Классификация ИСПДн: как правильно СЕЙЧАС?

Классификация ИСПДн: как правильно СЕЙЧАС?
В 2008-м был выпущен "приказ трех" по классификации ИСПДн. Но при его разработке была допущена ошибка и системы, разделенные на типовые и специальные, могли быть только специальными. И если методика классификации типовых систем на 4 класса была описана там де, в приказе трех, то методики классификации спецсистем не появилось до сих пор. Это позволило проявить креативность и на свет родилось несколько подходов:
- ФСТЭК предлагала теже 4 класса натянуть на спецсистемы.
- ЦБ назвал все системы специальными и классифицировал их по типу обрабатываемых ПДн, а не по их количеству. При этом ЦБ позволил банкам, принявшим СТО, не классифицировать АБС, как ИСПДн.
- Минсвязи, в одной из НИР, предложил 4 класса типовых и спецсистем расширить подклассами, разделяющимися по 6 характеристикам информации.
- НАУФОР решила, что все системы специальные, их 4 класса, но классы отличаются от подхода ФСТЭК и ЦБ.

И в принципе все подходы были равнозначны и особых проблем при их применении не было (ну или почти не было).

Но вот появился проект Постановлений Правительства по уровням защищенности. И он сразу поставил много вопросов именно в контексте классификации. Специальных систем теперь нет, как и типовых. Следовательно придется заново создавать комиссии по классификации. Но проблема даже не в этом. Многие сделали ставку именно на спецсистемы, разработав именно под них и модель угроз и набор защитных мероприятий. А теперь это все под знаком вопроса.

Хуже всего банкам, которые на свой страх и риск решили не классифицировать АБС как ИСПДн. Раньше это еще можно было обосновать хоть как-то. А теперь?.. Спецсистем нет, АБС попадает под определение в ФЗ-152, Постановление Правительства по статусу выше и приказа трех и СТО.

Разумеется, все может быть и не так печально. Возможно появится разъяснение РКН, вводящее переходный период на переклассификацию. Возможно ЦБ вновь договорится с регуляторами и оставит классификацию как есть. Возможно все будет хорошо. А если нет?.. Может стоит уже сейчас задуматься о худшем сценарии событий?..
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!