12 ноября 2015 г.

Впечатления о конференции «Защита персональных данных». Часть 2

Продолжаю вчерашний рассказ о том, что показалось интересным на конференции «Защита персональных данных». Как и вчера, в скобках – мои соображения об услышанном.
Начальник управления ФСТЭК России В.С. Лютиков начал свое выступление с совершенно неожиданного, на мой взгляд, заявления о том, что ФСТЭК не является регулятором в области защиты персональных данных, поскольку для этого нужны полномочия в положении о ведомстве, а их там нет. ФСТЭК – регулятор по вопросам защиты информации вообще. Вот так. После этого логичен вопрос, а кто же регулирует вопросы обеспечения безопасности персональных данных. Был дан ответ и на него. Неожиданный. Регулятором является … Роскомнадзор. Расспросить подробно, где это отражено, не удалось – Виталий Сергеевич уехал до окончания работы секции.
Следующий важный момент его выступления: в государственных информационных системах (ГИС) методы и средства защиты информации в целом, и персональных данных, как части этой информации, в частности, – одни и те же.
ФСТЭК не выделяет контроль за защитой персональных данных из общего состава надзорных мероприятий (видимо, поэтому отдельного плана проверок защиты персональных данных на сайте ФСТЭК нет). Всего в 2014-2015 годах ведомство провело более 200 проверок, в которых выявлено более 300 нарушений правил защиты информации (а это, если помните, влечет административную ответственность по ст.13.12 КоАП). Рассмотрено более 100 моделей угроз ГИС и технических заданий на федеральные информационные системы.
В этой работе наиболее важным службе представляется вопрос защиты от актуальных угроз информационной безопасности, в 80% случаев есть нарушения реализации этого требования, и этот уровень не снижается, причем это не связано с защитой от каких-то сложных типов угроз или наличием у возможного нарушителя высокого потенциала и особых возможностей. Чаще всего это угрозы хорошо известные и требующие усилий для их нейтрализации. Особую озабоченность у надзорного органа вызывает использование госзаказчиками операционных систем, снятых с технической поддержки вендорами, и поэтому имеющих не устраняемые уязвимости.
В презентации В.С. Лютикова были даны рекомендации по первоочередным мерам обеспечения безопасности (8 групп), их можно будет посмотреть в оригинале после размещения презентаций выступавших на сайте конференции (обещают после 16 ноября).
А.Г. Бодров из 8 Центра ФСБ России сразу же подчеркнул, что в области защиты персональных данных компетенции службы ограничиваются применением средств криптографической защиты. Следующее заявление весьма насторожило зал: с 2016 года ФСБ не будет согласовывать с прокуратурой проверки защиты персональных данных (видимо, прокуратура, принимая это решение, исходила из того, что 294-ФЗ, вводящий такую обязанность надзорного органа, регулирует вопросы проверок субъектов предпринимательства, во всяком случае, на сайте прокуратуры сводный план проверок озаглавлен именно как «Сводный план проверок субъектов предпринимательства». ФСБ же, в соответствии со ст.19 закона «О персональных данных», проверяет только защиту в ИСПДн, являющихся государственными, на которые 294-ФЗ не распространяется).
Александр Геннадьевич также сослался на часть 6 ст.13.12 КоАП как главное основание для привлечения к ответственности нарушителей правил использования СКЗИ, но отметил, что число наиболее распространенных нарушений – отличие применяемых СКЗИ от указанных в сертификате соответствия, постепенно сходит на нет.
Как ни странно (мне, во всяком случае), самое ходовое нарушение, выявляемое при проверках ФСБ, – отсутствие в организации перечня лиц, которым необходим доступ к персональным данным (странно – потому что создание такого перечня - азы при разработке нормативной базы по персональным данным). Среди прочих выявляемых:
·         отсутствие документального определения помещений для хранения персональных данных и установки СКЗИ;
·         отсутствие поэкземплярного учета СКЗИ;
·         невыполнение требований эксплуатационной документации на средства криптографической защиты;
·         незадокументированные уровни защищенности ИСПДн и классы СКЗИ или уровни-классы, установленные неверно;
·         отсутствие документов по выявлению актуальных угроз безопасности.
Представитель ФСБ отметил фактическое игнорирование федеральными и исполнительными органами власти требования части 5 ст.19 закона «О персональных данных» власти о разработке и принятии нормативных правовых актов (НПА), определяющих актуальные угрозы безопасности персональных данных при осуществлении соответствующих видов деятельности с учетом содержания персональных данных, характера и способов их обработки, выделив на общем фоне бездействия только Банк России, работающий в этом направлении, а также органы власти некоторых субъектов Федерации. Он обратил внимание на создание ведомством методического документа по разработке таких нормативных правовых актов, который размещен на сайте службы в разделе «Научно-техническое сотрудничество» (кстати, я как-то пропустил бурное обсуждение профессиональным сообществом этого документа. Или...?).
Операторам свои модели угроз с ФСБ согласовывать не надо.
Еще раз выделены два случая, в которых, по мнению ведомства, использование СКЗИ является наиболее простым способом нейтрализации актуальных угроз – (1) передача персональных данных по незащищенным каналам сети связи общего пользования и (2) невозможность иным способом предотвратить несанкционированный доступ к ним при хранении в информационных системах.
А.М. Сычев из ГУБЗИ Банка России отметил, что создаваемая мегарегулятором модель угроз безопасности будет распространена и на некредитные учреждения - страховые компании, микрофинансовые организации, организаторов торгов и др. FinCERT – дело сугубо добровольное, тянуть туда банки насильно никто не будет. «Письмо шестерых» остается действующим документом, но актуальность его сильно снизилась. Сейчас ЦБ не готов его пересматривать, сначала надо завершить работу по созданию модели актуальных угроз, стандартизации для некредитных учреждений, а потом можно будет вернуться и к письму.
Е.А. Войниканис, руководитель направления департамента по взаимодействию с органами государственной власти Ростелекома рассказал об интересной зарубежной практике регулирования отношений, связанных с персональными данными, в том числе – их локализацией. К сожалению, выступление не сопровождалось презентацией, и мне, если честно, было сложно следить за мелькающими названия стан, правовых актов и пр. без их визуализации на экране.
Три выступления были от российских дата центров, одного – отечественного и двух – «дочек» зарубежных, которые состояли из тезисов о счастье оператора после переноса в них обработки персональных данных и не сопровождались хоть каким-то прояснением вопросов обеспечения безопасности, моделирования угроз и выполнения требований нормативных правовых актов к защите данных. Зарубежным ЦОДам вопросов задать возможности не дали, а российскому пару задали, я, в том числе. Ответы были стандартно-поразительными: «Спасибо! Отличный вопрос! Я переадресую его нашим техническим специалистам, и они вам обязательно ответят». Правда, спросить, куда надо отвечать, выступавшая не удосужилась. Кстати, когда я пресек попытки начать выступления с рекламы ЦОДа и его услуг, маркетолог центра уложилась со своей презентацией в 4 минуты вместо 15 отведенных. Господа, никогда не присылайте на такие мероприятия меркетологов. Никогда! Будет только хуже.
Читатели и слушатели знают о моем критическом отношении к выступлению зарубежных спикеров на российских мероприятиях. К сожалению, после конференции оно не изменилось. Из всего услышанного отмечу лишь сообщение советника Совета Европы Марии Микейледу о том, что в новую редакцию ETS-108 войдет норма об обязательном уведомлении оператором соответствующего национального органа о нарушении требований безопасности при обработке персональных данных. Очень интересно.
Мероприятие показалось мне полезным из-за возможности услышать из первых уст новости в части регулирования. Очень хотелось бы видеть и слышать там законодателей (не с приветствием, а с концептуальными положениями) и Минкомсвязи как уполномоченный орган по выработке государственной  политики в области персональных данных – с изложением этой самой политики.
Из недостатков отмечу слишком короткое время на выступления – 10-15 минут. Модерировать с таким интервалом очень сложно, вопросы задавать нет времени, да еще подсказчик-таймер работал неправильно, смущая докладчиков.
В целом же впечатление – позитивное.

4 комментария:

  1. Спасибо! Получилось коротко и информативно. А на конференции, случаем, не поднимался вопрос, связанный с применением сертифицированных / несертифицированных СЗИ в ИСПДн коммерческих компаний? Поскольку этот вопрос вызывает много споров и толкований, очень интересует оф. позиция РКН и ФСТЭК.

    ОтветитьУдалить
  2. Поднимался, конечно. Ответ ФСБ стандартный - надо использовать сертифицированные, к HTTPS относится плохо, в этом направлении в части использования протокола на сайте госорганов работаем. А мнение ФСТЭК и РКН по этому вопросу значения не имеет - он находится вне их компетенции

    ОтветитьУдалить
    Ответы
    1. Максим Данилин13 ноября 2015 г. в 14:57

      Михаил, поясните, пожалуйста, вы имеете ввиду сзи или сКзи когда пишите,что "мнение ФСТЭК и РКН по этому вопросу значения не имеет - он находится вне их компетенции" ?

      Удалить
    2. Конечно, СКЗИ. С утра не разобрался :-). Но к СЗИ Роскомнадзор отношения не имеет. ФСТЭК вопрос о сертификации на конференции не задавали

      Удалить