СЗПДн. Анализ. Нужно моделирование угроз обработчика ПДн!!
Продолжу предыдущую статью об обязанностях обработчика и необходимости оператором выполнения ряда мероприятий за обработчика. Рассмотрим два типа обработки ПДн по поручению:
1.
широкий круг Обработчиков выполняет схожий набор
действий с ПДн (обработку)
2.
только один Обработчик выполняет для данного Оператора определенный набор действий ПДн (обработку)
Примерами первого типа являются:
·
оператор сотовой связи и дилеры (собирает данные
клиентов для заключения договора)
·
банк и платежные агенты (собирают данные для
платежей)
·
банк и коллекторские агенства (используют данные
для связи с клиентом)
·
банк и организации - клиенты по зарплатному
проекту (передают данные для платежей)
·
организации и курьерские компании, доставляющие
что-либо клиентам (используют данные для доставки)
·
страховая компания и страховые агенты (собирает
данные клиентов для заключения договора)
·
авиа/жд/авто транспортные компании и агенты
(собирает данные для оформления билета)
·
Министерство обороны Российской Федерации и
организации (собирают и передают данные сотрудников для воинского учета)
·
ФОМС и организации (собирают и передают данные
сотрудников для медицинского страхования)
·
ПФР и организации (собирают и передают данные
сотрудников для пенсионного страхования)
·
Росстат и организации (собирают и передают
данные сотрудников для статистического учета)
·
ФНС и организации (собирают и передают данные
сотрудников для налогового учета)
·
ФМС и организации (собирают и передают данные
сотрудников для миграционного учета)
·
Росминтруд, Роструд и организации (собирают и передают данные
сотрудников для социальной защиты)
· Рособразования и школы (собирают и передают данные учащихся) и т.п.
· Рособразования и школы (собирают и передают данные учащихся) и т.п.
В варианте первого типа обработки
ПДн Оператору хорошо известно, какие действия выполняет обработчик с ПДн, как
взаимодействует Обработчик с ИС, скорее всего такая деятельность хорошо
регламентирована самим Оператором (договор, приказ, правила, порядки,
инструкции) и скорее всего применяется
автоматизация обработки – Обработчик использует ИС Оператора.
Учитывая это, у Оператора есть
вся необходимая информация, чтобы разработать высокоуровневую модель угроз , выбрать
перечень мер ОБПДн (дополненный уточненный адаптированный базовый набор мер) и даже
определить конкретные способы реализации мер (если обработчик использует ИС Оператора).
В то же время у Обработчика первого типа нет полной картины процессов обработки (обработчику поручили какой-то кусок операций, для чего они выполняются он может и не знать), нет информации для оценки возможного вреда и соответственно для построения адекватной модели угроз.
Ещё один аргумент – экономический. Оператор один, а Обработчиков у него может быть десятки/сотни/тысячи. Разработка модели угроз для охватывающей как Оператора так и Обработчиков повлечет, в худшем случае, двойные трудозатраты, но приведет к экономии в десятки/сотни/тысячи раз для множества этих компаний.
Если отдать выбор мер защиты полностью на усмотрение Обработчику, то возможны следующие проблемы:
·
применение несовместимых мер защиты Обработчиком
и Оператором (например, обработчик решит, что необходима сертифицированная криптография,
а оператор что криптография не требуется и будет использовать западные средства
защиты, или Оператор определит что для управления доступом будут использоваться
наложенные СЗИ, а Обработчик решит что нужно применять возможности самой ИС и сертифицировать
её)
·
применение дублирующих мер защиты
·
применение сильно различающихся по составу
наборов мер защиты; это позволит злоумышленнику для атаки на систему в целом
использовать самого слабозащищенного Обработчика.
Все несовместимости, избыточности и слабости децентрализованного подхода по выбору мер защиты в итоге выражаются в дополнительных затратах по сравнению с централизованным, для обеспечения аналогичного уровня защищенности для тех же процессов обработки ПДн.
Рассмотрим обработчиков второго
типа. Примеры:
·
компания и внешняя бухгалтерия
·
компания и ЧОП
·
компания и аутсорсер какого-либо бизнес-процесса
·
компания и хостинг (в случае оказания, каких
либо доп. услуг)
·
компания и облачные сервисы (в случае оказания,
каких либо доп. услуг)
При таком типе обработки ПДн, Оператор, скорее всего, не может регламентировать все процессы Обработчика, но Оператору всё равно должны быть известны и понятны действия, выполняемые Обработчиком с ПДн (152-ФЗ это явно требует).
Так-же обычной практикой является уточнение состава мер защиты, применяемых Обработчиком, оценка возможного ущерба и даже моделирование угроз (как Алексей Волков делает это). Отдавать, защищаемую законом информацию в неизвестность никто не захочет. Ведь ответственность перед Субъектами ПДн несет Оператор.
Выводы.
Если вы Оператор или выполняете
работы по защите ПДн Оператора:
·
при анализе характеристик и описании ИС
обязательно учитывайте процессы обработки ПДн выполняемые Обработчиками
·
при анализе возможного ущерба, включите анализу
возможного ущерба в Обработчике (наверняка он будет меньше, так как обработчик
задействован только для некоторых процессов и части данных)
·
при моделировании угроз учитывайте Обработчика
ПДн (либо включаем его в ИС, либо выделяем отдельную типовую ИС Обработчика)
·
при выборе перечня мер ОБПДн (дополненный
уточненный адаптированный базовый набор мер) готовим аналогичный или отдельный
для Обработчика
·
при проектировании и выборе конкретных способов
реализации мер крайне рекомендую учитывать и Обработчика. Можно не ограничивать
его конкретными моделями/версиями/производителями средств защиты. Но включать в
требования типы средств защиты можно и нужно. Например “межсетевой экран,
сертифицированный ФСТЭК Р по 4-ому классу МЭ” “защищенные носители ключей
электронной подписи в виде USB-ключа
или смарт-карты”
·
в поручении Обработчику указывать кроме того что
требуется законом (см. предыдущую статью), ещё и информацию о возможном вреде и
результаты моделирования угроз обработчика - перечень актуальных угроз, для нейтрализации
которых были выбраны меры. Если Обработчик посчитает что какие-либо угрозы
избыточны для его процессов и аргументирует это, то Оператор может изменить
требования.
Если вы Обработчик или выполняете
работы по защите ПДн Обработчика:
·
определите все процессы для которых вы являетесь
не Оператором, а обработчиком
·
не спешите проводить мероприятий по защите ПДн в
данных процессах. Требования по защите ПДн вам должен предъявить оператор. Если не предъявил – запрашивайте. Не дает –
защищайте так, как принято для другой корпоративной информации, в соответствии
с внутренними политиками
·
не проводите анализ возможного вреда (это
обязанность Оператора), только если от вас явно не потребует это Оператор
·
не проводите моделирование угроз (это
обязанность Оператора), только если от вас явно не потребует это Оператор
·
не проводите выбор мер защиты (это обязанность
Оператора), только если от вас явно не потребует это Оператор
·
сохраняйте свидетельства выполнения тех
требований, которые Оператор всё таки предъявил, так как в обязанность
оператора входит оценка эффективности принимаемых мер – рано или поздно он
запросит у вас эту информацию
PS: Пример поручения от Департамента образования (с моей точки зрения не корректен - нет четких требований по защите, нет требований по моделированию и выбору мер. фраза о необходимости соблюдения требований законодательства по защите - равносильна пустому множеству. нет других обязательных разделов)
PS: Пример поручения от Туроператора (с точки зрения защиты ПДн - корректен. вопросы обработки ПДн не описаны, но возможно это отдельный документ)
PS: Похожий пример от другого Туроператора (а тут уже с нарушением, конкретные меры по защите ПДн не предъявлены)
PS: Пример поручения от ФОМС (вроде все выполнено - но сгрузили все мероприятия на Обработчика, в том числе моделирование угроз и выбор мер защиты. я бы не советовал так делать)
PS: Пример поручения от ФОМС (вроде все выполнено - но сгрузили все мероприятия на Обработчика, в том числе моделирование угроз и выбор мер защиты. я бы не советовал так делать)
Комментарии