Моя пятничная заметка вызвала оживленную дискуссию в Twitter и Facebook на тему, можно ли отказываться от какой-либо защитной меры согласно приказу 17/21/31 при неактуальности угроз. Сергей Борисов даже пост на эту тему написал . Он считает, что в 21-м приказе отсутствует возможность исключения защитных мер только на основании неактуальности угроз, для которых эта мера предназначена. По причине отсутствия какой-либо информационной технологии можно, из-за определенных структурно-функциональных характеристик тоже можно, а вот по причине неактуальности угроз нельзя. Я с такой позицией несогласен и вот почему.
В 17-м приказе, в п.14.3 есть такой фрагмент "При определении угроз безопасности информации учитываются структурно-функциональные характеристики информационной системы... применяемые информационные технологии...". Далее, в п.14.4 говорится, что "Требования к системе защиты информации информационной системы определяются в зависимости от класса защищенности информационной системы и угроз безопасности информации". В 20-м пункте говорится, что "Организационные и технические меры защиты информации, реализуемые в информационной системе в рамках ее системы защиты информации, в зависимости от угроз безопасности информации, используемых информационных технологий и структурно-функциональных характеристик информационной системы должны обеспечивать...". Иными словами, ФСТЭК неоднократно указывает, что система защиты и ее наполнение мерами зависит от угроз и никак иначе.
31-й приказ построен на аналогичных вводных. В 8-м пункте говорится о том, что защита информации в АСУ ТП достигается путем принятия в рамках системы защиты АСУ "совокупности организационных и технических мер защиты информации, направленных на блокирование (нейтрализацию) угроз безопасности информации, реализация которых может привести к нарушению штатного режима функционирования...". В п.13.3 также говорится, что угрозы зависят от структурно-функциональных характеристик АСУ ТП. Пункт 13.4 гласит - "Требования к системе защиты... определяются в зависимости от класса защищенности... и угроз безопасности, включенных в модель угроз безопасности информации". Ну а 18-й пункт 31-го приказа почти дословно повторяет упомянутый выше 20-й пункт 17-го приказа.
Иными словами, ФСТЭК в двух своих приказах четко дает понять, что система защиты зависит от угроз и с неактуальными угрозами (которые не приводят к нарушению функционирования или ущербу) бороться не надо; в модель угроз неактуальные угрозы включать не надо.
Почему таких фраз нет в 21-м приказе? На самом деле все просто. Во-первых, в 21-м приказе это сказано, но другими словами. В частности, в п.3 говорится, что "меры по обеспечению безопасности персональных данных... должны быть направлены на нейтрализацию актуальных угроз безопасности персональных данных". 4-й пункт тоже упоминает только актуальные угрозы. И 8-й пункт тоже. 2-й пункт Постановления Правительств №1119 тоже, как ни странно, упоминает только актуальные угрозы, которые и должна нейтрализовывать система защиты.
А во-вторых, в 21-м приказе просто нет тех разделов по жизненному циклу системы защиты персональных данных, которые есть в 17-м и 31-м приказах. Нет их не из-за забывчивости, все-таки документы писали одни и те же люди. Причина проста - ФСТЭК, являясь уполномоченным органом по защите ГИС и АСУ ТП, для них установила требования по тому, как строить систему защиты; из каких этапов этот процесс должен состоять. А вот коммерческим операторам ПДн, на которых и распространяется 21-й приказ, ФСТЭК, не имея полномочий для их проверки, решила дать свободу в выборе того, как строить систему защиты. Поэтому, соблюдая общую идеологию, общий алгоритм выбора защитных мер, единый перечень защитных мер, в 21-м приказе не говорится (и теперь понятно, что может быть и зря), как это все объединить вместе.
Отсутствие этих разделов дает основание некоторым экспертами считать, что неактуальность угрозы не дает права на исключение соответствующей защитной меры. Собственно, мы опять возвращаемся к тому, о чем я уже как-то писал , - свобода выбора - это для многих зло. Слишком много степеней свободы появляется - у владельца защищаемой системы своя, у интегратора своя, у аттестационной лаборатории своя, у проверяющих от регуляторов своя. И даже если последние допускают (а это именно так) широкое толкование 17/21/31-го приказов, то вот остальные участники этого процесса пока не перестроились и постоянно рассчитывают на "а вдруг". А вдруг нельзя? А вдруг не согласуют? А вдруг накажут? А вдруг неправильно?...
Резюмируя, исключать защитные меры, опираясь на неактуальность угроз, возможно. Более того, модель угроз, которая будет строиться по методике, которую в скором времени опубликуют, будет включать только актуальные угрозы. А система защиты будет зависеть от модели угроз, т.е. списка угроз актуальных.
В 17-м приказе, в п.14.3 есть такой фрагмент "При определении угроз безопасности информации учитываются структурно-функциональные характеристики информационной системы... применяемые информационные технологии...". Далее, в п.14.4 говорится, что "Требования к системе защиты информации информационной системы определяются в зависимости от класса защищенности информационной системы и угроз безопасности информации". В 20-м пункте говорится, что "Организационные и технические меры защиты информации, реализуемые в информационной системе в рамках ее системы защиты информации, в зависимости от угроз безопасности информации, используемых информационных технологий и структурно-функциональных характеристик информационной системы должны обеспечивать...". Иными словами, ФСТЭК неоднократно указывает, что система защиты и ее наполнение мерами зависит от угроз и никак иначе.
31-й приказ построен на аналогичных вводных. В 8-м пункте говорится о том, что защита информации в АСУ ТП достигается путем принятия в рамках системы защиты АСУ "совокупности организационных и технических мер защиты информации, направленных на блокирование (нейтрализацию) угроз безопасности информации, реализация которых может привести к нарушению штатного режима функционирования...". В п.13.3 также говорится, что угрозы зависят от структурно-функциональных характеристик АСУ ТП. Пункт 13.4 гласит - "Требования к системе защиты... определяются в зависимости от класса защищенности... и угроз безопасности, включенных в модель угроз безопасности информации". Ну а 18-й пункт 31-го приказа почти дословно повторяет упомянутый выше 20-й пункт 17-го приказа.
Иными словами, ФСТЭК в двух своих приказах четко дает понять, что система защиты зависит от угроз и с неактуальными угрозами (которые не приводят к нарушению функционирования или ущербу) бороться не надо; в модель угроз неактуальные угрозы включать не надо.
Почему таких фраз нет в 21-м приказе? На самом деле все просто. Во-первых, в 21-м приказе это сказано, но другими словами. В частности, в п.3 говорится, что "меры по обеспечению безопасности персональных данных... должны быть направлены на нейтрализацию актуальных угроз безопасности персональных данных". 4-й пункт тоже упоминает только актуальные угрозы. И 8-й пункт тоже. 2-й пункт Постановления Правительств №1119 тоже, как ни странно, упоминает только актуальные угрозы, которые и должна нейтрализовывать система защиты.
А во-вторых, в 21-м приказе просто нет тех разделов по жизненному циклу системы защиты персональных данных, которые есть в 17-м и 31-м приказах. Нет их не из-за забывчивости, все-таки документы писали одни и те же люди. Причина проста - ФСТЭК, являясь уполномоченным органом по защите ГИС и АСУ ТП, для них установила требования по тому, как строить систему защиты; из каких этапов этот процесс должен состоять. А вот коммерческим операторам ПДн, на которых и распространяется 21-й приказ, ФСТЭК, не имея полномочий для их проверки, решила дать свободу в выборе того, как строить систему защиты. Поэтому, соблюдая общую идеологию, общий алгоритм выбора защитных мер, единый перечень защитных мер, в 21-м приказе не говорится (и теперь понятно, что может быть и зря), как это все объединить вместе.
Отсутствие этих разделов дает основание некоторым экспертами считать, что неактуальность угрозы не дает права на исключение соответствующей защитной меры. Собственно, мы опять возвращаемся к тому, о чем я уже как-то писал , - свобода выбора - это для многих зло. Слишком много степеней свободы появляется - у владельца защищаемой системы своя, у интегратора своя, у аттестационной лаборатории своя, у проверяющих от регуляторов своя. И даже если последние допускают (а это именно так) широкое толкование 17/21/31-го приказов, то вот остальные участники этого процесса пока не перестроились и постоянно рассчитывают на "а вдруг". А вдруг нельзя? А вдруг не согласуют? А вдруг накажут? А вдруг неправильно?...
Резюмируя, исключать защитные меры, опираясь на неактуальность угроз, возможно. Более того, модель угроз, которая будет строиться по методике, которую в скором времени опубликуют, будет включать только актуальные угрозы. А система защиты будет зависеть от модели угроз, т.е. списка угроз актуальных.