12 января 2014 г.

О гражданской инициативе, персональных данных и ЗАГСах. Часть 2. Про техническую защиту и дорожную карту

Это продолжение поста, опубликованного на прошлой неделе. Лучше чтение начинать с него.
Итак, мы остановились на том, что наличие сведений о национальности меняет уровень защищенности информационной системы персональных данных ЗАГСа, повышая ее при наличии записей о более чем 100 тысяч субъектов с минимального третьего уровня до минимального второго. А если признаны актуальными угрозы первого или второго типа, будет необходимо обеспечить первый уровень защищенности. Как уже отмечалось в предыдущем посте, ИСПДп в ЗАГСе должна быть обязательно, поскольку в соответствии с п.52 «Административного регламента предоставления государственной услуги по государственной регистрации актов гражданского состояния органами, осуществляющими государственную регистрацию актов гражданского состояния на территории Российской Федерации», «каждое рабочее место специалиста оборудуется персональным компьютером с возможностью доступа к необходимым информационным базам данных, печатающим устройством».
Кстати, поскольку в соответствии с законом об актах записи гражданского состояния органы ЗАГС образуются органами государственной власти субъектов Российской Федерации, эти самые органы власти субъектов обязаны в соответствии с частью 5 ст.19 принять в пределах своих полномочий нормативные правовые акты, в которых определят «угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки». Для ЗАГСов в том числе. Однако что-то таких актов пока особо не видно. В этих условиях каждый руководитель соответствующего управления или отдела записи актов гражданского состояния будет самостоятельно принимать решение об актуальности для ЗАГСа угроз, связанных с наличием недекларированных возможностей системного и прикладного программного обеспечения, а также обеспечивать нейтрализацию соответствующих классов угроз. Если, конечно, понимает, что написано выше. Тут нет никакой иронии или сарказма. Я априори с глубоким уважением отношусь ко всем незнакомым людям, но совершенно не понимаю, как и почему руководитель ЗАГСа может и должен все это понимать.
Далее, кто-то в ЗАГСе (приходящий раз в неделю сисадмин?) должен оформить в виде документа оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения в ЗАГСе требований 152-ФЗ, и сформировать частную модель актуальных угроз безопасности персональных данных при их автоматизированной обработке. Соотнося оцененный вред субъекту с актуальными угрозами, этот самый сисадмин готовит руководителю ЗАГСа предложения по составу и содержанию правовых, организационных и технических мер, направленных на обеспечение выполнения обязанностей, возложенных на ЗАГС как оператора персональных данных соответствующим законом, Постановлениями Правительства №№ 687, 211 (мы же говорим об органе власти!) и 1119.
Не забудьте, что для второго уровня защищенности (статистика хочет знать все!) необходимо будет принять 67 базовых мер безопасности (приказ ФСТЭК № 21), среди которых, при наличии подключения к интернету – сертифицированные межсетевой экран ни ниже 3-го класса и системы обнаружения вторжений и антивирусной защиты не ниже 4-го. Да, не забудьте, их кто-то должен эксплуатировать.
Попутно кто-то неведомый (тот же сисадмин или другой назначенный крайним служащий) рисует ЗАГСу пакет документов в составе которых:
      политика в отношении обработки персональных данных и сведения о реализуемых ЗАГСом требованиях к защите персональных данных;
      правила обработки персональных данных, определяющие для каждой цели обработки персональных данных (не забудьте их определить!) содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;
      правила рассмотрения запросов субъектов персональных данных или их представителей;
      правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним документами ЗАГСа;
      правила работы с обезличенными данными;
      перечень информационных систем персональных данных;
      перечни персональных данных, обрабатываемых ЗАГСе в связи с реализацией трудовых отношений, а также в связи с оказанием государственных и муниципальных услуг и осуществлением государственных и муниципальных функций;
      перечень должностей служащих ЗАГСа, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных (обязательно, см. приказ и методичку РКН);
      перечень должностей служащих ЗАГСа, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, как и использованием средств автоматизации, так и без таковых (интересно, чем занимаются все остальные?);
      должностная инструкция ответственного за организацию обработки персональных данных в ЗАГСе (не забудьте назначить приказом!);
      типовое обязательство служащего ЗАГСа, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним государственного или муниципального контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;
      типовая форма согласия на обработку персональных данных служащих ЗАГСа, иных субъектов персональных данных (хоть убейте, не понимаю, зачем и на сновании чего, кроме ПП-211), а также типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;
      порядок доступа служащих ЗАГСа в помещения, в которых ведется обработка персональных данных.
Политика в отношении обработки персональных данных и сведения о реализуемых ЗАГСом требованиях к защите персональных данных должна быть доступна любому человеку, приходящему в ЗАГС, а поскольку некоторые из них громко объявили о приеме заявлений на регистрацию актов через веб-сайт, политику и сведения необходимо разместить и на таком веб-сайте.
Далее всех служащих ЗАГСа необходимо ознакомить под роспись с документами, устанавливающими порядок обработки их персональных данных, а также с их правами и обязанностями в этой области, а служащих, осуществляющих обработку персональных данных (т.е. осуществляющих запись актов гражданского состояния, принимающих заявления о выдающих свидетельства о записях), - также и с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, всеми документами ЗАГСа по вопросам обработки персональных данных. Необходимо также организовать обучение указанных служащих.
Да, не забудьте, что руководитель отдела ЗАГС должен доказать, что все служащие, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть были проинформированы о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами ЗАГСа (при их наличии).
В ЗАГСе надо также определить места хранения персональных данных (их материальных носителей), организовать учет машинных носителей и резервное копирование.
Я нисколько не преувеличиваю привожу лишь краткую выписку из требований закона и принятых в его исполнение нормативных правовых актов.
Из всего этого есть простой и очевидный выход, законом же предусмотренный. В соответствии с частью 2 ст.4 152-ФЗ, государственные органы и органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты, нормативные акты, правовые акты по отдельным вопросам, касающимся обработки персональных данных. Такие акты подлежат официальному опубликованию.
Казалось бы, что проще – создать одну (ОДНУ!) методичку для ЗАГСов, где все это расписать в цветах и красках, заодно рассказав про обязательность использования сертифицированных средств защиты и порядок их приобретения. Можно еще и бюджет на реализацию всех этих требований выделить.
Но у нас не ищут легких путей.
К чему все это? На простом примере скромного ЗАГСа виден колоссальный объем работы, который должен выполнить любой оператор персональных данных. Когда принимаются законы, очень было бы неплохо примерить их сначала на госорганы, а потом добиться выполнения установленных требований там же. И только после этого требовать этого от бизнеса и разворачивать систему контроля и надзора в сегменте предпринимательства.

6 комментариев:

  1. (и снова не прохожу мимо, видимо пока ещё спокойное начало года позволяет не как обычно просто просматривать, но и немного буквы набирать)
    О том, что государству нужно всегда начинать с себя - в России почти никогда не работало, а в общем-то хотелось бы.
    Но этого нет, как нет единства даже у того же регулятора. Достаточно посмотреть как различаются политики по обработки ПДн у каждого регионального РКН, как отличаются уведомления и приказы о проведении проверок.
    А вот с одной методичкой не согласен. Я видел много попыток таких единых, всеобъемлющих подходов, но полностью работоспособных не видал. Либо всё заканчивается очень обощёнными, не работающими, а за частую и бредовыми "рыбами", либо к "одной" методичке, составленной автором, ушедшим в глубины философии особенностей обработки ПДн - требуются разъяснения.
    Да и не бывает так, чтобы можно было взять шаблон и вписать в него наименование учреждения и ФИО руководителя.
    Как пример старенький пакет документов от Минздрава - это было здорово на тот момент, но на самом деле это не сработало как, скорее всего, планировалось.
    Да и от ЗАГСа к ЗАГСу ситуация будет разная.
    Для гос орнанов есть законодательсво, которого для них написано больше.
    Объять не объятное - это к Козьме Пруткову.
    В любом случае нужен мозг, человек, которого не так много имеется в наличии.
    Гос учреждениям нужен тягач. Тот что есть сейчас в виде регуляторов с их приказами, правительства с постановлениями, президента с подписанными федеральными законами - не хватает как мы видим. Да в общем-то они теоретики, а ЗАГсу нужны практики. Но порождать гидру бюрокротического аппарата госслужащих не хочется.
    Возможно в гос учреждениях всё должно развиваться самостоятельно, безусловно подталкиваемое со стороны, но ни в коем случае не покрываемое. Перед законом должны быть равны все.

    ОтветитьУдалить
    Ответы
    1. При случае можно поспорить, но не в комментах. ЗАГСы все занимаются абсолютно одним и тем же с разной степенью техоснащения и объемом данных. Поэтому именно для них методдокумент написать можно. И Минздрав здесь не показателем, поскольку между ЦКБ и частнопрактикующим стоматологом разница колоссальная. А начинать с чего-то надо.

      Удалить
  2. Не общую методичку надо делать, а федеральную ГИС с региональными сегментами, и требованиями по обеспечению безопасности этих сегментов, от рабочих мест до ИКТ инфраструктуры. Ну и потом, Вы все время говорите о 21 приказе, но любая ИС ЗАГс это не сто иное как ГИС или МИС (в зависимости от уровня), т.к. создается для выполнения государственных функций, поэтому говорить надо о выполнении требований 17 приказа и постановлений 211 и 1119.
    К сожалению в государственных структурах на региональном уровне (за МКАД) специалистов по ИБ крайне мало, ну нет тут таких зарплат как в у коммерсантов и не будет. Про муниципальный вообще говорить не стоит. Меры естественно надо реализовывать, но вопрос как... Либо своими силами, либо силами лицензиатов. Услуги лицензиатов в полном объеме, начиная от разработки ТЗ и заканчивая установкой СЗИ и аттестацией, могут составить до 50% стоимости самой АИС, сюда же надо добавить средства на содержание системы защиты, сопровождение СЗИ, аутотренинг по ИБ если нет своих специалистов. Опять же эти услуги не всегда оказываются качественно и одекватно оценить и принять их неспециалисту невозможно, отсюда еще одна статья расходов - экспертихы на разных этапах. Вот и получается что в регионах проще создавать некие региональные структуры (не госслужащих, а бюджетников) которые большинство этих работ возьмет на себя, он опять возникает проблема с кадровым обеспечением из-за высокого уровня ЗП в данной сфере у коммерсантов.
    Основная проблема не в отсутствии требований или методичек, а отсутствие персонала, способного эти требования реализовать!

    ОтветитьУдалить
    Ответы
    1. Я не только о П-21 писал, но и о П-1119, и П-211. П-17 не касался умышленно, поскольку речь шла о персданных. С чего-то надо начинать. С федеральной ГИС для регистрации сейчас - вряд ли. А выполнять требования надо сегодня. Во всяком случае закон ФОИВ к этому обязывает. Нет НПА - дайте людям хоть что-то, чтобы они поняли, что делать.

      Удалить
  3. ну так "...для обеспечения безопасности персональных данных при их обработке в государственных информационных системах в дополнение к Требованиям, утвержденным приказом ФСТЭК России от 11 февраля 2013 г. N 17, необходимо руководствоваться требованиями (в том числе в части определения уровня защищенности персональных данных), установленными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119. При этом в соответствии с пунктом 27 Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, должно быть обеспечено соответствующее соотношение класса защищенности государственной информационной системы с уровнем защищенности персональных данных. В случае, если определенный в установленном порядке уровень защищенности персональных данных выше, чем установленный класс защищенности государственной информационной системы, то осуществляется повышение класса защищенности до значения, обеспечивающего выполнение пункта 27 Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17." (информационное сообщение ФСТЭК от от 15 июля 2013 г. N 240/22/2637). И естественно 211.
    А с "дайте людям хоть что-то..." я с Вами полностью согласен, но еще раз повторю, в большинстве случаев это "хоть что-то" реализовывать некому. Мне лично сложно представить начальника какого-нибудь районного ЗАГс (в основном это женщины, явно не с техническим образованием) который принимает у лицензиата модель угроз или сам ее разрабатывает.

    ОтветитьУдалить
    Ответы
    1. Ну кто бы с этим спорил. Я сразу сказал, что рассматриваю вопросы, связанные с обработкой именно персданных, поскольку они затрагивают права и свободы граждан.
      А вы можете представить директора чего-то там прокатного завода с высшим техническим, у которого нет СИБ, поскольку она ему на фиг не нужна, и который "принимает модель угроз или сам ее разрабатывает"? Я - нет.
      Именно поэтому кто-то (Минюст, например) и должен сделать документ для ЗАГСов, где написано: "актуальны угрозы только третьего типа, уровень защищенности - второй, частная модель для ИСПДн, подключенной к инету - вот, для неподключенной с клиент-серверной архитектурой - вот, для автономного АРМ- вот. Актуальные угрозы нейтрализуются - вот. Бюджет на одно рабочее место ... В договор с исполнителем вписать об ответственности следующее..."
      Чтобы "женщины явно не с техническим образованием" этим не заморачивались.

      Удалить