пятница, 27 апреля 2012 г.

Уровни и требования


Не так давно ФСБ в лице Правительства РФ "порадовала" наше скромное, но небезразличное сообщество новыми требованиями, предъявляемыми к организациям, осуществляющим деятельность в области криптографии - и вот, на подходе два новых "шедевра", затрагивающих, на этот раз, куда более "массового" потребителя. Знакомьтесь - проекты долгожданных постановлений Правительства Федеральной службы безопасности РФ "Об установлении уровней защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных", и "О требованиях к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных".

Выложены они на сайте ФСБ с целью сбора, цитирую, "экспертных заключений по результатам проверки на антикоррупционность", а это значит, что предложения экспертов относительно приведения проектов в соответствие законодательству РФ и, собственно, здравому смыслу, приниматься регулятором не планируются. А очень бы хотелось - ведь с антикоррупционностью у этих документов, на первый взгляд, все в порядке. Ну а с чем есть проблемы - попробую обрисовать.

Вы, дорогие читатели, наверное, помните серию постов (первая, вторая и третья части), отражающих мои размышления по поводу того, какими эти документы могли быть? Забудьте - ничего этого в выложенных проектах нет, даже в первом приближении. Вместо красивой картинки с массой факторов и условий, отражающих требования законодательства, ФСБ решила использовать примитивную конструкцию, не отражающую вообще ничего:

УЗ = f (Kj, Ki), где Ki = f (Объем, Содержание), Kj = f (Ы).

Рассмотрим переменные этой функции, и начнем с Объема , О. На первый взгляд, О скопирован с характеристик, указанных в "Приказе Трех", но на самом деле это не так: при ближайшем рассмотрении, исчезли дополнительные характеристики, отражающие т.н. "охват", или "масштаб" обрабатываемых ПДн (в пределах предприятия, отрасли экономики, субъекта федерации). С одной стороны - это правильно, ведь речь идет только об Объеме, но вот к чему это приведен - рассмотрим далее.

Вторая переменная - Содержание, С. Аналогичная ситуация - вроде бы, скопировано с того же Приказа, ан нет - есть принципиальные различия. Прежде всего, из контекста следует, что совокупность ПДн вида "фамилия, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе" позволяет ОДНОЗНАЧНО идентифицировать их обладателя! Иными словами, есть у Вас, скажем, паспортные данные Иванова Сергея Петровича - точь-в-точь, как выше написано. Приходите Вы по указанному адресу, двери открывает мужик: вуа-ля - Вы точно определили, кто это - Иванов С.П. или нет! Я знал, что Российский паспорт способен творить чудеса, но чтоб настолько... Более того - если Вы обрабатываете паспортные данные + еще что-то (например, год рождения) - Вам никогда не выйти за значение функции Ki ниже, чем К2, а если Вы обрабатываете данные более 100 тыс. субъектов - К1, без вариантов.

Идем дальше. Переменная Ы. Почему Ы? Очевидно - чтоб никто не догадался. Я перечитал "Методику определения актуальных угроз..." ФСТЭК и "Методологию формирования модели нарушителя..." ФСБ и не смог этого сделать. В проекте нарушитель наделяется двумя свойствами - в 14 (потенциал) и 15 (внешний, внутренний) пунктах, однако на деле используется только первое из указанных свойств. В пункте со счастливым номером 13 сказано, что ВСЕ угрозы, отраженные в модели, считаются АКТУАЛЬНЫМИ, и лично я, исходя из расшифровки значений функции Kj могу сказать то же самое и о нарушителях.

Как известно, большинство современных злоумышленников (как "коммерческих", так и "обычных") используют "эксплойты" - иными словами, уязвимости (то бишь недекларированные возможности) в прикладном или системном ПО, обнаруженные специалистами в области защиты информации, а также "конструкторы" для создания вредоносного ПО, разработанные такими же "спецами". Давайте внимательно посмотрим на "потенциал", а именно - на КН3. Заметили сходство? Потому, де-факто, нарушитель КН3 будет актуален для ВСЕХ ИСПДн, а это значит, что все они "попадают в уровень" минимум УЗ2.

Теперь о втором проекте - определяющем требования. Проектом постановления отменяется ПП-781, но стало ли от этого лучше? Достаточно взглянуть на пункт 2, который однозначно отвечает "НЕТ" на этот вопрос: в нем, помимо традиционных формулировок, в императивной форме, перечисляются и криптография, и защита речевой информации, причем без вариантов.

Пункт 4 Проекта дублирует пункты 5, 18 и 19 ПП-781 - средства защиты информации, применяемые в информационных системах, проходят процедуру оценки соответствия, к каждому СЗИ должны прилагаться правила пользования, утвержденные  ФСТЭК и ФСБ, а сами средства подлежат учету "с использованием индексов или условных наименований и регистрационных номеров". Пункт 8 Проекта полностью повторяет аналогичный пункт ПП-781.

По идее, оператор, определив по первому Постановлению требуемый уровень защищенности своей ИСПДн, должен посмотреть во второе, увидеть в нем соответствующие требования по обеспечению безопасности ПДн и реализовать их. Изучив проект Постановления, я так и не понял, как между собой связаны Уровни и Требования - это два живущих отдельными независимыми жизнями понятия. Зато я увидел взаимосвязь там, где, собственно, увидеть ее не ожидал.

Посмотрите внимательно на пункт 6 проекта Постановления с "уровнями":

6. Уровень защищенности персональных данных при их обработке в информационной системе пересматривается оператором или лицом, осуществляющим обработку персональных данных по поручению оператора (далее – оператор):
по решению оператора, на основе проведенных им анализа и оценки угроз безопасности персональных данных с учетом особенностей и (или) изменений конкретной информационной системы;
по результатам мероприятий по контролю за выполнением организационных и технических мер, необходимых для выполнения установленных требований к защите персональных данных для каждого из уровней защищенности.

Прочитав это, я насторожился: не значит ли это, что государственные "контролеры" будут иметь право пересматривать уровень защищенности, установленный оператором? Однако, заглянув во второй документ, с "требованиями", сначала немного расслабился, ибо:

13. Операторами организуется и проводится периодический контроль (оценка) выполнения настоящих Требований.
Контроль (оценка) проводится операторами самостоятельно и (или) с привлечением  на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на  осуществление деятельности по технической защите конфиденциальной информации.
Сроки периодического контроля (оценки) выполнения Требований определяются оператором. Контроль  (оценка)  выполнения Требований осуществляется не реже одного раза в два года.

А потом - и вовсе махнул рукой: чего тут пересматривать, если для всех уже определен "операторский минимум"...

UPDATE: интересные моменты отражены в блогах Артема Аветяна и Сергея Борисова, тема для размышления есть в блоге Ригеля. Желающим поучаствовать в праздничной антикоррупционной экспертизе (2 мая истекает срок ее проведения) - просьба ознакомиться с постом Алексей Лукацкого, дабы понимать, чего, собственно, готовы рассматривать авторы "шедевров".

2 комментария :

  1. Анонимный9.5.13

    We are a bunch οf volunteеrs and opеning a new sсhemе in ouг communіty.

    Υour ωebsite οffered us ωith useful informatіon to work on.
    Үou haνe dοne a formidable proсess anԁ our whole neighborhοοd shall bе thаnkful
    to you.

    Ηere is my web sіte :: click for source

    ОтветитьУдалить
  2. Анонимный16.5.13

    Thіs іѕ actually the eаsily thе οne gгeаtest submit οf
    all time! Thanκ you so much.

    Also visіt mу wеb blοg http://dentalshout.com/profile/joshpmgyc0

    ОтветитьУдалить