Пока эксперты начали осмысливать вчерашнее информационное сообщение ФСТЭК "Об особенностях защиты персональных данных при их обработке в информационных системах персональных данных и сертификации средств защиты информации, предназначенных для защиты персональных данных" от 20 ноября 2012 г. № 240/24/4669, я позволю себе обратиться к области регулирования ФСБ и посмотреть на то, как могут транслироваться требования ФСБ по части применения шифровальных средств в зависимости от типа угроз.
Кто видел первый вариант проекта Постановления Правительства об установлении уровней защищенности, тот помнит, что там не было типов угроз, а были категории нарушителей. И хотя это явно нигде не упоминалось, но связь между тремя категориями нарушителей в проекте Постановления Правительства и шестью моделями угроз была вполне себе очевидной.
Правительство при согласовании текстов постановлений указало ФСБ на то, что категории нарушителей - категории непонятные и в ФЗ-152 неописанные, а следовательно их надо убирать. Но ФСБ поступило проще - она заменила термин "категория нарушителя" на "уровень угроз", не поменяв их сути. Та же привязка к использованию недекларированных возможностей. В такой формулировке Правительство уже никаких претензий не имели, т.к. речь шла об актуальных угрозах, которые худо бедно, но в ФЗ-152 упоминались.
Ну а дальше все просто. Т.к. в документах ФСБ с требованиями к СКЗИ и ЭП есть четкая связь между 6-тью моделями нарушителей и 6 классами защиты СКЗИ (от КС1 до КА1), то эта же связь перекладывается и на типы угроз. Иными словами, для угроз типа 3 (неактульны НДВ вообще) скорее всего должны будут применяться СКЗИ КС1-КС3, для угроз 2-го типа - СКЗИ КВ1-КВ2, а для угроз 1-го типа - СКЗИ КА1.
Ну и данная картинка лишний раз иллюстрирует мое мнение (кстати, подтверждаемое общением с коллегами из ФСТЭК и ФСБ), что актуальность угроз определять будет сам оператор ПДн и угрозы НДВ будут актуальны только в очень специфичных ситуациях и для очень небольшого круга заказчиков.
Правда, это все равно не снимает с регуляторов задачи описать, как с угрозами НДВ бороться. Но ждать осталось в любом случае недолго - документ ФСТЭК мы увидим до 7-го декабря. Документ ФСБ - тоже до этого времени. Правительство тоже не дремлет и контролирует выпуск документов во исполнение ПП-1119.
Кто видел первый вариант проекта Постановления Правительства об установлении уровней защищенности, тот помнит, что там не было типов угроз, а были категории нарушителей. И хотя это явно нигде не упоминалось, но связь между тремя категориями нарушителей в проекте Постановления Правительства и шестью моделями угроз была вполне себе очевидной.
Правительство при согласовании текстов постановлений указало ФСБ на то, что категории нарушителей - категории непонятные и в ФЗ-152 неописанные, а следовательно их надо убирать. Но ФСБ поступило проще - она заменила термин "категория нарушителя" на "уровень угроз", не поменяв их сути. Та же привязка к использованию недекларированных возможностей. В такой формулировке Правительство уже никаких претензий не имели, т.к. речь шла об актуальных угрозах, которые худо бедно, но в ФЗ-152 упоминались.
Ну а дальше все просто. Т.к. в документах ФСБ с требованиями к СКЗИ и ЭП есть четкая связь между 6-тью моделями нарушителей и 6 классами защиты СКЗИ (от КС1 до КА1), то эта же связь перекладывается и на типы угроз. Иными словами, для угроз типа 3 (неактульны НДВ вообще) скорее всего должны будут применяться СКЗИ КС1-КС3, для угроз 2-го типа - СКЗИ КВ1-КВ2, а для угроз 1-го типа - СКЗИ КА1.
Ну и данная картинка лишний раз иллюстрирует мое мнение (кстати, подтверждаемое общением с коллегами из ФСТЭК и ФСБ), что актуальность угроз определять будет сам оператор ПДн и угрозы НДВ будут актуальны только в очень специфичных ситуациях и для очень небольшого круга заказчиков.
Правда, это все равно не снимает с регуляторов задачи описать, как с угрозами НДВ бороться. Но ждать осталось в любом случае недолго - документ ФСТЭК мы увидим до 7-го декабря. Документ ФСБ - тоже до этого времени. Правительство тоже не дремлет и контролирует выпуск документов во исполнение ПП-1119.
