Ну вот, появился новый документ по персональным данным, и сразу же всё ИБ сообщество дружно начинает высказываться на тему «что такое хорошо и что такое плохо». Пожалуй, вставлю и я несколько слов.
Документ мне очень понравился и прежде всего вот чем:
- наконец-то отменен 58 приказ, вводивший мутное положение о защите ПДн;
- меры защиты перечислены и они достаточно конкретны;
- модель угроз теперь всему голова и да здравствуют компенсационные меры;
- можно широко трактовать оставшиеся референсные меры.
О последних я и хочу высказаться.
- Ограничение программной среды. Это и отбор админских прав и контроль за установленным ПО и запрет на установку неразрешенного ПО.
- Обеспечение доступности. При желании сюда можно отнести и бесперебойное питание, и отказоустойчивые кластеры, и даже непрерывность бизнеса.
- Защита среды виртуализации. Наконец то можно смело обосновывать, покупать и внедрять разные Veeam’ы и vGate’ы.
- Защита технических средств. Хорошо ложится банальная опечатка корпусов, раздача персоналу RFIDкарт.
- Выявление инцидентов. Прямо говорится про предупреждение инцидентов, а значит обучение персонала, оно же повышение осведомленности в вопросах ИБ.
- Управление конфигурациями. Оно же ChangeManagement. Сложная тема и очень мало кто ей серьезно занимается.
- А если этого всего мало, то для контроля защищенности Pentestсамое оно.
Единственное, что омрачает новое ПП это сертификации на классы защиты, на недекларированные возможности, но в п.4 говорится, что это не очень обязательно, т.к. «Меры по обеспечению безопасности персональных данных реализуются в том числепосредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных».
Вот и получается, какие такие угрозы безопасности я не могу парировать без сертифицированных СЗИ? Скорее всего, таких угроз будет не так уж и много. СКЗИ не в счет, т.к. это отдельная тема. А значит всё как обычно, пишем модель угроз, в которой показываем актуальность или неактуальность конкретных угроз безопасности и делаем вывод, что сертифицированные СЗИ не нужны.