12 сентября, 2013

Повысят ли новые требования уровень защиты персональных данных


Максимов Вячеслав

заместитель генерального директора (Компания «Андэк» )

Соответствовать требованиям приказа ФСТЭК №21 от 18 февраля 2013 года стало легче, но уровень реальной защиты персональных данных вряд ли повысится

22 мая 2013 года официально опубликован Приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – Приказ), вступивший в силу 1 июня 2013 года. Сделан реальный шаг навстречу операторам персональных данных, сильно облегчающий выполнение требований по защите ПДн при их обработке в ИСПДн и снижающий затраты на достижение соответствия.

 

СУТЬ НОВЫХ ТРЕБОВАНИЙ

1 ноября 2012 года, постановлением Правительства Российской Федерации №1119 были утверждены «Требования к защите персональных данных при их обработке в информационных системах персональных данных», заменившие действующее до этого ПП РФ №781 от 17.11.2007 (Положение об обеспечении безопасности ПДн при их обработке в ИСПДн). Как следствие, еще целый ряд нормативных актов утратил силу:

  • Приказ ФСТЭК/ФСБ/Минсвязи №55/86/20 от 13.02.2008 «Об утверждении Порядка классификации информационных систем персональных данных»;
  • ФСТЭК России:
    • «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 14.02.2008;
    • Приказ ФСТЭК России №58 от 05.02.2010 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»;
  • ФСБ России:
    • «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» от 21.02.2008;
    • «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» от 21.02.2008.

ПП РФ №1119 раскрыло понятие Уровня защищенности ПДн, установило порядок и критерии определения таких уровней, и предъявило общие требования к защите ПДн при их обработке в ИСПДн. При этом детальные технические и организационные меры по защите ПДн должны были определить ФСТЭК России и ФСБ России в своих нормативных актах. Однако, из-за длительного отсутствия этих актов, операторы персональных данных в течение полугода могли только догадываться о том, что войдет в полный набор требований к защите ПДн.

И вот, 22 мая 2013 года официально опубликован Приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – Приказ), вступивший в силу 1 июня 2013 года.

Стоит заметить, что это только «первая ласточка», и ФСТЭК и ФСБ предстоит еще выпустить не один нормативный акт взамен утративших силу. В частности, ФСТЭК России сейчас ведет работы по созданию новых методических рекомендаций по моделированию угроз информационной безопасности ПДн при их обработке в ИСПДн.

Действующий до этого Приказ ФСТЭК №58 выдвигал достаточно жесткие требования технического характера. Например, для защиты даже самых слабых классов ИСПДн необходимо было использовать системы обнаружения вторжений, системы контроля целостности, и пр. Выполнение этих требований становилось сложной и нетривиальной задачей даже для крупных организаций, а для малого бизнеса – практически невыполнимой. В своем новом нормативно-правовом акте ФСТЭК России удалось не просто адаптировать требования по защите ПДн под положения ПП РФ №1119, но и сделать их выполнимыми для большинства организаций.

Используемые сокращения:

ИСПДн – Информационная система персональных данных
НДВ – недокументированные (недекларированные) возможности

ПДн – Персональные данные
ПО – Программное обеспечение
ПП РФ – Постановление Правительства Российской Федерации
ПЭМИН – Побочные электромагнитные излучения и наводки
СЗИ – Средства защиты информации
СЗПДн – Система защиты персональных данных
УЗ – Уровень защищенности персональных данных
ФЗ – Федеральный Закон

СЕРТИФИКАЦИЯ СРЕДСТВ ЗАЩИТЫ

Одним из основных вопросов, заботивших операторов ПДн, был вопрос о необходимости использования сертифицированных средств защиты информации.

Утвержденный Приказом документ содержит уже привычную формулировку: «Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия…». Что означает, что применять исключительно процедуру сертификации СЗИ нет необходимости, можно использовать любой другой допустимый метод, вплоть до декларирования соответствия.

Безусловно, этот вывод применим только в частном секторе: в государственных организациях защита конфиденциальной информации немыслима без применения сертифицированных СЗИ и аттестации объектов информатизации.

Если вы все же решили использовать сертифицированные СЗИ, вам необходимо учитывать требования к их классу, которые приведены в пункте 12 документа, и зависят от уровня защищенности ПДн, типов актуальных угроз и наличия взаимодействия с сетями международного информационного обмена (например, Интернет).

Кроме того, есть и еще одно важное исключение: «Для обеспечения 1 и 2 уровней защищенности ПДн, а также для обеспечения 3 уровня защищенности ПДн в информационных системах, для которых к актуальным отнесены угрозы 2-го типа, применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия НДВ».

Однако, пока большинство операторов ПДн легко может выйти из-под этого требования. Учитывая, что оператор сам определяет перечень угроз, актуальных для ИСПДн, в большинстве случаев угрозы 1 и 2 типа будут признаваться неактуальными, что позволит избежать 1 и 2 уровней защищенности ПДн почти во всех случаях. Исключение составят лишь ИСПДн, в которых обрабатываются ПДн специальной категории более 100 000 субъектов, не являющихся сотрудниками оператора. Навскидку, на ум приходят только два типа частных организаций, потенциально попадающих под это условие – очень большие медицинские учреждения или страховые компании, предоставляющие услуги добровольного медицинского страхования.

Но это только пока. Текущая картина может сильно поменяться после выхода разрабатываемой пока во ФСТЭК методике моделирования угроз безопасности ПДн. Ведь что мы имеем сейчас? Актуальность угроз, безусловно, определяет оператор, но с учетом оценки возможного вреда и «в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных"». А про угрозы 1 и 2 типа мы пока знаем только то, что, согласно ПП РФ №1119, это «в том числе» угрозы, связанные с наличием НДВ в системном/прикладном ПО. И какие еще угрозы должны будут относиться к 1 и 2 типу мы сможем выяснить только после появления соответствующего документа ФСТЭК и отраслевых моделей угроз, согласованных с регуляторами.

МЕРЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

В соответствии с Приказом №21, выбор мер обеспечения безопасности ПДн осуществляется следующим образом. Из приложения к утвержденному Приказом документу выбирается базовый (обязательный) набор мер, соответствующий уровню защищенности ПДн. Далее этот базовый набор мер адаптируется под конкретную ИСПДн и, в случае необходимости, дополняется мерами, необходимыми для нейтрализации угроз, смоделированных оператором, и предусмотренными требованиями прочих документов, например, нормативными правовыми актами ФСБ России, Приказом ФСТЭК России №17 от 11.02.2013, и пр.

При этом, по сравнению с действовавшим ранее Приказом ФСТЭК №58, формулировки мер защиты стали гораздо более гибкими и мягкими: вместо сугубо технических требований мы получили описание мер, позволяющих осуществить их реализацию, как с помощью технических средств защиты, так и с помощью исключительно организационных мер.

В целом, документ оставляет ощущение изменения подхода регулятора к защите информации – перехода от максимально статичного технического состояния защищенности от угроз к процессам обеспечения информационной безопасности: в наборе мер появились процессы управления доступом, управления изменениями, инцидент-менеджмента, управления уязвимостями и обновлениями, и пр.

Отдельно стоит отметить, что меры противодействия угрозам, связанным с ПЭМИН, хоть и остались в документе, не вошли в базовый набор мер. Вместо них обязательным стал ряд мер защиты, касающихся использования технологий виртуализации и беспроводной связи.

Более того, при технической невозможности или экономической нецелесообразности выполнения отдельных требований, вошедших в базовый набор мер, оператор имеет право отказаться от их исполнения. Для этого только нужно дать обоснование, и заменить эти требования на компенсирующие меры, направленные на нейтрализацию соответствующих угроз. Только есть одно «но»: детальных требований к компенсирующим мерам в документе нет, и пока не ясно, как регулятор будет оценивать достаточность и адекватность этих мер при проведении проверок. Поэтому я бы не рекомендовал использовать компенсирующие меры без крайней необходимости, чтобы минимизировать риски при проверках.

ОБЩЕЕ ВПЕЧАТЛЕНИЕ

Общее впечатление от документа исключительно положительное. Это и процессный подход к обеспечению защиты ПДн, и актуализация требований с учетом современных технологий, и исключение обязательной сертификации средств защиты информации, и возможность простой адаптации обязательных мер под реалии конкретной организации и информационной системы.

Сделан реальный шаг навстречу операторам персональных данных, сильно облегчающий выполнение требований по защите ПДн при их обработке в ИСПДн и снижающий затраты на достижение соответствия.

Если отбросить разработку обязательных документов (модели угроз и нарушителей, описания систем защиты ПДн и пр.), обеспечение защиты ПДн теперь легко и гармонично вписывается в уже действующую в организации систему обеспечения ИБ.

Если даже оператор ПДн еще не озаботился вопросами ИБ, и действующая СОИБ слаба или отсутствует вовсе, реализация требований 21-го Приказа все равно не составит труда – формулировки требований достаточно гибкие, а неадекватные уровню риска защитные меры не включены в базовые наборы.

РЕАЛЬНАЯ ЗАЩИТА ИНТЕРЕСОВ СУБЪЕКТОВ ПДн

Гибкость требований в новом нормативно-правовом акте ФСТЭК России имеет и обратную сторону.

Что заставляет операторов обеспечивать безопасность персональных данных?

  1. Стремление выполнить требования законодательства и/или страх штрафных санкций за несоответствие.
  2. Стремление защитить обрабатываемые данные (прежде всего от утечки) и/или страх потери лояльности сотрудников/клиентов, судебных издержек, и т.п.

При этом риски, связанные с первой причиной, сейчас резко снижены: стало гораздо проще выполнить требования по защите ПДн в ИСПДн, а значит и вероятность применения штрафных санкций за несоответствие новым требованиям ФСТЭК стала ниже.

Величина же риска по второй причине осталась неизменной. А если учесть, что отстаивание гражданами своих прав в суде у нас еще не является неотъемлемой частью национальной культуры, становится понятно, что риск этот не очень велик.

Другими словами, с выходом 21-го Приказа ФСТЭК основная «страшилка» по защите ПДн пропала, а новая на ее место еще не пришла. Разумный баланс можно восстановить, введя штрафы не за несоблюдение требований регулятора, а за допущенные утечки данных. Ровно такие санкции и применяются во многих странах Европы, но о похожих реальных инициативах в России я пока не слышал. А ведь именно опасения прямых последствий утечки заставляют, например, банки обеспечивать адекватную защиту банковской тайны, несмотря на отсутствие жестких обязательных требований от регулятора: утечка информации о движении по счетам резко снизит лояльность клиентов и, в условиях высокой конкуренции, приведет к их массовому оттоку.

Итак, выполнить новые требования ФСТЭК по защите ПДн в ИСПДн стало проще, и соответствовать этим требованиям теперь станет больше организаций. Но уровень реальной защиты персональных данных вряд ли вырастет. Достигнута ли главная цель – защита интересов субъектов ПДн – еще не ясно.

 

Смотрите также

High tech, low life

15 июля, 2013
Подпишись на новости!
Подписаться