13.06.2013

Почему мы никак не дождемся от 8-го Центра ФСБ моделей угроз ПДн?

Давайте взглянем на ст.19 ФЗ-152 в разрезе определения угроз безопасности персональных данных. В соответствие с п.1 ч.2 ст.19, это то, с чем начинается процесс обеспечения безопасности ПДн. Кто может определять такие угрозы? В соответствие с частью 5 той же статьи 19 могут это делать только:
  • Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности,
  • Органы государственной власти субъектов Российской Федерации,
  • Банк России,
  • Органы государственных внебюджетных фондов,
  • Иные государственные органы в пределах своих полномочий,
согласовав полученные модели угроз с ФСТЭК или ФСБ в удобной для всех сторон форме, как это и указано в части 7 статьи 19. Указанные модели угроз в соответствие с частью 6 статьи 19 могут быть расширены ассоциациями, союзами и иными объединениями операторов ПДн. Если такое желание у кого-то возникнет (пока таких прецедентов я не встречал), то получившаяся расширенная модель должна быть также согласована с ФСТЭК и ФСБ в соответствии с частью 7 статьи 19 в порядке, установленным 940-м Постановлением Правительства.



В целом достаточно целостная картина вырисовывается. Есть отраслевой регулятор, который за всю отрасль разрабатывает модель угроз и согласует ее с ФСТЭК или ФСБ. Тем самым снимается с операторских плеч бремя самостоятельной разработки модели угроз, как это было по предыдущей версии ФЗ-152. На первый все красиво и правильно. Но... тут вступают в игру в российские реалии. С момента принятия данной схемы прошло уже почти 2 года и где хотя бы одна разработанная госорганами модель угроз? Именно по новой схеме. Где? Я это предполагал и пока предположения меня не обманывают. Из всех пяти упомянутых выше участников, только Банк России готовит свою отраслевую модель угроз.

Но пойдем дальше. А может ли быть ситуация, когда у оператора ПДн, работающего в какой-либо сфере деятельности, нет отраслевого регулятора? Вот допустим есть госкорпорация "Росатом". Какой из федеральных органов исполнительной власти возьмет на себя функцию выработки модели угроз Росатома? Или ОАО "Газпром" или ОАО "ФСК ЕЭС"? Кто у них отраслевой регулятор? Минэнерго? Что-то я сомневаюсь, что оно способно сделать отраслевые модели угроз для подведомственных ему холдингов. Ну да ладно, Газпром или Росатом. Крупные монополисты. Они и сами в состоянии сделать себе модели угроз (правда, встанет вопрос с их легитимностью...). А вот если взять небольшой Интернет-магазин, торгующий туристическим снаряжением? Или вообще муниципальное учреждение? Или управляющую компанию, работающую в сфере ЖКХ? Кто им будет разрабатывать модель угроз?

Коллизия... Очередная в ряду множества пробелов или просто нестыковок в законодательство о персональных данных. Даже разрабатываемая сейчас ФСТЭК методика моделирования угроз персональных данных не снимает этого противоречия. Можно, конечно, тупо забить на моделирование угроз и, ссылаясь на отсутствие разработанной отраслевым регулятором, вообще ничего не делать. Правда, путь этот неконструктивный и я не рекомендую идти по нему. Есть другой сценарий. Несмотря на отсутствие полномочий у оператора ПДн самостоятельно разрабатывать модель угроз, все-таки сделать это. И вот тут может пригодиться тот методический документ, который ФСТЭК готовит для операторов ПДн.

А есть и третий сценарий. Если внимательно посмотреть на часть 5 статьи 19, то федеральным органом исполнительной власти, осуществляющим функции по выработке государственной политики и нормативно-правовому регулированию в рассматриваемой области, является... Федеральная служба безопасности. Ведь именно в ее епархии находится сфера деятельности под названием "защита персональных данных". Почему бы не запросить у достопочтенного регулятора, который так много усилий приложил для роста уровня защищенности ПДн в России и несмотря на все предложения экспертов, так и не поменял ни статью 19, ни Постановление Правительства №1119, разработанную ими модель угроз?..

2 коммент.:

Сергей комментирует...

На сегодняшний день ни оператор, ни указанные в законе органы не могут разработать модель угроз по причине отсутствия методик ФСТЭК и ФСБ. Разработать "по старым" и согласовать - если даже согласуют (в чем сильно сомневаюсь), то после выхода методик придется переделывать.

Алексей Лукацкий комментирует...

Это спорно. Нигде не написано, что разрабатывать надо по методикам регуляторов. Да, неплохо бы, но необязательно