• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Статья ФСТЭК Приказ №21

Всем привет! Сегодня я хотел бы затронуть тему защиты персональных данных со стороны требований Федеральной службы по техническому и экспортному контролю (далее – ФСТЭК), рассмотреть общие понятия и разобрать недостатки. В предыдущих статьях я раскрывал, общее понятие персональных данных, требования Роскомнадзора, подготовка к проверке РКН и еще много чего интересного (кому интересно ссылки на предыдущие статьи: Нарушения при проверке РКН: Рекомендации, Штрафы, Защита персональных данных, ФЗ-152, Проверка РКН, подготовка документов).

для статьи.jpg


Итак, помимо основного регулятора по персональным данным Роскомнадзора у нас также есть ФСТЭК со своими требованиями и приказами. На самом верху, как я и говорил у нас ФЗ-152, его мы пропускаем (если ты дошел до требований ФСТЭК, то значит ты уже знаком с ФЗ-152), далее идет ПП 1119 в котором прописано, что подборка средств защиты информации для СЗ персональных данных должна осуществляться оператором ИСПДн, в соответствии с НПА ФСТЭК и ФСБ (требования ФСБ в данной статье мы рассматривать не будем). Как раз – таки один из них это 21 приказ ФСТЭК от 18.02.2013г, который принят в соответствии с статьей 19 п.4 ФЗ-152. У ФСТЭК как и у Роскомнадзора есть плановые проверки и внеплановые. План проверок выставляется на сайте ФСТЭК в начале года. Поэтому рекомендую в начале каждого календарного года проверять не только план РКН но и ФСТЭК.

Далее мы рассмотрим подробно сам 21 приказ ФСТЭК.

Для простоты понимания, мы разобьем на блоки весь приказ.
Первый блок – это исходные данные которые у нас уже есть подходя к приказу:
  • Акт классификации ИСПДн (из него мы определяем класс защищенности)
  • Описание ИСПДн (характеристики ИСПДн, особенности функционирования ИС, перечень информационных технологий)
  • Результаты возможного вреда на ИСПДн (определение экономической целесообразности)
  • Модель угроз и модель нарушителя (актуальные угрозы и типы угроз)
Блок второй – мероприятия для реализации мер:
  • Выбор мер, подлежащих реализации в рамках системы защиты персональных данных:
  • Определение базового набора мер (определяем из приложения 1 из приказа соответствующий классу защищенности)
  • Определяем адаптированный базовый набор мер (Исключаем меры, связанные с угрозами несоответствующими ИСПДн, производим замену мер)
  • Уточняем адаптированный базовый набор мер (вносим коррективы из перечня, соответствующего более высокому классу защиты, если это требуется для нейтрализации угроз, также производим замену мер на компенсирующие, если это не экономически нецелесообразно)
Не забываем, что если мы производим замену на компенсирующие меры, то нам требуется их обосновать и оформить это, например, в виде документа о применимости мер. Документ должен быть утвержден руководством организации.
Также в конце данного этапа мы готовим окончательный перечень мер и оформляем это все в виде технического задания на систему защиты персональных данных.

Блок третий – реализация мер. Итак, мы определились с мерами защиты, составили техническое задание, теперь нам нужно определиться со способом реализации мер:
  • Реализация организационной меры
  • Реализация посредством внедрения средств защиты информации, прошедшие оценку соответствия (в случаях, когда применение этой меры нужно для нейтрализации актуальной угрозы)
  • Другие технические меры
На данном этапе мы окончательно определяемся с реализацией мер, определяем какие технические средства защиты нам необходимы (согласно требованиям) и оформляем это все в технический проект на систему защиты персональных данных.

Блок четвертый – внедрение. На этом этапе происходит поиск поставщиков, закупка, установка и настройка технических средств системы защиты персональных данных. Если хватает компетенции и есть свой специалист в организации, то данный этап можно произвести самостоятельно. Если же таких условий нет, то реализацию мер придется производить с привлечением сторонних организаций. Также хочу отметить, что оценку эффективности мер нужно проводить не реже 1 раза в три года, также самостоятельно или же с привлечение сторонних организаций.

Далее я хотел бы рассмотреть недостатки и недоработки данного приказа.
Ну начнем с того, что оценку эффективности нужно проводить 1 раз в три года, но какой-либо методики, инструкции или разъяснений ФСТЭК нам не предоставляет. Может быть ФСТЭК сравнивает эту оценку с аттестацией из 17 приказа, тогда возникает другой вопрос, почему оператор может сам проводить эту оценку, а не лицензиаты ФСТЭК.

Также мне не понравился момент с компенсирующими мерами, которые можно реализовать в случае экономической нецелесообразности. Каким образом это обосновать? На ум приходит только расчет рисков по ISO, а для их расчета также нужно прибегнуть к специализированной сторонней организации, или же копаться в этом всём самому, что потребует не малых усилий. И самое смешное, что даже расчет рисков не гарантирует, что ставить средства, прошедшие оценку эффективности экономически нецелесообразно. Также не совсем понятно можно ли применять, например, штатные средства защиты операционной системы для той же идентификации и аутентификации, вроде бы жестких требований в использовании средств прошедших сертификацию нет, однако все будет зависеть от проверяющего и вашего обоснования в компенсирующих мерах.

Подведем итоги. Мы рассмотрели один из приказов ФСТЭК по разработке системы защиты персональных данных. В целом документ хороший, вполне понятный, есть кое-какие вопросы и недочеты. По моему мнению работать с ним можно. Если учесть, что ФСТЭК разбит по областям РФ, то проверки проходят очень редко и вероятность попасть в плановую проверку минимальна. Другой вопрос, в случае нарушения конфиденциальности и поступления жалобы могут нагрянуть с внеплановой. Также в рамках сотрудничества между РКН, ФСБ и ФСТЭК достигнута договоренность о проведении совместных мероприятий, так что если вы попали в список проверок РКН, и он выявит грубое нарушение требований по защите персональных данных, то могут подъехать и ФСТЭК с ФСБ, а это уже совсем другая тема.

Надеюсь, что статья кому-нибудь пригодится. Спасибо, что дочитали до конца.
 

desaes

One Level
20.10.2019
3
2
BIT
0
Можешь разъяснить разницу между 21 приказом и 17 ФСТЭК. В каких случаях требуется аттестация согласно первому, а в каких согласно второму?
 

Archi00

Green Team
01.07.2019
19
42
BIT
0
Можешь разъяснить разницу между 21 приказом и 17 ФСТЭК. В каких случаях требуется аттестация согласно первому, а в каких согласно второму?
Тут все просто, 17 приказ мы используем если у нас есть ГИС, если же у нас просто ИСПДн то делаем по 21. По 17 приказу аттестация обязательна для всех ГИС, по 21 же аттестация не нужна. Мы просто должны проводить оценку соответствия раз в три года.
 

desaes

One Level
20.10.2019
3
2
BIT
0
Тут все просто, 17 приказ мы используем если у нас есть ГИС, если же у нас просто ИСПДн то делаем по 21. По 17 приказу аттестация обязательна для всех ГИС, по 21 же аттестация не нужна. Мы просто должны проводить оценку соответствия раз в три года.
А если у нас ИСПДн работает с ГИС?
 

Proximo

Green Team
03.01.2016
20
31
BIT
0
Тут все просто, 17 приказ мы используем если у нас есть ГИС, если же у нас просто ИСПДн то делаем по 21. По 17 приказу аттестация обязательна для всех ГИС, по 21 же аттестация не нужна. Мы просто должны проводить оценку соответствия раз в три года.
Если ИСПДн эксплуатируется на государственном предприятии, то аттестацию этой ИС также необходимо проводить. Аттестация по желанию (либо по требованию контрагента по какому-либо договору) - это для коммерческих компаний.
 

migu

Grey Team
14.01.2020
224
60
BIT
18
У документов и требований как от ФСТЭК, так и ФСБ, есть один большой недостаток - они порой, неповоротливы и оторваны от реальности. В случае форс-мажоров, владелец АС не защищен никаким документом. Например, есть требование, что нужны сертифицированные СЗИ. Сертификация проходит примерно год, т.е. продукт замораживается на конкретной версии и подается на сертификацию. Выходит сертификат, а условия уже могли поменяться. Например, сертифицированная версия СЗИ несовместима с последним обновлением ОС или другим СЗИ. И таких примеров достаточно.
 

Proximo

Green Team
03.01.2016
20
31
BIT
0
Думаю, нужно немного уточнить - неповоротливы не документы, а регуляторы, которые их выпускают. Те же нормативные документы по КИИ от ФСТЭК написаны вполне хорошо. А если применять "творческий подход", про который говорят представители самих же регуляторов на различных конференциях, то не так всё безнадёжно выглядит. Тем не менее, приказ уже не существующего ФАПСИ №152 до сих пор живее всех живых, и вообще нет тенденции к тому, чтобы его привели в соответствие с окружающей действительностью. Это печально. Однако, и без сертификации тоже никак нельзя. Замкнуты круг получается.
 

migu

Grey Team
14.01.2020
224
60
BIT
18
Согласен, формулировку можно скорректировать. Я все таки, имел ввиду процесс. если формально подходить к делу, то из-за остановки ли отзыва сертификата СЗИ, нужно останавливать работу и очень быстро искать замену. В силу архитектурных особенностей, порой это невозможно. речь именно о формальном моменте, когда истекает сертификат, а его вовремя не продлили.
Дело, кончено, в не в документах, а людях, которые их пишут или меняют. И 152 приказ ФАПСИ, и СТР-К конечно стары, но и менять их только из-за того, что время прошло - нет смысла. Принципиальных изменений не было, и возможно, не будет, однако уточнения можно было бы добавить.
Стоит отдать должное сегодняшним людям во ФСТЭК, работы проделано много, по отношению к 90м и началу 00х.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!