BIS Journal №4(43)/2021

16 декабря, 2021

«Такие стандарты у нас не часто встречаются…»

Перед нами новый стандарт ГОСТ Р 59407–2021 «Базовая архитектура защиты персональных данных» из серии «Информационные технологии. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ».

Во введении утверждается, что «Настоящий стандарт предоставляет описания высокоуровневой базовой архитектуры и соответ­ствующих мер защиты персональных данных в информационных системах персональных данных» и далее: «Настоящий стандарт не устанавливает требования для политик защиты ПДн; предполагается, что политики приняты и что в рамках ИСПДн определены требования защиты ПДн, а также реализованы соответствующие меры защиты ПДн».

На этом месте можно было бы поставить точку и дальше документ не читать. Но любопытство скорее нас одолеет, чем лень. Поэтому всё-таки посмотрим, а что же там.

Сознаюсь сразу, я только после третьего прочтения понял (мне хочется в это верить), зачем нужен такой стандарт. Стандарт переводной, носит «информационный» характер (по словам одного из авторов стандарта). Предназначен в основном для разработчиков ИСПДн. Именно для них будет наиболее полезен этот новый взгляд на то, не КАК, а ЧТО нужно делать на каждом уровне инфраструктуры и в каждом типе информационной системы.

Такие стандарты у нас сейчас не часто встречаются.

У нас пока большая редкость система, изначально предназначенная для обработки ПДн, мы в основном имеем дело с системами, занимающимися обработкой ПДн для чего-то своего, и специальные требования там учитываются, как правило, только для основной функциональности.

Приведу пример. Система обрабатывает ПДн субъекта не сама по себе, есть пользователь системы, который что-то делает с данными. При этом:

  1. Не проверяется наличие согласия именно этого субъекта на обработку именно этих данных;
  2. Не проверяется соответствие заявленных в согласии целей обработки и фактической обработки;
  3. Не всегда проверяется легитимность прав пользователя системы (подтверждение его личности, подтверждение его прав на возможность такого вида обработки);
  4. Не ведётся протоколирование действий системы и пользователя;
  5. И т.д. и т.п.

Те, кто в силу служебных обязанностей занимается процессами обработки и защиты ПДн в организации, знают, как непросто бывает приводить работающие системы в соответствие с требованиями. Стандарт при внимательном прочтении и применении способен сильно облегчить проработку архитектуры и составляющих компонентов будущих ИСПДн и снять эту серьёзную проблему.

Предлагаю читателям провести домашнюю работу: выписать 3 самых болезненных проблемы в приведении в соответствие с нормативными документами одной ИСПДн, а затем посмотреть, как бы выглядели эти болезни, если бы разработчики использовали этот стандарт. Очень интересный эффект. Если вы напишите в журнал о ваших результатах, это будет жизненное предметное продолжение обсуждения стандарта и возможностей его применения.

Хочу отметить ещё один нюанс, который вызвал неоднозначную реакцию читателей. Появилась, по сути, новая сущность в предметной области – ИСПДн субъекта ПДн. Это требует осмысления. При этом при первом подходе к этой сущности понимаешь, что системы, в том числе компьютеры, планшеты, смартфоны и прочие гаджеты, с которыми непосредственно имеет дело пользователь, требуют специального рассмотрения.

Если значимость идентификации и аутентификации всех участников информационного взаимодействия не вызывает сомнения, то отдельная глава, посвящённая шифрованию, как универсальному средству защиты данных сильно преувеличивает его место и значение.

И в заключение хочу выразить благодарность авторам стандарта и статьи, и отдельную благодарность С.В. Вихореву за его вклад в совершенствование нормативной базы по защите информации.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

04.10.2024
Ответственен ли TikTok за влияние на выборы? Узнаем в ноябре
04.10.2024
Банки смогут блокировать вызывающие подозрение операции с цифровым рублём
04.10.2024
Роскомнадзор присмотрится к серийной передаче ПДн россиян за рубеж
04.10.2024
Банк России: НСПК — арбитр в системе универсального QR-кода
04.10.2024
Технология NASA позволит обмениваться HD-видео с марсианами
03.10.2024
ООО на смарт-контрактах. Минфин даст дорогу киберпредпринимателям
03.10.2024
Банк России прописал требования по работе с ГИС электронного правительства
03.10.2024
В госсекторе удвоился спрос на серверы для работы с ИИ
03.10.2024
Банкиры будут проверять ментальное состояние потенциальных заёмщиков?
03.10.2024
Девиз кибергода в Европе — ThinkB4UClick. На повестке — борьба с социнженерами

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных