Руки, давно
тянувшиеся к клавиатуре по поводу нового шедевра нормативного регулирования,
уже отбиты до костей. Больше сдерживать себя и терпеть не удается. Придется
написать. Тем более, что сегодня Постановление от 01.11.2012 № 1119 "Об
утверждении требований к защите персональных данных при их обработке в
информационных системах персональных данных", которое отменяет
Постановление от 17.11.2007 № 781 вступает
в силу. Семь дней со дня опубликования истекают.
Если честно, реакция
коллег из профессионального сообщества на новое постановление, фактически определяющего
систему построения технической безопасности обработки персональных данных в
информационных системах, меня не просто удивила, а, скорее, озадачила. Части, и
немалой, оно понравилось, поскольку не содержит, по их мнению, ничего
принципиально нового, и гайки дальше не закручивает, а количество требований по
сравнению с ПП-781 даже уменьшается. Другая часть коллег документ ругает, но
очень обще, в основном за отсутствие конкретики.
У меня о требованиях
сложилось несколько иное мнение, я кратко высказывал его на сегодняшнем
вебинаре, проводившемся нашим агентством
совместно с компанией «Код Безопасности», и количество вопросов, поступивших по
этому поводу, окончательно подтолкнуло меня к написанию этого поста.
Для того, чтобы
систематизировать свое видение, я придумал несколько полочек, по которым свою
оценку документа и разложу. Извините, букв будет много. Очень. Слова тщательно
подбирал, так что категория читающих может быть и 0+.
Полочка
первая. Соответствие закону. Выпуск
в свет ПП-1119 является прямым требованием пунктов 1 и 2 части 3 ст.19
новой редакции 152-ФЗ «О персональных данных». Именно это позволяет мне очень
резко оценить состояние дел на этой полочке. Постановление Правительства закону
не соответствует. Закон предписывал определить уровни защищенности и требования
к ним в зависимости от пяти факторов:
·
возможного
вреда субъекту персональных данных,
·
объема
обрабатываемых персональных данных,
·
содержания
обрабатываемых персональных данных,
·
вида
деятельности, при осуществлении которого обрабатываются персональные данные,
·
актуальности
угроз безопасности персональных данных.
Виды деятельности, и,
что особенно важно, вред субъекту в принятом документе вообще отсутствуют как
квалифицирующие признаки. В п.7 Требований оператору «совсем не гуманно», по другому сказать не
могу, предлагается самостоятельно определить тип угроз безопасности
персональных данных, актуальных для информационной системы, с учетом оценки
возможного вреда, руководствуясь несуществующими пока документами ФСБ и ФСТЭК.
Т.е. зав.детсадом или начальник отдела автоматизации трубопрокатного завода
(поскольку заниматься подобными проблемами в подобных организациях больше
просто некому) будут оценивать вред от разглашения данных персонала,
воспитуемых, посетителей и их родственников. При полном отсутствии в стране
методических наработок по этой проблеме. Тот, кто хоть немного сталкивался с
подобными вопросами, знает, что проблема определения размера вреда при
нарушении гражданских прав является одной из самых сложных в юриспруденции и судопроизводстве.
Но, видимо, вспомнив классический постулат о возможностях каждой кухарки,
авторы решили, что решить проблему можно краудсорсингом. Операторов-то по оценке
Роскомнадзора – порядка семи миллионов. Глядишь, чего и наизобретают. Классический
пример перекладывания проблемы с одной головы на другую, сами знаете, каких.
С видами деятельности
тоже засада. Принимая во внимание, что новая редакция закона не оставляет места
для отраслевых стандартов работы с персональными данными, учитывать эти самые
виды придется одним только способом – придумывая для них дополнительные к
изобретенным ФСБ и ФСТЭК угрозы безопасности, что, собственно, и прописано в
частях 5 и 6 той же статьи 19 закона. Точка. Только определить новые угрозы, а
не предусмотреть какие-либо послабления, подобные тем, что в свое время
согласовал со ФСТЭКом Минздрав в своих методических документах.
Полочка
вторая. Методология. Полочка
самая …плохо повешенная. Так как в методологии – самые главные, ключевые
проблемы документа. Объявляя главными угрозами, неминуемо ведущими к
установлению высших уровней защищенности (см. таблицу 1), недекларированные
(недокументированные) возможности в системном и прикладном программном
обеспечении, Требования не предлагают вообще никаких методов и способов их
нейтрализации. Ибо такими способами может быть только проверка этого самого ПО
на отсутствие закладок и прочих вредных привычек. А этого от операторов, во
всяком случае в ПП-1119 никто не требует.
Таблица
1
Тип ИСПДн
|
Сотрудники оператора
|
Количество субъектов
|
Тип актуальных угроз
|
1
|
2
|
3
|
ИСПДн-С
|
Нет
|
>
100 000
|
УЗ-1
|
УЗ-1
|
УЗ-2
|
Нет
|
< 100 000
|
УЗ-1
|
УЗ-2
|
УЗ-3
|
Да
|
|
ИСПДн-Б
|
|
|
УЗ-1
|
УЗ-2
|
УЗ-3
|
ИСПДн-И
|
Нет
|
>
100 000
|
УЗ-1
|
УЗ-2
|
УЗ-3
|
Нет
|
< 100 000
|
УЗ-1
|
УЗ-3
|
УЗ-4
|
Да
|
|
ИСПДн-О
|
Нет
|
>
100 000
|
УЗ-2
|
УЗ-2
|
УЗ-4
|
Нет
|
< 100 000
|
УЗ-2
|
УЗ-3
|
УЗ-4
|
Да
|
|
Лечиться от
логических бомб, бэк-доров и иной нечисти предлагают старыми проверенными методами
- клистиром с патефонными иголками и гипсованием непереломанных конечностей.
См. таблицу 2.
Таблица
2
Требования
|
Уровни
защищенности
|
1
|
2
|
3
|
4
|
Режим обеспечения безопасности
помещений, где обрабатываются персональные данных
|
+
|
+
|
+
|
+
|
Сохранность носителей персональных
данные
|
+
|
+
|
+
|
+
|
Перечень лиц, допущенных к
персональным данным
|
+
|
+
|
+
|
+
|
СЗИ, прошедшие процедуру оценки
соответствия
|
+
|
+
|
+
|
+
|
Должностное лицо, ответственное за
обеспечение безопасности персональных данных в ИСПДн
|
+
|
+
|
+
|
-
|
Ограничение доступа к содержанию
электронного журнала сообщений
|
+
|
+
|
-
|
-
|
Автоматическая регистрация в
электронном журнале безопасности изменения полномочий сотрудника оператора по
доступу к персональным данным
|
+
|
-
|
-
|
-
|
Структурное подразделение,
ответственное за обеспечение безопасности персональных данных
|
+
|
-
|
-
|
-
|
Каким образом
использование сертифицированных межсетевых экранов и назначение ответственного
подразделения (или ответственного лица) может помочь предотвратить воздействие
операционной системы на обрабатываемые данные знают, видимо, только авторы.
Полочка
третья. Терминология. А это – самая загадочная часть документа. Откуда
появились «сотрудники оператора» и почему они не работники, правовой статус
которых четко описан Трудовым кодексом – вопрос простой и очевидный. А вот что
такое «электронный журнал сообщений» (п.15) и чем он отличается от
«электронного журнала безопасности» (п.16), если отличается вообще – тайна есть
великая. Я догадываюсь, что речь идет о логах. Логах чего? ОС? БД? Приклада?
СЗИ? Всего вместе или чего-то в отдельности? Вопросы без ответов.
Постановление вводит
отсутствующее в законе понятие информационной системы, обрабатывающей
общедоступные персональные данные, и считает таковыми полученные только из
общедоступных источников персональных данных, созданных в соответствии со ст.8 152-ФЗ.
А если они получены
по-другому, например, если это сведения, подлежащие опубликованию и
обязательному раскрытию, как сведения из ЕГРЮЛ и ЕГРИП, являющиеся
общедоступными в соответствии с Федеральным законом о государственной
регистрации юрлиц и индивидуальных предпринимателей. Или сведения об аффилированных
лицах эмитента ценных бумаг. Или персональные данные кандидатов в депутаты,
подлежащие опубликованию. Как быть с ними? Опять вопрос, не имеющий ответа.
Наконец, оценка
соответствия. Термин, не имеющий пояснений применительно к СЗИ ни в одном акте,
кроме закрытого Постановления № 330, продолжает кочевать по нормативной базе.
Но даже если это Постановление оператор видел, понять, каким образом
осуществляется оценка соответствия в ходе государственного контроля и надзора,
ему не дано. И оценить последствия ожидания прихода контролера и его поведения
при виде несертифицированных средств тоже. Ну, и не будем забывать, что в новой
редакции закона нормативные правовые акты, касающиеся обработки персональных
данных, подлежат официальному опубликованию.
Полочка
четвертая. Применимость. Постановление может заработать в полном объеме только
после принятия соответствующих актов ФСБ и ФСТЭК, предусмотренных ч.4 ст.19
152-ФЗ, а также федеральными органами исполнительной власти, осуществляющими
функции по выработке государственной политики и нормативно-правовому
регулированию в установленной сфере деятельности, органов государственной
власти субъектов Российской Федерации, Банка России, органов государственных
внебюджетных фондов, иных государственных органов в части определения
актуальных угроз безопасности персональных данных (ч.5 ст.19 152-ФЗ, п.2
Требований), которые отсутствуют и неизвестно когда будут приняты. Оператору в
этих условиях выполнить установленные требования практически невозможно.
Возвращаюсь к заведующей детсадом и начальнику отдела автоматизации
трубопрокатного завода. Кто объяснит первой, что такое «недекларированные
возможности системного программного обеспечения» и по каким признакам она будет
оценивать актуальность этой угрозы? Что может заставить второго эти угрозы
признать для своего завода актуальными и взвалить на себя дополнительные
проблемы? Как они будут оценивать вред, о котором писалось при разборе первой
полочки? Подождем документов ФСБ и ФСТЭК. Что-то мне подсказывает, что просто
так отказаться от нейтрализации недекларированных возможностей не удастся. Банки
и телеком в конце концов с этим разберутся. А что делать остальным, не имеющим
профильных специалистов и лицензий ФСБ/ФСТЭК – школам и вузам, больницам и
поликлиникам, ЗАГСам и центрам занятости населения, и пр., и пр.? Ничего, кроме
оторопи, подобный документ у них вызвать не может.
Резюме писать не
буду. И так все ясно.