21 приказ ФСТЭК

21 приказ ФСТЭК
Ну вот, появился новый документ по персональным данным, и сразу же всё ИБ сообщество дружно начинает высказываться на тему «что такое хорошо и что такое плохо». Пожалуй, вставлю и я несколько слов.
Документ мне очень понравился и прежде всего вот чем:
  • наконец-то отменен 58 приказ, вводивший мутное положение о защите ПДн;
  • меры защиты перечислены и они достаточно конкретны;
  • модель угроз теперь всему голова и да здравствуют компенсационные меры;
  • можно широко трактовать оставшиеся референсные меры.
О последних я и хочу высказаться.
  1. Ограничение программной среды. Это и отбор админских прав и контроль за установленным ПО и запрет на установку неразрешенного ПО.
  2. Обеспечение доступности. При желании сюда можно отнести и бесперебойное питание, и отказоустойчивые кластеры, и даже непрерывность бизнеса.
  3. Защита среды виртуализации. Наконец то можно смело обосновывать, покупать и внедрять разные Veeam’ы и vGate’ы.
  4. Защита технических средств. Хорошо ложится банальная опечатка корпусов, раздача персоналу RFIDкарт.
  5. Выявление инцидентов. Прямо говорится про предупреждение инцидентов, а значит обучение персонала, оно же повышение осведомленности в вопросах ИБ.
  6. Управление конфигурациями. Оно же ChangeManagement. Сложная тема и очень мало кто ей серьезно занимается.
  7. А если этого всего мало, то для контроля защищенности Pentestсамое оно.
Единственное, что омрачает новое ПП это сертификации на классы защиты, на недекларированные возможности, но в п.4 говорится, что это не очень обязательно, т.к. «Меры по обеспечению безопасности персональных данных реализуются в том числепосредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных».
Вот и получается, какие такие угрозы безопасности я не могу парировать без сертифицированных СЗИ? Скорее всего, таких угроз будет не так уж и много. СКЗИ не в счет, т.к. это отдельная тема. А значит всё как обычно, пишем модель угроз, в которой показываем актуальность или неактуальность конкретных угроз безопасности и делаем вывод, что сертифицированные СЗИ не нужны.

ПДн Аналитика
Alt text

Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!

Подписаться

Евгений Шауро

Блог специалиста по информационной безопасности