Уже достаточно давно обновился комплект подзаконных актов по защите ПДн (ПП 1119 и приказ ФСТЭК №21) а примеров выбора необходимых мер никто не решился опубликовать. Исправим этот недочет.
Возьмем для примера ИС “корпоративный справочник сотрудников” в котором обрабатываются общедоступные контактные ПДн сотрудников.
О проблеме защиты таких ИСПДн с учетом новых требований я уже писал ранее .
Такие ИС есть в каждой организации – внутренние web порталы, справочники сотрудников в Outlook, справочники сотрудников систем электронного документооборота, Microsoft AD и других корпоративных ИС, да просто справочник в Excelна общем сетевом диске.
Раньше мы защищали такие ИС используя стандартные меры ИБ, применяющиеся в Организации в целом, не связанные требованиями регулятора. Посмотрим как обстоит дело сейчас.
Первым делом мы определили и зафиксировали основные (не считая УЗ) и дополнительные характеристики ИС.
Данные характеристики мы будем использовать при моделировании угроз и определении уровня защищенности ИС.
Возникает вопрос – при моделировании угроз мы должны использовать информацию о возможном ущербе субъекту ПДн или Организации-оператору? Отвечу – законодательство требует учитывать ущерб субъекту ПДн, но по своему усмотрению мы можем учитывать и ущерб организации. В данном случае я рассматриваю только ущерб субъекту, чтобы определить минимально возможный набор мер.
Как видно из таблицы выше, ущерб субъекту нулевой. С сотрудника мы собираем согласие на общедоступность данных, приведенных в справочнике контактной информации. А ущерб субъекту ПДн от нарушения целостности или доступности данных отсутствует, так как ИС создается для обеспечения работы Организации и её производственных процессов.
Если делать экспертную модель угроз (не по РД ФСТЭК) то все угрозы ПДн в такой ИС будут неактуальными, ведь ущерб субъекту ПДн от реализации угроз отсутствует. К сожалению в ПП 1119 не предусмотрен вариант когда угрозы 1 и 2 и 3 типа неактуальны.
Если при определении актуальных угроз руководствоваться документом ФСТЭК «методика определения актуальности угроз…», то уровень исходной защищенности будет низкий. Y1=10. Показатель опасности угрозы – низкий (нулевого не определено). Получаем что при вероятности угрозы средний или высокий ( = 5 или 10) – угрозу будет актуальна. Но как увидим далее, особой разницы нет.
Изучив ещё раз приказ ФСТЭК №21 подробно, приходим к выводу, что существует только 3 варианта исключения мер ОБПДн из базового набора:
·
В случае, если мера связана с не используемыми технологиями или характеристиками не свойственными ИС
·
В случае невозможности технической реализации меры
·
Исходя из экономической целесообразности возможна заменена меры на другую меру
В нашем случае используемые технологии стандартны, а характеристики ИС, таковы, что большинство мер не может быть и исключено
С невозможностью технической реализации меры я не столкнулся.
Исходя из экономической целесообразности и с учетом того, что ущерб субъекту ПДн – нулевой, мы могли бы заменить все затратные меры на менее затратные. Но вопрос – на какие? Не заменишь же аутентификацию пользователей – регистрацией событий? Можно было бы заменить аутентификацию пользователей – контролем доступа сотрудников в здание и в помещение. Но у нас ведь ещё возможен удаленный доступ по сети. В общем, сходу подобрать существенно менее затратные альтернативы не удалось.
По ссылке привожу пример документа, в котором зафиксирован перечень мер (SoA) и определены варианты реализации данных мер.
Самый тонкий момент с оценкой соответствия СЗИ.
“4. Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.”
Эту фразу трактуют:
·
и как необходимость оценки соответствия всегда, когда мера используется для нейтрализации актуальных угроз
·
и как определение случаев когда оценка соответствия в рамках моделирования угроз (например в первой части МУ организация фиксирует что СЗИ, прошедшие оценку соответствия необходимо использовать в случаях актуальности угроз, опасность которых = “высокая”)
В нашем случае, как ни крути, получается что СЗИ, прошедшие оценку соответствия не требуются.