Публикации Михаил Емельянников
Руки, давно тянувшиеся к клавиатуре по поводу нового шедевра
нормативного регулирования, уже отбиты до костей. Больше сдерживать себя
и терпеть не удается. Придется написать. Тем более, что сегодня
Постановление от 01.11.2012 № 1119 "Об утверждении требований к защите
персональных данных при их обработке в информационных системах
персональных данных", которое отменяет Постановление от 17.11.2007 №
781, вступает в силу. Семь дней со дня опубликования истекают.
Если честно, реакция коллег из профессионального сообщества на новое
постановление, фактически определяющего систему построения технической
безопасности обработки персональных данных в информационных системах,
меня не просто удивила, а, скорее, озадачила. Части, и немалой, оно
понравилось, поскольку не содержит, по их мнению, ничего принципиально
нового, и гайки дальше не закручивает, а количество требований по
сравнению с ПП-781 даже уменьшается. Другая часть коллег документ
ругает, но очень обще, в основном за отсутствие конкретики.
У меня о требованиях сложилось несколько иное мнение, я кратко
высказывал его на сегодняшнем вебинаре, проводившемся нашим агентством
совместно с компанией «Код Безопасности», и количество вопросов,
поступивших по этому поводу, окончательно подтолкнуло меня к написанию
этого поста.
Для того, чтобы систематизировать свое видение, я придумал несколько
полочек, по которым свою оценку документа и разложу. Извините, букв
будет много. Очень. Слова тщательно подбирал, так что категория читающих
может быть и 0+.
Полочка первая. Соответствие закону. Выпуск в свет
ПП-1119 является прямым требованием пунктов 1 и 2 части 3 ст.19 новой
редакции 152-ФЗ «О персональных данных». Именно это позволяет мне очень
резко оценить состояние дел на этой полочке. Постановление Правительства
закону не соответствует. Закон предписывал определить уровни
защищенности и требования к ним в зависимости от пяти факторов:
• возможного вреда субъекту персональных данных,
• объема обрабатываемых персональных данных,
• содержания обрабатываемых персональных данных,
• вида деятельности, при осуществлении которого обрабатываются персональные данные,
• актуальности угроз безопасности персональных данных.
Виды деятельности, и, что особенно важно, вред субъекту в принятом
документе вообще отсутствуют как квалифицирующие признаки. В п.7
Требований оператору «совсем не гуманно», по другому сказать не могу,
предлагается самостоятельно определить тип угроз безопасности
персональных данных, актуальных для информационной системы, с учетом
оценки возможного вреда, руководствуясь несуществующими пока документами
ФСБ и ФСТЭК.
Т.е. зав.детсадом или начальник отдела автоматизации трубопрокатного
завода (поскольку заниматься подобными проблемами в подобных
организациях больше просто некому) будут оценивать вред от разглашения
данных персонала, воспитуемых, посетителей и их родственников. При
полном отсутствии в стране методических наработок по этой проблеме. Тот,
кто хоть немного сталкивался с подобными вопросами, знает, что проблема
определения размера вреда при нарушении гражданских прав является одной
из самых сложных в юриспруденции и судопроизводстве. Но, видимо,
вспомнив классический постулат о возможностях каждой кухарки, авторы
решили, что решить проблему можно краудсорсингом. Операторов-то по
оценке Роскомнадзора – порядка семи миллионов. Глядишь, чего и
наизобретают. Классический пример перекладывания проблемы с одной головы
на другую, сами знаете, каких.
С видами деятельности тоже засада. Принимая во внимание, что новая
редакция закона не оставляет места для отраслевых стандартов работы с
персональными данными, учитывать эти самые виды придется одним только
способом – придумывая для них дополнительные к изобретенным ФСБ и ФСТЭК
угрозы безопасности, что, собственно, и прописано в частях 5 и 6 той же
статьи 19 закона. Точка. Только определить новые угрозы, а не
предусмотреть какие-либо послабления, подобные тем, что в свое время
согласовал со ФСТЭКом Минздрав в своих методических документах.
Полочка вторая. Методология. Полочка самая ...плохо
повешенная. Так как в методологии – самые главные, ключевые проблемы
документа. Объявляя главными угрозами, неминуемо ведущими к установлению
высших уровней защищенности (см. таблицу 1), недекларированные
(недокументированные) возможности в системном и прикладном программном
обеспечении, Требования не предлагают вообще никаких методов и способов
их нейтрализации. Ибо такими способами может быть только проверка этого
самого ПО на отсутствие закладок и прочих вредных привычек. А этого от
операторов, во всяком случае в ПП-1119 никто не требует.
|
Лечиться от логических бомб, бэк-доров и иной нечисти предлагают
старыми проверенными методами - клистиром с патефонными иголками и
гипсованием непереломанных конечностей. См. таблицу.
Каким образом использование сертифицированных межсетевых экранов и
назначение ответственного подразделения (или ответственного лица) может
помочь предотвратить воздействие операционной системы на обрабатываемые
данные знают, видимо, только авторы.
Полочка третья. Терминология. А это – самая загадочная
часть документа. Откуда появились «сотрудники оператора» и почему они не
работники, правовой статус которых четко описан Трудовым кодексом –
вопрос простой и очевидный. А вот что такое «электронный журнал
сообщений» (п.15) и чем он отличается от «электронного журнала
безопасности» (п.16), если отличается вообще – тайна есть великая. Я
догадываюсь, что речь идет о логах. Логах чего? ОС? БД? Приклада? СЗИ?
Всего вместе или чего-то в отдельности? Вопросы без ответов.
Постановление вводит отсутствующее в законе понятие информационной
системы, обрабатывающей общедоступные персональные данные, и считает
таковыми полученные только из общедоступных источников персональных
данных, созданных в соответствии со ст.8 152-ФЗ.
А если они получены по-другому, например, если это сведения, подлежащие
опубликованию и обязательному раскрытию, как сведения из ЕГРЮЛ и ЕГРИП,
являющиеся общедоступными в соответствии с Федеральным законом о
государственной регистрации юрлиц и индивидуальных предпринимателей. Или
сведения об аффилированных лицах эмитента ценных бумаг. Или
персональные данные кандидатов в депутаты, подлежащие опубликованию. Как
быть с ними? Опять вопрос, не имеющий ответа.
Наконец, оценка соответствия. Термин, не имеющий пояснений применительно
к СЗИ ни в одном акте, кроме закрытого Постановления № 330, продолжает
кочевать по нормативной базе. Но даже если это Постановление оператор
видел, понять, каким образом осуществляется оценка соответствия в ходе
государственного контроля и надзора, ему не дано. И оценить последствия
ожидания прихода контролера и его поведения при виде несертифицированных
средств тоже. Ну, и не будем забывать, что в новой редакции закона
нормативные правовые акты, касающиеся обработки персональных данных,
подлежат официальному опубликованию.
Полочка четвертая. Применимость. Постановление может
заработать в полном объеме только после принятия соответствующих актов
ФСБ и ФСТЭК, предусмотренных ч.4 ст.19 152-ФЗ, а также федеральными
органами исполнительной власти, осуществляющими функции по выработке
государственной политики и нормативно-правовому регулированию в
установленной сфере деятельности, органов государственной власти
субъектов Российской Федерации, Банка России, органов государственных
внебюджетных фондов, иных государственных органов в части определения
актуальных угроз безопасности персональных данных (ч.5 ст.19 152-ФЗ, п.2
Требований), которые отсутствуют и неизвестно когда будут приняты.
Оператору в этих условиях выполнить установленные требования практически
невозможно. Возвращаюсь к заведующей детсадом и начальнику отдела
автоматизации трубопрокатного завода. Кто объяснит первой, что такое
«недекларированные возможности системного программного обеспечения» и по
каким признакам она будет оценивать актуальность этой угрозы? Что может
заставить второго эти угрозы признать для своего завода актуальными и
взвалить на себя дополнительные проблемы? Как они будут оценивать вред, о
котором писалось при разборе первой полочки? Подождем документов ФСБ и
ФСТЭК. Что-то мне подсказывает, что просто так отказаться от
нейтрализации недекларированных возможностей не удастся. Банки и телеком
в конце концов с этим разберутся. А что делать остальным, не имеющим
профильных специалистов и лицензий ФСБ/ФСТЭК – школам и вузам, больницам
и поликлиникам, ЗАГСам и центрам занятости населения, и пр., и пр.?
Ничего, кроме оторопи, подобный документ у них вызвать не может.
Резюме писать не буду. И так все ясно.