Запрягали долго. Поедем ли быстро… Часть 2

Запрягали долго. Поедем ли быстро...

(Часть 2)

Михаил Емельянников, заместитель коммерческого директора НИП "ИНФОРМЗАЩИТА"

За период после опубликования первой части данной статьи в регулировании защиты персональных данных (ПД) произошли значительные изменения. 13 февраля 2008 г. подписан совместный приказ ФСТЭК/ФСБ/Мин-информсвязи России №55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных (ИСПД)", заместителем руководителя ФСТЭК РФ утвержден пакет методических документов, детально описывающих требования к безопасности и содержание работ по технической защите персональных данных.

Таким образом, на вопрос: "Что делать для защиты персональных данных?" - ответ можно получить без проблем, изучив упомянутые документы.

Остается лишь оценить все "за" и "против" реализации установленных требований и возможные последствия их невыполнения.

Обеспечение безопасности персональных данных как управление рисками

Обратимся к классической методологии управления рисками. Выдвижение нормативных требований к обеспечению безопасности персональных данных, безусловно, увеличивает риски операторов (всех организаций и предприятий, обрабатывающих эти данные) и создает новые. Почему? Возрастают операционные и технологические риски. Использование механизмов безопасности, таких как предотвращение несанкционированного доступа, обязательное логирование всех запросов к ИСПД и фактов предоставления персональных данных по этим запросам, существенно увеличивает нагрузку на информационную систему, требует значительных ресурсов и снижает пропускную способность в целом. Таким образом, на обслуживание средств защиты информации будут уходить значительные ресурсы сети, которые необходимы для решения собственно прикладных задач. Проще говоря, информация будет обрабатываться медленнее, ее доступность отнюдь не повысится, неизбежные сбои в системе безопасности (как и в любой другой системе) добавятся к имеющимся проблемам функционирования информационной системы в целом.

Еще большую проблему составят вновь возникающие риски - государственные и правовые. Под государственными будем понимать риски применения санкций к оператору со стороны органов государственной власти, оказывающих существенное воздействие на основную деятельность оператора, то есть на его основной бизнес. К правовым рискам в данном случае относятся риски несоответствия требованиям законодательства и предъявления различного рода исков, снижающих как репутацию компании, так и ее финансовые показатели в случае их удовлетворения.

С вступлением в силу ФЗ "О персональных данных" должна начать функционировать государственная система контроля и надзора за их обработкой, включающая в себя уполномоченный орган по защите прав субъектов - Россвязьохранкуль-туру, федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, - ФСБ и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, - ФСТЭК. Учитывая, что в определении порядка классификации ИСПД активное участие приняло и Мин-информсвязи России, можно ожидать, что какие-то контрольные функции появятся и у него.

Представители Россвязьохран-культуры уже не раз публично заявляли, что там готовится специальное положение о порядке организации контроля и надзора. Каждое из этих ведомств будет иметь свои планы контроля, свои требования к его проведению, так что к имеющемуся списку контролеров для многих организаций добавятся новые. Обладатели ИСПД первого и второго класса, а также распределенных сетей третьего класса должны будут получить лицензию ФСТЭК на техническую защиту конфиденциальной информации. Упорно муссируются слухи о включении требований по обеспечению безопасности обработки персональных данных в лицензионные требования на основные виды деятельности таких существенных операторов ПД, как телекоммуникационные компании, банки, страховые компании, организации, осуществляющие пассажиропе-ревозки и т.п. Это было бы вполне логичным развитием событий, потому что именно у них сосредотачивается огромное количество сведений о гражданах нашей страны, к тому же они осуществляют и трансграничную передачу ПД. Закон об изменениях в Кодекс об административных правонарушениях, ужесточающих ответственность за нарушения порядка обработки ПД, прошел в Государственной думе второе чтение. Растет правосознание граждан, постепенно понимающих возможность и перспективность взыскания ущерба с организаций, нарушающих их права.

Если все это вас не пугает, значит, вы готовы принять на себя осознанные и оцененные риски, считая, что реализация требований к безопасности обойдется дороже, чем выполнение мероприятий по снижению или перекладыванию таких рисков (например, на аутсорсера, который мог бы взять на себя обязанности по технической защите ПД, имея необходимые лицензии ФСТЭК и ФСБ, технический и кадровый потенциал для этого, а также соответствующий опыт и знания).

Готовимся к работам по технической защите

Что же надо сделать в случае, если вы решили строить систему обеспечения безопасности обработки ПД?

Для начала напомню этапы действий, о которых говорилось в первой части статьи. Необходимо выявить все имеющиеся ИСПД, которых окажется, скорее всего, на удивление много. Затем убедиться в наличии правовых оснований для обработки ПД, если их недостаточно или они выглядят сомнительными, - получить согласие субъектов на обработку, что, скорее всего, будет непросто даже по техническим причинам (например, если вы собирали ПД с использованием Web-форм и без применения ЭЦП).

Затем необходимо определить круг лиц, которым действительно нужен доступ к этим сведениям, и документально закрепить его в виде списка, утвержденного руководителем.

Далее классифицировать ИСПД, используя методологию, определенную в уже упоминавшемся совместном приказе ФСТЭК/ФСБ/Мининформсвязи России, и оформить эту классификацию актом. Дело это может оказаться не таким простым, как кажется на первый взгляд. Методика, в соответствии с которой система классифицируется в зависимости от количества субъектов, чьи данные обрабатываются, и от типа обрабатываемых ПД, может оказаться неприменимой, если информационная система подпадает под категорию специальных. К этой категории относятся ИСПД, в которых, вне зависимости от необходимости обеспечения конфиденциальности персональных данных, требуется обеспечить хотя бы одну из характеристик безопасности, отличную от конфиденциальности. Сюда же попадают ИСПД, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов, и/или в которых предусмотрено принятие решений на основании исключительно автоматизированной обработки ПД, порождающих юридические последствия в отношении субъекта ПД или иным образом затрагивающих его права и законные интересы. Для таких специальных информационных систем класс определяется на основе модели угроз безопасности ПД в соответствии с методическими документами ФСТЭК.

Классификация ИСПД - процедура вовсе не формальная, так как в зависимости от класса системы будут определяться меры и способы обеспечения безопасности, существенно отличающиеся как по объему, так и по составу механизмов защиты, а следовательно, и по стоимости. Владельцы систем 1-го и 2-го класса, распределенных систем 3-го класса подпадают под обязательное лицензирование деятельности по технической защите. Средства защиты информации, используемые для обеспечения безопасности функционирования ИСПД, должны быть сертифицированы установленным порядком, а сами информационные системы 1-го и 2-го класса аттестованы по требованиям ФСТЭК или сертифицированы. В разработанных документах не говорится, на основании каких требований должна проходить такая сертификация, но, видимо, речь идет о ГОСТ Р ИСО/МЭК 15408, во всяком случае, о других сертификационных требованиях к безопасности информационных систем автору пока не известно. Сертификация по указанному стандарту предусматривает создание профиля защиты или отдельного задания по безопасности.

Содержание работ по обеспечению безопасности персональных данных

Проектирование и ввод в эксплуатацию подсистемы И Б персональных данных должны выполняться всеми операторами на этапе создания таких систем, а для уже существующих -все работы должны быть завершены до 1 января 2010 г. (срок предусмотрен законом).

Кроме создания подсистемы безопасности компьютерной сети, в которой обрабатываются ПД, необходимо принять целый ряд общережимных мер, обеспечивающих сохранность носителей ПД и средств защиты информации, а также исключающих возможность неконтролируемого проникновения или пребывания посторонних лиц в помещениях, где размещаются ИСПД и специальное оборудование и ведется работа с персональными данными. Обеспечение сохранности носителей, на которых ведется резервирование ПД, подразумевает наличие их учета. О резервировании упомянуто не случайно, поскольку среди прочих требований к безопасности есть и обеспечение возможности незамедлительного восстановления ПД после их модификации или уничтожения вследствие несанкционированного доступа, а сделать это без эффективной системы резервного копирования нельзя.

Для ряда ИСПД необходимо будет выполнить работы по предотвращению утечки ПД по различным техническим каналам, в том числе создающимся за счет побочных электромагнитных излучений и наводок.

Созданная система защиты ПД должна быть документально описана.

Помимо акта о классификации, модели угроз и описания системы защиты, необходимо будет разработать еще ряд нормативных документов, таких как положение (инструкция, руководство) о порядке обработки ПД, прямо предусмотренное главой 14 Трудового кодекса, заключения о возможности эксплуатации средств защиты персональных данных, "прописанные" в Постановлении Правительства № 781-2007 г. и др.

Заключение

Таким образом, деятельность по обеспечению безопасности ПД при их обработке видится весьма сложной, объемной и затратной. Значительной части операторов с ней справиться самостоятельно не удастся в силу отсутствия квалифицированных специалистов, необходимых знаний и опыта, да и просто лицензий на техническую защиту. В этих условиях значительно возрастает роль аутсорсинговых услуг, для чего необходимо уже сейчас продумывать состав передаваемых внешнему исполнителю работ, требования к таким исполнителям и содержание договоров на выполнение работ по технической защите ПД, включая обслуживание и техническую поддержку.