Комментарии 72
Но есть несколько вопросов по организационной документации. Существует ли какой-нибудь РД определяющий перечень необходимых инструкций, журналов и прочего? Для ГТ всё это отработано и понятно (ПП 3-1). А вот для ПД непонятно… Фактически есть только Закон, ПП и пара приказов ФСТЭК и ФСБ.
Можно пойти от ответственности: если за это есть ответственность, значит нужно под это разработать отдельный документ. Как он будет называться, дело ваше.
«Описание ИСПДн» по сути это вступительная часть документа «Модель угроз», ведь угрозы нужно моделировать в отношении понятной ИС. Либо, если подразумевается описание бизнес-процессов, то консультанты часто делают документ «Отчет об анализе» или схожее название, в котором описывают процесс получения ПДн, обработки, уничтожения.
Модель угроз смотрят, НО РКН смотрит само наличие, может полистать немного и всё.
ФСБ смотрит более внимательно и тут уже надо применять методические рекомендации ФСБ No149/7/2/6-432, ЕСЛИ вы применяете СКЗИ для защиты ПДн
Допустим есть сервис который напрямую не предназначен для обработки ПД, нечто типа хабра. И на том сервисе есть раздел типа «о себе», не приоритетный, куда народ скопом сваливает свои личные данные паспорта, телефоны и т.д., хотя изначально раздел предназначался для размещения фоток своих котиков. А может и не свои, а сгенерированные и левые. А может и чужие и настоящие.
Это обработка ПД? Нужны все эти танцы с бубном?
ПДн – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). У вас получается нет цели определения субъекта, они сами вам все загружают, по собственному желанию.
Сделайте политику на сайт, распишите там все по полочкам, что грузить, а что нет, укажите как обрабатывается (где хранится и сколько) информация, зачем она нужна (как раз, что она не нужна), как защищаете (что https, например) и т. д. и сделайте галочку «Согласен на обработку персональных данных».
Может быть такая ситуация, что загрузят фото и информацию о другом человеке, он это обнаружит и пожалуется в РКН. Придется с ними разбираться, и лучше подготовиться.
PS: промахнулся — это ответ к предыдущему комментарию)
Дело в том, что форм оценки соответствия несколько (добровольная или обязательная сертификация, декларирование соответствия). Сертификация – это лишь одна из них. Оператор может использовать несертифицированные средства, но нужно будет продемонстрировать регулятору при проверке, что для них пройдена процедура оценки соответствия в какой-либо форме.Насколько я слышал, регуляторы как раз считают, что «оценка соответствия равно сертификация». Знаете ли вы какие-то иные формы оценок соответствия, которые прошли бы проверку регуляторов?
А 6 пункт про СКЗИ можно, в принципе, переформулировать в «Если вы передаете информацию по Интернету — покупайте СКЗИ».
Виды оценки соответствия есть в ФЗ «О техническом регулировании» и это не только сертификация.
Косвенно о том, что для ИСПДн не обязательны сертифицированные СЗИ можно судить о том, что в 21 приказе ФСТЭК (перс данные) написано просто «оценка соответствия», в 17 приказе (государственные ИС) написано «оценка соответствия в форме обязательной сертификации», в 239 приказе ФСТЭК (КИИ) написано «оценка соответствия в формах обязательной сертификации, испытаний или приемки».
Не говорю, что это стопроцентный аргумент в пользу ненужности сертифицированных СЗИ в ИСПДн, но дифференсацию подхода регулятора, который как раз и будет проверять ваши СЗИ проследить можно.
Важно не просто использовать, а иметь внутри организации документы о том, что вы осознанно выбрали эти СЗИ и/или встроенный функционал, провели его испытания (ПМИ по сути нужно) и пришли к выводу о том, что его достаточно для нейтрализации актуальных угроз, описанных в МУ. Так вы обеспечите выполнение требований 152-ФЗ и 1119-ПП в части «оценки соответствия».
То есть вы не просто берете несертифицированные СЗИ и используйте их. Нет. Нужно обязательно провести работу для выполнения требований п.2 ст.19 152-ФЗ и пп. «г» п.13 1119-ПП.
— Как вместо сертификации подтвердить оценку соответствия СЗИ?
— Один из стопроцентных способов — приемочные испытания. Для этого необходимо разработать документы: «Программа и методики приемочных испытаний», «Протокол приемочных испытаний», «Заключение по результатам приемочных испытаний». Также ФЗ «О техническом регулировании» предусмотрены «иные формы подтверждения соответствия», так что в теории вы можете подтвердить соответствие СЗИ в ходе «оценки эффективности принятых мер в ИСПДн», предусмотренных 21 приказом ФСТЭК.
— Ок. Это все в теории, а на практике были ситуации, когда регулятор не предъявлял претензий к несертифицированным СЗИ?
— Нет. Лично мой опыт не может этим похвастаться, потому что: 1. РКН не занимается вопросами «защиты персональных данных», РКН занимается вопросами «защиты прав субъектов персональных данных», поэтому вопросы сертификации СЗИ их не интересуют. И если интересно, то да, коммерческие организации, в которых мы делали проект по защите ПДн без сертифицированных СЗИ успешно проходили проверку РКН. 2. ФСТЭК не проверяют ИСПДн в коммерческих организациях. Если РКН один на каждый регион, то ФСТЭК один на федеральный округ, их ресурсов хватает только на то, чтобы проверять ГИС, КИИ и гостайну в части защиты информации. С ФСБ все проще — в ИСПДн только сертифицированная криптография (378 приказ ФСБ и метод рекомендации от 2015 года).
Если остался вопрос как проводить оценку эффективности принятых мер в ИСПДн, то на это вам четко отвечает приведенное мной ранее информационной сообщение ФСТЭК №240/22/2637 от 15.07.2013:
В соответствии с пунктом 6 Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. При этом Составом и содержанием мер, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. N 21, форма оценки эффективности, а также форма и содержание документов, разрабатываемых по результатам (в процессе) оценки, не установлены.
Таким образом, решение по форме оценки эффективности и документов, разрабатываемых по результатам (в процессе) оценки эффективности, принимается оператором самостоятельно и (или) по соглашению с лицом, привлекаемым для проведения оценки эффективности реализованных мер по обеспечению безопасности персональных данных.
Многие считают, что криптография обязательна для любых ИСПДн. На самом деле использовать их нужно лишь в случае, если оператор не видит для себя иных мер защиты, кроме как применение криптографии.
Что если я «вижу другие меры защиты», а для реального спокойствия пользователей и своей компании вместо «криптографии» использую «кодирование данных», а в качестве кодека в дополнении к какому-нибудь Deflate использую неизвестные в трёхбуквенной конторе слова Chacha20Poly1305 и им подобные? Будут ли какие-нибудь придирки со стороны регулятора?
Использование СКЗИ для обеспечения безопасности персональных данных необходимо в следующих случаях:
— если персональные данные подлежат криптографической защите в соответствии с законодательством Российской Федерации;
— если в информационной системе существуют угрозы, которые могут быть нейтрализованы только с помощью СКЗИ.
К случаям, когда угрозы могут быть нейтрализованы только с помощью СКЗИ, относятся:
— передача персональных данных по каналам связи, не защищенным от перехвата нарушителем передаваемой по ним информации или от несанкционированных воздействий на эту информацию (например, при передаче персональных данных по информационно-телекоммуникационным сетям общего пользования);
— хранение персональных данных на носителях информации, несанкционированный доступ к которым со стороны нарушителя не может быть исключен с помощью некриптографических методов и способов.
Там же:
— для обеспечения безопасности персональных данных при их обработке в ИСПДн должны использоваться СКЗИ, прошедшие в установленном порядке процедуру оценки соответствия. Перечень СКЗИ, сертифицированных ФСБ России, опубликован на официальном сайте
Центра по лицензированию, сертификации и защите государственной тайны ФСБ России (www.clsz.fsb.ru).
По п.10:
В этом случае в ходе разработки системы защиты персональных данных должно быть проведено обоснование применения компенсирующих мер для обеспечения безопасности персональных данных.
Достаточно ли будет обоснованием «я художник, я так вижу» или «мы используем СКЗИ, входящие в состав ОС Android/iOS на устройстве, сертифицированном для продажи в РФ»?
Встречались ли подобные обоснования в вашей практике, кто-нибудь их делал в живую?
Вопрос совсем не праздный, например, знаю одну команду, которая делала мобильное приложение для коллекторов-выбивал одного большого банка, в котором коллектор видит много информации о клиентах банка, как минимум, ФИО и домашний адрес. Сильно им может прилететь, и как защищаться от регуляторов в подобном случае?
передачу (распространение, предоставление, доступ)
Со всеми вытекающими?
- Банк — оператор
- Коллекторы — контрагенты и в своем роде тоже оператор
- Ребята программисты — просто поставщики ПО (если другое отдельно не прописано).
Как будет происходить взаимодействие банка с коллекторами, зависит от договоренностями последних, будь то ГОСТ крипта (VIPNet, Континент, КриптоПРО), СЗИ от НСД и т.д. Соответственно и ответственность ложится на них, а ребята программисты могут только подстраиваться под требования (встраивать крипту и т.д.).
P.S.
У банков есть свои требования окромя 21 приказа ФСТЭК
встраивать крипту
Правда? Сейчас реально есть что встраивать в Android-приложение из «сертифицированных СКЗИ»?
Лёгкий гуглинг «сертифицированный скзи android» показывает статьи не позднее 2013 года. Похоже, никому в реальности это не надо, хватает обычного TLS. Даже вон Госуслуги имеют сертификат Comodo и замечательно работают с алгоритмами RSA и AES, а ведь их ПО обрабатывает персональные данные миллионов жителей этой страны в используемых ими браузерах.
Правда? Сейчас реально есть что встраивать в Android-приложение из «сертифицированных СКЗИ»?
Не считая VPN клиентов типа Континент-АП или ViPNet Client на ум ничего не приходит. Но это не встраивать а навесное.
В реальности думаю что только компенсационными мерами как то зарываться.
Если хотите обойтись минимальными затратами, то начинайте с КоАП. Все, о чем в КоАП не упоминается — все лесом.
По заявлению нашего областного РКН: «Ну и что, что документ под названием „Политика по обработке персональных данных“ содержит курсовую по ЗАЩИТЕ данных. Документ есть, значит мы не можем предъявить никаких претензий.»
А вот полный комплекс мер по внедрению положений 152-ФЗ — вот это полная жопа. Я как-то попробовал это произвести в конторе до 10 работающих, где обработка внешних ПД ограничивалась договорами с ИП на создание сайтов и регистрацией доменных имен на физлиц. 20+ документов по работе плюс инструктажи, плюс раз в полгода пересматривать эти 200+ страниц бумаг для приведения в актуальное состояние. ЖОПА!!!
На мой взгляд, вы слишком вольно трактуете распоряжение Правительства. Вот цитата из вашей статьи:
Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
Если вы признаете этот тип угроз актуальным, значит вы свято верите в то, что агенты ЦРУ, МИ-6 или МОССАД разместили в операционной системе закладку, чтобы воровать персональные данные конкретных субъектов именно из ваших ИСПДн.
Вы трактуете "угрозы актуальны" как "владелец системы думает, что за ним охотится ЦРУ". Но закон так не работает. Ниже будет приведена методика определения актуальности угроз от ФСТЭК на основе 3 факторов: защищенности системы, вероятности угрозы и потенциального вреда от нее.
Для прояснения смысла "недокументированные возможности" и вероятности их наличия можно посмотреть Приказ председателя Гостехкомиссии РФ №114. Этот приказ устанавливает классификацию ПО СЗИ по уровню контроля отсутствия недокументированных возможностей, и нам имеет смысл рассмотреть самый низкий уровень — 4-й, требуемый для средств защиты конфиденциальной информации. Даже этот уровень требует проверки документации и статического анализа исходного кода ПО. Наличие этого документа не значит, что им надо руководствоваться при разработке ИСПДн, но намекает, что ваша трактовка неверная. Очевидно, в непроверенном ПО, скачанном из Интернета, мы не можем исключить возможное наличие недокументированных возможностей. Вопрос только в том, актуальны ли такие угрозы.
Также, приведу трактовку слова "актуальный" из словаря Ожегова:
АКТУАЛЬНЫЙ, -ая, -ое; -лен, -льна. Важный, существенный для настоящего момента. Актуальная тема. || сущ. актуальность, -и, ж.
Теперь давайте попробуем разобраться, как Постановление 1119 требует проверять актуальность угроз:
6. Под актуальными угрозами безопасности… понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа…
7. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных", и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных".
Тут написано, что оператор сам должен произвести оценку с учетом возможного вреда в соответствии с нормативными актами. Давайте посмотрим ч. 5 ст. 19, что это за акты:
5. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые "акты", в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.
Тут явно написано: органы власти определяет, что считать актуальным, в том числе по отдельным отраслям деятельности. Есть еще ч. 6:
6. Наряду с угрозами безопасности персональных данных, определенных в нормативных правовых актах, принятых в соответствии с частью 5 настоящей статьи, ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных,...
В качестве примера такого акта я нашел "МЕТОДИКА
ОПРЕДЕЛЕНИЯ АКТУАЛЬНЫХ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ" от ФСТЭК. Вот цитаты из нее:
Методика предназначена для…
ИСПДн, создаваемых и (или) эксплуатируемых предприятиями, организациями и учреждениями…
ИСПДн, создаваемых и используемых физическими лицами…
…
Выявление угроз НСД к ПДн, реализуемых с применением программных и программно-аппаратных средств, осуществляется на основе экспертного метода, в том числе путем опроса специалистов, персонала ИСПДн, должностных лиц, при этом могут использоваться специальные инструментальные средства (сетевые сканеры) для подтверждения наличия
и выявления уязвимостей программного и аппаратного обеспечения ИСПДн. Для проведения опроса составляются специальные опросные листы.
Наличие источника угрозы и уязвимого звена, которое может быть использовано для реализации угрозы, свидетельствует о наличии данной угрозы. Формируя на основе опроса перечень источников угроз ПДн, на основе опроса и сетевого сканирования перечень уязвимых звеньев ИСПДн, а также по данным обследования ИСПДн – перечень технических каналов утечки информации, определяются условия существования в ИСПДн угроз безопасности информации и составляется их полный перечень. На основании этого перечня в соответствии с описанным ниже порядком формируется перечень актуальных угроз безопасности ПДн.
2. Порядок определения актуальных угроз безопасности персональных данных в информационных системах персональных данных
Актуальной считается угроза, которая может быть реализована в ИСПДн и представляет опасность для ПДн. Подход к составлению перечня актуальных угроз состоит в следующем. Для оценки возможности реализации угрозы применяются два показателя: уровень исходной защищенности ИСПДн и частота (вероятность) реализации рассматриваемой угрозы.
Под уровнем исходной защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн, приведенных в таблице 1.
Далее там идет таблица, где например для свойства "ИСПДн, имеющая одноточечный выход в сеть общего пользования;" стоит уровень защищенности "средний". Для свойства "есть модификация, передача данных" уровень "низкий". Для свойства "ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн)" — "низкий". Вероятность угроз и возможный вред определяются "вербально" некими "экспертами" из 3 факторов: защищенности системы (для систем с выходом в Интернет и широким доступом уровень может быть невысоким), вероятности угрозы и потенциального вреда субъектам ПДн от них.
В общем, оператор по идее должен заполнять все эти опросные листы, и рассчитывать актуальность угроз по данной методике. А не потому, что ему "кажется, что за ним не охотится Моссад". Сами понимаете, в такой ситуации все операторы ПДн будут выбирать самый простой для них уровень.
Также, в ч.7 ст. 19 Закона о ПДн написано, что правовые акты из ч.5 и 6 в любом случае должны утверждаться ФСБ. Потому, давайте почитаем "рекомендации ФСБ" по разработке таких актов. Эти рекомендации тоже интересно почитать:
2. Определение актуальности использования СКЗИ для обеспечения безопасности персональных данных
Использование СКЗИ для обеспечения безопасности персональных данных необходимо в следующих случаях:
…
- если в информационной системе существуют угрозы, которые могут быть нейтрализованы только с помощью СКЗИ.
…
К случаям, когда угрозы могут быть нейтрализованы только с помощью СКЗИ, относятся:
…
- передача персональных данных по каналам связи, не защищенным от перехвата нарушителем передаваемой по ним информации или от несанкционированных воздействий на эту информацию (например, при передаче персональных данных по информационно-телекоммуникационным сетям общего пользования);
По моему, написано недвусмысленно. Передаете перс. данные в Интернете — используйте СКЗИ. А ниже есть и про то, какие СКЗИ надо использовать:
При этом необходимо учитывать следующее:
…
для обеспечения безопасности персональных данных при их обработке в ИСПДн должны использоваться СКЗИ, прошедшие в установленном порядке процедуру оценки соответствия
Получается:
- ФСБ в рекомендациях по разработке НПА требует использовать сертифицированные СКЗИ для защиты данных при передаче в Интернете
- однако, я пока не видел написанные на основе этих рекомендаций акты, которые бы включали это требование. Возможно, оно пока есть только в рекомендациях.
- ФСТЭК сделал методику определения актуальности угроз, которой надо руководствоваться и пояснил смысл слова "актуальные угрозы"
- наши законодатели, конечно, мастера в написании запутанных текстов и бумагомарании, а также в невыполнении своих же требований. Госуслуги разве используют сертифицированные СКЗИ для передачи данных в Интернете?
Цель 152-ФЗ – защитить персональные данные граждан, а не обобрать российский бизнес. Я ничего не имею против СЗИ от НСД, прошедших контроль НДВ, но давайте все же применять их там, где это действительно нужно, т.е. в ГИС, КИИ (не всех), ГТ. Какой-нибудь ИП Иванов и так с трудом платит налоги, оплачивает лицензии ОС и прикладного софта, не стоит доводить его бизнес до банкротства во имя 152-ФЗ. А еще я верю в то, что регуляторы написали свои документы (а точнее внесли позже в них правки), чтобы сделать требования хоть как-то выполнимыми.
И про СКЗИ чуть-чуть: AES ничуть не хуже ГОСТ, а западные вендоры давно умеют ускорять работу крипты. Если канал 10 Гб/с, и по нему передаются ПДн, то наличие AES всяко лучше, чем ничего. Отечественные СКЗИ очень дорогие, за них заплатит – конечный потребитель услуг. Если по каналам связи передается гостайна, то защита отечественными криптоалгоритмами оправдана.
Реальность: если вы не собираете анализы
А если собираем и обрабатываем, но мало, в год может тысяч пять, то можно рассчитывать на УЗ-3? Данные анализов идут на бумаге.
Возьмем например asa 5516x. Для это железки есть декларация соответствия
ТР ТС 004/2011 «О безопасности низковольтного оборудования»;
ТР ТС 020/2011 «Электромагнитная совместимость технических средств»
Разве этого достаточно?
Мифы о 152-ФЗ, которые могут дорого обойтись оператору персональных данных