четверг, 9 июня 2011 г.

Классификация ИСПДн "по-банковски"

Хотел бы коснуться вопроса классификации ИСПДн по Стандарту Банка России. Есть ряд тонкостей в этом вопросе...

Обратимся к корням.

п.6 Положения об обеспечении безопасности ПДн в ИСПДн (утверждено Постановлением Правительства № 781) гласит:
Информационные системы классифицируются государственными органами, муниципальными органами, юридическими или  физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее  -  оператор), в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства.
Порядок проведения классификации информационных систем устанавливается совместно Федеральной службой по техническому и экспортному контролю, Федеральной службой  безопасности Российской Федерации и Министерством информационных технологий и связи  Российской Федерации.
Выводы:
  1. Классификация в зависимости от объёма и угроз;
  2. Порядок классификации устанавливают ФСТЭК, ФСБ, Минсвязи (в структуру которого входит РКН). 
Теперь рассмотрим классификацию Банка России, описанную в п.5.2 РС БР ИББС-2.3.2010:
  • ИСПДн-С - система обрабатывающая спец. категории ПДн (главным образом сведения о здоровье);
  • ИСПДн-Б - система обрабатывающая биометрию (фотографию или скан паспорта с фото, к примеру);
  • ИСПДн-Д - система обрабатывающая обезличенные или общедоступные ПДн;
  • ИСПДн-И - система обрабатывающая все остальные типы ПДн (тут у нас сидят 99% всех ИСПДн).
Т.к. про объём обрабатываемых ПДн тут не слова нет, а  в ПП781 нет ни слова про Банк России, большинство из нас смело игнорировало классификацию по стандарту Банка России до поры до времени.
Потом пришла пора самооценок/аудитов и первый же уточняющий вопрос спросил нас "классифицированы ли все ИСПДн по-банковски?". Дабы не загнать себя в нули (а уточняющие вопросы с легкостью это могут), пришлось выполнять.

Однако дальше - интересней.
Из Методики оценки СТО БР ИББС-1.2-2010 (каждый частный показатель группы М9 так же решительным образом влияет на итоговую оценку):
М9.4 Проводится ли в организации классификация персональных данных в соответствии со степенью тяжести последствий потери свойств безопасности персональных для субъекта персональных данных?
Чтобы понять что за классификация имеется ввиду - откроем п.14 Порядка классификации (утверждён ФСТЭК, ФСБ, Минсвязи приказом №55/86/20:


14. По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов:
  • класс 1 (К1)  - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;
  • класс 2 (К2)  - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
  • класс 3 (К3)  - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
  • класс 4 (К4)  - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.
 Вот мы и пришли к тому с чего начали. Т.о. классифицировать нужно по двум подходам одновременно, дабы угодить и тем и другим. Причем, т.к. ущерб (негативные последствия) определяет собственник информации (т.е. субъект персональных данных) - то при классификации "по-фстековски" лучше все-таки использовать стандартную шкалу - количество и категория ПДн.
Слава богу особых трудностей вызвать это не должно, однако подобный дуализм в подходе к защите ПДн сильно подрывает веру в Стандарт, заставляет работать "на два фронта".

6 комментариев:

  1. ИСПДн-Д = нет негативных последствий
    ИСПДн-C = значительные негативные последствия
    ИСПДн-И гдето между ними

    ОтветитьУдалить
  2. Прикольно :). Т.е. к примеру потерять базу данных всех выданных кредитов какого-нить крупного банка (например, миллион уникальных записей) - чуть больше чем "нет негативных последствий"?

    ОтветитьУдалить
  3. Не надо путать ущерб для банка и для каждого субъекта ПДн.
    Вот, например, для тебя лично что более нежелательно:
    если для всего интернета будет опубликован твой сотовый телефон,
    информация о твоем кредите,
    или информация о твоей болезни СПИДом

    ОтветитьУдалить
  4. Лично я нажалуюсь в Роскомнадзор на того, кто выложит в интернет даже мое ФИО.

    А если выложат сотовый телефон - я подам в суд.

    ОтветитьУдалить
  5. На физическое лицо тоже будешь жаловаться? :)

    ОтветитьУдалить
  6. Скорее всего стандартотворцы этим самым пунктом М9.4 имели ввиду как раз Д, И, Б и С и никак не классический подход.
    Доказательств конечно нет, поэтому спорить можно долго и упорно, но ни к чему не придем.

    А вот насчет "лучше все-таки использовать стандартную шкалу - количество и категория ПДн.
    Слава богу особых трудностей вызвать это не должно..." - тут по-моему совсем не в тему.
    А как же специальные ИСПДн, там количество и категории уже не канают. Вообще про все премудрости классификации ИСПДн было много написано в Блоге товарища Волкова.

    ОтветитьУдалить