Как определить тип угрозы персональным данным?

Question

[Павел]

Возникла необходимость привести в нормальный вид отношения с персональными данными в некой компании. С бумажной работой проблемы нет. Но бумажки сильно зависят от технической стороны вопроса. А техника упирается в постановление правительство РФ № 1119 от 01.11.2012, где для определения необходимого уровня безопасности требуется сначала определить тип угрозы.

Цитата.

Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе

Проблема в том, что этот тип нужно определить самостоятельно. Но как это сделать не описывается. Что нужно сделать для достижения уровня безопасности всё подробно расписано. А тип?

С моей непрофессиональной точки зрения всё должно быть 1-го типа. Потому что это угрозы от ОС. А всё крутится на ОС. Конечно, это вывод неверный. Но на верный вывод нормативки не нашёл. Встречал упоминание о необходимости сертификации ПО у ФСТЭК. В том числе на Тостере. Но напрямую это нигде не написано. Да и я не очень понимаю, зачем нужна сертификация для официально продаваемой через официальных дилеров лицензионной Винды.

Коллеги, подскажите, что и куда копать.

Answer 1

[Дядька Серёжа]

Если вы используете лицензионное ПО скачанное с официальных сайтов, а не repack-и, вы не устанавливаете софт разработанный правительством другой страны, в целом используете распространенно ПО разработчик которого его постоянно обновляет, ПО вам разрабатываемое сторонними компаниями разрабатывается по договору с nda, вы выполняете тестирование такого ПО, вы не представляете интерес другим государствам, то пишите что не актуальны для вас угрозы 2го типа.
Если вы используете и обновляете системное ПО (ОС, BIOS, микрокод микроконтроллеров), не используйте ноунейм сетевое оборудование (используете проверенное оборудование Cisco), ну и т.п., или наоборт используете только ПО в оторое продается условно ограниченному набору ЮЛ, то пишите что вам не актуальны угрозы 1го типа
Получается вам актуальны угрозы 3го типа.

Comments

[Павел]

Мне тоже кажется, что достаточно следить за лицензионной гигиеной. Отпинаться в положении по персональным, что всё официально, есть антивирусы и права доступа. Но смущает отсутствие подтверждения. Это где-то прописано как вариант? Или исходя из личного опыта прохождения проверок?

вы не устанавливаете софт разработанный правительством другой страны

То есть винда не прокатывает в любом случае?

[Дядька Серёжа]

Павел, выполнить оценку соответствия требованиям по безопасности можно если не изменяет память 7ю способами, на ТУ, использовать сертифицированное, ПМИ и т.д. Как все это делать никто кроме испытательных лабораторий не знает, бесплатно не подскажут. Самый простой способ использовать сертифицированное ПО. Но предположить что в продуктах MS нету бэкдоров нет вы можете и даже как-то обосновав, не факт что проканает при проверке регулятором коих среди не госкомпаний практически не бывает, нету у регуляторов огромного штата тех кто будет проверять бизнес когда на госструктуры времени не хватает. А вот от фишинговых атак и других винда вообще не является средством защиты, поэтому и применяются средства защиты прошедшие оценку соответствия по требованиям безопасности информации: антивирус для защиты от вирусов, система обнаружения атак от сетевых атак, сканеры безопасности для проверки настроек, система разграничения прав дополнительно не дает обойти устроенные средства разграничения прав в винде, там же и защита съемных устройств отдается на откуп СЗИ от НСД.

[Павел]

Дядька Серёжа, мне кажется, я нашёл как обосновать удешевление защиты.

Приказ №21 от 18.02.2013 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".

п. 10 "При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учетом экономической целесообразности на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных.
В этом случае в ходе разработки системы защиты персональных данных должно быть проведено обоснование применения компенсирующих мер для обеспечения безопасности персональных данных".

[Дядька Серёжа]

Павел, из пункта следует что даже в тупую сказать нельзя: нет технической возможности, она есть меняйте операционные системы, процессы и т.д. Чтобы стало возможно.
Даже если не выполняете, то это только на момент адаптации, план по реализации быть должен.
Даже если процесс адаптации - компенсирующая мера должна быть - зачем делать работу дважды?

Answer 2

[Валентин]

В соответствии с методикой.

Comments

[Павел]

К сожалению, там нет никакой связи с вышеупомянутыми типами, на основании которых нужно определять уровень безопасности. Как и ни слова про снижение угрозы сертификацией ПО. Создаётся впечатление, что это параллельные друг другу документы для разных задач.

[Валентин]

Павел, вы приходите к процессу классификации ИСПДн. Техник этого в интернете полно. Прямо гуглите «классификация ИСПДн». Нужно составить анкету, выбрать нескольких сотрудников Оператора ПДн, провести их анкетирование, на основе результата выбрать тип актуальных угроз.

[Павел]

Валентин, процедуры я нашёл. Как и порядок проведения. Их регулируют несколько документов. К примеру, порядок проведения классификации систем персональных данных. Но проблема в том, что они оперируют другими понятиями. Класс систем, уровень угроз, категории данных и прочее. А постановление привязывается к термину "тип угроз" с совершенно другим смыслом. В связи с этим и вопрос возник. Как его определять, если нормативка и рекомендации привязаны к другим сущностям. Пока я понимаю, что эти требования применяются параллельно. Но если для классификации ИСПДн прописана процедура вплоть до формул, то про тип угроз я ничего не нахожу.

Типы угроз

Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе

[Павел]

Валентин, нашёл документ "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей" (введен Приказом Гостехкомиссии РФ от 04.06.1999 N 114)
(с изм. от 11.08.2020). Там устанавливаются уровни контроля недекларированных возможностей. Как раз то, что обсуждается в типах угроз в постановлении 1119.

Приказ утратил силу, но там была ссылка на приказ ФСТЭК. Актуальный сейчас -- "Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий (выписка)"
(утв. приказом ФСТЭК России от 02.06.2020 N 76). Устанавливаются уровни доверия. И оговаривается необходимость проведения испытаний по выявлению недекларированных возможностей.

Судя по беглому поиску в сети, можно купить ту же винду с сертификатом. Цены похожи на обычные. Не очень пока понятно можно ли самому эти испытания провести, описав всю процедуру и заблокировав возможность неконтролируемых изменений.