ADG Оставить заявку
Блог Регуляторика 5 мин чтения

Приказ ФСТЭК №58: разбираем технические меры защиты ПДн

ФСТЭК опубликовал Приказ №58 с методическими документами по техническим мерам для ИСПДн. Разбираем классификацию, матрицу угроз и собираем документарный комплект.

Контекст момента

ФСТЭК России публикует Приказ №58 с методическими документами по техническим мерам защиты персональных данных в информационных системах

В октябре ФСТЭК России утвердил Приказ №58 - «Положение о методах и способах защиты информации в информационных системах персональных данных». Это тот самый документ, которого все ждали: конкретная привязка класса ИСПДн к набору технических мер. До его выхода большинство работало по методическим рекомендациям, которые сами по себе были достаточно размытыми.

Клиент, с которым мы начали работать ещё в феврале по 152-ФЗ, сразу позвонил: «Вот теперь точно понятно, что делать?». Мы честно ответили - стало понятнее, но не до конца. Документ есть, читать его без подготовки тяжело, и главное - без правильно оформленной модели угроз и акта классификации он висит в воздухе.

Поэтому мы продолжили аудит и взялись за то, чего раньше не хватало - собрать полный документарный комплект.

Классификация: таблица и реальность

Приказ №58 опирается на классы ИСПДн, которые определялись ещё по совместному приказу ФСТЭК/ФСБ/Мининформсвязи 2007 года. Классов четыре - К1 самый высокий, К4 минимальный. Класс зависит от категории данных и объёма субъектов:

  • К1 - специальные категории (здоровье, национальность, политические взгляды, биометрия) или данные, нарушение которых причиняет значительный вред; либо объём более 100 000 субъектов с обычными категориями.
  • К2 - специальные категории в меньшем объёме, или обычные данные с объёмом от 1 000 до 100 000.
  • К3 - обычные данные до 1 000 субъектов, или обезличенные данные без привязки к конкретному лицу.
  • К4 - обезличенные или данные, недоступность которых не причиняет вред субъектам.

На практике почти все компании, с которыми мы работаем, оказываются в К2-К3. К1 - это больницы, страховые компании с медицинскими данными, операторы с очень большими базами. К4 на практике встречается редко и часто применяется там, где хочется, а не там, где обоснованно.

Наш клиент по итогу классификации получил одну систему К2 (база кадровых данных с паспортами и адресами более тысячи сотрудников) и две системы К3 (программа лояльности и CRM с контрагентами). Это уже конкретно - можно идти в Приказ №58 и смотреть, что там написано про К2 и К3.

Матрица угроз: обязательный шаг, который все хотят пропустить

Между классом и набором мер стоит модель угроз. Без неё Приказ №58 не работает: он говорит «применить меры по актуальным угрозам», а что актуально - определяет частная модель угроз для конкретной системы.

Методика построения модели угроз у ФСТЭК тоже есть - базовая модель угроз ПДн 2008 года. Документ объёмный, написан специфическим языком, но структура в нём рабочая:

  1. Описание ИСПДн и условий её функционирования.
  2. Возможности нарушителей (внешних и внутренних).
  3. Перечень угроз из базовой модели с оценкой вероятности реализации.
  4. Оценка опасности угроз.
  5. Итоговый перечень актуальных угроз.

Это не просто бумага. Список актуальных угроз напрямую влияет на то, какие технические меры обязательны. Если внешний нарушитель признан актуальным - нужен межсетевой экран с определёнными характеристиками. Если актуальны угрозы по каналам связи - нужно шифрование передачи. Если угрозы со стороны персонала - управление доступом и журналирование.

На практике мы видели попытки написать модель угроз так, чтобы как можно больше угроз оказалось неактуальными и не пришлось ставить дорогие сертифицированные средства. Это работает до первой проверки регулятора, где инспектор смотрит на обоснование и задаёт неудобные вопросы.

Технические меры: что реально требует К2

Для К2 Приказ №58 задаёт конкретный список подсистем защиты, которые должны быть реализованы:

  • Управление доступом - идентификация и аутентификация, разграничение полномочий, управление правами пользователей.
  • Регистрация и учёт - журналирование действий пользователей, обращений к ПДн, изменений в составе системы.
  • Обеспечение целостности - контроль целостности программного обеспечения и данных.
  • Антивирусная защита - обязательно, с обновлением сигнатур.
  • Межсетевое экранирование - если система подключена к сетям общего пользования или к другим ИСПДн.
  • Анализ защищённости - инструментальные проверки.
  • Обнаружение вторжений - для К2 при определённых условиях.

И важный момент: средства защиты должны иметь сертификат ФСТЭК по соответствующему уровню. Это значит - не любой антивирус и не любой межсетевой экран, а с конкретным сертификатом. Список сертифицированных продуктов у ФСТЭК есть, он не маленький, но это добавляет ограничений при выборе.

Документарный комплект: что собираем

По итогу работы с клиентом у нас складывается следующий минимальный пакет документов:

  • Акт классификации ИСПДн по каждой системе.
  • Частная модель угроз по каждой системе.
  • Технический паспорт ИСПДн.
  • Политика информационной безопасности в части ПДн.
  • Перечень лиц, допущенных к обработке ПДн.
  • Приказ о назначении ответственного за организацию обработки ПДн.
  • Журналы учёта машинных носителей.
  • Акт ввода средств защиты в эксплуатацию (с сертификатами).

Без этого комплекта технические меры, даже реально внедрённые, юридически не подтверждены. Инспектор ФСТЭК при проверке смотрит не только на конфигурацию серверов - он смотрит на бумаги.

Где сейчас

Модели угроз по двум системам К3 написаны и согласованы с клиентом. Акт классификации готов. По К2 - работаем над техническим заданием на защиту: нужно выбрать сертифицированные средства, которые впишутся в уже существующую инфраструктуру без её полного сноса.

До срока приведения в соответствие - январь 2010-го. По нашей оценке, если не затягивать с закупкой сертифицированных средств и аттестацией, реально успеть. Аттестация К2 - это отдельная история, о ней расскажем по мере прохождения.

Приказ №58 вышел - формальная определённость появилась. Неопределённость осталась в деталях: как именно инспекторы будут трактовать отдельные пункты при первых проверках, покажет практика.

Контакт

Нужна такая же инженерная работа?

Опишите задачу и контекст. Ответим в течение рабочего дня, при необходимости подпишем NDA.