Security Lab

21 приказ ФСТЭК

21 приказ ФСТЭК
Ну вот, появился новый документ по персональным данным, и сразу же всё ИБ сообщество дружно начинает высказываться на тему «что такое хорошо и что такое плохо». Пожалуй, вставлю и я несколько слов.
Документ мне очень понравился и прежде всего вот чем:
  • наконец-то отменен 58 приказ, вводивший мутное положение о защите ПДн;
  • меры защиты перечислены и они достаточно конкретны;
  • модель угроз теперь всему голова и да здравствуют компенсационные меры;
  • можно широко трактовать оставшиеся референсные меры.
О последних я и хочу высказаться.
  1. Ограничение программной среды. Это и отбор админских прав и контроль за установленным ПО и запрет на установку неразрешенного ПО.
  2. Обеспечение доступности. При желании сюда можно отнести и бесперебойное питание, и отказоустойчивые кластеры, и даже непрерывность бизнеса.
  3. Защита среды виртуализации. Наконец то можно смело обосновывать, покупать и внедрять разные Veeam’ы и vGate’ы.
  4. Защита технических средств. Хорошо ложится банальная опечатка корпусов, раздача персоналу RFIDкарт.
  5. Выявление инцидентов. Прямо говорится про предупреждение инцидентов, а значит обучение персонала, оно же повышение осведомленности в вопросах ИБ.
  6. Управление конфигурациями. Оно же ChangeManagement. Сложная тема и очень мало кто ей серьезно занимается.
  7. А если этого всего мало, то для контроля защищенности Pentestсамое оно.
Единственное, что омрачает новое ПП это сертификации на классы защиты, на недекларированные возможности, но в п.4 говорится, что это не очень обязательно, т.к. «Меры по обеспечению безопасности персональных данных реализуются в том числепосредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных».
Вот и получается, какие такие угрозы безопасности я не могу парировать без сертифицированных СЗИ? Скорее всего, таких угроз будет не так уж и много. СКЗИ не в счет, т.к. это отдельная тема. А значит всё как обычно, пишем модель угроз, в которой показываем актуальность или неактуальность конкретных угроз безопасности и делаем вывод, что сертифицированные СЗИ не нужны.

ПДн Аналитика
Alt text

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!

Евгений Шауро

Блог специалиста по информационной безопасности