В Консультанте
появился текст "Приказа трех" "Об утверждении порядка проведения классификации информационных систем персональных данных". Это совместный приказ ФСТЭК, ФСБ и Мининформсвязи. Каковы его особенности, достоинства и недостатки:
1. Классификация осуществляется операторами персональных данных. Т.е. не за вас принимают решение об отнесении вас к какому-либо классу, а вы это делаете самостоятельно. Это очень большой плюс. Правда, класс может быть пересмотрен по результатам проверки вас со стороны регуляторов, но проводится они могут не когда угодно, а по вполне четкому расписанию.
2. Класс должен быть оформлен документально.
3. Классификация базируется на основе комбинации следующих критериев:
- категория обрабатываемых данных
- объем обрабатываемых данных
- характеристики безопасности
- структура ИС
- наличие подключений к Интернет и сетям общего пользования
- режим обработки персональных данных
- режим разграничения прав доступа
- местонахождение технических средств.
В целом критерии выбраны правильные, но... в п.15 класс рассчитывается только исходя из первых двух параметров. Возможно это сделано осознанно, т.к. по тексту приказа определяются 2 типа ИС - типовые и специальные. Первые - это те, где нужно обеспечить только конфиденциальность. Во вторых нужно обеспечить помимо конфиденциальности и еще хоть одну из характеристик персональных данных - защиту от уничтожения, изменения, блокирования и
иных несанкционированных действий. Так вот класс ИС согласно п.15 определяется только для типовых систем. Но таких систем в природе практически нет. Где вы видели системы, в которых не надо обеспечить целостность и доступность?
4. Как же определить класс для специальных систем? А вот этого в приказе не сказано. Для этого случая он отсылает всех к другим методическим документам, которые разработаны ФСТЭК и ФСБ. Что разработала ФСБ неизвестно, а вот по ФСТЭК список этих документов известен:
- «Методика определения актуальных угроз безопасности персональных данных при их обработке, в информационных системах персональных данных» (утверждена 14 февраля 2008г. заместителем директора ФСТЭК России);
- «Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных» (утверждена 15 февраля 2008г. заместителем директора ФСТЭК России);
- «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» (утверждены 15 февраля 2008г. заместителем директора ФСТЭК России);
- «Рекомендации по обеспечению безопасности персональных данных при их обработке, в информационных системах персональных данных» (утверждены 15 февраля 2008 г. заместителем директора ФСТЭК России).
5. Все бы ничего, но... эти документы наделены грифом "Для служебного пользования" и доступны только... зарегистрированным операторам персональных данных и (но не или) лицензиатам ФСТЭК. Иными словами, вы не можете определить класс ИС, не получив статуса оператора персональных данных согласно 781-му Постановлению Правительства РФ и лицензии ФСТЭК, согласно 504-му Постановлению Правительства.
6. Но и другие моменты в приказе вызывают вопросы. Например, в п.6 определены категории обрабатываемых данных. Но я так и не понял, в чем коренное отличие 2-ой и 3-ей категории. Да и с категорированием опять намудрили. Идея-то была здравая - не всех под одну гребенку грести, а дифференцировать. Но... под первую категорию попадают почти все системы. Достаточно вспомнить пресловутый "пятый пункт", который по прежнему встречается во многих анкетах при приеме на работу.
7. 14-ый пункт определяет классы типовых информационных систем персональных данных, о которых я уже высказался. Но и с этими классами опять напортачили. В чем их отличие? Только в одном - в последствиях нарушений заданной характеристики безопасности. Логично, в общем-то. Только в приказе последствия разделяются так:
- незначительные негативные последствия
- (просто) негативные последствия
- значительные негативные последствия.
Я еще могу понять деление на значительные и незначительные (бинарная классика - ноль и единица). Но чем просто ненативные последствия отличаются от незначительных или от значительных?
И вообще что такое негативные последствия для субъекта персональных данных? Кто это определяет? Согласно приказу, это делает оператор. Но он не знает, как отнесется тот или иной субъект персональных данных к нарушению безопасности. Например, для одного человека факт опубликования его возраста не является хоть сколь -нибудь значимой проблемой, а для другого - это "смерти подобно". Оператор не может знать этого заранее.
8. Интересен 17-ый пункт. Если, например, у нас есть система отдела кадров, которая относится к классу К1 (самый высокий класс), а вся остальная сеть относится к классу К4 (самый низший), но при этом данные передаются по единой ЛВС (через одно и тоже сетевое оборудование), то всей сети должен быть присвоен класс К1. Со всеми вытекающими отсюда последствиями... Как этого избежать? Только физическим сегментированием сети. Возможно на практике специалисты, проводящие проверку, и не будут строго следить за этим, но пока 17-ый пункт толковать можно только так. Есть надежда, что со временем появятся разъяснения, в которых будет сказано, что логическое разделение возможно при условии использования сертифицированного оборудования (тех же межсетевых экранов или коммутаторов с ACL). Надежда есть, коль скоро у нас разрешено подключение сетей с гостайной к Интернет.
Ну вот, пожалуй, и весь краткий анализ очередного чуда наших законотворцев. И как не вспомнить слова Виктора Степановича Черномырдина, который вчера отметил свое семидесятилетие: "Хотели как лучше, а получилось, как всегда"...
