пятница, 4 июня 2010 г.

Оценка рисков и защита персональных данных

При подготовке материала для очередной публикации наткнулся на интересный документ, о существовании которого ранее не знал, но подозревал, что где-то и кем-то он должен разрабатываться. И вот - наконец - могу поделиться своей радостью, связанной с его обнаружением. Однако, обо всем по порядку.

Речь идет, конечно, о защите персональных данных, точнее, о том подходе, который используется сейчас в законодательстве РФ для реализации защитных мер. По сути, все требования, применяемые к защите ИСПДн, являются жестко регламентирующими, не используют общепринятого в ИБ подхода, связанного с оценкой рисков нарушения конфиденциальности, целостности доступности персональных данных при их обработке оператором, и не зависят от возможного ущерба субъектам ПДн, связанном с реализацией этих рисков. Справедливости ради, стоит отметить, что этот недостаток свойственен не только законодательству РФ, но и другим странам, и в частности - стандарту BS 10012:2009 "Защита Данных - Спецификация системы управления персональными данными", на который многие специалисты возлагали определенные надежды.

Недостаток этот имеет место прежде всего потому, что отсутствует общепринятая методология такого рода оценки. И вот, наконец, начали появляться "первые ласточки". На сайте Information Comissioners Office, уполномоченного органа по защите прав физических лиц Великобритании (аналог Роскомнадзора в этой сфере) имеется вполне адекватный и проработанный документ, именуемый Справочник по оценке воздействия на частную жизнь (Privacy Impact Assessment Handbook) - уже вторая (!) его версия.

Назначение этого документа - отойти от принципа "требования безопасности ПДн для всех едины" и трансформировать его в принцип "всесторонней оценки безопасности". Первая часть документа (главы 1 и 2) содержат вводную информацию о процессе оценки рисков, связанных с воздействием на частную жизнь физического лица через его персональные данные (Privacy Impact Assessment Process - PIA). Вторая часть представляет собой пошаговое руководство (How To) о том, как проводить процесс PIA. Авторы документа обращают особое внимание на то, что некоторые требования PIA могут расходиться с методологией оценки рисков в конкретной организации, и поэтому справочник должен использоваться как элемент комплексного процесса оценки рисков в рамках единой политики ИБ.

Статус этого документа - рекомендательный, однако сам документ очень интересный и безусловно заслуживает отдельного детального рассмотрения. На мой взгляд, самым знаковым в этом документе является то, что разрабатывает его не кто-нибудь, а ICO - уполномоченный орган по защите прав субъектов ПДн Соединенного Королевства! Я полагаю, нашему Роскомнадзору стоит взять этот подход на вооружение и разработать, наконец, то, чего все так долго и с нетерпением ждут. Тем более, что наработки их коллег уже имеются.

8 комментариев :

  1. Анонимный8.6.10

    "не используют общепринятого в ИБ подхода, связанного с оценкой рисков нарушения конфиденциальности, целостности доступности персональных данных при их обработке оператором"

    Это как? А модель угроз?

    ОтветитьУдалить
  2. Ну как... Так. Модель угроз ФСТЭК - ни что иное, как попытка заточить импортный процесс анализа рисков под "советскую номенклатуру". Когда составляется модель угроз? Когда ИСПДн "специальная". Для чего? Для определения класса. При этом, класс этот не может быть ниже, чем класс типовой ИСПДн, расчитанной по аналогичным параметрам, так как в типовой ИСПДн необходимо обеспечить ТОЛЬКО конфиденциальность, а в специальной - конфиденциальность + что-то еще. Грубо говоря, если более 100000 записей - какую бы модель угроз не составить - все равно К1. Плюс к этому классов всего 4, плюс литера Р - итого - 8. А ИСПДн каждой организации это уникальная структура. Где тут оценка рисков? Про ущерб субъектам вообще речи не идет...

    ОтветитьУдалить
  3. >При этом, класс этот не может быть ниже, чем класс типовой ИСПДн, расчитанной по аналогичным параметрам...

    Ну вообще на основе модели угроз можно даже снижать класс, по крайне мере это прописывалось в отменённых методичках.
    Однако хоть их и отменили но таким подходом до сих пор пользуются и ФСТЭК пока замечаний по этому поводу не высказывает.

    ОтветитьУдалить
  4. >ФСТЭК пока замечаний по этому поводу не высказывает

    Александр, ключевое слово - ПОКА. Честно говоря, я знаю пару-тройку примеров (я не интегратор - потому не много), когда для специальной ИСПДн составлялась модель угроз, и не смотря на число записей и категории ПДн ставился КЗ. То что я написал в комментарии - это логика и здравый смысл по мотивам нормотворчесива ФСТЭК. Так должно быть ПО ИДЕЕ. Однако с идеями там все в порядке, а вот со здравым смыслом... Потому и понижаем класс - и все хорошо :)

    ОтветитьУдалить
  5. В дополнение - ведь это не я "творец" фразы про "аналогичные параметры": это в конце 2008 года на конференции по защите ПДн сказал уважаемый представитель ФСТЭК. Видимо, концепция изменилась, и по ходу и дальше будет меняться, учитывая, что все свои документы ФСТЭК теперь должна будет согласовывать с Минэкономразвития :)

    ОтветитьУдалить
  6. Согласно Порядку проведения классификации информационных систем персональных данных (Приказ 55/86/20 от 13 февраля 2008 года):

    >Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

    Таким образом у нас любая ИСПДн попадает под категорию "специальная" поскольку любой владелец ИСПДн вам искренне скажет, что ему необходимо защищать информацию от уничтожения, блокирования и т.д.

    По этому при проверке тот же ФСТЭК может взять за одно из мест оператора ПД и сказать, что тот неправильно провёл классификацию))

    К слову сказать в нашу организацию товарищи из ФСТЭК наведываются стабильно раз в год и в ближайшие несколько месяцев я планирую с ними подискутировать на вышеупомянутые темы)
    Думаю будет весело)

    ОтветитьУдалить
  7. >любая ИСПДн попадает под категорию "специальная"

    Споры о том, зачем вообще в таком случае нужна классификация по "приказу Трех" идут до сих пор. Я слышал мнение, что типовые ИС все же существуют, и это ни что иное, как ПК, используемый в качестве печатной машинки для оформления договоров с физлицами, например, дальнейшей их распечатки и удалении файла за ненадобностью. Там ничего обеспечивать не надо. Другие говорят что это никакая не специальная ИСПДн, а вообще обработка без использования средств автоматизации. Где тут правду искать - никому не известно.

    > ФСТЭК может взять за одно из мест оператора ПД и сказать, что тот неправильно провёл классификацию

    На всех выступлениях Роскомнадзор говорит о том, что он проверяет все до акта классификации включительно, а ФСТЭК и ФСБ - после классификации - именно поэтому моделью и снижают класс ;). Если у Вас есть примеры того, как ФСТЭК нагибала операторов по поводу неправильной классификации - значит, где-то локально не поделены зоны ответственности. Хотя и так ясно, что регион региону рознь...

    > подискутировать на вышеупомянутые темы

    Конечно! Дайте потом знать, если не трудно, результаты дискусий :)

    ОтветитьУдалить
  8. >Конечно! Дайте потом знать, если не трудно, результаты дискусий :)

    всенепременно)

    ОтветитьУдалить