24 Сентября, 2012

Новые проекты Постановлений Правительства по персданным. Твердая четверка!

Алексей Лукацкий
Итак, в выходные ФСБ выложила у себя на сайте новые редакции проектов Постановлений Правительства по уровням защищенности и по требованиям безопасности ПДн. Алексей Волков уже высказался у себя по их поводу. Однако я не согласен с его выводами о том, что второй блин комом. Как раз нет. Да, основные претензии в части отсутствия учета видов деятельности и ущерба остаются, но по-моему мало кто уже надеется, что это будет устранено. Поэтому будем исходить из того, что есть.

По сравнению с предыдущим вариантом проекта Постановления текст документа по уровням защищенности претерпел серьезные изменения. Во-первых, он ввел 5 классов ИСПДн, до боли напоминающих классификацию СТО БР ИББС - ИСПДн-И, ИСПДн-С, ИСПДн-Б, ИСПДн-О и ИСПДн, обрабатывающие ПДн только собственных сотрудников оператора ПДн. Правда, деление на специальные и типовые системы отсутствует (и это облегчает классификацию).

Тут хочу обратить внимание на ряд нюансов:
  • Если ПДн сделаны общедоступными самим субъектом, то они попадут не в ИСПДн-О, как это было бы логичным, а в ИСПДн-И, т.к. в проекте Постановления определение общедоступности отличается от того, что есть в ФЗ-152.
  • Если обрабатываются ПДн сотрудников не юрлица, а ИП, то они не могут быть отнесены к ИСПДн 5-го класса. Как, собственно, и ПДн лиц на аутстаффинге.
  • Если обрабатываются данные о судимости, то они попадут не в ИСПДн-С, как это было бы логичным, а в ИСПДн-И. Иными словами, уровень защищенности сведений о судимости будет гораздо ниже, чем уровень защищенности иных специальных категорий ПДн.
Дальше оператор должен самостоятельно осуществить определение актуальных угроз. Никаких методик ФСТЭК или ФСБ, как это предполагалось раньше. А это уже серьезная подвижка и возможность создать хорошую модель угроз (у меня и курс есть ;-). У Алексея опасения вызвала привязка к НДВ. Но для тех случаев, когда закладок в ПО нет и существует третий тип угроз. И таких угроз будет большинство, т.к. я с трудом могу себе представить, что кому-то захочется узнать ПДн через специально внесенные закладки? Мы говорим не гостайне и не о КВО. Поэтому можно спокойно закрыть глаза на угрозы 1-го и 2-го типов и ограничиться только 3-м.
    Ну а дальше все просто. Исходя из класса ИСПДн и типа актуальных угроз определяется уровень защищенности. У Сергея Борисова приведена хорошая сводная табличка по ним. Могу предсказать, что у большинства операторов ПДн будут либо 4-й, либо 3-й уровни защищенности. 2-й возможен только в случае обработки ПДн спецкатегорий по свыше 100000 субъектов (кстати, а что если субъектов ровно 100000?). Не буду опять поднимать вопрос о том, почему водораздел проходит по этому числу, с этим уже ничего не поделаешь. Иными словами, на 2-й уровень попадут, в-основном, страховые компании, обрабатывающие сведения о здоровье. А больше не смог никого найти, кто бы обрабатывал такое количество ПДн спецкатегорий. Ну если только банки, "злоупотребляющие" ипотечными кредитами.

    Теперь обратимся к документу по требованиям . Во-первых, убрали ПЭМИНовский раздел. Во-вторых, текст сделали более логичным и все требования связали с конкретными уровнями защищенности. Убрали и ряд иных одиозных или непонятных требований, присутствовавших как в предыдущем проекте, так и в 781-м Постановлении Правительства. Правда, появились и новые далеко не самые умные требования. Например, контролируемая зона начиная с 4-го уровня защищенности. Эта зона исключает возможность неконтролируемого проникновения или пребывания посторонних лиц. А теперь попробуйте транслировать это требование на работу с мобильными устройствами за пределами офиса (офисов) оператора ПДн? Не получится, как бы вы не старались. Вообще, мобильный доступ, о котором так часто говорят руководители государства будут вне закона. Например, не так давно прошла новость об оснащении отечественных полицейских планшетниками. А по проекту Постановления это будет сделать уже невозможно - ну какая на улице контролируемая зона?

    Дальше вообще бомба. Требование оценки соответствия средств защиты информации появляется только на 2-м уровне защищенности. Из этого я могу сделать вывод, что на 3-м и 4-м такой оценки соответствия не требуется. Только за одно это можно пожать руку авторам (пожму, когда увижу). Ну а 1-й уровень защищенности отличается требованием наличия подразделения по зищате информации (на 3-м уровне было требование наличие только сотрудника, ответственного за защиту).

    Ну и последний пункт - про контроль выполнения требований. Тут, как и в ПП-584 по НПС, контроль осуществляет либо оператор ПДн самостоятельно, либо привлекаемый им лицензиат ФСТЭК.

    В целом я хочу отметить, что оба проекта мне нравятся гораздо больше предыдущего варианта. Они не только более стройны и логичны, но и менее обременительны для операторов ПДн. Недовольство Алексея Волкова я разделить не могу. Те, шероховатости, которые есть, легко устранимы. Единственное, что пока вызывает вопрос - контролируемая зона для 4-го уровня защищенности. Учитывая современные технологии, я бы вообще убрал этот пункт и вынес бы его на уровень нормативных документов ФСТЭК и ФСБ. Ну а если так уж хочется оставить его в Постановлении Правительства, то я бы эту зону требовал, начиная со второго уровня защищенности, не раньше, а то и с 1-го.
    или введите имя

    CAPTCHA
    24 Сентября, 2012
    :)
    Алексей, Вы недооцениваете Банки будет явно больше 100000, даже в среднем, я уж не говорю о Сбербанке, ВТБ, Тинькове.
    0 |
    • Поделиться
    • Ссылка