BIS Journal №4(43)/2021

16 декабря, 2021

«Такие стандарты у нас не часто встречаются…»

Перед нами новый стандарт ГОСТ Р 59407–2021 «Базовая архитектура защиты персональных данных» из серии «Информационные технологии. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ».

Во введении утверждается, что «Настоящий стандарт предоставляет описания высокоуровневой базовой архитектуры и соответ­ствующих мер защиты персональных данных в информационных системах персональных данных» и далее: «Настоящий стандарт не устанавливает требования для политик защиты ПДн; предполагается, что политики приняты и что в рамках ИСПДн определены требования защиты ПДн, а также реализованы соответствующие меры защиты ПДн».

На этом месте можно было бы поставить точку и дальше документ не читать. Но любопытство скорее нас одолеет, чем лень. Поэтому всё-таки посмотрим, а что же там.

Сознаюсь сразу, я только после третьего прочтения понял (мне хочется в это верить), зачем нужен такой стандарт. Стандарт переводной, носит «информационный» характер (по словам одного из авторов стандарта). Предназначен в основном для разработчиков ИСПДн. Именно для них будет наиболее полезен этот новый взгляд на то, не КАК, а ЧТО нужно делать на каждом уровне инфраструктуры и в каждом типе информационной системы.

Такие стандарты у нас сейчас не часто встречаются.

У нас пока большая редкость система, изначально предназначенная для обработки ПДн, мы в основном имеем дело с системами, занимающимися обработкой ПДн для чего-то своего, и специальные требования там учитываются, как правило, только для основной функциональности.

Приведу пример. Система обрабатывает ПДн субъекта не сама по себе, есть пользователь системы, который что-то делает с данными. При этом:

  1. Не проверяется наличие согласия именно этого субъекта на обработку именно этих данных;
  2. Не проверяется соответствие заявленных в согласии целей обработки и фактической обработки;
  3. Не всегда проверяется легитимность прав пользователя системы (подтверждение его личности, подтверждение его прав на возможность такого вида обработки);
  4. Не ведётся протоколирование действий системы и пользователя;
  5. И т.д. и т.п.

Те, кто в силу служебных обязанностей занимается процессами обработки и защиты ПДн в организации, знают, как непросто бывает приводить работающие системы в соответствие с требованиями. Стандарт при внимательном прочтении и применении способен сильно облегчить проработку архитектуры и составляющих компонентов будущих ИСПДн и снять эту серьёзную проблему.

Предлагаю читателям провести домашнюю работу: выписать 3 самых болезненных проблемы в приведении в соответствие с нормативными документами одной ИСПДн, а затем посмотреть, как бы выглядели эти болезни, если бы разработчики использовали этот стандарт. Очень интересный эффект. Если вы напишите в журнал о ваших результатах, это будет жизненное предметное продолжение обсуждения стандарта и возможностей его применения.

Хочу отметить ещё один нюанс, который вызвал неоднозначную реакцию читателей. Появилась, по сути, новая сущность в предметной области – ИСПДн субъекта ПДн. Это требует осмысления. При этом при первом подходе к этой сущности понимаешь, что системы, в том числе компьютеры, планшеты, смартфоны и прочие гаджеты, с которыми непосредственно имеет дело пользователь, требуют специального рассмотрения.

Если значимость идентификации и аутентификации всех участников информационного взаимодействия не вызывает сомнения, то отдельная глава, посвящённая шифрованию, как универсальному средству защиты данных сильно преувеличивает его место и значение.

И в заключение хочу выразить благодарность авторам стандарта и статьи, и отдельную благодарность С.В. Вихореву за его вклад в совершенствование нормативной базы по защите информации.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

12.09.2024
Объединение двух банков снизит затраты на ИТ-решения
12.09.2024
Платёжные данные в обмен на бусы. Хакеры заразили мерч Cisco
12.09.2024
Мошенники пугают отельеров понижением социального рейтинга
12.09.2024
Банк России готовится к массовому использованию цифрового рубля
12.09.2024
Охотники добыли целого дракона. Крупнейший банк мира был атакован
11.09.2024
Россия поспорит с американским доменным регулятором ICANN
11.09.2024
Кража айдентити — основной вектор кибератак злоумышленников в корпоративном секторе
11.09.2024
Обновление ТСПУ потребует десятки миллиардов рублей
11.09.2024
top вырвался в топ «скамерских» доменных зон
11.09.2024
Машины «Сбера» посмотрят в глаза клиентам конкурентов

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных