«Такие стандарты у нас не часто встречаются…»

«Такие стандарты у нас не часто встречаются…»

Перед нами новый стандарт ГОСТ Р 59407–2021 «Базовая архитектура защиты персональных данных» из серии «Информационные технологии. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ».

Во введении утверждается, что «Настоящий стандарт предоставляет описания высокоуровневой базовой архитектуры и соответ­ствующих мер защиты персональных данных в информационных системах персональных данных» и далее: «Настоящий стандарт не устанавливает требования для политик защиты ПДн; предполагается, что политики приняты и что в рамках ИСПДн определены требования защиты ПДн, а также реализованы соответствующие меры защиты ПДн».

На этом месте можно было бы поставить точку и дальше документ не читать. Но любопытство скорее нас одолеет, чем лень. Поэтому всё-таки посмотрим, а что же там.

Сознаюсь сразу, я только после третьего прочтения понял (мне хочется в это верить), зачем нужен такой стандарт. Стандарт переводной, носит «информационный» характер (по словам одного из авторов стандарта). Предназначен в основном для разработчиков ИСПДн. Именно для них будет наиболее полезен этот новый взгляд на то, не КАК, а ЧТО нужно делать на каждом уровне инфраструктуры и в каждом типе информационной системы.

Такие стандарты у нас сейчас не часто встречаются.

У нас пока большая редкость система, изначально предназначенная для обработки ПДн, мы в основном имеем дело с системами, занимающимися обработкой ПДн для чего-то своего, и специальные требования там учитываются, как правило, только для основной функциональности.

Приведу пример. Система обрабатывает ПДн субъекта не сама по себе, есть пользователь системы, который что-то делает с данными. При этом:

1. Не проверяется наличие согласия именно этого субъекта на обработку именно этих данных;
2. Не проверяется соответствие заявленных в согласии целей обработки и фактической обработки;
3. Не всегда проверяется легитимность прав пользователя системы (подтверждение его личности, подтверждение его прав на возможность такого вида обработки);
4. Не ведётся протоколирование действий системы и пользователя;
5. И т.д. и т.п.

Те, кто в силу служебных обязанностей занимается процессами обработки и защиты ПДн в организации, знают, как непросто бывает приводить работающие системы в соответствие с требованиями. Стандарт при внимательном прочтении и применении способен сильно облегчить проработку архитектуры и составляющих компонентов будущих ИСПДн и снять эту серьёзную проблему.

Предлагаю читателям провести домашнюю работу: выписать 3 самых болезненных проблемы в приведении в соответствие с нормативными документами одной ИСПДн, а затем посмотреть, как бы выглядели эти болезни, если бы разработчики использовали этот стандарт. Очень интересный эффект. Если вы напишите в журнал о ваших результатах, это будет жизненное предметное продолжение обсуждения стандарта и возможностей его применения.

Хочу отметить ещё один нюанс, который вызвал неоднозначную реакцию читателей. Появилась, по сути, новая сущность в предметной области – ИСПДн субъекта ПДн. Это требует осмысления. При этом при первом подходе к этой сущности понимаешь, что системы, в том числе компьютеры, планшеты, смартфоны и прочие гаджеты, с которыми непосредственно имеет дело пользователь, требуют специального рассмотрения.

Если значимость идентификации и аутентификации всех участников информационного взаимодействия не вызывает сомнения, то отдельная глава, посвящённая шифрованию, как универсальному средству защиты данных сильно преувеличивает его место и значение.

И в заключение хочу выразить благодарность авторам стандарта и статьи, и отдельную благодарность С.В. Вихореву за его вклад в совершенствование нормативной базы по защите информации.