58. В обсуждаемом документе приведены КЛАССЫ для типовой ИС и метод их определения. Но у нас-то специальная. > формализованные требования в документе не определены. Для этого оператору предлагается строить модель угроз Если внимательно почитать МУ, то мы в ней отыщем угрозы нарушения и конфиденциальности, и целостности, и доступности. Следуя Вашей логике, в МУ угроз нарушения конфиденциальности быть вообще не должно, так как это все решается на этапе классификации типовой ИС. Повторю вопрос - где написано, что я должен специальную сначала классифицировать как типовую? В каком документе?
0 |
empated
21 Апреля, 2011
Пункт 14 Приказа говорит о 4 классах для !типовой! системы о количестве классов специальной не сказано нигде
0 |
Дмитрий
16 Сентября, 2011
Щеглов прав. ТИПОВАЯ и СПЕЦИАЛЬНАЯ это не вид ИСПДн в соответствии с которой проиходит классификация ИСПДн, а её характеристики безопасности ПД задаваемые операторами. (думаю поэтому Алексей придерживается своего мнения, я тоже так думал) Поэтому в любом случае изначально ИСПДн характеризуют при классификации как ТИПОВУЮ, а в дальнейшим если задают еще соответствующие требования то как СПЕЦИАЛЬНУЮ. Ну и соответственно пушут модель угроз в соответствии с требованиями. А в случае если вообще не требуется обеспечение конфиденциальности, а это может быть только при обработке персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (т.е. сделанные общедоступными субъектом персональных данных), а также при обезличенных ПД, то соответственно и к ИСПДн требований то нет. Ну а если оператор в этом случае задаст требования характеризующие ИСПДн как специальную, то пусть пишет себе на здоровье модель угроз. ))) Что касается ссылки Альберта - это нарушение наших с вами прав, нужно жаловаться. Моё быть может субъективное мнение.
0 |
Кеша
12 Октября, 2011
Дмитрий, тогда в обезличенной базе данных встаёт вопрос обеспечения целостности (в противном случае, зачем вообще она нужна?) Нужно ли защищать в этом случае?
0 |