5 февраля 2013 г.

Защита «на глазок»

Михаил Емельянников, управляющий партнер агентства «Емельянников, Попова и партнеры», — о ситуации вокруг Постановления Правительства РФ № 1119
В но­яб­ре 2012 года всту­пи­ло в силу По­ста­нов­ле­ние Пра­ви­тель­ства РФ № 1119 «Об утвер­ждении тре­бо­ва­ний к за­щи­те пер­со­наль­ных дан­ных при их об­ра­бот­ке в ин­фор­ма­ци­он­ных си­сте­мах пер­со­наль­ных дан­ных». Со­глас­но его тре­бо­ва­ни­ям, опе­ра­то­ру пред­ла­га­ет­ся са­мо­сто­я­тель­но опре­де­лить тип угроз без­опас­но­сти пер­со­наль­ных дан­ных, ак­ту­аль­ных для ин­фор­ма­ци­он­ной си­сте­мы. В по­ста­нов­ле­нии при­ве­де­ны три типа угроз, два из ко­то­рых свя­за­ны с на­ли­чи­ем недо­ку­мен­ти­ро­ван­ных воз­мож­но­стей в ПО. Про­ком­мен­ти­ро­вать из­ме­не­ния и ре­ак­цию на них со сто­ро­ны рос­сий­ско­го биз­не­са мы по­про­си­ли Ми­ха­и­ла Еме­льян­ни­ко­ва, управ­ля­ю­ще­го парт­не­ра кон­сал­тин­го­во­го агент­ства «Еме­льян­ни­ков, По­по­ва и партнеры».
Что но­во­го при­внес­ло По­ста­нов­ле­ние № 1119 в пра­во­вой ланд­шафт РФ?
По­ста­нов­ле­ние при­внес­ло, к со­жа­ле­нию, очень много неожи­дан­но­го. Во-пер­вых, оно по­ка­за­ло, что от­вет­ствен­ным струк­ту­рам можно не вы­пол­нять тре­бо­ва­ния фе­де­раль­но­го за­ко­на и не раз­ра­ба­ты­вать в со­от­вет­ствии с ним под­за­кон­ные акты, а пе­ре­кла­ды­вать ре­ше­ние про­блем на биз­нес. Как из­вест­но, имен­но го­су­дар­ствен­ные ор­га­ны и обя­за­ны со­здать пра­ви­ла, вы­пол­няя ко­то­рые, сле­ду­ет со­блю­дать закон.
Кроме того, об­на­ру­жи­лось, что каж­дый за­ве­ду­ю­щий дет­са­дом, глав­врач или ди­рек­тор ма­га­зи­на долж­ны от­лич­но по­ни­мать, что такое неде­кла­ри­ро­ван­ные воз­мож­но­сти си­стем­но­го и при­клад­но­го про­грамм­но­го обес­пе­че­ния. В за­ви­си­мо­сти от этого по­ни­ма­ния и оцен­ки уров­ня воз­мож­но­стей по­тен­ци­аль­но­го взлом­щи­ка ком­пью­те­ров им пред­ла­га­ет­ся при­ни­мать ре­ше­ния, по­рож­да­ю­щие для вве­рен­ной ор­га­ни­за­ции юри­ди­че­ские последствия.
Что еще пе­чаль­нее, был на­пи­сан до­ку­мент, опре­де­ля­ю­щий по­ря­док за­щи­ты от при­ду­ман­ных ре­гу­ля­то­ра­ми угроз, но не на­зван ни один спо­соб за­щи­ты от них, что опять-та­ки пе­ре­кла­ды­ва­ет про­бле­му на того, кто дол­жен до­ку­мент исполнять.
Как свя­за­но По­ста­нов­ле­ние № 1119 с Фе­де­раль­ным законом
№ 152-ФЗ «О пер­со­наль­ных дан­ных»? И как его вы­пол­не­ние от­ра­зит­ся на тех пред­при­я­ти­ях, ко­то­рые уже по­ста­ра­лись при­ве­сти свои ин­фор­ма­ци­он­ные си­сте­мы в со­от­вет­ствие с су­ще­ство­вав­ши­ми ранее требованиями?
Закон и по­ста­нов­ле­ние свя­за­ны очень четко: по­ста­нов­ле­ние раз­ра­бо­та­но в со­от­вет­ствии с тре­бо­ва­ни­я­ми части 3 ст.19 за­ко­на. Вот толь­ко преду­смот­рен­ный за­ко­ном учет воз­мож­но­го вреда субъ­ек­ту пер­со­наль­ных дан­ных, а также вида де­я­тель­но­сти, при осу­ществ­ле­нии ко­то­ро­го об­ра­ба­ты­ва­ют­ся пер­со­наль­ные дан­ные, в по­ста­нов­ле­нии от­ра­же­ния никак не нашел. Тре­бо­ва­ния же к за­щи­те пер­со­наль­ных дан­ных, ко­то­рые ука­за­ны в по­ста­нов­ле­нии, никак не могут ней­тра­ли­зо­вать, сни­зить или ком­пен­си­ро­вать угро­зы, свя­зан­ные с на­ли­чи­ем неде­кла­ри­ро­ван­ных воз­мож­но­стей при при­зна­нии ак­ту­аль­ны­ми угроз пер­во­го и вто­ро­го типа.
Если опе­ра­тор вы­пол­нил меры по тех­ни­че­ской за­щи­те в со­от­вет­ствии с утра­тив­шим силу Постановлением № 781 от 2007 года, При­ка­зом ФСТЭК № 58 и ме­то­ди­че­ски­ми до­ку­мен­та­ми ФСБ, при­знав для себя ак­ту­аль­ны­ми угро­зы толь­ко тре­тье­го типа, де­лать ему прак­ти­че­ски ни­че­го не при­дет­ся. Речь будет идти лишь о до­ра­бот­ке нор­ма­тив­ной до­ку­мен­та­ции, за­мене акта клас­си­фи­ка­ции ин­фор­ма­ци­он­ных систем пер­со­наль­ных дан­ных на акт вы­бо­ра типа ак­ту­аль­ных угроз и оцен­ку уров­ня за­щи­щен­но­сти. Воз­мож­но, по­тре­бу­ет­ся под­пра­вить част­ную мо­дель ак­ту­аль­ных угроз в со­от­вет­ствии с ожи­да­е­мы­ми до­ку­мен­та­ми ФСБ и ФСТЭК. При­ня­тых мер за­щи­ты в аб­со­лют­ном боль­шин­стве слу­ча­ев ока­жет­ся вполне достаточно.
А вот если ак­ту­аль­ны­ми будут при­зна­ны угро­зы пер­во­го и вто­ро­го типа, что де­лать, се­год­ня не знает, на­вер­ное, никто, вклю­чая ав­то­ров по­ста­нов­ле­ния правительства.
В целом по­ста­нов­ле­ние об­лег­чи­ло или услож­ни­ло жизнь ком­па­ний — опе­ра­то­ров пер­со­наль­ных дан­ных? Какие у него плюсы и ми­ну­сы с точки зре­ния ком­па­ний, вы­нуж­ден­ных ему следовать?
Этого пока нель­зя ска­зать даже пред­по­ло­жи­тель­но. Струк­ту­ра по­ста­нов­ле­ния пред­по­ла­га­ет обя­за­тель­ное при­ня­тие для его ис­пол­не­ния фе­де­раль­ны­ми и ре­ги­о­наль­ны­ми ор­га­на­ми ис­пол­ни­тель­ной вла­сти, Бан­ком Рос­сии, ФСБ и ФСТЭК це­ло­го па­ке­та до­ку­мен­тов. Без этих до­ку­мен­тов по­ста­нов­ле­ние, со­дер­жа­щее массу от­сы­лоч­ных норм, ра­бо­тать не сможет.
Со­мне­ний нет, что ФСБ и ФСТЭК такие до­ку­мен­ты при­мут. А вот что может за­ста­вить это сде­лать фе­де­раль­ные ор­га­ны ис­пол­ни­тель­ной вла­сти, осу­ществ­ля­ю­щие функ­ции по вы­ра­бот­ке го­су­дар­ствен­ной по­ли­ти­ки и нор­ма­тив­но-пра­во­во­му ре­гу­ли­ро­ва­нию, — ни закон, ни по­ста­нов­ле­ние от­ве­тов не со­дер­жат. Непо­нят­но и что де­лать тем опе­ра­то­рам, у ко­то­рых нет ор­га­нов, ре­гу­ли­ру­ю­щих де­я­тель­ность «в уста­нов­лен­ной сфере».
Мо­де­ли по­ве­де­ния опе­ра­то­ров на се­го­дняш­ний день при­мер­но одни и те же — при­знать ак­ту­аль­ны­ми угро­зы толь­ко тре­тье­го типа (не свя­зан­ные с ис­поль­зо­ва­ни­ем зло­умыш­лен­ни­ком неде­кла­ри­ро­ван­ных воз­мож­но­стей) и за­щи­щать­ся по ми­ни­му­му. Су­ще­ству­ю­щие до­ку­мен­ты никак та­ко­му пути не препятствуют.

Комментариев нет:

Отправить комментарий