Применение процессного подхода к защите ИСПДн - гармонизация требований ISO/IEC 27001 и ФЗ-152

Константин Коротнев, начальник отдела аудита и консалтинга компании АМТ-ГРУП

На приведение бизнеса в соответствие с каким-либо новым законом можно посмотреть с двух сторон. С одной стороны, необходимо точно выполнить требования закона и быть готовым доказать их выполнение, чтобы избежать штрафных санкций. С другой – хорошо бы, чтобы выполнение этих требований было эффективно вписано в бизнес-процессы. В данной публикации мы рассмотрим, как обеспечить выполнение требований Федерального закона № 152 и одновременно вписать этот процесс в систему менеджмента ИБ.

Лебедь, рак и щука

Требования общепринятых международных стандартов, таких как ISO/IEC 27001:2005, описывающих менеджмент ИБ как часть риск-ориентированной системы менеджмента компании, определяют необходимость соответствия системы менеджмента ИБ требованиям локального законодательства. В случае с нашей страной одним из объектов требований локального законодательства, без соответствия которому невозможно построить функционирующую систему менеджмента ИБ, с 2011 г. станет ФЗ № 152. Животрепещущая тема обеспечения соответствия защиты функционирующих систем требованиям данного закона уже многократно рассмотрена, но практика внедрения систем защиты ИСПДн, с которой зачастую приходится сталкиваться, такова, что выполнение требований ФЗ-152 производится отдельно от существующих систем менеджмента ИБ, хотя и выполняется теми же людьми, которые отвечают за обеспечение ИБ компании и функционирование построенной в соответствии с требованиями ISO/IEC 27001:2005 системы менеджмента ИБ. Описанное положение дел приводит к трудностям при оценке рисков ИБ для активов компаний, что, в свою очередь, нарушает функционирование цикла Деминга, поддерживающего деятельность системы менеджмента ИБ, и в конечном счете приводит к невозможности эффективного функционирования СМИБ. Таким образом, перед менеджером, ответственным за управление ИБ, встает вопрос гармонизации требований, полученных из различных источников. Рассмотрим их далее.

Анализ и гармонизация требований федеральных и отраслевых нормативных актов

Требования по организации защиты персональных данных и требования стандарта ISO/IEC 27001:2005 имеют много общего, что позволяет гармонизировать их и использовать как единое целое для оптимизации функционирования СМИБ. Выделим места соприкосновения:

• учет требований по защите персональных данных при разработке моделей угроз для ИС, обрабатывающих персональные данные;
• создание частной политики защиты ПДн в рамках документации СМИБ организации;
• учет требований по защите ПДн при инвентаризации и классификации активов;
• учет требований законодательства в области защиты ПДн при выборе технических решений, реализующих защиту систем, обрабатывающих ПД, в рамках реализации требований приложения А стандарта ISO/IEC 27001:2005 и при внедрении контроля и мероприятий из плана обработки рисков ИБ.

Модель построения СМИБ, учитывающая требования федерального законодательства

Менеджмент информационной безопасности является неотъемлемой частью общего корпоративного управления компанией, основанного на управлении рисками и непрерывном совершенствовании. Наиболее широкое распространение при организации самосовершенствующихся процессов менеджмента получила модель Деминга, реализующая цикл Plan-Do-Check-Act. Данная модель может быть применена также для менеджмента процесса "Управление защитой ИСПДн", который может рассматриваться как часть общей системы менеджмента ИБ организации. Схема использования цикла Деминга для организации управления защитой персональных данных приведена на рис. 1.

Схема взаимодействия процессов управления защитой ИСПДн с процессами менеджмента ИБ, реализованными в рамках СМИБ и процессного подхода к организации защиты персональных данных, приведена на рис. 2.

Данная модель обеспечивает непрерывное совершенствование процессов, к которым она применяется. И именно ей обязаны своей эффективностью и популярностью системы менеджмента, основанные на управлении рисками. Кроме того, в данном случае применение цикла Деминга позволяет поддерживать актуальность принимаемых мер по защите ИСПДн как при изменениях структуры этих систем, так и в условиях постоянно меняющихся в нашей стране требования внешних регуляторов.

Как видно из приведенной схемы (рис. 2), для корректного функционирования взаимодействия создаваемого процесса управления защитой персональных данных необходима модернизация существующих процессов менеджмента ИБ. Для связи с процессом защиты персональных данных требуется дополнить структуру обрабатываемой ими информации.

Примеры возможных модификаций процессов менеджмента

При проведении инвентаризации и категорирования активов необходимо определить, относится ли актив к информационной системе, обрабатывающей персональные данные, и в случае положительного решения произвести классификацию этой информационной системы, то есть запустить процесс "Классификация ИСПДн". В дальнейшем в процессе анализа рисков при выполнении оценки риска для ИСПДн необходимо, кроме рисков ИБ, оценить также риски, связанные с последствиями несоблюдения законодательных требований в области защиты ПДн. В процессе разработки моделей угроз необходимо предусмотреть передачу разработанных моделей угроз в процесс "Управление защитой ИСПДн" для хранения и предоставления в случае необходимости проверяющим органам, а также дальнейшее формирование частных технических заданий на реализацию мер по защите ИСПДн. Процесс "Разграничение и концесс "Управление защитой ИСПДн". Процесс "Внутренний аудит" получает от процесса "Управление защитой ИСПДн" информацию о дополнительных критериях, на соответствие которым необходимо проверять системы и деятельность сотрудников организации, связанных с доступом к ПДн.

Специалисты АМТ-ГРУП, обладающие многолетним опытом построения процессно-ориентированных СМИБ, готовы применять этот подход к процессу "Управление защитой ИСПДн" и органично вписывать его в СМИБ. Результатом такого проекта станет приведение системы в соответствие с требованиями регуляторов в области защиты ПДн. А СМИБ банка, и это не менее важно, сможет эффективно решать бизнес-задачу по экономически оправданному и риск-ориентированному обеспечению ИБ.