14 ноября 2012 г.

Постановление Правительства № 1119 по полочкам

Руки, давно тянувшиеся к клавиатуре по поводу нового шедевра нормативного регулирования, уже отбиты до костей. Больше сдерживать себя и терпеть не удается. Придется написать. Тем более, что сегодня Постановление от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", которое отменяет Постановление от 17.11.2007  № 781 вступает в силу. Семь дней со дня опубликования истекают.
Если честно, реакция коллег из профессионального сообщества на новое постановление, фактически определяющего систему построения технической безопасности обработки персональных данных в информационных системах, меня не просто удивила, а, скорее, озадачила. Части, и немалой, оно понравилось, поскольку не содержит, по их мнению, ничего принципиально нового, и гайки дальше не закручивает, а количество требований по сравнению с ПП-781 даже уменьшается. Другая часть коллег документ ругает, но очень обще, в основном за отсутствие конкретики.
У меня о требованиях сложилось несколько иное мнение, я кратко высказывал его на сегодняшнем вебинаре, проводившемся нашим агентством совместно с компанией «Код Безопасности», и количество вопросов, поступивших по этому поводу, окончательно подтолкнуло меня к написанию этого поста.
Для того, чтобы систематизировать свое видение, я придумал несколько полочек, по которым свою оценку документа и разложу. Извините, букв будет много. Очень. Слова тщательно подбирал, так что категория читающих может быть и 0+.
Полочка первая. Соответствие закону. Выпуск в свет ПП-1119 является прямым требованием пунктов 1 и 2 части 3 ст.19 новой редакции 152-ФЗ «О персональных данных». Именно это позволяет мне очень резко оценить состояние дел на этой полочке. Постановление Правительства закону не соответствует. Закон предписывал определить уровни защищенности и требования к ним в зависимости от пяти факторов:
·         возможного вреда субъекту персональных данных,
·         объема обрабатываемых персональных данных,
·         содержания обрабатываемых персональных данных,
·         вида деятельности, при осуществлении которого обрабатываются персональные данные,
·         актуальности угроз безопасности персональных данных.
Виды деятельности, и, что особенно важно, вред субъекту в принятом документе вообще отсутствуют как квалифицирующие признаки. В п.7 Требований оператору  «совсем не гуманно», по другому сказать не могу, предлагается самостоятельно определить тип угроз безопасности персональных данных, актуальных для информационной системы, с учетом оценки возможного вреда, руководствуясь несуществующими пока документами ФСБ и ФСТЭК. Т.е. зав.детсадом или начальник отдела автоматизации трубопрокатного завода (поскольку заниматься подобными проблемами в подобных организациях больше просто некому) будут оценивать вред от разглашения данных персонала, воспитуемых, посетителей и их родственников. При полном отсутствии в стране методических наработок по этой проблеме. Тот, кто хоть немного сталкивался с подобными вопросами, знает, что проблема определения размера вреда при нарушении гражданских прав является одной из самых сложных в юриспруденции и судопроизводстве. Но, видимо, вспомнив классический постулат о возможностях каждой кухарки, авторы решили, что решить проблему можно краудсорсингом. Операторов-то по оценке Роскомнадзора – порядка семи миллионов. Глядишь, чего и наизобретают. Классический пример перекладывания проблемы с одной головы на другую, сами знаете, каких.
С видами деятельности тоже засада. Принимая во внимание, что новая редакция закона не оставляет места для отраслевых стандартов работы с персональными данными, учитывать эти самые виды придется одним только способом – придумывая для них дополнительные к изобретенным ФСБ и ФСТЭК угрозы безопасности, что, собственно, и прописано в частях 5 и 6 той же статьи 19 закона. Точка. Только определить новые угрозы, а не предусмотреть какие-либо послабления, подобные тем, что в свое время согласовал со ФСТЭКом Минздрав в своих методических документах.
Полочка вторая. Методология. Полочка самая …плохо повешенная. Так как в методологии – самые главные, ключевые проблемы документа. Объявляя главными угрозами, неминуемо ведущими к установлению высших уровней защищенности (см. таблицу 1), недекларированные (недокументированные) возможности в системном и прикладном программном обеспечении, Требования не предлагают вообще никаких методов и способов их нейтрализации. Ибо такими способами может быть только проверка этого самого ПО на отсутствие закладок и прочих вредных привычек. А этого от операторов, во всяком случае в ПП-1119 никто не требует.
Таблица 1
Тип ИСПДн
Сотрудники оператора
Количество субъектов
Тип актуальных угроз
1
2
3
ИСПДн-С
Нет
> 100 000
УЗ-1
УЗ-1
УЗ-2
Нет
< 100 000
УЗ-1
УЗ-2
УЗ-3
Да
ИСПДн-Б
УЗ-1
УЗ-2
УЗ-3
ИСПДн-И
Нет
> 100 000
УЗ-1
УЗ-2
УЗ-3
Нет
< 100 000
УЗ-1
УЗ-3
УЗ-4
Да
ИСПДн-О
Нет
> 100 000
УЗ-2
УЗ-2
УЗ-4
Нет
< 100 000
УЗ-2
УЗ-3
УЗ-4
Да

Лечиться от логических бомб, бэк-доров и иной нечисти предлагают старыми проверенными методами - клистиром с патефонными иголками и гипсованием непереломанных конечностей. См. таблицу 2.
Таблица 2
Требования
Уровни
защищенности
1
2
3
4
Режим обеспечения безопасности помещений, где обрабатываются персональные данных
+
+
+
+
Сохранность носителей персональных данные
+
+
+
+
Перечень лиц, допущенных к персональным данным
+
+
+
+
СЗИ, прошедшие процедуру оценки соответствия
+
+
+
+
Должностное лицо, ответственное за обеспечение безопасности персональных данных в ИСПДн
+
+
+
-
Ограничение доступа к содержанию электронного журнала сообщений
+
+
-
-
Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным
+
-
-
-
Структурное подразделение, ответственное за обеспечение безопасности персональных данных
+
-
-
-

Каким образом использование сертифицированных межсетевых экранов и назначение ответственного подразделения (или ответственного лица) может помочь предотвратить воздействие операционной системы на обрабатываемые данные знают, видимо, только авторы.
Полочка третья. Терминология. А это – самая загадочная часть документа. Откуда появились «сотрудники оператора» и почему они не работники, правовой статус которых четко описан Трудовым кодексом – вопрос простой и очевидный. А вот что такое «электронный журнал сообщений» (п.15) и чем он отличается от «электронного журнала безопасности» (п.16), если отличается вообще – тайна есть великая. Я догадываюсь, что речь идет о логах. Логах чего? ОС? БД? Приклада? СЗИ? Всего вместе или чего-то в отдельности? Вопросы без ответов.
Постановление вводит отсутствующее в законе понятие информационной системы, обрабатывающей общедоступные персональные данные, и считает таковыми полученные только из общедоступных источников персональных данных, созданных в соответствии со ст.8 152-ФЗ.
А если они получены по-другому, например, если это сведения, подлежащие опубликованию и обязательному раскрытию, как сведения из ЕГРЮЛ и ЕГРИП, являющиеся общедоступными в соответствии с Федеральным законом о государственной регистрации юрлиц и индивидуальных предпринимателей. Или сведения об аффилированных лицах эмитента ценных бумаг. Или персональные данные кандидатов в депутаты, подлежащие опубликованию. Как быть с ними? Опять вопрос, не имеющий ответа.
Наконец, оценка соответствия. Термин, не имеющий пояснений применительно к СЗИ ни в одном акте, кроме закрытого Постановления № 330, продолжает кочевать по нормативной базе. Но даже если это Постановление оператор видел, понять, каким образом осуществляется оценка соответствия в ходе государственного контроля и надзора, ему не дано. И оценить последствия ожидания прихода контролера и его поведения при виде несертифицированных средств тоже. Ну, и не будем забывать, что в новой редакции закона нормативные правовые акты, касающиеся обработки персональных данных, подлежат официальному опубликованию.
Полочка четвертая. Применимость. Постановление может заработать в полном объеме только после принятия соответствующих актов ФСБ и ФСТЭК, предусмотренных ч.4 ст.19 152-ФЗ, а также федеральными органами исполнительной власти, осуществляющими функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органов государственной власти субъектов Российской Федерации, Банка России, органов государственных внебюджетных фондов, иных государственных органов в части определения актуальных угроз безопасности персональных данных (ч.5 ст.19 152-ФЗ, п.2 Требований), которые отсутствуют и неизвестно когда будут приняты. Оператору в этих условиях выполнить установленные требования практически невозможно. Возвращаюсь к заведующей детсадом и начальнику отдела автоматизации трубопрокатного завода. Кто объяснит первой, что такое «недекларированные возможности системного программного обеспечения» и по каким признакам она будет оценивать актуальность этой угрозы? Что может заставить второго эти угрозы признать для своего завода актуальными и взвалить на себя дополнительные проблемы? Как они будут оценивать вред, о котором писалось при разборе первой полочки? Подождем документов ФСБ и ФСТЭК. Что-то мне подсказывает, что просто так отказаться от нейтрализации недекларированных возможностей не удастся. Банки и телеком в конце концов с этим разберутся. А что делать остальным, не имеющим профильных специалистов и лицензий ФСБ/ФСТЭК – школам и вузам, больницам и поликлиникам, ЗАГСам и центрам занятости населения, и пр., и пр.? Ничего, кроме оторопи, подобный документ у них вызвать не может.
Резюме писать не буду. И так все ясно.

13 комментариев:

  1. Между третьей и второй (полочками):
    Что делать с обезличенными ПДн? Которые указаны в 152 ФЗ и в 211 постановлением правительства.
    По предложенной методике обезличенные ПДн не относятся к ИСПДн-С, Б и О, следовательно относятся к ИСПДн-И.

    Владимир Журавлев

    ОтветитьУдалить
  2. К сожалению, получается, что это ИСПДн-И. Это просматривалось и в проектах, когда обезличку пытались связать не с системой, а с оператором в целом. Ну, и получили...

    ОтветитьУдалить
  3. Спасибо за интересный пост. Постановление действительно чудовищное, и чем глубже я вчитываюсь - тем больше вопросов.

    1. Пункт 13а требует от оператора организовать режим безопасности для всего множества помещений, в которых размещена информационная система. Однако нигде нет прямого запрета обрабатывать ПДн вне помещений. Следовательно для планшета на улице множество помещений, к которым нужно ограничивать доступ = 0 => этот пункт выполнять не надо?

    2. 13б. Что значит "обеспечить сохранность"? Поставить на жёсткий диск сигнализацию? Не пинать компьютер ногами? Обязательный бэкап?

    3. 13в. Тут вообще прекрасно - утверждение перечня решает все проблемы, никаких требований к ограничению доступа людей, в перечень не вошедших. Есть бумажка - есть защита.

    4. 13г. Опять напустили туману. "Когда это необходимо" - определение степени необходимости на совести оператора? Или РКН будет самостоятельно определять "на глазок"?

    Этот список можно продолжать ещё очень долго. Практика подсказывает, что те места, которые написаны весьма сомнительно, будут на практике трактоваться не с точки зрения формальной логики, а с точки зрения "как оно должно было быть написано". Время увольнять специалистов по ПДн и нанимать гадалок в штат.

    Ах да, ещё один немаловажный момент - пункт 17 всё таки подразумевает, что лицензия на ТЗКИ нужна только тем, кто обеспечивает защиту не себе. Хотя подозреваю, что найдётся много проверяющих, трактующих его иначе.

    Судя по отчётам региональных отделов РКН - даже куда более однозначный 152-ФЗ зачастую трактуется совершенно по разному. 1119ое постановление, со всеми своими косяками, может запросто стать первым документом, количество различных трактовок которого будет равняться количеству людей, его прочитавших.

    ОтветитьУдалить
  4. Денис, количество траблов и багов примерно равно количеству слов в этом документе. По п.1: у меня более простой вопрос - по сотовому звонить можно? Это тоже ИСПДн.
    По п.2 - участь и проверять. Я опять про сотовый.
    По п.п.3 и 4 - таки да.
    А вот п.17 этого не подразумевает. Я могу читать его и так: "Есть лицензия - самостоятельно, нет - с привлечением".

    ОтветитьУдалить
  5. Ещё такой момент. На сегодняшний день понятие "недекларированные возможности" применяется для средств защиты информации. И в РД ФСТЭК "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей" написано, что
    "Настоящий Руководящий документ (РД) устанавливает классификацию программного обеспечения (ПО) (как отечественного, так и импортного производства) средств защиты информации (СЗИ), в том числе и встроенных в общесистемное и прикладное ПО, по уровню контроля отсутствия в нем недекларированных возможностей."

    Т.е. на отсутствие НДВ сертифицируются СЗИ, а не прикладное и системное ПО.

    ОтветитьУдалить
  6. Анастасия, Вы абсолютно правы. Это еще раз подтверждает тот факт, что ПП1119 и иные НПА не содержат никаких мер нейтрализации заявленных в нем угроз.

    ОтветитьУдалить
  7. Такое впечатление, что авторы постановления перепутали НДВ с НСД :)))

    ОтветитьУдалить
  8. Как вы считаете, повлияло ли ПП1119 на актуальность таких документов, как "приказ трех" № 55/86/20 от 13.02.2008 и на "Методику определения актуальных угроз безопасности персональных данных при их обработке в ИСПДн»,утв. 14 февраля 2008 г.
    Эти документы были созданы "в соответствие" и "на основании" 781-ого постановления, с отменой которого видимо тоже должны были утратить силу...
    Можно ли на основании "приказа трех" и "Методики" разрабатывать частную модель угроз?
    Виолетта Яцевич

    ОтветитьУдалить
  9. Виолетта, я думаю, про приказ трех можно сразу забыть. Он перпендикулярен ПП-1119, и классификация по нему потеряла всякий смысл после отмены ПП-781. С Методикой актуализации проблем вижу меньше. Как только Вы признали актуальными угрозы только третьего типа (а признать иначе, ИМХО, может заставить только угроза четвертования), можно спокойно актуализировать угрозы Базовой модели по этой методике. Не забыв сказать про угрозы 3-го типа в самом начале. И так - до выхода новых НПА и методдокументов.

    ОтветитьУдалить
    Ответы
    1. Михаил, а что Вы думаете о применимости 58 приказа ФСТЭК, который никто не отменял, который опирается на трехглавый приказ, который в явном виде опять же никто не отменял? Нужно ли выполнять предписанные в положении, утвержденном 58 приказом, мероприятия?

      Удалить
  10. Анна, приказ 58 применяется до выхода нового в части, не противоречащей ПП-1119. Т.е. набор предложенных в нем мер актуальности не потерял, а вот связь с классом ИСПДн смысла не имеет. Я бы посоветовал чуть подождать при реализации мер техзащиты - в феврале ФСТЭК обещает выпустить новый приказ. Вчера его проект обсуждался с экспертами. новый приказ распространяется на проектирование СИБ в ИСПДн, выполняемом после вступления его в силу. В любом случае советую чуть подождать с точки зрения нормативки, но базовые меры - предотвращение НСД, антивирусную защиту, межсетевое экранирование и т.д. реализовывать все равно придется.

    ОтветитьУдалить
  11. В форме уведомления на сайте Роскомнадззора все еще фигурирует класс информационной системы. Остается надеяться, что РКН не успел отреагировать на ПП1119. Так как перспектива параллельного существования классов и уровней не радует. Это уже перебор..

    ОтветитьУдалить
  12. Добрый день, Михаил!
    Появилось какое-нибудь понимание или сложившееся мнение что же все таки такое «электронный журнал сообщений» и чем он отличается от «электронного журнала безопасности» (п.16)?
    Пока за не имением разъяснению трактую применительно к ОС Windows первое как системный журнал и журнал приложений, а 2ое как журнал безопасности (в том числе логи СЗИ, того же SecretNet)

    ОтветитьУдалить