Ну вот, появился новый документ по персональным данным, и сразу же всё ИБ сообщество дружно начинает высказываться на тему «что такое хорошо и что такое плохо». Пожалуй, вставлю и я несколько слов.
Документ мне очень понравился и прежде всего вот чем:
- наконец-то отменен 58 приказ, вводивший мутное положение о защите ПДн;
- меры защиты перечислены и они достаточно конкретны;
- модель угроз теперь всему голова и да здравствуют компенсационные меры;
- можно широко трактовать оставшиеся референсные меры.
О последних я и хочу высказаться.
- Ограничение программной среды. Это и отбор админских прав и контроль за установленным ПО и запрет на установку неразрешенного ПО.
- Обеспечение доступности. При желании сюда можно отнести и бесперебойное питание, и отказоустойчивые кластеры, и даже непрерывность бизнеса.
- Защита среды виртуализации. Наконец то можно смело обосновывать, покупать и внедрять разные Veeam’ы и vGate’ы.
- Защита технических средств. Хорошо ложится банальная опечатка корпусов, раздача персоналу RFID карт.
- Выявление инцидентов. Прямо говорится про предупреждение инцидентов, а значит обучение персонала, оно же повышение осведомленности в вопросах ИБ.
- Управление конфигурациями. Оно же Change Management. Сложная тема и очень мало кто ей серьезно занимается.
- А если этого всего мало, то для контроля защищенности Pentest самое оно.
Единственное, что омрачает новое ПП это сертификации на классы защиты, на недекларированные возможности, но в п.4 говорится, что это не очень обязательно, т.к. «Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных».
Вот и получается, какие такие угрозы безопасности я не могу парировать без сертифицированных СЗИ? Скорее всего, таких угроз будет не так уж и много. СКЗИ не в счет, т.к. это отдельная тема. А значит всё как обычно, пишем модель угроз, в которой показываем актуальность или неактуальность конкретных угроз безопасности и делаем вывод, что сертифицированные СЗИ не нужны.
Так надо что-то делать уже или ждать еще какой-то нормативки?
ОтветитьУдалитьЯ бы прекратил ожидание и начал бы уже что-то реализовывать, благо там достаточно всего прописано. Итого, что мы имеем на сегодня:
ОтветитьУдалить152-ФЗ;
ПП-1119, ПП-687, ПП-512;
Приказ 21 ФСТЭК, два документа ФСБ.
Выведено и забыто:
781-ПП, Приказ 58 ФСТЭК, Приказ 55/86/20.
достаточно но не для всех.. Для банков которые официально приняли СТО БР ИББС - ПОЛНАЯ неопределённость
ОтветитьУдалитьСейчас ждем когда ЦБ сделает свой ход, приняв очередной заточенный под банки документ.
ОтветитьУдалитьПроцесс ожидание поезда бесконечен, поэтому нужно в какой-то момент просто перестать его ожидать, а начать действовать.
сомневаюсь, что можно будет защититься не сертифицированными средствами....
ОтветитьУдалитьМиф № 6: сертифицирован – значит защищен. Это не совсем так. Правильной была бы формулировка: продукт сертифицирован – значит соответствует тем или иным требованиям. При этом потребитель должен четко понимать, на соответствие чему именно сертифицировано средство защиты, чтобы убедиться, действительно ли в ходе проведения испытаний проверялись характеристики продукта, которые интересуют заказчика.
УдалитьЕсли испытания продукта проводились на соответствие техническим условиям, то в сертификате это соответствие будет зафиксировано, но при этом потребитель, не прочитав технические условия на продукт, в принципе не может определить, какие характеристики проверялись, что создает предпосылки для обмана неквалифицированного потребителя. Аналогичным образом наличие сертификата на отсутствие недекларированных возможностей ничего не говорит о функциональных возможностях продукта.
Очень важно ознакомиться с ограничениями на использование продукта, которые указаны в технических условиях: конкретные операционные среды и платформы, режимы работы, конфигурации, применение дополнительных средств защиты и др. Например, сертификат на некоторые версии операционных систем Windows и МСВС действителен только с модулем доверенной загрузки. Почти все сертификаты на внешние средства защиты действительны только для конкретных версий ОС, а в ограничениях на использование ряда средств доверенной загрузки указывается, что должна быть обеспечена физическая защита компьютера. Известен курьезный случай, когда в ограничениях одного устаревшего средства защиты было указано, что Windows должна работать только в командном режиме.
Спасибо за столь подробный комментарий. Вы совершенно правильно все пишите.
ОтветитьУдалитьЗдравствуйте!
ОтветитьУдалитьМеня очень интересует....можно ли выполнить требования 21 приказа встроенными средствами Windows???
При условии что мы не гос.орг-ия, у нас нет гос.тайн и обрабатываем иную категорию перс.данных.(т.е. нет биометр, нет спец категорий и общедоступных данных, согласие на обработку ПДн со всех клиентов и со всех сотрудников имеются)
Моё личное мнение, что можно. Обязательно надо использовать обновляемую винду, то есть ХР уже не годится.
Удалить