вторник, 16 августа 2011 г.

Откуда есть - пошло. Часть 1.


Как я и обещал, эту неделю посвящаю подготовке некоей идеи, способной "вписаться" в нагромождения действующего с 1 июля 2011 года закона 152-ФЗ и подзаконных актов, имеющих непонятный статус. Публиковать материал буду тремя частями: поскольку третьей части еще нет, вторая сделана наполовину, но зато есть первая - соображения о направлении полета мысли законотворцев для выполнения правительством части 3 статьи 19 - это сегодня и предлагаю обсудить.


Если проводить сравнительный анализ того, что было, с тем, что стало - может показаться, что часть 3 19-й статьи не привнесла ничего особо нового. Давайте еще раз посмотрим на формулировки:

Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:
1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;
2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

При ближайшем рассмотрении, сходство с последним абзацем ФСТЭКовской "Методики определения актуальных угроз безопасности ПДн при их обработке в ИСПДн" налицо:

С использованием данных о классе ИСПДн и составленного перечня актуальных угроз, на основе «Рекомендаций по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и «Основных мероприятий по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» формулируются конкретные организационно-технические требования по защите ИСПДн от утечки информации по техническим каналам, от несанкционированного доступа и осуществляется выбор программных и технических средств защиты информации, которые могут быть использованы при создании и дальнейшей эксплуатации ИСПДн.

Более того - именно в "Методике..." мы встретим ни что иное, как термин "уровни защищенности", точнее - "уровень исходной защищенности", определяемый исходя из технических и эксплуатационных характеристик ИСПДн и используемый далее как один из параметров для определения актуальности угрозы, исходя из которой выбираются "Методы и способы..." ее нейтрализации. Что касается ч. 3 ст. 19 - то здесь обратная логика: УРОВЕНЬ ЗАЩИЩЕННОСТИ определяется исходя из актуальности угроз безопасности. Это первый принципиальный момент.

Не смотря на то, что "Рекомендации по обеспечению безопасности ПДн при их обработке в ИСПДн" уже давно отменены, заглянем еще раз в этот замечательный документ. Что мы видим? Прежде всего то, что глава 3 "Рекомендаций..." практически полностью повторяет "приказ Трех", в котором есть практически все, что нужно в ч. 3 ст. 19: и "объем" (аналог параметра Хнпд), и "содержание" (аналог Хпд - категория ПДн) и, как ни странно, "вред". Таковым являются "негативные последствия", которые могут быть значительными-незначительными, сформулированным при декларировании класса типовой ИСПДн (как в "приказе Трех"), либо "ущерб", который может быть непосредственным-опосредованным, как указано в "Рекомендациях...". Вот только на УРОВЕНЬ ЗАЩИЩЕННОСТИ все это никак не влияет, и это - второй принципиальный момент.

При желании, можно попытаться к "виду деятельности" прицепить разделение ИСПДн на государственные, муниципальные, юридические и физические, как это сделано в "Рекомендациях...", и приладить каким-то боком отрасли-территории, которые имеют место быть в "приказе Трех", но это, во-первых, будет шито белыми нитками, а во-вторых, по прежнему не будет оказывать никакого влияния на УРОВНИ ЗАЩИЩЕННОСТИ. Можно так же сказать, что "уровень исходной защищенности" в определенной мере оказывал влияние на требования к защите ПДн, но это, как мы уже выяснили, другой термин. Что же касается требований к носителям биометрических ПДн - то они, в соответствии с ПП-512, были установлены "чохом" и без всяких "требований", "уровней" и "актуальных угроз".

Что получается в сухом остатке? Учитывая изложенное выше - существующие методики  необходимо "поправить" и, с учетом имеющейся терминологии, объединить и переработать так, чтобы центральным звеном были именно "уровни защищенности". В моей голове складывается такая вот картинка:


Что на ней не так? Прежде всего, стрелка от "актуальных угроз" к "уровням защищенности". Этот момент, является наиболее противоречивым: какой смысл ориентироваться на угрозу ДАННЫМ при определении уровня защищенности на основе вреда СУБЪЕКТУ? По идее, эти угрозы нужно рассматривать на этапе разработки требований к защите, но ничего не поделать - момент определен законодательно, а значит, надо как-то их "прикрутить". Второе, что бросается в глаза - это следование биометрии из требований к защите и, соответственно, из уровней защищенности. Этот момент отражен мной в такой конфигурации потому, что требования к хранению носителей должны происходить от целей обработки биометрических ПДн: согласитесь, что хранение оцифрованной ДНК в ИСПДн судмедэкспертизы и хранение флешки с фотографиями с корпоратива - не одно и то же, и законодательству такой подход не противоречит.

Но самое главное - найти ответ на вопрос: КАК увязать такое количество параметров при определении исходного результата? Этим мы, уважаемые коллеги, если успею, займемся завтра (будет поинтереснее), а пока прошу высказывать Ваши соображения по стрелочкам и кубикам.

28 комментариев :

  1. Sergey Borisov16.8.11

    Не совсем понятно на счет "уровней защищенности":
    - это текущий "уровень защищенности" или
    - требуемый "уровень защищенности"?

    ОтветитьУдалить
  2. Sergey Borisov16.8.11

    Кстати не вижу противоречий с ч.3 ст. 19 если уровни защищенности определяются на основе только актуальности угроз,
    а требования к защите определяются на основании видов деятельности, вреда субъекту ПДн, Объема ПДн, содержания Пдн, актуальных угроз, уровней защищенности.

    ОтветитьУдалить
  3. Сергей С16.8.11

    Сомневаюсь только о влиянии угрозы на вред.

    ОтветитьУдалить
  4. Denis Pashchenko16.8.11

    По поводу связи "угрозы - уровень защищенности": в качестве угроз можно рассматривать изначальную защищенность ИС, из которой вытекают возможные угрозы, например: подключения к сети интернет, изоляция ИС в целом от ЛВС, распределенность ИС и т.д. - как раз практически все те параметры, которые, как было верно подмечено, использовались при определении исходного уровня защищенности. И он может лечь вполне неплохо, достаточно отказаться от ненормальных привязок к коэффициентам, когда из-за факта подключения к сети Интернет повышалась актуальность угрозы недоверенной загрузки. Сделают неповредственную связку - будет адекватно, будут как раз некоторые "наборы актуальных угроз", которые характерны тому или иному исполнению ИСПДн.
    Соответственно, уровень защищенности будет опять же некоторым обозначением: a1, b1, b2 и т.д., стоящем на пересечении матрицы вышеуказанных наборов угроз и параметра, связанного с количеством, составом, видами и вредом (кстати, при общем рассмотрении потенциальный вред субъекту и будет складываться из состава обрабатываемых его данных - что может быть максимально расскрыто и видов деятельности по обработке - в каких процессах могут быть ошибки: выплата зп или налогов, привлечение к ответственности, ошибки оказания медицинской помощи и т.д.).
    Итого получаем некоторую более расширенную классификацию, в которой к хорошо знакомым классам привязаны и некоторые характерные возможные угрозы. Требования к защите могут формироваться на их основании + опять же актуальными угрозами, только теперь уже не общими наборами, а более детальном рассмотрении, спецификации и именно опредлении актуальности.
    Это по сути старый знакомый подход, но немного переделанный и спрятанный за красивые слова в ФЗ, но все же в них вписывающийся. А учитывая, что все документы от любимых органов - "хорошо забытые" старые, то такой вариант мне видится вполне возможным. Кстати, хорошо, если это так будет, а не накрутят ещё больше и неадекватнее, чем было.

    ОтветитьУдалить
  5. Sergey Borisov16.8.11

    Можно ещё такой вариант зависимостей

    ОтветитьУдалить
  6. Sergey Borisov16.8.11

    Можно ещё такой вариант зависимостей

    ОтветитьУдалить
  7. Прошу прощения за бестактность, но я не мог этого не отметить. Я не читал Ваших постов месяца три, потому что боялся сломать мозг об
    обилие цитат из разных мест, но теперь думаю что правильно делал - схема
    из этого поста категорически неправильная.

    Попробуйте отказаться от анализа старых и отмененных документов - каша
    от туда перемещается в Ваши посты и это вводит и Вас и остальных в
    заблуждение. Если анализировать только действующее законодательство,
    причем соблюдая строгий логический порядок - от самых приоритетных и
    ниже - можно избежать многих "парадоксов"...

    ОтветитьУдалить
  8. Вы можете и дальше не читать - дело хозяйское. Что касается критики - она не конструктивна. Попробуйте сами что-то предложить, а не советуйте другим "попробовать".

    ОтветитьУдалить
  9. В этом направлении и будем думать...

    ОтветитьУдалить
  10. Вред субъекту должен быть определяющим. Я лично не виду никакой прямой взаимосвязи между объемом и содержанием ПДн и вредом. Вот вид деятельности - да, и объем с содержанием - дополнительные "усугубляющие" факторы. Что касается угроз - то по моему мнению, некорректно рассматривать угрозы данным совместно с вредом субъекту, и тем более ставить угрозы данным во главу угла.

    ОтветитьУдалить
  11. Этот же метод определения вреда используется в типовой классификации. Я с ним категорически не согласен, потому как считаю, что обработка одних и тех же ПДн в одинаковом объеме на интернет-сайте med.ru и в медицинской организации способна нанести совершенно различный вред.

    ОтветитьУдалить
  12. Хорошо, первое мое конструктивное замечание: не стоит ссылаться на давным давно отмененные документы.
    Второе, не нужно смешивать защиту ПДн в ИСПДн и требования по хранению биометрии - это совершенно разные области регулирования.
    Третье, на картинке вовсе не указано то, что на актуальные угрозы влияет характер и способы обработки ПДн
    Четвертое, нарушена логика формирования требований: актуальные угрозы не влияют прямо на требования к защите, а лишь опосредовано через уровень защищенности. Также вид деятельности влияет на уровни защищенности опосредовано - через отраслевую модель угроз. Содержание обрабатываемых ПДн влияет на уровень защищенности также опосредовано - через модель угроз.
    Ну и так далее...

    А я уже давно предложил свое - в собственном ЖЖ. Аш дважды.
    Тут http://avetjan.livejournal.com/20017.html и тут http://avetjan.livejournal.com/20708.html

    ОтветитьУдалить
  13. ОК. Первое: я не ссылаюсь, я провожу исторические параллели, ибо сказано - кто не помнит историю, не имеет будущего. Второе: а что - биометрические ПДн в ИСПДн не обрабатываются - к ним нужен особый подход? Зря Вы в таком случае посты не читали 3 месяца. Третье: согласен, я это все называю "технологии обработки", но это обсудим в следующем посте. Четвертое: про актуальные угрозы - вопрос чему? Если субъекту - то это одно, если данным - то это другое. Это связано с третьим - поэтому во второй части. Относительно "отраслевой" - Вы заблуждаетесь: термина "отраслевой" в законодательстве нет, а уровни защищенности  устанавливаются правительством вне зависимости от того, что придумают "ассоциации, объединения и проч". Про содержание - так это как раз старый принцип, от которого Вы уговариваете меня откреститься, но сами к нему возвращаетесь. В том числе и термин "модель угроз".

    ОтветитьУдалить
  14. Я полагаю, что требуемый. Хотя если "текущий" - тогда Ваши картинки имеют место быть вполне...

    ОтветитьУдалить
  15. 1) Читайте закон внимательнее, история при формировании оценки текущего законодательства вовсе не к чему.
    2) Особенности связанные с технологиями хранения биометрии не связанны с особенностью их автоматизированной обработки в ИСПДн.
    3) Отраслевая не означает "от ассоциации", а говорит об отрасли, которую регулируют соответствующие ведомства, ЦБ и фонды
    4) Читайте закон еще внимательнее, особенно про "с учетом
    содержания персональных данных, характера и способов их обработки".

    Не говорите о том что "я делаю" - это не "я делаю", а Вы думаете, что я так делаю.
    Говорите где я ошибаюсь, если конечно найдете о чем говорить.

    ОтветитьУдалить
  16. 1. Спасибо за совет, но у меня на этот счет своя точка зрения.
    2. Не согласен - пример с флешкой с фото с корпоратива и ДНК для судмедэкспертизы мне кажется исчерпывающий.
    3. Читайте закон внимательнее либо приведите пункт, где написано, что уровни защищенности устанавливаются с учетом этих положений.
    4. Ответ не соответствует вопросу. Цитату я привел и читать умею не хуже Вашего.

    Делайте, что считаете нужным - дело хозяйское. А ошибаться может каждый. Вопросы я задал, однако конструктивных ответов кроме персональных аксиом я так и не получил.

    ОтветитьУдалить
  17. Ваши предложения изучил, хотя это не предложения, а скорее - персональный анализ подхода, зашифрованного в законодательстве. Вот если бы Вы описали F и ее аргументы - вот это были бы предложения. А пока увы. Ну а покритиковать в свойственной Вам манере Вы сможете и F и аргументы после выхода второй части :)

    ОтветитьУдалить
  18. > Вопросы я задал, однако конструктивных ответов ... я так и не получил.

    Я просто постарался указать на ошибки в ходе Ваших рассуждений и их возможные источники, чтобы помочь разрешить это обилие "парадоксов" в выводах.
    Делать совместную работу над ошибками в мои планы не входит.

    ОтветитьУдалить
  19. В таком случае, спасибо за оказанное внимание. Тем не менее, вынужден констатировать, что Вы выступаете с позиции "всезнающего Гуру", которому известна истина и который указывает простым смертным на ошибки, оставляя их исправление на их собственное усмотрение. При этом истина - это некая аксиома, обоснование которой сокрыто от остальных "мирян". Такая позиция в мировых религиях дозволена только Богу и лицам, к нему приближенным. С чем Вас и поздравляю :)

    ОтветитьУдалить
  20. Вы в такой позиции частенько оказываетесь, на экзаменах, например.
    Мне вот никак ассистента не дадут, сижу в инженерах. Приходиться компенсировать недостаток асимметричного общения с доцентами, должен же и Вам кто-то ставить оценки;)))

    ОтветитьУдалить
  21. И F и аргументы по сути еще не известны - еще нет собственно подзаконников. Но модель в которую они встроятся заложена в законе.
    Часть вторую почитаю, но вряд ли буду что-то писать.

    ОтветитьУдалить
  22. Вот как раз аргументы и F - и является той самой "идеей", которую мы и будем пытаться одобрить или отвергнуть. Идея это будет НАША. Этот пост - лишь формирование некоторых "допущений", как и в любой теореме. И они уже почти сформулированы. Будем пробовать доказать.

    ОтветитьУдалить
  23. > Идея это будет НАША.

    Уже боюсь)))

    ОтветитьУдалить
  24. Эээээ нет, на экзаменах - Студент царь и Бог. Я - лишь простой смертный, которому Он пытается объяснить, почему нужно дать пожертвование в виде золота, а не меди :) А в остальном - общение это конечно здОрово, но Артем, конструктива реально мало :(

    ОтветитьУдалить
  25. Не бойтесь, лучше смело пишите. А пока кроме Вас и двух Сергеев (кстати, все трое правы по-своему) никто ничего не сказал. Так что будем продолжать. Сомневаюсь, что все будет так как надо, скорее - так, как было, но на новый лад. Потому и исторические параллели привожу. Бюрмашина неповоротлива и консервативна.

    ОтветитьУдалить
  26. > конструктива реально мало :(

    Смотрите еще внимательнее.
    Кроме того, никто и не обещал Вам в коментах выложить весь конструктив. Конструктив в моих постах, для заявленных целей этого достаточно. И было сказано: "Я просто постарался указать на ошибки..."

    ОтветитьУдалить
  27. Злые у Вас доценты, суровые, я бы сказал :)

    ОтветитьУдалить