Персональные данные: как было раньше - как теперь
- Подробности
- Категория: Юридические вопросы ИБ
- Дата публикации: 19.07.2013 12:36
Персональные данные - культовая тема современного мира информационной безопасности, да и просто IT. Без них теперь никуда и никак. Они всем надоели, создают один геморрой и несут мало реальной пользы, но защищать их надо. Рассмотрим некоторую историю изменений всего комплекса законодательства по персональным данным и проведём некоторый сравнительный анализ.
Опишем требования старого законодательства и нового, включая перечень мер и порядок действий, который необходимо совершить оператору ПДн для признания его ИСПДн "соответствующей". Важно ли это? Важно, да ещё как! В новом законодательстве определён один интересный момент: для старых ИСПДн, признанных соответствующими, выполнять требования нового законодательства не обязательно (можно привести в соответствие, можно не приводить): оно носит обязательных характер только для вновь создаваемых ИСПДн и для случая реорганизации старых. Вопрос о том, стоит ли переделывать старые ИСПДн к соответствию новому законодательству - очень хороший и актуальный. Именно поэтому поставленный выше вопрос требует рассмотрения хорошего и подробного.
Те, кому читать историю не интересно, а интересен только итоговый сравнительный анализ, могут сразу перейти к статье: Персональные данные: сравнительный анализ старой и новой нормативной базы.
Кроме того, о весьма актуальном вопросе обязательности получения лицензии на деятельность по ТЗКИ оператором ПДн я писал в этой статье.
Требования и нормы старого законодательства в области ПДн
Основные нормативно-правовые документы, регулирующие деятельность по защите ПДн:
- 152-ФЗ «О персональных данных» (160-ФЗ «О ратификации Конвенции Совета Европы…»);
- 128-ФЗ «О лицензировании отдельных видов деятельности»;
- ПП-781 «Об утверждении Положения об обеспечении безопасности ПДн при их обработке в ИСПДн»;
- Приказ ("трёх") №55 «Об утверждении Порядка проведения классификации ИСПДн»;
- Приказ №58 «О методах и способах защиты информации в ИСПДн».
- Нормативные документы ФСБ:
- Приказ №66 «Об утверждении положения о производстве, реализации и эксплуатации криптографических СЗИ»
- №149 «Типовые требования» (по КС) «Методические рекомендации по обеспечению с помощью КС безопасности ПДн»
Порядок действий оператора ПДн должен был быть следующим:
- Озаботиться решением вопроса получения лицензии на осуществление деятельности по ТЗКИ, если деятельность по защите ПДн осуществляется на аутсорс. Если же обработка происходит для своих собственных нужд, то лицензию можно и не иметь.
- Создать утверждённую комиссию по сбору и анализу исходных данных ИСПДн (на основе которых будет производиться последующая классификация и разработка модели угроз).
- Классифицировать ИСПДн в соответствии с одним из двух путей:
- Провести предварительную классификацию по "приказу трёх" (№55) для типовых ИСПДн и перейти к п.3. В случае, если в системе обрабатываются данные о здоровье, или она порождает юридические последствия для субъектов (для ЦФТ ни одно из этих условий не актуально), поставить отметку «специальная» и перейти к п. б.
- В случае выполнения требований п. а и/или наличия необходимости (= желания сделать систему специальной и классифицироваться, как захочется) обеспечения целостности/доступности, поставить метку "специальная", что в соответствии с тем же приказом, даёт возможность классифицировать систему исходя лишь из модели угроз, проводя свою собственную классификацию (по собственным алгоритмам; очень удобно в некоторых случаях: позволяет вручную снизить класс системы).
- Составить "акт классификации", в котором указать класс ИСПДн, категории ПДн, структуру ИСПДн и режимы обработки ПДн.
- На основании РД ФСТЭК "Базовая модель угроз безопасности ПДн", разработать модель угроз (отдельным документом) методом вычёркивания неактуальных угроз (как того требует ФСТЭК). Осуществление деятельности, подпадающее под специализированные сферы (банковская деятельность является таковой) определяются в соответствии со специализированными моделями угроз так же методом вычёркивания.
- На основе составленной модели угроз в соответствии с ПП-781 (некоторыми пунктами; в частности, физическая защита носителей информации и обеспечение системы резервирования) и 58-м приказом выбрать соответствующие актуальным угрозам и классу системы средства ЗИ. Задокументировать все принятые меры и используемые СЗИ в политике безопасности компании (возможно, в каких-либо отдельных документах, которые потом будут показаны проверяющим ФСТЭК) в соответствии с ПП-781.
- Собрать со всех субъектов ПДн согласие на обработку.
- Разработать документ «Положение об обработке ПДн», в который включить перечень допущенных к обработке ПДн лиц с их правами. Предусмотреть в ИСПДн характеристику "подотчётности" (вести учёт)
Приложение 1
Использовать криптографию в обязательные нормы не входит (хотя и рекомендуется в ПП-781, но едва ли стоит сертифицироваться для этого в ФСБ). Её использование будет оправданным при невозможности обеспечить нейтрализацию актуальных угроз ИСПДн (занесённых в разработанную модель угроз) другими способами (это возможно практически всегда, но тем не менее; говоря о ЦФТ, при передачи данных между офисами и регионами и, возможно, – в некоторых случаях – деятельности, связанной с ДБО и процессингом, без криптографии не обойтись). В случае самостоятельного использования криптографии в своих продуктах (случай в ЦФТ), надо как минимум получить лицензию по тех. обслуживанию СКЗИ и лицензию на «разработку защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем».
Требования и нормы нового законодательства в области ПДн
Основные нормативно-правовые документы, регулирующие деятельность по защите ПДн:
- 152-ФЗ «О персональных данных» (160-ФЗ «О ратификации Конвенции Совета Европы…», 261-ФЗ "О внесении изменений в 152-ФЗ");
- 128-ФЗ «О лицензировании отдельных видов деятельности»;
- ПП-1119 «Об утверждении требований к защите ПДн при их обработке в ИСПДн»
- ПП-940 от 18.09.12 (об определении объединениями операторов ИСПДн дополнительных угроз);
- ПП-211 от 21.03.12 «Об утверждении перечня мер <…> операторами, являющимися государственными или муниципальными органами»
- ПП-512 от 06.07.08 «Об утверждении требований к материальным носителям биометрических ПДн и технологиям хранения таких данных вне ИСПДн»
- Приказ №21 от 18.02.13 «Об утверждении состава содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн».
- Нормативные документы ФСБ:
- Приказ №66 «Об утверждении положения о производстве, реализации и эксплуатации криптографических СЗИ»
- Приказ №149 «Типовые требования» (по КС)
- «Методические рекомендации по обеспечению с помощью КС безопасности ПДн»
Краткие комментарии к составу нормативной базы.
ПП-940 определяет порядок составления дополнительных угроз, которых не т в частной и отраслевых моделях объединениями. То есть по факту он носит рекомендательный характер, направленный на ассоциации/объединения операторов и говоря в частности о ЦФТ, в рассмотрение его можно не брать.
ПП-211 к коммерческим структурам вообще не относится, поэтому тоже какого-либо влияния на деятельность ЦФТ (в частности) оказать не может.
ПП-687, определяющее неавтоматизированную обработку ПДн , и нормативка ФСБ остались без изменений. Но касательно нормативных актов ФСБ есть проекты новых приказов, и ситуация скоро изменится.
Итак, теперь перейдём к главному:
Современный порядок действий оператора ПДн:
- Аналогично п.1 старого законодательства с небольшим уточнением: иметь лицензию не обязательно, но в некоторых случаях очень полезно. В частности, лицензия может помочь снизить уровень типа актуальных угроз ИСПДн и снизить тем самым требуемый уровень защищённости всей системы. Кроме того, требование по обязательной сертификации можно методом экспертной оценки (которая входит в перечень мер процедуры оценки соответствия и возможна только при наличии лицензии) исключить из разряда обязательных.Аналогично п.2 старого законодательства. Классифицировать систему в соответствии с существующими теперьклассами (никаких вариаций путей теперь нет; понятие «специальная ИСПДн» исчезло)
- Аналогично п.4 старого законодательства с уточнением: за основу взять не РД «Базовая модель», а отраслевые модели угроз (если, конечно, они разработаны для сферы деятельности компании); плюс, если раньше отраслевые модели строились операторами исполнительной власти и не было требований по согласованию их в ФСТЭК и как следствие, - обязательности следования данным моделям, то сейчас такие согласования и требования появились: отраслевые модели должны быть учтены в текущей деятельности, а угрозы из них – в перечень актуальных угроз (в соответствии с которым потом будет определяться тип угроз и требуемый уровень защищённости).
- Определить тип актуальных угроз (1, 2 или 3) в соответствии с ПП-1119 и исходя из потенциального вреда данных угроз и моделью актуальных угроз (составленной в соответствии с отраслевыми моделями).Определить требуемый уровень защищённости, исходя из класса системы (точнее, по факту – типа обрабатываемых ПДн), типа актуальных угроз и размеру обрабатываемых ПДн – в соответствии с большой схемой ПП-1119.Разработать комплексный проект СЗИ с учётом требований 152-ФЗ, ПП-1119 и Приказа №21 (куда в обязательном порядке входит, в частности, следующее: требования ПП-512 о хранении и защите материальных носителей, содержащих биометрию, либо (!) существующих вне ИСПДн; систему резервирования; подсистему регистрации и учёта; полно составленную действующую модель актуальных угроз).Примерный порядок проектирования СЗИ в ИСПДн (в соответствии с приказом №21):
- Выбор базового набора защитных мер в зависимости от определённого ранее уровня защищённости ИСПДн (обязательно строгое соответствие);Адаптация выбранного базового набора к конкретной ИСПДн в зависимости от структурно-функциональных характеристик и приоритетной задачей (ми) защиты (то есть манипуляции с базовым набором всё-таки возможны и сократить расходы на меры защиты этот пункт поможет существенно).Дополнение базового набора мер своими, если того требует ситуация ( комментарии с позиции расходов излишни).
- Аналогично п.6 старого законодательства.
- Аналогично п.7 старого законодательства.
Итоги
Итак, алгоритмы действия операторов раньше и сейчас и вопрос о том, как защищать персональные данные в современное время, описаны. Осталось провести сравнительную характеристику законодательных мер. Почему это важно мы также указали. Осталось составить табличку сравнительного анализа и ответить на главный вопрос: стоит или не стоит? Подобный итоговый анализ приведён в следующей статье: ПДн: сравнение старой и новой правовой базы. Сущестуют и некоторые другие особенности правовой базы по перс. данным.
A.S.