В рамках рубрики Клуб экспертов мы продолжаем публикацию книги А.В.Лукацкого Мифы и заблуждения информационной безопасности
Алексей Лукацкий — менеджер по развитию
бизнеса Cisco Systems
В европейской директиве 95/46/ЕС от 24 октября 1995 г. «О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных» в 17-й статье говорит о том, что защитные меры должны зависеть от природы персональных данных, технологии их обработки, масштаба ущерба для них, а также стоить адекватных денег. Иными словами, чем меньше ущерб субъектам персональных данным, тем ниже должны быть затраты на их защиту.
Это логично и является одним из основополагающих принципов построения системы защиты («стоимость системы защиты не должна превышать стоимость защищаемой информации»).
В отечественных документах, определяющих требования по защите информации, этот принцип не просто нарушен, он полностью упущен. Согласно нормативным актам ущерб определяет не субъект ПДн, а оператор ПДн.
Но даже в этом случае, информация об ущербе никак не учитывается при выборе средств защиты. В руководящем документе ФСТЭК «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», определяющем защитные мероприятия и используемые средства обеспечения информационной безопасности, перечислены эти меры и технологии в привязке к классу информационной системы персональных данных, который в свою очередь вычисляется на основании только двух параметров — категория персональных данных и их объем.
lil peep — gym class
Ни слова про ущерб субъектам ПДн. В итоге мы получаем парадоксальную ситуацию — социальная сеть, в которой сотни тысяч пользователей сами раскрывают свои персональные данные и не сильно заботятся об их защищенности, должна выполнять требования более жесткие, чем поликлиника, утечка ПДн пациентов из которой может привести к гораздо более серьезным последствиям.
Но дело даже не в этом. По логике вещей стоимость защитных мер должна расти от низшего класса ИСПДн к высшему, от 4-го к 3-му.
В теории это именно так и работает, т.к. к информационным системам классов предъявляется больше требований по защите, чем к низшим. На практике же стоимость защитных мер меняться практически не будет.
Проиллюстрирую это на ряде примеров.
При подключении ИСПДн к сетям общего пользования (например, Интернет) требуется использовать межсетевой экран (МСЭ). Для ИСПДн 3-4 классов рекомендуется использовать МСЭ не ниже пятого класса защищенности, для ИСПДн 2 класса — МСЭ не ниже четвертого класса защищенности, для ИСПДн 1 класса — МСЭ не ниже третьего класса защищенности.
Все в принципе логично, если бы не одно «но». В России практически нет МСЭ 5-го класса. А при сертификации существующих экранов все стремятся получить 3-й класс, чтобы увеличить сферу применения своего продукта, не ограничивая ее только сегментом персональных данных.
Иными словами, один и тот же продукт будет использоваться и для защиты ИСПДн старших, и для защиты ИСПДн младших классов. Где же экономия?
Возьмем другой тип защитных средств — системы защиты от несанкционированного доступа. К их числу можно отнести такие средства как Secret Net, Аккорд, Панцирь, Броня и т.п. Они тоже практически не дифференцируются в зависимости от класса ИСПДн.
Если мы возьмем, например, Secret Net 5.0, то цена решения будет одной и той же и для ИСПДн 4-го класса и для ИСПДн 1-го класса. Аналогичная ситуация и с антивирусами.
Если мы выбираем между сертифицированными решениями (а иные использовать мы не можем), то для каждого антивирусного производителя выбор опять ограничивается только одним продуктом, подходящим для любого класса ИСПДн.
И так, практически по каждому типу защитных средств. В итоге мы приходим к тому, что какой бы класс ИСПДн мы себе не выбрали, средства защиты для них будут одними и теми же, а значит уменьшить затраты мы не сможем.
