Определение уровней защищённости ИСПДн и документы по обработке ПДн - Форум по вопросам информационной безопасности

WORM, спасибо за ответы:) если позволите - "акт испытаний внутренний" - каким образом проводятся испытания, где про это почитать? Как я понял по таблице при УЗ-4 в общем-то не нужно никаких технических средств защиты, антивирус, разграничение прав и т.п. должно хватить, верно?
"После вы разрабатываете Частную модель угроз и нарушителей..." вы об этом сказали, что необязательно? Извините за кучу вопросов, хочется сейчас расставить все точки над ы, чтобы потом не поднимать эту тему снова.

Опять забыл уточнить, что зарегистрировались, как оператор по обработке ПДн ещё в 2010, в 2013 обновляли инфу. Так, уточнил, мало ли.

"акт испытаний внутренний" - каким образом проводятся испытания, где про это почитать?

Подробно, к сожалению, нигде не прочитаете. Суть в том, что закон 152 требует не только защитить ПДн, но и оценить эффективность их защиты. Можно, конечно, для этого привлечь лицензиата по ТЗКИ (за деньги, разумеется). Но можно и создать внутреннюю комиссию, задача которой - оценить эффективность реализации мер из 21-го приказа. Комиссия пишет программу испытаний, проводит их (т.е. проверяет, выполнены ли в ИСПДн меры) и оформляет акт или заключение с выводом: "все ОК". Формально этого достаточно.

Как я понял по таблице при УЗ-4 в общем-то не нужно никаких технических средств защиты, антивирус, разграничение прав и т.п. должно хватить, верно?

Для УЗ-4 хватит. Плюс "оргмеры", разумеется. СЗИ должны иметь сертификат.

"После вы разрабатываете Частную модель угроз и нарушителей..." вы об этом сказали, что необязательно?

Я говорил, что не обязательны требования к усилению мер, предусмотренные методичкой ФСТЭК для ГИС. Но вы лучше не вникайте в это, а то окончательно запутаетесь. Просто в методичке меры расписаны подробно, если что-то непонятно - можно в нее заглянуть.

WORM, т.е. модель угроз и нарушителей всё же надо прописать? Нашёл пример для одной ГИС, там на 90 листов текста, у меня на все предыдущие орг.документы по ПДн столько.

Модель угроз (ее чаще называют именно так) делать надо. Чтобы определить уровень защищенности ПДн, надо знать тип актуальных угроз (т.е. актуальны ли угрозы НДВ), а для этого и нужна модель. К тому же, перечень актуальных угроз (как результат моделирования) нужен, чтобы выбрать меры из 21-го приказа. Да и в Законе прямо говорится, что нужно определить угрозы безопасности ПДн. Так что без модели никак.

90 листов - тоже неплохо, но в вашем случае можно и укоротить. Найдите в Сети подходящую "рыбу" и переработайте ее применительно к своей ИСПДн. Актуальность угроз определяется по методике ФСТЭК 2008 г "Методика определения актуальных угроз ...." (oko уже писал об этом).
Методика легко позволяет оставить актуальными только "нужные" вам угрозы, а НДВ отнести к неактуальным (вы уже писали о своих доводах на этот счет).

Пишете МУ, получаете перечень актуальных угроз, далее определяете УЗ, далее выбираете меры из приказа 21, далее ставите СЗИ и оцениваете эффективность защиты (проводите испытания). И пишете кучу бумаг (инструкции, журналы учета, права доступа и пр.).

to WORM
1. smilestyle уже вроде как определил уровень защищенности своей ИСПДн, а Модель отсутствует. Поэтому я и сказал, что первым делом "после" необходимо эту Модель разработать. Кстати, разве методику по актуализации угроз НДВ 1/2/3 типов уже разработали и официально опубликовали (методику 2008 не предлагать - она конкретно этот вопрос не рассматривала)? Вроде бы не (или я отстал от жизни?) - поэтому и УЗ можно определять фактически до создания Модели. В конце концов, кроме угроз НДВ решающими факторами становятся: категория ПДн (специальные, биометрия, иные), общедоступность ПДн (да или нет), тип обрабатываемых ПДн (сотрудников или "клиентов") и совокупное количество (до или более 100тыс. записей). К Модели это все имеет прямо скажем косвенное отношение...
2. В Модели необходимо сосредоточиться на рассмотрении других угроз (не касающихся НДВ), актуальных только для конкретной ИСПДн. Отсюда и выплывает вероятность, что часть угроз не будет перекрываться требованиями 21 Приказа для того же УЗ4. Следовательно, придется "усиливать" систему защиты за счет реализации доп.требований. А для того, чтобы понять, что каждое из требований значит и какие можно ввести "усиления" - и порекомендовал почитать ту самую методичку по ГИС.
3. ФСТЭК наряду с ФСБ и РКН - регуляторы в области ПДн. Как для госорганов, так и для "частников". Фактически, если РКН заинтересуется технической стороной дела в конкретной ИСПДн в ходе своей проверки (а такое бывает) - будут привлекаться сотрудники ФСТЭК (по части технической защиты вообще) и ФСБ (в случае использования криптографических средств защиты информации).

to smilestyle
1. Не люблю ссылаться на А. Лукацкого, но все же. Некоторое время назад он опубликовал ответ ФСТЭК на частный вопрос о необходимости использования именно сертифицированных СЗИ в ИСПДн. Ссылаться на этот ответ юридически нельзя. Но ФСТЭК подтвердила, что СЗИ должны соответствовать стандартам (требованиям), но не обязательно в форме сертификации.Это, пожалуй, только криптографическая защита должна быть обязательно с сертификатом ФСБ (ибо другой регулятор, ага). Таким образом, можно защищаться средствами СЗИ, фактически не отличающимися от их сертифицированных версий (например, несертифицированная версия Kaspersky Endpoint Security 10), но обладающих тем же функционалом. Или средствами СЗИ, на которые сертификат ФСТЭК уже истек, но они все еще есть в наличии (на объекте) или доступны для закупки (на складе реализаторов). При условии, конечно, что для ИСПДн по выводам Модели не актуальны угрозы НДВ в самих СЗИ :)
2. СОВ - система обнаружения вторжений. Юридически обязательна к применению в ИСПДн УЗ2-УЗ1. Фактически может понадобиться в ряде случаев. Например, когда сегмент ИСПДн "смотрит" в Интернет "на прием" (к примеру, web-сайт, содержащий ПДн в своих формах после авторизации пользователей). Одним межсетевым экраном тут не обойдешься.
3. Если вы сами сможете разобраться во всех нюансах ПП1119 и 21 приказа, разработаете и внедрите технические и организационные мероприятия по защите ПДн, подготовите всю необходимую документацию - оценку эффективности (защищенности) получившейся системы сможете также выполнить самостоятельно. Форма, как говорил тов. WORM, произвольная - Акт, Протокол и т.п. В этом документе аналогично Модели вы описываете полученную структуру системы защиты, оцениваете ее эффективность с позиции Модели и с позиции общих требований и делаете вывод о том - защищена ИСПДн или нет. При необходимости - дорабатываете систему защиты и делаете новый Акт (Протокол) оценки. До победного, так сказать.
Если с одним или несколькими из приведенных этапов сложности - проще обратиться к организациям-лицензиатам. Кстати, можете отказаться от проведения аттестационных испытаний (многие такие организации будут именно аттестацию предлагать). Хотя в целом, "контроль" по 21 Приказу равнозначен "аттестации" по мнению ФСТЭК (да и по логике проводимых работ). Тогда цена вопроса снизится. Зато на руках у вас будет бумага, созданная и подписанная не только самостоятельно, но и лицензиатом. Что будет важно в случае проверки той же ФСТЭК...
Если же в составе системы защиты для вашей ИСПДн будут применяться средства криптографической защиты - настоятельно рекомендую обратиться для выполнения этих работ к организации-лицензиату ФСБ. По совокупности факторов так будет проще, быстрее и спокойнее. Особенно, если опыта в выборе, внедрении и оценке (контроле эффективности внедрения) СКЗИ у вас нет...

to oko

"Кстати, разве методику по актуализации угроз НДВ 1/2/3 типов уже разработали и официально опубликовали (методику 2008 не предлагать - она конкретно этот вопрос не рассматривала)? Вроде бы не (или я отстал от жизни?) - поэтому и УЗ можно определять фактически до создания Модели"

А разве кто-то обещал отдельную методику для актуализации угроз НДВ? Вроде бы не (или я отстал от жизни?).
Актуальность любой угрозы, в том числе и НДВ, на сегодняшний день можно определить либо по Методике 2008 г, либо волевым усилием. И ФСТЭК, в отсутствие новой методики моделирования, рекомендует использовать как раз документ 2008 г.


"Фактически, если РКН заинтересуется технической стороной дела в конкретной ИСПДн в ходе своей проверки (а такое бывает) - будут привлекаться сотрудники ФСТЭК (по части технической защиты вообще) и ФСБ (в случае использования криптографических средств защиты информации)."

"Будут привлекаться" кем и на каком основании? Допустим, РКН не понравилось как коммерческая организация защищает ПДн. Пишут во ФСТЭК. Что произойдет дальше? Вам известны примеры такого "привлечения"?

"Если же в составе системы защиты для вашей ИСПДн будут применяться средства криптографической защиты - настоятельно рекомендую обратиться для выполнения этих работ к организации-лицензиату ФСБ. По совокупности факторов так будет проще, быстрее и спокойнее. Особенно, если опыта в выборе, внедрении и оценке (контроле эффективности внедрения) СКЗИ у вас нет..."
Из СКЗИ только Cryptopro для ЭЦП. Используется на 4 ПК. А заказать у кого - есть одна контора, у которой можно воспользоваться сервисом по подготовке таких документов safe-doc. Как я понял там сам потом разбираешься во всём всё равно при заполнении, он только "вставляет где нужно" названия, ответственных и прочее. Вообще какова практика пользования такими услугами - должны придти специалисты и сами посмотреть что к чему, сами всё определят? Конечно, на основании предоставленной им информации, т.е. есть сказал им - у нас такие-то программы в таких-то кабинетах с такими-то людьми. Я так подумал и понял, что с моделью угроз и нарушителями будет всё это посложнее.

to WORM
1. Методика и Базовая Модель 2008 не рассматривают угрозы НДВ в классификации, принятой ПП1119. Фактически, ни ФСТЭК, ни ФСБ не захотели комментировать решение Правительства об НДВ. Позиция проста - кто придумал, тот пусть и определяет порядок. Поэтому Методики, реально отражающей картину бытия, на сегодняшний момент времени нет. А рекомендации в части использования нормобазы 2008 г... это как и с методикой по ГИС, которую вы "не рекомендуете"...
2. Задам два риторических вопроса. Кто писал 21 Приказ и определял требования по защите ИСПДн? Кто по законодательству у нас является полномочными регуляторами и контролирующими органами в области ПДн? Комментарии по юридической правомочности тех или иных действий со стороны ФСТЭК и иже с ними излишне...
3. Известны случаи привлечения ФСТЭК и ФСБ к проверкам РКН в коммерческих организациях. Не были бы известны - не писал бы. К тому же, ваш подход не понятен. Т.е. "частникам" следует выполнять требования РКН, но не заботиться о фактическом техническом состоянии системы защиты в рамках определенных требований ФСТЭК? Или я "не въезжаю" в суть сказанного?

ЗЫ С НДВ вообще вопрос вопросов. В Методике 2008 ни слова про НДВ нет. В Базовой модели 2008 есть. Но там НДВ относится к вредоносному коду. К аппаратным закладкам с натяжкой, ибо явного упоминания также нет. Согласитесь, не всякий сотрудник организации, вынужденный защищать свою ИСПДн, разберется в этих нюансах по устаревшей на текущий момент Базовой модели.
Все же, в части актуализации НДВ имеется 2 подхода. Берем за основу приведенный тов. smilestyle подход - ПО и ТС серийные, массовые, с периодическим обновлениями => вероятностью присутствия в них НДВ можно пренебречь. Правильно? Лишь отчасти. Ибо никто до сих пор явно не указал, на базе чего следует определять "степень доверия" к тем или иным ПО и ТС. Ну, положим, с ТС несколько проще. А с ПО... Камешек в огород Microsoft, Adobe и, в части СЗИ, того же Кода Безопасности. Серийно, массово, с обновлениями - а НДВ есть!
Второй подход - оценивать "степень доверия" к ПО и ТС только за счет сертификации и СП. Но тогда никаких ресурсов не хватит "маленькой" конторе для защиты своей ИСПДн...
Впрочем, есть еще и третий подход. Над которым общественность давно смеется. Указанный в самом 21 приказе. Это использование именно сертифицированных по НДВ СЗИ. Чем это может помочь до сих пор не ясно (особенно в случае СЗИ, работающей на уровне уязвимой ОС).

to smilestyle
Все эти онлайн-сервисы разработки готовых документов по защите ГИС, ИСПДн и проч. - от лукавого. Благо, ни у кого еще наглости не хватило по ГТ такие же документы в режиме онлайн предоставлять...
ЭЦП от КриптоПро в рамках взаимодействия с какой-то госконторой для передачи/приема ПДн? Если да, то эта контора должна определять состав, требования и угрозы, которые вы должны дополнительно перекрыть при использовании СКЗИ КриптоПро. А также определить порядок ведения документации по эксплуатации СКЗИ и довести этот порядок до всех лиц, работающих с СКЗИ в вашей организации. Ибо использование КриптоПро в таком случае - не ваша инициатива для защиты ПДн. Впрочем, товарищам из ФСБ зачастую все равно...

ЗЫ Мое личное мнение (и мнение регуляторов, кстати, тоже) - для обеспечения реальной защиты и защиты-по-требованиям все равно должны работать специалисты. В обязательной спайке с сотрудниками организации-владельца системы. И документы должны разрабатываться не "для регуляторов на случай проверки", а в первую голову "для себя". Чтобы было ясно, где косяки, уязвимые места и пользователи из группы "повышенного внимания". Даже если все эти моменты не будут полностью "перекрыты" (устранены) в период эксплуатации ИСПДн (по техническим ли, по финансовым ли, по иным ли причинам) - все равно общая защищенность будет много выше, чем в случае "бумажной защиты ради прохождения проверки регуляторов". Потому как у ответственных лиц будет полное понимание того, где, что и как "не в порядке" с безопасностью в системе. А дальше, как говорится, дело техники и совести...