СЗПДн. Анализ. Приказ ФСТЭК №21

СЗПДн. Анализ. Приказ ФСТЭК №21
Как вы, наверное, уже заметили, Минюст зарегистрировал и опубликовал новый приказ ФСТЭК №21 от 18.02.2013 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".

Хотя я и участвовал в совершенствовании документа (SOISO), специально не хотел публиковать каких-то аналитических статей для широкого круга пользователей, потому что слишком уж в России быстро и сильно меняются конечные версии документов по сравнению с их проектами. И большая радость может неожиданно сменится на большую печаль.

Начнем пожалуй с порядка действий. Для наглядности процесс привожу в виде схемы, включая перечень мероприятий, необходимые данные и возможные результаты.



Ключевые для меня пункты документа, на которые обратил особое внимание:
  • Недостаточно четко сформулирован пункт 3, о необходимости применения средств защиты, прошедших в установленном порядке оценку соответствия. Пока считаю что во всех случаях, когда в качестве контрмеры для актуальной угрозы выбрано СЗИ, должно использоваться СЗИ прошедшее оценку соответствия.
  • В общем, в документе не говорится о необходимости применения именно сертифицированных СЗИ. Но неприятная фраза в конце пункта 8.12 требует 4 уровень контроля отсутствия НДВ для ИСПДн 1 и 2 уровня защищенности и ИСПДн, для которых актуальны угрозы 2-ого типа.
“Для обеспечения 1 и 2 уровней защищенности персональных данных, а также для обеспечения 3 уровня защищенности персональных данных в информационных системах, для которых к актуальным угрозам отнесены угрозы 2-ого типа, применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4-ому уровню контроля отсутствия недекларированных возможностей”
Других способов обеспечить 4 уровень контроля отсутствия НДВ кроме сертификации я нет, поэтому считаю, что для части систем сертификация требуется в явном виде.

Вообще моё мнение что эта игра с угрозами 1 и 2 типов (НДВ) была затеяна именно для того, чтобы протащить требования по сертификации на отсутствие НДВ. Для того, чтобы ФСТЭК Р и ФСБ Р получили доступ к исходным кодам иностранных СЗИ, либо те будут вытеснены.

А целая группа экспертов наивно предположила что речь идет о защите интересов операторов или субъектов и пытались разработать правильные меры.

  • В документе не говорится о том, необходимо ли применение данных требований для существующих ИСПДн и СЗПДн? Это ещё одна проблема и корупцигенный фактор. Операторы вынуждены или принимать регуляторные риски или переделывать уже принятые меры
  • В случае использования сертифицированных СЗИ, не определено на соответствие чему должны быть сертифицированы СЗИ отличные от СОВ, МЭ и САЗ? Например DLP. Как я понимаю можно сертифицировать на то что “просто работает”.

По сертификации получается следующая табличка (во всех случаях может использоваться и более высокий класс защиты, чем приведен)


PS: Думаю прямо сейчас разбирать конкретные меры смысла нет, а позже сделаю пример анализа для какой-нибудь простой ИСПДн.

PPS: Статьи коллег блогеров с анализом нового приказа ФСТЭК (буду пополнять):
Анализ СЗПДн ФСТЭК
Alt text

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!