В данной части речь в основном пойдет о документах ФСТЭК России и ФСБ России по защите ПДн.
Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» или так называемый «трёхглавый приказ» разделил информационные системы на типовые и специальные, а также определил 4 класса типовых информационных систем: К1 – К4 в порядке убывания негативных последствий для субъектов персональных данных в случае нарушения заданной характеристики безопасности. При этом, что понимается под «значительными», «незначительными» и просто «негативными» последствиями осталось загадкой, также как и возможность определить класс специальной информационной системы. В связи с данным обстоятельством «защитники информации» разделились на два лагеря: те кто считает, что класс специальной системы и есть «специальная» и требования по её защите формируются исключительно исходя из модели угроз; и те кто определяет класс на основании категории и объёма данных, как для типовых систем, с приставкой «специальная»: «К2 специальная», при этом на основании модели угроз типовые требования по защите могут быть скорретированы.
Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» или так называемый «трёхглавый приказ» разделил информационные системы на типовые и специальные, а также определил 4 класса типовых информационных систем: К1 – К4 в порядке убывания негативных последствий для субъектов персональных данных в случае нарушения заданной характеристики безопасности. При этом, что понимается под «значительными», «незначительными» и просто «негативными» последствиями осталось загадкой, также как и возможность определить класс специальной информационной системы. В связи с данным обстоятельством «защитники информации» разделились на два лагеря: те кто считает, что класс специальной системы и есть «специальная» и требования по её защите формируются исключительно исходя из модели угроз; и те кто определяет класс на основании категории и объёма данных, как для типовых систем, с приставкой «специальная»: «К2 специальная», при этом на основании модели угроз типовые требования по защите могут быть скорретированы.
1. «Рекомендации по обеспечению безопасности персональных данных при их обработке, в информационных системах персональных данных» (утверждены 15 февраля 2008 г.).
2. «Методика определения актуальных угроз безопасности персональных данных при их обработке, в информационных системах персональных данных» (утверждена 14 февраля 2008 г.);
3. «Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных» (утверждена 15 февраля 2008 г.);
4. «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» (утверждены 15 февраля 2008 г.).
Наличие ограничения на распространение не остановило факта появления сканированных копий на форумах в Интернете и бурного обсуждения содержимого.
Без лишних подробностей можно отметить, что документы выглядели сделанными второпях…
Во ФСТЭК потянулись делегации лицензиатов с вопросами и предложениями по доработке. Долгое время ходили слухи о выходе новой редакции. Впоследствии появилась подкорректированная версия.
В частности, та версия «Рекомендаций по обеспечению безопасности…», которая стала общедоступной, содержит следующий пункт:
Применительно к специальным информационным системам после определения класса системы оператором должна быть разработана модель угроз безопасности персональных данных с использованием методических документов, разрабатываемых в соответствии с пунктом 2 постановления Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», и проведена оценка актуальности угроз. По результатам оценки требования по защите ИСПДн от различных угроз могут быть скорректированы по сравнению с типовыми, приведенными в разделе 5. Решение об этом принимает оператор ИСПДн.
Появление данной трактовки обусловлено желанием внести ясность в вопрос классификации специальных систем, однако легитимность её применения осталась за кадром (она отличается от п.16 «трёхглавого приказа»). Несмотря на это, сторонниками присвоения класса специальным системам она была воспринята позитивно.
Вместе со смесью уже привычных по предыдущим руководящим документам Гостехкомиссии (ФСТЭК России) середины 90-х годов требований в появившихся документах для некоторых классов систем были сформированы необычные требования по защите в виде применения «программных ловушек», выделения в отдельный мифический класс средств защиты от программно-математического воздействия, требований к межсетевым экранам на уровне защиты гостайны… Из требований также во многих случаях вытекала необходимость аттестации систем и получения лицензии на деятельность в области технической защиты конфиденциальной информации, что, возможно, и правильно с точки зрения безопасности информации, но, зачастую, неприемлемо из финансовых соображений.
В некоторых случаях казалось просто невозможным выполнить указанные требования либо затраты на их выполнение перекрывали все мыслимые ожидания. Начали возникать вопросы о правовой природе данных документов, т.к. они не были зарегистрированы в Минюсте. Только лицензиаты ФСТЭК не обеспокоены данным фактом, т.к. с 2002 года применяют в своей работе СТР-К.
В это же время (конец февраля 2008 года) ФСБ России выпускает 2 документа:
1. «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» (утверждены руководством 8 Центра ФСБ России 21.02.2008 № 149/54-144);
2. «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» (утверждены руководством 8 Центра ФСБ России 21.02.2008 № 149/6/6-622).
В отличие от документов ФСТЭК, они изначально общедоступны.
Документами необходимо руководствоваться при применении криптосредств для защиты персональных данных. Из особенностей: предлагается особый подход в формировании модели угроз, отличающийся от модели угроз ФСТЭК. Поэтому при применении криптосредств необходимо строить модель с учётом требований обоих ведомств.
В июне 2009 г. на форуме сайта bankir.ru представитель ФСБ принимает замечания по вышеуказанным документам. По всей видимости, планируется выпуск новой редакции.
Позднее появляется «Типовой регламент проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством Российской Федерации, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (утвержден Руководством 8 Центра ФСБ России 08 августа 2009 года № 149/7/2/6-1173).
Тем временем Роскомнадзор продолжает проверять организации на предмет выполнения ими требований 152-ФЗ и рапортует о своей деятельности в «Отчете о деятельности Уполномоченного органа по защите прав субъектов персональных данных за 2008 год»:
По итогам рассмотрения обращений граждан можно выделить четыре типа операторов, осуществляющих обработку персональных данных с нарушениями законодательства Российской Федерации в области персональных данных:
- кредитные учреждения – 34 обращения;
- жилищно-коммунальные организации – 21 обращение;
- операторы связи – 10 обращений;
- страховые компании – 9 обращений.
В ноябре 2009 года из новостей сайта http://www.fstec.ru/_lenta/_lno.htm становится известно, что с «Рекомендаций…», «Основных мероприятий…» пометка «для служебного пользования» снята Решением ФСТЭК России от 11 ноября 2009 г., а с «Методики определения актуальных угроз…» - Решением ФСТЭК России от 16 ноября 2009 г.
С этого момента данные документы, а также выписка из «Базовой модели угроз…» доступны на вешеуказанном сайте.
Но данный факт не упрощает применение указанных в них требований. Спустя несколько месяцев, 29 января 2010 года на сайте ФСТЭК появляется «Проект приказа Федеральной службы по техническому и экспортному контролю «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных». 5 февраля Проект был благополучно удален с сайта.
Те, кто успел ознакомиться с данным документом теряются в догадках: что же будет с имеющимся «четырёхкнижием»? Применять указанные требования совместно не представляется возможным. Упоминание о сертификации, аттестации и лицензировании деятельности отсутствуют в принципе.
С небольшими правками «Положение о методах и способах защиты информации в информационных системах персональных данных» было принято Приказом ФСТЭК от 5 февраля 2010 года №58, зарегистрировано в Минюсте РФ 19 февраля 2010 года (№ 16456), 5 марта опубликовано в «Российской газете» и 10 марта того же года размещено на сайте ФСТЭК вместе с Решением ФСТЭК России от 5 марта 2010 г., согласно которому с 15 марта 2010 г. «Рекомендации…» и «Основные мероприятия…» более не применяются для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных.
Требования упрощены, помимо прочего, предписано:
использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия.
7. Для информационных систем 1 класса применяется программное обеспечение средств защиты информации, соответствующее 4 уровню контроля отсутствия недекларированных возможностей.
Комментариев нет:
Отправить комментарий