Оценка эффективности и Аттестация ИС. Связываем несвязываемое

Оценка эффективности и Аттестация ИС. Связываем несвязываемое
Как Вы помните, в Приказе 21 ФСТЭК России  есть интересное требование про оценку эффективности:
6. Оценка эффективности реализованных в рамках системы защиты ПДн мер по обеспечению безопасности ПДн проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 года.
Данное требование можно спутать с похожим из ПП1119 п.17 "контроль за выполнением требований", которое тоже "проводится не реже 1 раза в 3 года". В ПП1119 говориться скорее про привычный безопасникам аудит ИБ, где критериями аудита являются требования ПП1119. Все просто...

Ну, вернемся именно к оценке эффективности. Я, как человек воспитанный на ISO 27001 и аналогах, очень удивился, когда увидел данный термин в документе ФСТЭК России. Раньше его можно было встретить разве что в адаптированных ГОСТах 27й серии.
Вот например из ГОСТ 27001-2006: 
Переоценка (повторная оценка) информационной безопасности является частью стадии "Проверка" (мой комментарий: это про цикл PDCA), на которой должны быть предприняты регулярные анализы эффективности системы менеджмента информационной безопасности.
Ну, а сами рекомендации по измерению ИБ и оценке эффективности необходимо искать в ISO 27004 или его аналоге ГОСТ 27004.

Ну, я и решил, что ФСТЭК России идет дорогой "лучших мировых практик" и стремиться к повышению зрелости процессов ИБ . Как я ошибался... 

информационные системы, аттестованные (прошедшие оценку эффективности) по требованиям защиты информации 
Однако есть некоторое послабление:
При этом Составом и содержанием мер, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. № 21, форма оценки эффективности, а также форма и содержание документов, разрабатываемых по результатам (в процессе) оценки, не установлены.
Таким образом, решение по форме оценки эффективности и документов, разрабатываемых по результатам (в процессе) оценки эффективности, принимается оператором самостоятельно и (или) по соглашению с лицом, привлекаемым для проведения оценки эффективности реализованных мер по обеспечению безопасности ПДн.
Но 
В части государственных информационных систем, в которых обрабатываются ПДн, оценка эффективности принимаемых мер по обеспечению безопасности персональных данных проводится в рамках обязательной аттестации.

Итого: В понимании ФСТЭК России, аттестация ИС является оценкой эффективности. Но если ПДн обрабатываются не в государственных ИС (а точнее, не попадают под действие Приказа 17 ), то оценку эффективности можно провести в другой форме, выбираемой оператором самостоятельно. Т.е. можно попробовать пойти и по "классической схеме": считать метрики и KPI... 
ПДн Приказ17
Alt text
Комментарии для сайта Cackle

Andrey Prozorov

Информационная безопасность в России и мире