Мнения специалистов о проекте приказа ФСТЭК

Аватар пользователя Lindt
Автор: Наталья Мутель, Ответственный редактор BISA

7 декабря ФСТЭК России опубликовал проект требований по cоставу и содержанию организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн во исполнение ПП1119.

До 21 декабря заинтересованным специалистам в области информационной безопасности предлагается рассмотреть подготовленный проект нормативного правового акта ФСТЭК России и направить предложения по его совершенствованию в ФСТЭК России на адрес электронной почты otd22@fstec.ru.

Напомним, что этому событию предшествовало появление на сайте ФСТЭК России 20 ноября «Информационного сообщения об особенностях защиты персональных данных при их обработке в информационных системах персональных данных и сертификации средств защиты информации, предназначенных для защиты персональных данных».

1 ноября Правительство приняло Постановление №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Новый нормативный акт был утверждён вместо утратившего силу ПП-781.

В документе устанавливаются новые требования к защите персональных данных при их обработке в информационных системах персональных данных и уровни защищенности таких данных. Таким образом,  два проекта постановлений (об уровнях защищенности и о требованиях безопасности) были объединены в один документ.

Редакция «DLP-Эксперт» попросила специалистов, успевших изучить документ, дать ему оценку по следующим пунктам:

1) Общие впечатления от документа?

Алексей Волков, независимый эксперт и блоггер

На первый взгляд - документ впечатляет: объемен, хорошо структуирован, присутствуют логические взаимосвязи. Однако после более детального изучения текста всплывают юридические неоднозначности и стилистические неточности, а после изучения Приложения становится понятно, что, в общем-то, ничего не понятно.

«Базовый состав», судя по всему, «списан» с соответствующих «Специальных контролей безопасности», приведенных в Приложении F к специальной публикации NIST Special Publication 800-53 Revision 3 (обновление от 01.05.2010). Один этот факт является знаковым событием: российский регулятор предлагает защищать ПДн, используя идеи документа, разработанного в США – стране, по методике Роскомнадзора, наименее «адекватной» с точки зрения соответствия требованиям Евроконвенции. Однако если в NIST «контроли» описаны детально, просто и понятно – то в документе ФСТЭК ввиду сокращения описания «контроля» до одного, переведенного и не самого подходящего, предложения, этого не наблюдается.

Андрей Прозоров

Андрей Прозоров, эксперт департамента комплексных решений IBS Platformix

Первые впечатления были скорее положительными, т.к. подход ФСТЭК поменялся существенно, документ выглядел «профессионально». Однако начав вчитываться, я понял, что документ требует серьёзной доработки. В нем много нелогичных моментов и явных глупостей. Это я говорю в первую очередь про состав и содержание мер, в документе их описано 104. Скорее всего, проще разработать новый документ, учитывая «лучшие практики», чем править этот.

Сергей Борисов

Сергей Борисов, ведущий специалист ИБ в Микротест

Документ разработан ФСТЭКом для галочки, в соответствии с 152-ФЗ и ПП 1119 и совершенно бесполезен большинству операторов ПДн.

 

Николай Антипов

Николай Антипов, ведущий консультант инженерно-аналитической группы Softline

Удивило количество мер, которые должны применяться для обеспечения безопасности ПДн, а также степень их детализации: если Приказ №58 ФСТЭК России «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных» во многом дублировал требования руководящего документа ФСТЭК России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» с двадцатилетним сроком давности, то здесь мы будем работать с обособленным документом, в котором, в том числе, упоминается виртуализация и облачные технологии.

 

2) Какие ранее непонятные, спорные моменты документ разъяснил?

Алексей Волков, независимый эксперт и блоггер

В части 4 ст. 19 152-ФЗ присутствует стилистическая неточность, позволяющая, при определенном прочтении, «отвязать» «Состав и содержание» от «Уровней защищенности». Теперь стало понятно, что одно «увязано» с другим.

Андрей Прозоров

Андрей Прозоров, эксперт департамента комплексных решений IBS Platformix

Документ показал, что ФСТЭК не приемлет ни каких других видов оценки соответствия кроме как в форме обязательной сертификации на соответствие требованиям по безопасности информации. Также то, что ФСТЭК продолжает «продвигать» идею аттестации ИСПДн…

 

 

Сергей Борисов

Сергей Борисов, ведущий специалист ИБ в Микротест

Документ определяет связь между уровнями защищенности и минимально необходимым перечнем организационных и технических мер по обеспечению безопасности ПДн (кроме вопросов применения криптографических средств).

 

Николай Антипов

Николай Антипов, ведущий консультант инженерно-аналитической группы Softline

В данном проекте документа явно указано требование использовать средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации. Ранее оценка соответствия в форме сертификации упоминалась только в закрытом Постановлении Правительства №330.

С вступлением приказа в силу, защита от утечки по техническим каналам теперь не является обязательным требованием, а относится к дополнительным.

Также хотелось бы отметить п. 13, в котором говорится о необходимости разработки и применения компенсирующих мер в отношении новых информационных технологий и при выявлении дополнительных угроз безопасности, что является крайне важным, учитывая темпы развития информационной среды.

 

3) Какой момент (моменты) в документе вы считаете наиболее критичным с точки зрения неоднозначности трактовки или несоответствия действующему законодательству? Ваши предложения по его (их) корректировке.

Алексей Волков, независимый эксперт и блоггер

Самый неоднозначный момент – пункт 5, применительно к средствам защиты ИСПДн, сужающий открытый перечень форм оценки соответствия, приведенных в законодательстве РФ в области технического регулирования (184-ФЗ), до одного – сертификации. Называя сертификацию «обязательной» авторы, очевидно,  предполагают систему сертификации РОСС RU.0001.01БИ00, до недавнего времени значившуюся в реестре Росстандарта как «добровольная», и на сегодняшний день в нем отсутствующую. С учетом п. 3 ч. 2 ст. 19 152-ФЗ, п.1 ст. 5, п. 2 ст. 46 184-ФЗ это может означать, что ФСТЭК теперь вправе заявить свою систему сертификации как обязательную.

С другой стороны, просто исключить ее из реестра недостаточно: технический регламент на СЗИ до сих пор отсутствует, и в Едином перечне продукции, подлежащей обязательной сертификации (утв. постановлением Правительства РФ от 1 декабря 2009 г. N 982) отсутствуют какие-либо упоминания о средствах защиты информации. Поэтому, согласно 184-ФЗ, система сертификации РОСС RU.0001.01БИ00 пока не может быть обязательной.

Андрей Прозоров

Андрей Прозоров, эксперт департамента комплексных решений IBS Platformix

Я считаю, что основные неоднозначности документа находятся в перечне мер. На данный момент я пометил порядка 60 мер, как требующих пересмотр и доработку (больше половины). При таком количестве спорных, а порой и неверных положений документа, считаю, что проще сделать новый, нежели править этот.

Михаил Хромов

Михаил Хромов, независимый эксперт и блоггер

Во-первых, неразъясненные Правительством в Постановлении 1119 от 01.11.2012 критерии признания/непризнания актуальными угроз, связанных с недекларированными возможностями, не разъясняет и ФСТЭК, что дает операторам, заинтересованным в минимизации затрат на защиту, право ошибаться на пару уровней защищенности вниз в ущерб правам субъектов персональных данных.

Вторая большая и, увы, уже, видимо, неустранимая претензия связана с написанием документа языком, требующим специальных знаний. В данном случае это − не профессионализм, а ровно наоборот, потому что это непопадание в аудиторию. У регулятора за десятилетия организации противодействия утечкам по техническим каналам и иностранным техническим разведкам сформировался стереотип потребителя его требований и рекомендаций – он имел дело с лицензиатами с их штатом обученных по программам ФСТЭК, да со спецотделами проверяемых предприятий, где опять же обитают воспитанники государственной системы защиты информации. Но в масштабах страны их мало, и сотни тысяч мелких операторов будут пытаться как-то разобраться сами. И, видимо, быстро бросать это дело.

 

Сергей Борисов

Сергей Борисов, ведущий специалист ИБ в Микротест

Момент который больше всего не соответствует текущему законодательству - некорректная зависимость состава мер по обеспечению безопасности ПДн от модели угроз. А именно, по результатам моделирования угроз мы можем только дополнить базовый набор мер, а не уменьшить его. Если по результатам классификации ИСПДн у оператора будет определен 1 уровень защищенности, то оператор независимо от актуальности угроз должен будет внедрять все меры в количестве 101, независимо от актуальности угроз.

Данный подход приведет к необоснованному увеличению расходов оператора на защите ПДн. И при таком подходе ни один оператор не будет добавлять себе ещё дополнительную статью расходов, качественно моделирую современные угрозы. Модель угроз будет только для галочки.

Николай Антипов

Николай Антипов, ведущий консультант инженерно-аналитической группы Softline

Не совсем понятен пункт, касающийся оценки достаточности выбранных и реализованных организационных и технических мер по обеспечению безопасности ПДн, которая должна проводится оператором или уполномоченным лицом в ходе проводимого контроля. Каким образом должна проводится оценка? Методика ее проведения? Периодичность проведения? Как и кем будет проверяться? В проекте об этом не сказано.

Далее говорится, что такая оценка может осуществляться в рамках аттестации, но положения по аттестации систем, обрабатывающих конфиденциальную информацию, к которой относятся ПДн, на данный момент не существует (по неподтвержденной информации оно разрабатывается сейчас).

 

4) Будут ли, по-вашему, учтены пожелания, внесенные экспертным сообщестом, при формировании окончательного текста документа?

Алексей Волков, независимый эксперт и блоггер
Мы все очень надеемся.

Андрей Прозоров, эксперт департамента комплексных решений IBS Platformix
Скорее только частично. Моменты, связанные с аттестацией и сертификацией скорее оставят. Да и сами меры скорее всего поправят не все.

Михаил Хромов, независимый эксперт и блоггер
Документ, несомненно, в деталях еще будет исправлен, в т.ч. и по замечаниям экспертов, но не переписан, поэтому можно уже, наверно, констатировать недостатки, присущие ему в целом.

Сергей Борисов, ведущий специалист ИБ в Микротест
Так как экспертным сообществом вносятся несогласованные между собой предложения, а порой и диаметрально противоположные, то большинство предложений будет отклонено.

Николай Антипов, ведущий консультант инженерно-аналитической группы Softline
Как показывает многолетняя практика, к внесенным корректировкам и предложениям профессионального сообщества относятся не слишком внимательно: вносится минимальный набор изменений, который в целом не меняет сути и содержания документа. Останутся ли неучтенными пожелания экспертного сообщества по данному проекту, мы узнаем уже в конце декабря этого года.

 

До 21 декабря «DLP-Эксперт» будет добавлять к вышеизложенному мнения других специалистов.

Своё мнение касаемо приказа ФСТЭК оставляйте в комментариях к данному посту

Материалы по этой теме, опубликованные ранее на «DLP-Эксперт»:

 

Оцените материал:
Total votes: 159
Тэги: 
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя GeorgeG

В конце года маловато времени для серьезного вчитывания, но после первого прочтения (первое впечатление самое правильное?) создалось ощущение винегрета из ингридиентов различного размера - высокоуровневые требования и даже принципы (Least Privilege, Separation of Duties и т.д.) соседствуют и перемежаются чисто техническими контролями типа числа параллельных сеансов и запретом инсталляций. Гибрид CISSP и виндового реестра. Удивительно, но в 800-53 это смотрится органично, может быть из-за структурированности? Ну и еще - в "организационно-технических" мерах сильно преобладают технические, которые, как верно заметил Миша, прочесть могут только специалисты.

up
14 users have voted.
Аватар пользователя e.v.rodygin

3 тезиса:

1 - по содержанию ничего не скажу. Как известно, идеальными являются только общевоинские уставы в обложке горчичного цвета.

2 - важное новшество в порядке учета мнений представителей отрасли. Это правильный шаг, но на мой взгляд лучше, когда обращения сначала проходят фильтр отраслевых организаций. Коллегам из ФСТЭК просто тяжело обрабатывать "сырые мнения".

3 - очень понравился тезис Михаила Хромова. И тут есть о чем подумать. Должны ли быть документы столь академичными и ориентированными на специалистов? Или они должны быть ориентированы на непроффесионалов? Возможен ли подход, когда документ более краткий но для проффесионалов, которые в свою очередь на его основе выпустят много "комиксов" для потребителей?

up
16 users have voted.
Аватар пользователя anvolkov

Позволю себе не согласиться с предыдущими ораторами. Как раз с целевой аудиторией и позиционированием документа все просто - проще некуда. Не может "сам оператор" осилить "состав и содержание" по причине отсутствия специалистов - добро пожаловать к лицензиату ФСТЭК за консультацией и реализацией.

up
17 users have voted.
Аватар пользователя Атаманов Геннадий

 

Опубликованы были два документа. Уровень исполнения обоих не выдерживает никакой критики. Оба методологически, методически и стилистически несостоятельны. Это просто издевательство над логикой, здравым смыслом и ставшим бедным, некогда богатым, русским языком. Посчитал необходимым написать по этому поводу "Открытое письмо директору ФСТЭК". Отправил 14.12.2012. Надеюсь дойдёт. 

up
16 users have voted.
Аватар пользователя e.v.rodygin

Если Открытое - можно ссылку?

up
21 user has voted.
Аватар пользователя Атаманов Геннадий

Обязательно, как только удовлетворят заявку на создение блога. Надеюсь вопрос решится быстро.

up
16 users have voted.
Аватар пользователя Lindt

Геннадий, открыли. Можно ваше фото попросить для блога на pr@dlp-expert.ru

up
20 users have voted.
Аватар пользователя Атаманов Геннадий

Завтра или сегодня вечеров пришлю. Та, что есть не прошла.

 

up
17 users have voted.
Аватар пользователя anvolkov

Ооооо, Геннадий, мое почтение! Вас в том числе здесь очень не хватает. Ваше коронное не раз употребленное "Уровень исполнения обоих не выдерживает никакой критики. Оба методологически, методически и стилистически несостоятельны. Это просто издевательство над логикой, здравым смыслом и ставшим бедным, некогда богатым, русским языком" я лично успел подзабыть, прошу прощения - а это именно то, что в последнее время очень нужно. Кстати, почитал Ваш постатейный комментарий в журнале. Удивлен, что у Вас заняло это так много места. Можно было существенно сократить, приблизительно так: "ст. 1 - бред, ст. 2 - фееричный бред, ст. 3 - абсолютный бред, ст. 4 - дебилизм каких свет не видывал .... ст. 19 - ворюгам на радость" ну и так далее. И я не шучу. Какие уж тут шутки. Все вполне серьезно.

up
11 users have voted.
Аватар пользователя Атаманов Геннадий

Я почти так и сделал. Даже близко по стилю. Только в моём исполнении это звучало, примерно, так:  бред; бред сивой кобылы; полный бред; абсолютный бред, бред сумасшедшего и т.п. А квитэссенция - БРЕДЯТИНЩИНА!!! Редакция не одобрила. 

А если действительно серьёзно, то мы пытались вместе с редактором придумать другую форму подачи материала. Не получилось. И решили, что не стоит выдумывать. Юристы пишут свои комментарии, примерно, в такой форме. Так что форма старая, а содержание - новое. Такого пока ещё никто не делал. Так что "первый блин" и, как говорят, не комом. Хотя, сколько людей, столько и мнений. Если есть замечания и предложения, готов выслушать и принять. С благодарностью. 

 

up
18 users have voted.
Аватар пользователя anvolkov

Браво! Я готов сделать у себя в блоге отдельную страницу и выложить Ваш первоначальный вариант Вашего постатейного комментария!!!

up
21 user has voted.
Аватар пользователя Атаманов Геннадий

Не понял о каком "первоначальном" варианте идёт речь, но не вижу препятствий. Что касается моих опубликованных работ, то их можно использовать без ограничений. Одна проосьба: ссылка на источник (условие редакций). 

up
17 users have voted.
Аватар пользователя Lindt

Геннадий, а 40 листов приложения пришлёте отдельным файлом?

up
8 users have voted.
Аватар пользователя Lindt

Геннадий, временное отсутствие фото - не причина томить нас:) Вы можете выложить материалы в своём блоге, не дожидаясь пока появится фотография. Информация важнее, чем формальности

up
21 user has voted.
Аватар пользователя anvolkov

Поддерживаю - время-то идет, 21 и 24-е не за горами. А мы распиарим кто чем может.

up
27 users have voted.
Аватар пользователя Атаманов Геннадий

Извините! По техническим причинам не мог сделать сразу. Сейчас занимаюсь.

up
18 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.