Речь все о тех же рекомендациях руководства страны по переводу работников предприятий (государственных и негосударственных) на удаленный режим в условиях пандемии.
Возможно ли организовать процесс работы с персональными данными (ПДн) в домашних условиях и что диктуют нам законодательство и технические требования?
На все эти вопросы мы постараемся ответить в этой статье.
Итак, согласно рекомендациям работодателю следует снабдить работника всем необходимым оснащением на период изоляции для эффективного выполнения поставленных задач. Что требуется при работе с ПДн?
Автоматизированное рабочее место, защищённое высокоскоростное бесперебойное соединение (об уровне защиты чуть позже), ключевой носитель (токен) и доступ к базе данных (БД) предприятия. Но так ли все просто на первый взгляд?
Согласно методическому документу ФСТЭК от 11 февраля 2014 г. :
«ЗНИ.3 КОНТРОЛЬ ПЕРЕМЕЩЕНИЯ МАШИННЫХ НОСИТЕЛЕЙ
ИНФОРМАЦИИ ЗА ПРЕДЕЛЫ КОНТРОЛИРУЕМОЙ ЗОНЫ
Требования к реализации ЗНИ.3:
— Оператором должен обеспечиваться контроль перемещения используемых в информационной системе машинных носителей информации за пределы контролируемой зоны.
— При контроле перемещения машинных носителей информации должны осуществляться:
1) определение должностных лиц, имеющих права на перемещение
машинных носителей информации за пределы контролируемой зоны;
2) предоставление права на перемещение машинных носителей информации
за пределы контролируемой зоны только тем лицам, которым оно необходимо
для выполнения своих должностных обязанностей (функции);
3) учет перемещаемых машинных носителей информации в соответствии с
ЗНИ.1;
4) периодическая проверка наличия машинных носителей информации.
Правила и процедуры контроля перемещения машинных носителей
информации регламентируются в организационно-распорядительных
документах оператора по защите информации.
Требования к усилению ЗНИ.3:
1) оператором информационной системы определяются задачи (виды
деятельности, функции), для решения которых необходимо перемещение
машинных носителей информации за пределы контролируемой зоны;
2) применение в соответствии с законодательством Российской
Федерации криптографических методов защиты информации, хранимой на
носителе, при перемещении машинных носителей информации за пределы
контролируемой зоны;
3) оператором определяется должностное лицо, ответственное за
перемещение машинных носителей информации;
4) оператором информационной системы осуществляется периодическая
проверка машинных носителей информации после их возврата в пределы
контролируемой зоны».
Представим, что у работника учреждения нет возможности осуществлять свою профессиональную деятельность в удаленном режиме на домашнем компьютере (или его вовсе нет). Работодатель в таком случае может предоставить рабочую станцию под личную ответственность.
Из данной выдержки следует, что законодательно вынос МНИ из учреждения законом разрешён и установлены правила контроля перемещения, предъявлены требования к статусу лица, осуществляющего перемещение и весь процесс обусловлен наличием конкретных задач.
Однако, выполнение пункта по периодической проверке наличия МНИ у сотрудника, находящегося в период пандемии в режиме самоизоляции, наталкивает на определённые размышления. Совершенно другой вопрос, как к этому отнесутся регуляторы в области обработки ПДн и защиты информации.
Следующим требованием к обеспечению процесса работы с ПДн является обеспечение доверенной загрузки средств вычислительной техники.
Согласно Приказу ФСТЭК №21 от 18 февраля 2013г.:
«УПД.17 Обеспечение доверенной загрузки средств вычислительной техники
В информационной системе персональных данных (ИСПДн) должно обеспечиваться исключение несанкционированного доступа к программным и (или) техническим ресурсам средства вычислительной техники ИСПДн на этапе его загрузки.
Доверенная загрузка должна обеспечивать:
— блокирование попыток несанкционированной загрузки нештатной операционной системы (среды) или недоступность информационных ресурсов для чтения или модификации в случае загрузки нештатной операционной системы;
— контроль доступа пользователей к процессу загрузки операционной системы;
— контроль целостности программного обеспечения и аппаратных компонентов средств вычислительной техники.
В ИСПДн применяется доверенная загрузка на разных уровнях (уровня базовой системы ввода-вывода, уровня платы расширения и уровня загрузочной записи).
Правила и процедуры обеспечения доверенной загрузки средств вычислительной техники регламентируются в организационно-распорядительных документах оператора персональных данных по защите персональных данных.
Требования к усилению УПД.17:
1) в ИСПДн должна осуществляться доверенная загрузка уровня базовой системы ввода-вывода или уровня платы расширения;
2) в ИСПДн должна осуществляться доверенная загрузка уровня базовой системы ввода-вывода или уровня платы расширения, реализованные на основе программно-аппаратного модуля;
3) в ИСПДн должна осуществляться доверенная загрузка программного обеспечения телекоммуникационного оборудования;..»
Следует понимать, что использование средств доверенной загрузки на бытовых компьютерах, разумеется, хоть и технически реализуемо, но не предусмотрено. При этом использование СДЗ предусмотрено на тех «машинах», к которым необходимо подключиться удаленно. Отсюда возникают вполне закономерные вопросы: кто в удалённом режиме должен давать «добро» на запуск и что делать, если произошёл сбой и требуется перезагрузка?
В таких случаях вариант лишь только один: основная «машина-станция» ставится в режим автозагрузки (который сам по себе является нарушением регламента создаёт определённые риски, которые мы немного погодя разберём).
Защиту от изменения системных файлов обеспечивает функция контроля целостности системы, к качеству которой ФСТЭК также предъявляет определённые требования в приказе №27 от 15 февраля 2017г.
Технически все эти требования в рамках проводимых мероприятий по переходу на «удаленку» реализовать можно. Но все эти технические организационные моменты отходят на второй план, когда мы начинаем искать ответ на вопрос: как минимизировать (а лучше не допустить) утечки обрабатываемой информации, в том числе и ПДн в подобных условиях.
Риски утечки несмотря на проводимые мероприятия в области защиты информации всегда были, есть и будут. Руководящие документы в области ЗИ достаточно четко описывают перечень организационных и технических мер по их минимизации и недопущению.
Как известно, дома и атмосфера домашняя… И работается легко, и стены помогают. Работая дома с ПДн легче, наверное, будет только одиночкам.
Разберем на простом примере:
Папа-работник удостоверяющего центра федерального финансового ведомства, осуществляющего обработку ПДн принес с работы свой компьютер. Хвастливый сын случайно подглядел скан паспорта министра, прокурора субъекта РФ или губернатора. Ну и сфотографировал друзьям показать. А теперь другой пример: представим пакетную выгрузку ПДн с целью сбыта итд
Объективная сторона преступления, рассматриваемого в ч. 1 и 2 ст. 137 УК РФ, описана альтернативно следующими действиями в отношении соответствующих сведений:
- Сбор.
- Распространение.
- Распространение специальным способом: в СМИ, публичном произведении или в выступлении.
Для привлечения к ответственности необходимо, чтобы эти действия совершались:
- незаконно (с любым нарушением процедуры, установленной законодательством);
- без согласия субъекта ПД.
Как правило, незаконному распространению ПД предшествует их сбор. Трактовка понятия «распространение» в уголовном законе более широкая, нежели в законе № 152-ФЗ. Так, согласно п. 5 ст. 3 закона № 152-ФЗ, распространением ПД является их раскрытие неопределенному кругу лиц. Для привлечения же к ответственности за разглашение ПД по ст. 137 УК РФ достаточно сообщить их хотя бы одному человеку.
Таким образом, обычная шалость и неосмотрительность может привести ко вполне себе печальным последствиям, как к уголовным, так и репутационным и прочим, как к работнику, так и к работодателю.
Резюмируя вышесказанное, следует сказать о том, что удаленный режим, несомненно, стимулирует работников и их окружение к совершению правонарушения, которые могут повлечь за собой последствия разного масштаба.
Кроме того, сложившаяся ситуация является сигналом для государства к проработке и созданию законодательного подспорья для регулирования работы с ПДн в удалённом режиме.