Мои дополнительные комментарии про Приказ ФСТЭК №21 (SOISO)

Аватар пользователя prozorov
Автор: Прозоров Андрей, Независимый эксперт и блоггер
(0)
()
Опубликовано в:

В продолжение моей записи о выходе приказа ФСТЭК №21 (SOISO), в которой я представил краткий анализ новых требований, коллеги с DLP-Expert попросили дать еще несколько комментариев. Отвечаю на вопросы.

Почему так долго ждали выхода приказа №21 (SOISO)?

Дело в том, что документ не простой, да и к тому же он не является самостоятельным. Он разработан в "поддержку" положений 152-ФЗ и ПП1119 (в части требований по конкретным уровням защищенности), а данный подход (разделение ИСПДн по актуальности НДВ) не типовой для ФСТЭК России, требовалось вносить существенные правки в саму идею/модель СЗПДн. А если еще учесть, что в итоговой версии появилась подход по выбору мер с учетом "экономической эффективности" (близкий по духу с классической оценкой рисков), то становится понятно, что быстро данный приказ сложно, а значит и долго, согласовывать. 

Какие цели вообще преследует этот документ и почему к формированию его текста подошли так серьезно, прибегнув к помощи профессионального сообщества?

Дело в том, что документ разработан скорее не с какой-то конкретной целью, а в соответствие с пунктами 152-ФЗ и ПП1119, в которых говорится, что требования должны быть. Поэтому каких-то других частных целей документ до конца и не достигает. А жаль... 

Ну, а приглашение экспертов - это, на мой взгляд, очень правильный шаг. Он позволяет регулятору при разработке документов учитывать мнение его конечных потребителей, да и просто повышает качество формулировок и подходов.

Как изменился подход ФСТЭК России к защите персональных данных?

Я бы отметил следующие ключевые моменты:

  1. Приказ ФСТЭК России от 5 февраля 2010 №58 официально утратил силу.
  2. Изменился подход (процедура) по выбору мер защиты 
  3. Существенно изменился перечень мер защиты.
  4. Появились дополнительные меры, направленные на снижение актуальных угроз к 1 и 2 типа (НДВ).
  5. Требования к классам сертифицированных СЗИ приведены к уровням защищенности
  6. Появилось требование по регулярной оценке эффективности реализованных мер
  7. Прописана возможность привлечения лицензиатов ФСТЭК для выполнения работ по обеспечению безопасности ПДн и (или) оценки эффективности реализованных мер

Какие основные изменения были внесены в текст документа? Что поменялось в сравнении с декабрьской версией документа?

Было внесено довольно много правок:

  1. Изменился состав и содержание мер (особенно базовых). Мы постарались отказаться от сложных для понимания и реализации требований. Добавили несколько новых требований (например, по инцидентам и управлению конфигурациями).
  2. Пересмотрели перечни мер по уровням защищенности (это те звездочки в конце таблицы). 
  3. Подготовили изменения по тексту документа.

Однако самым важным считаю изменение процедуры выбора мер защиты и появление идеи "экономической целесообразности".

Прочтя первую версию документа многие специалисты сошлись во мнении, что «Базовый состав» был «списан» с соответствующих «Специальных контролей безопасности», приведенных в Приложении F к специальной публикации NIST Special Publication 800-53 Revision 3 (обновление от 01.05.2010) ‒ документа, разработанного в США – стране, по методике Роскомнадзора, наименее «адекватной» с точки зрения соответствия требованиям Евроконвенции. Однако если в NIST «контроли» описаны детально, просто и понятно – то в документе ФСТЭК ввиду сокращения описания «контроля» до одного, переведенного и не самого подходящего, предложения, этого не наблюдалось. Изменилась ли эта ситуация в тексте итогового документа?

Ну, я не могу сказать, что меры были "списаны" с NISTовского документа, хотя многие идеи явно от туда. Дело в том, что в NIST другой перечень контролей, их группировка и описание. Например, в нем мы можем увидеть много контролей, связанных с повышением осведомленности и тренингами, аудитами и оценкой ИБ, их в документе ФСТЭК не найдете. Помимо этого у зарубежных коллег другие представления об оценке рисков (хотя аналогичные идеи про актуальные угрозы в наших требованиях уже заметно приблизились к ним), больше написано про инциденты и управление конфигурациями, непрерывность и физическую безопасность. Я бы не рекомендовал сравнивать данные документы, они слишком разные. Кстати, уже вышел NIST SP 800-53 rev.4

Теперь же по существу вопроса. На данные момент многие контроли не описаны детально, но это скорее хорошо, операторы могут сами выбирать механизм реализации требований. В некоторых случая можно будет вполне ограничиться организационными мерами и стандартными настройками информационных систем.

Эксперты сошлись во мнении, что первая версия документа была написана языком, требующим специальных знаний, в связи с чем документ могли понять и правильно интерпретировать только хорошо подготовленные специалисты. Была ли внесена корректировка в стилистику? Стал ли документ проще для понимания?

Да, документ не простой и требует специальных знаний. Но он и не должен быть простым, по сути он дополняет и раскрывает положения верхнеуровневых документов (152-ФЗ и ПП1119). К сожалению, принятый нашими регуляторами "формальный" язык нормодоков не всегда понятен и удобен для понимания (я часто читаю международные стандарты и мне есть с чем сравнивать), но менять структуру документа и стиль изложения нам не разрешили ( а хотелось). Также мы существенно не меняли содержание и группировку мер из приложения, на мой взгляд она не удобная по ряду причин: меры плохо сбалансированы (в двух группах 2 меры, а в некоторых 20), некоторые контроли описаныслишком общими словами, группировка не всегда очевидная и местами спорная. 

Все ли предложения профессионального сообщества были приняты в итоговом тексте приказа?

В итоговой версии документа были учтены большая часть предложений и замечаний. К сожалению, нам нельзя было править общую идею документа, его структуру и наполнение талиц с мерами, мы занимались скорее "косметическим ремонтом". 

Из важных моментов, которые в финальную версию вошли уже после нашего обсуждения:

  1. Появилось требование по "оценке эффективности" мер (п.4), в последней версии была "оценка достаточности".
  2. Формулировка про экономическую эффективность стала чуть более обтекаемая, что, на мой взгляд, плохо. Было: "При невозможности (в том числе экономической) реализации...", стало: "... а также с учетом экономической целесобразности..."

Что теперь делать операторам ПДн?

Я рекомендую ориентироваться на следующую последовательность действий:

  1. Пересмотреть модель угроз (если еще не сделали). Особое внимание следует уделить НДВ.
  2. Определить уровень защищенности ПДн по методике ПП1119 (если еще не сделали) 
  3. Определить меры, которые уже реализованы в СЗПДн с точки зрения требований документа. Определить те, которые еще необходимы. Рекомендую делать таблицу типа SoA по ISO27001, я уже про это писал здесь. Крайне рекомендую рассматривать не только технические, но и организационные меры, включая необходимые организационно-распорядительные документы.
  4. Спланировать изменения в СЗПДн с учетом анализа из предыдущего пункта.
  5. Внедрить меры согласно плану.
  6. Провести оценку СЗПДн (контроль выполнения требований).
Оцените материал:
Total votes: 498
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.