пятница, 4 мая 2012 г.

Новое постановление правительства об уровнях защищенности персональных данных

У Алексея Волкова в заметке "Уровни и требования" дан полезный и развернутый обзор проекта постановления Правительства. Также информацию для себя можно почерпнуть здесь, здесь и здесь.

А здесь я приведу свой анализ нового документа "Об установлении уровней защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных" :-)

С текстом проекта можно ознакомиться на сайте ФСБ России - http://www.fsb.ru/files/fsbdoc/project_normakt/urovni.pdf.

Итак, мы имеем 4 уровня защищенности: УЗ-1, УЗ-2, УЗ-3, УЗ-4. Уровни защищенности персональных данных определяются оператором в зависимости:
  • от угроз безопасности персональных данных с учетом возможного вреда субъекту персональных данных (т.е. необходимо оценить вред субъекту персональных данных),
  • объема и содержания обрабатываемых персональных данных (это аналогично приказу трех), 
  • вида деятельности, при осуществлении которого обрабатываются персональные данные (это что-то новое и интересное), 
  • актуальности угроз безопасности персональных данных (строим модель угроз).
"Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах". 
Определение уровня защищенности персональных данных включает в себя следующие этапы:
  • сбор и анализ исходных данных по информационной системе;
  • классификацию информационной системы;
  • формирование модели угроз и определение категории нарушителя;
  • установление уровня защищенности персональных данных и его документальное оформление.
Причем появились некоторые изменения в классификации информационной системы. В частности в определении категории данных, которые теперь называются типы данных.

ТИП 1
СТАЛО:
тип 1 – специальные категории персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также биометрические персональные данные;
БЫЛО:
категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
Добавились биометрические персональные данные. 

ТИП 2
СТАЛО:
тип 2 – фамилия, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, или любая совокупность таких персональных  данных, позволяющая однозначно определить субъекта персональных данных, а также дополнительные  персональные данные, за исключением персональных данных типа 1;
БЫЛО:
категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
Стало понятнее, что относить ко второй категории: например, ФИО, паспорт и еще что-то.

ТИП 3
СТАЛО:
тип 3 – фамилия, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, или любая совокупность таких персональных данных, позволяющая однозначно определить субъекта персональных данных;
БЫЛО:
категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
Т.е. ФИО и паспорт - тип 3.

ТИП 4
СТАЛО:
тип 4 – результат обезличивания персональных данных, представляющего действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных (далее – обезличенные персональные данные). В случае, если имеется возможность получения оператором  такой дополнительной информации, информационная система считается обрабатывающей  персональные данные того типа содержания, который был определен до прохождения процедуры обезличивания.
БЫЛО:
категория 4 - обезличенные и (или) общедоступные персональные данные.
Очень важно: теперь не получится разбить базу на две и объявить одну из них класса 4, так как есть возможность получения дополнительной информации!

Определение объема также изменилось: исчезло указание на возможное определение в пределах субъекта РФ, организации или отрасли экономики, теперь разделяем только по количеству субъектов. Т.е. если в организации работает более 1000 человек, то это уже объем 2, а не 1 как раньше.

Таблица классификации новая:


Таблица классификации старая:



Желтым обозначены те позиции, которые изменились (для удобства старая таблица была развернута аналогично новой, столбцы и строки переставлены). Т.е. для категории 1 стал возможен 2 класс, а для категории 2 - невозможен 3й. :)

Оператор вправе поставить класс выше, чем требуется. Затем по требования ФСТЭК и ФСБ строится модель угроз. Интересно, можно ли будет пользоваться Базовой моделью угроз от ФСТЭК и Методическими рекомендациями ФСБ или же появятся новые требования?

Дальше начинается самое интересное - определение нарушителя. В Методических рекомендациях по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации была классификация нарушителей по 6 типам: Н1- Н6.В данном проекте предусмотрено 3 класса: КН1, КН2, КН3.


КН1 – нарушитель (группа нарушителей), самостоятельно осуществляющий (осуществляющая)  создание методов и средств реализации атак и реализацию атак на информационную систему (нарушитель с низким потенциалом); 

Инсайдер или сторонний злоумышленник с небольшими возможностями (неспециалист).

КН2 – группа нарушителей, осуществляющая создание методов и средств реализации атак и реализацию атак на информационную систему с привлечением специалистов в области разработки и анализа средств защиты информации, включая специалистов в области защиты информации от утечки по техническим каналам и (или) специалистов в области использования для реализации атак недокументированных  (недекларированных) возможностей прикладного программного обеспечения (нарушитель со средним 
потенциалом);

Привлекаются специалисты по защите информации.

КН3 – нарушитель или  группа нарушителей, осуществляющая создание методов и средств реализации атак и реализацию атак на информационную систему с привлечением специалистов в области разработки и анализа средств защиты информации, включая специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей системного программного обеспечения (нарушитель с высоким потенциалом).

Привлекаются специалисты-разработчики.

Для рядовой ИСПДн, на мой взгляд, достаточно КН1. Уровень защищенности определяется по специальной таблице, где столбцы - классы нарушителей, строки - классы ИСПДн. 



Для КН1 нет уровня защищенности 1, только 2, 3 и 4. Уровень защищенности необходимо закреплять актом, делать его выше - право оператора. Устанавливать уровень ниже можно только с письменного разрешения ФСТЭК и ФСБ.

Ну вот и весь анализ, отметила основные моменты, надеюсь он будет Вам полезен в работе :)
А и кстати - где же специальные системы?:)