Защитить нельзя держать в открытом доступе

Дмитрий
Беляев

Инженер 1-й категории ЗАО “Стратегия информационной безопасности"

Антон
Заволокин

Заместитель генерального директора ЗАО “Стратегия информационной безопасности"

Тенденции последних лет, наблюдаемые в Российской Федерации в области развития IT, законодательства в сфере ИБ и государственных программ по информатизации общества, все чаще говорят нам о том, что технический прогресс не стоит на месте и бумажные документы в большинстве своем теряют актуальность, а на смену им приходят документы в электронном виде, подписанные усиленной квалифицированной электронной подписью, равнозначные, в соответствии с п. 1 ст. 6 Федерального закона от 6.04.2011 г. № 63-ФЗ "Об электронной подписи".

Со стороны Правительства РФ все больше государственных услуг доступны в электронном виде с целью экономии времени и упрощения взаимодействия между гражданами и государством.

На данный момент представлены следующие электронные сервисы, где авторизация гражданина РФ и получение государственных услуг может проходить при помощи квалифицированной электронной подписи:

• портал государственных услуг РФ;
• личный кабинет налогоплательщика на сайте Федеральной налоговой службы;
• общероссийский официальный портал закупок;
• сервисы электронных торгов на федеральных и коммерческих торговых площадках;
• портал государственных услуг г. Москвы;
• портал Федеральной службы государственной регистрации, кадастра и картографии;
• другие электронные площадки федеральных государственных информационных систем, работающие через сервис авторизации ЕСИА, или корпоративные площадки, например, сервис технологического присоединения к электрическим сетям ОАО МОЭСК.

Согласно Ч. II п. 6 "Требований к форме квалифицированного сертификата ключа проверки электронной подписи", утвержденных приказом ФСБ России от 27.12.2011 г. № 795, квалифицированный сертификат должен содержать в том числе следующую информацию:

• фамилия, имя и отчество (если имеется) владельца квалифицированного сертификата – для физического лица;
• страховой номер индивидуального лицевого счета (далее – СНИЛС) владельца квалифицированного сертификата – для физического лица;
• ИНН (с 1.07.2015 г. – обязательное требование в соответствии с Федеральным законом от 28.06.2014 №184-ФЗ "О внесении изменений в ст. 14 и 17 Федерального закона "Об электронной подписи").

В соответствии с п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ перечисленная выше информация относится к персональным данным. Согласно "Перечню сведений конфиденциального характера", утвержденному указом Президента РФ от 06.03.1997 № 188, ПДн относятся к конфиденциальной информации, которая по российскому законодательству должна быть защищена оператором ПДн, которым в нашем случае является аккредитованный УЦ.

Согласно требованию Ч. III ст. 15 Федерального закона "Об электронной подписи" от 06.04.2011 № 63-ФЗ аккредитованные удостоверяющие центры обязаны обеспечивать любому лицу безвозмездный доступ с использованием информационно-телекоммуникационных сетей к выданным этим удостоверяющим центром квалифицированным сертификатам, содержащим ПДн клиента, и к актуальному списку аннулированных квалифицированных сертификатов в любое время в течение срока деятельности этого удостоверяющего центра, если иное не установлено федеральными законами.

И здесь встает ряд вопросов:

1. Как аккредитованному УЦ, с одной стороны, обеспечить защиту ПДн абонентов, с другой стороны, выполняя при этом требование Федерального закона "Об электронной подписи" от 06.04.2011 № 63-ФЗ по их обязательной публикации?
2. Какие действия должен предпринимать аккредитованный УЦ в случае отказа субъекта от публикации его ПДн?
3. По сути своей публикация квалифицированных сертификатов ключей проверки ЭП может обернуться публикацией клиентской базы, что может быть использовано конкурентами по бизнесу в своих целях.

Что же можно предложить в данной ситуации?

Начнем по порядку с первого вопроса о соблюдении требований по защите и публикации ПДн.

В соответствии с п. 1 ст. 8 Федерального закона "О персональных данных" от 27.07.2006 № 152-ФЗ можно в целях информационного обеспечения организовать общедоступный источник ПДн. В нем будут храниться ПДн, которые требуется включать в квалифицированные сертификаты ключа проверки ЭП.

В таком случае при оформлении документов на получение ЭП данные о клиенте могли бы получаться из общедоступного источника ПДн, что позволило бы считать сегмент информационной системы аккредитованного УЦ, содержащий сертификаты ключей проверки ЭП, системой, обрабатывающей общедоступные ПДн согласно п. 5 "Требований к защите персональных данных при их обработке в информационных системах персональных данных", утвержденных постановлением Правительства РФ от 01.11.12 № 1119. Данный подход позволил бы избежать избыточных требований по обеспечению безопасности публикуемых ПДн.

Переходим ко второму вопросу. Как в случае использования общедоступных источников ПДн, так и без их использования данные субъекта могут обрабатываться оператором только с письменного согласия субъекта, оформленного оператором в соответствии с п. 4 ст. 9 Федерального закона "О персональных данных" от 27.07.2006 № 152-ФЗ. В нашем случае операторами могут являться как владельцы источников общедоступных ПДн, так и аккредитованные УЦ, на данный момент не использующие при оформлении ЭП источники общедоступных ПДн. При этом согласие субъекта на публикацию ПДн может быть отозвано согласно п. 2 ст. 8 Федерального закона "О персональных данных" от 27.07.2006 № 152-ФЗ.

А что же аккредитованный УЦ?

С одной стороны, ПДн должны быть удалены как из источника общедоступных данных, и, как следствие, квалифицированные сертификаты ЭП изымаются из публичного реестра действующих квалифицированных сертификатов проверки ЭП, что является нарушением требования Ч. III ст. 15 Федерального закона "Об электронной подписи" от 06.04.2011 № 63-ФЗ.

Является ли в данном случае отзыв согласия субъекта на публикацию ПДн поводом для отзыва квалифицированного сертификата ЭП и прекращения действия ЭП данного субъекта? Законодательство, увы, ответа на данный вопрос не дает, отдавая его решение на откуп аккредитованным УЦ.

Меры защиты публикуемых сертификатов ключа проверки ЭП

Ч. III ст. 16 Федерального закона "Об информации, информационных технологиях и о защите информации" от 27.07.2006 № 149-ФЗ предусматривает возможность устанавливать требования о защите общедоступной информации, что дает аккредитованным УЦ возможность принимать меры по нейтрализации угрозы утечки клиентской базы конкурентам.

В этом случае можно предложить следующие решения:

• организация процесса выдачи временного пароля по запросу клиента с ссылкой на доступ к закрытой части сайта, где хранится база данных квалифицированных сертификатов;
• временный пароль и ссылка могут быть отправлены как на телефон клиента в виде sms-сообщения, так и на e-mail, привязанный к ЭП;
• возможность входа с помощью ЭП;
• присвоение клиенту id-номера на сайте, привязанного к серийному номеру его сертификата, в случае если имеется ЭП;
• ввод ограничений на количество запрашиваемых сведений по квалифицированным сертификатам и на время, в течение которого можно будет запросить повторно данные сведения.

Подводя итог

Следует отметить, что поднятые в данной статье вопросы требуют пояснений и доработок в законодательстве со стороны регулирующих органов и для полноценной работы аккредитованных удостоверяющих центров, и для защиты своих прав субъектам, приобретающим ЭП, эти поправки окажутся весьма востребованными. Мы же со своей стороны в данной статье хотели озвучить проблемные вопросы и обозначить направления их решения. Надеемся, что наши рекомендации окажутся полезными для всех заинтересованных сторон.