Как обосновывать "компенсирующие меры" по ПДн?

Как обосновывать "компенсирующие меры" по ПДн?
Как вы знаете, в Приказах ФСТЭК России №21 и №17 (а также в проекте требований по защите АСУ ТП) есть такое понятие как "компенсирующие меры". Они направлены на "нейтрализацию актуальных угроз безопасности" и применяются "при невозможности технической реализации отдельных выбранных мер по обеспечению безопасности".
Отрасль с удовольствием приняла возможность отказа от "неудобных" мер, но не все так просто...

Во-первых, все 3 документа определяют разный подход по выбору и обоснованию компенсирующих мер:

ПДн (Приказ 21)
ГосИС (Приказ 17)
АСУ ТП (проект)
п.10 При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных,
а также с учетом экономической целесообразностина этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализациюактуальных угроз безопасности персональных данных.
п.23 При невозможности реализации в информационной системе в рамках ее системы защиты информации отдельных выбранных мер защиты информации на этапах адаптации базового набора мер защиты информации или уточнения адаптированного базового набора мер защиты информации могут разрабатываться иные (компенсирующие) меры защиты информации, обеспечивающие адекватное блокирование (нейтрализацию)угроз безопасности информации.

п.23 При отсутствии возможности реализации отдельных мер защиты информации в автоматизированной системе управления или отдельных ее сегментах (устройствах) и (или) невозможности их применения к отдельным объектам и субъектам доступа, в том числе в следствии их негативного влияния на функциональную (технологическую) безопасность, на этапах адаптации базового набора мер защиты информации или уточнения адаптированного базового набора мер защиты информации разрабатываются иные (компенсирующие) меры защиты информации, обеспечивающие адекватное блокирование (нейтрализацию)угроз безопасности информации и необходимый уровень защищенности автоматизированной системы управления.
В качестве компенсирующих мер, в первую очередь, рассматриваются меры по обеспечению функциональной (технологической) безопасности и меры по обеспечению физической безопасности автоматизированной системы управления, поддерживающие необходимый уровень защищенности автоматизированной системы управления.
В этом случае в ходе разработки системы защиты персональных данных должно быть проведено обоснованиеприменения компенсирующих мер для обеспечения безопасности персональных данных.
В этом случае в ходе разработки системы защиты информации информационной системы должно быть проведено обоснованиеприменения компенсирующих мер защиты информации, а при аттестационных испытаниях оценена достаточность и адекватностьданных компенсирующих мер для блокирования (нейтрализации) угроз безопасности информации.
В этом случае в ходе разработки системы защиты автоматизированной системы управления должно быть проведено обоснование применения компенсирующих мер защиты информации, а при приемочных испытаниях оценена достаточность и адекватностьданных компенсирующих мер для блокирования (нейтрализации) угроз безопасности информации.
п.13. При использовании в информационных системах новых информационных технологий и выявлении дополнительных угроз безопасности персональных данных, для которых не определены меры обеспечения их безопасности, должны разрабатываться компенсирующие меры в соответствии с пунктом 10 настоящего документа.
п.28. При использовании в информационных системах новых информационных технологий и выявлении дополнительных угроз безопасности информации, для которых не определены меры защиты информации, должны разрабатываться компенсирующие меры в соответствии с пунктом 23 настоящих Требований.
п.27 При использовании в автоматизированных системах управления новых информационных технологий и выявлении дополнительных угроз безопасности информации, для которых не определены меры защиты информации, должны разрабатываться компенсирующие меры в соответствии с пунктом 23 настоящих Требований.

Например, при защите ПДн можно выбрать компенсирующие меры с учетом "экономической целесообразности", а для АСУ ТП их можно использовать, если меры из базового набора "негативно влияют на функциональную (технологическую) безопасность". Кстати, что-то типа "экономической целесообразности" есть и для ГосИС, но надо смотреть не Приказ 17, а методический документ "Меры защиты..." (п.2 д) применение компенсирующих мер защиты информации). В нем есть одна из причин выбора компенсирующих мер - "высокая стоимость". Но об этом ниже.

Есть различие еще и в обосновании выбора мер. Так для ГосИС необходимо еще и проводить оценку достаточности и адекватности мер при аттестационных испытаниях, а для АСУ ТП - оценку достаточности и адекватности при приемочных испытаниях.

Во-вторых, не совсем понятно, как проводить обоснование применения компенсирующих мер. Для персональных данных и АСУ ТП рекомендаций по этому поводу нет, но можно использовать положения из методического документа « Меры защиты информации в государственных информационных системах » (п.2 д.). 

Обратите внимание на возможные причины выборакомпенсирующих мер (по сравнению с базовым набором):
  • высокая стоимость;
  • отсутствие апробированных технических реализаций;
  • неприемлемо большие сроки реализации;
  • отсутствие компетенции для эксплуатации;
  • и другие. 

В этом же пункте есть и про содержание обоснования. Вот, что должно быть описано:
  1. Изложение причин исключения меры (мер) защиты информации
  2. Сопоставление исключаемой меры (мер) защиты информации с блокируемой (нейтрализуемой) угрозой (угрозами) безопасности информации
  3. Описание содержания компенсирующих мер защиты информации
  4. Сравнительный анализ компенсирующих мер защиты информации с исключаемыми мерами защиты информации
  5. Аргументация, что предлагаемые компенсирующие меры защиты информации обеспечивают адекватное блокирование (нейтрализацию) угроз безопасности информации
Ну, так стало чуть понятнее. Хотя жалко, что нет шаблона документа и примера его написания. Но об этом далее...

В-третьих, странно, что опять не учли международный опыт. Например, про выбор и обоснование компенсирующих мер можно посмотреть  PCI DSS 3.0  Приложение В "Компенсационные меры". В нем довольно толково написано про то, как их выбирать и использовать, а в Приложении С дается шаблон формы обоснования и приводится пример ее заполнения:


Состав информации заметно отличается от ФСТЭКовского, в PCI DSS делается упор на понимание меры защиты и контроле ее выполнения:
PCI DSS 3.0
ФСТЭК России
Наименование базовой меры
Наименование базовой меры
Ограничения, препятствующие выполнению требования
Изложение причин исключения меры (мер) защиты информации
-
Сопоставление исключаемой меры (мер) защиты информации с блокируемой (нейтрализуемой) угрозой (угрозами) безопасности информации
Цель исходного требования и компенсирующей меры
-
Дополнительный риск, связанный с невыполнением исходного требования
-
Определение компенсационных мер
Описание содержания компенсирующих мер защиты информации
-
Сравнительный анализ компенсирующих мер защиты информации с исключаемыми мерами защиты информации
-
Аргументация, что предлагаемые компенсирующие меры защиты информации обеспечивают адекватное блокирование (нейтрализацию) угроз безопасности информации
Описание того, как компенсационные меры были проверены и протестированы
-
Описание того, как контролируется процесс соблюдения компенсационной меры
-

На мой взгляд, подход PCI DSS чуть более продуманный, но для своих нужд я бы рекомендовал ориентироваться на оба.

---

Итого, рекомендации по выбору и обоснованию компенсирующих мер уже есть. Операторы ПДн и ГосИС уже вполне могут "играть" с итоговым перечнем мер защиты и обосновывать свой выбор  перед проверяющими. Удачи!


P.S. Еще можно посмотреть:

Alt text

Где кванты и ИИ становятся искусством?

На перекрестке науки и фантазии — наш канал

Подписаться

Andrey Prozorov

Информационная безопасность в России и мире