Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

СЗПДн. Анализ. Выбор мер обеспечения безопасности общедоступных ПДн

Аватар пользователя SergeyBorisov
Автор: Борисов Сергей,
(0)
()
Уже достаточно давно обновился комплект подзаконных актов по защите ПДн (ПП 1119 и приказ ФСТЭК №21) а примеров выбора необходимых мер никто не решился опубликовать. Исправим этот недочет.


Возьмем  для примера ИС “корпоративный справочник сотрудников” в котором обрабатываются общедоступные контактные ПДн сотрудников.  


О проблеме защиты таких ИСПДн с учетом новых требований я уже писал ранее.


Такие ИС есть в каждой организации – внутренние web порталы, справочники сотрудников в Outlook, справочники сотрудников систем электронного документооборота, Microsoft AD и других корпоративных ИС, да просто справочник в Excel на общем сетевом диске.

Раньше мы защищали такие ИС используя стандартные меры ИБ, применяющиеся в Организации в целом, не связанные требованиями регулятора. Посмотрим как обстоит дело сейчас.


Первым делом мы определили и зафиксировали основные (не считая УЗ) и дополнительные характеристики ИС.  






Данные характеристики мы будем использовать при моделировании угроз и определении уровня защищенности ИС.


Возникает вопрос – при моделировании угроз мы должны использовать информацию о возможном ущербе субъекту ПДн или Организации-оператору?  Отвечу – законодательство требует учитывать ущерб субъекту ПДн, но по своему усмотрению мы можем учитывать и ущерб организации. В данном случае я рассматриваю только ущерб субъекту, чтобы определить минимально возможный набор мер.


Как видно из таблицы выше, ущерб субъекту нулевой. С сотрудника мы собираем согласие на общедоступность данных, приведенных в справочнике контактной информации. А ущерб субъекту ПДн от нарушения целостности или доступности данных отсутствует, так как ИС создается для обеспечения работы Организации и её производственных процессов.


Если делать экспертную модель угроз (не по РД ФСТЭК) то все угрозы ПДн в такой ИС будут неактуальными, ведь ущерб субъекту ПДн от реализации угроз отсутствует. К сожалению в ПП 1119 не предусмотрен вариант когда угрозы 1 и 2 и 3 типа неактуальны.


Если при определении актуальных угроз руководствоваться документом ФСТЭК «методика определения актуальности угроз…», то уровень исходной защищенности будет низкий. Y1=10. Показатель опасности угрозы – низкий (нулевого не определено). Получаем что при вероятности угрозы средний или высокий ( = 5 или 10) – угрозу будет актуальна. Но как увидим далее, особой разницы нет.


Изучив ещё раз приказ ФСТЭК №21 подробно, приходим к выводу, что существует только 3 варианта исключения мер ОБПДн из базового набора:

·         В случае, если мера связана с не используемыми технологиями или характеристиками не свойственными ИС
·         В случае невозможности технической реализации меры 
·         Исходя из экономической целесообразности возможна заменена меры на другую меру

В нашем случае используемые технологии стандартны, а характеристики ИС, таковы, что большинство мер не может быть и исключено


С невозможностью технической реализации меры я не столкнулся.


Исходя из экономической целесообразности и с учетом того, что ущерб субъекту ПДн – нулевой, мы могли бы заменить все затратные меры на менее затратные. Но вопрос – на какие? Не заменишь же аутентификацию пользователей – регистрацией событий? Можно было бы заменить аутентификацию пользователей – контролем доступа сотрудников в здание и в помещение. Но у нас ведь ещё возможен удаленный доступ по сети. В общем, сходу подобрать существенно менее затратные альтернативы не удалось.


По ссылке привожу пример документа, в котором зафиксирован перечень мер (SoA) и определены варианты реализации данных мер.

Самый тонкий момент с оценкой соответствия СЗИ.

“4. Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.”


Эту фразу трактуют:

·          и как необходимость оценки соответствия всегда, когда мера используется для нейтрализации актуальных угроз
·         и как определение случаев когда оценка соответствия требуется в рамках моделирования угроз (например в первой части МУ организация фиксирует что СЗИ, прошедшие оценку соответствия необходимо использовать в случаях актуальности угроз, опасность которых = “высокая”)

В нашем случае, как ни крути, получается что СЗИ, прошедшие оценку соответствия не требуются.



 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.