Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Процедура выбора мер по обеспечению безопасности ПДн (по SOISO)

Аватар пользователя prozorov
Автор: Прозоров Андрей, Независимый эксперт и блоггер
(0)
()
Опубликовано в:

[upd.20.05.2013 поправил цитаты в связи с выходом итоговой версии документа]
После выхода ПП1119 и появления проекта требований ФСТЭК (Приказ №21, SOISO), меня периодически спрашивают: "Как поменяется процедура выбора и обоснования мер защиты ПДн?", "Каким образом меры выбирать сейчас, какая оптимальная последовательность шагов?". С учетом положений SOISO (финальная версия проекта документа), рекомендую ориентироваться на такую процедуру:
  • Шаг 0. Анализ и описание ИСПДн.
Определение границ, состава элементов и основных характеристик ИСПДн.
  • Шаг 1. Разработка модели угроз
Оценка вреда, который может быть причинен субъектам ПДн, определение перечня актуальных угроз и их тип (по ПП1119), оценка уровня защищенности ПДн. 
  • Шаг 2. Определение базового набора мер 
"Определение базового набора мер по обеспечению безопасности ПДн для установленного уровня защищенности ПДн в соответствии с базовыми наборами мер по обеспечению безопасности ПДн перечнем мер, приведенным в приложении к настоящему документу" .
  • Шаг 3. Адаптация набора мер 
"Адаптация базового набора мер по обеспечению безопасности ПДн с учетом структурно-функциональных характеристик информационной системы, информационных технологий, особенностей функционирования информационной системы (в том числе исключение из базового набора мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе оператора, или структурно-функциональными характеристиками, не свойственными информационной системе)."
  • Шаг 4. Уточнение перечня мер с учетом актуальных угрох
"Уточнение адаптированного базового набора мер по обеспечению безопасности ПДн с учетом не выбранных ранее мер, приведенных в приложении к настоящему документу, в результате чего определяются меры по обеспечению безопасности ПДн, направленных на нейтрализацию всех актуальных угроз безопасности ПДн для конкретной информационной системы. 
+"10.При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности ПДн , а также с учетом экономической целесообразности на этапах адаптации базвого набора мер и (или) уточнения адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности ПДн". 
+"13. При использовании в информационных системах новых информационных технологий и выявлении дополнительных угроз безопасности ПДн, для которых не определены меры обеспечения их безопасности, должны разрабатываться компенсирующие меры в соответствии с пунктом 10 настоящего документа."
  • Шаг 5. Дополнение требований 
"Дополнение уточненного адаптированного базового набора мер по обеспечению безопасности ПДн мерами, обеспечивающими выполнение требований к защите ПДн, установленными иными нормативными правовыми актами в области обеспечения безопасности ПДн и защиты информации."

Но если мы ясно представляем тип актуальных угроз и уровень защищенности ПДн, то я бы рекомендовал шаги 2 и 3 делать до шага 1. При этом можно уже начинать разрабатывать документ "Положение о применимости базовых мер по обеспечению безопасности ПДн", в котором для каждой базовой меры указывается каким образом она реализована или обоснование отказа от нее. 


P.S. Даже если в итоговой версии текст SOISO чуть поменяется, то общая логика и перечень шагов останутся такими же.






Дополнительно можете посмотреть:
Оцените материал:
Total votes: 140
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.