|
|
Обзор подготовлен
Попытки операторов персональных данных привести свою деятельность в соответствие с законом 152-ФЗ "О персональных данных" могут быть весьма дорогостоящими, однако если использовать всю нормативно-правовую базу, то можно выделить 10 способов применения законодательства РФ и знаний ИТ-специалистов и юристов для снижения класса информационных систем ПДн и, как следствие, для существенного уменьшения капитальных и эксплуатационных затрат.
Основные проблемы компаний, связанные с приведением деятельности в соответствие с требованиями законодательства, базируются на тех недоработках, которые есть у организаций в части финансового обеспечения, чистоты и прозрачности бизнеса, наличия квалифицированного персонала и эффективности действующих механизмов управления. К ключевым "пугающим" проблемам часто относят следующие вопросы.
Во-первых, отсутствие четкого и публичного набора требований ответственных служб к информационным системам ПДн. Единственный камень все бросают в сторону ФСТЭК РФ, ответственной за регламентацию требований по технической защите персональных данных (за исключением применения средств криптографической защиты информации). До конца сентября 2009 года требования-рекомендации ФСТЭК существовали в виде так называемого в ИТ-среде "четверокнижия", утвержденного службой 15 февраля 2008 года и имеющего гриф ДСП (для служебного пользования). Чтобы получить эти документы, обычной компании необходимо было подавать письменный запрос в территориальное управление ФСТЭК по региону и затем ожидать - сначала получения счета за услуги по печати нормативного документа на бумажном носителе, а после оплаты - доставки "четверокнижия" специализированной связью. Для Москвы процесс занимал более двух месяцев, так как распечатка в основном происходила в Воронеже. Здесь стоит отметить, что имело место множество фактов распечатки различных уточненных версий документов, отличающихся на несколько слов, имеющих очень важное значение. Какая из версий истинная, видимо, не знал никто, так как документы до сих пор даже не опубликованы. Однако в начале октября 2009 года ограниченные выписки из "четверокнижия" появились на официальном сайте федерального ФСТЭК РФ. Сейчас они доступны для свободной загрузки.
Во-вторых, необходимость получения даже оператором ИС ПДн лицензии ФСТЭК РФ на техническую защиту конфиденциальной информации (для ИС ПДн 1, 2, 3 (распределенные) классов). Такое требование устанавливается пунктом 3.14 документа "четверокнижия" ФСТЭК РФ "Основные мероприятия по организации…". В пункте указывается ссылка на требования федерального закона № 128-ФЗ от 08.08.2001 "О лицензировании отдельных видов деятельности" и постановления правительства № 504 от 16.08.2006 "О лицензировании деятельности по технической защите конфиденциальной информации". Ввиду отсутствия получивших широкую огласку судебных решений до сих пор идут споры о том, правомерно ли требовать наличие лицензии от оператора ПДн в том случае, когда он выполняет работы по приведению в соответствие своей деятельности сам (силами своих сотрудников и только для себя). Ведь выполнение работ своими силами для собственных нужд не является видом деятельности в терминах гражданского законодательства РФ. В противном случае 100% компаний, использующих персональные компьютеры, можно было бы при отсутствии лицензии ФСТЭК РФ на ТЗКИ привлечь к уголовной ответственности по ст. 171 УК РФ "Незаконное предпринимательство" просто за настройку паролей в операционной системе на купленном ПК, сервере или ноутбуке, так как это автоматически попадает под определение ТЗКИ при наличии требований ст. 4 128-ФЗ "Критерии определения лицензируемых видов деятельности".
В-третьих, необходимость обязательной аттестации по требованиям безопасности информации (для ИС ПДн классов 1 и 2) устанавливается п. 3.11 документа "Основные мероприятия по организации…". На сегодняшнем рынке РФ аттестация является дорогостоящей процедурой, сопровождающейся существенным количеством мероприятий, которые необходимо провести. По экспертным оценкам, средняя стоимость аттестации одного рабочего места колеблется в интервале 60-100 тыс. рублей. Можно представить, в какую сумму выльется аттестация рабочих даже для небольшой компании. Если же к сумме за услуги по аттестации добавить стоимость сертифицированных компонентов и средств защиты информации, а затем добавить стоимость обслуживания и обновления таких сертифицированных компонентов в течение ожидаемого срока эксплуатации АРМ, то сумма может вырасти еще на 50-70%. Возникает резонный вопрос об оправданности расходов по сравнению с ущербом, который могут создать инциденты информационной безопасности.
В-четвертых, читая и сопоставляя между собой раздел 4 документа "Основные мероприятия по организации …." и руководящий документ "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" можно прийти к вполне обоснованному выводу о том, что требования к ИС ПДн классов 1 и 2 входят в раздел требований к информационным системам, работающим с государственной тайной, секретной и совершенно секретной информацией, что далеко не всегда является обоснованным для оператора ИС ПДн. Однако не стоит сразу отчаиваться, так как конкретные требования к системе защиты информации могут обосновываться оператором на базе построения моделей угроз по требованиям ФСБ РФ и ФСТЭК РФ.
В-пятых, любая деятельность требует наличия у компании специалистов, которые могут, как минимум, организовывать и контролировать работу внешних компаний-аутсорсеров, либо же, как максимум, самостоятельно решать задачи по приведению в соответствие деятельности к требованиям по работе с ПДн. В таких проектах нужны и безопасники, и инженеры, и проектировщики, и технические писатели, и юристы общего профиля, и ИТ-юристы, и руководство компании. Кто из них важнее и кто может сыграть главную роль в проекте? Вопрос спорный и зависит от подхода к решению общей задачи приведения деятельности в соответствие с требованиями.
В-шестых, осознавая неспособность самостоятельно привести деятельность по работе с ПДн в соответствие с требованиями закона, операторы выбирают привлечение сторонней компании. Исходя из условий специфики российского рынка, сторонняя компания во многих случаях будет предлагать и обосновывать максимальный комплекс услуг по поставке средств защиты информации и аттестации всего и вся. По наблюдениям таких компаний большинство, исключения редки. Здесь возникает обычная борьба интересов между заказчиком и исполнителем. Причем заказчик, часто не обладая должной компетенцией и пугаясь объемов нормативных документов, вынужденно соглашается с большинством предложений исполнителя, неосознанно вступая на путь излишних и больших затрат ресурсов - как на первоначальном этапе, так и на этапе эксплуатации решения. По сути стороны в договоре находятся в заведомо неравном положении.
Эти страхи, конечно же, имеют под собой существенные основания, оформленные в строках нормативных документов в области работы с персональными данными. Но так ли страшны требования ФСТЭК? На этот счет есть две группы мнений.
К первой можно отнести мнения представителей органов исполнительной власти, которые как в ответах на открытые письма различных ассоциаций, так и в своих выступлениях настойчиво говорят о предоставлении достаточного времени для приведения своей деятельности в соответствие с законодательством, об отсутствии видимых проблем и преград, о возможности перейти на работу с персональными данными на бумажных носителях и о необходимости внимательнее читать предлагаемые нормативные документы.
Ко второй группе относятся мнения "остальных", которые указывают на множество законодательных коллизий при осуществлении специфической работы с персональными данными, об излишней жестокости требований ФСТЭК, сравнимых с уровнем защиты государственной тайны, с неоднозначностью процедур контроля исполнения требований закона со стороны Россвязьнадзора, ФСБ РФ, ФСТЭК РФ. А также о многих других проблемах, решение которых либо видится им просто невозможным в действующим правовом поле РФ, либо слишком дорогим.
Выслушав и проанализировав различные мнения о том, как представители компаний воспринимают задачу по приведению работы с ПДн в соответствие с законодательством, можно сделать, пожалуй, единственный вывод о том, что достаточно много компаний решают или планируют решать эту задачу в лоб, не вчитываясь в формулировки действующих законов и не привлекая еще до принятия окончательного решения к работе ИТ-юристов, которые, понимая технические требования, могут обеспечивать качественный анализ задачи в совокупности юридических, организационных, общих программных и технических факторов.
Вопрос о том, имеет ли смысл отдельно привлекать ИТ-юристов, если можно организовать тендер на оказание услуг по приведению деятельности в соответствие с требованиями законодательства и силами лицензиатов ФСТЭК РФ по технической защите конфиденциальной информации, аккредитованных аттестационных центров по требованиям безопасности обеспечить оказание таких услуг, является весьма спорным. Проведя скрупулезный юридический анализ и обоснование работы с каждым реквизитом персональных данных, а также раскрыв технологию автоматизированной обработки персональных данных правильным образом в нормативной, проектно-конструкторской и организационно-распорядительной документации, можно, во-первых, существенно снизить класс вашей ИС ПДн.
Во-вторых, можно избавиться от необходимости самостоятельного получения лицензии ФСТЭК РФ на осуществление мероприятий и (или) оказание услуг по технической защите конфиденциальной информации со всеми следствиями, вытекающими из этого "облегчениями". В-третьих, можно избежать затрат на аттестацию ИС ПДн в целом или отдельных ее компонентов, для которых аттестация является обязательной по рекомендациям ФСТЭК РФ (опубликованные выписки из "четверокнижия").
Все это однозначно приведет к существенному сокращению первоначальных затрат денежных средств и времени на весь проект, и обеспечит существенное упрощение и удешевление его поддержки и сопровождения. Но для этого необходимо сначала "подумать", а потом уже бросаться в бой, объявляя тендеры и заключая договоры с внешними исполнителями.
Способ 1. Не всякий набор персональных данных подлежит защите по требованиям закона
В первую очередь операторы обрабатывают персональные данные, которые позволяют идентифицировать личность вообще (например гражданина Российской Федерации) либо личность участника того или иного реестра, открытого в соответствии с действующим законодательством РФ. Если внимательно прочитать законодательство, например, о документах, идентифицирующих личность гражданина РФ или иностранного гражданина на территории РФ, то можно выявить тот факт, что даже паспорт гражданина РФ нужно показывать очень большому количеству людей: милиции, кассирам в магазине при оплате покупки банковской картой, операционистам в банках, менеджерам в аэропортах, охранникам и многим другим. Однако мало кто из этих людей отвечает за сохранность данных по закону или по каким-либо инструкциям и вообще как-то их обрабатывает, кроме визуальной идентификации личности. Тогда как можно говорить о закрытости этих данных? При дальнейшем изучении некоторых федеральных законодательных актов получается, что часть данных должна быть просто открыта всем при выполнении определенных действий.
Помимо определения открытости данных, стоит понять, что конкретно для ваших операций по обработке ПДн позволяет уникально идентифицировать субъекта ПДн. Например, если ваш клиент потенциально может иметь несколько договоров (получать несколько услуг), в качестве идентификатора недостаточно просто знать идентификатор личности, нужен идентификатор услуги. Такого рода идентификатором услуг могут быть номера счетов, телефоны, номера договоров и так далее – решение и обоснование за оператором ПДн.
Способ 2. Сбор и обработка реквизитов персональных данных исходя из бизнес-потребностей и существующих бизнес-процессов
Компании привыкли собирать большое количество информации с некоторых категорий субъектов ПДн (например, с собственных сотрудников, студентов ВУЗов и других). Причиной для сбора данных могла быть просто рефлекторная необходимость заполнения той же личной карточки сотрудника (форма Т-2). Однако, если задуматься над смыслом и обоснованностью включения информации о родителях работника в его данные, то как обосновать эту необходимость? Многие ли компании когда-либо пользовались такой информацией? Если да, то могут ли они найти основания использования такой информации в федеральных законах?
Можно предположить, что очень часто накапливаются лишние персональные данные, которые можно просто не собирать, а в исключительных случаях получать их на бумажном носителе и не вносить в информационную систему. Если юридически обосновать каждый реквизит собираемых и обрабатываемых персональных данных, то можно увидеть, что многие из них избыточны. Корректное прекращение их обработки существенно упростит модель угроз для компании.
Способ 3. Разделение идентификационных и дополнительных реквизитов персональных данных по хранению и технологии работы с ними
Можно разделить персональные данные субъектов, которые хранятся и обрабатываются в ИС ПДн, на отдельные части. Например, отдельно работать с идентификационными данными субъекта и отдельно - с дополнительными данными субъекта, связывая их между собой произвольным внутренним идентификатором. Во многих случаях просто нет логической и юридической необходимости держать в одном месте и идентифицирующие, и дополнительные данные - тогда зачем самим усложнять себе задачу? Разделив эти данные на этапах их обработки, вы сможете снизить класс каждого узла ИС и тем самым снизить итоговый класс ИС ПДн в целом.
Способ 4. Обоснование экономической целесообразности реализации мероприятий в соотношении с возможным ущербом от инцидентов и их вероятностью
Любые действия должны быть чем-то обоснованы. Например, затраты на создание мер защиты информации должны быть обоснованы возможным ущербом, который может нанести оператору или субъекту ПДн инцидент безопасности с персональными данными. Этап обоснования включается в большинстве нормативных документов как обязательный при постановке заданий на создание системы защиты.
Как оказывается, достаточно эффективным способом снижения тех или иных затрат на защиту ПДн является отсутствие соизмеримого ущерба от инцидента именно с этими данными. Так, например, какой смысл тратить сотни тысяч рублей на защиту и аттестацию рабочего места, когда на нем в единицу времени отображаются только идентификационные данные и только одного субъекта?
Принцип экономической обоснованности является базовым и находит отражение даже в государственных стандартах. В связи с этим, ключевым советом для ИТ-юристов будет выявление обрабатываемых порций персональных данных в различных узлах ИС ПДн и оценка ущерба при возникновении инцидента, исходя из действующего гражданского, административного и уголовного законодательства РФ. При этом целесообразно взвешивать возможный ущерб с уровнем вероятности возникновения того или иного инцидента.
Способ 5. Максимальная детализация моделей угроз и определение их вероятности
Важным этапом при приведении своей деятельности в соответствие с требованиями законодательства по персональным данным является построение модели угроз. Ее необходимо строить по требованиям ФСТЭК РФ и при использовании средств криптографической информации по требованиям ФСБ РФ.
Что может дать детально проработанная модель угроз? Нет необходимости применять ряд средств защиты информации, если реализация угрозы практически невероятна. Конечно, можно защищаться от возможного падения метеорита на здание, в котором вы обрабатываете персональные данные, или от того, что сервер вытащат через дыру в метровой стене. Но так ли это необходимо и насколько вероятно именно для вас? Ответ на эти вопросы и обоснованная с различных точек зрения (с физической, логической, вероятностной, юридической, экономической и иных) оценка может значительно упростить задачу.
Способ 6. Перенастройка пользовательского интерфейса подсистем ИС и технологии работы с данными
Частой ошибкой является непродуманное построение пользовательского интерфейса информационных систем и несоответствие этого построения реальной задаче, решаемой пользователем. Например, если по закону операционист банка сначала должен идентифицировать клиента, а затем уже выполнять банковские операции, то зачем предусматривать для всех операционистов возможность отображения списка найденных клиентов по результатам его запроса? В экстренном случае такая возможность может быть только у одного пользователя в отделении банка. Функция, указанная в этом примере, может быть заблокирована еще на уровне СУБД, тем самым убирая необходимость в создании специальных средств защиты информации о множестве субъектов одновременно, которая не может выйти из хранилища данных.
Аналогичным примером является создание комплексных экранных форм, на которых отображается "сразу все". Да, в некоторых случаях это удобнее, но ведь можно перестроить часть пользовательского интерфейса, связанную с персональными данными и не допускать на рабочем месте одномоментной обработки персональных данных 1-й и 2-й категории. Аналогичные правила разделения должны действовать и для передачи данных от рабочих мест пользователей к серверу. Здесь важно отметить, что для того, чтобы реализовать вышеуказанные рекомендации, достаточно часто нет необходимости переписывать всю информационную систему, а можно лишь выполнить некоторые небольшие модификации.
Способ 7. Перестройка взаимодействий между компонентами ИС по открытым каналам связи
Компьютерная сеть, с одной стороны, является основой для построения распределенных многозвеньевых информационных систем, позволяющих существенно упростить работу сотрудников и клиентов компании, а, с другой стороны, часто является краеугольным камнем при изучении вопросов безопасности. А так ли нам необходимо одномоментно передавать по сети набор персональных данных 1-й или 2-й категории? Может быть, можно разделить их, приведя класс передаваемых данных к 3-й или даже 4-й категории? Тогда будет существенно снижен общий класс ИС.
Также стоит заметить, что применение средств шифрования по алгоритмам ГОСТ, часто рассматривающееся ФСТЭК лишь как крайнее средство, подчас является более простым во внедрении и эксплуатации. При этом не требуется каких-либо лицензий на то, чтобы выполнять вызов методов сертифицированного ФСБ СКЗИ в части функций, находящихся в его документации. Такие работы не относятся к лицензируемой деятельности, так как используется просто документированный способ, проверенный ФСБ и известный им сертифицированный инструмент, а также его публичная и согласованная документация.
Способ 8. Данные из сертификатов используемого оборудования для обоснования нецелесообразности реализации мероприятий по двойной защите
Нужно внимательно изучить технические характеристики и паспортные данные используемого оборудования, кабелей и иных конструктивных элементов, с которыми так или иначе связана работа ИС ПДн. Большинство из них имеют сертификат соответствия, подтверждающий их паспортные характеристики. Задачей специалистов будет лишь собрать все документы воедино, формально сравнить с требованиями законодательства по утечке данных по техническим каналам связи. В результате окажется, что чаще проще выполнить эксплуатационные требования к компьютеру, чем применять специализированные средства защиты от утечек данных по техническим каналам.
Способ 9. Регламент взаимодействия подсистем и отдельных систем, которые работают с персональными данными
Очень многие современные информационные системы строятся на основе многозвеньевой архитектуры. То есть информация проходит многоступенчатую обработку, перемещаясь от места ввода к месту хранения, от одной подсистемы к другой. Безусловно, если подсистемы или звенья в архитектуре взаимодействуют между собой в режиме реального времени синхронно (т.е. выполнение функции в одной подсистеме синхронно вызывает выполнение функции в другой), то исходя из действующего понимания стандартов и законодательства, такое объединение подсистем будет считаться единой ИС. Но ведь в очень многих случаях можно пожертвовать реальным синхронным взаимодействием и сделать передачу данных асинхронной в псевдореальном режиме. Такой вариант не ухудшит бизнес-характеристик решения, однако позволит при должном уровне и детальности проектной документации говорить о двух различных ИС, для одной из которых данные выгружаются, и на этом работа с ними заканчивается, а уже другая ИС эти данные загружает и работает с ними. Это позволит отойти от характеристики "распределенности" ИС ПДн и существенно упростить требуемую защиту передачи данных.
Способ 10. Часть персональных данных - на бумажные носители
Может, это звучит несовременно, но иногда уход от автоматизированной обработки какого-то участка всего множества персональных данных способен существенно облегчить жизнь оператору ПДн. Совет, пропагандируемый как ФСБ РФ и ФСТЭК РФ, относительно обработки части ПДн на бумажных носителях в ряде случаев может сократить класс используемых ИС ПДн, и значит существенно снизить затраты на организацию системы защиты и иногда даже упростить работу специалистов, работающих с этими данными в соответствии с нормами законодательства.
Одновременно с переводом информации на бумажные носители целесообразно проанализировать весьма интересное исключение, которое указано в пп. 2 ст. 2 ключевого закона 152-ФЗ - действие закона не распространяется на организацию хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации. Построение и эффективное использование архива даже на предприятии в соответствии с архивным законодательством может упростить реализацию требований законодательства о ПДн для выполнения некоторых операций с частью персональных данных.
Главный же вывод, который прозвучал и на на конференции InfoSecurity 2009 (Москва) – со стороны представителей ФСБ РФ и ФСТЭК РФ: "Уважаемые операторы, внимательно читайте законы и иные нормативные документы!"
Михаил Лужецкий
На вопросы CNews отвечают Игорь Калганов, заместитель директора департамента информационной безопасности финансовой корпорации "Открытие", и Олег Слепов, руководитель направления защиты персональных данных компании "Инфосистемы Джет".
CNews: Насколько определяющим для развития рынка ИБ в России в 2009 г. оказался
ФЗ 152 – о персональных данных?
Олег Слепов: Я бы назвал его появление очередным этапом эволюции ИБ в России. В буквальном смысле идет "притирание" государственного и коммерческого подходов к ИБ. Еще два года назад многие компании вообще не имели представления, что существует какой-то "государственный подход". Сегодня мы видим попытку скорректировать свое представление о методах и способах защиты информации как с одной, так и с другой стороны. Именно ФЗ 152 послужил тому толчком.