У Алексея Волкова в заметке "Уровни и требования" дан полезный и развернутый обзор проекта постановления Правительства. Также информацию для себя можно почерпнуть здесь, здесь и здесь.
А здесь я приведу свой анализ нового документа "Об установлении уровней защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных" :-)
С текстом проекта можно ознакомиться на сайте ФСБ России - http://www.fsb.ru/files/fsbdoc/project_normakt/urovni.pdf.
Итак, мы имеем 4 уровня защищенности: УЗ-1, УЗ-2, УЗ-3, УЗ-4. Уровни защищенности персональных данных определяются оператором в зависимости:
- от угроз безопасности персональных данных с учетом возможного вреда субъекту персональных данных (т.е. необходимо оценить вред субъекту персональных данных),
- объема и содержания обрабатываемых персональных данных (это аналогично приказу трех),
- вида деятельности, при осуществлении которого обрабатываются персональные данные (это что-то новое и интересное),
- актуальности угроз безопасности персональных данных (строим модель угроз).
"Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах".
Определение уровня защищенности персональных данных включает в себя следующие этапы:
- сбор и анализ исходных данных по информационной системе;
- классификацию информационной системы;
- формирование модели угроз и определение категории нарушителя;
- установление уровня защищенности персональных данных и его документальное оформление.
Причем появились некоторые изменения в классификации информационной системы. В частности в определении категории данных, которые теперь называются типы данных.
ТИП 1
СТАЛО:
тип 1 – специальные категории персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также биометрические персональные данные;
БЫЛО:
категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
Добавились биометрические персональные данные.
ТИП 2
СТАЛО:
тип 2 – фамилия, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, или любая совокупность таких персональных данных, позволяющая однозначно определить субъекта персональных данных, а также дополнительные персональные данные, за исключением персональных данных типа 1;
БЫЛО:
категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
Стало понятнее, что относить ко второй категории: например, ФИО, паспорт и еще что-то.
ТИП 3
СТАЛО:
тип 3 – фамилия, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, или любая совокупность таких персональных данных, позволяющая однозначно определить субъекта персональных данных;
БЫЛО:
категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
Т.е. ФИО и паспорт - тип 3.
ТИП 4
СТАЛО:
тип 4 – результат обезличивания персональных данных, представляющего действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных (далее – обезличенные персональные данные). В случае, если имеется возможность получения оператором такой дополнительной информации, информационная система считается обрабатывающей персональные данные того типа содержания, который был определен до прохождения процедуры обезличивания.
БЫЛО:
категория 4 - обезличенные и (или) общедоступные персональные данные.
Очень важно: теперь не получится разбить базу на две и объявить одну из них класса 4, так как есть возможность получения дополнительной информации!
Определение объема также изменилось: исчезло указание на возможное определение в пределах субъекта РФ, организации или отрасли экономики, теперь разделяем только по количеству субъектов. Т.е. если в организации работает более 1000 человек, то это уже объем 2, а не 1 как раньше.
Таблица классификации новая:
Таблица классификации старая:
Желтым обозначены те позиции, которые изменились (для удобства старая таблица была развернута аналогично новой, столбцы и строки переставлены). Т.е. для категории 1 стал возможен 2 класс, а для категории 2 - невозможен 3й. :)
Оператор вправе поставить класс выше, чем требуется. Затем по требования ФСТЭК и ФСБ строится модель угроз. Интересно, можно ли будет пользоваться Базовой моделью угроз от ФСТЭК и Методическими рекомендациями ФСБ или же появятся новые требования?
Дальше начинается самое интересное - определение нарушителя. В Методических рекомендациях по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации была классификация нарушителей по 6 типам: Н1- Н6.В данном проекте предусмотрено 3 класса: КН1, КН2, КН3.
КН1 – нарушитель (группа нарушителей), самостоятельно осуществляющий (осуществляющая) создание методов и средств реализации атак и реализацию атак на информационную систему (нарушитель с низким потенциалом);
Инсайдер или сторонний злоумышленник с небольшими возможностями (неспециалист).
КН2 – группа нарушителей, осуществляющая создание методов и средств реализации атак и реализацию атак на информационную систему с привлечением специалистов в области разработки и анализа средств защиты информации, включая специалистов в области защиты информации от утечки по техническим каналам и (или) специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей прикладного программного обеспечения (нарушитель со средним
потенциалом);
Привлекаются специалисты по защите информации.
КН3 – нарушитель или группа нарушителей, осуществляющая создание методов и средств реализации атак и реализацию атак на информационную систему с привлечением специалистов в области разработки и анализа средств защиты информации, включая специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей системного программного обеспечения (нарушитель с высоким потенциалом).
Привлекаются специалисты-разработчики.
Для рядовой ИСПДн, на мой взгляд, достаточно КН1. Уровень защищенности определяется по специальной таблице, где столбцы - классы нарушителей, строки - классы ИСПДн.
Для КН1 нет уровня защищенности 1, только 2, 3 и 4. Уровень защищенности необходимо закреплять актом, делать его выше - право оператора. Устанавливать уровень ниже можно только с письменного разрешения ФСТЭК и ФСБ.
Ну вот и весь анализ, отметила основные моменты, надеюсь он будет Вам полезен в работе :)
А и кстати - где же специальные системы?:)
Специальные системы отменили.
ОтветитьУдалитьТеперь уровень защищенности либой системы зависит от модели угроз.
Может быть это и правильно, с типовыми и специальными системами было много путаницы.
ОтветитьУдалить