Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

GDPR: Новые правила обработки персональных данных в EU

15/06/2018

Все слышали о General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679), который вступил в силу 25 мая 2018 года. Штрафы большие и придётся соответствовать. Как и любой официальный документ, он написан сухо и может трактоваться по-разному.

Реклама

Партнеры

Лаборатория кибербезопасности







Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2
RSS
[ Закрыто ] Как определить уровень защищенности?, Нужна помощь в определении типа ИСПДн и типа угрозы
ИСПДн не становится специальной, а в ней осуществляется обработка специальной категории ПДн, а категория ПДн - один из видов исходных данных для определения уровня защищенности в соответствии с 1119ПП.
Это я заметил при чтении 1119:

Цитата
а категория ПДн - один из видов исходных данных для определения уровня защищенности в соответствии с 1119ПП
мне хочется понять, как определяется именно тип ИСПДн. Например: если в ИСПДн обрабатывает философские и религиозные убеждения субъектов, то это специальная ИСПДн, но если в ней еще будут обрабатываться паспортные данные, то она уже становится ИСПДн, обрабатывающей иные категории персональных данных?
Уже как три месяца понятия "специальная" ИСПДн не существует. Есть просто ИСПДн, которая обрабатывает специальные, биометрические, общедоступные, иные категории ПДн (ненужное зачеркнуть). В зависимости от этого (плюс количество субъектов, тип угроз, категория субъектов) устанавливаем уровень защищенности.
Изменю вопрос в соответствии с приведенным выше постом:

если в ИСПДн обрабатывает философские и религиозные убеждения субъектов, то это ИСПДн, обрабатывающая специальные категории ПДн, но если в ней НАЧАТЬ обрабатывать еще и паспортные данные, то она уже становится ИСПДн, обрабатывающей иные категории персональных данных?
А если отпечатки пальцев, то еще и биометрические. Не пойму, в чем заморочка? Ваша задача установить уровень защищенности. Если обрабатываются специальные ПДн, то не зависимо от наличия обработки иных категорий уровень будет выше.
Цитата
Sergey13 пишет:
если в ИСПДн обрабатывает философские и религиозные убеждения субъектов, то это ИСПДн, обрабатывающая специальные категории ПДн, но если в ней НАЧАТЬ обрабатывать еще и паспортные данные, то она уже становится ИСПДн, обрабатывающей иные категории персональных данных?
_____

5. Информационная система является информационной системой, обрабатывающей специальные категорииперсональных данных, если в ней обрабатываются персональные данные, касающиеся (бла-бла-бла)

_____

Информационная система является информационной системой, обрабатывающей биометрические персональные данные, если в ней обрабатываются (бла-бла-бла) и не обрабатываются сведения, относящиеся к специальным категориям...

_____

Информационная система является информационной системой, обрабатывающей общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников

_____

Информационная система является информационной системой, обрабатывающей иные категории персональных данных, если в ней не обрабатываются персональные данные, указанные в абзацах первом - третьем настоящего пункта.

Таким образом,
тип ИСПДн иная, если в ней обрабатываются НЕ спец., НЕ биометр., НЕ общедост. категории.
Настя, нет такого понятия как тип ИСПДн.
Выскажу своё мнение по поводу актуальности угроз НДВ. Если в документе ФСТЭК не будет четко указано, при каких условиях эти угрозы станут актуальны в прикладном и системном ПО, то выбор будет за оператором, а значит никаких 1-ых и 2-ых типов. Тогда это на мой взгляд станет похоже на заглушки для будущих нормотворческих направлений регулятора, где будет описываться когда и как противодействовать этим угрозам. Если же в приказе ФСТЭК все-таки пропишут конкретные условия актуальности угроз 1-го и 2-го типа (а пока я утвержденную версию не увижу, то такую вероятность не исключаю), то для всех операторов станет понятно, кто "попал".
Кстати для справки, если внимательно почитать НПА по НДВ, то формально он не подходит для решения задачи противодействия угрозам НДВ для 1-го и 2-го типа, поскольку как написано в самом его начале, он предназначен только для средств защиты или ПО, содержащего механизмы защиты, а такие механизмы, сами понимаете, присутствуют или декларируются далеко не в каждом прикладном и системном ПО.
Ну и последнее. Дмитрий высказывал идею, что угрозы 1-го и 2-го типа становятся актуальными, когда отсутствуют сертификаты НДВ на ПО, и соответственно перестают быть актуальными при их наличии. На мой взгляд всё с точностью до наоборот, и здесь ошибка в причинно-следственных связях. Поясню - сначала определяется актуальность угроз, а уже потом меры для противодействия им (в данном случае сертификация ПО на отсутствие НДВ). Это классическая последовательность шагов для обоснования мер ИБ. Более того, следуя логике Дмитрия, мы придем к логическому парадоксу. Допустим по отсутствию сертификатов НДВ на ПО определили мы актуальность 1 и 2-го типа, зафиксировали этот момент, и что после этого с ними делать? Проходить сертификацию ПО на НДВ? Так это тут же по логике Дмитрия снимет актуальность 1-го и 2-го типа угроз с системы, т.е. требования к системе уменьшатся, чего не может быть!!! Любая защитная мера, противодействуя угрозе, понижает её риск до приемлимого, но никогда не понижает требования к самой системе. Система как была изначально допустим критически важной, так ей и останется.
Пока четко и ясно регулятор не напишет что и как так согласия и не будет....вы правы, сколько людей столько и мнений. :D

По моему это вполне логично, если у тебя ОС без сертификата ФСТЭК, значит в ней вполне может быть все что угодно, и как средства СЗИ ты также не можешь использовать ее внутринние возможности...поэтому есть 2 пути, отдать ее на сертификацию, либо закупать СЗИ (не закрывающие НДВ) имеющие сертификат ФСТЭК.

По моему логично и очень даже понятно, для простого пользователя....и не надо воять трехэтажным техническим матом. Который ни законники ни контролирующие органы сами понять не могут.
НДВ - НДВ рознь. Какие из них критичны? ИМХО только те, которые позволяют либо получить НСД, либо приведут к недоступности (зависанию) системы, причем второе маловероятно и выявляется в процессе опытной эксплуатации прикладного ПО (про ОС вообще говорить не стоит, сырую ставить никто не будет).
Повторяю Дмитрий, по вашей теории никогда не будет достигнуто равновесное состояние когда мера соответствует выполнению требования (установленному актуальному типу угроз). По вашей логике получится что если меры нет, то она становится тутже нужна, и как только вы её примените, то она сразу станет ненужной поскольку требование пропадет. Неужели вы не видете этого логического противоречия? Не может мера защиты определять собственную актуальность.
Если бы было так, как вы предполагаете, то в ПП 1119 было бы просто написано - для всех ИСПДн использовать прикладное, системное ПО и СЗИ сертифицированное на отсутствие НДВ. Тогда да, без сертификатов на НДВ это требования бы не выполнялось. Но сформулировано по-другому - прежде чем применять меру по противодействию НДВ, оператор должен определить её актуальность. И актуальность эта должна быть чем-то обусловлена, чем пока не знает никто, но то что актуальность может быть, а может и не быть, ясно видно из формулировки ПП 1119. Этот момент вы не учитываете в своих рассуждениях.
НДВ - НДВ рознь. Какие из них критичны?.....Вот то то и оно....что обычный сисадмин иж уж тем более пользователь никогда это не определят....так что надо выражаться яснее....что вот эта НДВ приведет к тому то и поэтому ее надо защитить тем то свойственна ИСПДн такой то (а не как сейчас, если у тебя специальная, попробуй угадай что у тебя за угрозы и попробуй подбери к ним СЗИ, а ведь почти все ИСПДн являются специальными).

И вот сидишь пялишься, как баран на новые ворота на это чудо.....и чего тут куда и зачем да кто ж их разберет.
Своё мнение на этот счет я написал в комментах здесь. Заодно сможете оценить диапазон возможных мер по противодействию этим угрозам
Страницы: Пред. 1 2
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)