Приказ фстэк по защите персональных данных

Вся информация на в статье на тему: "Приказ фстэк по защите персональных данных". Полное описание собранное из разных авторитетных источников. Если возникнут вопросы, вы всегда можете обратиться к дежурному консультанту.

Приказ ФСБ России от 10 июля 2014 г. N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»

Приказ ФСБ России от 10 июля 2014 г. N 378
«Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»

В соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных»* приказываю

утвердить прилагаемые Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности.

Зарегистрировано в Минюсте РФ 18 августа 2014 г.

Регистрационный N 33620

* Собрание законодательства Российской Федерации, 2006, N 31 (ч. I), ст. 3451; 2009, N 48, ст. 5716, N 52 (ч. I), ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; N 52 (ч. 1), ст. 6974; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30 (ч. 1), ст. 4038.

Оператор персональных данных при их обработке должен принимать необходимые меры по обеспечению их безопасности. Это касается и обработки данных в информационных системах с использованием средств криптографической защиты информации (СКЗИ).

Определен комплекс мер по обеспечению безопасности персональных данных при указанной обработке. Он включает набор организационных и технических мероприятий по защите персональных данных для каждого из четырех уровней защищенности.

Во всех случаях требуется обеспечить сохранность носителей персональных данных; исключить неконтролируемое проникновение или пребывание в помещениях, где размещена информационная система, посторонних лиц. Также следует определить список лиц, которым необходим доступ к персональным данным для выполнения ими служебных (трудовых) обязанностей.

Для нейтрализации актуальных угроз нужно использовать средства защиты информации, прошедшие процедуру оценки соответствия.

Для каждого уровня защищенности персональных данных предусмотрено применение СКЗИ соответствующего класса.

Приказ ФСБ России от 10 июля 2014 г. N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»

Зарегистрировано в Минюсте РФ 18 августа 2014 г.

Регистрационный N 33620

Настоящий приказ вступает в силу по истечении 10 дней после дня его официального опубликования

Текст приказа опубликован в «Российской газете» от 17 сентября 2014 г. N 211

Источник: http://base.garant.ru/70727118/

21 Приказ ФСТЭК: что делать оператору персональных данных?

28 мая на сайте ФСТЭК был выложен уже утвержденный Приказ №21 от 18 февраля 2013 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – Приказ №21).

Этот документ определяет состав и содержание организационно-технических мер по защите персональных данных, заменяя старый документ – Приказ ФСТЭК №58 от 5 февраля 2010 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – Приказ №58). Без преувеличения можно сказать, что все ИБ-сообщество, затаив дыхание, ожидало выхода Приказа №21, который должен был внести ясность – чего регуляторы ждут от операторов? И вот документ утвержден и обязателен к исполнению, давайте его проанализируем.

Законодательство в сфере защиты персональных данных постоянно меняется, изначально состав организационно-технических мер регламентировался «четверокнижием». Затем в 2010 году был издан Приказ №58, который действовал еще в этом году до утверждения Приказа №21, о котором мы сегодня и поговорим. Почву для отмены Приказа №58 подготовило Постановление Правительства №1119 от 01 ноября 2012 года «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», которое в свою очередь отменило Постановление Правительства №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» от 17 ноября 2007 г.

В Постановлении Правительства №1119 был введен новый процесс классификации информационных систем, вместо четырех классов (1К, 2К, 3К, 4К) появилось 4 уровня защищенности, тесно связанных с типами актуальных угроз. Операторам пришлось переклассифицировать свои системы, а вот каким образом их защищать было совершенно непонятно, т.к. в Приказе №58 говорилось о мерах защиты применительно к классам, а не уровням. Возникшее противоречие в законодательстве и исправил Приказ №21.

Читайте так же:  Проблема нарушения прав журналистов в региональных сми

В сферу действия Приказа №21 не попадают защита государственной тайны и защита персональных данных с использованием криптографических средств2. Как и в Приказе №58 оператор может привлекать для защиты персональных данных организацию, имеющую лицензию на деятельность по технической защите конфиденциальной информации, либо выполнять работы самостоятельно. В Приказе №21, как и в его предшественнике, затронут вопрос о применении сертифицированных средств защиты информации.

Меры по обеспечению безопасности персональных данных реализуются, в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда, применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.

Далее в Приказе №21 приведены требования к классу защищенности при применении сертифицированных средств защиты информации.

Оценка актуальности угроз проводится оператором с учетом оценки возможного вреда субъекту персональных данных. Оценка эффективности применяемых мер проводится не реже, чем раз в три года самостоятельно, либо с привлечением организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации.

Далее в Приказе №21 дается полный перечень возможных защитных мер с их описанием.

В данный перечень входят:

    идентификация и аутентификация субъектов доступа и объектов доступа;

управление доступом субъектов доступа к объектам доступа;

ограничение программной среды;

защита машинных носителей информации;

регистрация событий безопасности;

антивирусная защита;

обнаружение вторжений;

контроль защищенности персональных данных;

обеспечение целостности информационной системы и персональных данных;

обеспечение доступности персональных данных;

защита среды виртуализации;

защита технических средств;

защита информационной системы, ее средств, систем связи и передачи данных;

выявление инцидентов и реагирование на них;

управление конфигурацией информационной системы и системы защиты персональных данных;

проверка системного и (или) прикладного программного обеспечения на отсутствие недекларированных возможностей;

тестирование информационной системы на проникновения;

использование в информационной системе системного и (или) прикладного программного обеспечения, разработанного с использованием методов защищенного программирования.

Оператору предлагается определить список защитных мер следующим образом:

Этап 1. Определяем базовый набор мер защиты. В приложении к Приказу №21 приведена сводная таблица мер по обеспечению безопасности персональных данных. Рассмотрим работу с таблицей на примере следующей строки:

ИАФ.2 обозначает, что мера относится к классу мер «Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)» и является второй в списке мер этого класса. Во втором столбце дается описание меры – в нашем случае это идентификация и аутентификация устройств. Третий столбец разделен на 4 части, что соответствует 4 уровням защищенности. Знак «+» означает, что мера для данного уровня является базовой. Мера ИАФ.2 является базовой для 1 и 2 уровня. Для уровня 3 и 4 данная мера является необязательной и может применяться только для адаптации базового набора.

Итак, оператор на первом этапе должен выделить все меры, напротив которых стоит знак «+» в нужном ему столбце с номером уровня защищенности.

Этап 2. Адаптируем базовый набор мер под свою систему с учетом особенностей ее функционирования, исключаем те меры, которые связаны с информационными технологиями, не используемыми в информационной системе, или структурно­-функциональными характеристиками, не свойственными информационной системе. Например, для меры ИАФ.2 можно исключить идентификацию и аутентификацию портативных устройств, т.к. они не используются в информационной системе.

Этап 3. Уточняем список мер с учетом не выбранных ранее мер для нейтрализации актуальных угроз. На этом этапе мы можем включить меру ИАФ.2 в список мер для 3 и 4 уровня защищенности.

Этап 4. Добавляем меры, обеспечивающие выполнение требований к защите персональных данных, установленных иными нормативными правовыми актами в области обеспечения безопасности персональных данных и защиты информации. Например, добавляем перечень мер, связанных с защитой криптографическими средствами.

Этап 5 (необязательный). Выбираем компенсирующие меры. Очень важным для оператора является оговоренная в документе возможность замены приведенного перечня мер на иные, если предлагаемые меры по техническим причинам невыполнимы, либо экономически нецелесообразны. Такая замена должна проводиться с обязательным обоснованием необходимости применения компенсирующих мер. При использовании новых технологий, для которых характерны угрозы, не рассмотренные в рамках Приказа №21, применение компенсирующих мер обязательно.

Проанализировав Приказ №21 можно сказать, что документ действительно вносит ясность в неразрешенные вопросы защиты персональных данных, некоторые его положения, в первую очередь самостоятельная оценка эффективности и применение компенсирующих мер, значительно облегчают жизнь операторам.

Источник: http://www.uipdp.com/articles/2013-06/11.html

Практика. Создание системы защиты персональных данных

Достаточно ли использования сертифицированного по требованиям ФСТЭК программного обеспечения обработки ПДн для выполнения всех требований закона «О персональных данных»? Этот вопрос регулярно возникает у организаций, вынужденных обрабатывать персональные данные в бухгалтерских и кадровых программах.

Некоторые вендоры вводят пользователей в заблуждение, позиционируя сертифицированное бухгалтерское и кадровое ПО как панацею от выездных проверок Роскомнадзора.

Мы уже писали о плюсах и минусах сертифицированного программного обеспечения и его месте в комплексной защите персональных данных. В этом материале рассмотрим конкретные действия по выполнению требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при работе с кадровой или бухгалтерской программой.

Напомним, что приведение процессов обработки и защиты ПДн в соответствие действующим требованиям законодательства РФ в общем случае выглядит следующим образом:

  1. Обследование организации на предмет соответствия процессов обработки и защиты персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ.
  2. Разработка комплекта внутренней организационно-распорядительной документации, регламентирующей процессы обработки и защиты персональных данных.
  3. Определение угроз безопасности и потенциальных нарушителей безопасности персональных данных, обрабатываемых в информационной системе персональных данных.
  4. Определение требуемого уровня защищенности персональных данных, обрабатываемых в информационной системе персональных данных.
  5. Разработка технического задания на создание системы защиты персональных данных.
  6. Приобретение средств защиты информации.
  7. Внедрение системы защиты персональных данных.
  8. Организация и проведение аттестации соответствия системы защиты персональных данных требованиям безопасности информации.
Читайте так же:  Погашение государственных жилищных сертификатов

Аттестация не является обязательной, однако получение аттестата соответствия даст уверенность в том, что меры, реализованные в рамках системы защиты персональных данных, достаточно эффективны и удовлетворяют всем требованиям безопасности информации.

Обеспечьте защиту персональных данных в вашей компании

Сертифицированное бухгалтерское или кадровое ПО в данном контексте может рассматриваться лишь как средство защиты информации.

Итак, дано: информационная система отдела кадров небольшой организации построена по классической клиент-серверной архитектуре.

В качестве ПО обработки ПДн используется любое кадровое ПО (Контур.Персонал, «1С: зарплата и управление персоналом», сертифицированное ФСТЭК, прочее ПО).

В компании реализованы организационные (разработаны организационно-распорядительные документы по защите ПДн, сотрудники ознакомлены с требованиями законодательства и т д.) и физические (доступ в помещения обработки ПДн ограничен, внедрена охранная сигнализация и т д.) меры защиты ПДн, однако отсутствуют технические средства защиты информации.

Исходя из описанного выше порядка действий, оператор ПДн должен составить модель угроз и определить требуемый уровень защищенности ПДн, дабы в дальнейшем на основе полученных данных разработать систему защиты персональных данных.

Модель угроз безопасности ПДн: пример

Видео (кликните для воспроизведения).

Предположим, что в результате оценки исходного уровня защищенности информационной системы, внутренних и внешних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации и последствий реализаций угроз безопасности ПДн, модель угроз будет содержать следующие виды угроз*:

* Перечень актуальных угроз представлен в качестве примера и не может быть использован как эталон или руководство при построении модели угроз безопасности персональных данных.

Основными источниками угроз в данном случае будут выступать:

  • внешние нарушители — внешние субъекты, находящиеся вне границ контролируемой зоны организации;
  • внутренние нарушители — сотрудники, имеющие доступ в контролируемую зону организации, но не имеющие доступа к персональным данным.

Напомним, что контролируемая зона — это территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового доступа.

Определение уровня защищенности ПДн

В соответствии с постановлением Правительства Российской Федерации № 1119 от 01.11.2012 в описанной информационной системе требуется обеспечить 4-й уровень защищенности ПДн при их обработке в информационной системе.

Построение системы защиты персональных данных

В соответствии с Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» определяем состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационной системе для 4-го уровня защищенности ПДн.

Рассмотрим техническую реализацию отдельно выбранных мер по обеспечению безопасности персональных данных:

Как видно из таблицы выше, для нейтрализации актуальных угроз безопасности персональных данных используются межсетевой экран и антивирусные средства защиты информации. Кроме того, согласно приказу ФСТЭК России № 21, для обеспечения 4-го уровня защищенности персональных данных межсетевой экран и антивирусное средство должны иметь сертификаты соответствия не ниже 5-го класса по требованиям безопасности информации средств защиты информации.

ПО обработки ПДн также используется в качестве способа реализации требований приказа ФСТЭК России № 21, однако оно не используется для нейтрализации актуальных угроз безопасности ПДн, а следовательно, процедура оценки соответствия (сертификация) такого ПО не требуется.

Текущая система защиты персональных данных позволит разграничить доступ к серверу обработки персональных данных и защитит рабочие станции от актуальных угроз безопасности.

Выводы

Наличие у программы сертификата соответствия ФСТЭК не решает проблемы защиты ПДн. Существует множество средств защиты информации и сценариев их использования. Для построения эффективной и адекватной системы защиты персональных данных важно понимать принципы и порядок реализации мер, направленных на обеспечение безопасности ПДн.

Важно! Защита персональных данных — это комплекс мероприятий, направленных на обеспечение безопасности персональных данных, и внедрение системы защиты является лишь одним из этапов обеспечения безопасности.

Рекомендации по защите персональных данных

Не стоит забывать о поддержании созданной системы защиты ПДн в актуальном состоянии. Периодически необходимо проверять актуальность организационно-распорядительной документации, обновлять модель угроз и контролировать обеспечение установленного уровня защищенности ПДн.

Источник: http://kontur.ru/articles/1723

Защита ПДн по новому стилю: Минюст утвердил приказ ФСТЭК №21 (SOISO)

  1. Приказ ФСТЭК России от 5 февраля 2010 №58 официально утратил силу. Это было вполне ожидаемо в связи с выходом ПП1119, ведь последняя идеология СЗПДн (уровни защищенности) требовала внесения существенных правок в прежние требования к защите.
  2. Изменился подход к выбору мер защиты. Процедура стала чуть сложнее, чем была до ПП1119, но теперь операторы ПДн могут отказываться от обязательных мер в угоду компенсирующим, учитывая их экономическую целесообразность. Подробнее об этом я уже писал тут .
  3. Существенно изменился перечень мер защиты (по сравнению с подходом из ПП781 и Приказа ФСТЭК №58). Сейчас стало 15 групп мер, с кратким описанием содержания в приложении. Про изменение перечня мер от 1й редакции документа я писал тут. Итого сейчас мы имеем:
    • Всего мер — 109
    • Базовых мер для УЗ 4 — 27
    • Базовых мер для УЗ 3 — 41
    • Базовых мер для УЗ 2 — 63
    • Базовых мер для УЗ 1 — 69
    • Всего дополнительных (компенсирующих) мер — 40
  4. Появились дополнительные меры, направленные на снижение актуальных угроз к 1 и 2 типа (НДВ) . А именно могут применяться следующие меры:

Каждое из этих нововведений довольно интересно и требует глубокого вдумчивого анализа (особенно таблица с базовыми мерами) операторами ПДн. При этом меня уже радует тот факт, что можно довольно гибко подходить к выбору мер защиты, а не просто «в лоб» выполнять требования регулятора.

Удачи с изучением документа! Там есть над чем подумать.

Источник: http://www.securitylab.ru/blog/personal/80na20/29858.php

Решает ли покупка сертифицированной программы проблему защиты ПДн?

Купить сертифицированную ФСТЭК учетную программу и успокоиться — это ли не мечта кадровика, бухгалтера, ИТ-специалиста! К сожалению, работа в прикладной сертифицированной программе не отменяет выполнения комплекса мер по защите персональных данных при их обработке в информационных системах.

В данном материале разберем теоретическую сторону проблемы. В дальнейшем рассмотрим практические шаги по выполнению требований по защите ПДн без использования сертифицированной программы.

Разберемся с понятиями

Обработку и защиту персональных данных в информационных системах регламентирует Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Конкретные меры защиты описывает Приказ ФСТЭК РФ от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Некоторые пользователи ошибочно полагают, что если программа имеет сертификат ФСТЭК, то она позволит решить все технические требования по защите персональных данных. Однако использование сертифицированной программы обработки персональных данных реализует лишь часть из множества требований, описанных в 21-м Приказе ФСТЭК.

Проблема во многом связана с тем, что пользователи объединяют понятия «программа» и «информационная система», из-за чего складывается мнение, что, защитив «программу», можно выполнить требования Закона № 152-ФЗ.

Предлагаем разобраться с понятиями, к которым закон предъявляет требования. А также попытаемся найти компромисс между требованиями закона и реалиями жизни. Ведь иногда буквальное выполнение закона может парализовать реальную деятельность организации.

Чего же хочет закон?

Для того чтобы выявить различие понятий «информационная система» и «программа», обратимся к нормативной документации.

Информационная система — совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств (Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»).

Программа — данные, предназначенные для управления конкретными компонентами системы обработки информации в целях реализации определенного алгоритма («Обеспечение систем обработки информации программное. Термины и определения. ГОСТ 19781-90»).

Таким образом, информационная система включает в себя базы данных, компьютеры, на которых располагаются эти базы данных, а также программы, обрабатывающие эту информацию. Программа — лишь одна из составляющих всей информационной системы.

Федеральный закон № 152-ФЗ предъявляет требования в первую очередь к защите информационной системы, обрабатывающей персональные данные, а не конкретно к программе.

Обеспечьте защиту персональных данных в вашей компании

Что такое сертифицированная программа и какие требования по защите ПДн она выполняет?

Сертифицированная по требованиям безопасности программа — это программа, прошедшая процедуру проверки соответствия требованиям государственных стандартов и нормативных документов по защите информации ФСТЭК России или ФСБ России, что подтверждается сертификатом соответствия.

Приказ ФСТЭК № 21 в зависимости от необходимого уровня защищенности персональных данных предъявляет различные требования к сертифицированным программам. Так, например, для обеспечения первого уровня защищенности персональных данных применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по четвертому уровню контроля отсутствия недекларированных возможностей. А для обеспечения третьего уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены исключительно угрозы третьего типа, требований к уровню контроля отсутствия недекларированных возможностей не предъявляется.

Немаловажным является тот факт, что, согласно 21-му Приказу ФСТЭК России, использование сертифицированных программ является лишь одной из мер по обеспечению безопасности персональных данных и реализуется лишь в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.

На практике сертифицированные программы имеют ряд ограничений:

  • сертифицируются отдельные экземпляры или ограниченная партия программного обеспечения;
  • сертификат выдается только на конкретную версию/платформу программного обеспечения;
  • при переходе на новую версию программного обеспечения сертификат становится недействительным;
  • необходимо устанавливать ТОЛЬКО сертифицированные обновления, полученные из определенного источника;
  • сертификат действует не более трех лет.

Это означает, что каждое обновление, связанное с улучшением интерфейса или с внесением изменений со стороны законодательства, будет требовать сертификации. Следовательно, установить критически важное обновление будет невозможно, пока новая версия не получит всех разрешительных документов. В ситуации, когда ПФР выпускает новые формы в период текущей отчетности, это может быть весьма неудобно. Кроме того, сертифицированное решение всегда будет стоить дороже несертифицированного, так как в его стоимость включены затраты на сертификацию.

Итак, использование сертифицированных программных продуктов закрывает лишь часть технических требований по защите персональных данных. Для выполнения всех необходимых организационных и технических мер по обеспечению безопасности персональных данных потребуется установка дополнительных средств защиты информации, разработка организационно-распорядительной, проектной и эксплуатационной документации.

Как выполнить требования и не парализовать работу предприятия

Оптимальным решением может быть выбор качественного лицензионного программного обеспечения, в котором учтены основные требования к организации обработки персональных данных в соответствии с Федеральным законом № 152-ФЗ «О персональных данных», в сочетании с применением необходимых организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационной системе.

Алгоритм действий по приведению информационной системы в соответствие ФЗ № 152

Для приведения информационных систем в соответствие с требованиями законодательства и нормативных документов регуляторов необходимо:

  1. Обследование организации на предмет соответствия процессов обработки и защиты персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
  2. Разработка комплекта внутренней организационно-распорядительной документации, регламентирующей процессы обработки и защиты персональных данных.
  3. Определение угроз безопасности и потенциальных нарушителей безопасности персональных данных.
  4. Определение требуемого уровня защищенности персональных данных обрабатываемых в информационной системе персональных данных.
  5. Разработка технического проекта на создание системы защиты персональных данных.
  6. Приобретение средств защиты персональных данных.
  7. Внедрение системы защиты персональных данных.
  8. Организация и проведение аттестации соответствия системы защиты персональных данных требованиям безопасности информации.

Аттестация не является обязательной, однако получение аттестата соответствия даст уверенность в том, что реализованные в рамках системы защиты персональных данных меры по обеспечению безопасности персональных данных достаточно эффективны и удовлетворяют всем требованиям безопасности информации.

Источник: http://kontur.ru/articles/1641

Защищаем персональные данные по новому приказу ФСТЭК. Больше ответов или вопросов?

Почему же «долгожданный»? Да потому, что с момента выхода постановления Правительства РФ № 1119 (1 ноября 2012 года) любые вопросы по технической защите персональных данных оказались в неопределенно-подвешенном состоянии. Получилось так: новым постановлением отменены старые классы информационных систем персональных данных (ИСПДн) и введено понятие «Уровни защищенности ИСПДн», но как и чем защищаться в каждом конкретном случае как раз и должен был нам рассказать новый приказ ФСТЭК, который мы ждали «каких-то» полгода.

Сразу после опубликования нового приказа по Интернету прокатилась волна восторженных отзывов о новом документе. Мол, это огромный шаг вперед в сфере законодательства по защите персональных данных. В какой-то мере это действительно так (учитывая то, что предыдущие документы выходили сразу морально устаревшими и не учитывали многих нюансов функционирования современных информационных систем — мобильные платформы, виртуализация и тд), но, лично у меня к новому документу есть масса претензий.

В этой статье я постараюсь простым языком проанализировать новый документ ФСТЭК России, взвесить его плюсы и минусы, а также постараться ответить на вопрос «что же теперь делать операторам персональных данных?».

Что из себя представляет документ в целом

В целом, это действительно шаг вперед в плане законотворчества в сфере защиты персональных данных. Наконец-то в списке мер мы увидели упоминание мобильных устройств и средств виртуализации, чего раньше законодатели тщательно старались избегать. Наконец-то нет обязаловки как в прошлом приказе: «Если у тебя ИСПДн 1 класса, тебе нужно потратить n денег на средства защиты информации, если 2 класса, то n-m денег, а если 3 класса, то n-m-k денег.».

Сейчас ситуация такая: у нас есть 15 групп различных технических и организационных мер, в каждой группе от 2 до 20 различных мер, напротив каждой меры отмечено, является ли эта мера базовой (я буду их называть далее условно обязательными) для определенного уровня защищенности (если стоит плюс, то мера базовая, если нет — компенсирующая). Тут нужно заметить, что в перечне есть немало мер, которые могут быть только компенсирующими, то есть не отмечены плюсом ни для одного из четырех уровней защищенности.

Оператор персональных данных действует по следующему алгоритму:
— определяет уровень защищенности своей ИСПДн согласно ПП 1119;
— выбирает все меры, которые отмечены плюсом для выбранного уровня защищенности (базовые меры);
— убирает из полученного списка меры, которые связаны с технологиями, не используемыми в ИСПДн (например, убираем меры для защиты виртуальной инфраструктуры, если средства виртуализации не используются);
— смотрит на полученный список мер и сравнивает с актуальными угрозами в модели угроз, если выбранными мерами нейтрализуются не все актуальные угрозы, добавляет в список компенсирующие меры, необходимые для нейтрализации всех оставшихся угроз;
— добавляет к полученному списку меры, определенные в других нормативных актах (например в ПП № 1119 есть небольшое количестве мер, а также есть общие требования в ФЗ-152), после чего получает итоговый список мер, которые нужно выполнить;
— выполняет меры из окончательного списка…

Вроде бы все просто: определяем уровень защищенности, рисуем модель угроз, выбираем и уточняем меры из нового приказа ФСТЭК, выполняем эти меры и у нас комар носа не подточит. Но…

Ложка дегтя

Собственно здесь начинается критика как нового документа, так и остального законодательства в целом.

Проблемы у 21 приказа ФСТЭК в целом такие же как и у многих других законодательных документов — использование размытых формулировок, возможность двоякого толкования текста, отсутствие пояснений там, где они жизненно необходимы.

Понять как тщательно готовился документ и сколько раз его перечитывали и редактировали за эти полгода можно уже по тому факту, что после четвертого пункта в приказе сразу идет шестой… Ну ладно, это придирки, а что есть по существу?

Непонятки начинаются с классики жанра, которая тянется с незапамятных времен. Пункт 2 документа гласит, что для выполнения работ по защите ПДн могут привлекаться организации, имеющие лицензию на техническую защиту конфиденциальной информации (ТЗКИ).
Эта фраза кочует из документа в документ ФСТЭК уже давно, но что значит «могут» однозначного ответа так и нет. Естественно, ушлые интеграторы будут трактовать это как «могут привлекать сторонние организации, если сами не имеют лицензию на ТЗКИ». Формально, они будут правы, потому что если копнуть другие нормативные акты, выясняется, что под ТЗКИ попадает даже банальная установка антивируса, а в положении о лицензировании касаемо ТЗКИ нет оговорки о том, что лицензия не нужна если работы проводятся для личных нужд. Но операторы не любят выкидывать деньги на ветер и, к несчастью ушлых интеграторов, включают здравый смысл и трактуют это предложение как «могут привлекать, а могут и сами сделать». Это первое место, где не помешало бы более конкретно описать условия привлечения сторонних организаций.

Едем дальше. Пункт 3 говорит нам о том, что меры по обеспечению безопасности ПДн должны быть направлены на нейтрализацию актуальных угроз безопасности. С другой стороны ФЗ-152 говорит нам о том, что организационные и технические меры применяются для выполнения требований по защите ПДн. Так все-таки, есть у нас свобода или очередная обязаловка? Опять необходимо разъяснение.

Далее. Шестой пункт гласит о том, что раз в 3 года оператор самостоятельно или с привлечением сторонних организаций должен проводить оценку эффективности реализованных мер защиты ПДн. Тут получилось как с оценкой вреда субъекту персональных данных в 152-ФЗ. Получается, что оценку провести нужно, а какой-либо методики проведения такой оценки нет. А может быть оценка эффективности является заменой аттестации информационной системы? Тогда почему оператор может проводить ее самостоятельно, не имея лицензии на ТЗКИ?

Десятый пункт документа на первый взгляд очень многообещающий, в нем сказано «При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учетом экономической целесообразности на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных«.

Казалось бы, вот оно — ссылаемся на экономическую нецелесообразность и не покупаем никаких сертифицированных средств защиты. Ну тут же нас выводит из состояния эйфории следующий абзац: «В этом случае в ходе разработки системы защиты персональных данных должно быть проведено обоснование применения компенсирующих мер для обеспечения безопасности персональных данных».

То есть вот как, просто сказать проверяющему «Мы тут с мужиками прикинули и решили, что внедрять сертифицированные СЗИ это слишком дорого и поставили бесплатный китайский антивирус» не получится. Нужно показывать какие-то бумажки, обосновывающие применение иных мер, а не базовых. Как обосновать? Мне пока на ум приходит только проведение процедуры анализа рисков по ISO 27001, что, в случае найма для этих целей сторонней организации, само по себе может влететь в копеечку. К тому же, еще не факт, что анализ рисков покажет, что внедрять сертифицированные СЗИ экономически нецелесообразно…

Собственно тут мы и дошли до основной части документа — приложение с перечнем мер. Тут тоже не все так просто как хотелось бы. Вроде бы и меры разбиты на группы и удобно пронумерованы, вроде бы и удобные столбики с плюсиками показывают является ли в нашем случае та или иная мера условно обязательной или нет. Но, все равно, после изучения таблицы с мерами остается чувство неопределенности. Вот, например, пункт четвертый основного текста приказа уже не обязывает, вроде как, применять только сертифицированные СЗИ. Это хорошо. Но этот же пункт и не говорит прямым текстом, что можно применять несертифицированные СЗИ или не применять СЗИ вообще. Вот как он звучит дословно:
Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.

В то же время, первая же мера, условно обязательная для всех уровней защищенности, звучит так: «Идентификация и аутентификация пользователей, являющихся работниками оператора». Понятно, что эта мера может быть реализована и штатными средствами любой ОС. И вроде как четвертый пункт не обязывает применять тот же Secret Net или Dallas Lock, но где гарантия, что не придет проверяющий и не скажет «Вы все не так поняли, тут должно стоять сертифицированное СЗИ, вот вам предписание»? Кто и как определяет — для нейтрализации конкретной угрозы необходимо ли сертифицированное СЗИ или можно обойтись без него? Почему нельзя написать прямым текстом, что применение сертифицированных СЗИ не обязательно, или обязательно в каких-то конкретных случаях?

Ну и формулировка самих мер иногда очень интересна. Вот например условно-обязательная мера защиты сред виртуализации для уровней защищенности от третьего и выше:
«Разбиение виртуальной инфраструктуры на сегменты для обработки персональных данных отдельным пользователем и/или группой пользователей».

По какому принципу сегментировать-то? И в чем такая необходимость? Конечно, мы можем при уточнении или адаптации набора мер выкинуть эту меру из списка, но опять же, а если проверяющий скажет «Вы все не так поняли. »?

Я очень надеюсь, что когда-нибудь представители ФСТЭК все же дадут официальные разъяснения по поводу спорных вопросов.

Вместо резюме

В общем и целом заметны попытки ФСТЭК дать большую свободу действия операторам при выборе стратегии защиты персональных данных, но размытости и неопределенности в формулировках в сочетании с неясностью позиции самого регулятора в спорных моментах, заставляют насторожиться.

Что же делать операторам сейчас?

Тем, кто уже защитил свои ИСПДн по «старому стилю», немного подредактировать свою документацию, приведя ее в соответствие действующему законодательству. В любом случае, скорее всего, ваша система защиты в техническом плане будет соответствовать и новому документу, так как раньше требования были жестче.

Остальным — классифицировать свои ИСПДн, построить модель угроз, составить список мер и, по мере возможности, их выполнять. Мониторить всевозможные новости, касающиеся разъяснений регуляторов, практики проведения проверок, мнений экспертов и общей тенденции развития законодательства в этой сфере.

Видео (кликните для воспроизведения).

Источник: http://habr.com/post/180623/

Приказ фстэк по защите персональных данных
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here