Защита персональных данных 2015: новые особенности.
Доброго дня, уважаемые читатели!
Сегодня я снова решил поднять тему работы с персональными данными, так как считаю, что далеко не все вопросы разъяснены ранее, да и нововведения в нашем динамичном законодательстве не заставляют себя долго ждать. Особенности действительно есть и их много. В частности, появился Приказ ФСТЭК №21 от 18.02.2013, появились очередные поправки в 152-ФЗ "О ПДн", ну и конечно, как следствие, снова встал вопрос о трактовке тех или иных требований нашей нормативной базы. Вышло обновлённое Постановление Правительства №313 от 16.04.2014. Всё это требует некоторого пересмотра имеющихся вглядов в соответствии с текущими позициями регуляторов на нашу нынешнюю действительность.
В частности, наиболее интересными являются вопросы:
- Нужно ли при защите ПДн получать лицензию ФСТЭК на деятельность по ТЗКИ?
- Нужно ли при защите ПДн использовать крипографию? И если да, то в каких случаях?
- Если криптография нужна, то обязана ли она быть сертифицированной?
- Что такое биометрические ПДн и как определить, есть ли биометрия у вас? Как от неё избавиться?
- Как снизить необходимый уровень защищённости ИСПДн и избавиться от ряда "ненужных требований" 21-го приказа?
Конечно, это отнюдь не полный перечень всего, но начнём, как говорится, с малого.
И начнём мы с вопроса №1. Нужна ли нам лицензия ФТЭК на деятельность по технической защите конфиденциальной информации?
Тут возможны варианты. Первый - наиболее распространённый - мы защищаем только свои ПДн (т.е. своих сотрудников и / или своих клиентов), которые обрабатываются для собственных нужд. В этом случае нам на первом шаге потребуется спроектировать всю систему защиты ИСПДн, составить модель угроз, определить актуальные угрозы и т.д.. Делать это придётся, т.к. этого требует Постановление Правительтства №1119 от 01.11.2012 и Приказ ФСТЭК №21 от 18.02.2013, в которых кругом фигурируют термины "актуальные угрозы". Обосновать актуальность без составления модели угроз с позиции Роскомнадзора и ФСТЭКа (а именно они придут к Вам на проверку) невозможно. Это разумно и с простой бытовой точки зрения. Таким образом, проектировать систему защиты ИСПДн хоть и для собственных нужд нам нужно, а это, в соответствии с п.5 ст. 12 99-ФЗ "О лицензировании ..." от 04.05.2011 попадает под обязательное получение лицензии на техническую защиту конфиденциальной информации (выдаёт её ФСТЭК России). Одновременно, работа по эксплуатации налаженной ИСПДн и техническому обслуживанию всех функционирующих в её составе средств защиты информации, включая и криптографию, в соответствии с тем же законом (и даже той же статьёй 12) не попадает под лицензируемые виды деятельности (т.к. осуществляется эта эксплуатация и обслуживание "для собственных нужд юридического лица"). Такие вот дела.
Какой же вывод из ситуации и что делать рядовым операторам ПДн? Всё очень просто: на этапе построения системы нанять того, кто лицензию по ТЗКИ имеет: он вам за 1 раз и одну фиксированную разовую плату всё сделает и далее вы пользуетесь, налаживаете и переоборудуете всё своё хозяйство по своему усмотрению и главное, совершенно бесплатно и законно. Подробнее я всё это дело описал в отдельной статье здесь.
Переходим к вопросу №2. Нужно ли при защите ПДн использовать крипографию? И если да, то в каких случаях?
Из сути вопроса и сказанного одним параграфом выше, ответ напрашивается сам собой: если в перечне актуальных угроз есть угрозы, связанные с передачей персональных данных по открытым каналам связи, то очевидно, нужно. Кроме того, есть 21-й Приказ, в котором строго прописаны обязательные меры, в зависимости от Вашего уровня защищённости. Да и вообще, почему нельзя передавать ПДн по открытым каналам, описано почти во всех нормативных документах со словами "персональные данные".
Например, в ст. 19 152-ФЗ: "Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных". Этот общий пункт даёт проверяющим структурам повод для предъявления претензий к отсутствию соответствующих мер. Но конкретика содержится в Приказе ФСТЭК №21 от 18.02.2013 в п. ЗИС.3: "Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи". Этот пункт (в соответствии с Приложением к Приказу ФСТЭК №21) применим ко всем 4-ём уровня защищённости (т.е. ко всем без исключения).
Вся печаль ситуации ещё и в том, что передавать по открытым каналам связи нельзя никакие ПДн. Никаких возможностей для этого в нормативной базе РФ не указано. Зато в ней указано, что защищать необходимо даже общедоступные ПДн. Это следует из п. а ст. 12 Постановления Правительства №1119 от 01.11.2012, в котором говорится о том, что в ИСПДн, обрабатывающая общедоступные данные и для которой актуальны угрозы 3 типа (т.е. никаких специальных угроз нет) необходимо обеспечивать 4 уровень защищённости, что в соответствии с уже указанным Приказом ФСТЭК №21 п.ЗИС.3, попадает под защиту канала связи. Хотя мало кто может похвастаться обработкой исключительно общедоступных ПДн.
Что же касается использования криптографии внутри зоны, т.е., к примеру, шифрование диска, TrueCrypt / PGP-контейнеры и т.д., то тут никаких дополнительных нормативных требований не предъявляется.
Подводя итоги: криптография необходима только в случае передачи ПДн по открытым каналам связи. Виды (категории) ПДн при это значения не имеют.
Вопрос №3. Если криптография нужна, то обязана ли она быть сертифицированной?
Криптография нужна - с этим разобрались. Но какая? В предыдущей версии законодательства в Приказе №58 был явный пункт 3.1.7, где прямо говорилось о том, что вся криптография должна быть сертифицирована. Сейчас этот нормативно-правовой акт не действует.
В проекте Приказа №21 тоже был такой пункт (п.5). При этом все активно обсуждали (а кто-то и сейчас использует) именно проект, а не его конечную версию. В итоге, до сих пор много слухов про обязательность сертификации СКЗИ. Сейчас этого пункта нет, а сам новый приказ существенно отличается от проекта. Что интересно, в современной действующей версии этого документа нет пункта 5. :)
Зато в новом 21-ом приказе есть требования по сертификации всего остального (в проекте их не было): в п.12 - там требования по классам антивирусов, систем обнаружения и предотвращения вторжений, межсетевым экранам и средствам вычислительной техники - про СКЗИ там ничего нет. Есть ещё пункт 4, в котором говорится, что если у нас есть актуальные угрозы утечки информации по техническим каналам, то мы в том числе можем применять СЗИ, прошедшие процедуру оценки соответствия. Обязательность отсюда не вытекает.
Также есть п.13.г в ПП №1119 говорится о том, что для обеспечения 4-го уровня защищённости (самого низкого) требуется использовать сертифицированные СЗИ в случае, когда они нужны для защиты от актуальных угроз. Абсолютно тот же смысл, что и в новом Приказе 21: обязательность отсюда не вытекает, соответствующие угрозы мы можем легко признать неактуальными (правда, с привлечением лицензиата по ТЗКИ). Больше про СКЗИ и его сертификацию нигде не говорится.
В итоге, обязательных требований по сертификации СКЗИ теперь нет. А вот прочие виды СЗИ должны иметь сертификат.
Вопрос №4. Что такое биометрические ПДн и как определить, есть ли биометрия у вас? Как от неё избавиться?
Животрепещущая в своё время была тема. :) Наконец-то представители власти и операторы пришли к единому заключению, которое можно почитать в разъяснительном письме Роскомнадзора вот тут.
Суть позиции регулятора заключается в следующем. Есть фотография гражданина и есть оператор. В соответствии со ст.11 152-ФЗ к биометрическим персональным данным относится всё, что характеризует биологические или физиологические особенности человека и на основании которых можно установить его личность. Ясно, что далеко не всегда оператор хранит, к примеру, фотографию в целях установления личности. Рассмотрим пример.
Случай №1. Оператор выдаёт сотрудникам электронные пропуска для входа на свою территорию. При проходе гражданина через СКУД-систему охранник видит на экране фотографию формального владельца приложенного к считывателю пропуска и сравнивает её с физиономией того, кто этот пропуск приложил. Если всё хорошо, охранник молчит. Иначе с воплями выбегает из своей будочки и далее начинается классиский голливудский сюжет. На лицо явная аутентификация по биометрическим признакам (фото физиономии). Т.е. фотография в данном случае хранится в ИСПДн и используется для идентификации личности. Это на 100% соответствует 11 статье 152-го закона и в этом случае Вы обрабатываете биометрические ПДн, для обработки которых - не забудьте - требуется обязательное получение письменного согласия субъекта.
Случай №2. Оператор оказывает какие-либо услуги и фотографирует клиента при получении банковской карты, пропуска, при заполнении анкеты и т.д.. Далее просто эти данные хранит и использует их в чисто информационных целя (не для аутентификации при входе или чём-то в этом роде). В этом случае никакой биометрии нет и быть не может. Никаких дополнительных обязательств на оператора не налагается.
Думаю, на этих 2 примерах ясна вся суть и все позиции регуляторов. Кстати, в примерах речь шла о фотографиях. По сути вы можете хранить у себя даже отпечатки пальцев, снимки радужной оболчки глаза или рентгенорафию головного мозга - если это дело не используется для аутентификации, то это не биометрия. :) То есть всё зависит исключительно от целей оператора при обработке этих персональных данных. Конечно, о здравом смысле забывать не стоит.
Вопрос №5. Как снизить необходимый уровень защищённости ИСПДн и избавиться от ряда "ненужных требований" 21-го приказа?
Очень просто: составить "нужную" конкретно вам модель актуальных угроз. Или попросить того, кто эту модель составляет (и имеет лицнзию по ТЗКИ, как мы выяснили в самом начале), о том, чтобы она соответствовала конкретно Вашим целям. Почему так? Потому что все реальные обязательные меры по защите персональных данных регламентирует только 21-ый приказ, а в этом приказе весьма часто фигурирует фраза "если это необходимо для устранения актуальных угроз". Кроме того, в своих обязательных мерах Приказ №21 опирается на уровень защищённости ИСПДн, который берётся из ПП-1119, и определяется в сущенственной степени видом имеющихся угроз в части НДВ (недекларированных возможностей). Эти НДВ легко можно "свести на нет", признав, что они для вас не актуальны (обоснований тут особых не потребуется), понизив тем самым уровень защищённости ИСПДн и существенно облегчив в итоге себе жизнь.
Такие вот дела. Надеюсь, я сумел раскрыть вам, дорогие читатели, все основные вопросы, которые могли вас волновать в контексте защиты персональных данных. Если о чём-либо забыл или что-то осталось неясно, обращайтесь в комментариях - отвечу-помогу.
С уважением,
Александр Лысяк.
