 |
|
 |
|
Черкасс Юрий Владимирович (ЗАО «Рэйнвокс»)
Конечно, можно долго обсуждать достоинства или недостатки 152-го ФЗ о ПД. На мой взгляд, там много непонятных и противоречивых положений, но, тем не менее, закон этот действительно нужен, чтобы положить конец беспределу и безответственности. Необходимо государственное регулирование этой сферы. Какие-то проверки Роскомнадзор осуществляет, какие-то решения суды выносят, тем не менее, общаясь с нашими клиентами, общаясь с потенциальными заказчиками, мы видим два лагеря - одни говорят, что все плохо, другие – что все хорошо. Наверное, каждая организация, каждая компания решает для себя индивидуально: будет она выполнять требования Закона или наших регуляторов в области технической защиты (ФСТЭК и ФСБ) или будет уповать на то, что, например, документы ФСТЭКа в Минюсте до сих пор не зарегистрированы, в СМИ они не появлялись, а «потому мы их выполнять не должны».
Теперь о рисках.
Неисполнение Закона чревато серьезными рисками. Гражданско-правовыми исками со стороны клиентов и сотрудников сейчас мало кого удивишь, пострадать в нашей стране более, чем на 2 тысячи рублей маловероятно, если не причинен существенный вред здоровью.
Есть еще и репутационные риски. Здесь многое зависит от того, насколько крупная компания подвергается рискам, эти риски могут быть выражены в денежном эквиваленте.
Принудительное приостановление и прекращение обработки персональных данных.
Если крупный банк, то вряд ли он этого испугается. Это я говорю по опыту собственного общения с представителями банковской сферы. То же самое могу сказать и о крупном операторе связи. Не думаю, что наших «трех китов» лишат лицензии, если произойдет очередная утечка. Пожурить, наверно, пожурят. И достаточно сильно. Но лицензии не лишат. Все-таки их работу не остановить.
Привлечение компаний и руководителей к административной и другим видам ответственности, предусмотренной нашим законодательством. Здесь могут быть различные штрафы, вплоть до увольнения. Нарушения установленных Законом правил сбора и хранения, нарушения неприкосновенности частной жизни - далеко не весь перечень норм законодательства, за нарушение которых сегодня предусмотрена ответственность. Если не ошибаюсь, максимальный штраф на сегодня – это 500 000 рублей для юридического лица. А также увольнения и/или запрет занимать определенную должность, отзыв лицензии и т.д.
Насколько чувствителен штраф в полмиллиона рублей для крупной компании… не знаю, тут риск каждый для себя оценивает сам. Хотелось бы привести аналогию с европейским законодательством, на которое многие уповают. Говорят, что в Европе все хорошо, они защиту информации строят, исходя из оценки ущерба и оценки риска информационных утечек. Это мировая практика – и европейская, и американская. В США за сокрытие факта утечки базы данных – уголовная ответственность, а в Европе – штраф до полумиллиона евро. Вот здесь стоит задуматься. Если бы у нас были такие штрафы, тогда можно было бы не прибегать к жесткому техническому регулированию защиты ПД, а действительно давить штрафами, тогда бы руководители организаций задумались – может, мне проще 300 тысяч на защиту потратить, чем 500 тысяч на штрафы.
Несколько слов об обязанностях по защите информации. Хочу остановиться на пункте 17 Закона, соответственно которому ответственность за защиту возлагается на разработчика. Здесь возникает вопрос о сертификации. Многие говорят, что нас обязывают использовать сертифицированные средства защиты. Мы как компания, которая занимается технической защитой, прекрасно понимаем, что полностью поменять существующий парк вычислительной техники на сертифицированный не каждая компания в состоянии. Изучая международные положения, нормы, стандарты по информационной безопасности, находим, что практически везде присутствует пункт о том, что производитель средств защиты информации должен гарантировать отсутствие в них различных угроз или уязвимости типа Бэкдор (backdoor), говоря языком наших регуляторов - не декларированных возможностей. При этом должна быть еще и соответствующая техническая документация к этим средствам защиты. Это нормальная международная практика.
В чем заключаются обязанности оператора? Начинать надо с определения перечня персональных данных, которые есть в компании. Затем в соответствии с приказом определяются категория персональных данных и цель их обработки, т.е. мы должны понять и локализовать, где эти персональные данные у нас обрабатываются. Необходимо направить уведомление в уполномоченный орган. Сроки давно истекли, но до сих пор очень многие операторы уведомление не направили. Пока это никак не карается, и будет ли караться в будущем, тоже сказать не могу. После этого надо крупными мазками разработать систему защиты ПД, подготовить документы, регламентирующие обработку ПД. Реализовать требования по инженерной защите помещения и провести аттестацию, когда это необходимо.
Можно выделить два направления работы – организационно-правовое и техническое. Если с организационно-правовым направлением все более или менее понятно, то к техническому претензий очень много, так как документы ФСТЭК по сей день являются закрытыми. Нам говорят, что региональные представительства Федеральной службы по техническому и экспортному контролю готовы их предоставить по запросу, но в открытом доступе на сегодняшний день их нет. В отличие от документов ФСБ, которые уже давно опубликованы.
Организационно-правовое направление - это выявление наличия или отсутствия признаков работы с ПД, определение, какая информация относится к ПД, формирование перечня информационных систем ПД, - то есть все действия по локализации информационной системы.
Разработка и совершенствование существующей нормативной базы. Трудовые договора с соответствующими пунктами, положения и инструкции - это нормальная практика по защите той коммерческой тайны. И ничего нового защита ПД с точки зрения внутренней нормативной базы не вносит.
Выявление наличия рисков – это анализ нормативной базы, регламентирующей деятельность предприятия, анализ функциональной структуры, анализ взаимодействия с внешними организациями. Немаловажно, что зачастую в отношениях с внешними организациями, такими как пенсионный фонд, налоговая служба, системы типа «клиент-банк» и другими, с которыми осуществляется передача и обмен ПД, очень остро встает вопрос разграничения ответственности. Мы, полагаясь на русское «авось», думаем, что пока не случилось – ну и ладно. А когда случится, долго будем искать – кто виноват, вы или банк, вы или кредитное бюро, вы или коллекторное агентство, откуда утечка произошла.
Формирование перечня информации, относимой к ПД. Вопрос сложный и зачастую требующий согласований и оснований. Паспортные данные – это данные второй или третьей категории? С одной стороны, паспорт это документ, который позволяет однозначно идентифицировать личность. Он для этого и предназначен. С другой стороны, там есть прописка, может стоять штамп с группой крови. Здесь надо подходить с позиции здравого смысла. Если мы общаемся на фуршете и обмениваемся визитками, то абсурдно спрашивать разрешение. У каждого из нас есть мобильный телефон, у меня там более 200 записей, причем с э-мейлами, домашними адресами, днями рождения и т.д. Брать согласие в каждом случае – это же абсурд.
Выявление способов обработки ПД по классификации с использованием и без использования средств автоматизации. Принципиально разные подходы к защите. Без использования средств автоматизации – это, по сути говоря, обеспечение безопасности съемных носителей данных, бумажных носителей, флешек, съемных жестких дисков.
Выявление особенностей обработки. Та же самая локализация по подразделениям: одно подразделение, отдельный компьютер, распределенная какая-то система. Естественно, исследование возможности снижения категории. Почему выделили этот пункт? Зачастую обрабатывается излишняя информация. В одной компании, например, есть поле записи «национальность». На вопрос, нужна ли она для работы, говорят – нет. Так уберите и снижайте категорию. В некоторых организациях строго определено, к примеру, содействие оперативно-розыскным мероприятиям. Там четко перечислено, что должно предоставляться в рамках содействия, какая информация должна храниться и предоставляться.
Формирование перечня информационных систем. Есть кадровые системы, есть бухгалтерские системы, другие системы.
Определение состава и структуры каждой информационной системы ПД и технических особенностей ее построения. Состав и структура программного обеспечения, технические средства обработки, топология. Здесь мы делаем акцент на техническую защиту, при проверке все должно быть задокументировано.
Определение состава и структуры взаимодействия с внешними структурами. Это то, что я уже перечислял – коллекторские агентства, Центробанк, кредитные бюро и т.д. в зависимости от сферы бизнеса.
Разработка и совершенствование существующей нормативно-правовой базы организации.
Это административно-распределительные документы предприятия, нацеленные на организацию работы.
Положения об обработке ПД. Это, наверное, самый верхнеуровневый документ, который должен быть в компании, независимо от количества информационных систем ПД, подразделений и т.д.
Инструкция о порядке обработки ПД с использованием средств автоматизации и без использования таковых.
Должностные инструкции для персонала, который выполняет обработку, соглашения и т.д.
Вообще говоря, анализ всех постановлений правительства, нормативных документов ФСТЭКа и ФСБ - это порядка 30 документов, с криптографией еще больше. Начиная от верхнеуровнего и заканчивая журналом учета носителей информации, которые должны быть в организации.
Техническое направление работ. Выявление уязвимых звеньев и возможных угроз безопасности, разработка концептуальных документов (т.е. каким образом мы вообще собираемся защищать), разработка новой или существующей нормативной базы и организация работы с ПД в рамках модернизации (если она существует), разработка новой системы обработки ПД.
Порядок классификации систем. Первичная классификация. Есть информация и оператор. Мы классифицировали, что это система ПД по признакам: ФИО, ИНН, возможно, национальность, расовая принадлежность.
Определение характеристик. Т.е. мы определили их объем, и к какой категории они относятся. И затем первичная классификация, т.е. что это у нас такое – система с использованием средств автоматизации или без использования. С выходом осенью прошлого года постановления правительства о неавтоматизированной обработке, очень много было радостных восклицаний – «Ура, нам ничего делать не надо!». Но если взять международные законодательства, например, Директивы Евросоюза, то там автоматизированной обработкой считается обработка, выполняемая полностью или частично с использованием средств автоматизации. Настольный компьютер – это средство автоматизации, поэтому та формулировка, которая дана в постановлении правительства, вызывает у меня лично некоторое недоумение, я ее не понимаю.
Характеристики безопасности персональных данных. Основные – конфиденциальность, целостность, доступность; дополнительные – учетность, аутентичность, адекватность.
Все системы обработки с использованием средств автоматизации делятся на типовые информационные системы (по классификации ФСТЭК) и специальные. Также отдельно выделены информационные системы обработки ПД по требованиям ФСБ, потому что в компетенции ФСБ находится криптографическая защита (а техническая защита - в ведении ФСТЭК).
Порядок классификации. Достаточно грустная картина, потому что практически все системы попадают в первый и второй класс. Я имею в виду более-менее крупные компании, а не кадровую службу в организации, где работают 30 сотрудников. Поэтому защита типовых систем, учитывая жесткость предъявляемых требований и отсутствие некоторой гибкости в этих требованиях, является не самым оптимальным способом защиты.
Типовая система. Алгоритм – есть требование ФСТЭКа, классифицировали, присвоили класс 1, 2, 3 или 4 (напомню – это общедоступные ПД, или обезличенные, или вообще не ПД – социальные сети), выбор меры и средств защиты (за нас уже выбрали ФСТЭК и ФСБ, все четко, по каждому типу).
Что такое «специальная система»? Информационная система относится к классу «специальная», если помимо требований конфиденциальности к ней предъявляется любое другое требование. Например, целостность или доступность. По нашему мнению 99% систем относится к классу специальных. Классический подход к обеспечению безопасности – это всегда треугольник: конфиденциальность, целостность, доступность.
Да, бывают ситуации, когда какую-то одну из этих характеристик не обязательно обеспечивать. Но это случается редко. Второе - информационные системы, в которых находятся данные по состоянию здоровья. Это более всего касается медицинских учреждений. И третье - это информационная система, которая подлежит принятию исключительно на основании автоматизированной обработки, влекущей за собой юридические последствия и т.д. Системы, которые представлены в третьем пункте, автоматически попадают в разряд «специальных». Хотя, честно говоря, если это система относится к третьему пункту, то там помимо конфиденциальности еще требуются целостность и доступность.
О конфиденциальных системах. Здесь есть некоторая гибкость. Т.е. существуют требования по защите ПД, но требования эти предъявляются на основании определения актуальных угроз. Т.е. если вы относите систему к разряду типовой, то вы на батарее должны будете ставить вибро-датчики. Так обязывает ФСТЭК. Хотя надо понимать, что иностранные спецслужбы вряд ли захотят узнать данные по вашим сотрудникам, сотрудникам вашей компании. Даже базы данных абонентов федерального уровня сотовой связи продаются, спецслужбы за этим охотиться не будут. Базы выносятся изнутри, с батареи их точно не снимают. Тем не менее, требования есть. Поэтому данный подход является более гибким. Т.е. вы говорите, что эта угроза для вас действительно не актуальна. Если в случае проверки вы документируете, что угроза утечки по вибро аккустичекому каналу для вас неактуальна, я не думаю, что вам скажут, что вы неправы, что для вас это актуально, покупайте и ставьте средства защиты. Главное, все документировать и аргументировать.
Далее - разработка специальных требований и выбор мер и средств защиты. В чем «плюс» этого подхода – выбор мер и средств защиты осуществляете вы и осуществляете в соответствии с определенными вами актуальными угрозами, т.е. защищаетесь вы только от того, что действительно актуально.
Выявление уязвимых звеньев – следующий шаг. Опять же при определении актуальности угроз вы оцениваете возможность физического доступа, каналы утечки, возможность электромагнитного излучения, заражения вирусами и т.д. Естественно, это всегда индивидуально, понятно, что информационные системы у всех разные.
Оценка ущерба. Если ущерб у вас будет на 5 рублей, а защита стоит 5 млн. рублей - наверное, это нецелесообразно. Здесь бы хотелось вспомнить концепцию 1992 года по обеспечению безопасности, где говорится, что средства защиты не должны существенно снижать функциональность информационной системы потому, что «навесить» можно столько, что она просто работать не будет.
Анализ имеющихся в распоряжении средств защиты. Здесь хочу отметить, что тоже есть много негативных отзывов. В операционной системе есть штатные средства защиты. Ввод пароля – это тоже средство защиты, если вы правильно настроили парольную политику, то выполняете требования наших регуляторов. Контроль целостности можно осуществлять также штатными средствами баз данных, просто должно быть включено логирование. Ничего дополнительно закупать не надо, достаточно правильно настроить существующую систему.
Следующий шаг - формирование требований, их обоснование в случае необходимости использования криптологической защиты. Здесь часто задают вопрос – всегда ли мы должны использовать сертифицированные средства криптологической защиты? Ответ – не всегда.
Обоснование требований при взаимодействии с внешними организациями. Здесь важен вопрос разграничения ответственности в случае чего.
Разработка концептуальных документов. Формирование требований по обеспечению безопасности ПД. Проведение оценки актуальных угроз (в рамках разработки модели угроз), разработка модели нарушителей, исследование возможностей оптимизации требований к информационной системе. Проанализировав угрозы, вы можете решать, как сократить перечень актуальных угроз. Возможно, это потребует незначительных изменений в вашей информационной системе, но при этом будет большая экономия: угроза переходит в разряд неактуальных и перечень требований к обеспечению безопасности сокращается.
Автоматизированная система по требованию ФСБ. Обязательна разработка модели нарушителей угроз. На основании этой модели выбирается класс средств криптографической защиты, ее уровень. Хочу пояснить – их шесть классов, шестой – это когда вы предполагаете, что ваши ПД представляют интерес для иностранных спецслужб.
Обоснование требований по обеспечению безопасности. Определение целесообразности использования криптосредств, о чем мы уже говорили. Не всегда это целесообразно. Вы можете не использовать криптографические средства, потому, что они вам не нужны. И тем самым не закупать дорогостоящие средства защиты.
Определение требуемого уровня технической защиты, утечки по техническим каналам и т.д., на которых реализованы криптосредства. Дело в том, что средства вычислительной техники, на которых реализуются криптографические средства защиты, тоже должны быть защищены от несанкционированного доступа, а это уже входит в ведение ФСТЭК.
Система без обработки. Здесь мы имеем больший опыт. Это и архивное делопроизводство, и сейфы элементарные, и журналы учета носителей.
Тот принцип, который пропагандирует наша компания, это принцип отраслевых стандартов. Т.е. базовые модели верхнего уровня, которые разработаны у наших регуляторов, некая прослойка отраслевой модели, где оговорен состав ПД (для разных отраслей они разные), предметные риски (для каждой отрасли они свои, например, в банках они одни, в «Телекоме» - другие, в медицинской сфере – третьи), и классы специальных информационных систем. Т.е. некий внутренний классификатор сделан. А дальше уже на основании отраслевых неких моделей, неких классификаторов - определение тех мероприятий и требований к технической защите, которые будут реализованы в частной компании.
Организации работы с ПД в компании позволит оптимизировать бизнес-процессы, снизить категорию, а как следствие, и класс, снизить трудозатраты сотрудников, нормативно закрепить основы обработки в компании, сократить жалобы и обращения граждан, проходить проверки (попросили у вас документацию – да, пожалуйста, все есть - положения, инструкции, смотрите, проверяйте, система документирована).
Итак, что делать конкретной компании по шагам?
Разработка концептуальных документов. Кроме последнего пункта – экономического обоснования системы – документ этот не является обязательным с точки зрения руководителя организации, но является обязательным с точки зрения ответственного за безопасность ПД, потому что ему бюджет нужно обосновать перед руководителем. Поэтому здесь мы его включили.
Разработка и совершенствование нормативной базы. Здесь подробно останавливаться не буду, более 30 документов, включая различные журналы. Это задача, реализуемая внутренними силами, не такие большие документы.
И организация – непосредственно техническая часть. Кроме модернизации системы, возможно внедрение новых систем и настройка существующих, разработка эксплуатационной документации - обязательно, потому что если Роскомнадзор проверяет верхнеуровневые документы, то ФСТЭК и ФСБ будут проверять именно техническую эксплуатационную документацию. Проведение мероприятий по получению лицензий, если необходимо. Необходимо не всегда. Ну и так далее, заканчивая аттестацией, которая тоже не всегда необходима в зависимости от класса системы.
Баяндин
Два вопроса. Первый. По вашему мнению, кто на предприятии будет заниматься защитой ПД, секьюрити? Или какие-то надо создавать специальные подразделения, особенно в организациях, где раньше никогда не занимались информационной безопасностью - институтах, школах, детских садах и т.д.? Т.е. сразу потребуется расширение штата, подготовка специалистов, оснащение техникой. И второй вопрос. Вы сказали об отраслевой нормативной документации. Это очень правильная мысль. В банковской сфере все понятно – есть Центробанк, который выпускает документацию, а в других сферах, на кого это должно лечь и как это организовать?
Черкасс
По первому вопросу. Действительно, со школами, государственными и медицинскими учреждениями ситуация тяжелая, потому что в штате таких специалистов нет. Действительно, в соответствии с законодательством, необходимо ответственное лицо за защиту ПД, назначенное внутренним приказом. Каким образом это реализовать – не знаю, затрудняюсь ответить.
Баяндин
Но для тех, кто работает с информационной безопасностью, проблем-то особых нет.
Черкасс
Опять же, если взять компании, где есть IT специалисты, но нет отдельных подразделений информационной безопасности, то нормально, когда ответственность возлагается на IT службы. У меня есть информация, однако подписываться под ней не буду, что во ФСТЭК направлено письмо с просьбой разработать инструкцию, которую можно было бы разослать по образовательным учреждениям. Чтобы они, по крайней мере, двигались в едином направлении и не наломали дров. Но насколько я знаю, из ФСТЭКа пока никакого ответа нет.
Иванов
Юрий Владимирович, я правильно понимаю, что школа или любая другая коммерческая или некоммерческая организация имеет право привлечь вас, специалистов сторонних, к обеспечению выполнения закона?
Черкасс
Имеет. Но где она деньги возьмет?
Иванов
В соответствии с законом оператор ПД не имеет право передавать защиту третьим лицам. Ведь вы мне настроили систему, вы ее поддерживаете, а, следовательно, априори имеете доступ к ним…
Черкасс
Но не знакомлюсь с ними, так же как ФСТЭК во время проверок не имеет право знакомиться с ПД. Т.е. я проверяю правильность эксплуатации средств защиты, их настройки, но я не лезу с саму базу.
|
вернуться назад
