ФСТЭК выпустил методические рекомендации по методическим рекомендациям
Одно из региональных управлений ФСТЭК выпустило "Методические рекомендации по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных". Иными словами это методичка как пользоваться методическими документами ФСТЭК, известными всем под названием "четверокнижие".
По сути своей этот 58-тистраничный документ представляет собой некоторые разъяснения по неосвещенным в четверокнижии моментам. Например, ФСТЭК прямо пишет, что "практически все ИСПДн являются специальными информационными системами, поскольку в соответствии с требованиями Постановления Правительства 781 должна быть обеспечена возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним. Таким образом, обеспечение целостности является обязательным условием, отличным от конфиденциальности". Аргументация, конечно, корявая, но вывод сделан правильный.
Однако несмотря на это, специальной ИСПДн все равно необходимо присвоить класс исходя из "Приказа трех". Т.е. специальная ИСПДн тоже классифицируется исходя из 4-х классов на основе объема и категории ПДн. Из других "интересных" рекомендаций:
Создание выделенного подразделения, единственная задача которого - защита ПДн.Модель угроз ни с кем согласовывать не надо (особенно с ФСТЭК).На основании модели угроз разрабатывается перечень защитных мероприятий. Ни слова про "Основные мероприятия". Т.е. как бы список разрабатывается самостоятельно. Но вот далее ниоткуда возникает требования опираться только на перечень защитных мер из "Основных мерпориятий". Связи я так и не нашел. Уничтожение ПДн с магнитных носителей должно осуществляться только средствами гарантированного уничтожения информации.Дана таблица соответствия классов и типов ИСПДн классам АС согласно РД ФСТЭК.Дана таблица соответствия классов и типов ИСПДн классам МСЭ согласно РД ФСТЭК.Интересно, что ссылки на нормативные документы ФСБ по защите ПДн даются не сайт ФСБ, не на сайт РКН, а на сайт Информзащиты и сайт www.iso27000.ru.Для ИСПДн 1-го и 2-го класса разрешается исключить из модели угроз утечки за счет ПЭМИН. Про остальные технические каналы утечки ни слова - защиту от акустики и видовых утечек обеспечивать все равно надо.Под декларированием ФСТЭК в нарушении ФЗ "О техническом регулировании" понимает просто издание оператором ПДн документа, объявляющего ИСПДн соответствующей требования безопасности. Напомню, что это требуется для ИСПДн 3-го класса.Аттестация проводится лицензиатом ФСТЭК. По идее любым, но при условии наличия у него спецаппаратуры, что есть далеко не у всех.В качестве средств защиты от НСД можно использовать ОС с сертификатом ФСТЭК.
Из очень полезных разделов этого документа могу назвать:
Содержание Положения по организации и порядку проведения работ по обеспечению безопасности ПДн при их обработке в ИСПДн.Списки и содержание документов, требуемых для обеспечения ПДн (например, журнал маркировки носителей ПДн, журнал учета СЗИ, инструкция по порядку резервирования ПДн). Большой интерес вызывают приложения этой методички. В частности, в них приведены формы следующих документов:
Акт классификации ИСПДн (ничем не отличается от выложенного мною).Матрица доступа пользователей к защищаемым информационным ресурсам ИСПДнПриказ "Об организации работ по обеспечению безопасности персональных данных при их обработке в ИСПДн"Список сотрудников, доступ которых к ПДн, необходим для выполнения служебных обязанностейИнструкция по учету лиц, допущенных к работе с персональными данными в ИСПДнМодель угрозТребования по обеспечению безопасности ПДн при их обработке в ИСПДнЖурнал учета СЗИЗаключение о возможности эксплуатации СЗИИнструкция по организации резервирования и восстановления ПО, баз ПДнЖурнал учета машинных носителей ПДнАкт обследования ИСПДнЗаключение по результатам атестационных испытанийОписание системы защиты ПДн в ИСПДнАттестат соответствия ИСПДнУведомление об обработке ПДнСвидетельство о неразглашении конфиленциальной информации (персональных данных)
Можно заключить, что отдельные управления ФСТЭК пошли навстречу потребителю и выпустили документы, которые уменьшают число вопросов по официальной позиции регулятора. Не со всем в этом документе я согласен, но наличие большого количества шаблонов документов, делает документ достаточно полезным.
ЗЫ. Начну выкладывать формы упомянутых документов сюда в блог в ближайшее время.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.