|
|
Обзор подготовлен
При поддержке
Как известно, ИБ – весьма зарегулированный процесс. С одной стороны это неплохо: нет надобности операторам «изобретать велосипед», а надо лишь руководствоваться положениями закона. Но, с другой стороны, часть этих законов требует постоянных уточнений и переработок. Это порой затрудняет или заводит в тупик исполнителей, но зато стимулирует процесс законотворчества.
Год начался с того, что 17 марта 2008г. вышел Указ Президента Российской Федерации №351 «О мерах по обеспечению информационной безопасности российской федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена», заменивший документ близкого содержания Указ Президента Российской Федерации от 12 мая 2004г. N 611.
Ранее сети, в которых обрабатывалась информация высших уровней конфиденциальности, должны были быть обязательно закрытыми, а передача такой информации между сетями осуществлялась только по выделенным линиям связи.
Настоящий Указ способствует развитию общедоступных сетей, которыми теперь могут пользоваться многочисленные государственные органы. Одновременно возрастает роль средств защиты информации. В случае их неадекватности угрозам ИБ, все мы скоро сможем узнать о последствиях: фактах вскрытия сетей государственных органов и нарушениях конфиденциальности информации ограниченного доступа.
Данный Указ обращает особое внимание на системы сертификации. Насколько документы, на основе требованиям которых проходят испытания устройства, адекватны современным угрозам информационной безопасности, современны? Положительно ответить сложно. Большая часть нормативных актов в системе сертификации ФСТЭК разработаны более 10 лет назад. А документы системы сертификации ФСБ отсутствуют в открытом доступе вовсе.
Требование обязательной сертификации средств защиты информации присутствует в нормативных документах, посвященных и персональным данным. В развитие Федерального закона от 27 июля 2006г. "О персональных данных" №152-ФЗ Постановлением Правительства Российской Федерации от 17 ноября 2007г. №781 утверждено "Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных". Что следует из данного Положения?
Федеральная служба безопасности и Федеральная служба по техническому и экспортному контролю будут определять возможные каналы утечки информации при обработке персональных данных, а также методы и способы защиты персональных данных в информационных системах. При этом указывается, что эти организации будут выполняться указанные функции «в пределах своих полномочий». Полномочия ФСБ и ФСТЭК определены положениями о федеральных службах, утвержденных Указами президента Российской Федерации №960 от 11 августа 2003г. и №1085 от 16 августа 2004г. соответственно.
При создании ИТ-инфраструктуры теперь являются обязательными работы по обеспечению безопасности персональных данных при их обработке в информационных системах. Безопасность обеспечивается организационными мерами и средствами защиты информации. Для проверки достаточности принятых мер по обеспечению безопасности персональных данных будет осуществляться государственный контроль и надзор.
Технические и программные средства защиты информации должны удовлетворять нормативным требованиям, т.е. пройти процедуру сертификации в системах сертификации ФСБ или ФСТЭК. Реализация требований по обеспечению безопасности информации в средствах защиты информации возлагается на их разработчиков. При обработке персональных данных в информационной системе безопасность обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных.
Информационные системы будут классифицированы в зависимости от объема обрабатываемых ими персональных данных и степени угроз безопасности жизненно важным интересам личности, общества и государства. Порядок проведения классификации устанавливают ФСБ, ФСТЭК, Мининформсвязи.
Мининформсвязи в настоящее время преобразовано в «Министерство связи и массовых коммуникаций Российской Федерации» – Минкомсвязь. Положением о министерстве, утвержденном Постановлением Правительства Российской Федерации от 2 июня 2008г. №418 теперь ему предоставлено право на разработку и принятие «требований по информационной безопасности информационных систем персональных данных (за исключением информационных систем критически важных объектов)».
В соответствии с Постановление Правительства Российской Федерации от 2 июня 2008г. №419 «Федеральная служба по надзору в сфере связи и массовых коммуникаций» - Россвязькомнадзор, полномочна осуществлять государственный контроль и надзор «за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных». Россвязькомнадзор находится в ведении «Министерства связи и массовых коммуникаций Российской Федерации».
Следующий документ по защите персональных данных: «Порядок проведение классификации информационных систем персональных данных», утвержденный одновременным приказом трех федеральных ведомств 13 февраля 2008г., ФСТЭК - №55, ФСБ - №86, Минкомсвязи - №20.
Все информационные системы подразделяются на две категории: «типовые», в которых требуется обеспечение только конфиденциальности персональных данных, а также «специальные», в которых вне зависимости от необходимости обеспечения конфиденциальности требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).
Также к «специальным» отнесены: информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных. А также те ИС, в которых предусмотрено принятие на основании исключительно автоматизированной обработке персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.
В Порядке поэтапно рассматривается процесс присвоения одного из четырех класса для типовых информационных системам в зависимости от объема обрабатываемых персональных данных (всего три значения), и категории обрабатываемых персональных данных (всего четыре значения). Для специальных информационных систем класс определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами ФСБ и ФСТЭК.
Результаты классификации оформляются соответствующим актом оператора и могут быть пересмотрен на основании анализа и оценки угроз самим оператором или по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных, которые будут проводить ФСБ и ФСТЭК.
Реализуя требования Постановления Правительства Российской Федерации №781, ФСТЭК России утвердил 4 методических документа по защите персональных данных.
Во-первых, это - «Методика определения актуальных угроз безопасности персональных данных при их обработке, в информационных системах персональных данных» (утверждена 14 февраля 2008г. заместителем директора ФСТЭК России).
Во-вторых, «Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных» (утверждена 15 февраля 2008г. заместителем директора ФСТЭК России).
В-третьих, «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» (утверждены 15 февраля 2008г. заместителем директора ФСТЭК России).
И, наконец, «Рекомендации по обеспечению безопасности персональных данных при их обработке, в информационных системах персональных данных» (утверждены 15 февраля 2008г. заместителем директора ФСТЭК России).
Документы имеют гриф "Для служебного пользования", доступны операторам персональных данных, но в рамках данной статью их рассмотрение невозможно. Аналогичные документа ФСБ России также не открыты для опубликования.
Постановлением Правительства Российской Федерации от 29 декабря 2007г. №957 утвержден целый ряд новых документов: «Положение о лицензировании деятельности по распространению шифровальных (криптографических) средств», «Положение о лицензировании деятельности по техническому обслуживанию шифровальных (криптографических) средств», «Положение о лицензировании предоставления услуг в области шифрования информации» и «Положение о лицензировании разработки, производстве шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем».
Основные лицензионные требования остались. Их перечень по сравнению с предыдущим документом уменьшился, но перестал быть исчерпывающим. Появился пункт с требованием о «выполнении соискателем лицензии (лицензиатом) при осуществлении лицензируемой деятельности требований, устанавливаемых в соответствии со статьями 11.2 и 13 Федерального закона "О федеральной службе безопасности». Что подразумевается под этим – неясно.
Как видно, родилось достаточно много актов. Но, к сожалению, пока не появились документы об изменении правил импорта - экспорта шифровальных средств, о вероятном опубликовании которых говорилось в предыдущем обзоре.
Сергей Снежков