Данная заметка была написана как ответ на сообщение Алексея Лукацкого "Вы готовы изменить если не мир, то хотя бы ФЗ-152?! " от 5 августа 2011 года.
Все ниженаписанное является исключительно моим ИМХО по данному вопросу, написано несколько сумбурно и не исключаю, что в чем-то может быть противоречиво. В этом тексте пытался изложить примерно то, что сам хотел бы увидеть касательно данного вопроса.
==========================================
Исходные данные, от которых, на мой взгляд, нужно отталкиваться, представляют собой два утверждения:
о1. Цель закона - защита прав субъекта от угроз, связанных с нарушением характеристик безопасности персональных данных.
о2. При реализации угрозы, для субъекта с точки зрения (возможных) последствий не имеет значения, кем и с какой именно целью обрабатывались его данные.
о2. При реализации угрозы, для субъекта с точки зрения (возможных) последствий не имеет значения, кем и с какой именно целью обрабатывались его данные.
Отсюда следует вывод:
Классификация в общем случае не должна зависеть от того, кто именно обрабатывает данные. Она должна зависеть исключительно от состава и, возможно, от количества обрабатываемых данных.
Если банк зачем-то хочет обрабатывать информацию о венерических болезнях клиента, то утечка от него будет не менее чувствительна, чем утечка от соответствующей клиники. Номер кредитной карты, обрабатываемый в торговой точке, ничем не отличается от того-же номера, обрабатываемого крупным банком, или частной клиникой. Кстати, в PCI DSS, вроде бы, как раз применяется похожий подход к проблеме.
Такой подход позволяет уйти от малопродуктивной попытки описать все бизнес-процессы, которые существуют в природе (а если завтра появится новый тип бизнеса - новые документы писать?), и сконцентрироваться на исходной задаче - защитить связанные с персональной информацией права субъекта, разумным и достаточным образом.
При этом нужно учесть момент, озвученный в комментарии Евгения к исходному сообщению, а именно - "косвенные" персональные данные, связанные с самим местом обработки. Сам факт наличия персональных данных в какой-то БД также является персональной информацией.
Данный вопрос может быть решен путем создания определенных исчерпывающих перечней организаций, с указанием, что вне зависимости от состава обрабатываемых в них персональных данных считается, что базы данных каждой организации из такого пределенного перечня также содержат информацию определенного характера независимо от того, имеется ли она в них в явном виде, или нет. То есть, для классификации и определения мер защиты БД учреждений ГУИН следует считать, что их базы включают в себя информацию о судимости, для диспансеров и частных клиник - соответствующию информацию о здоровье и т.п.
Для целей классификации, необходимо решить 3 вопроса:
в1. Определить полный, исчерпывающий перечень сведений, которые являются персональными данными.
в2. Установить для каждой позиции из данного перечня численным коэффициентом потенциальный ущерб субъекту от нарушения каждой из характеристик безопасности персональных данных отдельно.
в2. Установить для каждой позиции из данного перечня численным коэффициентом потенциальный ущерб субъекту от нарушения каждой из характеристик безопасности персональных данных отдельно.
в3. Установить для каждой позиции из данного перечня численным коэффициентом возможную выгоду для злоумышленника (нарушителя безопасности) - также, для каждой характеристики безопасности.
Исходя из этих данных, можно определить значение риска для субъекта по каждой позиции перечня в1.
При этом возникает вопрос, связанный с кумулятивным эффектом: многие сведения по отдельности не позволяют надежно идентифицировать субъекта, однако позволяют это сделать, будучи собранными воедино. С другой стороны, для некоторых сведений из этого списка нарушение характеристик безопасности само по себе может не нести ущерба субъекту. Таким образом, перечень в1. следует разбить на 2 части:
вч1. Комбинации персональных данных, позволяющих идентифицировать субъекта
вч2. Отдельные сведения, нарушение характеристик безопасности которых можнет нанести ущерб субъекту (в него могут входить не все данные из списка вч1.).
вч1. Комбинации персональных данных, позволяющих идентифицировать субъекта
вч2. Отдельные сведения, нарушение характеристик безопасности которых можнет нанести ущерб субъекту (в него могут входить не все данные из списка вч1.).
При этом "группы" вч1. имеет смысл разделить на подкатегории: позволяют достоверно идентифицировать, позволяют идентифицировать с малой степенью достоверности.
Те данные, которые позволяют идендифицировать субъекта с низкой степенью достоверности, не считать персональными данными. Для тех наборов данных, которые позволяют идентифицировать с малой степенью достоверности, применять поправочный уменьшающий коэффициент при рассчете угрозы субъекту персональных данных.
При этом считать, что данные из списка вч2. являются персональными только в том случае, если они связаны с набором данных из списка вч1. (т.е. входят в состав данных, включающий в себя подмножество из вч1.).
Тогда характеристики в2. и в3. (потенциальный ущерб и потенциальная выгода) нужно определить только для данных из списка вч2., при этом рассматривая только случай, когда субъект, к которому относятся эти данные, достоверно установлен, что снимает некоторую часть неопределенности при такой оценке.
При оценке ("классификации") ИСПДн, оператору необходимо будет определить у себя данные, являющиеся персональными, перемножить для каждой позиции, попадающей в перечень вч2., значения в2. и в3. (при слабой достоверности определения субъекта - умножив и на уменьшающий коэффициент), сложить по всем позициям и определить численную характеристику одной записи в БД (алгоритм расчета может быть любым, главное, чтобы он был определен). При этом в случае, если некоторые характеристики безопасности по некоторым позициям по каким-то причинам не актуальны, можно разрешить оператору аргументированно указать это в процедуре самооценки, и соответственно исключить такие позиции из расчетов.
Таким образом, у нас появляется весовой коэффициент критичности для "атомарной" записи в БД (возможно, "атомарность" стоит как-то определить отдельно).
При оценке "количества персональных данных" нужно учитывать только те данные, нарушение характеристик безопасности которых возможно одновременно. Т.е. если реализация какой-то угрозы приводит к потенциальному нарушению безопасности тысячи записей, при общей емкости базы в десять тысяч, то такая угроза очевидно более существенна, чем та, реализация которой приводит к нарушению характеристики всего одной записи, даже если в БД их миллион. Это решает вопрос БД, разделенных на части, с одной стороны снимая необходимость плодить искуственные ИСПДн, а с другой не позволяя искуственным же образом фиктивно занижать угрозу. При этом саму количественную оценку имеет смысл сделать логарифмической, с достаточно большим уровнем дискретности для умножающего коэффициента, чтобы не имело смысла "подгонять" его в пограничных случаях.
Таким образом, умножая "атомарный вес" одной записи на логарифмический коэффициент, получаем коэффициент критичности для данной части ИСПДн.
По мерам защиты - возвращаясь к началу, можно также отметить, что способы защиты информации от определенной угрозы для характеристик безопасности данной информации в общем случае не зависят от собственно значения данной информации, а зависят только от (физических) характеристик ее носителя. Информация, размещенная на веб-сервере в DMZ, уязвима одинаково независимо от того, информация ли это о химическом оружии, список банковских счетов или таблица умножения.
Таким образом, для определения мер защиты необходимо знать 2 характеристики:
х1. Размещение информации
х2. Критичность информации.
х2. Критичность информации.
При этом х2. - это как раз тот коэффициент критичности ИСПДн, который мы определили выше, а x1. - способы размещения и обработки информации. Для каждого из них теперь можно описать набор комплексов организационно-технических мер, в зависимости от разных значений характеристики критичности информации x2.
Возможно, при этом целесообразным будет раздельное определение необходимых мер защиты для каждой из характеристик безопасности персональных данных.
Бонус описанного подхода, на мой взгляд, в том, что он:
1. Позволяет дистанцироваться от конкретных бизнес-процессов и утопания в бесчисленном перечне различных видов деятельности, при этом сохраняя и гибкость, и возможность точного описания (выбора) алгоритма действия для каждого конкретного случая;
2. Позволяет легко модифицировать защитные меры при изменении технологий, не затрагивая оценочную часть, и соответственно независимо корректировать оценочную часть при необходимости;3. Создает основу для расчета компенсации субъекту в случае, если характеристика безопасности была нарушена.
Комментариев нет:
Отправить комментарий