четверг, 23 мая 2013 г.

21 приказ ФСТЭК


                Ну вот, появился новый документ по персональным данным, и сразу же всё ИБ сообщество дружно начинает высказываться на тему «что такое хорошо и что такое плохо». Пожалуй, вставлю и я несколько слов.
Документ мне очень понравился и прежде всего вот чем:
  • наконец-то отменен 58 приказ, вводивший мутное положение о защите ПДн;
  • меры защиты перечислены и они достаточно конкретны;
  • модель угроз теперь всему голова и да здравствуют компенсационные меры;
  • можно широко трактовать оставшиеся референсные меры.
О последних я и хочу высказаться.
  1. Ограничение программной среды. Это и отбор админских прав и контроль за установленным ПО и запрет на установку неразрешенного ПО.
  2. Обеспечение доступности. При желании сюда можно отнести и бесперебойное питание, и отказоустойчивые кластеры, и даже непрерывность бизнеса.
  3. Защита среды виртуализации. Наконец то можно смело обосновывать, покупать и внедрять разные Veeam’ы и vGate’ы.
  4. Защита технических средств. Хорошо ложится банальная опечатка корпусов, раздача персоналу RFID карт.
  5. Выявление инцидентов. Прямо говорится про предупреждение инцидентов, а значит обучение персонала, оно же повышение осведомленности в вопросах ИБ.
  6. Управление конфигурациями. Оно же Change Management. Сложная тема и очень мало кто ей серьезно занимается.
  7. А если этого всего мало, то для контроля защищенности Pentest самое оно.
Единственное, что омрачает новое ПП это сертификации на классы защиты, на недекларированные возможности, но в п.4 говорится, что это не очень обязательно, т.к. «Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных».
Вот и получается, какие такие угрозы безопасности я не могу парировать без сертифицированных СЗИ? Скорее всего, таких угроз будет не так уж и много. СКЗИ не в счет, т.к. это отдельная тема. А значит всё как обычно, пишем модель угроз, в которой показываем актуальность или неактуальность конкретных угроз безопасности и делаем вывод, что сертифицированные СЗИ не нужны.


9 комментариев:

  1. Так надо что-то делать уже или ждать еще какой-то нормативки?

    ОтветитьУдалить
  2. Я бы прекратил ожидание и начал бы уже что-то реализовывать, благо там достаточно всего прописано. Итого, что мы имеем на сегодня:
    152-ФЗ;
    ПП-1119, ПП-687, ПП-512;
    Приказ 21 ФСТЭК, два документа ФСБ.

    Выведено и забыто:
    781-ПП, Приказ 58 ФСТЭК, Приказ 55/86/20.

    ОтветитьУдалить
  3. достаточно но не для всех.. Для банков которые официально приняли СТО БР ИББС - ПОЛНАЯ неопределённость

    ОтветитьУдалить
  4. Сейчас ждем когда ЦБ сделает свой ход, приняв очередной заточенный под банки документ.

    Процесс ожидание поезда бесконечен, поэтому нужно в какой-то момент просто перестать его ожидать, а начать действовать.

    ОтветитьУдалить
  5. сомневаюсь, что можно будет защититься не сертифицированными средствами....

    ОтветитьУдалить
    Ответы
    1. Миф № 6: сертифицирован – значит защищен. Это не совсем так. Правильной была бы формулировка: продукт сертифицирован – значит соответствует тем или иным требованиям. При этом потребитель должен четко понимать, на соответствие чему именно сертифицировано средство защиты, чтобы убедиться, действительно ли в ходе проведения испытаний проверялись характеристики продукта, которые интересуют заказчика.
      Если испытания продукта проводились на соответствие техническим условиям, то в сертификате это соответствие будет зафиксировано, но при этом потребитель, не прочитав технические условия на продукт, в принципе не может определить, какие характеристики проверялись, что создает предпосылки для обмана неквалифицированного потребителя. Аналогичным образом наличие сертификата на отсутствие недекларированных возможностей ничего не говорит о функциональных возможностях продукта.
      Очень важно ознакомиться с ограничениями на использование продукта, которые указаны в технических условиях: конкретные операционные среды и платформы, режимы работы, конфигурации, применение дополнительных средств защиты и др. Например, сертификат на некоторые версии операционных систем Windows и МСВС действителен только с модулем доверенной загрузки. Почти все сертификаты на внешние средства защиты действительны только для конкретных версий ОС, а в ограничениях на использование ряда средств доверенной загрузки указывается, что должна быть обеспечена физическая защита компьютера. Известен курьезный случай, когда в ограничениях одного устаревшего средства защиты было указано, что Windows должна работать только в командном режиме.

      Удалить
  6. Спасибо за столь подробный комментарий. Вы совершенно правильно все пишите.

    ОтветитьУдалить
  7. Здравствуйте!
    Меня очень интересует....можно ли выполнить требования 21 приказа встроенными средствами Windows???
    При условии что мы не гос.орг-ия, у нас нет гос.тайн и обрабатываем иную категорию перс.данных.(т.е. нет биометр, нет спец категорий и общедоступных данных, согласие на обработку ПДн со всех клиентов и со всех сотрудников имеются)

    ОтветитьУдалить
    Ответы
    1. Моё личное мнение, что можно. Обязательно надо использовать обновляемую винду, то есть ХР уже не годится.

      Удалить