1-го ноября Правительство
утвердило долгожданное Постановление №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных". Про проект этого Постановления я уже
писал в конце сентября и вот один месяц и мы имеем дело с утвержденным нормативным актом. Правда, вместо двух постановлений (по уровням защищенности и по требованиям безопасности) Правительство выпустило одно, объединенное.
Но посмотрим на него чуть более внимательно. Начнем с того, что ПП-781 официально утратило силу, а с ним подвисли в воздухе "приказ трех" по классификации, а также методички ФСБ по шифрованию и приказ ФСТЭК №58, которые базировались именно на ПП-781. Но в любом случае это ненадолго. Проекты приказов ФСТЭК и ФСБ на подходе, а новая классификация приведена уже в самом Постановлении (никаких специальных или типовых систем).
Кстати, выход нового Постановления влечет за собой и далеко идущие последствия. Во-первых, теперь ФСТЭК придется обновлять свои
РД по IPS и антивирусам, которые были привязаны к 4-м классам ИСПДн. А во-вторых, становится очевидным, что принятый 4 года назад подход по указанию в сертификатах ФСТЭК класса ИСПДн, для которого возможно применение прошедшего оценку соответствия средства защиты, дал сбой. Теперь в сертификатах этого уже не укажешь. Да и что делать с уже выданными сертификатами теперь непонятно.
Вся защита зависит от актальных угроз, но выбор средств нейтрализации этих угроз должен базироваться на документах ФСТЭК и ФСБ, которые должны скоро выйти. По идее там должна быть четко указана зависимость выбираемых средств защиты от актуальности той или иной угрозы, но вот как это будет реализовано, пока понимаю с трудом. Предсказуемо поменялась ситуация с оценкой соответствия. Если в проекте она требовалась только начиная со 2-го уровня, то в итоговом варианте - уже с 4-го. К счастью форма оценки соответствия не определена, а с учетом грифа на ПП-330, можно выбирать, что угодно (про это я уже
писал и напишу очень скоро еще раз).
С классификацией ИСПДн авторы опять перегнули и, к сожалению, к критике и ранеев высказанным предложениям не прислушались. Например, непонятно, на каком основании сведения о судимости были существенно занижены с точки зрения отнесения их к той или иной ИСПДн. В законе они почти приравнены к специальным категориям, а в Постановлении №1119 приравнены к обычным ПДн. С ИСПДн, обрабатывающей общедоступные ПДн, тоже косяк. Например, согласно ФЗ о государственной регистрации юрлиц, большая часть ПДн учредителей юрлица относится к общедоступной информации. Но это не позволяет считать тот же ЕГРЮЛ ИСПДн, обрабатывающей общедоступные ПДн.Ведь по Постановлению к таким ИСПДн относятся только те, которые созданы в соответствие с 8-й статьей ФЗ-152.
Определение актуальных угроз таит в себе мину замедленного действия. Меня в определении "под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного,
в том числе случайного, доступа к персональным данным при их обработке в информационной системе" напрягает фраза, выделенная жирным. Случайный доступ может быть ВСЕГДА, а значит получается, что у нас и все угрозы являются актуальными. Но это все равно не так страшно, т.к. нам помогают следующие абзацы Постановления В частности в нем говорится, что все угрозы делятся на 3 типа (в зависимости от наличия НДВ). А актуальность этих угроз определяет оператор. И я повторю то, что писал раньше, рассматривая проекты данных Постановлений. Угрозу НДВ в контексте защиты ПДн я считаю неактуальной, а посему у нас остаются только угрозы 3-го типа.
При этом, согласно Постановлению и части 4 статьи 19 ФЗ-152 "
федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки". Пока таких документов нет (кроме РС 2.4 Банка России и документов Минздрава). Это влечет за собой как возможность самостоятельного определения актуальных угроз, так и возможности выбрать выжидательную позицию. Нет документов, нет возможности определиться с угрозами, а значит и меры по защите нельзя выбрать ;-)
Косяк с тем, что при наличии ПДн о 100000 субъектах провести классификацию невозможно, так и не устранили (а ведь авторам про это тоже писали). Проблема с аутстаффингом осталась, а вот про сотрудников ИП, о которой я писал, устранили. Тем более непонятно, почему не убрали остальные, очевидные недочеты?..
Что касается требований по безопасности в зависимости от уровня защищенности, то тут ничего нового (кроме уже упомянутого переноса оценки соответствия со 2-го уровня на 4-й). Еще перенесли требование по доступу к содержанию электронного журнала сообщений только уполномоченным сотрудником с 3-го на 2-й уровень. Правда, что за журнал имелся ввиду, фиг поймешь. Для 1-го уровня помимо создания подразделение по защите ПДн возможно возложение этих задач на одно из существующих подразделений (например, на ИТ) такого функционала.
В целом могу сказать, что финальный вариант не так чтобы сильно изменился. Что-то стало получше, что-то похуже, что-то осталось без изменений. Пессимизм коллег относительно документа по-прежнему не разделяю - считаю, что возможность самостоятельного определения актуальных угроз - это уже недурно. Важно, конечно, что будет написано в приказах ФСТЭК и ФСБ, но если и они будут зависеть от актуальности угроз, то хуже, чем есть сейчас точно не будет.
А причем тут правая и левая рука Правительства, вынесенные в заголовок? А тут все просто. Если посмотреть на 13-й пункт Постановления №1119, то мы увидим, что требование наличия контролируемой зоны (т.е. зоны, куда запрещен доступ посторонних) при обработке ПДн остался и остался на 4-м, минимальном уровне защищенности. А теперь давайте посмотрим на множество инициатив, которые так активно продвигает руководство нашего правительства... Многие из них связаны с доступом с мобильных устройств. Что-то да, возможно делать из помещений с контролируемым доступом, например, дистанционный доступ к библиотекам или музеям, но это в любом случае частный и не самый распространенный пример применения мобильных устройств. Все-таки они создавались, чтобы работать из любого места, где есть Интернет.
Оснащение сотрудников ГИБДД планшетниками для проверки в реальном времени информации о водителях, угнанных авто и т.д. Невозможно! Ну где вы на улице видели контролируемую зону? Использование врачами планшетных компьютеров при выезде к пациентам. Невозможно! Пограничные посты в аэропортах? Невозможно! Таможенные терминалы? Невозможно! И т.д. и т.п. Я уже не говорю про применение планшетников банковскими и страховыми агентами. Они тоже не могут работать с персданными за пределами собственной контролируемой зоны. Да что планшетники... Вынос точки продаж за пределы собственного или арендуемого здания в места массового скопления народа (например, торговые или дилерские центры) теперь становится невозможен. И все это подписал человек, так ратующий за активное внедрение мобильных технологий ;-(
ЗЫ. Услуги по облачной безопасности как всегда забыта, но это и понятно - не могут
пока регуляторы воспринять такой вариант реализации системы защиты, не
укладывается он у них в голове. Ну со временем все утрясется, я думаю.