четверг, 22 августа 2013 г.

Трактование мер по обеспечению безопасности персональных данных и ГИС

При составлении таблицы выполнения продуктами Код Безопасности мер по обеспечению безопасности персональных данных, у нас с коллегами то и дело разгорались споры по трактовке этих самых мер.

Берем, к примеру, одну из первых мер - ИАФ.2, которая звучит как "Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных". Первый же вопрос - что такое мобильные и портативные устройства. Чем мобильные отличаются от портативных? Можем ли мы говорить, что ноутбук - это портативное устройство, а нетбук - мобильное? Никаких критериев и пояснений нет, значит - можем. Ставим уверенный плюс, даже если продукт работает только под Windows.

Идем дальше, ИАФ.5 - "Защита обратной связи при вводе аутентификационной информации", менеджеры продуктов предлагают варианты на перебой - подписывание авторизационного трафика при удаленном доступе, слежение за перехватом Windows API и детектирование кейлогеров при локальном вводе данных, использование токенов с PIN-кодами и так далее. А тут в твиттере выдвигают простое предположение:


И такие примеры можно привести практически по каждому пункту. Что делать интеграторам и разработчикам средств защиты? Моё мнение - трактовать меры по защите по своему усмотрению, по крайней мере, до выхода методических документов ФСТЭК, обещанных нам в конце этого года. Впрочем, правовой статус методических документов еще нужно будет выяснять, вполне возможно, что документы будут носить рекомендательный характер, если их обязательное применение не пропишут в очередном приказе ФСТЭК.

3 комментария:

  1. Да, можно трактовать меры самостоятельно. Что интересно, их можно реализовывать или очень просто или очень сложно.

    ОтветитьУдалить
  2. Мм, какая табличка! Мы как раз тем же самым заниматься начали и тоже ломаем голову над трактовкой мер. (Наша табличка: http://goo.gl/5tPw8S)

    ОтветитьУдалить
    Ответы
    1. Дмитрий, мы с Вами не знакомы, к сожалению, не подскажете, "вы" - это кто?) По содержимому документа это не очевидно, а в свойствах стоит "Microsoft".

      На DLP-expert посоветовали документ NIST 800-53 для понимания мер, сейчас его изучаю и подготовлю отдельные записи по нему, если найду полезную информацию.

      Удалить