Определение уровней защищённости ИСПДн и документы по обработке ПДн - Форум по вопросам информационной безопасности

WORM, MK | 63476

Методика на сегодняшний день пока одна - 2008 года и актуальность угроз приходилось определять из неё. Просто сами угрозы ФСТЭК рекомендует брать из банка данных, хотя и базовую модель при этом игнорировать нельзя.
И типы нарушителей я естественно не сам придумал, а брал их из базовой модели угроз ПДн 2008 года. Ну и в части определения потенциала нарушителей заглядывал в проект новой методики по определению актуальности угроз. Конечно главная проблема в том, что эта методика до сих пор не утверждена, но тогда и потенциал нарушителей, приведенный в банке данных угроз, определить больше неоткуда. Вот и приходится выкручиваться - смотри туда, потом сюда и даже в те документы, которые пока не утверждены. Ситуация как в 1917 году после февральской революции (двоевластие или безвластие). Пока нет новой методики написать модель угроз, устраивающую на сегодняшний день ФСТЭК, трудновато.
Кстати, в последнем письме с замечаниями ФСТЭК рекомендовал помимо угроз из банка данных описывать ещё и уязвимости системного, прикладного, сетевого программного обеспечения и связанные с ними актуальные угрозы в ИСПДн. А вот это уже совсем неподъемная задача, поскольку такой привязки просто нигде не найти, да и уязвимостей в этом банке больше 13 с половиной тысяч

Думаю ещё раз стоит сказать всем спасибо за ответы, думаю лучше и правда постараться найти кто бы мог организовать это всё со стороны, ибо я некомпетентен в этом вопросе. По сути все документы есть уже, осталось верно определить и разделить все ИСПДн, модели угроз, в этом вся сложность. Плюс техническая сторона вопроса. Надо бы найти кто в городе вообще всем этим занимается, пока кроме этого safe-doc ничего не нашёл.

Упустил один момент. Нам все шаблоны документов скинула выше стоящая организация для сверки всех документов в правильности оформления. Там под модель угроз кроме приказа по листу лист на ИСПДн выделено, общий пример таков:

"рассмотрев исходные данные информационной системы персональных данных (ИСПДн) «наименование ИСПДн» в соответствии с Постановлением Правитель-ства Российской Федерации №1119 от 1 ноября 2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», определила:
1. Категории персональных данных, обрабатываемые в системе:
(специальные, общедоступные, иные + перечислить)
2. Объем обрабатываемых персональных данных: ( > 100 000 или < 100 000).
3. Угрозы, актуальные для информационной системы: (указать типы угроз).
4. Тип субъектов персональных данных, обрабатываемых в информационной системе:
(работники оператора; субъекты, не являющиеся работниками оператора).
5. Информационная система по заданным оператором характеристикам безопасности относится к: (типовая, специальная)
6. Структура информационной системы: (автономная, локальная, распределённая).
7. Наличие подключений к сетям связи общего пользования и (или) сетям между-народного информационного обмена: (есть/нет подключение к интернету).
8. Режим обработки персональных данных в информационной системе: (однопользовательский, многопользовательский).
9. Разграничение прав доступа пользователей: (с разграничением прав, без разгра-ничения прав).
10. Местонахождение базы данных информационной системы персональных дан-ных: («территория РФ» + точный адрес).
По результатам анализа исходных данных, а также, основываясь на модели угроз безопасности персональных данных при их обработке в информационной системе персональных данных «наименование ИСПДн», в информационной си-стеме персональных данных «наименование ИСПДн» требуется обеспечение:
____ уровня защищенности персональных данных."
Больше ничего про модель угроз нет. Я поначалу подумал, что этот лист только для определения пунктов 1, 4, 6, 8, 9, с определениями которых я уже знаком по ПП1119, остальные я упустил, когда бегло просматривал и при юолее детальном рассмотении понял, что они откуда-то ещё, поэтому у меня возникли 2 вопроса - в расшифровке этих пунктов и хватит ли этого для определения МУ (А вдруг, не зря же скинули такой вариант)?

Остальные пункты (5...9) из уже давно отмененного "Приказа трёх". Был такой приказ по классификации ИСПДн, ныне не действующий.
Т.о. для определения УЗ достаточно первых четырех пунктов.

Про 10-й пункт. Должно быть, он появился из за внесенных в закон в прошлом году изменений. Теперь надо указывать местонахождение БД, но это опять таки не влияет на УЗ. Просто формальность.

З.Ы. Многие исполнители изрядно запутались в нормативке и пытаются выполнить как действующие документы, так и отмененные. Слишком часто и неожиданно меняется у нас НПБ.

to WORM

Думаю дело ещё в том, что рядовые бюджетные учреждения, у которых только 1С, СУФД, да что-нибудь в кадрах вообще удивляются, что нужен какой-то большой список документов и начинаю делать по тому варианту, который проще. Ведь мной представленный вариант определения МУ ооочень сокращённый.
Вами было сказано "Актуальность угроз определяется по методике ФСТЭК 2008 г "Методика определения актуальных угроз ...." Модель угроз, актуальных угроз... Я решил подытожить всё и запутался немного - из ПП 1119 беру:
"Для определения уровня защищенности необходимо выделить ряд параметров ИСПДн, описанных ниже.

Все ИСПДн по категориям обрабатываемых данных делятся на:
- обрабатывающие специальные категории персональных данных (касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни)
- обрабатывающие биометрические категории персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта)
- обрабатывающие иные персональных данных.

Кроме того отдельно выделяют системы, обрабатывающие общедоступные персональные данные (данные субъектов персональных данных, полученные только из общедоступных источников).

Также отдельно выделены информационные системы, обрабатывающие персональные данные только сотрудников оператора.

В постановлении приведены три типа актуальных угроз.
- 1 тип. Угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении (операционная система)
- 2 тип. Угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении (программы обработки ПДн)
- 3 тип. Угрозы, не связанные с наличием недокументированных (недекларированных) возможностей". Так?
Далее "Модель угроз" и нарушителя определяю по какому документу? Актуальность угроз так же по какому?

"Далее "Модель угроз" и нарушителя определяю по какому документу? Актуальность угроз так же по какому?"

Вопрос задан немножко некорректно. Вы пишете Модель угроз для того, чтобы определить какие из угроз, которые могут произойти в вашей ИСПДн, являются актуальными. Т.е. сначала вы должны составить список всех возможных угроз (на основе "Базовой модели...", Банка угроз на сайте ФСТЭК и др. источников). А после при помощи "Методики определения актуальных угроз..." определить, какие из них актуальны.

(Выше была дискуссия о том, по какому документу определять актуальность. Дело, разумеется, хозяйское, но единственной утвержденной ФСТЭК мелодикой является пока что "Методика определения акт угроз" 2008 г. Ничего другого пока не утверждали. Был проект новой методики, но он будет сильно переработан...

to smilestyle
Извиняюсь, если говорю уже понятные вещи повторно, но все же, кажется, вы действительно запутались в НМД.
Итак. ПП1119 нужно для определения уровня защищенности своей ИСПДн. 1, 2 или 3 тип угроз НДВ принимается "волевым решением". Главное в этом деле не переборщить. Т.е., буде, к примеру, у вас используется какое-нибудь кривое самопальное ПО, через которое даже школьник может совершить атаку на вашу систему - не следует писать о 3 типе НДВ (т.е. отсутствии угроз "закладок" и ошибок в системном или прикладном программном обеспечении).
После того как определили УЗ (и закрепили это Актом, форму которого вы, в целом, выше сами и привели) - переходим к описанию Частной модели угроз и нарушителей. Для чего она нужна? Для того, чтобы либо подтвердить, либо "расширить" набор требований к вашей ИСПДн определенного уровня защищенности, указанных в таблице в конце 21 Приказа ФСТЭК. Подчеркну, что рассматриваемые в Модели угрозы не только и не столько касаются означенных выше вопросов НДВ. На какие документы ориентироваться, чтобы составить перечень угроз, а потом его проанализировать и часть угроз признать актуальными/неактуальными - вам любезно указал тов. WORM.
Кстати, если криптография в ИСПДн для защиты ПДн не используется, то приставка "и модель нарушителя" является чисто формальным элементом. Это как раз по Проекту Методики 2015 ФСТЭК уже коснулся более-менее явно вопросов нарушителей. А по 2008 документам нарушители почти не участвовали в моделировании (условно описали, условно указали, условно проанализировали).
В конце, после разработки Частной модели переходим (к водным процедурам, простите) к разработке непосредственно системы защиты на техническом и организационном уровнях. Выполняем требования 21 Приказа, положенные для вашего уровня защищенности + нейтрализуем угрозы, признанные в Модели актуальными (если они не нейтрализованы выполнением базовых требований 21 Приказа). Придумали, как это сделать? Отлично. Внедряем. Проверяем работоспособность. Подтачиваем "напильником" при необходимости. Работает? Замечательно!
Разрабатываем ворох бумаги: технический проект (описание) системы защиты и технологического процесса обработки информации, положение по обработке ПДн, комплекты инструкций пользователям + администраторам и т.д. Тут ориентируемся на требования 21 Приказа (в части организационных требований) и требования Роскомнадзора +, если надо, требования сторонних госорганов, в ведомости которых находится ваша организация.
В конце разрабатываем Акт подтверждения защищенности ИСПДн, либо доверяемся сторонней конторе, которая проводит испытания и выдает бумагу о соответствии ИСПДн требованиям по безопасности (в форме или вне формы аттестационных испытаний - без разницы).
Как-то так...

to oko

Спасибо, что не устаёте повторять уже сказанное. С ворохом документов типа инструкций, актов, согласий на обработку - уже есть. Вся сложность изначально была с определением ИСПДн (вроде определил), а далее и теперь с моделью угроз.

"После того как определили УЗ (и закрепили это Актом, форму которого вы, в целом, выше сами и привели) - переходим к описанию Частной модели угроз и нарушителей"

Разве УЗ не определяется уже после модели угроз, как WORM уже указывал выше, когда я ещё в первом посте определил УЗ-4? Ведь после модели он может измениться, верно? В этом акте по определению УЗ я должен написать что-то вроде "рассмотрев исходные данные ИСПДн (это как раз те, про которые я выше написал) и Модель угроз(!), делаю вывод, что необходим УЗ-4"??? Т.е. должен ли я ещё указать, что при принятии решения опирался и на полученную МУ?

Не совсем. К Модели имеет отношение только вопрос угроз НДВ, которые влияют на классификацию ИСПДн (2 и 1 типы угроз могут повысить уровень защищенности до 2 и 1 соответственно). Но вопрос НДВ, как уже говорилось выше, возможно решить до разработки Модели. Т.е. принять как факт, что НДВ в применяемых в ИСПДн технчиеских средствах и ОС/ПО отсутствуют - тогда 3 тип, присутствуют в ПО - 2 тип, присутствуют в ОС/драйверах/службах или ТС - 1 тип. А уже когда будете разрабатывать Модель - в ней обосновать выбранный тип угроз.
В целом, конечно, логично вначале делать Модель, где анализировать все угрозы (не только НДВ), но по результатам анализа пункта НДВ дальше (при классификации) определяться с уровнем защищенности. Однако, это не обязательно. Особенно потому, что нет в природе пока явной методики определения актуальности угроз НДВ (на эту тему у нас с тов. WORM и возникла дискуссия). Поэтому классификацию ИСПДн можете проводить вначале (с составлением Акта), а уже потом разрабатывать Модель, в которой основной упор делать не на НДВ, а на другие угрозы.