10.04.2008

Принят порядок классификации систем обработки персональных данных

В Консультанте появился текст "Приказа трех" "Об утверждении порядка проведения классификации информационных систем персональных данных". Это совместный приказ ФСТЭК, ФСБ и Мининформсвязи. Каковы его особенности, достоинства и недостатки:

1. Классификация осуществляется операторами персональных данных. Т.е. не за вас принимают решение об отнесении вас к какому-либо классу, а вы это делаете самостоятельно. Это очень большой плюс. Правда, класс может быть пересмотрен по результатам проверки вас со стороны регуляторов, но проводится они могут не когда угодно, а по вполне четкому расписанию.

2. Класс должен быть оформлен документально.

3. Классификация базируется на основе комбинации следующих критериев:
- категория обрабатываемых данных
- объем обрабатываемых данных
- характеристики безопасности
- структура ИС
- наличие подключений к Интернет и сетям общего пользования
- режим обработки персональных данных
- режим разграничения прав доступа
- местонахождение технических средств.
В целом критерии выбраны правильные, но... в п.15 класс рассчитывается только исходя из первых двух параметров. Возможно это сделано осознанно, т.к. по тексту приказа определяются 2 типа ИС - типовые и специальные. Первые - это те, где нужно обеспечить только конфиденциальность. Во вторых нужно обеспечить помимо конфиденциальности и еще хоть одну из характеристик персональных данных - защиту от уничтожения, изменения, блокирования и иных несанкционированных действий. Так вот класс ИС согласно п.15 определяется только для типовых систем. Но таких систем в природе практически нет. Где вы видели системы, в которых не надо обеспечить целостность и доступность?

4. Как же определить класс для специальных систем? А вот этого в приказе не сказано. Для этого случая он отсылает всех к другим методическим документам, которые разработаны ФСТЭК и ФСБ. Что разработала ФСБ неизвестно, а вот по ФСТЭК список этих документов известен:
- «Методика определения актуальных угроз безопасности персональных данных при их обработке, в информационных системах персональных данных» (утверждена 14 февраля 2008г. заместителем директора ФСТЭК России);
- «Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных» (утверждена 15 февраля 2008г. заместителем директора ФСТЭК России);
- «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» (утверждены 15 февраля 2008г. заместителем директора ФСТЭК России);
- «Рекомендации по обеспечению безопасности персональных данных при их обработке, в информационных системах персональных данных» (утверждены 15 февраля 2008 г. заместителем директора ФСТЭК России).

5. Все бы ничего, но... эти документы наделены грифом "Для служебного пользования" и доступны только... зарегистрированным операторам персональных данных и (но не или) лицензиатам ФСТЭК. Иными словами, вы не можете определить класс ИС, не получив статуса оператора персональных данных согласно 781-му Постановлению Правительства РФ и лицензии ФСТЭК, согласно 504-му Постановлению Правительства.

6. Но и другие моменты в приказе вызывают вопросы. Например, в п.6 определены категории обрабатываемых данных. Но я так и не понял, в чем коренное отличие 2-ой и 3-ей категории. Да и с категорированием опять намудрили. Идея-то была здравая - не всех под одну гребенку грести, а дифференцировать. Но... под первую категорию попадают почти все системы. Достаточно вспомнить пресловутый "пятый пункт", который по прежнему встречается во многих анкетах при приеме на работу.

7. 14-ый пункт определяет классы типовых информационных систем персональных данных, о которых я уже высказался. Но и с этими классами опять напортачили. В чем их отличие? Только в одном - в последствиях нарушений заданной характеристики безопасности. Логично, в общем-то. Только в приказе последствия разделяются так:
- незначительные негативные последствия
- (просто) негативные последствия
- значительные негативные последствия.
Я еще могу понять деление на значительные и незначительные (бинарная классика - ноль и единица). Но чем просто ненативные последствия отличаются от незначительных или от значительных?

И вообще что такое негативные последствия для субъекта персональных данных? Кто это определяет? Согласно приказу, это делает оператор. Но он не знает, как отнесется тот или иной субъект персональных данных к нарушению безопасности. Например, для одного человека факт опубликования его возраста не является хоть сколь -нибудь значимой проблемой, а для другого - это "смерти подобно". Оператор не может знать этого заранее.

8. Интересен 17-ый пункт. Если, например, у нас есть система отдела кадров, которая относится к классу К1 (самый высокий класс), а вся остальная сеть относится к классу К4 (самый низший), но при этом данные передаются по единой ЛВС (через одно и тоже сетевое оборудование), то всей сети должен быть присвоен класс К1. Со всеми вытекающими отсюда последствиями... Как этого избежать? Только физическим сегментированием сети. Возможно на практике специалисты, проводящие проверку, и не будут строго следить за этим, но пока 17-ый пункт толковать можно только так. Есть надежда, что со временем появятся разъяснения, в которых будет сказано, что логическое разделение возможно при условии использования сертифицированного оборудования (тех же межсетевых экранов или коммутаторов с ACL). Надежда есть, коль скоро у нас разрешено подключение сетей с гостайной к Интернет.

Ну вот, пожалуй, и весь краткий анализ очередного чуда наших законотворцев. И как не вспомнить слова Виктора Степановича Черномырдина, который вчера отметил свое семидесятилетие: "Хотели как лучше, а получилось, как всегда"...

15 коммент.:

Анонимный комментирует...

Поскольку документ до сих пор не был официально опубликован - то юридически не вступил в силу. Да и трудно представить классификацию ПД предпринимателем (п.2 приказа) на основании Приказа ФСТЭК, ФСБ и Минсвязи. Это должен быть более "солидный" документ.
В целом согласен с автором статьи.
/Surfer/

Анонимный комментирует...

если подключить сеть кадровиков к общей сети или к Интернет, то есть вероятность утечки информации. подключать нельзя. простите, кадровики.

Анонимный комментирует...

хотя с другой стороны непонятно как обеспечить доступ кадровиков к интранету - внутреннему порталу. если только отдельным VLAN их подключать к одному из интерфейсов сервера, на котором находится портал? а все остальные будут заходить через другой интерфейс - соотвественно единственный способ заразить компьютер кадровика - взломать портал.

Анонимный комментирует...

то же самое с другими ресурсами: с той же электронной почтой. кто гарантирует что в почте у кадровика нет троянов?

Алексей Лукацкий комментирует...

Да и трудно представить классификацию ПД предпринимателем (п.2 приказа) на основании Приказа ФСТЭК, ФСБ и Минсвязи. Это должен быть более "солидный" документ.

Есть ФЗ 152 и Постановление Правительства 781. Для предпринимателей этого достаточно. Согласно этим двум законам вопросы методического и разъяснительного характера лежат на ФСТЭК, ФСБ и Мининфорсвязи. Они и выпустили документ, предусмотренный вышеупомянутыми законами.

Oleg комментирует...

по п.6 комментария - на мой взгляд все достаточно просто:
если мы можем просто отличить Иванова И.И. от другого Иванова И.И. (например по номеру паспорта) то это категория 3, а вот если мы про этого Иванова И.И. можем еще что-то сказать, например размер его обуви, или оценки, полученные им в 3 классе 20 лет назад - то это категория 2.
Несомненно, основная масса деловых систем почти автоматически в нее и попадает.

По 7 пункту:
если кто-то что-то про вас узнал, то это просто негативные последствия. А вот ежели на основании эти данных какие-то юридические последствия для вас произошли, скажем, из квартиры вас выселили, то это - значительные.

Алексей Лукацкий комментирует...

если кто-то что-то про вас узнал, то это просто негативные последствия. А вот ежели на основании эти данных какие-то юридические последствия для вас произошли, скажем, из квартиры вас выселили, то это - значительные

Вы судите с позиции субъекта персданных, а по приказу последствия определяет оператор. Возьмем ЕГРН (единый реестр налогоплательщиков) - для пенсионерки опубликование размера ее пенсии или адреса некритично, а для главы Лукойла - очень даже. А ведь эти данные хранятся в ОДНОЙ базе.

Oleg комментирует...

Это как раз со стороны субъекта оценка угрозы. А для оператора, или, госорганов, перед законом все должны быть равны. Другое дело, что...
Просто как всегда - как не должно быть - это понятно. Не понятно - как должно быть. Посмотреть бы на документы ФСТЭКа - я правда, если честно, сомневаюсь, что там намного лучше.

Анонимный комментирует...

чтобы познакомиться с ПДД, нужно сначала получить водительское удостоверение)))

Анонимный комментирует...

Автор пишет...
"В целом критерии выбраны правильные, но... в п.15 класс рассчитывается только исходя из первых двух параметров. Возможно это сделано осознанно, т.к. по тексту приказа определяются 2 типа ИС - типовые и специальные. Первые - это те, где нужно обеспечить только конфиденциальность. Во вторых нужно обеспечить помимо конфиденциальности и еще хоть одну из характеристик персональных данных - защиту от уничтожения, изменения, блокирования и иных несанкционированных действий. Так вот класс ИС согласно п.15 определяется только для типовых систем. Но таких систем в природе практически нет. Где вы видели системы, в которых не надо обеспечить целостность и доступность?"
Пример: отдел кадров организации.
Конфиденциальность - предотвращение несанкционированного раскрытия информации. Как известно, дискреционный принцип контроля доступа реализован в каждой современной информационной системе (ИС). Вся информация в ИС (для отдела кадров) с момента подачи заявления о приеме на работу и до приказа об увольнении работника вводится с бумажных носителей( срок их хранения определен). Наличие исходных документов позволяет восстановить ИС в случае реализации угроз целостности и доступности "защиту от уничтожения, изменения, блокирования и иных", что позволяет отнести ИС к "типовым".
Исключение, - ИС с элементами "безбумажного" электронного документооборота.
"Пятая графа"? - думаю для коммерческих и большинства гос. организаций не нужна и не ведется, в других случаях это другие требования.
Дмитрий, Волгоград.

Алексей Лукацкий комментирует...

Пример: отдел кадров организации. Вся информация в ИС (для отдела кадров) с момента подачи заявления о приеме на работу и до приказа об увольнении работника вводится с бумажных носителей.

Вся ли? В бумажном виде она только на первом и последнем этапах. Все "мелочи" пойдут уже в электронном виде. Кроме того, наличие бумажек не делает неважным обеспечение целостности системы. Пример. В кадровой системе модифицируется поле "количество детей" и вместо 0 будет стоять 3. После этого, бухгалтерия начнет использовать льготное налогообложение (для подоходного, например), как для многодетной семьи.

"Пятая графа"? - думаю для коммерческих и большинства гос. организаций не нужна и не ведется

Ведется, т.к. большинство организаций по старинке использует старые формы анкет, где этот пункт указывается. А если еще вспомнить, что сегодня многие компании организуют для своих сотрудников медстраховку, то у нас появляется в кадровых ИС информация о здоровье, что опять же выносит такую систему на 1-ый класс.

Анонимный комментирует...

Допустим изменения о количестве детей вносили со слов родителей, или даже "от балды", но делал это пользователь, прошедший идентификацию и аутентификацию, в рамках предоставленных ему прав модификации информации в ИС. Если речь идет о модификации воздействием не со стороны пользователей ИС, то в есть архив на бумажном носителе. Пока я вижу только 3 класс, для отдела кадров большинства организаций.
Если организация обрабатывает в одной из ИС автоматизированной системы организации медицинские справки о состоянии здоровья сотрудников (к примеру, - справка 086/у), то 1 класс.
В большинстве организаций работник предоставит больничный лист, затем в табеле учета рабочего времени в ИС (возможно, более чем в одной) появится «б». Это не 1 класс.
Медстраховка – это полис ОМС или ДМС? У меня полис ОМС (организация выдала), в нем информация на 1 класс не тянет, в ИС отдела кадров тоже.
Для медицинских учреждений 1 класс, это мрак. Но и здесь надо учесть, что ИС и АС не одно и тоже.
Ваша статья мне понравилась детальным анализом исходного документа. Но 1 класс для всех у кого есть отдел кадров? Думаю, лицензиаты этого не вынесут.

Алексей Лукацкий комментирует...

Так не все и будут подавать документы... Добропорядочный крупняк пойдет и достаточно. Столько денег на лицензирование и аттестацию ;-(

Анонимный комментирует...

Скажите, а чтобы разрабатывать ИС,где есть персональные данные, нужно ли организации получать какие-либо лицензии на это?

Алексей Лукацкий комментирует...

Нет