вторник, 2 ноября 2010 г.

Палка о двух началах, или еще раз о классификации ИСПДн


О классификации информационных систем персональных данных (ИСПДн) написано немало: целые статьи, сайты и форумы посвящены этой животрепещущей теме. При этом, подавляющее большинство рекомендаций сводится к уменьшению количества записей, обрабатываемых в ИСПДн, переводу ряда категорий ПДн в "бумажную" или дроблению одной "большой" ИСПДн на части.

С выходом "Приказа № 58" ФСТЭК с классификацией стало несколько проще, потому как особой разницы между требованиями к технической защите ИСПДн 2 и 3 класса в "Положениях о методах и способах..." не наблюдается, чего нельзя сказать о требованиях, предъявляемых к ИСПДн 1 класса: организация, обладающая такой ИСПДн, должна серьезно раскошелиться на ее защиту. При этом, весьма досадно осознавать, что если в твоей ИСПДн обрабатываются 99999 записей - то это К2, а если на обну больше - то К1. Автор этого блога, внимательно перечитав "Приказ Трех" от 13 февраля 2008 года N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных", понял, что, в принципе, существует и альтернативная модель классификации, о которой все почему-то говорят весьма неохотно или не говорят вообще. Свои рассуждения на эту тему я выношу на суд читателей.

Итак, нам необходимо классифицировать некую гипотетическую ИСПДн, назначение которой - обработка персональных данных сотрудников некоего большого, территориально распределенного  учреждения. Поскольку мы легких путей не ищем, пусть эта ИСПДн будет "огромной": она обрабатывает большое количество записей (выше 100 тысяч), территориально распределена по всей России, и обрабатывает персональные данные 2 категории - то есть позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию. Спецкатегории в нашей ИСПДн не обрабатываются: не зря эти ПДн вынесены в ЗоПД в отдельный раздел - они напрямую пересекаются с Конституцией, дающей право на тайну частной жизни, поэтому их наличие автоматически переводит любую систему в класс К1. 

Прежде всего, что нам необходимо сделать согласно Приказа - собрать исходные данные об ИСПДн. К их числу относятся:
  1. Категория обрабатываемых в информационной системе персональных данных Хпд = 2;
  2. Объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе) Хнпд = 1
  3. Структура информационной системы - распределенная;
  4. Наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена - есть;
  5. Режим обработки персональных данных - многопользовательский;
  6. Режим разграничения прав доступа пользователей информационной системы - с разграничением прав доступа;
  7. Местонахождение технических средств информационной системы - в пределах Российской Федерации.
Кроме того, для нашей ИСПДн, помимо конфиденциальности, необходимо обеспечить и другие характеристики безопасности, например, целостность и доступность, а значит, наша ИСПДн носит гордое название СПЕЦИАЛЬНАЯ. Вроде, все характеристики собраны - давайте посмотрим, ради чего мы потратили наше время.

Приказ предполагает классификацию ИСПДн на основе оценки возможного ущерба субъектам ПДн, чьи данные в ней обрабатываются: чем выше возможный ущерб - тем выше класс и, соответственно, тем выше должны предъявляться требования к технической защите. Пункт 14 Приказа говорит о 4 классах: отсутствие негативных последствий (4 класс), незначительные негативные последствия (3 класс), негативные последствия (2 класс) и значительные негативные последствия (1 класс). Присвоение того или иного класса ИСПДн, согласно того же пункта, осуществляется по результатам анализа исходных данных. Что ж, подход вполне справедливый.

Однако внимательное прочтение 14 пункта Приказа повергает в некоторое смятение: оказывается, такая классификация предусмотрена ДЛЯ ТИПОВЫХ ИСПДн: дословно - "По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов...", и дальше идет перечисление. Стоп, но у нас же специальная ИСПДн - исходя из буквы закона (Приказ зарегистрирован в Минюсте и, стало быть, имеет юридическую силу), пункт 14 ее не касается, и значит - должна быть какая-то другая классификация?

В еще более глубокое смятение повергает пункт 15, фактически нивелирующий глубокий смысл 14 пункта относительно "анализа исходных данных". Пресловутая "табличка", которая позволяет оценить класс типовой ИСПДн, фактически оперирует всего лишь двумя ее характеристиками - Хпд и Хпнд. Про остальные исходные данные ИСПДн можно просто забыть! Позвольте, но зачем же тогда мы их собирали? Будь наша ИСПДн типовой, то, согласно этой табличке, она попала бы в К1, однако наша ИСПДн - специальная, и табличку эту, равно как и весь пункт 15, мы можем просто не принимать во внимание. Что же делать?

Ответ на эти два вопроса кроется в пункте 16, который, согласно букве закона, заложенной в алгоритме классификации, нужно смотреть после пункта 13 (не взирая на пункты 14 и 15), говорит нам о том, что класс СПЕЦИАЛЬНОЙ ИСПДн определяется на основании исходных данных, собранных в соответствии с данным Приказом, и на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с п. 2 ПП 781 - а это ни что иное, как "Базовая модель угроз..." и "Методика определения актуальных угроз..." - необязательные к исполнению остатки ФСТЭКовского четверокнижия.

Поэтому, проанализировав исходные данные, состав обрабатываемых ПДн, определив структуру ИСПДн и технологические процессы, мы можем придти к обоснованному выводу, что НЕГАТИВНЫЕ последствия может нанести нарушение целостности и доступности сведений о табельном учете и финансовой информации, так как это приведет к несвоевременной (неполной, неправильной) выплате заработной платы субъекту. Реализация всех остальных угроз (включая нарушение конфиденциальности) приведут к НЕЗНАЧИТЕЛЬНЫМ НЕГАТИВНЫМ последствиям, потому как приняты (или будут приняты в дальнейшем в ходе создания системы защиты ИСПДн) достаточные технические меры защиты для их нейтрализации. Отразив эти сведения в модели угроз, специальная ИСПДн с указанными характеристиками может быть преспокойно классифицирована нами как К2! Таким образом, мы законно и справедливо имеем возможность классифицировать специальные ИСПДн вне зависимости от того, как классифицируются типовые.

Я перерыл много нормативных документов, излазил много форумов и сайтов в поисках опровержения такой методики классификации - и не нашел ничего такого, что могло бы хоть как-то ее опровергнуть. Наконец, я решил обратиться в Роскомнадзор с разъяснениями, и вот какой ответ получил (с незначительными смысловыми правками):

Составление модели угроз - компетенция ФСТЭК, нашей службе необходим от оператора только акт классификации. А уж к какому классу он отнес свою ИСПДн, дело оператора и ФСТЭК. Но, по логике, вроде бы теория имеет право на существование. Действительно, по специальным ИСПДн класс определяется на основании модели угроз и соответственно может быть изменен в сторону уменьшения или увеличения. Есть одно НО: по нашим сведениям, ФСТЭК трактует таким образом: можно класс повышать, а вот понижать ниже типовой нельзя. Надо им задавать вопросы.

Что ж, резонно. Значит, у Роскомнадзора вопросов к классификации не будет, тем более, если модель угроз составляла организация, имеющая лицензию на ТЗКИ. У меня есть все основания полагать, что и у ФСТЭК в этом случае вопросы вряд ли возникнут - на мой взгляд, логика в изложенной методике имеется. Очень хотелось бы узнать мнение читателей блога - потому прошу Ваши комментарии, коллеги!

38 комментариев :

  1. Анонимный2.11.10

    О мнении регуляторов - это всего лишь домыслы, нужна реальная практика. Также как и здесь личная переписка с представителями госорганов является лишь "личным мнением автора и не отражает официальной позиции юридических и физических лиц, с которыми автора связывают трудовые и иные отношения". Считаю, что позиция автора данного блога имеет право на жизнь и если она подтвердится при проверке, то он очень большой молодец.

    ОтветитьУдалить
  2. > личная переписка с представителями госорганов

    Я отправлял письмо через веб-форму на сайте Роскомнадзора, и мне официально ответили - такая переписка считается официальной. Никакой "личной переписки" с представителями госорганов как с "представителями" я не веду.

    ОтветитьУдалить
  3. "Отразив эти сведения в модели угроз, специальная ИСПДн с указанными характеристиками может быть преспокойно классифицирована нами как К2!"
    Здесь вы не правы. Сами же пишете "пункт 14 ее не касается", в п.14 и п.15 определены классы для ТИПОВЫХ ИСПДн, классов для специальных ИСПДн нет (и говорить сейчас о том что специальной ИСПДн соответствует К-класс не совсем корректно). Специальную ИСПДн лучше классифицировать как "специальную" (без каких-либо К-классов).
    PS. Единственный документ, в котором было определено, что специальной ИСПДн соответствует К-класс, был один из двух неприменяемых в настоящее время документов четырехкнижья ФСТЭК.

    ОтветитьУдалить
  4. > Специальную ИСПДн лучше классифицировать как "специальную"

    Валентин, я полностью согласен и ждал этого вопроса :) Проблема в том, что это - самый большой "косяк" всего этого приказа: все, что касается специальных ИСПДн, его (приказа) не касается! На основании собственного мнения и опыта, эксперт, разрабатывающий модель угроз, в принципе, может вообще придумать собственную классификацию - в которой К2 будет вообще отличаться от "типового К2"! Однако как-то надо классифицировать систему - и другой методики не придумано, поэтому - хоть К4 :) Правда, здесь вступает принцип "добросовестности оператора" - дескать, товарищи операторы, при классификации особо не наглейте...

    ОтветитьУдалить
  5. Да, и в некоторых документах так и делают (например, документы Минкомсвязи - там как раз определены свои классы специальных ИСПДн). Но такие классы имеют смысл для крупных систем (или отраслевых документов). Если же речь идет об отдельных ИСПДн (отдельных объектов/Заказчиков) то гораздо проще использовать класс "специальная".

    ОтветитьУдалить
  6. > гораздо проще использовать класс "специальная"

    Любопытно, как отнесется Роскомнадзор к тому, что в акте классификации будет написано вместо привычных К1-К4 слово "специальная"... Надо спросить.

    ОтветитьУдалить
  7. Не знают они... Говорят, разъяснений нет совсем...

    ОтветитьУдалить
  8. Анонимный4.11.10

    Почему то в блоге мгне за полчаса так и не удалось ответить. Или у вас премодерация включена? Но тогда должно бы сообщение быть об этом, а у меня его нет. Отвечу пока сюда

    >>Да, и в некоторых документах так и делают (например, документы Минкомсвязи - там как раз определены свои классы специальных ИСПДн).

    А мне понравился метод классификации именно из этого документа.

    Логика такая - сначала классифицируем систему как типовую, т.к конфиденциальность надо соблюдать для любых систем - и типовых, и специальных (кроме, разве что, общедоступных систем).

    В примере, приведенном Алексеем, получаем класс 1. Далее, т.к. мы решаем, что для нашей ИСПДн нужно обеспечивать еще и целостность и доступность, то квалифицируем ее как специальную и составляем модель угроз. В акте классификации пишем К1, специальная.

    >>ФСТЭК трактует таким образом: можно класс повышать, а вот понижать ниже типовой нельзя. Надо им задавать вопросы.

    Согласитесь, логика в этом есть - если кроме конфиденциальности, нужно обеспечить еще что-то, то защита не может быть слабее, чем если нужно обеспечить ТОЛЬКО конфиденциальность.

    Tiger (никакая авторизация не проходит)

    ОтветитьУдалить
  9. > Или у вас премодерация включена

    Никакой премодерации, полная свобода мысли!

    > если кроме конфиденциальности, нужно обеспечить еще что-то, то защита не может быть слабее, чем если нужно обеспечить ТОЛЬКО конфиденциальность

    Именно так я и рассказывал операторам, когда объяснял требования по классификации, с 2008 года по лето 2010. Однако за время пути собачка могла подрасти :)

    Во-первых, я не случайно говорю об "альтернативном методе", и альтернативный он именно тому, что привел Tiger. Во-вторых, не будем забывать базовые принципы ИБ, говорящие о том, что стоимость системы защиты не должна превышать велечины возможного ущерба, наносимого в случае ее отсутствия. Пункт 14 документа делает робкую попытку этот принцип соблюсти, но документ в целом сводит его на "нет". В втретьих, я не случайно привел пример, когда нарушение именно целостности и доступности приводит к гораздо худдшим последствиям для субъектов, чем нарушение конфиденциальности, поэтому логика "сначала конфиденциальность, потом все остальное" представляется мне весьма спорной (да и просто бредово отдавать за К1 такие деньжищи только потому, что в ней имеется определенное число записей). В четвертых, с юридической точки зрения этот документ касается именно ТИПОВЫХ ИСПДн, к специальным он не имеет никакого отношения, и потому нет никаких препятствий для использования альтернативного метода. Ну а в условиях общего бардака в законодательстве РФ оператор вправе использовать любой из этих методов - какой больше нравится.

    > Tiger (никакая авторизация не проходит)

    Видимо на Гуглге был сбой.

    ОтветитьУдалить
  10. Алексей, Ваша стройная логическая цепочка противоречит п.5 Приказа Трех, в котором приведен закрытый (!) перечень характеристик, на основании которых принимается решение о присвоении класса любой (и типовой и специальной) системе. Степени угрозы/последствий среди них нет.

    Описанная Вами схема - от лукавых интеграторов, обещающих организациям "шаманские способы понизить класс", и работать она будет до первых серьезных проверок ФСТЭК, которая (как совершенно справедливо отмечают все) не даст понизить класс ниже аналогичной типовой ИСПДн.

    Аналогично считаю абсолютным лукавством переклассифицировать ИСПДн после принятия некоторых технических мер. Так как следуя Вашим правилам игры, мы входим в автоколебательное состояние : "предприняли меры - понизился класс - переклассифицировали - теперь этих мер не нужно - сняли меры - повысился класс - переклассифицировали - ...". П.19 Приказа Трех, на который так любят ссылаться интеграторы при описании этой схемы, говорит совсем не о ней, а об изменении входных характеристик системы со временем (а) или о проверке, выявившей ошибку в классификации (б).

    Не подводите людей под нарушение законодательства, грозящее санкциями и, как говорят, с нового года весьма ощутимыми.

    ОтветитьУдалить
  11. to Луковчанин: именно ТАК я и думал до недавних пор... Однако ведение блога, общение со специалистами и совместная работа с коллегами-соавторами дают возможность иначе взглянуть на очень многие вещи. В том числе и на этот, казалось бы зачитанный до дыр, документ.

    Вы ссылаетесь на пункт 5 приказа, и я не могу не согласиться - именно этот перечень я и привел. Однако если смотреть на документы не "кусочно", а "целиком" - то получается, что продекларированный в п. 5 список фактически НИГДЕ не используется - разве в п. 15 классификация производится с использованием всех указанных характеристик?

    В пункте 14 явно сказано, что класс тем выше, чем серьезней негативные последствия субъектам ПДн - что это как не степень угрозы? Кроме того, пункт 14 и 15 касается только типовых ИС, к специальным он не имеет никакого отношения. Вот Вам и нестыковочки, причем в ЮРИДИЧЕСКОМ документе! И вряд ли можно считать нарушением законодательства использование в интересах оператора законодательных "дыр" - ведь все прекрасно понимают, что подход к технической защите ИСПДн, навязываемый регуляторами, с общими принципами защиты информации вообще и ПДн в частности никак не коррелирует. В Европе (Вы же читали статью) совершенно другие подходы. Краеугольный камень там - компенсация ущерба и баланс интересов. У нас на это - всем наплевать.

    Про переклассификацию - а почему нет? Где, в каком документе написано, что так делать нельзя? Если у меня была одна "большая" типовая ИСПДн, и в 2009 году я класифицировал ее как К1, а в 2010 году решил что дешевле иметь две маленькие ИСПДн, разбил их техническим и средствами и переклассифицировал их - это разве криминал? Информационные системы - живой организм, он постоянно растет, меняется и совершенствуется, и невозможность переклассификации останавливет его развитие и в конечном счете губит на корню. Поэтому эту мысль я вообще не разделяю. И даже РКН говорит об этом.

    ОтветитьУдалить
  12. Во второй части я указывал на некорректность проведения переклассификации (снижения класса) после принятия некоторых организационно-технических мер над не изменившейся относительно классификационных признаков (категория данных, объем и т.д.) ИСПДн. Именно этот вариант Вы закладываете в основной публикации.

    А в ответе на мой пост Вы приводите пример с изменением объема - конечно в этом случае переклассификация возможна, равно как, например, в случае разделения ИСПДн в целях обезличивания (известная схема К1->К3+К4).

    ОтветитьУдалить
  13. >некорректность ... снижения класса после принятия некоторых организационно-технических мер над не изменившейся относительно классификационных признаков (категория данных, объем и т.д.)

    А вот тут Вы сами себе противоречите. Не со зла :) а потому, что Приказ Вас запутывает. Объясню почему. В первом комментарии Вы, совершенно справедливо, отмечали, что существует пункт 5, в котором имеется совершенно четкий и закрытый (!) перечень, состоящий из 8 пунктов, который я привел в главном посте. В соответствии с этим пунктом, все эти характеристики используются для классификации ИСПДн. Однако во втором комментарии Вы говорите о том, что переклассифицировать систему после некоторых орагинационно-технических мер некорректно, так как не изменяются классификационные признаки - КАТЕГОРИЯ, ОБЪЕМ, ИТД.

    Давайте рассуждать. Разбиение одной большой ИСПДн на две маленьких - это не что иное, как организационно-технические мероприятия по уменьшению ОБЪЕМА обрабатываемых в ИСПДн данных, не так ли? Перевод отдельных категорий ПДн из "автоматизарованной" обработки в "бумажную" - это так же организационно-технические мероприятия по изменению КАТЕГОРИИ.

    Теперь про ИТД. Если бы не было пункта 15, то, согласно пункта 5, точно такие же организационные мероприятия можно провести и для остальных 6 пунктов - режима обработки, подключения к сетям общего доступа, разграничение полномочий - и все это, по идее, должно влиять на класс ИСПДн! Именно такие организационно-технические мероприятия и реализуют операторы для снижения класса - однако пункт 15 сводит все это на "нет", так как эти 6 характеристик при классификации не учитываются, и никаких ИТД просто не может быть!

    Более того, если посмотреть логику пункта 14, то налицо еще одно противоречие базовым принципам ИБ: не УЩЕРБ определяет класс, а КЛАСС определяет ущерб! Но об этом есть планы написать еще одну публикацию ;)

    И наконец, пункт 16 позволяет вообще не использовать "кривую логику" п. 14 и 15 Приказа для специальных ИСПДн - остается пункт 5 с Перечнем из 8 пунктов, и именно так операторы и влияют на класс ИСПДн - путем проведения мероприятий, изменяющих основные ее характеристики. Так что все корректно.

    ОтветитьУдалить
  14. Алексей, Вы забыли про следующее X нпд может принимать следующие значения:
    3 - в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.
    В нашем случае происходит обработка ПДн в пределах конкретной организации,что говорит о том что предварительно можно присвоить 3-й класс, а затем на основании модели угроз поддтвертить или опровергнуть это.

    ОтветитьУдалить
  15. to Maksim: нет, не забыл.

    К сожалению, именно этот параметр вызывает ОООООчень много вопросов. Что значит в пределах конкретной организации - это одна организация их обрабатывает (владеет ИСПДн) или обрабатываются ПДн сотрудников одной организации? Если первое - то да, конечно, можно попробовать дать ей 3 класс, но вот если второе - тогда никак.

    Кроме того, можно возразить, что данные обрабатываются хоть и в одной организации, но зато по всей России и более 100 тысяч записей, а эти 2 пункта имеют явный перевес над одним, так что - К1 по-любому! Да и регуляторы в своих выступлениях при классификации отдают приоритет именно количеству записей...

    Вот такая у нас классификация :)

    ОтветитьУдалить
  16. Сколько не сталкивался с трактовкой "обрабатываются ПДн сотрудников одной организации", ни разу регуляторы не высказывали никаких противоречий, тем более это же предварительная классификация, после которой следует разработка МУН, по итогом которой и делается акт классификации. А на счет перевеса, никто нже не определял весомость того или иного аргумента). Кстати ФСТЭК так и рекомендует делать, сначала предварительную классификацию, по таблице.

    ОтветитьУдалить
  17. to Maksim: написано дословно "персональные данные субъектов персональных данных в пределах конкретной организации", если трактовать это как "обрабатываются ПДн сотрудников одной организации" то примерная ИСПДн под такую трактовку не подходит, так как обрабатываются ПДн сотрудников разных организаций. А вот если "пределы одной организации" означают пределы ВЛАДЕНИЯ этой ИСПДн (то есть имеется конкретное юридическое лицо, которое является ее владельцем - грубо говоря издало акт классификации этой ИСПДн) - тогда конечно :)

    ОтветитьУдалить
  18. to Maksim: нет, пардон, примерная все же подходит. Вопросы возникнут тогда, когда эта же ИСПДн будет обрабатывать ПДн сотрудников разных организаций, а лучше для примера подойдет - одна организация обрабатывает ПДн, например, клиентов. Вот тут и придется разбираться - что же все-таки стоит за словами "в пределах конкретной организации"...

    ОтветитьУдалить
  19. topless-freak9.11.10

    ... только ПДн должны быть в пределалах конкретной организации, или же субъекты должны быть в пределах этой организации вместе со своими ПДн, а если второе - то каким образом - трудовой договор или просто договор, или что-то еще ...

    ОтветитьУдалить
  20. Согласен, но тут и необходимо принимать решение готова ли организация повышать класс, и опять же есть 5-я сатья 152 ФЗ п.5: о недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных. У обработки ПДн сотрудников своей компании одни цели, при обработке ПДн сторонних организацийй другие.

    ОтветитьУдалить
  21. to topless-freak субъекты должны быть в пределах этой организации вместе со своими ПДн, с заключение трудового договора... и всеми вытекающими последствиями.

    ОтветитьУдалить
  22. to Maksim:

    > субъекты должны быть в пределах этой организации

    Возможно. А я скажу - только ПДн в пределах конкретной организации, и тоже буду прав. "персональные данные субъектов персональных данных в пределах конкретной организации" - это "казнить нельзя помиловать"

    Про цели - спору нет. Однако (и Вы это говорите)если мы полагаем, что сначала проводим "предварительную" классификацию по "типовой" и присваиваем К3, а потом составляем ЧМУ и подтверждаем или опровергаем класс, то почему то же самое нельзя сделать для специальных ИСПДн, классифицированных на предварительном этапе как К2 или К1? Юридически что мешает? Ничего. И в ту, и в другую сторону :)

    ОтветитьУдалить
  23. topless_freak9.11.10

    С формальной точки зрения опровергнуть методику Волкова невозможно, де-юро она верная. С понятийной точки зрения - "чувствую, что накалывают, но не понимаю - где". Нигде. Эти "понятия" внушает операторам регулятор. Жить "по понятиям" или по закону - выбор за оператором.

    ОтветитьУдалить
  24. to Алексей Волков:
    Вот именно ничего, просто так сложилось что ссылаясь на типовую классификацию, проще обосновывать регуляторам свою точку зрения, а если говорить про понижение класса с помощью МУН или ЧМУН то нужно искать неоспоримые аргументы.

    ОтветитьУдалить
  25. to topless_freak: 5 баллов!

    Maksim: хороший комментарий. Именно в этом и есть суть поста. Аргументы. И я постарался их привести. Плюс к этому - надо все-таки учиться жить не "по понятиям" и не "ложиться" под регуляторов, а обосновывать и доказывать свою правоту с точки зрения законодательства (пусть и "кривого", но все же). Иначе никогда в этой стране не станет жить лучше.

    ОтветитьУдалить
  26. to Maksim:
    "а если говорить про понижение класса"
    Предлагаю еще раз вернуться к Приказу трех. О каком понижении класса вы говорите? У вас специальная ИСПДн, нету для нее классов К1 - К4 (неприменимы эти классы к специальной ИСПДн). Их требования можно (и желательно) учитывать, но в настоящее время это не обязательно.
    Формально, вы можете классифицировать вашу специальную систему как "С15" и задать для нее свои требования (кстати, опять же формально требования из приложения к 58 приказу ФСТЭК никакого отношения к специальным ИСПДн не имеют).
    PS. Понижение класса и/или требований - не самая лучшая практика. Куда лучше при разработке проектного решения показать, что требование "закрывается" применением технических / организационных мер или особенностями технологии обработки информации.

    ОтветитьУдалить
  27. С Валентином я согласен - это мы "терли" в начале обсуждения :)

    ОтветитьУдалить
  28. 3 - в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации. по моему здесь четко написано, что субъекты должны находится в пределах одной организации.
    На счет аргументов, при обосновании неактуальности той или иной угрозы мы как эксперты высказываем свое предположение, и аргументируем его, на что регуляторы часто парируют тем, что у эксперта нет достаточной оперативной информации о планах злоумышлеников, соответственно все аргументы можно оспорить, а типовая классификация это достаточно весомы аргумент, как показывает мой опыт общения с регуляторами.

    А насчет "понятий", то в нашей стране произошла подмена смысла этого слова. Как по мне понятие=идея, убеждение, а без них жить нельзя.
    Извиняюсь за отступленеие от темы.

    ОтветитьУдалить
  29. to Maksim:

    > оперативной информации о планах злоумышлеников

    Ага, в военное время ведь живем :)

    > понятие=идея

    Тюремно-лагерный жаргон, бытующий у нас до сих пор, оставляет уровень мышления общества на прежнем - безыдейном - уровне.

    ОтветитьУдалить
  30. >поэтому логика "сначала конфиденциальность, потом все остальное" представляется мне весьма спорной

    Логика не СНАЧАЛА конфиденциальность, а потом остальное, а в том, что ОДНА конфиденциальность защищается должна меньшими силами чем конфиденциальность плюс еще что-то))

    >В четвертых, с юридической точки зрения этот документ касается именно ТИПОВЫХ ИСПДн, к специальным он не имеет никакого отношения

    Совершенно верно - это очевидный косяк ФСТЭК
    Но нам же надо как то выходить из положения. Потому я и сказал, что метод классификации, предложенный в докам минкомсвязи заслуживает внимания ИМХО )

    ОтветитьУдалить
  31. > Логика не СНАЧАЛА конфиденциальность, а потом остальное, а в том, что ОДНА конфиденциальность защищается должна меньшими силами чем конфиденциальность плюс еще что-то

    Защищаться больше должно то, нарушение чего приводит к большему ущербу. А по логике этого документа (да и подхода регуляторов в целом) - именно конфиденциальность является приоритетной. До сих пор "оранжевой книгой" бредят.

    ОтветитьУдалить
  32. topless_freak10.11.10

    Защищаться больше должно то, нарушение чего приводит к большему ущербу.

    Не-а. "ОБЕСПЕЧИВАТЬСЯ". Как можно доступность защитить? Доступность и конфиденциальность диаметрально противоположные взаимоисключающие понятия.

    ОтветитьУдалить
  33. методика не нова вроде.
    в рекомендациях минздрава медицинская система классифицируется как специальная, а на основании модели угроз делается вывод о соответствии необходимых мер тем, что предлагаются фстэком для типовой к3

    ОтветитьУдалить
  34. да, и это круто кстати

    ОтветитьУдалить
  35. > методика не нова вроде

    Я потому и сказал, что "говорят неохотно или не говорят вообще" ;)

    ОтветитьУдалить
  36. ну я бы так не сказал :)

    помимо рекомендаций арб и минздрава, еще испдн москвы так классифицируют:
    http://ui.mos.ru/ru/libraly/recomendations/index.php?page23=3&id19=112&i19=1

    а из интеграторов такой подход вроде бы у крока в презентациях видел, наверняка другие есть

    ОтветитьУдалить
  37. to pushkinist:

    > ну я бы так не сказал :)

    Дык и я бы тоже :) Кстати - по ссылке: а где там тема-то? В акте классификации - пустое поле - пиши чо хочешь...

    ОтветитьУдалить
  38. хм..
    там где-то еще были рекомендации, если не ошибаюсь, с примерами классификации и там просто "специальная".
    если найду док, кину линк

    ОтветитьУдалить