воскресенье, 21 августа 2011 г.

Откуда есть - пошло. Часть 3.


Как я и обещал, публикую третью, заключительную часть изысканий относительно Идеи, из которой может происходить предполагаемый состав и содержание подзаконных актов, реализующих требования статьи 19 закона 152-ФЗ. И для начала - апгрейд картинки.


Относительно "прироста" снизу расскажу чуть позже, сейчас же попрошу Вас вспомнить о правиле № 2 из предыдущей части, позволяющей вывести следующее:

1.1. Критичные Технологии Обработки = F (Содержание ПДн, Характер Обработки, Способы Обработки, Вред Субъекту)
1.2. Воздействие на Частную Жизнь = F (Критичные Технологии Обработки, Меры Защиты)
2.1. Уровни Защищенности = F (Содержание ПДн, Характер Обработки, Способы Обработки, Угрозы Данным)
2.2. Требования по Защите = F (Уровни Защищенности, Вред Субъектам)

Принимая во внимание "выноса" вреда субъекту в 152-ФЗ за пределы этой функции и его последующему учету при определении результирующего набора требований, а также с учетом правила 2, мы можем смело апроксимировать:

Актуальные Угрозы = Критичные Технологии Обработки.

Правда, для того, чтобы это тождество было приемлемо на законодательном уровне, нам необходимо выполнить второе условие: определять критичные технологии обработки исходя из возможных угроз данным, и правильно формулировать актуальные угрозы. Например, всем известна угроза под названием "инсайдерские риски". Практика показывает, что чем больше сотрудников имеют доступ к защищаемой информации, тем выше вероятность реализации угрозы нарушения конфиденциальности данных. Очевидно, это и будет критерием для определения "критичных технологий" обработки: требуемый уровень защищенности должен быть тем выше, чем больше сотрудников занимаются обработкой ПДн:

Таблица 2-1. Число лиц, которым предоставлен доступ к ПДн субъекта в рамках конкретной ИСПДн. 
ЧЛ0
До 10
ЧЛ1
От 10 до 100
ЧЛ2
От 100 до 1000
ЧЛ4
Свыше 1000

Что можно еще напридумывать? Да много всего - у кого на сколько фантазии хватит. Кстати, вполне можно воспользоваться "приказом Трех" - теми "исходными данными", которые собирались, но не использовались при классификации. Для демонстрации идеи, у меня получился следующий список:

Таблица 2-2. Структура ИСПДн.
С0
автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места)
С1
комплексы автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы)
С2
комплексы автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы)

Таблица 2-3. Наличие подключений к сетям связи общего пользования и (или) сетям международного информационного обмена
ПСОД0
Отсутствует
ПСОД1
Присутствует

Таблица 2-4. Режим обработки ПДн
РО0
Однопользовательский
РО1
Многопользовательский

Таблица 2-5. Использование биометрических ПДн для автоматической идентификации субъекта в ИСПДн
БИ0
Нет
БИ1
Да

Таблица 2-6. Использование одинакового набора ПДн для идентификации субъекта в разных ИСПДн (кросс-идентификация)
КИ0
Отсутствует
КИ1
Присутствует

Таблица 2-7. Использование технологий автоматического определения местоположения
МП0
Не используется
МП1
Используется

Таблица 2-8. Одновременное использование нескольких категорий ПДн и (или) технологических решений для идентификации в ИСПДн
ОИ0
Не используется
ОИ1
Используется

Что дальше. Дальше необходимо определить требуемые уровни защищенности, например, так:

Таблица 2-9. Уровни защищенности.
УЗ0
Отсутствует
УЗ1
Минимальный
УЗ2
Базовый
УЗ3
Расширенный
УЗ4
Высокий
УЗ5
Максимальный

и каким-то образом соотнести их с "актуальными угрозами", определенными ранее. К сожалению, ничего другого, кроме как составления матрицы, аналогичной той, что приведена в части 2 (если таблиц будет мало), либо определения "весовых коэффициентов" для каждого параметра из указанных выше таблиц (если параметров будет много), в мою голову так и не пришло. Кстати, такую же технику использует и PIA, поэтому ничего зазорного в ней, в общем-то, нет.

Единственное - нужно обеспечить подбор значений коэффициентов так, чтобы при нулевой сумме УЗ был равен 1. Для чего тогда нужен УЗ0? Объяснить это поможет функция F2, на которую теперь подаются 2 параметра. Первый - "вред субъектам", который мы считали в предыдущей части, и который, при нулевом его значении, как раз и способен "сдвинуть" F2 в  сторону УЗ0. Чем выше "вред субъектам" - тем выше может быть значение УЗ` = F2 (УЗ,ВР), и наоборот. Таким образом, необходима еще одна "матрица", вроде той, что приведена в таблице 1-6 части 2.

Кто же будет определять актуальные угрозы для установления УЗ? Ответ нужно искать в ч. 5 ст. 19 152-ФЗ: это именно те министерства и ведомства, которые регулируют соответствующий вид деятельности, определенный во 2 части в таблице 1-1! Для федеральных служб и министерств - ФСБ и ФСТЭК, для банковской деятельности и кредитно-финансовых учреждений - ЦБ РФ, для работодателей - Минтруда и соцразвития, для медицинских учреждений - пенсионный фонд РФ, охранная деятельность (в том числе СКУД) - МВД, для интернет-сервисов - Минкомсвязи, ну и так далее.

Второй параметр - "вред операторам" - представляет собой ни что иное, как избыточные меры по технической защите, установленные законодателем. Для них, как видим, существует своя, альтернативная "ветка" с такими же механизмами и, по идее, способная оказать  "компенсирующее" воздействие на УЗ в случае, если оператор использует некоторые специфические технологии, не присутствующие в "законодательном" списке. Но, согласно части 6 ст. 19 угрозы, определяемые "союзами, ассоциациями и иными объединениями", могут быть использованы "наряду" с тем, что установили государственные регуляторы, а это означает, что второй параметр будет иметь действие "повышающего" коэффициента.

Теперь что касается требований по защите, "исполнение которых обеспечивает установленные уровни защищенности" (кстати, именно слово "установленные" говорит о том, что уровни должны быть именно "требуемые", а не "исходные", как было ранее). Здесь все, на мой взгляд, очень и очень просто: учитывая огромное количество государственных структур, "осуществляющих функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности", без предварительного анализа и группировки число строк в таблицах 1-1 и 2-9 должно в точности соответствовать их общему количеству. Задача ФСТЭК и ФСБ будет заключаться в том, чтобы проанализировать весь этот "ворох" актуальных угроз, для каждой угрозы выработать свое требование, каким-то образом сгруппировать их, и соотнести УЗ с группой требований, специфичных исключительно для него. Таким образом, один или несколько ВД могут "попасть" в один УЗ, для которого будут выработаны соответствующие требования.

Самое главное - то, о чем говорил Ригель в части 2, если я его, конечно, правильно понял. Давайте представим, как могла бы выглядеть картинка, если бы законодатель под термином "объем" подразумевал "содержание":




Таким образом, все возгласы о пользе статьи 18.1, включая "вред субъектам" и "баланс интересов", сведутся "на нет": уровни защищенности будут сформулированы регуляторами исходя из "общности" угроз для определенных видов деятельности, для каждого из них будут выработаны соответствующие требования, и в итоге мы получим такую вот таблицу:

Таблица Х...

Виды деятельности
Уровень защищенности
Требования по защите
ВД1-ВД2
УЗ1
А
ВД3
УЗ2
А+Б
ВД4
УЗ3
А+Б+В
ВД5
УЗ4
А+Б+В+Г

В конечном счете, "типовых" ИСПДн станет великое множество за счет существенного увеличения количества этих самых "типов", ни о каком вреде, ни о каком "объеме" и влиянии их на требования по защите можно даже не думать, а об отраслевых стандартах, кроме тех, что можно разработать регулятору, "курирующему" соответствующий вид деятельности - нужно будет забыть раз и навсегда. А всего-то и нужно - "забыть" про объем или "переставить" его в другой квадратик!

Итак, к чему мы пришли. Прежде всего, что нужно сделать Минкомсвязи - это определиться с видами деятельности, найти "хозяев" для каждого из них (того, кто будет разрабатывать соответствующие угрозы), утвердить этот перечень у премьер-министра и поставить жесткие сроки. Пока те, совместно со ФСТЭК, будут определять угрозы, Роскомнадзору необходимо проранжировать перечень видов деятельности в зависимости от вреда субъекту, а также подумать над категориями данных. А дальше все будет зависеть от "объема"...

Комментариев нет :

Отправить комментарий