В 2002-м году в Европе приняли Директиву 2002/58/EC относительно обработки ПДн и их защиты в секторе электронных коммуникаций (то чем у нас РАЭК занимается). 4-я статья этой директивы, которая так и называется "Безопасность", буквально гласит следующее:
"1. Провайдер публично доступных сервисов электронных коммуникаций обязан предпринимать соответствующие технические и организационные меры по обеспечению безопасности своих услуг; при необходимости привлекая оператора связи сети общего пользования в части обеспечения сетевой безопасности. Принимая во внимание актуальность и стоимость защитных мер, они должны обеспечить уровень безопасности, соответствующий выявленным рискам.
2. В особых случаях проявления риска нарушения безопасности сети, провайдер публично доступных сервисов электронных коммуникаций обязанпроинформировать своих абонентов о данном риске, а там, где риски выходят за рамки предпринятых провайдером защитных мер, и о всех возможных последствиях, включая сведения о вероятном ущербе".
В целом ничего сверхествественного. Общие фразы. Никакой конкретики. Множество вариантов решения задачи. Как бы поступили в России? Разработали обязательные для всех Постановления Правительства, из которых вытекают требования приказов ФСТЭК и ФСБ. Логично и предсказуемо. Ничего, что регуляторы не могут за оператора ПДн оценить риски. Ничего, что у них мотивация защиты иная и на стоимость защиты они смотрят в последнюю очередь. Мы к этому привыкли. Мало кто, готов спорить с этим подходом. Покричать на кухне, да на конференции задать "каверзный" вопрос... Это могут все. А выйти с конкретным предложением... Это увольте. На это есть "другой парень", "что я лысый и мне больше всех надо?"...
Как поступили бы в Европе? Просто. Они взяли и разработали рекомендации по реализации 4-й статьи Директивы. Вчера эти рекомендации были опубликованы . Рекомендации, не требования. Никаких требований по применяемых средствам защиты. Ключевые рекомендации следующие:
В документе есть интересный пассаж - "Следует отметить, что оператор ПДн должентакжеопределить количестволюдей, пострадавших отинцидента с ПДн. И хотя данный показатель и не должен использоватьсяв качестве критерия дляоценки последствийот инцидента с ПДн,он являетсяпараметром, которыйдолжен быть сообщен уполномоченному органу". Причем в тексте рекомендаций этот момент выделен особо. Как тут не вспомнить постоянные дискуссии о том, что нельзя классификацию ИСПДн привязывать к числу субъектов ПДн, данные о которых обрабатываются в ИСПДн.
Очень неплохо расписан раздел по уведомлениям и по распределению ролей. Приведен шаблон уведомления уполномоченного органа по факту инцидента с ПДн. Из него замечательный приказ РКН вышел бы. Интересный раздел по оценке ущерба от инцидентов с ПДн. Дан он в качестве информации к размышлению, но методика там простая донельзя. Все по таблицам и в итоге приходим к итоговому значению, от которого уже зависят, например, сроки уведомления уполномоченного органа. Немало сказано и про расследование инцидентов.
В-общем могу сказать, что документ рекомендован к прочтению.
"1. Провайдер публично доступных сервисов электронных коммуникаций обязан предпринимать соответствующие технические и организационные меры по обеспечению безопасности своих услуг; при необходимости привлекая оператора связи сети общего пользования в части обеспечения сетевой безопасности. Принимая во внимание актуальность и стоимость защитных мер, они должны обеспечить уровень безопасности, соответствующий выявленным рискам.
2. В особых случаях проявления риска нарушения безопасности сети, провайдер публично доступных сервисов электронных коммуникаций обязанпроинформировать своих абонентов о данном риске, а там, где риски выходят за рамки предпринятых провайдером защитных мер, и о всех возможных последствиях, включая сведения о вероятном ущербе".
В целом ничего сверхествественного. Общие фразы. Никакой конкретики. Множество вариантов решения задачи. Как бы поступили в России? Разработали обязательные для всех Постановления Правительства, из которых вытекают требования приказов ФСТЭК и ФСБ. Логично и предсказуемо. Ничего, что регуляторы не могут за оператора ПДн оценить риски. Ничего, что у них мотивация защиты иная и на стоимость защиты они смотрят в последнюю очередь. Мы к этому привыкли. Мало кто, готов спорить с этим подходом. Покричать на кухне, да на конференции задать "каверзный" вопрос... Это могут все. А выйти с конкретным предложением... Это увольте. На это есть "другой парень", "что я лысый и мне больше всех надо?"...
Как поступили бы в Европе? Просто. Они взяли и разработали рекомендации по реализации 4-й статьи Директивы. Вчера эти рекомендации были опубликованы . Рекомендации, не требования. Никаких требований по применяемых средствам защиты. Ключевые рекомендации следующие:
- Необходимо выстроить целостную процедуру управления инцидентами с ПДн. Вот эта первая рекомендация, она ключевая и именно она отличает Европу и США от России. У нас важно применить кучу защитных мер, приобрести сертифицированные средства защиты (правда, за взлом такого средства с голограммой никто не отвечает), провести аттестацию, получить лицензию. А вот управлять инцидентами не важно совсем. Нет ни требований, ни обязанности уведомлять (точнее нет описанной процедуры и наказания за неуведомление). В Европе и США подход иной. Неважно КАК ты защищаешься - важно, чтобы субъекту не был нанесен ущерб. И вот если он нанесен, то придут и накажут. Но при условии, что ты ничего не сделал для снижения ущерба для субъекта. А если сделал, то тоже накажут, но не так сильно. ТАМ в области защиты самих ПДн первичен субъект, у НАС первично выполнение требований по защите.
- Необходимо выстроить процесс управления рисками, особенно в части их идентификации и оценки.
- Необходимо выстроить процесс оценки ущерба, разбиваемый на 2 стадии - первичная оценка (в течении 24 часов после инцидента) и более глубокая и детальная оценка.
- Необходимо выстроить процесс уведомления пострадавших субъектов.
- Необходимо извлечь уроки из инцидента и устранить причины, приведшие к нему.
В документе есть интересный пассаж - "Следует отметить, что оператор ПДн должентакжеопределить количестволюдей, пострадавших отинцидента с ПДн. И хотя данный показатель и не должен использоватьсяв качестве критерия дляоценки последствийот инцидента с ПДн,он являетсяпараметром, которыйдолжен быть сообщен уполномоченному органу". Причем в тексте рекомендаций этот момент выделен особо. Как тут не вспомнить постоянные дискуссии о том, что нельзя классификацию ИСПДн привязывать к числу субъектов ПДн, данные о которых обрабатываются в ИСПДн.
Очень неплохо расписан раздел по уведомлениям и по распределению ролей. Приведен шаблон уведомления уполномоченного органа по факту инцидента с ПДн. Из него замечательный приказ РКН вышел бы. Интересный раздел по оценке ущерба от инцидентов с ПДн. Дан он в качестве информации к размышлению, но методика там простая донельзя. Все по таблицам и в итоге приходим к итоговому значению, от которого уже зависят, например, сроки уведомления уполномоченного органа. Немало сказано и про расследование инцидентов.
В-общем могу сказать, что документ рекомендован к прочтению.
