Приказ ФСТЭК №58: разбираем технические меры защиты ПДн
ФСТЭК опубликовал Приказ №58 с методическими документами по техническим мерам для ИСПДн. Разбираем классификацию, матрицу угроз и собираем документарный комплект.
ФСТЭК России публикует Приказ №58 с методическими документами по техническим мерам защиты персональных данных в информационных системах
В октябре ФСТЭК России утвердил Приказ №58 - «Положение о методах и способах защиты информации в информационных системах персональных данных». Это тот самый документ, которого все ждали: конкретная привязка класса ИСПДн к набору технических мер. До его выхода большинство работало по методическим рекомендациям, которые сами по себе были достаточно размытыми.
Клиент, с которым мы начали работать ещё в феврале по 152-ФЗ, сразу позвонил: «Вот теперь точно понятно, что делать?». Мы честно ответили - стало понятнее, но не до конца. Документ есть, читать его без подготовки тяжело, и главное - без правильно оформленной модели угроз и акта классификации он висит в воздухе.
Поэтому мы продолжили аудит и взялись за то, чего раньше не хватало - собрать полный документарный комплект.
Классификация: таблица и реальность
Приказ №58 опирается на классы ИСПДн, которые определялись ещё по совместному приказу ФСТЭК/ФСБ/Мининформсвязи 2007 года. Классов четыре - К1 самый высокий, К4 минимальный. Класс зависит от категории данных и объёма субъектов:
- К1 - специальные категории (здоровье, национальность, политические взгляды, биометрия) или данные, нарушение которых причиняет значительный вред; либо объём более 100 000 субъектов с обычными категориями.
- К2 - специальные категории в меньшем объёме, или обычные данные с объёмом от 1 000 до 100 000.
- К3 - обычные данные до 1 000 субъектов, или обезличенные данные без привязки к конкретному лицу.
- К4 - обезличенные или данные, недоступность которых не причиняет вред субъектам.
На практике почти все компании, с которыми мы работаем, оказываются в К2-К3. К1 - это больницы, страховые компании с медицинскими данными, операторы с очень большими базами. К4 на практике встречается редко и часто применяется там, где хочется, а не там, где обоснованно.
Наш клиент по итогу классификации получил одну систему К2 (база кадровых данных с паспортами и адресами более тысячи сотрудников) и две системы К3 (программа лояльности и CRM с контрагентами). Это уже конкретно - можно идти в Приказ №58 и смотреть, что там написано про К2 и К3.
Матрица угроз: обязательный шаг, который все хотят пропустить
Между классом и набором мер стоит модель угроз. Без неё Приказ №58 не работает: он говорит «применить меры по актуальным угрозам», а что актуально - определяет частная модель угроз для конкретной системы.
Методика построения модели угроз у ФСТЭК тоже есть - базовая модель угроз ПДн 2008 года. Документ объёмный, написан специфическим языком, но структура в нём рабочая:
- Описание ИСПДн и условий её функционирования.
- Возможности нарушителей (внешних и внутренних).
- Перечень угроз из базовой модели с оценкой вероятности реализации.
- Оценка опасности угроз.
- Итоговый перечень актуальных угроз.
Это не просто бумага. Список актуальных угроз напрямую влияет на то, какие технические меры обязательны. Если внешний нарушитель признан актуальным - нужен межсетевой экран с определёнными характеристиками. Если актуальны угрозы по каналам связи - нужно шифрование передачи. Если угрозы со стороны персонала - управление доступом и журналирование.
На практике мы видели попытки написать модель угроз так, чтобы как можно больше угроз оказалось неактуальными и не пришлось ставить дорогие сертифицированные средства. Это работает до первой проверки регулятора, где инспектор смотрит на обоснование и задаёт неудобные вопросы.
Технические меры: что реально требует К2
Для К2 Приказ №58 задаёт конкретный список подсистем защиты, которые должны быть реализованы:
- Управление доступом - идентификация и аутентификация, разграничение полномочий, управление правами пользователей.
- Регистрация и учёт - журналирование действий пользователей, обращений к ПДн, изменений в составе системы.
- Обеспечение целостности - контроль целостности программного обеспечения и данных.
- Антивирусная защита - обязательно, с обновлением сигнатур.
- Межсетевое экранирование - если система подключена к сетям общего пользования или к другим ИСПДн.
- Анализ защищённости - инструментальные проверки.
- Обнаружение вторжений - для К2 при определённых условиях.
И важный момент: средства защиты должны иметь сертификат ФСТЭК по соответствующему уровню. Это значит - не любой антивирус и не любой межсетевой экран, а с конкретным сертификатом. Список сертифицированных продуктов у ФСТЭК есть, он не маленький, но это добавляет ограничений при выборе.
Документарный комплект: что собираем
По итогу работы с клиентом у нас складывается следующий минимальный пакет документов:
- Акт классификации ИСПДн по каждой системе.
- Частная модель угроз по каждой системе.
- Технический паспорт ИСПДн.
- Политика информационной безопасности в части ПДн.
- Перечень лиц, допущенных к обработке ПДн.
- Приказ о назначении ответственного за организацию обработки ПДн.
- Журналы учёта машинных носителей.
- Акт ввода средств защиты в эксплуатацию (с сертификатами).
Без этого комплекта технические меры, даже реально внедрённые, юридически не подтверждены. Инспектор ФСТЭК при проверке смотрит не только на конфигурацию серверов - он смотрит на бумаги.
Где сейчас
Модели угроз по двум системам К3 написаны и согласованы с клиентом. Акт классификации готов. По К2 - работаем над техническим заданием на защиту: нужно выбрать сертифицированные средства, которые впишутся в уже существующую инфраструктуру без её полного сноса.
До срока приведения в соответствие - январь 2010-го. По нашей оценке, если не затягивать с закупкой сертифицированных средств и аттестацией, реально успеть. Аттестация К2 - это отдельная история, о ней расскажем по мере прохождения.
Приказ №58 вышел - формальная определённость появилась. Неопределённость осталась в деталях: как именно инспекторы будут трактовать отдельные пункты при первых проверках, покажет практика.
- 152-ФЗ: клиент попросил аудит - начинаем с инвентаризации · 14 февраля 2008
- PCI DSS 1.2: готовим ритейл-клиента к аудиту · 17 октября 2008