Процедура выбора мер по обеспечению безопасности ПДн (по SOISO)

Процедура выбора мер по обеспечению безопасности ПДн (по SOISO)
После выхода ПП1119 и появления проекта требований ФСТЭК (SOISO), меня периодически спрашивают: "Как поменяется процедура выбора и обоснования мер защиты ПДн?", "Каким образом меры выбирать сейчас, какая оптимальная последовательность шагов?". С учетом положений SOISO (финальная версия проекта документа), рекомендую ориентироваться на такую процедуру:
  • Шаг 0. Анализ и описание ИСПДн.
Определение границ, состава элементов и основных характеристик ИСПДн.
  • Шаг 1. Разработка модели угроз
Оценка вреда, который может быть причинен субъектам ПДн, определение перечня актуальных угроз и их тип (по ПП1119), оценка уровня защищенности ПДн. 
  • Шаг 2. Определение базового набора мер 
"Определение базового набора мер по обеспечению безопасности персональных данных в соответствии с перечнем мер, приведенным в приложении к настоящему документу (SOISO)для соответствующего уровня защищенности персональных данных."
  • Шаг 3. Адаптация набора мер 
"Адаптация базового набора мер по обеспечению безопасности персональных данных применительно к структурно-функциональным характеристикам информационной системы, информационным технологиям, особенностям функционирования информационной системы (в том числе предусматривающую исключение из базового набора мер по обеспечению безопасности персональных данных, мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе оператора, или структурно-функциональными характеристиками, не свойственными информационной системе)."
  • Шаг 4. Уточнение перечня мер с учетом актуальных угрох
"Уточнение адаптированного базового набора мер по обеспечению безопасности персональных с целью обеспечения защиты персональных данных от всех актуальных угроз безопасности персональных данных."
+"10.При невозможности (в том числе экономической) реализации отдельных выбранных мер по обеспечению безопасности персональных данных в рамках системы защиты персональных данных на этапах адаптации базового набора мер по обеспечению безопасности персональных данных и (или) уточнения адаптированного базового набора мер по обеспечению безопасности персональных могут разрабатываться иные (компенсирующие) меры, обеспечивающие нейтрализацию актуальных угроз безопасности персональных данных. 
+"14. При использовании в информационных системах новых информационных технологий и выявлении дополнительных угроз безопасности персональных данных, для которых не определены меры обеспечения их безопасности, должны разрабатываться компенсирующие меры в соответствии с пунктом 10 настоящего документа(SOISO)."
  • Шаг 5. Дополнение требований 
"Дополнение уточненного адаптированного базового набора мер по обеспечению безопасности персональных данных мерами, обеспечивающими выполнение требований к защите персональных данных, установленными иными нормативными правовыми актами в области защиты информации."

Но если мы ясно представляем тип актуальных угроз и уровень защищенности ПДн, то я бы рекомендовал шаги 2 и 3 делать до шага 1. При этом можно уже начинать разрабатывать документ " Положение о применимости базовых мер по обеспечению безопасности ПДн ", в котором для каждой базовой меры указывается каким образом она реализована или обоснование отказа от нее. 

P.S. Даже если в итоговой версии текст SOISO чуть поменяется, то общая логика и перечень шагов останутся такими же.




Дополнительно можете посмотреть:
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!

Andrey Prozorov

Информационная безопасность в России и мире