Последний год в комментариях про последние документы ФСТЭК: приказы №17, 21, 31 регулярно встречаю фразы про невиданный ранее прорыв в требованиях регуляторов, про полную свободу выбора мер защиты Заказчиком.
У Алексея Лукацкого так про это каждая заметка с тегом: ФСТЭК.
Соглашусь с тем что есть прорыв – появился типовой каталог мер, сами меры сформулированы достаточно гибко, что позволяет при их реализации использовать почти всё что угодно. Но есть в документах ФСТЭК и моменты определенные достаточно жестко и не подразумевающие двойного толкования. Один из них – порядок выбора мер защиты. Определен порядок и действия которые необходимо выполнить на каждом этапе.
В этом порядке исключение мер базового набора возможно только на этапе “адаптации”..
“в том числе исключение из базового набора мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе”
Если кто-то видит в этом свободу, то я не вижу. Применяемые технологии и структурно-функциональные характеристики однозначно определяются на этапе обследования ИСПДн и далее лишние меры “автоматически” исключаются.
Например,характеристики ИСПДн:
·
Типы пользователей ИС: работники и внешние пользователи
·
Уровни ИС, на которых выполняется управление доступом: ОС, сервис терминалов, приложение, СУБД
·
Структура ИС: распределенная информационная система.
·
Наличие подключений к ССОП и СМИО (Интернет): имеются подключения к сети Интернет
·
Режим обработки ПДн: многопользовательский.
·
Разграничение доступа пользователей: С разграничением прав доступа.
·
Место нахождения технических средств: все сервера ИС находятся в пределах РФ.
·
Применение виртуализации АРМ или серверов ИС: да
·
Применение мобильных устройств при работе с ИС: нет
·
Применение беспроводного доступа при работе с ИС: да
Из не применения мобильных устройств однозначно следует что мера УПД.15 исключается. Свободы выбора я тут не вижу. Скорее просто логика – нельзя защищать то, чего нет.
Под свободой я понимаю либо возможность исключения мер защиты в соответствии с неактуальностью определенных угроз, либо просто возможность исключения “неподходящих” мер на усмотрение оператора. Но сейчас этого нет. А в “старом” приказе №58 такая возможность была
“2.2. В системе защиты персональных данных информационной системы в зависимости от класса информационной системы и исходя из угроз безопасности персональных данных, структуры информационной системы, наличия межсетевого взаимодействия и режимов обработки персональных данных с использованием соответствующих методов и способов защиты информации от несанкционированного доступа реализуются функции управления доступом, регистрации и учета, обеспечения целостности, анализа защищенности, обеспечения безопасного межсетевого взаимодействия и обнаружения вторжений.”
Так что в свободе выбора мы сделали только шаг назад. (учитывая компенсирующие меры - шажок небольшой)