Понедельник, 03.02.2025, 01:00
Главная Регистрация RSS
Приветствую Вас, Гость
Меню сайта
Наш опрос
Оцените мой сайт
Результаты | Архив опросов
Всего ответов: 1
Статистика
Онлайн всего: 1
Гостей: 1
Пользователей: 0
Форма входа
Поиск
Календарь
«  Май 2012  »
ПнВтСрЧтПтСбВс
 123456
78910111213
14151617181920
21222324252627
28293031
Архив записей
Друзья сайта
  • Официальный блог
  • Сообщество uCoz
  • FAQ по системе
  • Инструкции для uCoz
    • Главная » 2012 » Май » 5 » Как Европа предлагает защищать ПДн в электронных коммуникациях
    14:33
    Как Европа предлагает защищать ПДн в электронных коммуникациях
    В 2002-м году в Европе приняли Директиву 2002/58/EC относительно обработки ПДн и их защиты в секторе электронных коммуникаций (то чем у нас РАЭК занимается). 4-я статья этой директивы, которая так и называется "Безопасность", буквально гласит следующее:

    "1. Провайдер публично доступных сервисов электронных коммуникаций обязан предпринимать соответствующие технические и организационные меры по обеспечению безопасности своих услуг; при необходимости привлекая оператора связи сети общего пользования в части обеспечения сетевой безопасности. Принимая во внимание актуальность и стоимость защитных мер, они должны обеспечить уровень безопасности, соответствующий выявленным рискам.


    2. В особых случаях проявления риска нарушения безопасности сети, провайдер публично доступных сервисов электронных коммуникаций обязанпроинформировать своих абонентов о данном риске, а там, где риски выходят за рамки предпринятых провайдером защитных мер, и о всех возможных последствиях, включая сведения о вероятном ущербе".

    В целом ничего сверхествественного. Общие фразы. Никакой конкретики. Множество вариантов решения задачи. Как бы поступили в России? Разработали обязательные для всех Постановления Правительства, из которых вытекают требования приказов ФСТЭК и ФСБ. Логично и предсказуемо. Ничего, что регуляторы не могут за оператора ПДн оценить риски. Ничего, что у них мотивация защиты иная и на стоимость защиты они смотрят в последнюю очередь. Мы к этому привыкли. Мало кто, готов спорить с этим подходом. Покричать на кухне, да на конференции задать "каверзный" вопрос... Это могут все. А выйти с конкретным предложением... Это увольте. На это есть "другой парень", "что я лысый и мне больше всех надо?"...

    Как поступили бы в Европе? Просто. Они взяли и разработали рекомендации по реализации 4-й статьи Директивы. Вчера эти рекомендации были опубликованы. Рекомендации, не требования. Никаких требований по применяемых средствам защиты. Ключевые рекомендации следующие:
    • Необходимо выстроить целостную процедуру управления инцидентами с ПДн. Вот эта первая рекомендация, она ключевая и именно она отличает Европу и США от России. У нас важно применить кучу защитных мер, приобрести сертифицированные средства защиты (правда, за взлом такого средства с голограммой никто не отвечает), провести аттестацию, получить лицензию. А вот управлять инцидентами не важно совсем. Нет ни требований, ни обязанности  уведомлять (точнее нет описанной процедуры и наказания за неуведомление). В Европе и США подход иной. Неважно КАК ты защищаешься - важно, чтобы субъекту не был нанесен ущерб. И вот если он нанесен, то придут и накажут. Но при условии, что ты ничего не сделал для снижения ущерба для субъекта. А если сделал, то тоже накажут, но не так сильно. ТАМ в области защиты самих ПДн первичен субъект, у НАС первично выполнение требований по защите.
    • Необходимо выстроить процесс управления рисками, особенно в части их идентификации и оценки.
    • Необходимо выстроить процесс оценки ущерба, разбиваемый на 2 стадии - первичная оценка (в течении 24 часов после инцидента) и более глубокая и детальная оценка.
    • Необходимо выстроить процесс уведомления пострадавших субъектов.
    • Необходимо извлечь уроки из инцидента и устранить причины, приведшие к нему.
    Автор этих рекомендаций, которые в документы расписаны подробнее на 68 страницах, - Европейское агентство по сетевой и информационной безопасности (ENISA). Как обычно, этот документ от ENISA не сухо перечисляет "сделайте то-то и то-то", а доступным языком описывает и объясняет рекомендации, использует блок-схемы, разыгрывает различные сценарии. Например, что делать, если в такси был оставлен лэптоп с ПДн? Или что делать, если оператору ПДн позвонил неизвестный и представил доказательства кражи файла с зарплатами сотрудников?

    В документе есть интересный пассаж - "Следует отметить, что оператор ПДн должен также определить количество людей, пострадавших от инцидента с ПДн. И хотя данный показатель и не должен использоваться в качестве критерия для оценки последствий от инцидента с ПДн, он является параметром, который должен быть сообщен уполномоченному органу". Причем в тексте рекомендаций этот момент выделен особо. Как тут не вспомнить постоянные дискуссии о том, что нельзя классификацию ИСПДн привязывать к числу субъектов ПДн, данные о которых обрабатываются в ИСПДн.

    Очень неплохо расписан раздел по уведомлениям и по распределению ролей. Приведен шаблон уведомления уполномоченного органа по факту инцидента с ПДн. Из него замечательный приказ РКН вышел бы. Интересный раздел по оценке ущерба от инцидентов с ПДн. Дан он в качестве информации к размышлению, но методика там простая донельзя. Все по таблицам и в итоге приходим к итоговому значению, от которого уже зависят, например, сроки уведомления уполномоченного органа. Немало сказано и про расследование инцидентов.


    В-общем могу сказать, что документ рекомендован к прочтению.
    Просмотров: 338 | Добавил: Alex_D | Рейтинг: 0.0/0
    Всего комментариев: 0
    Имя *:
    Email *:
    Код *: