СЗПДн. Анализ. Выбор мер защиты

СЗПДн. Анализ. Выбор мер защиты
Последний год в комментариях про последние документы ФСТЭК: приказы №17, 21, 31 регулярно встречаю фразы про невиданный ранее прорыв в требованиях регуляторов, про полную свободу выбора мер защиты Заказчиком.

Соглашусь с тем что есть прорыв – появился типовой каталог мер, сами меры сформулированы достаточно гибко, что позволяет при их реализации использовать почти всё что угодно. Но есть в документах ФСТЭК и моменты определенные достаточно жестко и не подразумевающие двойного толкования. Один из них – порядок выбора мер защиты. Определен порядок и действия которые необходимо выполнить на каждом этапе.



В этом порядке исключение мер базового набора возможно только на этапе “адаптации”..
“в том числе исключение из базового набора мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе”

Если кто-то видит в этом свободу, то я не вижу. Применяемые технологии и структурно-функциональные характеристики однозначно определяются на этапе обследования ИСПДн и далее лишние меры “автоматически” исключаются.

Например,характеристики ИСПДн:
·        Типы пользователей ИС: работники и внешние пользователи
·        Уровни ИС, на которых выполняется управление доступом: ОС, сервис терминалов, приложение, СУБД
·        Структура ИС: распределенная информационная система.
·        Наличие подключений к ССОП и СМИО (Интернет): имеются подключения к сети Интернет
·        Режим обработки ПДн: многопользовательский.
·        Разграничение доступа пользователей: С разграничением прав доступа.
·        Место нахождения технических средств: все сервера ИС находятся в пределах РФ.
·        Применение виртуализации АРМ или серверов ИС: да
·        Применение мобильных устройств при работе с ИС: нет
·        Применение беспроводного доступа при работе с ИС: да

Из не применения мобильных устройств однозначно следует что мера УПД.15 исключается. Свободы выбора я тут не вижу. Скорее просто логика – нельзя защищать то, чего нет.

Под свободой я понимаю либо возможность исключения мер защиты в соответствии с неактуальностью определенных угроз, либо просто возможность исключения “неподходящих” мер на усмотрение оператора. Но сейчас этого нет. А в “старом” приказе №58 такая возможность была
“2.2. В системе защиты персональных данных информационной системы в зависимости от класса информационной системы и исходя из угроз безопасности персональных данных, структуры информационной системы, наличия межсетевого взаимодействия и режимов обработки персональных данных с использованием соответствующих методов и способов защиты информации от несанкционированного доступа реализуются функции управления доступом, регистрации и учета, обеспечения целостности, анализа защищенности, обеспечения безопасного межсетевого взаимодействия и обнаружения вторжений.”

Так что в свободе выбора мы сделали только шаг назад. (учитывая компенсирующие меры - шажок небольшой)


Alt text
В пятом выпуске мы расскажем о кибератаках на Pfizer, SolarWinds, а также о масштабных хищениях с помощью изощренных взломов. Новый обзор в нашем Youtube канале!