ИнфоТехноПроект Персональные данные Семинары Кадровое агентство
Информационно аналитический журнал «Персональные данные» — для операторов персональных данных и о персональных данных
Информационная безопасность. Невский диалог
Персональные данные - это просто!

Статьи

«Информационные технологии»

11.07.2018
Электронное правительство нужно 6% россиян

02.03.2018
В России информационная безопасность становится бумажной.

«Государственные закупки»

23.05.2018
Дмитрий Медведев: Закон о госзакупках превратился в тормоз общественного и научного развития

11.05.2018
Дума установила в I чтении правила госзакупок госкорпорациями и монополиями

Тел. / Факс:
+7 (495) 932–93–01
+7 (495) 762–60–02
E-mail:

Firefox 3.5
Opera_logo1

О приказе Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года № 21

ООО «ИнфоТехноПроект» представляет обзор данного документа с учетом интересов операторов персональных данных

Ноябрьское постановление № 1119 Правительства России «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее – ПП-1119) дало старт изменению законодательства, регламентирующего защиту персональных данных при их обработке в информационных системах. Выход приказа ФСТЭК № 21 (далее - Приказ) был закономерным следующим шагом на этом пути, и операторы ждали Приказ с декабря 2012 года.

Можно напомнить, что во исполнение требований Федерального закона «О персональных данных» ПП-1119 регламентирует определение уровней защищённости персональных данных при их обработке в информационных системах в зависимости от четырёх параметров: типов угроз информационных систем, категории обрабатываемых персональных данных, объёма персональных данных сотрудников оператора и третьих лиц и наконец оценки вреда, который может быть причинен субъектам персональных данных (оценка вреда, впрочем, никак не регламентируется и целиком остаётся на усмотрение оператора). Именно в зависимости от уровня защищённости определяется набор мер, необходимых для защиты данных.

Как только оператор определил уровни защищённости для своих информационных систем, перед ним встаёт задача выполнения требований Приказа относительно выбора и осуществления соответствующих технических и организационных мер. В сравнении с утратившим силу приказом ФСТЭК № 58 новый Приказ является более гибким в своих требованиях, которые можно исполнить несколькими способами, в зависимости от возможностей оператора и его информационных технологий. На первый взгляд это представляется шагом навстречу операторам информационных систем персональных данных.

Представляется необходимым последовательно рассмотреть наиболее важные для операторов или содержащие новизну особенности нового Приказа.

1. Защита данных и подрядчики-лицензиаты.

Первое, что обращает на себя внимание, - предусмотренное в Приказе право оператора поручить реализацию требований квалифицированному исполнителю на коммерческих основаниях: для выполнения работ по обеспечению безопасности персональных данных при их обработке в информационной системе и оценки эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных могут быть привлечены на договорной основе юридическое лицо или индивидуальный предприниматель, имеющие лицензию на деятельность по технической защите конфиденциальной информации.

Совершенно очевидно, что далеко не каждый оператор сможет выполнить весь объём предусмотренных требований, включая применение и конфигурацию сертифицированных средств защиты информации или систем виртуализации, самостоятельно. Сложность требований к осуществлению технических и организационных мер по защите персональных данных в совокупности с возможным в будущем существенным ужесточением административной ответственности за нарушение законодательства о персональных данных может создать значительный спрос на услуги компаний-лицензиатов (отметим лишь, что на данный момент стоимость организации требуемых технических мер может быть на несколько порядков больше возможного штрафа).

Кроме того, остаётся не вполне понятным, необходимо ли получением соответствующей лицензии самим оператором, если он будет осуществлять соответствующие меры самостоятельно. Представляется, что требование о лицензии касается только подрядчиков, но если для собственных нужд операторы вправе выполнять требования Приказа без получения лицензии, что мешает им поделиться своими решениями для нужд других операторов?

2. Регулярные проверки. Оценка эффективности и сертификация, в чём разница?

Второй важной особенностью Приказа является то, что оценки эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных должна осуществляться регулярно, не реже одного раза в три года. Но не является ли требование неоднократной проверки всех предпринятых мер слишком сложным для рядового оператора?

Представители экспертного сообщества, принимавшие участие в разработке Приказа, утверждают, что требование об оценке эффективности не является скрытым требованием о сертификации. По их логике оценка эффективности может принимать различные формы, в том числе прохождение государственного контроля, испытания и т.п. Отметим, что Приказ не определяет напрямую способы оценки эффективности осуществляемых мер по защите данных. Это важно потому, что многие предусмотренные меры представляют собой нетривиальную с технической точки зрения задачу. Конечно, кажется логичным положиться на сертификат соответствия или декларацию производителя, но об этом в Приказе не сказано ни слова.

Единственное требование о сертификации в Приказе, которое касается операторов, не являющихся государственными органами (для них в дальнейшем ожидаются дополнительные требования), связано с использованием сертифицированных средств защиты информации. Требуемый класс конкретного средства СЗИ зависит от уровня защищённости персональных данных в информационной системе.

3. Адаптация и компенсирующие меры: главная новинка Приказа.

Оператору конкретной информационной системы персональных данных необходимо выбрать и осуществить меры о защите персональных данных. Ранее приказ ФСТЭК № 58 предусматривал единообразный и неизменный перечень мер по защите данных. Теперь же выбор мер по защите данных предусматривает возможность адаптации базового набора мер для нужд конкретной информационной системы, в том числе если предусмотренные базовым набором меры не являются необходимыми в силу особенностей информационных технологий, а также замену мер из базового набора другими, компенсирующими мерами, если меры из базового набора не могут быть применены по техническим или экономическим причинам. Общий перечень мер, который содержится в приложении к Приказу, содержит базовые и компенсирующие меры.

Возможность применить компенсирующие меры в случае, если предусмотренные базовым набором оказываются неприменимы или просто не нужны в силу особенностей конкретной технологии, совершенно рациональна и является шагом навстречу операторам. Особенности технический решений в случае каждой конкретной информационной системы персональных данных могут уникальны, а все возможные IT-решения едва ли можно предусмотреть в каком-либо одном нормативном правовом акте. Кроме того, не следует забывать об интересах предпринимателей: «неподъёмные» в экономическом отношении технические решения могут быть непропорциональны дополнительным гарантиям защиты прав субъектов персональных данных или даже погубить малый или средний бизнес.

Компенсирующие меры должны быть введены также для новых информационных технологий, и выявлении дополнительных угроз безопасности персональных данных, для которых не определены меры обеспечения их безопасности.

4. Недекларированные возможности (НДВ): что делать?

В информационных системах персональных данных, для которых актуальны угрозы 1-го и 2-го типов, что означает наличие недекларированных возможностей системного и прикладного программного обеспечения соответственно, дополнительно к базовым мерам по обеспечению безопасности персональных данных могут быть применены технические меры:

  • проверка системного и (или) прикладного программного обеспечения, включая программный код, на отсутствие недекларированных возможностей с использованием автоматизированных средств и (или) без использования таковых;
  • тестирование информационной системы на проникновения;
  • использование в информационной системе системного и (или) прикладного программного обеспечения, разработанного с использованием методов защищенного программирования.

Во-первых, выходит, что данные меры не являются обязательными. Означает ли это, что эти меры можно заменить получением гарантий от производителя, например? Проверка системного и (или) прикладного программного обеспечения, включая программный код – это очень сложная техническая задача. Должен ли оператор проверять программный код используемого программного обеспечения каждые три года? Необходимо ли регулярно запрашивать подтверждения у производителя готовых программных решений? Что делать, если разработчик применённого программного решения за прошедшие со времени внедрения мер годы прекратил существование?

Во-вторых, вызывает вопросы последний пункт: защищённое программирование – это техническое понятие, не зафиксированное в нормативных правовых актах. Из соответствующего пункта Приказа трудно сделать вывод о значении данного термина. Судя по информации, доступной в сети Интернет, защищённое программирование – это неформализованное понятие, подразумевающее общие принципы программирования, имеющего своей целью предусмотреть и избежать уязвимости программного обеспечения. Остаётся непонятным, почему уполномоченный орган не предусмотрел недвусмысленное определение используемого им понятия. Подобное требование нормативного правового акта может поставить операторов в тупик и создать основание для правовых коллизий.

5. Классы средств защиты информации и уровни защищённости.

Статьёй 12 Приказа определяется, какие классы сертифицированных по требованиям безопасности информации средств защиты информации должны быть использованы для информационной системы персональных данных в зависимости от уровня защищённости персональных данных в этой информационной системе, а также наличия соединения между информационной системой и сетью Интернет.

Резюме.

К числу технических и организационных мер, которые могут быть применены для защиты персональных данных, пункты 8-8.15 Приказа относят целый ряд действий, в том числе назначение и проверку подлинности идентификаторов, контроль и разграничение доступа, контроль программного обеспечения, тестирование систем безопасности на эффективность, использование средств виртуализации, физическую защиту технических средств и оборудования, мониторинг инцидентов, конфигурацию систем безопасности и т.д. Общий перечень мер в приложении к Приказу насчитывает 109 позиций, подразделённых в зависимости от типа этих мер на группы.

Однако зачастую не вполне понятно, каким образом могут быть правильно осуществлены соответствующие меры. К примеру, как может быть осуществлён контроль перемещения машинных носителей персональных данных за пределы контролируемой зоны? Физическим сопровождением лица, получившего материальный носитель, использованием GPS-датчика? Возможно, многое будет более подробно прояснено в методических рекомендациях.

В остальном же алгоритм выбора необходимых мер довольно прямолинеен, и включает определение уровня защищённости персональных данных при их обработке в информационной системе персональных данных в соответствии с ПП-1119, выбор базового набора технических и организационных мер в соответствии с приложением к Приказу, адаптацию, уточнение и дополнение этого набора в зависимости от специфики информационных технологий информационной системы, экономической целесообразности и требований других нормативных правовых актов, а также возможное применение дополнительных мер для информационных систем, для которых актуальны угрозы 1-го и 2-го типа. Сама последовательность действий, необходимых для выполнения требований данного приказа должна быть вполне очевидна для оператора.

Но дьявол, как говорится, в деталях.

Яндекс.Метрика